Freigeben über


Privilegierte Rollen und Berechtigungen in Microsoft Entra ID (Vorschau)

Wichtig

Die Bezeichnung für privilegierte Rollen und Berechtigungen befindet sich derzeit in der PREVIEW. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Microsoft Entra ID verfügt über Rollen und Berechtigungen, die als privilegiert identifiziert werden. Mit diesen Rollen und Berechtigungen können Sie die Verwaltung von Verzeichnisressourcen an andere Benutzer delegieren, Anmeldedaten, Authentifizierungs- oder Autorisierungsrichtlinien ändern oder auf eingeschränkte Daten zugreifen. Privilegierte Rollenzuweisungen können zur Erhöhung von Berechtigungen führen, wenn sie nicht sicher und beabsichtigt verwendet werden. In diesem Artikel werden privilegierte Rollen und Berechtigungen sowie bewährte Methoden für die Verwendung beschrieben.

Welche Rollen und Berechtigungen sind privilegiert?

Eine Liste der privilegierten Rollen und Berechtigungen finden Sie unter Integrierte Microsoft Entra-Rollen. Sie können auch das Microsoft Entra Admin Center, Microsoft Graph PowerShell oder Microsoft Graph-API verwenden, um Rollen, Berechtigungen und Rollenzuweisungen zu identifizieren, die als privilegiert gekennzeichnet sind.

Suchen Sie im Microsoft Entra Admin Center nach der Bezeichnung PRIVILEGED.

Symbol für privilegierte Bezeichnung.

Auf der Seite Rollen und Administratoren werden privilegierte Rollen in der Spalte Privilegiert gekennzeichnet. In der Spalte Zuweisungen wird die Anzahl der Rollenzuweisungen aufgelistet. Sie können auch privilegierte Rollen filtern.

Screenshot: Microsoft Entra-Rollen und Administratorseite mit den Spalten „Privilegiert“ und „Zuweisungen“

Wenn Sie die Berechtigungen für eine privilegierte Rolle anzeigen, können Sie sehen, welche Berechtigungen privilegiert sind. Wenn Sie die Berechtigungen als Standardbenutzer anzeigen, können Sie nicht sehen, welche Berechtigungen privilegiert sind.

Screenshot: Microsoft Entra-Rollen und Administratorseite mit den privilegierten Berechtigungen für eine Rolle

Wenn Sie eine benutzerdefinierte Rolle erstellen, können Sie sehen, welche Berechtigungen privilegiert sind, und die benutzerdefinierte Rolle ist als privilegiert bezeichnet.

Screenshot: Seite mit neuer benutzerdefinierter Rolle, die eine benutzerdefinierte Rolle mit privilegierten Berechtigungen zeigt.

Bewährte Methoden für die Verwendung privilegierter Rollen

Dies sind einige bewährte Methoden für die Verwendung privilegierter Rollen.

  • Anwenden des Prinzips der geringsten Rechte
  • Verwenden Sie Privileged Identity Management, um Just-in-Time-Zugriff zu gewähren
  • Aktivieren der mehrstufigen Authentifizierung für alle Ihre Administratorkonten
  • Konfigurieren Sie wiederkehrende Zugriffsüberprüfungen, um nicht benötigte Berechtigungen im Laufe der Zeit zu entziehen
  • Begrenzen der Anzahl der globalen Administratoren auf weniger als 5
  • Begrenzen der Anzahl privilegierter Rollenzuweisungen auf weniger als 10

Weitere Informationen finden Sie unter Best Practices für Microsoft Entra-Rollen.

Privilegierte Berechtigungen im Vergleich zu geschützten Aktionen

Privilegierte Berechtigungen und geschützte Aktionen sind sicherheitsbezogene Funktionen, die unterschiedliche Zwecke haben. Berechtigungen mit der Bezeichnung PRIVILEGED helfen Ihnen dabei, Berechtigungen zu identifizieren, die zur Erhöhung von Berechtigungen führen können, wenn sie nicht sicher und beabsichtigt verwendet werden. Geschützte Aktionen sind Rollenberechtigungen, denen Richtlinien für bedingten Zugriff für zusätzliche Sicherheit zugewiesen wurden, z. B. die Anforderung einer mehrstufigen Authentifizierung. Anforderungen für bedingten Zugriff werden erzwungen, wenn ein Benutzer die geschützte Aktion ausführt. Geschützte Aktionen befinden sich derzeit in der Vorschau. Weitere Informationen finden Sie unter Was sind geschützte Aktionen in Microsoft Entra ID?.

Funktion Privilegierte Berechtigung Geschützte Aktion
Identifizieren von Berechtigungen, die auf sichere Weise verwendet werden sollten
Erfordern zusätzlicher Sicherheit zum Ausführen einer Aktion

Terminologie

Um privilegierte Rollen und Berechtigungen in Microsoft Entra ID zu verstehen, ist es hilfreich, die folgenden Begriffe zu kennen.

