Aufgabe 09

Governance

Governance verbindet Regeln, Rollen, technische Kontrollen und prüfbare Nachweise.

Aufgabenstellung

Entra ID steuert Identitäten und M365-Verwaltung; Azure RBAC steuert Azure-Ressourcen.

Die Lösungen sind direkt sichtbar, damit die Seite als ruhiges Nachschlagewerk funktioniert.

Regel: Vorgabe oder Policy, z. B. aus Sicherheitsrichtlinie, ISO, BSI oder DSGVO.
Rolle: passende Entra-ID- oder Azure-RBAC-Rolle mit möglichst engem Scope.
Kontrolle: MFA, Conditional Access, PIM, Access Reviews oder technische Policy.
Nachweis: Audit Logs, PIM-Reports, Access-Review-Ergebnisse, Compliance-Berichte.

Aufgabe	Lösung
Benutzer anlegen / Lizenzen zuweisen	Entra ID / Microsoft 365-Verwaltung
Conditional Access konfigurieren	Entra ID
Adminrollen vergeben	Entra ID
Gäste einladen (B2B)	Entra ID
Virtuelle Maschine starten/stoppen	Azure RBAC
Resource Group erstellen	Azure RBAC
Storage Account konfigurieren	Azure RBAC
Network Security Group bearbeiten	Azure RBAC

Helpdesk soll Passwörter zurücksetzen, aber kein Global Admin sein.

Helpdesk-Administrator + MFA + Audit-Log + quartalsweise Access Reviews

Least Privilege, überprüfbar über Logs und Reviews.

Entwickler soll VMs starten/stoppen, aber keine User verwalten.

Azure RBAC 'Virtual Machine Contributor' auf Resource Group

Azure-Ressource bedeutet Azure RBAC; Scope eng halten.

IT-Admin braucht selten Global-Admin-Rechte für Notfälle.

PIM-Eligibility mit Approval, MFA, zweitem Genehmiger und Break-Glass-Account

JIT, Vier-Augen-Prinzip und Notfallzugang gehören zusammen.

Rollen und Zugriffe sollen regelmäßig geprüft werden.

Microsoft Entra Access Reviews quartalsweise, Auto-Entzug ohne Freigabe

Verhindert Privilege Creep und liefert Compliance-Nachweise.

Aufgabe	Lösung
MFA	Zweiter Faktor für privilegierte oder riskante Aktionen
Conditional Access	Wenn-dann-Regeln pro Zugriff
PIM	Just-in-Time-Adminrechte mit Begründung
Access Reviews	Periodische Prüfung bestehender Rechte

ZurückZero Trust WeiterLabels