Donnerstag, März 28, 2024
StartSchützenSo gelingt delegierte Administration mit Zero Trust

So gelingt delegierte Administration mit Zero Trust

Abonnieren Sie unseren Microsoft 365 Government Community Call und erhalten Sie weitere Tipps und Tricks, wie Sie M365 als Behörde nutzen können.


Dieser Post gehört zur Zero Trust-Reihe von AvePoint. In den nächsten Monaten erwarten Sie weitere Posts, die sich mit Strategien und Lösungen zur Umsetzung von Zero-Trust-Architektur und mit dem Schließen Ihrer Sicherheitslücken befassen. Sie haben unseren ersten Post verpasst? Dann lesen Sie die Einführung: „How to Align M365 Collaboration With Your Agency’s Zero Trust Architecture“.

Trotz der fortgesetzten Anstrengungen der Behörden, ihre Sicherheitspläne und Zero-Trust-Architektur (ZTA, Architektur nach dem Prinzip „niemandem vertrauen“) aufeinander abzustimmen, wie es in den USA etwa das Memo M-22-09 der Regierung verlangt, sind bei der Umsetzung dieser Strategien weniger Fortschritte zu beobachten. Dies gilt insbesondere für große, zentralisierte Mandanten, die zuvor getrennte Abteilungen und Büros zusammenlegen.

Während Sicherheitsteams gerne ein Modell nach dem Prinzip der geringsten Privilegien (Least-Privilege-Modell) umsetzen würden, um den ZTA-Standards zu genügen, stehen Behörden, die ihre Abteilungen und Büros in einer zentralisierten Plattform wie Microsoft 365 zusammengelegt haben, vor einer schwierigen Entscheidung: Sie können entweder jeder Teileinheit Zugang zum gesamten Mandanten einräumen oder Admin-Rechte sperren und der IT aufbürden, jeden Aspekt jeder Abteilung managen zu müssen.

Glücklicherweise gibt es noch eine dritte Option. In diesem Post gehen wir der Frage nach, wie Sie delegierte Administration in Ihrer Cloud-Lösung nutzen können, um den Geltungsbereich von Inhalten mit rollenbasierten Rechten zu verknüpfen und so das Sicherheitssystem Ihrer Organisation auf die ZTA abzustimmen, ohne die IT-Abteilung zusätzlich zu belasten.

zero trust

Die Vorzüge der delegierten Administration

Das Least-Privilege-Prinzip, das allen Nutzern nur die Rechte gewährt, die sie für ihre Arbeit benötigen, ist für die ZTA von zentraler Bedeutung – denn es versetzt Behörden in die Lage, die „Zero Trust“-Empfehlung zu erfüllen: Wenn die Mitarbeitenden nur auf das zugreifen können, was sie auch benötigen, können kompromittierte Anmeldedaten, böswillige Insider und Hacker weniger Schaden anrichten.

In einer zentralisierten Administration führt das Least-Privilege-Modell zu erheblichen Belastungen für Ihre globalen Admins. Möglicherweise verbringen sie einen großen Teil ihres Tages damit, Nutzer, Inhalte und Zugriffsrechte in Ihren Microsoft 365-Arbeitsbereichen und -Anwendungen zu managen, um sicherzustellen, dass Zugriff nur jenen gewährt wird, die ihn wirklich benötigen.

M365 basiert auf einem rollenbasierten Admin-Modell: Die zentrale IT kann Nutzern, die keine globalen Admins sind, begrenzte Admin-Rechte gewähren, etwa die Möglichkeit, die Lizenzvergabe zu managen, neue Ressourcenpostfächer zu erstellen oder Passwörter zurückzusetzen. Um den ZTA-Standards zu genügen, sollten Behörden bei der Delegation der Administration noch einen Schritt weiter gehen und die Zuständigkeiten aller Admins nach Diensten, Geltungsbereich und Funktion aufschlüsseln.

So arbeiten viele Behörden beispielsweise mit staatlichen Vertragspartnern zusammen, die regelmäßig Personal von Projekten abziehen oder Projekten zuweisen können. Traditionell würde die für den Mandanten zuständige zentrale IT damit belastet, die entsprechenden Personalwechsel zu managen: Nutzer erstellen, Lizenzen verwalten und alte Nutzer löschen. Im Rahmen der delegierten Administration können diese On- und Offboarding-Aufgaben den Mitarbeitenden des Vertragspartners zugewiesen werden, die dafür besser geeignet sind.

Zudem kann die delegierte Administration als Best Practice für den Sicherheitsbereich dienen: Sie erlaubt es den Inhabern von Informationen, ihre eigenen Daten zu managen. Dies ist besonders hilfreich für Behörden, die mit sensiblen Daten arbeiten und die es oft nur dem Team im Besitz der Daten erlauben dürfen, überhaupt von der Existenz der Daten zu wissen.

zero trust

Schwachstellen der nativen delegierten Administration

Früher, als die meiste Behördenarbeit noch On-Prem erledigt wurde, geschah die „delegierte Administration“ ganz von selbst. Viele Behörden hatten mehrere Serverfarmen, die oft im Besitz der jeweiligen Abteilungen oder Büros selbst waren. So konnte jede Abteilung die Strukturen ihrer Zusammenarbeit, ihre Sicherheitsrichtlinien und Governance-Verfahren kontrollieren. Heute dagegen migrieren immer mehr Behörden in die Cloud und zentralisieren sämtliche Abteilungen und Büros in Microsoft 365. Daher ist mehr Koordinationsarbeit nötig, um die Wirksamkeit und Sicherheit der delegierten Administration zu gewährleisten.

Mit bestimmten nativen Funktionen können Sie segmentieren, wer Zugriff worauf hat, und administrative Aufgaben delegieren. Microsoft 365 beinhaltet beispielsweise Rollen zur Dienstverwaltung wie SharePoint-Admin und Exchange-Admin; sie geben dem Nutzer sämtliche Admin-Rechte für SharePoint über den gesamten Mandanten. Doch SharePoint bietet noch weitergehende Optionen: So können Sie dort Websitesammlungsadministrator-Rechte zuweisen. Diese ermöglichen es, manuell individuelle Websitesammlungen auszuwählen, die in den Zuständigkeitsbereich des jeweiligen Nutzers fallen, und entsprechende Admin-Rechte auszuwählen.

Das ist zweifellos besser, als wenn globale Admins die Inhalte selbst managen. Für Ihr IT-Team bedeutet die Festlegung, wer was managen darf, dennoch einen manuellen Aufwand. Sie müssen den Geltungsbereich der Inhalte analysieren und auf die Rechte der einzelnen Nutzer abstimmen. Werden die Website-Verantwortlichkeiten eines Nutzers geändert oder von einem anderen Admin entfernt, so müssen sie manuell bearbeitet oder erneut hinzugefügt werden. Darüber hinaus müssen Sie manuell nachverfolgen, welche Websitesammlungen zu wem gehören, damit niemand übermäßige Rechte erhält.

Webinar ansehen: 4 Ways AvePoint EnPower Can Scale and Transform Microsoft 365 Administration

Wie Sie unschwer erkannt haben, bedeutet es also einen unglaublichen manuellen Aufwand, Administratoren den passenden Umfang an Inhalten zuzuweisen. Darüber hinaus benötigen Sie einen Prozess, mit dem Sie die Änderung von Rechten erkennen und die Rechte zurücksetzen können. Anderenfalls besteht das Risiko, dass Administratoren nicht über die nötigen Rechte verfügen, wenn sie diese brauchen.

Dieser Prozess ist extrem arbeitsintensiv, mühsam und lässt zu viel Raum für Fehler. Stellen Sie sich nun noch vor, dass diese Arbeit bei allen Inhaltstypen anfällt, von SharePoint-Sites über Exchange-Postfächer und Teams-Kanäle bis hin zu OneDrive-Ordnern, und Sie erkennen sofort, dass Ihr IT-Team schon bald zu nichts anderem mehr kommen wird, als Rechte und Zugriff auf Inhalte zu verwalten.

Wenn Sie die ZTA durch eine bessere Rechteverwaltung umsetzen wollen, dann sind native Funktionen für Behörden einfach zu ineffizient und nicht ausreichend skalierbar.

Delegierte Administration in vereinfachter und sicherer Ausführung

AvePoint EnPower von AvePoint vereinfacht die delegierte Administration, indem Rechte aufgeteilt werden. Behörden können Admin-Rechte so für Ihren gesamten M365-Mandanten passgenau erstellen und anpassen – ganz im Sinne Ihrer operativen und sicherheitsrelevanten Anforderungen.

Kombinieren Sie den Standardansatz auf Basis rollenbasierter Zugriffskontrollen mit einer automatisierten Festlegung des Umfangs der zugänglichen Inhalte. Damit wird der Zugriff auf Alltagsaufgaben, das Zurücksetzen von Nutzerpasswörtern, die Einrichtung neuer Ressourcenpostfächer oder auch die Entfernung inaktiver SharePoint-Sites, auf jene Admins begrenzt, die ihn für die konkreten Inhalte wirklich benötigen.

Sie legen die Struktur der Admin-Rechte selbst fest, damit sie den Anforderungen Ihrer Organisation entspricht. Die Struktur kann sich zum Beispiel an der Anwendung, dem Standort, der Geschäftseinheit, der Abteilung oder dem abgestuften IT-Support orientieren. Der Geltungsbereich kann auf Basis von standardmäßigen oder nutzerdefinierten Spalten in Azure Active Directory, Benennungsrichtlinien für den Arbeitsbereich oder Metadaten automatisiert werden, die im Property Bag des Arbeitsbereiches gespeichert werden.

AvePoint EnPower verfeinert zudem die Dienstadministrator-Rechte: Anstatt volle Admin-Rechte für den gesamten Exchange-Dienst zu vergeben, kann ein Administrator auch das Recht erhalten, Exchange-Postfächer zu erstellen, aber nicht, sie zu löschen oder auf Anweisung der Rechtsabteilung ein Beweissicherungsverfahren einzuleiten. Ein weiteres gängiges Szenario wäre es, einem Administrator die volle Übersicht über alle Teams zu gewähren, die ausschließlich zur eigenen Behörde gehören.

AvePoint trägt zu einer sicheren Administration bei – durch zentralisierte Dashboards und Aktivitätsberichte, mit denen Sie alle Aktivitäten überwachen, nachverfolgen und prüfen können, um sich zu überzeugen, dass die richtigen Rechte vergeben wurden. So erkennen Sie schnell, warum ein Job nicht erfolgreich war, und können das Problem an der Wurzel packen. Außerdem erhalten Sie einen Gesamtüberblick und sehen, ob bestimmten Trends entgegengewirkt werden muss.

Das Fazit

Wegen der hohen Komplexität, die die Arbeit in der Cloud mit sich bringt, haben viele Organisationen ihre Admin-Rechte auf wenige ausgewählte Personen begrenzt und halten dies für den besten Weg, ihre Daten zu schützen. Leider werden so wertvolle Ressourcen durch Routineanfragen und -aufgaben gebunden, die IT überlastet und die Skalierbarkeit beschränkt.

Da zahlreiche Behörden daran arbeiten, Least-Privilege- und ZTA-Modelle umzusetzen, werden für Ihr IT-Team Überstunden anfallen, um Nutzer, Inhalte und Zugriffsrechte zu managen und zu gewährleisten, dass Ihr Mandant sicher ist – und das Problem wird weiter wachsen. Bei einer delegierten Administration ist Ihre zentrale IT-Abteilung weiterhin für die übergreifenden Governance-Richtlinien und das Management Ihres Mandanten zuständig. Sie kann aber einige der untergeordneten oder mühsamen Arbeiten, die die Sicherheit Ihrer Behörde nicht gefährden, in kontrollierter Weise an vertrauenswürdige, verantwortungsbewusste Nutzer abgeben.

Bisher gibt es keine alleinstehende Lösung oder Technologie, mit der Sie die obligatorischen staatlichen Sicherheitsstandards erfüllen. Doch die delegierte Administration ist ein sinnvoller erster Schritt, mit dem Sie Risiken senken, die IT entlasten und Ihre sensiblen Daten schützen können.

Führen Sie Ihre Sicherheits- und IT-Teams zusammen – mit AvePoint EnPower von AvePoint.

Vereinbaren Sie noch heute eine Demo für AvePoint EnPower und entdecken Sie, wie Sie mit den richtigen Tools ganz unkompliziert die Sicherheit Ihres Mandanten gewährleisten. Erweitern Sie Ihre IT-Ressourcen durch die vereinfachte, delegierte Administration von Microsoft 365-Inhalten und -Sicherheitsmanagement.


Abonnieren Sie außerdem unseren Blog, um auch die neuesten Updates zu Zero Trust und Microsoft 365 nicht zu verpassen! 

Antoine Snow
Antoine Snow
Antoine Snow is a senior solutions manager at AvePoint, leading the Public Sector business unit. He has held various positions in IT over the past several years ranging from front-end web developer to Microsoft 365 Service Owner. In his current role, Antoine focuses on governance and adoption challenges plaguing the modern workplace and helping government organizations understand the components of a governance strategy and its implementation. Antoine's views on these topics can be found in various blog posts and has been the focus of one-to-one workshops.
Jay Leask
Jay Leaskhttp://jay.leask.com/
I sell software, but my passion is to help translate the needs of the business into the capabilities of available technology. Over two decades in tech I have helped customers analyze collaboration solutions against actual mission needs in helping them select the best path based on their personal critical success factors. Per my training I’m a project manager (PMP), an engineer, an architect, and a designer; but ultimately, I’m a problem solver.

More Stories