Warum gibt es keine OUs in Azure AD – Tipps zur besseren Organisation
Microsoft’s Azure AD zeichnet sich durch eine flache Hierarchie aus, die keine OUs und GPOs bietet. Daher ist es nicht möglich, eine klare Struktur zu verwenden, die auf mehreren Organisationseinheiten basiert, wie es in on-premise Active Directory umsetzbar ist.
Wenn in Azure AD sehr viele Gruppen existieren, kann die Übersicht schnell leiden. Dies kommt besonders häufig in großen Unternehmen vor, die eine Vielzahl an Gruppen in Azure verwalten. Daher sollten sich Verantwortliche frühzeitig darüber Gedanken machen, wie sich die Gruppen am besten organisieren lassen.
Auch eine intelligente Verknüpfung von dynamischen Gruppen mit Gruppen für Microsoft Teams oder auch Microsoft 365-Gruppen kann sinnvoll sein, da hier Gruppen für mehrere Einsatzgebiete genutzt werden können.
Ansicht der Gruppen in Azure AD im Portal verwalten und Gruppen suchen
Die Gruppen in Azure AD werden direkt im Azure-Portal verwaltet. Das gilt auch für die aus dem lokalen AD synchronisierten Gruppen. Bei „Azure Active Directory“ ist dazu der Bereich „Gruppen“ zu finden. Hier zeigt das Portal zunächst alle Gruppen an.
Im Suchfeld kann nach einzelnen Gruppen gesucht werden. Über den Schieberegler bei „Suchmodus“ kann zwischen „Enthält“ und „Beginnt mit“ umgeschaltet werden. Das erleichtert die Suche nach Gruppen.
Für die Organisation der Gruppen spielt an dieser Stelle auch die Schaltfläche „Spalten“ eine wichtige Rolle. Hier kann ausgewählt werden, welche Spalten im Azure-Portal angezeigt werden sollen.
Über „Filter hinzufügen“ lassen sich wiederum Filter zur Suche nach Gruppen hinterlegen, zum Beispiel bezüglich des Mitgliedschaftstyps, der Quelle oder des Gruppentyps. Auch das hilft bei der Suche nach bestimmten Gruppen. Daher ist es im Vorfeld empfehlenswert, die Gruppen so optimiert wie möglich anzulegen, damit die Filter optimal eingesetzt werden können. Dabei helfen wiederum Tools wie my-IAM DynamicSync.
Benennungsrichtlinien für Gruppen nutzen
Beim Einsatz zahlreicher Gruppen spielen eindeutige Namen eine wichtige Rolle, um die Gruppen zu finden. Gruppen, die direkt in Azure AD angelegt werden, sollten einem vorgegebenen Format folgen. Diese Filter können in der Verwaltung der Gruppen definiert werden und gelten für Gruppen, die direkt in Azure AD angelegt werden.
Bei „Gruppenbenennungsrichtlinie“ kann definiert werden, dass es für Gruppen vorgegebene Präfixe und Suffixe geben muss und wie diese genau aussehen sollen. Außerdem besteht die Möglichkeit, gewisse Wörter zu blockieren, die nie verwendet werden dürfen. Dank dieser beider Optionen kann eine gewisse Ordnung erreicht werden, mit denen sich Gruppen in Azure AD effektiver organisieren lassen. Auch diese Einstellungen gelten für Gruppen, die direkt in Azure AD angelegt wurden.
Ablaufdatum für Gruppen festlegen
Über den Menüpunkt „Ablaufdatum“ in der Verwaltung der Gruppen kann es sinnvoll sein, für manche Gruppen ein Ablaufdatum festzulegen. Nach dem Zeitraum kann die Gruppe aus Azure AD entfernt werden. Wenn eine Gruppe dennoch weiter zum Einsatz kommen soll, kann der Gruppenbesitzer eine Verlängerung beantragen.
