Gruppen in Azure AD richtig organisieren, da es keine OUs gibt
Wenn in Azure AD sehr viele Gruppen existieren, kann die Übersichtlichkeit schnell leiden. Das Problem ist, dass es in Azure keine OUs gibt, um die Gruppen zu ordnen. Stattdessen müssen Administratoren andere Maßnahmen anwenden, um einen Überblick über alle Gruppen zu behalten. Wichtig ist es, das M365 Identitätsmanagement so übersichtlich wie möglich zu gestalten, um Sicherheitsrisiken zu vermeiden.
Daher sollten sich Verantwortliche frühzeitig darüber Gedanken machen, wie sich die Gruppen am besten organisieren lassen und wie viele Gruppen in Azure AD überhaupt notwendig sind. Prinzipiell gibt es kein Maximum an Gruppen, welches angelegt werden kann. Das Maximum liegt an der Organisation. Wir zeigen nachfolgend was machbar ist, um die Ordnung zu erhalten.
Index
Azure AD Gruppen im Portal suchen und anzeigen
Die Gruppen in Azure AD werden direkt im Azure-Portal verwaltet, das gilt auch für die aus dem lokalen AD synchronisierten Gruppen. Bei „Azure Active Directory“ ist dazu der Bereich „Gruppen“ zu finden. Hier zeigt das Portal zunächst alle Gruppen an.
Verwalten von Benutzergruppen in Azure AD-Portal
Im Suchfeld kann nach einzelnen Gruppen gesucht werden. Über den Schieberegler bei „Suchmodus“ kann zwischen „Enthält“ und „Beginnt mit“ umgeschaltet werden. Das erleichtert die Suche nach Gruppen. Für die Organisation der Gruppen spielt an dieser Stelle auch die Schaltfläche „Spalten“ eine wichtige Rolle. Hier kann ausgewählt werden welche Spalten im Azure-Portal angezeigt werden sollen. Auch dadurch kann die Anzeige optimiert werden, für eine bessere Ansicht der verschiedenen Informationen. Diese Filteransichten gelten für aus dem lokalen AD synchronisierten Gruppen genauso, wie für Gruppen, die direkt in Azure AD angelegt wurden.
Verwalten der angezeigten Spalten für Gruppen in Azure AD.
Über „Filter hinzufügen“ lassen sich wiederum zur Suche nach Gruppen Filter hinterlegen, zum Beispiel bezüglich des Mitgliedschaftstyps, der Quelle oder des Gruppentyps. Auch das hilft bei der Suche nach bestimmten Gruppen. Daher ist auch hier bereits im Vorfeld sinnvoll die Gruppen so optimiert wie möglich anzulegen, damit die Filter optimal eingesetzt werden können. Dabei helfen wiederum Tools wie das erwähnte DynamicSync und auch das IDM-Portal.
Verwenden von Filtern für die Suche nach Gruppen.
Gruppenbenennungsrichtlinien festlegen
Beim Einsatz zahlreicher Gruppen spielen eindeutige Namen eine wichtige Rolle, um die Gruppen zu finden. Gruppen, die direkt in Azure AD angelegt werden, sollten einem vorgegebenen Format bestehen. Außerdem können auch blockierte Wörter verwendet werden, die in den Gruppen nicht vorkommen dürfen. Diese Filter können in der Verwaltung der Gruppen definiert werden und gelten für Gruppen, die direkt in Azure AD angelegt werden.
Wörter definieren, die nicht verwendet werden dürfen
Bei „Gruppenbenennungsrichtlinie“ kann wiederum definiert werden, dass es für Gruppen vorgegebene Präfixe und Suffixe geben muss und wie diese genau aussehen sollen. Zusammen mit den blockierten Wörtern kann dadurch eine gewisse Ordnung erreicht werden, mit denen sich Gruppen in Azure AD effektiver organisieren lassen. Auch diese Einstellungen gelten für Gruppen, die direkt in Azure AD angelegt wurden.
Mit vorgegebenen Präfixen und Suffixen können Gruppen in Azure AD besser organisiert werden.
