Verschachtelte AD Gruppen in Entra ID synchronisieren
Verschachtelte AD Gruppen in die Cloud zu synchronisieren, ist jetzt möglich. Aber Vorsicht, auf einige Punkte sollten Sie achten. In vielen Umgebungen kommen lokale AD-Gesamtstrukturen zum Einsatz und gleichzeitig Entra ID. Findet eine Synchronisierung der Benutzerkonten und Gruppen statt, wird es schnell kompliziert.
Es entstehen Sicherheitslücken, wenn Benutzer zum Beispiel noch Mitglieder in Gruppen sind, für die sie keinen Zugriff benötigen. Die richtige Planung und passende Zusatzlösungen können solche Probleme aber vermeiden und die Pflege von Gruppen deutlich vereinfachen.
Index
Was sind verschachtelte Gruppen und wozu braucht man sie?
Verschachtelte Gruppen sind, seit es Windows-Domänen gibt, ein wichtiges Mittel, um Berechtigungen in Domänen und in Active Directory zu steuern. Wenn eine Gruppe von Mitarbeitern gemeinsame Berechtigungen benötigt, macht es Sinn, diese in einer gemeinsamen Gruppe zu sammeln. Gibt es innerhalb dieser Gruppen aber weitere Mitarbeiter, die zusätzliche Rechte benötigen, macht es Sinn auch diese Mitarbeiter in einer Gruppe aufzunehmen, und diese unterhalb einer anderen Gruppe unterzuordnen.
Durch die Untergliederung der neuen Gruppe zur bisher vorhandenen Gruppe erhalten die Mitarbeiter ebenfalls alle Rechte der übergeordneten Gruppe. Dies
- vermeidet doppelte Konfigurationen,
- erleichtert die Einrichtung und
- sorgt für mehr Ordnung bei der Vergabe von Berechtigungen.
Besonderheiten von verschachtelten AD Gruppen
Verschachtelte Gruppen haben in Active Directory verschiedene Möglichkeiten und Bezeichnungen:
(Domänen)-Lokale Gruppen werden für die Zusammenfassung von globalen Gruppen oder in Ausnahmefällen direkt von Benutzern in Domänen oder auf einzelnen Servern eingesetzt. Lokale Gruppen können daher für Berechtigungen auf einem lokalen Server oder innerhalb einer AD-Domäne genutzt werden.
Aus lokalen Gruppen werden in einem Active Directory automatisch domänenlokale Gruppen. Der Unterschied besteht darin, dass diese Gruppen einheitlich auf allen Mitgliedssystemen der Domäne zu sehen sind. Der Vorteil ist, dass damit eine lokale Gruppe nur einmal pro Domäne definiert werden muss. Diese Gruppe kann verschiedene globale Gruppen enthalten, die für Ressourcen auf den jeweiligen Servern Zugriff erhalten.
Globale Gruppen sind in der kompletten Gesamtstruktur sicht- und verwendbar, können aber nur Mitglieder aus der eigenen Domäne enthalten. Globale Gruppen können aber dafür Mitglied von lokalen und universalen Gruppen sein. Sie können globale Gruppen zudem verschachteln, also andere globale Gruppen in eine übergeordnete Gruppe aufnehmen. Dadurch lassen sich flexible Berechtigungsmodelle aufbauen.
Zusätzlich gibt es noch universale Gruppen. Alle Informationen über Zugehörigkeiten zu universalen Gruppen sind auf den globalen Katalogservern in Active Directory gespeichert. Universale Gruppen sind in allen Domänen der Gesamtstruktur verfügbar und können Mitglieder aus allen Domänen enthalten. Durch diese verschiedenen Gruppeneigenschaften können Sie unterschiedliche Einsatzszenarien abbilden und sehr flexible Berechtigungsstrukturen aufbauen.
Besonderheiten von verschachtelten Gruppen in Entra ID
Unterschiede zwischen Verschachtelungen in Entra ID und AD
In Azure Active Directory (Azure AD)/Entra ID ist es generell ebenfalls möglich, Gruppen zu verschachteln. Das bedeutet, dass Sie eine Gruppe als Mitglied einer anderen Gruppe hinzufügen können. Diese Funktionalität kann sehr nützlich sein, um die Verwaltung von Benutzern und den Zugriff auf Ressourcen zu vereinfachen, genauso wie in Active Directory.
Allerdings funktionieren verschachtelte Gruppen in Entra ID nicht genauso wie in Active Directory. Es gibt keine lokalen, universalen und globalen Gruppen mit ihren verschiedenen Möglichkeiten. In Entra ID gibt es nur Gruppen. Diese Gruppen können Mitglied anderer Gruppen sein.
Wenn eine Gruppe eine andere Gruppe als Mitglied hat, erben alle Mitglieder der untergeordneten Gruppe die Zugriffsrechte und Rollenzuweisungen der übergeordneten Gruppe. Das funktioniert genauso, wie in Active Directory, nur ohne die Unterscheidung zwischen lokalen, globalen und universalen Gruppen. Diese Unterscheidung gibt es in Entra ID nicht.
