SicherheitsverwaltungsgruppenSecurity management groups

Mithilfe von Verwaltungsgruppen können Sie Ressourcen über mehrere Abonnements hinweg konsistent und effizient verwalten.Management groups can manage resources across multiple subscriptions consistently and efficiently. Ihr Entwurf kann jedoch aufgrund seiner Flexibilität schnell komplex werden und dadurch die Sicherheit und den Betrieb beeinträchtigen.However, due to its flexibility, your design can become complex and compromise security and operations.

Die Empfehlungen in diesem Artikel basieren auf einem Beispielreferenzmodell.The recommendations in this article are based on an example reference model. Beginnen Sie mit diesem Modell, und passen Sie es an die Anforderungen Ihrer Organisation an.Start with this model and adapt it to your organization’s needs. Weitere Informationen finden Sie unter Strategie der Unternehmenssegmentierung.For more information, see Enterprise segmentation strategy.

Unterstützen der Segmentierungsstrategie mit VerwaltungsgruppenSupport your segmentation strategy with management groups

Es wird empfohlen, die oberste Ebene von Verwaltungsgruppen mit einer einfachen Segmentierungsstrategie für das Unternehmen abzugleichen und sich auf höchstens zwei Ebenen zu beschränken.It's recommended that you align the top level of management groups into a simple enterprise segmentation strategy and limit the levels to no more than two.

In der Beispielreferenz gibt es unternehmensweite Ressourcen, die von allen Segmenten verwendet werden, einige Kerndienste, die Dienste gemeinsam nutzen, und zusätzliche Segmente für die einzelnen Workloads.In the example reference, there are enterprise-wide resources used by all segments, a set of core services that share services, additional segments for each workload.

Kerndienste

Segmentdienste

Ein möglicher Ansatz für das vorherige Beispiel besteht darin, diese Verwaltungsgruppen zu verwenden:For the preceding example, an approach is to use these management groups:

  • Stammverwaltungsgruppe für unternehmensweite Ressourcen.Root management group for enterprise-wide resources.

    Verwenden Sie die Stammverwaltungsgruppe, um Identitäten einzubeziehen, die in der Lage sein müssen, Richtlinien auf jede Ressource anzuwenden.Use the root management group to include identities that have the requirement to apply policies across every resource. Dies gilt z. B. für gesetzliche Anforderungen, wie Einschränkungen im Zusammenhang mit der Datenhoheit.For example, regulatory requirements, such as restrictions related to data sovereignty. Diese Gruppe darf Richtlinien, Berechtigungen und Tags auf alle Abonnements anwenden.This group is effective in by applying policies, permissions, tags, across all subscriptions.

  • Verwaltungsgruppe für jedes Workloadsegment.Management group for each workload segment.

    Verwenden Sie eine separate Verwaltungsgruppe für Teams mit eingeschränktem Zuständigkeitsbereich.Use a separate management group for teams with limited scope of responsibility. Diese Gruppe ist in der Regel erforderlich, um Organisationsgrenzen oder gesetzlichen Anforderungen umzusetzen.This group is typically required because of organizational boundaries or regulatory requirements.

  • Stamm- oder Segmentverwaltungsgruppe für die Kerndienste.Root or segment management group for the core set of services.

Achtung

Gehen Sie bei der Verwendung der Stammverwaltungsgruppe vorsichtig vor, da die Richtlinien für alle Azure-Ressourcen gelten können und möglicherweise Downtime oder andere negative Auswirkungen verursachen.Be careful when using the root management group because the policies can affect all resources on Azure and potentially cause downtime or other negative impacts. Weitere Informationen finden Sie weiter unten in diesem Artikel unter Sorgfältiges Verwenden der Stammverwaltungsgruppe.For considerations, see Use root management group with caution later in this article.

Umfassende Hinweise zur Verwendung von Verwaltungsgruppen in einem Unternehmen finden Sie unter CAF: Organisation von Verwaltungsgruppen und Abonnements.For complete guidance about using management groups for an enterprise, see CAF: Management group and subscription organization.

Azure-RollenzuweisungAzure role assignment

Erteilen Sie den Rollen die erforderlichen Berechtigungen. Beginnen Sie dabei mit den geringsten Berechtigungen, und fügen Sie je nach betrieblichen Anforderungen weitere hinzu.Grant roles the appropriate permissions that start with least privilege and add more based your operational needs. Geben Sie Ihren technischen Teams klare Anweisungen für die Implementierung der Berechtigungen.Provide clear guidance to your technical teams that implement permissions. Diese Klarheit vereinfacht das Erkennen und Korrigieren menschlicher Fehler, z. B. zu hoher Berechtigungen.This clarity makes it easier to detect and correct that reduces human errors such as overpermissioning.

