Alice Appleton, Principal Program Manager
Problem: Zu viele Tasks, die globale Adminrechte brauchen, schwer zu verstehen, wer was im Unternehmen darf
Viele Kunden haben zu viele globale Admins
Ziel soll sein, die Anzahl der globalen Admins zu reduzieren – aus Securitygründen, aber auch weil unabsichtlich Settings gemacht werden können
Zu strenge Regeln haben das Problem, das globale Admins das Bottle Neck werden
Was hat mS getan:
in den letzten 12 Monaten hat MS eine Vielzahl von Admin Rollen gelauncht
Global Reader Role: Read Only Counterpart des globalen Admins
Gut für audits, planning, investigations, feature discovery
MS hat mit den Kunden, die das schon nutzen, gesehen, das die 24% weniger globale Admins haben
Empfehlenswert ist es auch, limitierten Admins die global Admin Reader Roller zu geben..
Best practices:
5 gobal Admins max
limited Admin Roles statt global Admin
Just in time elevation für Admin-Rollen
Der globale Reader kann sehen, aber ncihts verändern
Sehe auch bei Features, welche Rolle empfohlen ist und wer Zugriff hat (Admin Center, Setup)
WIe schaut es technisch aus ?
Ich weise eine Rolle einem User zu im AAD
Gehe ich nun auf eine App (Admin Center) – schaut das Admin Center nach, welche Rechte ich habe und die UI wird auf das angepasst, was ich darf
Global Reader klingt einfach – aber 20 Teams haben mitgeholfen, das zu imlementieren
I don´t know, who has access to what information
Überprivilegierung bleibt oft unentdeckt – kostet Zeit, da zu entdecken
Neue Role Management Erfahrung im Admin Center – Roles
HIer sehe ich alle Rollen von AAD
Dort ist auch eine Export-Funktion: Ich bekomme ein Excel mit allen Admins in meinem UNternehmen
Best practices:
Roles page bester Platz für die VErwaltung der Rollen
Sollte 1 x im Quartal auditiert werden
gibt APIs um das zu automatisieren
Es ist schwer, die Rolle mit den am wenigsten benötigen Rechten zu finden
relativ schwer, viel Doku lesen, testen – aus dem Grund wirds oft der globale Admin
Ich habe im Role Admin Center auch einen Vergleich, was die Rollen können – side by side
Ich kann auch die Rollen, die am besten für meine Org passen, als Favoriten markieren
Vorschlag:
Ich lasse meine Admins selber Search and Compare Roles nutzen – und die können dann selber definieren, welche Rolle sie haben wollen
In der Role List kann ich nach Actions suchen – zb Reset password – und bekomme alle Rollen, die Passwörter reseten können
In der Compare View kann ich bis zu 3 Rollen vergleichen, was sie können – ich kann den Vergleich auch exportieren
Gut gefällt mir auch, das die in den Listen eine Suche haben, die nur die Liste durchsucht
UNd ich kann direkt aus dem Vergleich dann auf die gewünschte Rolle klicken und PErsonen der Rolle zuweisen
Was auch cool ist, ist, das das Admin Center mir nur die Puinkte zeigt auf die ich Berechtigung habe.
Bin ich nur Password Admin, dann sehe ich nur den Punkt User – Reset Password
Cool – wird Standard in meinen Workshops
Und es kommt mehr:
