Gruppen in Entra ID richtig organisieren, da es keine OUs gibt
Daher sollten sich Verantwortliche frühzeitig darüber Gedanken machen, wie sich die Gruppen am besten organisieren lassen und wie viele Gruppen in Entra ID überhaupt notwendig sind. Prinzipiell gibt es kein Maximum an Gruppen, welches angelegt werden kann. Das Maximum liegt an der Organisation. Wir zeigen nachfolgend was machbar ist, um die Ordnung zu erhalten.
Index
Entra ID Gruppen im Portal suchen und anzeigen
Die Gruppen in Entra ID werden direkt im Azure-Portal verwaltet, das gilt auch für die aus dem lokalen AD synchronisierten Gruppen. Bei „Entra ID“ ist dazu der Bereich „Gruppen“ zu finden. Hier zeigt das Portal zunächst alle Gruppen an.
Verwalten von Benutzergruppen in Entra ID-Portal
Im Suchfeld kann nach einzelnen Gruppen gesucht werden. Über den Schieberegler bei „Suchmodus“ kann zwischen „Enthält“ und „Beginnt mit“ umgeschaltet werden. Das erleichtert die Suche nach Gruppen. Für die Organisation der Gruppen spielt an dieser Stelle auch die Schaltfläche „Spalten“ eine wichtige Rolle. Hier kann ausgewählt werden welche Spalten im Azure-Portal angezeigt werden sollen. Auch dadurch kann die Anzeige optimiert werden, für eine bessere Ansicht der verschiedenen Informationen. Diese Filteransichten gelten für aus dem lokalen AD synchronisierten Gruppen genauso, wie für Gruppen, die direkt in Entra ID angelegt wurden.
Verwalten der angezeigten Spalten für Gruppen in Entra ID.
Über „Filter hinzufügen“ lassen sich wiederum zur Suche nach Gruppen Filter hinterlegen, zum Beispiel bezüglich des Mitgliedschaftstyps, der Quelle oder des Gruppentyps. Auch das hilft bei der Suche nach bestimmten Gruppen. Daher ist auch hier bereits im Vorfeld sinnvoll die Gruppen so optimiert wie möglich anzulegen, damit die Filter optimal eingesetzt werden können. Dabei helfen wiederum Tools wie das erwähnte DynamicSync und auch das IDM-Portal.
Verwenden von Filtern für die Suche nach Gruppen.
Gruppenbenennungsrichtlinien festlegen
Beim Einsatz zahlreicher Gruppen spielen eindeutige Namen eine wichtige Rolle, um die Gruppen zu finden. Gruppen, die direkt in Entra ID angelegt werden, sollten einem vorgegebenen Format bestehen. Außerdem können auch blockierte Wörter verwendet werden, die in den Gruppen nicht vorkommen dürfen. Diese Filter können in der Verwaltung der Gruppen definiert werden und gelten für Gruppen, die direkt in Entra ID angelegt werden.
Wörter definieren, die nicht verwendet werden dürfen
Bei „Gruppenbenennungsrichtlinie“ kann wiederum definiert werden, dass es für Gruppen vorgegebene Präfixe und Suffixe geben muss und wie diese genau aussehen sollen. Zusammen mit den blockierten Wörtern kann dadurch eine gewisse Ordnung erreicht werden, mit denen sich Gruppen in Entra ID effektiver organisieren lassen. Auch diese Einstellungen gelten für Gruppen, die direkt in Entra ID angelegt wurden.
Mit vorgegebenen Präfixen und Suffixen können Gruppen in Entra ID besser organisiert werden.
Gruppen mit Ablaufdatum entfernen
Über den Menüpunkt „Ablaufdatum“ in der Verwaltung der Gruppen kann es sinnvoll sein für manche Gruppen ein Ablaufdatum festzulegen. Nach dem Zeitraum kann die Gruppe aus Entra ID entfernt werden. Wenn eine Gruppe dennoch weiter zum Einsatz kommen soll, kann der Gruppenbesitzer eine Verlängerung beantragen.