Gruppen mit Ablaufdatum entfernen
Über den Menüpunkt „Ablaufdatum“ in der Verwaltung der Gruppen kann es sinnvoll sein für manche Gruppen ein Ablaufdatum festzulegen. Nach dem Zeitraum kann die Gruppe aus Azure AD entfernt werden. Wenn eine Gruppe dennoch weiter zum Einsatz kommen soll, kann der Gruppenbesitzer eine Verlängerung beantragen.
Vor dem Ablauf erhält der Gruppenbesitzer eine E-Mail zugestellt. Die hier verwendeten E-Mail-Adressen können direkt bei „E-Mail-Kontakt für Gruppen ohne Besitzer“ definiert werden, wenn es keinen eindeutigen Besitzer gibt. Ist in den Eigenschaften einer Gruppe ein Besitzer hinterlegt, erhält dieser eine E-Mail zugestellt. Besitzer von Gruppen können über den Menüpunkt „Besitzer“ direkt in den Einstellungen der jeweiligen Gruppe vorgegeben werden. Es kann auch mehrere Besitzer für eine Gruppe geben.
Besitzer für Gruppen definieren für eine bessere Verwaltung.
Besitzer können darüber hinaus auch selbst die ihnen zugewiesenen Gruppen verwalten, sodass auf Basis der Vorgaben von Admins immer eine gewisse Ordnung herrscht. In Azure AD ist es nicht immer notwendig, dass sich Admins um die Gruppen kümmern, sondern über die umfangreichen Delegationsmöglichkeiten kann die Pflege direkt an die jeweiligen Verantwortlichen delegiert werden.
IDM-Portal hilft dabei, Azure AD Gruppen zu organisieren
Für eine korrekt ablaufende Synchronisierung und eine unterbrechungsfreie Anmeldung der Benutzer an Active Directory und Azure AD.
Mit dem webbasierten FirstWare IDM-Portal können Unternehmen ihr komplettes Identity Management (IDM) auf Basis von Active Directory zentral, einheitlich, effektiv und vor allem schnell erlernbar durchführen. Hier lassen sich Attribute und Felder wesentlich komfortabler und weniger anfällig vor Fehlern in den Benutzerkonten pflegen. Dadurch werden auch alle wichtigen Informationen zu Azure AD synchronisiert und stehen anschließend hier zur Verfügung. Die weitere Verwaltung kann danach im Portal von Azure erfolgen.
Mit dem FirstWare IDM-Portal werden Benutzer zentralisiert und direkt im AD verwaltet und anschließend in Azure AD in regelmäßigen Intervallen synchronisiert.
Für die richtige Synchronisierung von Gruppen ist dieser Weg ideal, weil auch hier genau gesteuert werden kann, welche Gruppen aus dem AD zu Azure AD synchronisiert werden sollen. Die synchronisierten Gruppen erscheinen in Azure AD und lassen sich in Zukunft dort auch verwalten.
Fazit
In großen Unternehmen kommt es schnell dazu, dass die Anzahl der Gruppen in Azure AD rasant wächst. Wenn es auf einmal zu viele Gruppen in Azure AD gibt, helfen Strategien, mit denen sich die Gruppen besser organisieren lassen:
- Suche und Filtereinstellungen im Azure Portal zum Finden von Objekten
- Festlegung von Benennungsrichtlinien im Azure Portal, um eine gewisse Logik und Struktur hineinzubringen
- Angabe eines Ablaufdatums, wenn möglich
- Nutzung der Gruppen aus dem Active Directory und die Synchronisierung dieser AD Gruppen zu Azure AD
- Dafür ist eine gepflegte Datenbasis mit akkuraten Berechtigungen in AD maßgebend wichtig. Hilfreich ist hier das FirstWare IDM-Portals, welches die zentrale Benutzer- und Gruppenverwaltung im AD übernimmt.
Auch eine intelligente Verknüpfung von dynamischen Gruppen mit Gruppen für Microsoft Teams oder auch Microsoft 365-Gruppen kann sinnvoll sein, da hier Gruppen für mehrere Einsatzgebiete genutzt werden können. Lesen Sie dazu unseren Beitrag „12 Tipps für Azure AD„.
Gerne beraten wir Sie zur Gruppenverwaltung in Azure AD und AD. Als Experten im Bereich Identity & Access Management wissen wir, worauf es bei der Benutzer- und Berechtigungsverwaltung ankommt. Kontaktieren Sie unser freundliches Team.