  • Weisen Sie der Verwaltungsgruppe Berechtigungen für das Segment und nicht für einzelne Abonnements zu.Assign permissions at management group for the segment rather than the individual subscriptions. Damit fördern Sie die Konsistenz und stellen sicher, dass sie auch auf zukünftige Abonnements angewandt werden kann.This will drive consistency and ensure application to future subscriptions.

  • Erwägen Sie die integrierten Rollen, bevor Sie benutzerdefinierte Rollen erstellen, um VMs und anderen Objekten die geeigneten Berechtigungen zu gewähren.Consider the built-in roles before creating custom roles to grant the appropriate permissions to VMs and other objects.

  • Eine Mitgliedschaft in der Gruppe Sicherheits-Manager kann für kleinere Teams/Organisationen geeignet sein, in denen Sicherheitsteams über umfassende operative Zuständigkeiten verfügen.Security managers group membership may be appropriate for smaller teams/organizations where security teams have extensive operational responsibilities.

Wenn Sie Berechtigungen für ein Segment zuweisen, sollten Sie die Konsistenz im Blick behalten, aber gleichzeitig ausreichende Flexibilität für verschiedene Organisationsmodelle zulassen.When assigning permissions for a segment, consider consistency while allowing flexibility to accommodate several organizational models. Diese Modelle können einen sehr variablen Umfang haben, von einer einzelnen zentralen IT-Gruppe bis hin zu überwiegend unabhängigen IT- und DevOps-Teams.These models can range from a single centralized IT group to mostly independent IT and DevOps teams.

Im Referenzmodell sind mehrere Gruppen für Kerndienste und Workloadsegmente zugewiesen.The reference model has several groups assigned for core services and workload segments. Im Folgenden finden Sie einige weitere Überlegungen zum Zuweisen von Berechtigungen für allgemeine Teams in diesen Segmenten.Here are some other considerations when assigning permissions for the common teams across those segments.

Transparenz für das SicherheitsteamSecurity team's visibility

Erteilen Sie für alle technischen Umgebungen schreibgeschützten Zugriff auf Sicherheitsattribute.Grant read-only access to security attributes for all technical environments. Weisen Sie Sicherheitsteams die Berechtigung Sicherheitsleseberechtigte zu. Damit erhalten sie den erforderlichen Zugriff zur Bewertung von Risikofaktoren und zum Erkennen potenzieller Entschärfungen, aber keinen Zugriff auf die Daten.Assign security teams with the Security Readers permission that provides access needed to assess risk factors, identify potential mitigations, without providing access to the data.

Sie können diese Berechtigung wie folgt zuweisen:You can assign this permission by using:

  • Stammverwaltungsgruppe: für Teams, die für die Bewertung und Berichterstellung zu Risiken für alle Ressourcen zuständig sind.Root management group – for teams responsible for assessing and reporting risk on all resources.
  • Segmentverwaltungsgruppen: für Teams mit eingeschränktem Zuständigkeitsbereich.Segment management group(s) – for teams with limited scope of responsibility. Diese Gruppe ist in der Regel erforderlich, um Organisationsgrenzen oder gesetzlichen Anforderungen umzusetzen.This group is typically required because of organizational boundaries or regulatory requirements.

Wichtig

Behandeln Sie Sicherheitsteams als Konten mit kritischen Auswirkungen, und wenden Sie dieselben Schutzmaßnahmen wie bei Administratoren an.Treat security teams as critical impact accounts and apply the same protections as administrators.

Richtlinienverwaltung über einige oder alle Ressourcen hinwegPolicy management across some or all resources

Weisen Sie den Rollen, die die Compliance mit externen (oder internen) Vorschriften, Standards und Sicherheitsrichtlinien überwachen und erzwingen, die entsprechenden Berechtigungen zu.Assign appropriate permission to roles that monitor and enforce compliance with external (or internal) regulations, standards, and security policy. Welche Rollen und Berechtigungen Sie auswählen, richtet sich nach der Organisationskultur und den Erwartungen an das Richtlinienprogramm.The roles and permissions you choose will depend on the organizational culture and expectations of the policy program.

Im Referenzmodell wird den Rollen, die für die Richtlinienverwaltung verantwortlich sind, die Berechtigungen Mitwirkender mit Leseberechtigung zugewiesen.The reference model assigns Read Contributor permissions to roles related to policy management.