Vor dem Ablauf erhält der Gruppenbesitzer eine E-Mail zugestellt. Die hier verwendeten E-Mail-Adressen können direkt bei „E-Mail-Kontakt für Gruppen ohne Besitzer“ definiert werden, wenn es keinen eindeutigen Besitzer gibt. Ist in den Eigenschaften einer Gruppe ein Besitzer hinterlegt, erhält dieser eine E-Mail zugestellt. Besitzer von Gruppen können über den Menüpunkt „Besitzer“ direkt in den Einstellungen der jeweiligen Gruppe vorgegeben werden. Es kann auch mehrere Besitzer für eine Gruppe geben.
Besitzer für Gruppen definieren für eine bessere Verwaltung.
Besitzer können darüber hinaus auch selbst die ihnen zugewiesenen Gruppen verwalten, sodass auf Basis der Vorgaben von Admins immer eine gewisse Ordnung herrscht. In Entra ID ist es nicht immer notwendig, dass sich Admins um die Gruppen kümmern, sondern über die umfangreichen Delegationsmöglichkeiten kann die Pflege direkt an die jeweiligen Verantwortlichen delegiert werden.
IDM-Portal hilft dabei, Entra ID Gruppen zu organisieren
Für eine korrekt ablaufende Synchronisierung und eine unterbrechungsfreie Anmeldung der Benutzer an Active Directory und Entra ID.
Mit dem webbasierten FirstWare IDM-Portal können Unternehmen ihr komplettes Identity Management (IDM) auf Basis von Active Directory zentral, einheitlich, effektiv und vor allem schnell erlernbar durchführen. Hier lassen sich Attribute und Felder wesentlich komfortabler und weniger anfällig vor Fehlern in den Benutzerkonten pflegen. Dadurch werden auch alle wichtigen Informationen zu Entra ID synchronisiert und stehen anschließend hier zur Verfügung. Die weitere Verwaltung kann danach im Portal von Azure erfolgen.
Mit dem FirstWare IDM-Portal werden Benutzer zentralisiert und direkt im AD verwaltet und anschließend in Entra ID in regelmäßigen Intervallen synchronisiert.
Für die richtige Synchronisierung von Gruppen ist dieser Weg ideal, weil auch hier genau gesteuert werden kann, welche Gruppen aus dem AD zu Entra ID synchronisiert werden sollen. Die synchronisierten Gruppen erscheinen in Entra ID und lassen sich in Zukunft dort auch verwalten.
Fazit
In großen Unternehmen kommt es schnell dazu, dass die Anzahl der Gruppen in Entra ID rasant wächst. Wenn es auf einmal zu viele Gruppen in Entra ID gibt, helfen Strategien, mit denen sich die Gruppen besser organisieren lassen:
- Suche und Filtereinstellungen im Azure Portal zum Finden von Objekten
- Festlegung von Benennungsrichtlinien im Azure Portal, um eine gewisse Logik und Struktur hineinzubringen
- Angabe eines Ablaufdatums, wenn möglich
- Nutzung der Gruppen aus dem Active Directory und die Synchronisierung dieser AD Gruppen zu Entra ID
- Dafür ist eine gepflegte Datenbasis mit akkuraten Berechtigungen in AD maßgebend wichtig. Hilfreich ist hier das FirstWare IDM-Portals, welches die zentrale Benutzer- und Gruppenverwaltung im AD übernimmt.
Auch eine intelligente Verknüpfung von dynamischen Gruppen mit Gruppen für Microsoft Teams oder auch Microsoft 365-Gruppen kann sinnvoll sein, da hier Gruppen für mehrere Einsatzgebiete genutzt werden können. Lesen Sie dazu unseren Beitrag „12 Tipps für Entra ID„.
Gerne beraten wir Sie zur Gruppenverwaltung in Entra ID und AD. Als Experten im Bereich Identity & Access Management wissen wir, worauf es bei der Benutzer- und Berechtigungsverwaltung ankommt. Kontaktieren Sie unser freundliches Team.
