Welche Rechte darf ein normaler Nutzer in Microsoft Entra Admin Center haben? „So wenig wie möglich, so viel wie nötig“ sollte die Devise wie in allen anderen Bereichen der IT Administration lauten. Die Default-Einstellungen des Microsoft Entra Admin Center halten sich jedoch nicht an diese Vorgabe. Wie auch, schließlich müssen sie für alle Anwender grundsätzlich funktionieren und kennen die individuellen Rahmenbedingungen der Unternehmen und Organisation nicht. In diesem Beitrag zeigen wir daher, inwiefern die Default-Einstellungen des Admin Center Eindringlingen das Leben unnötig leicht machen und wie du sie mit einem Klick optimieren kannst.
Wenn du dich zunächst grundsätzlich über Microsoft Entra informieren möchtest, findest du alle Basics in unserem Grundlagenartikel Was ist Microsoft Entra (ehem. Azure) mit vielen anschaulichen Screenshots. Weiterführende Artikel zu Angriffen und Schutzmöglichkeiten findest du hier:
Das Admin Center ist eine zentrale Plattform, auf der Nutzer ihre Cloud-Ressourcen und Dienste in der Microsoft Entra-Cloud effizient verwalten können. Auf dem Dashboard können Benutzer ihre Azure-Ressourcen problemlos erstellen, konfigurieren, überwachen und verwalten.
Die Berechtigung für Nutzer sind in Microsoft Entra standardmäßig nach einem einheitlichen Schema eingestellt. Im Folgenden listen wir einige Beispiele auf, welche Informationen ein normaler Nutzer mit Default-Settings in verschiedensten Bereichen abrufen kann.
Im Bereich „Benutzer“ kann jeder Nutzer standardmäßig die Liste aller Nutzer anzeigen:
Alle Nutzer haben außerdem standardmäßig Lesezugriff auf alle öffentlichen Eigenschaften von Benutzern und Kontakten:
Gruppen und deren Eigenschaften können ebenfalls von allen angezeigt werden:
Die Liste aller registrierten Apps ist durch alle Nutzer einsehbar:
Zudem können alle Nutzer Informationen über die Organisation anzeigen:
Mit den Default-Einstellungen kann jeder Nutzer externe Gäste einladen:
Per Default kann jeder Nutzer neue Apps registrieren:
Die Einschränkung des Azure AD Verwaltungsportal für normale Nutzer kann über die „Benutzereinstellungen“ aktiviert werden:
Was bewirkt der Regler „Zugriff auf Azure AD-Verwaltungsportal einschränken“?
Auswahl „Nein“: Normaler Zugriff auf das Verwaltungsportal (standardmäßig eingestellt)
Auswahl „Ja“: Verhindert, dass Nicht-Administratoren das Verwaltungsportal durchsuchen können. Nicht-Administratoren, die als Besitzer von Gruppen oder Anwendungen fungieren, können dadurch das Admin Center nicht verwenden, um ihre eigenen Ressourcen zu verwalten.
Sobald ein globaler Administrator den Regler auf „Ja“ gestellt hat, können normale Nutzer die entsprechenden Informationen nicht mehr über das Verwaltungsportal abrufen.
DISCLAIMER:
Die Verwendung der Option „Zugriff auf Azure AD-Verwaltungsportal einschränken“ stellt an sich KEINE Sicherheitsmaßnahme dar. Es ist lediglich eine Möglichkeit, Schaden im Falle eines Angriffs oder bei unachtsamer Nutzung zu minimieren.
Der Zugriff auf Azure AD-Daten über PowerShell, die Microsoft Graph-API oder andere Clients wie Visual Studio werden nicht eingeschränkt. Solange einzelnen Benutzer eine benutzerdefinierte Rolle (oder eine beliebige Rolle) zugewiesen haben, ist deren Zugriff nicht eingeschränkt.
Wenn du die Default-Settings im Entra Admin Center unverändert lässt, haben alle einfachen Nutzer zahlreiche Rechte: Sie haben Lesezugriff auf Benutzer, Gruppen, Anwendungen und Organisationen, dürfen neue Anwendungen registrieren und externe Gäste einladen. Das ist in der Regel nicht notwendig macht ungebetenen Eindringlingen das Leben unnötig leicht. Deshalb solltest du diese Rechte als globaler Admin einschränken, sofern in deinem konkreten Anwendungsfall nichts dagegen spricht. Dies erreichst du in den Benutzereinstellungen über den Regler „Zugriff auf Verwaltungsportal einschränken“.
