Microsoft Entra Admin Center: So stellst du es sicher ein

Welche Rechte darf ein normaler Nutzer in Microsoft Entra Admin Center haben? „So wenig wie möglich, so viel wie nötig“ sollte die Devise wie in allen anderen Bereichen der IT Administration lauten. Die Default-Einstellungen des Microsoft Entra Admin Center halten sich jedoch nicht an diese Vorgabe. Wie auch, schließlich müssen sie für alle Anwender grundsätzlich funktionieren und kennen die individuellen Rahmenbedingungen der Unternehmen und Organisation nicht. In diesem Beitrag zeigen wir daher, inwiefern die Default-Einstellungen des Admin Center Eindringlingen das Leben unnötig leicht machen und wie du sie mit einem Klick optimieren kannst.

Wenn du dich zunächst grundsätzlich über Microsoft Entra informieren möchtest, findest du alle Basics in unserem Grundlagenartikel Was ist Microsoft Entra (ehem. Azure) mit vielen anschaulichen Screenshots. Weiterführende Artikel zu Angriffen und Schutzmöglichkeiten findest du hier:

Inhaltsverzeichnis

Was ist das Microsoft Entra Admin Center?

Das Admin Center ist eine zentrale Plattform, auf der Nutzer ihre Cloud-Ressourcen und Dienste in der Microsoft Entra-Cloud effizient verwalten können. Auf dem Dashboard können Benutzer ihre Azure-Ressourcen problemlos erstellen, konfigurieren, überwachen und verwalten.

Das Microsoft Entra Admin Center – hierüber können Nutzer Ressourcen und Dienste in der Entra-Cloud verwalten.
Das Microsoft Entra Admin Center – hierüber können Nutzer Ressourcen und Dienste in der Entra-Cloud verwalten.
Du willst Dir die Folgen eines erfolgreichen Hackerangriffs auf
Dein IT-System ersparen?
Teste jetzt deine IT durch einen professionellen Penetrationstest!
Zum Penetrationstest

Sicherheitsrisiko Default-Einstellungen: Diese Berechtigungen haben Nutzer standardmäßig im Entra Admin Center

Die Berechtigung für Nutzer sind in Microsoft Entra standardmäßig nach einem einheitlichen Schema eingestellt. Im Folgenden listen wir einige Beispiele auf, welche Informationen ein normaler Nutzer mit Default-Settings in verschiedensten Bereichen abrufen kann.

Lesezugriffe: Benutzer, Gruppen, Anwendungen und Organisation

Im Bereich „Benutzer“ kann jeder Nutzer standardmäßig die Liste aller Nutzer anzeigen:

Benutzer-Liste im Entra Admin Center – per Default können normale Nutzer die Liste aller Nutzer einsehen.
Benutzer-Liste im Entra Admin Center – per Default können normale Nutzer die Liste aller Nutzer einsehen.

Alle Nutzer haben außerdem standardmäßig Lesezugriff auf alle öffentlichen Eigenschaften von Benutzern und Kontakten:

Öffentliche Eigenschaften von Benutzern und Kontakten sind im Entra Admin Center per Default für alle Nutzer einsehbar.
Öffentliche Eigenschaften von Benutzern und Kontakten sind im Entra Admin Center per Default für alle Nutzer einsehbar.

Gruppen und deren Eigenschaften können ebenfalls von allen angezeigt werden:

Nutzer haben standardmäßig Lesezugriff auf Gruppen und deren Eigenschaften im Entra Admin Center.
Nutzer haben standardmäßig Lesezugriff auf Gruppen und deren Eigenschaften im Entra Admin Center.

Die Liste aller registrierten Apps ist durch alle Nutzer einsehbar:

Die Default-Einstellungen erlauben allen Nutzern das Anzeigen aller registrierten Apps im Entra Admin Center.
Die Default-Einstellungen erlauben allen Nutzern das Anzeigen aller registrierten Apps im Entra Admin Center.

Zudem können alle Nutzer Informationen über die Organisation anzeigen:

Standardmäßig können alle Nutzer im Entra Admin Center Informationen über die Organisation einsehen.
Standardmäßig können alle Nutzer im Entra Admin Center Informationen über die Organisation einsehen.

