Ermitteln, Korrigieren und Überwachen von Berechtigungen in Multicloudinfrastrukturen mithilfe von Berechtigungsverwaltungs-APIs (Vorschau)

Microsoft Entra Permissions Management bietet umfassenden Einblick in Berechtigungen, die allen Identitäten in mehreren Cloudinfrastrukturen wie Microsoft Azure, Amazon Web Services (AWS) und Google Cloud Platform (GCP) zugewiesen sind. Die Berechtigungsverwaltungs-APIs in Microsoft Graph bieten die programmgesteuerte Möglichkeit, diese Berechtigungen in Ihrer Multicloudinfrastruktur zu ermitteln, zu verwalten und zu überwachen.

In diesem Artikel werden die Permissions Management-Funktionen vorgestellt, die Sie programmgesteuert über Microsoft Graph verwalten können.

Weitere Informationen zu Permissions Management finden Sie unter What's Microsoft Entra Permissions Management.

Wichtige Anwendungsfälle von Berechtigungsverwaltungs-APIs

Durch die Bereitstellung eines umfassenden Einblicks in Berechtigungen, die allen Identitäten in mehreren Clouds zugewiesen sind, können Sie mithilfe von Berechtigungsverwaltungs-APIs drei wichtige Anwendungsfälle von Microsoft Entra Permissions Management behandeln: Ermitteln, Korrigieren und Überwachen.

Autorisierungssysteme

Ein Autorisierungssystem ist eine Plattform, die Identitäten und Ressourcen enthält. Es macht Berechtigungen verfügbar, die steuern, auf welche Ressourcen eine Identität Zugriff hat und welche Aktionen sie ausführen kann.

Verwenden Sie den Ressourcentyp authorizationSystem und die zugehörigen Methoden, um die Autorisierungssysteme zu ermitteln, die in Permissions Management integriert sind, und deren Details. Derzeit unterstützt Permissions Management Microsoft Azure, AWS und GCP.

In den folgenden wichtigen API-Szenarien können Sie Details für Autorisierungssysteme abrufen.

Beschreibung	APIs
Abrufen von Autorisierungssystemen	AuthorizationSystems auflisten
Abrufen von Details zu einem AWS-Autorisierungssystem	AwsAuthorizationSystems auflisten
Abrufen von Details zu einem Azure-Autorisierungssystem	Auflisten von azureAuthorizationSystems
Abrufen von Details zu einem GCP-Autorisierungssystem	Auflisten von gcpAuthorizationSystems

Hier finden Sie die Kurzübersicht zu API-Vorgängen für AWS-Autorisierungssysteme, Azure-Autorisierungssysteme und GCP-Autorisierungssysteme.

Autorisierungssystembestand

Jedes Autorisierungssystem verfügt über einen definierten Satz von Objekten, die die Funktionen des Autorisierungssystems bilden. Beispielsweise Identitäten wie Benutzer und Dienstkonten oder Aktionen und Ressourcen.

In den folgenden wichtigen API-Szenarien können Sie den Bestand für Autorisierungssysteme abrufen.

Beschreibung	APIs
Auflisten aller Identitäten in einem Autorisierungssystem	Auflisten aller AWS-Identitäten Auflisten aller Azure-Identitäten Auflisten aller GCP-Identitäten
Auflisten von Identitätstypen in bestimmten Autorisierungssystemen	Auflisten von Rollen und Benutzern in AWS Auflisten verwalteter Identitäten, Benutzer und Dienstprinzipale in Azure Auflisten von Benutzern und Dienstkonten in GCP
Sonstiges Inventar	Auflisten von Aktionen, Richtlinien, Ressourcen und Diensten in AWS Auflisten von Aktionen, Ressourcen, Rollendefinitionen und Diensten in Azure Auflisten von Aktionen, Ressourcen, Rollen und Diensten in GCP

Berechtigungsanforderungen

Identitäten können Berechtigungen für Aktionen und Ressourcen in einem Autorisierungssystem anfordern. Die Funktionen für Berechtigungsanforderungen ermöglichen es Anrufern, Berechtigungen für sich selbst oder im Namen einer anderen Identität anzufordern, und andere Identitäten können die Anforderungen genehmigen, ablehnen oder abbrechen.

