Übersicht über die rollenbasierte Zugriffssteuerung in der Microsoft Entra-ID

In diesem Artikel wird beschrieben, wie Sie die rollenbasierte Zugriffssteuerung von Microsoft Entra verstehen. Mit Microsoft Entra-Rollen können Sie Ihren Administratoren präzise Berechtigungen erteilen, wobei das Prinzip der geringsten Rechte eingehalten wird. Den integrierten und benutzerdefinierten Microsoft Entra-Rollen liegen ähnliche Konzepte zugrunde wie dem System der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) für Azure-Ressourcen (Azure-Rollen). Die beiden System der rollenbasierten Zugriffssteuerung unterscheiden sich wie folgt:

• Microsoft Entra-Rollen steuern den Zugriff auf Microsoft Entra-Ressourcen wie Benutzer, Gruppen und Anwendungen mithilfe der Microsoft Graph-API
• Azure-Rollen steuern den Zugriff auf Azure-Ressourcen wie virtuelle Computer oder Speicher mithilfe von Azure Resource Management

Beide Systeme enthalten ähnlich verwendete Rollendefinitionen und Rollenzuweisungen. Microsoft Entra-Rollenberechtigungen können allerdings nicht in benutzerdefinierten Azure-Rollen verwendet werden (und umgekehrt).

Verstehen der rollenbasierten Zugriffssteuerung in Microsoft Entra

Microsoft Entra-ID unterstützt zwei Arten von Rollendefinitionen:

• Integrierte Rollen
• Angepasste Rollen

Integrierte Rollen sind standardmäßig verfügbare Rollen mit einem festen Berechtigungssatz. Diese Rollendefinitionen können nicht geändert werden. Es gibt viele integrierte Rollen, die von Microsoft Entra ID unterstützt werden, und die Liste wird immer länger. Zur Vervollständigung und zum Erfüllen Ihrer speziellen Anforderungen unterstützt Microsoft Entra ID auch benutzerdefinierte Rollen. Das Erteilen von Berechtigungen mithilfe von benutzerdefinierten Microsoft Entra-Rollen ist ein zweistufiger Prozess, der das Erstellen einer benutzerdefinierten Rollendefinition und anschließendes Zuweisen mithilfe einer Rollenzuweisung umfasst. Eine benutzerdefinierte Rollendefinition ist eine Sammlung von Berechtigungen, die Sie aus einer vordefinierten Liste hinzufügen. Bei diesen Berechtigungen handelt es sich um die gleichen Berechtigungen, die in den integrierten Rollen verwendet werden.

Nachdem Sie Ihre benutzerdefinierte Rollendefinition (oder eine integrierte Rolle) erstellt haben, können Sie sie einem Benutzer zuweisen, indem Sie eine Rollenzuweisung erstellen. Eine Rollenzuweisung gewährt einem Benutzer die Berechtigungen aus einer Rollendefinition in einem bestimmten Geltungsbereich. Mit diesem zweistufigen Prozess können Sie eine einzelne Rollendefinition erstellen und sie mehrmals in verschiedenen Bereichen zuweisen. Ein Bereich definiert den Satz von Microsoft Entra-Ressourcen, auf die der Rollenmitglied Zugriff hat. Der gängigste Bereich ist der organisationsweite Bereich. Eine benutzerdefinierte Rolle kann für den organisationsweiten Bereich zugewiesen werden. Dies bedeutet, dass das Rollenmitglied über die Rollenberechtigungen für alle Ressourcen in der Organisation verfügt. Eine benutzerdefinierte Rolle kann auch für einen Objektbereich zugewiesen werden. Ein Beispiel für einen Objektbereich wäre eine einzelne Anwendung. Die gleiche Rolle kann einem Benutzer für alle Anwendungen in der Organisation und dann einem anderen Benutzer nur für die Contoso-App für Spesenabrechnungen (Contoso Expense Reports-App) zugewiesen werden.

