Die Verwaltung von Benutzerberechtigungen ist oft eine Gratwanderung: Gibst du zu viel frei, entstehen Sicherheitslücken. Beschränkst du zu stark, leidet die Produktivität und deine Mailbox quillt über vor Tickets.
In diesem Abschnitt konfigurieren wir die drei wichtigsten Bereiche:
Die Internen Berechtigungen, die Externe Zusammenarbeit (Gäste) und die Benutzerfeatures.
1. Einstellungen für interne Benutzer
Hier definierst du, was deine Standard-Mitarbeiter im Tenant dürfen. Ziel ist das Prinzip der „Least Privilege“ (geringste Rechte).
App-Registrierungen & Test-Mandanten Standardmäßig dürfen Benutzer oft eigene App-Registrierungen anlegen oder sogar neue Azure-Tenants erstellen. Aus Datenschutz- und Governance-Sicht solltest du das unterbinden. So verhinderst du unkontrollierten Datenabfluss und das Entstehen von „Schatten-IT“.
- Empfehlung: Deaktiviere die Registrierung von Apps durch Nutzer.
- Empfehlung: Verbiete das Erstellen von Test-Mandanten, damit keine unüberwachten Parallel-Strukturen entstehen.
Sicherheitsgruppen Auch die Erstellung von Sicherheitsgruppen sollte nicht jedem erlaubt sein, um die Übersichtlichkeit im Verzeichnis zu wahren.
- Empfehlung: Deaktiviere die Erstellung durch Benutzer an dieser Stelle.
Zugriff auf das Admin-Portal Ein normaler User hat im Entra Admin Center nichts verloren. Zwar können sie standardmäßig nichts ändern, aber allein das Auslesen von Konfigurationen (z. B. „Wer ist hier Admin?“) stellt ein Risiko dar (Reconnaissance).
- Empfehlung: Schalte den Zugriff auf das Entra-Verwaltungsportal für Nicht-Administratoren ab.
LinkedIn-Integration Aus Datenschutzsicht (Datensparsamkeit) ist es ratsam, die automatische Verknüpfung von Geschäftskonten mit sozialen Netzwerken zu unterbinden.
- Empfehlung: Deaktiviere die LinkedIn-Kontoverbindungen.
Konfigurations-Checkliste (Hauptmenü): Setze im Bereich Identität > Benutzer > Benutzereinstellungen folgende Werte:
- Benutzer können Anwendungen registrieren → Nein
- Benutzer ohne Administratorrechte daran hindern, Mandanten zu erstellen → Ja
- Benutzer können Sicherheitsgruppen erstellen → Nein
- Gastbenutzerzugriff → Wähle: „Der Gastbenutzerzugriff ist auf Eigenschaften und Mitgliedschaften eigener Verzeichnisobjekte beschränkt (restriktivste Einstellung).“
- Zugriff auf Microsoft Entra Admin Center einschränken → Ja
- LinkedIn-Kontoverbindungen → Nein
2. Einstellungen für externe Zusammenarbeit
Direkt in der Übersicht der Benutzereinstellungen findest du bereits die wichtigste Einstellung für den Lesezugriff von Gästen. Ein Gast sollte niemals das gesamte Verzeichnis durchsuchen können.
- Empfehlung: Wähle hier die restriktivste Option. Gäste sehen nur ihre eigenen Eigenschaften und haben keinen Einblick in andere Benutzerobjekte oder Gruppenmitgliedschaften.
- Warum: Gäste sollen keine Mitarbeiterlisten oder Gruppenstrukturen durchsuchen können.
Detail-Einstellungen für Externe Über den Link „Externe Einstellungen zur Zusammenarbeit verwalten“ gelangst du in das Detailmenü. Hier entscheidet sich, wie sicher deine Umgebung bei der Einladung von und Zusammenarbeit mit Partnern ist.
Empfohlene Konfiguration:
- Gastbenutzerzugriff: → Wähle die restriktivste Einstellung („…ist auf Eigenschaften und Mitgliedschaften eigener Verzeichnisobjekte beschränkt“).
- Einstellungen für Gasteinladungen: → Nur Benutzer mit bestimmten Administratorrollen (oder deaktivieren).
- Warum: Verhindert Wildwuchs. Nicht jeder Mitarbeiter sollte externe Personen in den Tenant einladen dürfen.
- Self-Service-Registrierung von Gästen: → Nein.
- Warum: Du behältst die Kontrolle darüber, wer Zugriff erhält.
- Einstellungen für das Verlassen: → Ja.
- Warum: Erlaubt Gästen, sich selbst aus dem Tenant zu entfernen, was die Datenbank bereinigt.
[BILD: MS365-EntraID_Benutzer_Einstellungen für externe Zusammenarbeit_122025.jpg] Bildunterschrift: Gasteinstellungen: Maximale Einschränkung für externe Blicke.
3. Benutzerfeatures
Ein oft übersehenes Menü verbirgt sich hinter dem Link „Einstellungen für Benutzerfeatures verwalten“. Hier steuerst du experimentelle Funktionen und Hilfsmittel.
Empfohlene Konfiguration:
- Benutzer können Vorschaufeatures für „Meine Apps“ verwenden: → Kein.
- Warum: In produktiven Umgebungen sollten Beta-Funktionen deaktiviert sein, um Stabilität und Sicherheit zu gewährleisten.
- Administratoren können auf „Meine Mitarbeiter“ zugreifen: → Alle (oder nach Bedarf).
- Erklärung: „Meine Mitarbeiter“ (My Staff) ermöglicht es Managern, einfache Aufgaben (wie Passwort-Resets) für ihr Team zu übernehmen. Das kann den Helpdesk entlasten.
Hinterlasse jetzt einen Kommentar