In den folgenden wichtigen API-Szenarien können Sie Bedarfsgesteuerte Berechtigungen implementieren.

Szenarien	API
Anfordern von Berechtigungen; Erteilen oder Ablehnen einer Anforderung	Erstellen von scheduledPermissionsRequest
Abbrechen einer Berechtigungsanforderung	scheduledPermissionsRequest: cancelAll
Nachverfolgen von Berechtigungsanforderungen und deren status	Berechtigungen AuflistenRequestChanges

Berechtigungsanalyse

Mithilfe der Berechtigungsanalyse-APIs hilft Ihnen Permissions Management dabei, Das Berechtigungsrisiko in Identitäten und Ressourcen für Ihre Autorisierungssysteme zu ermitteln. Sie können diese Ergebnisse verwenden, um Anwendungsfälle wie die folgenden zu automatisieren:

• Erstellen von Dashboards
• Auslösen einer Risikoüberprüfung
• Priorisieren von Korrekturen
• Generieren von Tickets

Die folgenden Beispielergebnisse sind über die APIs verfügbar:

Finden	API für Beispielszenarien
Inaktive Identitäten: Identitäten, die in den letzten 90 Tagen keine ihrer erteilten Berechtigungen verwendet haben.	Inaktive Benutzer über mehrere Autorisierungssysteme hinweg Inaktive serverlose Funktionen über mehrere Autorisierungssysteme hinweg Inaktive Azure-Dienstprinzipale Inaktive GCP-Dienstkonten Inaktive AWS-Rollen Inaktive AWS-Ressourcen wie ec2
Inaktive Gruppen: Keine Identität hat die über die Gruppe zugewiesenen Berechtigungen in den letzten 90 Tagen genutzt.	Inaktive Gruppen über mehrere Autorisierungssysteme hinweg
Superidentitäten: Berechtigungen auf Administratorebene im gesamten Autorisierungssystem. Diese Identitäten können alle Ressourcen im Autorisierungssystem verwalten.	Übergeordnete Benutzer über mehrere Autorisierungssysteme hinweg Superserverlose Funktionen über mehrere Autorisierungssysteme hinweg Super Azure-Dienstprinzipale Super GCP-Dienstkonten Super AWS-Rollen Super AWS-Ressourcen wie ec2

Weitere Ergebnisse sind:

• Ressourcenbasierte Ergebnisse: Beispielsweise Azure-Blobcontainer, S3-Buckets und Speicherbuckets, auf die öffentlich zugegriffen werden kann; Offene Netzwerksicherheitsgruppen; und Identitäten, die auf Geheiminformationen zugreifen oder Sicherheitstools verwenden können
• Überdimensionierte Benutzer, Rollen, Ressourcen, Dienstprinzipale und Dienstkonten
• Benutzer mit nicht erzwungener mehrstufiger Authentifizierung in AWS
• Möglichkeiten für die Rechteausweitung
• Alter und Nutzung des AWS-Zugriffsschlüssels

---

Zero Trust

Dieses Feature hilft Organisationen, ihre Identitäten an den drei Leitprinzipien einer Zero Trust-Architektur auszurichten:

• Explizit verifizieren
• Verwenden der geringsten Rechte
• Gehe von einem Verstoß aus

Weitere Informationen zu Zero Trust und anderen Möglichkeiten, Ihre organization an den Leitprinzipien auszurichten, finden Sie im Zero Trust Guidance Center.

---

Berechtigungen und Berechtigungen

Zum Aufrufen der Berechtigungsverwaltungs-APIs benötigt der Aufrufer keine Microsoft Graph-Berechtigungen. Sie müssen jedoch über die entsprechenden Berechtigungen im Microsoft Entra Mandanten und im externen System verfügen.

Weitere Informationen finden Sie unter Permissions Management-Rollen und Berechtigungsstufen.

Verwandte Inhalte

• Was ist Microsoft Entra Permissions Management
• Schnellstartanleitung zum Microsoft Entra Permissions Management
• Referenz zu Microsoft Entra Permissions Management-Vorgängen
• Microsoft Entra Kurzreferenzen zu Vorgängen der Berechtigungsverwaltungs-API:
  • Für AWS-Autorisierungssysteme
  • Für Azure-Autorisierungssysteme
  • Für GCP-Autorisierungssysteme