Wie Microsoft Entra ID bestimmt, ob ein Benutzer Zugriff auf eine Ressource hat

Im Folgenden finden Sie die allgemeinen Schritte, die von Microsoft Entra ID verwendet werden, um festzustellen, ob Sie Zugriff auf eine Verwaltungsressource haben. Verwenden Sie diese Informationen, um Zugriffsprobleme zu beheben.

1. Ein Benutzer (oder Dienstprinzipal) ruft ein Token für den Microsoft Graph-Endpunkt ab.
2. Der Benutzer führt einen API-Aufruf an Microsoft Entra ID über Microsoft Graph unter Verwendung des ausgestellten Tokens durch.
3. Abhängig vom Umstand führt die Microsoft Entra-ID eine der folgenden Aktionen aus:
   • Die Rollenmitgliedschaften des Benutzers werden basierend auf dem wids-Anspruch im Zugriffstoken des Benutzers ausgewertet.
   • Alle für den Benutzer geltenden Rollenzuweisungen (direkt oder über eine Gruppenmitgliedschaft vorgenommen) für die Ressource, für die die Aktion ausgeführt wird, werden abgerufen.
4. Die Microsoft Entra-ID bestimmt, ob die Aktion im API-Aufruf in den Rollen enthalten ist, die der Benutzer für diese Ressource hat.
5. Wenn der Benutzer nicht über eine Rolle mit der Aktion im angeforderten Bereich verfügt, wird der Zugriff nicht gewährt. Andernfalls wird der Zugriff gewährt.

Rollenzuweisung

Eine Rollenzuweisung ist eine Microsoft Entra-Ressource, die eine Rollendefinition an einen Sicherheitsprinzipal in einem bestimmten Bereich anfügt, um Zugriff auf Microsoft Entra-Ressourcen zu gewähren. Der Zugriff wird durch Erstellen einer Rollenzuweisung gewährt, und der Zugriff wird durch Entfernen einer Rollenzuweisung widerrufen. Im Kern besteht eine Rollenzuweisung aus drei Elementen:

• Sicherheitsprinzipal: Eine Identität, die die Berechtigungen erhält. Dabei kann es sich um einen Benutzer, eine Gruppe oder einen Dienstprinzipal handeln.
• Rollendefinition – Eine Sammlung von Berechtigungen.
• Bereich – Eine Möglichkeit zum Einschränken, wo diese Berechtigungen anwendbar sind.

Sie können Rollenzuweisungen erstellen und die Rollenzuweisungen mithilfe des Microsoft Entra Admin Centers, Microsoft Graph PowerShell-oder der Microsoft Graph-API auflisten. Azure CLI wird für Microsoft Entra-Rollenzuweisungen nicht unterstützt.

Das folgende Diagramm zeigt ein Beispiel für eine Rollenzuweisung. In diesem Beispiel wurde Chris die benutzerdefinierte Rolle „App-Registrierungsadministrator“ für den Bereich der Contoso Widget Builder-App-Registrierung zugewiesen. Die Aufgabe gewährt Chris die Berechtigungen der Rolle "App-Registrierungsadministrator" nur für diese bestimmte App-Registrierung.

Sicherheitsprinzipal

Ein Sicherheitsprinzipal stellt einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar, dem der Zugriff auf Microsoft Entra-Ressourcen zugewiesen ist. Ein Benutzer ist eine Person, die über ein Benutzerprofil in der Microsoft Entra-ID verfügt. Eine Gruppe ist eine neue Microsoft 365-Gruppe oder Sicherheitsgruppe, die festgelegt wurde als Gruppe, der Rollen zugewiesen werden können. Ein Dienstprinzipal ist eine Identität, die zur Verwendung mit Anwendungen, gehosteten Diensten und automatisierten Tools für den Zugriff auf Microsoft Entra-Ressourcen erstellt wird.