Beispielsweise könnten Sie eine übergeordnete Gruppe mit dem Namen „Paris“ haben und darunter mehrere untergeordnete Gruppen für verschiedene Abteilungen wie „Marketing“ und „Vertrieb“. Jede dieser untergeordneten Gruppen erbt die Zugriffsrechte und Rollenzuweisungen der übergeordneten Gruppe „Paris“. Parallel können Sie den Mitgliedern der untergeordneten Gruppen weitere Rechte zuteilen, die nur für die Mitglieder dieser Gruppe gelten.
Einschränkungen bei der Verschachtelung von Gruppen in Entra ID
Beachten Sie jedoch, dass es einige Einschränkungen bei der Verschachtelung von Gruppen gibt. Zum Beispiel unterstützen Sicherheitsgruppen in Entra ID die Verschachtelung, während dies bei Microsoft 365-Gruppen nicht der Fall ist.
Darüber hinaus sind für bestimmte Arten von Ressourcen, wie zum Beispiel Unternehmensanwendungen, spezielle Konfigurationen erforderlich, um die Verschachtelung von Gruppen zu unterstützen. Daher ist es wichtig, die spezifischen Anforderungen und Einschränkungen für die Verschachtelung von Gruppen in Ihrer Umgebung zu verstehen und zu beachten, wie Sie die Rechte auf Basis der einzelnen Gruppen vergeben.
Microsoft bringt jedoch regelmäßig neue Releases heraus. Hier finden Sie eine detailliertere Auflistung, was mit Gruppen in Entra ID möglich ist und was nicht: Dienstgrenzwerte und Einschränkungen – Microsoft Entra ID | Microsoft Learn
So synchronisiert man verschachtelte AD Gruppen in Entra ID
Verschachtelte AD Gruppen synchronisieren sich in Entra ID via Azure AD Connect. Dabei übernimmt Azure AD Connect die lokalen Gruppen zu Gruppen in Entra ID. Diese Gruppen lassen sich dann für das Zuweisen von Berechtigungen nutzen. Die Vorgehensweise dazu erklären wir in den Beträgen „Azure AD Connect installieren“ und „Azure AD Connect und Azure AD Connect Cloud Sync“. Für das Synchronisieren von verschachtelten AD Gruppen ist keine Auflösung der Gruppen nötig.
Für die Angleichung der Synchronisierung von Gruppenmitgliedschaften aus Gruppen in Active Directory mit Entra ID bietet es sich an, auf die beiden Tools DynamicGroup und DynamicSync zu setzen. Damit ist es wesentlich effektiver, Gruppenmitgliedschaften zu steuern, vor allem bei der Synchronisierung zwischen AD und Entra ID.
Verschachtelte Gruppen hybrid nutzen: DynamicGroup und DynamicSync
Kommen Gruppen im lokalen AD und in Entra ID zum Einsatz, und müssen auch noch AD Gruppen in Entra ID synchronisiert werden, wird die Verwaltung schnell kompliziert. Eine schwierige Verwaltung kann bedeuten: Zeitverlust und Risiken.
DynamicGroup hat den Vorteil, dass sich Unternehmen vom komplizierten Konzept der verschiedenen Gruppentypen in AD verabschieden können. DynamicGroup kann die Verwaltung der Mitgliedschaften in Gruppen automatisieren, indem diese dynamisch auf Basis von Attributen erfolgt. Das spart einiges an Konfigurations- und auch Planungsarbeit ein.
Bei der zusätzlichen Nutzung von Entra ID wird der Einsatz von DynamicGroup und DynamicSync sogar noch praktischer. Denn in diesem Fall kann DynamicGroup dafür sorgen, dass die Gruppenmitgliedschaften nicht nur in Active Directory, sondern parallel noch in Entra ID über dynamische Gruppenmitgliedschaften gepflegt werden.
Damit automatisiert sich die Verwaltung der Gruppen in hybriden Umgebungen. Der Einsatz beider Tools bringt den Vorteil, dass die Gruppenmitgliedschaften immer passen. DynamicSync sorgt dafür, dass lokale AD Gruppen in Entra ID weiterverwendet werden können. Es maximiert die Sicherheit in der kompletten Umgebung, sorgt für mehr Flexibilität und eine einfachere Verwaltung.
Im Beitrag “So verknüpfen Sie Azure AD, Microsoft 365 und MS Teams” sind die Möglichkeiten der beiden Dienste zu finden, die das Leben von Administratoren in hybriden Umgebungen enorm erleichtern können.
Über die FirstAttribute AG
Die FirstAttribute ist ein unabhängiges Cloud Service- und Software-Unternehmen mit Schwerpunkt Identity & Access Management (IAM) für AD und M365/Entra ID. Sie erfahren mehr über unser Team unter Unternehmen.
DynamicGroup ist seit vielen Jahren ein beliebtes Tool für AD Administratoren, um Gruppenmitgliedschaften im AD koordiniert und sicher zu verwalten. Die Anwendung ist weltweit bei Unternehmen unterschiedlichster Branchen im Einsatz. Kontinuierliche Updates sorgen dafür, dass die Anwendung den wachsenden Anforderungen in der IT gerecht bleibt und genau das tut, was sie verspricht.
DynamicSync ist eine Automatisierungs-Software für Cloud-Gruppen. Als reiner Cloud-Dienst (SaaS) spezialisiert sich DynamicSync auf dynamische und automatische Gruppen-Synchronisierungen in Entra ID.