Microsoft Entra ID vs. Azure Rollen: Wat is het Verschil?

Met de recente naamsverandering van Azure AD naar Microsoft Entra ID, is het essentieel om het onderscheid te begrijpen tussen Microsoft Entra ID rollen vs. Azure rollen. Deze terminologische verschuiving kan enige verwarring veroorzaken, vooral omdat “Azure AD rollen” nu “Microsoft Entra ID rollen” worden genoemd. Voor diegenen die zich in de wereld van Microsoft Azure bevinden, is het cruciaal om deze verschillen te kennen.

Voorvereisten:

✅ Basiskennis van Microsoft Azure
✅ Begrip van Azure: Managementgroep vs. Abonnement vs. Resourcegroep

Overzicht:

Laten we bekijken hoe de Microsoft- en Azure-omgeving binnen een tenant is gestructureerd. Het onderstaande diagram visualiseert de structuur van een tenant en helpt ons te begrijpen hoe elke rol over verschillende scopes werkt:

Representatie van een Microsoft Entra ID Tenant:

Eenvoudig gezegd kunnen we stellen dat:

• Alles onder Microsoft Entra ID valt onder “Tenantniveau scope”.
• Alles onder Azure (Managementgroep/Abonnement/Resourcegroep) valt onder “Azureniveau scope”.

Microsoft Entra ID Rol:

Microsoft Entra ID rollen hebben een scope over de volgende platformen:

✅️ Microsoft Entra ID
✅️ Microsoft 365 Defender Platform
✅️ Microsoft Intune
✅️ en andere Niet-Azure platformen…

Het enige platform dat enigszins verwarrend is, is “Microsoft Entra ID” zelf – aangezien het nog steeds deel uitmaakt van het Azure-portaal. Omdat het eerder “Azure Active Directory” heette, moest het wel deel uitmaken van het Azure-portaal. De naamswijziging heeft, al dan niet opzettelijk, geholpen om bovenstaande verwarring op te lossen. Het platform “Microsoft Entra ID” wordt geleidelijk uit het Azure-portaal gemigreerd.

Het hebben van basis- of geprivilegieerde rollen in Microsoft Entra ID geeft een gebruiker niet automatisch toegang tot de resources in een Azure-omgeving.

Azure Rol:

Azure rollen hebben een scope over het volgende:

✅️ Azure Managementgroep
✅️ Azure Abonnement
✅️ Azure Resourcegroep
✅️ Resources binnen de bovengenoemde drie

Het hebben van basis- of geprivilegieerde rollen in de Azure-omgeving geeft een gebruiker niet automatisch toegang tot platformen die onder de Microsoft Entra ID rol vallen.

Van Microsoft Entra ID Rol naar Azure Rol:

Wanneer ik zei “Het hebben van basis- of geprivilegieerde rollen in Microsoft Entra ID geeft geen toegang tot Azure resources”, was dat slechts gedeeltelijk waar. In het diagram hierboven zie je dat de Azure-omgeving nog steeds onder Microsoft Entra ID (tenant) valt. Dit betekent dat als je de hoogste privileges van rollen in de gehele tenant hebt (bijvoorbeeld als Global Administrator), je jezelf eigenaar kunt maken van de managementgroepen, abonnementen en resourcegroepen in de Azure-omgeving.

Dus, als je de Global Administrator rol in Microsoft Entra ID hebt, heb je goddelijke privileges over de gehele tenant (zowel in Microsoft Entra ID als in de Azure-omgeving)!

Dit is een slimme manier om een Azure-rol te verkrijgen, zelfs als je alleen een rol hebt in Microsoft Entra ID. De bovengenoemde methode moet echter expliciet worden ingeschakeld in de Microsoft Entra ID-configuratie om het toewijzen van Azure-rollen met behulp van een geprivilegieerde Microsoft Entra ID-rol mogelijk te maken.

Conclusie:

Het is cruciaal om het verschil tussen Microsoft Entra ID rollen en Azure rollen te begrijpen voor iedereen die werkt met Microsoft of Azure-omgevingen. Een ander vaardigheidspunt om op te pakken is het kunnen onderscheiden of een rol een Microsoft Entra ID rol of een Azure rol is op basis van de naam. Dit onderscheid is van vitaal belang in het beheren van toegang en het handhaven van de beveiliging binnen jouw IT-infrastructuur.