Rollendefinition

Eine Rollendefinition oder Rolle ist eine Sammlung von Berechtigungen. Eine Rollendefinition listet die Vorgänge auf, die für Microsoft Entra-Ressourcen ausgeführt werden können, z. B. Erstellen, Lesen, Aktualisieren und Löschen. Es gibt zwei Arten von Rollen in der Microsoft Entra-ID:

• Integrierte Rollen, die von Microsoft erstellt wurden, die nicht geändert werden können.
• Benutzerdefinierte Rollen, die von Ihrer Organisation erstellt und verwaltet werden.

Bereich

Ein Bereich ist eine Möglichkeit, die zulässigen Aktionen auf eine bestimmte Gruppe von Ressourcen als Teil einer Rollenzuweisung zu beschränken. Wenn Sie beispielsweise einem Entwickler eine benutzerdefinierte Rolle zuweisen möchten, aber nur zum Verwalten einer bestimmten Anwendungsregistrierung, können Sie die spezifische Anwendungsregistrierung als Geltungsbereich in die Rollenzuweisung einschließen.

Wenn Sie eine Rolle zuweisen, geben Sie einen der folgenden Arten von Bereich an:

• Mieter
• Verwaltungseinheit
• Microsoft Entra-Ressource

Wenn Sie eine Microsoft Entra-Ressource als Bereich angeben, kann dies eine der folgenden Sein:

• Microsoft Entra-Gruppen
• Unternehmensanwendungen
• Anwendungsregistrierungen

Wenn eine Rolle für einen Containerbereich zugewiesen wird (z. B. für den Mandanten oder eine Verwaltungseinheit), gewährt sie Berechtigungen für die enthaltenen Objekte, aber nicht für den Container selbst. Im Gegenteil: Wenn eine Rolle für einen Ressourcenbereich zugewiesen wird, gewährt sie Berechtigungen für die Ressource selbst, aber nicht darüber hinaus (insbesondere nicht für die Mitglieder einer Microsoft Entra-Gruppe).

Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra-Rollen.

Rollenzuweisungsoptionen

Die Microsoft Entra-ID bietet mehrere Optionen zum Zuweisen von Rollen:

• Sie können Benutzern rollen direkt zuweisen, was die Standardweise zum Zuweisen von Rollen ist. Sowohl integrierte als auch benutzerdefinierte Microsoft Entra-Rollen können Benutzern basierend auf Zugriffsanforderungen zugewiesen werden. Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra-Rollen.
• Mit Microsoft Entra ID P1 können Sie rollenzuweisungsfähige Gruppen erstellen und diesen Gruppen Rollen zuweisen. Das Zuweisen von Rollen zu einer Gruppe anstelle von Einzelpersonen ermöglicht das einfache Hinzufügen oder Entfernen von Benutzern aus einer Rolle und erstellt konsistente Berechtigungen für alle Mitglieder der Gruppe. Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra-Rollen.
• Mit Microsoft Entra ID P2 können Sie Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) verwenden, um den Just-in-Time-Zugriff auf Rollen zu ermöglichen. Mit diesem Feature können Sie Benutzern, die sie benötigen, einen zeitlich begrenzten Zugriff auf eine Rolle gewähren, anstatt permanenten Zugriff zu gewähren. Sie bietet außerdem detaillierte Berichterstellungs- und Überwachungsfunktionen. Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra-Rollen in Privileged Identity Management.

Lizenzanforderungen

Die Verwendung integrierter Rollen in der Microsoft Entra-ID ist kostenlos. Die Verwendung benutzerdefinierter Rollen erfordert eine Microsoft Entra ID P1-Lizenz für jeden Benutzer mit einer benutzerdefinierten Rollenzuweisung. Sehen Sie sich den Vergleich der allgemein verfügbaren Features der kostenlosen Edition und der Premium-Editionen an, um die richtige Lizenz für Ihre Anforderungen zu ermitteln.

Nächste Schritte

• Grundlegendes zu Microsoft Entra-Rollen
• Zuweisen von Microsoft Entra-Rollen
• Microsoft Entra-Forum