Gäste einladen

Mit den Default-Einstellungen kann jeder Nutzer externe Gäste einladen:

Externe Benutzer einladen – das kann in den Standard-Einstellungen jeder Nutzer im Entra Admin Center.
Externe Benutzer einladen – das kann in den Standard-Einstellungen jeder Nutzer im Entra Admin Center.

Neue Anwendungen im Microsoft Entra Admin Center registrieren

Per Default kann jeder Nutzer neue Apps registrieren:

Neue Anwendungen registrieren – per Default für jeden Nutzer in Entra möglich.
Neue Anwendungen registrieren – per Default für jeden Nutzer in Entra möglich.

Lösung: Einschränkung für das Entra Verwaltungsportal

Die Einschränkung des Azure AD Verwaltungsportal für normale Nutzer kann über die „Benutzereinstellungen“ aktiviert werden:

„Zugriff auf Azure AD-/ Entra-Verwaltungsportal einschränken“ – mit diesem Regler in den Benutzereinstellungen beschränkst du die Rechte normaler Nutzer im Entra Admin Center
„Zugriff auf Azure AD-/ Entra-Verwaltungsportal einschränken“ – mit diesem Regler in den Benutzereinstellungen beschränkst du die Rechte normaler Nutzer im Entra Admin Center

Was bewirkt der Regler „Zugriff auf Azure AD-Verwaltungsportal einschränken“?

Auswahl „Nein“: Normaler Zugriff auf das Verwaltungsportal (standardmäßig eingestellt)

Auswahl „Ja“: Verhindert, dass Nicht-Administratoren das Verwaltungsportal durchsuchen können. Nicht-Administratoren, die als Besitzer von Gruppen oder Anwendungen fungieren, können dadurch das Admin Center nicht verwenden, um ihre eigenen Ressourcen zu verwalten.

Sobald ein globaler Administrator den Regler auf „Ja“ gestellt hat, können normale Nutzer die entsprechenden Informationen nicht mehr über das Verwaltungsportal abrufen.

Fehlermeldung bei eingeschalteten Zugriffsbeschränkungen für normale Nutzer, wenn sie versuchen, bestimmte Aktionen durchzuführen.
Fehlermeldung bei eingeschalteten Zugriffsbeschränkungen für normale Nutzer, wenn sie versuchen, bestimmte Aktionen durchzuführen.

DISCLAIMER:

Die Verwendung der Option „Zugriff auf Azure AD-Verwaltungsportal einschränken“ stellt an sich KEINE Sicherheitsmaßnahme dar. Es ist lediglich eine Möglichkeit, Schaden im Falle eines Angriffs oder bei unachtsamer Nutzung zu minimieren.

Der Zugriff auf Azure AD-Daten über PowerShell, die Microsoft Graph-API oder andere Clients wie Visual Studio werden nicht eingeschränkt. Solange einzelnen Benutzer eine benutzerdefinierte Rolle (oder eine beliebige Rolle) zugewiesen haben, ist deren Zugriff nicht eingeschränkt.

Fazit: Ein Klick für mehr Kontrolle

Wenn du die Default-Settings im Entra Admin Center unverändert lässt, haben alle einfachen Nutzer zahlreiche Rechte: Sie haben Lesezugriff auf Benutzer, Gruppen, Anwendungen und Organisationen, dürfen neue Anwendungen registrieren und externe Gäste einladen. Das ist in der Regel nicht notwendig macht ungebetenen Eindringlingen das Leben unnötig leicht. Deshalb solltest du diese Rechte als globaler Admin einschränken, sofern in deinem konkreten Anwendungsfall nichts dagegen spricht. Dies erreichst du in den Benutzereinstellungen über den Regler „Zugriff auf Verwaltungsportal einschränken“.

Steigere jetzt die Sicherheit Deines IT-Systems!
Von uns erhältst Du eine ausführliche Beratung!
Jetzt kontaktieren
ANDERE BEITRÄGE

Inhaltsverzeichnis

Hast du Fragen oder Ergänzungen? Immer her damit!
Schreibe einen Kommentar und wir antworten so bald wie möglich!

Dein E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.