Wie leistungsfähig sind die Administrative Units

August 19, 2020 / by Karsten Kleinschmidt


Verwaltungseinheiten (Administrative Units) im Azure Active Directory und Organisationseinheiten (Organizational Units) im lokalen Active Directory differieren voneinander. Wir erklären Ihnen, was den Unterschied macht.

Die heutigen technischen Möglichkeiten, administrative Berechtigungen im Azure Active Directory (Azure AD) zu limitieren, sind begrenzt. Das Azure AD hat eine flache Struktur und bietet dadurch keine Organisationseinheiten, wie wir sie aus dem OnPrem Active Directory kennen, um Berechtigungen zu delegieren und Hierarchien zu verwalten. Man könnte annehmen, dass es sich bei den seit Ende 2014 in der Preview befindlichen Administrative Units (AU) im Azure AD um ein ähnliches Konzept handelt wie bei den On-Premises Organizational Units (OU). Das ist aber nicht der Fall.

Warum sollte man Administrative Units verwenden?

Ein Administrator hat uneingeschränkten, administrativen Zugang zu allen Benutzern in einem Tenant. Die Berechtigungen können weder regional noch auf einen bestimmten Geltungsbereich beschränkt werden. Spezielle VIP-Benutzergruppen können somit nicht vom Zugriff des normalen Help-Desk-Administrators abgeschottet werden. Microsoft hat daher mit dem Konzept der AUs die Möglichkeit geschaffen, separate Administrationscontainer zu erstellen und damit eine logische Struktur für Ressourcen zu bieten. Sie sollen helfen, den Umfang der administrativen Berechtigungen innerhalb eines Tenants zu reduzieren.

Wie leistungsfähig sind die Administrative Units aktuell?

Die AUs befinden sich noch in der Preview und sind derzeit auf Benutzer und Gruppenobjekte limitiert. Ein Benutzer oder eine Gruppe kann Mitglied einer oder mehrerer AUs sein. Es ist keine Hierarchie, Verschachtelung oder Vererbung möglich. Die Zuordnung zu einer AU muss entweder mit PowerShell, Graph oder neu über das Azure Portal zugewiesen werden. Eine dynamische Mitgliedschaft, z.B. basierend auf der zugehörigen Abteilung, ist aktuell nicht möglich. Allerdings lässt sich diese Lücke mit einem Runbook leicht schließen. Durch das Zuweisen einer administrativen Rolle mit Gültigkeitsbereich auf eine AU können Admin-Berechtigungen erteilt werden, die nur für diese AU bestimmt sind. Beispielsweise können Berechtigungen an regionale Administratoren delegiert werden. Ein Helpdesk-Administrator kann somit darauf eingegrenzt werden, Profilinformationen zu aktualisieren, Kennwörter zurückzusetzen und Gruppen für Benutzer nur in der zugewiesenen Administrative Unit zu verwalten. Derzeit sind nicht alle mit Azure AD privilegierten Rollen für die Verwendung mit AUs verfügbar. Eine Übersicht finden Sie hier.

Was aber fehlt noch für eine sinnvolle Verwendung der Administrative Units?

Eingeschränkte Admin-Rollen für AUs sind in der Gesamtübersicht der Azure Portal Azure AD Rollen nicht sichtbar.

Ich empfehle immer die Verwendung von Privileged Identity Management (PIM), wenn es um administrative Berechtigungen geht. Leider gibt es keine Unterstützung für PIM zusammen mit Administrative Units. Wenn Sie einem Administrator in PIM die Berechtigung für seine Rolle erteilen, ändert sich die Zuweisung des Gültigkeitsbereichs auf einer AU in eine globale Adminrolle für alle Benutzer. Dadurch wird das AU-Konzept nutzlos.

Im Azure Portal für administrative Azure AD Rollen sind die Berechtigungen, die auf AU-Ebene vergeben wurden, nicht sichtbar, sondern sie sind nur in der separaten Übersicht für Administrative Units aufgelistet. Dies kann für Administratoren verwirrend sein.

Zusammenfassung