Zentrale IT-Vorgänge über alle Ressourcen hinwegCentral IT operations across all resources

Erteilen Sie der zentralen IT-Abteilung (häufig das Infrastrukturteam) Berechtigungen zum Erstellen, Ändern und Löschen von Ressourcen wie virtuellen Computern und Speicher.Grant permissions to the central IT department (often the infrastructure team) to create, modify, and delete resources like virtual machines and storage. Die Rollen Mitwirkender und Besitzer eignen sich für diese Funktion.Contributor or Owner roles are appropriate for this function.

Zentrale Netzwerkgruppe über Netzwerkressourcen hinwegCentral networking group across network resources

Weisen Sie die Zuständigkeit für Netzwerkressourcen einer einzelnen zentralen Netzwerkorganisation zu.Assign network resource responsibilities to a single central networking organization. Die Rolle Mitwirkender von virtuellem Netzwerk eignet sich für diese Gruppe.The Network Contributor role is appropriate for this group.

IT-Vorgänge über alle Ressourcen hinwegIT Operations across all resources

Gewähren Sie Berechtigungen zum Erstellen, Ändern und Löschen von Ressourcen in einem Segment.Grant permission to create, modify, and delete resources that belong to a segment. Der Zweck des Segments (und die resultierenden Berechtigungen) hängt von ihrer Organisationsstruktur ab.The purpose of the segment (and resulting permissions) will depend on your organization structure.

  • Segmente mit Ressourcen, die von einer zentralen IT-Organisation verwaltet werden, können der zentralen IT-Abteilung (häufig das Infrastrukturteam) die Berechtigung zum Ändern dieser Ressourcen erteilen.Segments with resources managed by a centralized IT organization can grant the central IT department (often the infrastructure team) permission to modify these resources.
  • Segmente, die von unabhängigen Geschäftseinheiten oder -funktionen (z.B. einem Personal-IT-Team) verwaltet werden, können diesen Teams die Berechtigung für alle Ressourcen im Segment erteilen.Segments managed by independent business units or functions (such as a Human Resources IT Team) can grant those teams permission to all resources in the segment.
  • Segmente mit autonomen DevOps-Teams müssen keine Berechtigungen für alle Ressourcen erteilen, da die Ressourcenrolle (unten) Berechtigungen für Anwendungsteams erteilt.Segments with autonomous DevOps teams don’t need to grant permissions across all resources because the resource role (below) grants permissions to application teams. Verwenden Sie für Notfälle das Dienstadministratorkonto (Notfallkonto).For emergencies, use the service admin account (break-glass account).

Berechtigungen für RessourcenrollenResource role permissions

Für die meisten Kerndienste werden Administratorrechte, die für die Verwaltung erforderlich sind, über die Anwendung selbst gewährt (Active Directory, DNS/DHCP, Systemverwaltungstools), sodass keine zusätzlichen Azure-Ressourcenberechtigungen erforderlich sind.For most core services, administrative privileges required to manage them are granted through the application (Active Directory, DNS/DHCP, System Management Tools), so no additional Azure resource permissions are required. Wenn Ihr Organisationsmodell erfordert, dass diese Teams ihre eigenen VMs, den Speicher oder andere Azure-Ressourcen verwalten, können Sie diesen Rollen diese Berechtigungen zuweisen.If your organizational model requires these teams to manage their own VMs, storage, or other Azure resources, you can assign these permissions to those roles.

Workloadsegmente mit autonomen DevOps-Teams verwalten die Ressourcen, die den einzelnen Anwendungen zugeordnet sind.Workload segments with autonomous DevOps teams will manage the resources associated with each application. Die tatsächlichen Rollen und ihre Berechtigungen hängen von der Größe und Komplexität der Anwendung, der Größe und Komplexität des Anwendungsteams sowie der Kultur der Organisation und des Anwendungsteams ab.The actual roles and their permissions depend on the application size and complexity, the application team size and complexity, and the culture of the organization and application team.

NotfallkontoBreak-glass account

Verwenden Sie die Rolle Dienstadministrator nur für Notfälle und für die anfängliche Einrichtung.Use the Service Administrator role only for emergencies and initial setup. Verwenden Sie diese Rolle nicht für alltägliche Aufgaben.Do not use this role for daily tasks.

Sorgfältiges Verwenden der StammverwaltungsgruppeUse root management group with caution

Mit der Stammverwaltungsgruppe können Sie Konsistenz im gesamten Unternehmen sicherstellen, indem Richtlinien, Berechtigungen und Tags auf alle Abonnements angewandt werden.Use the root management group to drive consistency across the enterprise by applying policies, permissions, tags, across all subscriptions. Diese Gruppe kann sich auf alle Ressourcen in Azure auswirken und potenziell zu Ausfallzeiten oder anderen Beeinträchtigungen führen.This group can affect every all resources on Azure and potentially cause downtime or other negative impacts.

