Wenn Sie mit der Konfiguration von Zugriffskontrollrichtlinien beginnen, ist es notwendig zu analysieren, wer von den Mitarbeitern welche Aufgaben ausführt. Später, wenn Sie einem Mitarbeiter oder einer Gruppe von Mitarbeitern eine bestimmte Zugriffsebene zuweisen, können Sie das bewährte Prinzip der geringsten Privilegien (PoLP) verwenden.

Die Essenz dieses Prinzips besteht darin, dass der Zugang zu einem Modul oder Programm dem Mitarbeiter nur dann gewährt werden sollte, wenn er ihn für die Erledigung der Arbeit wirklich benötigt. Die Vorteile dieses Ansatzes sind wie folgt:

• Sicherheit. Der Zugang zu Schlüsselkomponenten des Systems wird nur denjenigen Mitarbeitern gewährt, die für die Wartung einer bestimmten Ressource verantwortlich sind.
• Erhöhte Stabilität des Systems. Unter der Voraussetzung, dass ein Mitarbeiter nur die betreffende Ressource verwenden und konfigurieren kann, besteht keine Möglichkeit, dass die Einstellungen anderer Ressourcen, die außerhalb des Verantwortungsbereichs liegen, versehentlich geändert werden.
• Schwerpunkt. Die Mitarbeiter sehen nur die Ressourcen, mit denen sie arbeiten müssen – und nichts anderes. Folglich wird es einfacher sein, sich mit allen ihnen zur Verfügung stehenden Ressourcen vertraut zu machen und sie zu konfigurieren.
• Effizientere Kostenkontrolle über geleaste Ressourcen. Sie können die Wahrscheinlichkeit von Mehrausgaben auf einer falsch gewählten Preisstufe minimieren, indem Sie die gesamte Verwaltung der Software- und Ressourcenpreise sowie das Mieten neuer Ressourcen nur von den Mitarbeitern durchführen lassen, die die Kosten, Systemanforderungen und Verbrauchsraten kennen.

Auch bei der Arbeit mit dem Microsoft Azure Portal ist es notwendig, Zugriffsrichtlinien festzulegen. Um Ihnen bei der Lösung dieses Problems zu helfen, bietet MS Portal eine Vielzahl von Ansätzen, von denen die gebräuchlichsten RBAC (rollenbasierte Zugriffskontrolle) und ABAC (attributbasierte Zugriffskontrolle) sind.

Die Grundlage dieses Ansatzes besteht darin, dass dem Benutzer eine Rolle in einem angepassten System zugewiesen wird, und diese Rolle seiner Rolle im Unternehmen entspricht. Auf der Grundlage der Rolle erhält der Benutzer Zugriff auf bestimmte Ressourcen. Dieser Ansatz ist einfacher zu konfigurieren und funktioniert gut in Organisationen, in denen sich Rollen wiederholen und Gruppen von Mitarbeitern gemeinsame Privilegien haben, die an ihre Rollen gebunden sind.

Zum Beispiel gibt es einen Leiter der Entwicklungsabteilung. Diese Aufgabe setzt voraus, dass er alle Privilegien und alle Zugriffsrechte besitzt. Der Leiter der Abteilung leitet andere Entwickler, die dieselbe Geschäftsrolle und dieselben Aufgaben haben. Die Aufgaben der Entwickler sind durch den Zugriff auf eine bestimmte Ressource begrenzt. In diesem Fall werden zwei Rollen eingerichtet: „Leiter der Entwicklungsabteilung“ und „Entwickler“. Die Rolle des Entwicklungsleiters bedeutet, dass er mehr Privilegien und einen umfassenderen Zugang hat.

ABAC ist schwieriger zu konfigurieren, bietet aber gleichzeitig eine größere Flexibilität. Oft ist es ABAC, das Ihnen bei der Lösung von Problemen hilft, die mit RBAC nicht gelöst werden können. Beispielsweise kann der Zugriff auf die Ressource „A“ nur Entwicklern gewährt werden, deren Rolle natürlich die des Entwicklers ist. Aber stellen wir uns vor, Sie bräuchten eine zusätzliche Bedingung, dass der Zugriff auf die Ressource nur dem Entwickler gewährt wird, der in einer bestimmten Abteilung arbeitet. Wenn Sie möchten, dass Entwickler aus dieser Abteilung, aber nicht andere, die Ressource „A“ verwalten, müssen Sie ein Attribut einrichten, das angibt, wie der Entwickler mit der Ressource verknüpft ist. Zum Beispiel können Sie der Ressource das Attribut „Abteilung 1“ hinzufügen. Infolgedessen wird die Ressource nur für die Mitarbeiter der Abteilung 1 zugänglich sein.

Sie können direkt in Azure Active Directory mit dem Hinzufügen neuer Benutzer beginnen.

Der Abschnitt „Rollen und Administratoren“ enthält bereits eine Vielzahl von vordefinierten Rollen. Wenn Sie keine passende Rolle unter den vorhandenen finden, können Sie Ihre eigenen Rollen im AAD (Azure Active Directory) zu höheren Preisstufen erstellen. Dann müssen Sie den Benutzer zu einer Verwaltungsgruppe oder zu einem Abonnement hinzufügen. In Azure sind Subskriptionen und Managementgruppen (und auch Ressourcengruppen) alles wesentliche organisatorische Konstrukte.

Eine Azure-Verwaltungsgruppe ist ein logischer Container, der es Azure-Administratoren ermöglicht, Zugriff, Richtlinien und Compliance über mehrere Azure-Abonnements hinweg zu verwalten.

Microsoft definiert ein Abonnement als „eine Vereinbarung mit Microsoft zur Nutzung einer oder mehrerer Microsoft-Cloud-Plattformen oder -Dienste, für die Gebühren anfallen, die entweder auf einer Lizenzgebühr pro Benutzer oder auf dem Cloud-basierten Ressourcenverbrauch basieren“.

In einem detaillierteren Ansatz kann das Hinzufügen von Benutzern und die Zuweisung von Rollen aus der Ressource selbst (z.B. einer virtuellen Maschine) heraus erfolgen, indem der Abschnitt „Zugriffskontrolle“ der Ressource verwendet wird. Das heißt, Sie können einem Benutzer erlauben, nur eine bestimmte Ressource zu verwalten.

Mit diesem Ziel vor Augen können Sie dem Benutzer eine der folgenden bekannten Rollen zuweisen:

• Owner: hat vollen Zugriff auf die Ressourcen, einschließlich des Privilegs, Zugriffsrechte an andere zu delegieren.
• Contributor: kann alle Arten von Azure-Ressourcen erstellen und verwalten, aber anderen keinen Zugriff gewähren.
• Reader: kann vorhandene, in Azure verfügbare Ressourcen einsehen.

Wenn ein Benutzer auf eine Ressource zugreifen kann und es andere Ressourcen gibt, die in der „Verwaltungsgruppe“, „Subskription“ oder „Ressourcengruppe“ erstellt wurden, dann stehen dem Benutzer auch alle Ressourcen in bestimmten Organisationskonstrukten zur Verfügung.

Sie können in der Dokumentation von Microsoft nachschlagen, um sich mit den verschiedenen Ansätzen besser vertraut zu machen. Nachfolgend finden Sie eine Liste verschiedener Artikel, die wir nützlich gefunden haben:

• What is Azure role-based access control (Azure RBAC)
• Managing access to apps
• Create a basic group and add members using Azure Active Directory
• Assign administrator and non-administrator roles to users with Azure Active Directory