Role based access control (RBAC) in Microsoft 365: Improve your operations and security posture

Alice Appleton, Principal Program Manager

 

Problem: Zu viele Tasks, die globale Adminrechte brauchen, schwer zu verstehen, wer was im Unternehmen darf

Viele Kunden haben zu viele globale Admins

Ziel soll sein, die Anzahl der globalen Admins zu reduzieren – aus Securitygründen, aber auch weil unabsichtlich Settings gemacht werden können

 

Zu strenge Regeln haben das Problem, das globale Admins das Bottle Neck werden

 

Was hat mS getan:

in den letzten 12 Monaten hat MS eine Vielzahl von Admin Rollen gelauncht

IMG_20191106_113627

Global Reader Role: Read Only Counterpart des globalen Admins

Gut für audits, planning, investigations, feature discovery

MS hat mit den Kunden, die das schon nutzen, gesehen, das die 24% weniger globale Admins haben

Empfehlenswert ist es auch, limitierten Admins die global Admin Reader Roller zu geben..

 

Best practices:

5 gobal Admins max

limited Admin Roles statt global Admin

Just in time elevation für Admin-Rollen

 

Der globale Reader kann sehen, aber ncihts verändern

Sehe auch bei Features, welche Rolle empfohlen ist und wer Zugriff hat (Admin Center, Setup)

IMG_20191106_114119

 

 

WIe schaut es technisch aus ?

Ich weise eine Rolle einem User zu im AAD

Gehe ich nun auf eine App (Admin Center) – schaut das Admin Center nach, welche Rechte ich habe und die UI wird auf das angepasst, was ich darf

 

Global Reader klingt einfach  – aber 20 Teams haben mitgeholfen, das zu imlementieren

 

I don´t know, who has access to what information

Überprivilegierung bleibt oft unentdeckt – kostet Zeit, da zu entdecken

Neue Role Management Erfahrung im Admin Center – Roles

HIer sehe ich alle Rollen von AAD

Dort ist auch eine Export-Funktion: Ich bekomme ein Excel mit allen Admins in meinem UNternehmen

 

Best practices:

Roles page bester Platz für die VErwaltung der Rollen

Sollte 1 x im Quartal auditiert werden

gibt APIs um das zu automatisieren

 

Es ist schwer, die Rolle mit den am wenigsten benötigen Rechten zu finden

relativ schwer, viel Doku lesen, testen – aus dem Grund wirds oft der globale Admin

 

Ich habe im Role Admin Center auch einen Vergleich, was die Rollen können – side by side

Ich kann auch die Rollen, die am besten für meine Org passen, als Favoriten markieren

Vorschlag:

Ich lasse meine Admins selber Search and Compare Roles nutzen – und die können dann selber definieren, welche Rolle sie haben wollen

 

In der Role List kann ich nach Actions suchen – zb Reset password – und bekomme alle Rollen, die Passwörter reseten können

In der Compare View kann ich bis zu 3 Rollen vergleichen, was sie können – ich kann den Vergleich auch exportieren

Gut gefällt mir auch, das die in den Listen eine Suche haben, die nur die Liste durchsucht

 

UNd ich kann direkt aus dem Vergleich dann auf die gewünschte Rolle klicken und PErsonen der Rolle zuweisen

 

Was auch cool ist, ist, das das Admin Center mir nur die Puinkte zeigt auf die ich Berechtigung habe.

Bin ich nur Password Admin, dann sehe ich nur den Punkt User – Reset Password

 

Cool – wird Standard in meinen Workshops

 

Und es kommt mehr:

IMG_20191106_120644

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

code