Ermitteln, Korrigieren und Überwachen von Berechtigungen in Multicloudinfrastrukturen mithilfe von Berechtigungsverwaltungs-APIs (Vorschau)
Microsoft Entra Permissions Management bietet umfassenden Einblick in Berechtigungen, die allen Identitäten in mehreren Cloudinfrastrukturen wie Microsoft Azure, Amazon Web Services (AWS) und Google Cloud Platform (GCP) zugewiesen sind. Die Berechtigungsverwaltungs-APIs in Microsoft Graph bieten die programmgesteuerte Möglichkeit, diese Berechtigungen in Ihrer Multicloudinfrastruktur zu ermitteln, zu verwalten und zu überwachen.
In diesem Artikel werden die Permissions Management-Funktionen vorgestellt, die Sie programmgesteuert über Microsoft Graph verwalten können.
Weitere Informationen zu Permissions Management finden Sie unter Was ist Microsoft Entra Permissions Management?
Wichtige Anwendungsfälle von Berechtigungsverwaltungs-APIs
Durch die Bereitstellung eines umfassenden Einblicks in Berechtigungen, die allen Identitäten in mehreren Clouds zugewiesen sind, können Sie mithilfe von Berechtigungsverwaltungs-APIs drei wichtige Anwendungsfälle von Microsoft Entra Permissions Management behandeln: Ermitteln, Korrigieren und Überwachen.
Autorisierungssysteme
Ein Autorisierungssystem ist eine Plattform, die Identitäten und Ressourcen enthält. Es macht Berechtigungen verfügbar, die steuern, auf welche Ressourcen eine Identität Zugriff hat und welche Aktionen sie ausführen kann.
Verwenden Sie den Ressourcentyp authorizationSystem und die zugehörigen Methoden, um die Autorisierungssysteme zu ermitteln, die in Permissions Management integriert sind, und deren Details. Derzeit unterstützt Permissions Management Microsoft Azure, AWS und GCP.
In den folgenden wichtigen API-Szenarien können Sie Details für Autorisierungssysteme abrufen.
| Beschreibung | APIs |
|---|---|
| Abrufen von Autorisierungssystemen | AuthorizationSystems auflisten |
| Abrufen von Details zu einem AWS-Autorisierungssystem | AwsAuthorizationSystems auflisten |
| Abrufen von Details zu einem Azure-Autorisierungssystem | Auflisten von azureAuthorizationSystems |
| Abrufen von Details zu einem GCP-Autorisierungssystem | Auflisten von gcpAuthorizationSystems |
Hier finden Sie die Kurzübersicht zu API-Vorgängen für AWS-Autorisierungssysteme, Azure-Autorisierungssysteme und GCP-Autorisierungssysteme.
Autorisierungssystembestand
Jedes Autorisierungssystem verfügt über einen definierten Satz von Objekten, die die Funktionen des Autorisierungssystems bilden. Beispielsweise Identitäten wie Benutzer und Dienstkonten oder Aktionen und Ressourcen.
In den folgenden wichtigen API-Szenarien können Sie den Bestand für Autorisierungssysteme abrufen.
| Beschreibung | APIs |
|---|---|
| Auflisten aller Identitäten in einem Autorisierungssystem | |
| Auflisten von Identitätstypen in bestimmten Autorisierungssystemen | |
| Sonstiges Inventar |
Berechtigungsanforderungen
Identitäten können Berechtigungen für Aktionen und Ressourcen in einem Autorisierungssystem anfordern. Die Funktionen für Berechtigungsanforderungen ermöglichen es Anrufern, Berechtigungen für sich selbst oder im Namen einer anderen Identität anzufordern, und andere Identitäten können die Anforderungen genehmigen, ablehnen oder abbrechen.
In den folgenden wichtigen API-Szenarien können Sie Bedarfsgesteuerte Berechtigungen implementieren.
| Szenarien | API |
|---|---|
| Anfordern von Berechtigungen; Erteilen oder Ablehnen einer Anforderung | Erstellen von scheduledPermissionsRequest |
| Abbrechen einer Berechtigungsanforderung | scheduledPermissionsRequest: cancelAll |
| Nachverfolgen von Berechtigungsanforderungen und deren status | Berechtigungen AuflistenRequestChanges |
Berechtigungsanalyse
Mithilfe der ApIs für die Berechtigungsanalyse können Sie Permissions Management das Berechtigungsrisiko in Identitäten und Ressourcen für Ihre Autorisierungssysteme ermitteln. Sie können diese Ergebnisse verwenden, um Anwendungsfälle wie die folgenden zu automatisieren:
- Erstellen von Dashboards
- Auslösen einer Risikoüberprüfung
- Priorisieren von Korrekturen
- Generieren von Tickets
Die folgenden Beispielergebnisse sind über die APIs verfügbar:
| Fund | API für Beispielszenarien |
|---|---|
| Inaktive Identitäten: Identitäten, die in den letzten 90 Tagen keine ihrer erteilten Berechtigungen verwendet haben. | |
| Inaktive Gruppen: Keine Identität hat die über die Gruppe zugewiesenen Berechtigungen in den letzten 90 Tagen genutzt. | |
| Superidentitäten: Berechtigungen auf Administratorebene im gesamten Autorisierungssystem. Diese Identitäten können alle Ressourcen im Autorisierungssystem verwalten. |
Weitere Ergebnisse sind:
- Ressourcenbasierte Ergebnisse: Beispielsweise Azure-Blobcontainer, S3-Buckets und Speicherbuckets, auf die öffentlich zugegriffen werden kann; Offene Netzwerksicherheitsgruppen; und Identitäten, die auf Geheiminformationen zugreifen oder Sicherheitstools verwenden können
- Überdimensionierte Benutzer, Rollen, Ressourcen, Dienstprinzipale und Dienstkonten
- Benutzer mit nicht erzwungener mehrstufiger Authentifizierung in AWS
- Möglichkeiten für die Rechteausweitung
- Alter und Nutzung des AWS-Zugriffsschlüssels
Zero Trust
Dieses Feature hilft Organisationen, ihre Mandanten an den drei Leitprinzipien einer Zero Trust-Architektur auszurichten:
- Explizit verifizieren
- Verwenden der geringsten Rechte
- Gehe von einem Verstoß aus
Weitere Informationen zu Zero Trust und anderen Möglichkeiten, Ihre organization an den Leitprinzipien auszurichten, finden Sie im Zero Trust Guidance Center.
Berechtigungen und Berechtigungen
Zum Aufrufen der Berechtigungsverwaltungs-APIs benötigt der Aufrufer keine Microsoft Graph-Berechtigungen. Sie müssen jedoch über die entsprechenden Berechtigungen im Microsoft Entra Mandanten und im externen System verfügen.
Weitere Informationen finden Sie unter Permissions Management Rollen und Berechtigungsstufen.
Verwandte Inhalte
- Was ist Microsoft Entra Permissions Management
- Schnellstartanleitung zum Microsoft Entra Permissions Management
- Referenz zu Microsoft Entra Permissions Management-Vorgängen
- Microsoft Entra Kurzreferenzen zu Vorgängen der Berechtigungsverwaltungs-API: