Sperren des Azure AD Admin Portals für nicht privilegierte Accounts

Ohne besondere Maßnamen ist es jedem Standardbenutzer möglich, sich im Azure AD Admin Portal (https://portal.azure.com) anzumelden und sich z.B. Benutzer und Gruppen anzeigen zu lassen. Im Regelfall ist das aus Sicherheitsgründen nicht gewünscht und muss administrativ unterbunden werden.

Zwar gibt es eine Option im Azure AD Portal namens „Restrict access to Azure AD administration portal“, allerdings hat diese Option zwei Nachteile:

  • Die Option ist nicht an unterschiedliche Anforderungen anpassbar. Sie greift nur für Standdardbenutzer und nicht ggf. für privilegierte Benutzer, die trotzdem keine Zugriffsrechte auf’s Azure AD Portal haben sollen. Zudem können keine Bedingungen konfiguriert werden (z.B. Unterschiede bzgl. Standort, etc.), sondern sie greift prinzipiell immer.
  • Die Option verhindert nicht, dass sich ein Standardbenutzer am Azure AD Admin Portal anmelden kann. Beim Zugriff auf das Azure AD erhält der Benutzer lediglich eine „Access denied“ Meldung.
Restrict access to Azure AD administration portal
Restrict access to Azure AD administration portal
Conditional Access

Um die Anmeldung am Azure Admin Portals komplett zu unterbinden, benötigt es eine Conditional Access Policy. Dafür braucht es eine Azure AD Premium Lizenz.

Zu konfigurieren ist eine Policy für folgende Cloud App:

App NameApp ID
Microsoft Azure Management797f4846-ba00-4fd7-ba43-dac1f8f63013

Hinweis:
Bei der im Folgenden konfigurierten Policy ist äußerste Genauigkeit erforderlich, da man sich hier leicht durch eine Fehlkonfiguration als Admin selbst aussperren kann. Daher ist bei den Excludes besonders darauf zu achten, dass auf jeden Fall die Global administrators Rolle ausgeschlossen wird. Auf das Risiko wird auch bei der Erstellung der Policy nochmal explizit hingewiesen (siehe Screenshot).

CA Policy: Restrict Azure AD Admin Portal

AssignmentsIncludeExclude
Users and groupsUsers and groups:
– All users
Directory roles:
– Global administrators
optional: Users and groups:
– Administratoren Gruppen
Cloud apps or actionsMicrosoft Azure Management
ConditionsClient Apps:
– Browser
– Mobile apps and Desktop apps
– Exchange Active Sync clients
– Other clients
n/a
Access controlsControl OptionControl Setting
GrantBlock accessn/a
Session0 controls selectedn/a
Conditional Access Policy
Conditional Access Policy

Versucht sich ein Standardbenutzer (bzw. ein User, der nicht in der Exclude-Liste der CA-Policy ist) nun am Azure AD Admin Portal an, wird die Anmeldung abgewiesen:

Anmeldeversucht mit aktiver CA-Policy
Anmeldeversucht mit aktiver CA-Policy

Quellen:
tbd

2 Antworten

  1. Chris sagt:

    Ist es foglich richtig, dass diese Logik mit PIM nicht kompatibel ist, weil dann auch keine Privilegien angefordert werden können, für die man berechtigt ist?

    • Hallo Chris
      Ich hoffe deine Frage zielt nicht darauf ab, „normale“ User Accounts für PIM zu verwenden. Denn ja, dann funktioniert das natürlich nicht.
      Ansonsten, nein, das ist so nicht ganz richtig. Der Beitrag lautet ja „Sperrung des Azure AD Admin Portals für nicht privilegierte Accounts“. Ein Account, welches über PIM Rechte bekommt, sei es auch nur temporär, ist kein „nicht privilegierter Account“. Es ist also nur die Exclusion der CA Policy entsprechend korrekt zu definieren, dann funktioniert auch PIM.
      Gruß.
      Andreas

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.