Wählen Sie unternehmensweite Identitäten aus, für die die eindeutige Anforderung gilt, dass sie auf alle Ressourcen angewandt werden.Select enterprise-wide identities that have a clear requirement to be applied across all resources. Diese Anforderungen können gesetzlichen Gründe haben.These requirements could be for regulatory reasons. Wählen Sie außerdem Identitäten aus, die nahezu keine negativen Auswirkungen auf den Betrieb haben.Also, select identities that have near-zero negative impact on operations. Dies sind z. B. Richtlinien, die eine Überwachung erzwingen, Tagzuweisungen oder Zuweisungen von Azure RBAC-Berechtigungen, die sorgfältig geprüft wurden.For example, policy with audit effect, tag assignment, Azure RBAC permissions assignments that have been carefully reviewed.

Verwenden Sie einen dedizierten Dienstprinzipalnamen (SPN), um Verwaltungsvorgänge für Verwaltungsgruppen, Verwaltungsvorgänge für Abonnements und die Rollenzuweisung auszuführen.Use a dedicated service principal name (SPN) to execute management group management operations, subscription management operations, and role assignment. Ein SPN reduziert die Anzahl der Benutzer mit erhöhten Berechtigungen und sorgt für die Einhaltung der Richtlinien für geringstmöglichen Berechtigungen.SPN reduces the number of users who have elevated rights and follows least-privilege guidelines. Weisen Sie die Rolle Benutzerzugriffsadministrator im Bereich der Stammverwaltungsgruppe (/) zu, um dem SPN den zuvor genannten Zugriff auf der Stammebene zu gewähren.Assign the User Access Administrator at the root management group scope (/) to grant the SPN just mentioned access at the root level. Nachdem dem SPN Berechtigungen erteilt wurden, kann die Rolle Benutzerzugriffsadministrator sicher entfernt werden.After the SPN is granted permissions, the User Access Administrator role can be safely removed. Auf diese Weise ist nur der SPN Teil der Rolle Benutzerzugriffsadministrator.In this way, only the SPN is part of the User Access Administrator role.

Weisen Sie dem SPN die Berechtigung Mitwirkender zu. Diese Berechtigung erlaubt Vorgänge auf Mandantenebene.Assign Contributor permission to the SPN, which allows tenant-level operations. Mit dieser Berechtigungsstufe wird sichergestellt, dass der SPN zum Bereitstellen und Verwalten von Ressourcen für ein beliebiges Abonnement in Ihrer Organisation verwendet werden kann.This permission level ensures that the SPN can be used to deploy and manage resources to any subscription within your organization.

Beschränken Sie die Anzahl der Azure Policy-Zuweisungen, die im Bereich der Stammverwaltungsgruppe (/) vorgenommen werden.Limit the number of Azure Policy assignments made at the root management group scope (/). Durch diese Einschränkung wird das Debuggen geerbter Richtlinien in Verwaltungsgruppen auf niedrigeren Ebenen minimiert.This limitation minimizes debugging inherited policies in lower-level management groups.

Erstellen Sie keine Abonnements unter der Stammverwaltungsgruppe.Don't create any subscriptions under the root management group. Mithilfe dieser Hierarchie wird sichergestellt, dass Abonnements nicht nur den kleinen Teil der Azure-Richtlinien erben, die der Verwaltungsgruppe auf der Stammebene zugewiesen sind, wobei es sich nicht um einen vollständigen Satz handelt, der für eine Workload erforderlich ist.This hierarchy ensures that subscriptions don't only inherit the small set of Azure policies assigned at the root-level management group, which don't represent a full set necessary for a workload.

Wichtig

Testen Sie alle unternehmensweiten Änderungen an der Stammverwaltungsgruppe, bevor Sie sie übernehmen (von Richtlinien, Tags, einem Azure RBAC-Modell usw.).Test all enterprise-wide changes on the root management group before applying (policy, tags, Azure RBAC model, and so on). Sie können ein Testlab verwenden.You can use a test lab. Dies kann ein repräsentativer Labmandant oder ein Labsegment im Produktionsmandanten sein.This can be representative lab tenant or lab segment in production tenant. Eine andere Möglichkeit stellt ein Pilotprojekt in der Produktion dar.Another option is to use a production pilot. Dabei kann es sich um eine Segmentverwaltungsgruppe oder eine Teilmenge der Verwaltungsgruppe in den Abonnements handeln.This can be a segment management group or designated subset in subscription(s) management group. Überprüfen Sie die Änderungen, um sicherzustellen, dass die Anforderungen den gewünschten Effekt haben.Validate changes to make sure the requirements have the desired effect.