Vor dem Ablauf erhält der Gruppenbesitzer eine E-Mail zugestellt. Die hier verwendeten E-Mail-Adressen können direkt bei „E-Mail-Kontakt für Gruppen ohne Besitzer“ definiert werden, wenn es keinen eindeutigen Besitzer gibt. Ist in den Eigenschaften einer Gruppe ein Besitzer hinterlegt, erhält dieser eine E-Mail zugestellt.
Besitzer von Gruppen können über den Menüpunkt „Besitzer“ direkt in den Einstellungen der jeweiligen Gruppe vorgegeben werden. Es kann auch mehrere Besitzer für eine Gruppe geben.
Zusatztools helfen, Ordnung in Azure AD Gruppen zu halten
Synchronisierung von AD Gruppen in die Cloud
Durch die Synchronisierung von Gruppen zwischen AD und Azure AD sind die AD-Gruppen auch 1:1 in Azure AD verfügbar. Daher lassen sich zwar alle Gruppen aus AD auch in Azure AD nutzen, dennoch muss darauf geachtet werden, dass die vielen Gruppen nicht schnell unübersichtlich werden. In den Beiträgen „Azure AD Connect und Azure AD Connect Cloud Sync“ und „Azure AD Connect installieren“ gehen wir darauf ein, welche Möglichkeiten Microsoft dazu zur Verfügung stellt.
Mit der Software-Lösung my-IAM DynamicSync lassen sich ebenfalls in der Cloud dynamisch Gruppen pflegen, genauso wie bei den dynamischen Gruppen in Azure AD. Dabei gibt es aber einige, entscheidende Vorteile:
- Zunächst ist für die Verwendung des Dienstes kein P1-Abonnement von Azure AD notwendig. Der Clouddienst selbst ist wesentlich günstiger, bietet aber parallel mehr Funktionen.
- Für den Einsatz von DynamicSync ist keine lokale Installation notwendig, der Dienst arbeitet komplett in der Cloud.
DynamicSync synchronisiert Gruppen in der Cloud, auch attributbasiert
My-IAM DynamicSync geht bei der gruppenbasierten Synchronisierung aber noch weiter:
Es ist mit dem Clouddienst auch möglich, verschiedene Typen von Cloud-Gruppen in andere Gruppen zu synchronisieren. Dabei kann DynamicSync als Quelle auf bereits synchronisierte Gruppen zurückgreifen, auf Microsoft 365-Gruppen und auch auf Sicherheitsgruppen in AD. Solche Dienste können eine wertvolle Hilfe dabei sein, wenn es darum geht, Gruppen effektiver einzusetzen.
DynamicSync kann nur nicht nur herkömmliche statische Gruppenmitgliedschaften in Active Directory dynamisch mit Azure AD synchronisieren, sondern kann attributbasierte Gruppen erstellen, bei denen die Gruppenmitgliedschaften über Felder und Attribute der Benutzer aufgebaut werden. Auf Basis der hinterlegten Attribute und Felder kann DynamicSync auch neue Gruppen in Azure AD und neue Teams in Microsoft 365 erstellen.
Zusammenfassung
Wenn es zu viele Gruppen in Azure AD gibt, helfen Strategien, mit denen sich die Gruppen besser organisieren lassen. Zwar gibt es die Suche von Azure AD zum Finden von Objekten, aber für einen besseren Überblick sollten noch weitere Funktionen, wie Benennungsrichtlinien und Ablaufdaten, zum Organisieren der Gruppen zum Einsatz kommen. Auch die Möglichkeit zum Synchronisieren von Gruppen aus Active Directory zu Azure AD muss mit einer richtigen Organisation einhergehen.
Prinzipiell gibt es kein Maximum an Gruppen, welches angelegt werden kann. Das Maximum liegt an der Organisation.
Wenn Sie Interesse an diesem Thema haben und mehr erfahren möchten, dann wenden Sie sich an uns. Wir sind Experten im Bereich IAM und Directories, mit besonderem Fokus auf AD, AAD und M365/Microsoft Teams.