Begriff Definition
action Eine Aktivität, die ein Sicherheitsprinzipal für einen Objekttyp ausführen kann. Manchmal auch als ein Vorgang bezeichnet.
permission Eine Definition, die die Aktivität angibt, die ein Sicherheitsprinzipal für einen Objekttyp ausführen kann. Eine Berechtigung umfasst mindestens eine Aktion.
privilegierte Berechtigung In Microsoft Entra ID können Berechtigungen verwendet werden, um die Verwaltung von Verzeichnisressourcen an andere Benutzer*innen zu delegieren, Anmeldeinformationen, Authentifizierungs- oder Autorisierungsrichtlinien zu ändern oder auf eingeschränkte Daten zuzugreifen.
privilegierte Rolle Eine integrierte oder benutzerdefinierte Rolle, die über eine oder mehrere privilegierte Berechtigungen verfügt.
privilegierte Rollenzuweisung Eine Rollenzuweisung, die eine privilegierte Rolle verwendet.
Rechteerweiterungen Wenn ein Sicherheitsprinzipal mehr Berechtigungen erhält, als seine zugewiesene Rolle anfänglich durch den Identitätswechsel einer anderen Rolle bereitgestellt wird.
geschützte Aktion Berechtigungen, bei denen bedingter Zugriff für zusätzliche Sicherheit angewendet wurde.

Grundlegendes zu Rollenberechtigungen

Das Schema für Berechtigungen folgt im Wesentlichen dem REST-Format von Microsoft Graph:

<namespace>/<entity>/<propertySet>/<action>

Beispiel:

microsoft.directory/applications/credentials/update

Berechtigungselement BESCHREIBUNG
Namespace Produkt oder Dienst zum Verfügbarmachen der Aufgabe, Präfix: microsoft. Beispielsweise verwenden alle Aufgaben in Microsoft Entra ID den Namespace microsoft.directory.
Entität Logische Funktion oder Komponente, die vom Dienst in Microsoft Graph verfügbar gemacht wird. Beispielsweise macht Microsoft Entra ID Benutzer*innen und Gruppen verfügbar, OneNote macht Notizen verfügbar, und Exchange macht Postfächer und Kalender verfügbar. Es gibt ein spezielles Schlüsselwort allEntities zum Angeben aller Entitäten in einem Namespace. Dieses wird häufig in Rollen verwendet, die Zugriff auf ein gesamtes Produkt gewähren.
propertySet Bestimmte Eigenschaften oder Aspekte der Entität, für die der Zugriff gewährt wird. Beispielsweise bietet microsoft.directory/applications/authentication/read die Möglichkeit, die Antwort-URL, die Abmelde-URL und eine implizite Floweigenschaft für das Anwendungsobjekt in Microsoft Entra ID zu lesen.
  • allProperties legt alle Eigenschaften der Entität fest, einschließlich privilegierter Eigenschaften.
  • standard legt allgemeine Eigenschaften fest, schließt jedoch privilegierte Eigenschaften im Zusammenhang mit der Aktion read aus. Beispielsweise bietet microsoft.directory/user/standard/read die Möglichkeit, Standardeigenschaften wie die öffentliche Telefonnummer und E-Mail-Adresse zu lesen, aber nicht die private sekundäre Telefonnummer oder E-Mail-Adresse, die für die mehrstufige Authentifizierung verwendet wird.
  • basic legt allgemeine Eigenschaften fest, schließt jedoch privilegierte Eigenschaften im Zusammenhang mit der Aktion update aus. Die Eigenschaften, die Sie lesen können, unterscheiden sich möglicherweise von denen, die Sie aktualisieren können. Um dies abzubilden, gibt es die Schlüsselwörter standard und basic.
action Der gewährte Vorgang, in der Regel CRUD (Create, Read, Update, Delete). Es gibt ein spezielles Schlüsselwort allTasks zum Angeben aller oben genannten Möglichkeiten (Create, Read, Update, Delete).

Vergleichen von Authentifizierungsrollen

In der folgenden Tabelle werden die Funktionen von Rollen im Zusammenhang mit Authentifizierung verglichen.

Role Verwalten der Authentifizierungsmethoden der Benutzerinnen und Benutzer Verwalten der MFA pro Benutzerin bzw. Benutzer Verwalten von MFA-Einstellungen Verwalten der Authentifizierungsmethodenrichtlinie Verwalten der Kennwortschutzrichtlinie Aktualisieren vertraulicher Eigenschaften Löschen und Wiederherstellen von Benutzerinnen und Benutzern
Authentifizierungsadministrator Ja, für einige Benutzer Ja, für einige Benutzer Ja Nr. Nein Ja, für einige Benutzer Ja, für einige Benutzer
Privilegierter Authentifizierungsadministrator Ja, für alle Benutzer Ja, für alle Benutzer Nein Nr. Nein Ja, für alle Benutzer Ja, für alle Benutzer
Authentifizierungsrichtlinienadministrator No Ja Ja Ja Ja Nr. Nein
Benutzeradministrator Nein Nr. Nr. Nr. Nein Ja, für einige Benutzer Ja, für einige Benutzer

Wer kann Kennwörter zurücksetzen?

