Sperren des Azure AD Admin Portals für nicht privilegierte Accounts
Ohne besondere Maßnamen ist es jedem Standardbenutzer möglich, sich im Azure AD Admin Portal (https://portal.azure.com) anzumelden und sich z.B. Benutzer und Gruppen anzeigen zu lassen. Im Regelfall ist das aus Sicherheitsgründen nicht gewünscht und muss administrativ unterbunden werden.
Zwar gibt es eine Option im Azure AD Portal namens „Restrict access to Azure AD administration portal“, allerdings hat diese Option zwei Nachteile:
- Die Option ist nicht an unterschiedliche Anforderungen anpassbar. Sie greift nur für Standdardbenutzer und nicht ggf. für privilegierte Benutzer, die trotzdem keine Zugriffsrechte auf’s Azure AD Portal haben sollen. Zudem können keine Bedingungen konfiguriert werden (z.B. Unterschiede bzgl. Standort, etc.), sondern sie greift prinzipiell immer.
- Die Option verhindert nicht, dass sich ein Standardbenutzer am Azure AD Admin Portal anmelden kann. Beim Zugriff auf das Azure AD erhält der Benutzer lediglich eine „Access denied“ Meldung.
Conditional Access
Um die Anmeldung am Azure Admin Portals komplett zu unterbinden, benötigt es eine Conditional Access Policy. Dafür braucht es eine Azure AD Premium Lizenz.
Zu konfigurieren ist eine Policy für folgende Cloud App:
App Name | App ID |
---|---|
Microsoft Azure Management | 797f4846-ba00-4fd7-ba43-dac1f8f63013 |
Hinweis:
Bei der im Folgenden konfigurierten Policy ist äußerste Genauigkeit erforderlich, da man sich hier leicht durch eine Fehlkonfiguration als Admin selbst aussperren kann. Daher ist bei den Excludes besonders darauf zu achten, dass auf jeden Fall die Global administrators Rolle ausgeschlossen wird. Auf das Risiko wird auch bei der Erstellung der Policy nochmal explizit hingewiesen (siehe Screenshot).
CA Policy: Restrict Azure AD Admin Portal
Assignments | Include | Exclude |
---|---|---|
Users and groups | Users and groups: – All users | Directory roles: – Global administrators optional: Users and groups: – Administratoren Gruppen |
Cloud apps or actions | Microsoft Azure Management | |
Conditions | Client Apps: – Browser – Mobile apps and Desktop apps – Exchange Active Sync clients – Other clients | n/a |
Access controls | Control Option | Control Setting |
---|---|---|
Grant | Block access | n/a |
Session | 0 controls selected | n/a |
Versucht sich ein Standardbenutzer (bzw. ein User, der nicht in der Exclude-Liste der CA-Policy ist) nun am Azure AD Admin Portal an, wird die Anmeldung abgewiesen:
Quellen:
tbd
Ist es foglich richtig, dass diese Logik mit PIM nicht kompatibel ist, weil dann auch keine Privilegien angefordert werden können, für die man berechtigt ist?
Hallo Chris
Ich hoffe deine Frage zielt nicht darauf ab, „normale“ User Accounts für PIM zu verwenden. Denn ja, dann funktioniert das natürlich nicht.
Ansonsten, nein, das ist so nicht ganz richtig. Der Beitrag lautet ja „Sperrung des Azure AD Admin Portals für nicht privilegierte Accounts“. Ein Account, welches über PIM Rechte bekommt, sei es auch nur temporär, ist kein „nicht privilegierter Account“. Es ist also nur die Exclusion der CA Policy entsprechend korrekt zu definieren, dann funktioniert auch PIM.
Gruß.
Andreas