In den Spalten der folgenden Tabelle sind die Rollen aufgelistet, die Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen können. In den Tabellenzeilen sind die Rollen aufgeführt, für die das Kennwort zurückgesetzt werden kann. Beispielsweise kann ein Kennwortadministrator das Kennwort für Verzeichnisleseberechtigte, Gasteinladende, Kennwortadministratoren und Benutzer ohne Administratorrolle zurücksetzen. Wenn einem Benutzer eine andere Rolle zugewiesen ist, kann der Kennwortadministrator sein Kennwort nicht zurücksetzen.

Die folgende Tabelle gilt für Rollen, die im Bereich eines Mandanten zugewiesen sind. Für Rollen, die im Bereich einer Verwaltungseinheit zugewiesen sind, gelten weitere Einschränkungen\.

Rolle, deren Kennwort zurückgesetzt werden kann Kennwortadministrator Helpdeskadministrator Authentifizierungsadministrator Benutzeradministrator Privilegierter Authentifizierungsadministrator Globaler Administrator
Authentifizierungsadministrator      
Verzeichnisleseberechtigte
Globaler Administrator         ✅*
Gruppenadministrator      
Gasteinladender
Helpdesk-Admin    
Nachrichtencenter-Leseberechtigter  
Kennwortadministrator
Privilegierter Authentifizierungsadministrator        
Administrator für privilegierte Rollen        
Berichtleseberechtigter  
Benutzer
(keine Administratorrolle)
Benutzer
(keine Administratorrolle, aber Mitglied oder Besitzer einer Gruppe, der Rollen zugewiesen werden können)
       
Benutzer mit einer Rolle, die auf eine Verwaltungseinheit mit eingeschränkter Verwaltung beschränkt ist        
Benutzeradministrator      
Erfolgs-Manager für die Benutzererfahrung  
Leseberechtigter für Verwendungszusammenfassungsberichte  
Alle anderen integrierten und benutzerdefinierten Rollen

Wichtig

Die Rolle Partnersupport der Ebene 2 kann für Benutzer mit und ohne Administratorrechte (einschließlich globaler Administratoren) Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen. Die Rolle Partnersupport der Ebene 1 kann nur für Benutzer ohne Administratorrechte Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen. Diese Rollen sollten nicht verwendet werden, da sie veraltet sind.

Die Möglichkeit zum Zurücksetzen eines Kennworts umfasst die Möglichkeit, die folgenden vertraulichen Eigenschaften zu aktualisieren, die für die Self-Service-Kennwortzurücksetzung erforderlich sind:

  • businessPhones
  • mobilePhone
  • otherMails

Wer kann vertrauliche Aktionen ausführen?

Einige Administratoren können die folgenden vertraulichen Aktionen für einige Benutzer durchführen. Alle Benutzer können die vertraulichen Eigenschaften lesen.

Vertrauliche Aktion Name der vertraulichen Eigenschaft
Deaktivieren oder Aktivieren von Benutzern accountEnabled
Aktualisieren der geschäftlichen Telefonnummer businessPhones
Aktualisieren der Mobiltelefonnummer mobilePhone
Aktualisieren der lokalen unveränderliche ID onPremisesImmutableId
Aktualisieren anderer E-Mail-Adressen otherMails
Aktualisieren des Kennwortprofils passwordProfile
Aktualisieren des Benutzerprinzipalnamens userPrincipalName
Löschen oder Wiederherstellen von Benutzern Nicht verfügbar

In den Spalten der folgenden Tabelle sind die Rollen aufgelistet, die vertrauliche Aktionen durchführen können. In den Zeilen sind die Rollen aufgeführt, für die die vertrauliche Aktion durchgeführt werden kann.

Die folgende Tabelle gilt für Rollen, die im Bereich eines Mandanten zugewiesen sind. Für Rollen, die im Bereich einer Verwaltungseinheit zugewiesen sind, gelten weitere Einschränkungen\.

Rolle, für die die vertrauliche Aktion durchgeführt werden kann Authentifizierungsadministrator Benutzeradministrator Privilegierter Authentifizierungsadministrator Globaler Administrator
Authentifizierungsadministrator  
Verzeichnisleseberechtigte
Globaler Administrator    
Gruppenadministrator  
Gasteinladender
Helpdesk-Admin  
Nachrichtencenter-Leseberechtigter
Kennwortadministrator
Privilegierter Authentifizierungsadministrator    
Administrator für privilegierte Rollen    
Berichtleseberechtigter
Benutzer
(keine Administratorrolle)
Benutzer
(keine Administratorrolle, aber Mitglied oder Besitzer einer Gruppe, der Rollen zugewiesen werden können)
   
Benutzer mit einer Rolle, die auf eine Verwaltungseinheit mit eingeschränkter Verwaltung beschränkt ist    
Benutzeradministrator  
Erfolgs-Manager für die Benutzererfahrung
Leseberechtigter für Verwendungszusammenfassungsberichte
Alle anderen integrierten und benutzerdefinierten Rollen

Nächste Schritte