"Global Reader" Admin

In Office 365 gibt es jede Menge Admin-Rollen, aber viel Jahre wurde immer wieder gefordert, dass eine globale "nur Lesen"-Rolle für Auditoren und Report-Skripte fehlt. Im Herbst 2019 ist die Rolle dann plötzlich im Azure Porta aufgetaucht.

Global Read im Azure Portal

Ein Blick unter https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RolesAndAdministrators zeigt zumindest bei mir, dass die Rolle "Globaler Leser" vor kurzem addiert wurde.

Per Default ist natürlich niemand in der Berechtigungsgruppe enthalten

Die Beschreibung liefert nicht nur eine kurze Textinformation sondern auch eine Auflistung aller Einzelberechtigungen

Die Liste ist natürlich länger aber ich erspare mir hier die Auflistung. Ich erwarte auch, dass neue Produkte und Funktionen in dieser System-integrierten Gruppe zukünftig addiert werden.

"Global Reader" im Office 365 Portal

Im Office 365 Portal können auch administrative Rollen zugewiesen werden. Hier werden aber nicht alle Rollen angezeigt, die auch in Azure zu sehen sind. Der Fokus ist die Office 365 Umgebung. Die neue "Global Reader"-Rolle ist aber auch hier sichtbar.

Damit ist auch deutlich, dass diese neue Rolle nicht besonders versteckt werden soll.

Einsatzbereiche

Anfangs habe ich schon geschrieben, dass es schon länge die Nachfrage nach genau so einer Rolle gibt. Aus meiner Sicht gibt es mehrere direkt nutzbare Vorteile:

  • Auditor/Compliance Officer/Datenschutzbeauftragter
    Im Rahmen eines Vier-Augen-Prinzip gibt es auf einer Seite die Administratoren aber eine andere Person soll z.B. die Aktionen und Einstellungen kontrollieren. Allerdings darf er diese nie ändern.
  • Change Auditing/Reporting-Script
    Ein Programm oder Skript kann als Dienstkonto natürlich auch die Rechte bekommen. So können Sie dann z.B.: per PowerShell entsprechende Berichte generieren oder auch Vorher/Nachher-Vergleich anstellen oder sogar Änderungen über Momentaufnahmen außerhallb der Möglichkeiten von Office 365 nachverfolgen.
  • "Save Admin" und PIM
    Aber selbst für Administratoren ist diese Rolle durchaus interessant. Sie können sich per PIM zwar dynamisch Admin-Rechte geben lassen aber ohne Admin-Rechte haben sie dann nicht mal "Lese"-Rechte. Die hätten Sie durch diese Gruppen dann weiterhin

Allerdings ist die "Global Reader"-Rolle natürlich sehr umfangreich und in der Regel nicht für eine Vergabe an 1st-level Helpdesk oder gar Anwender geeignet.

Global Reader und PowerShell

Nun war ich natürlich neugierig, wie sich die neuen Rechte auswirken. Ich habe zuerst mit der PowerShell mit mit zwei Benutzern verbunden. Benutzer 1 war ein ganz normaler Anwender ohne irgendwelche administrativen Rollen, während der andere Benutzer ein normaler Benutzer mit "Global Reader"-Rolle war. Interessanterweise waren die Unterschiede nicht auf den ersten Blick zu sehen.

Über die PowerShell habe ich mich mit "Connect-AzureAD" verbunden und die Commandlets angezeigt. Beide Benutzer haben die gleichen Commandlets und sogar "Set-"-Commandlets waren dabei. Aber beide Benutzer konnten natürlich nicht schreiben.

PS C:\> Set-AzureADUser -ObjectId "<guid>" -City "city2"

Set-AzureADUser : Error occurred while executing SetUser
Code: Authorization_RequestDenied
Message: Insufficient privileges to complete the operation.
RequestId: <guid>
DateTimeStamp: Tue, 19 Nov 2019 13:06:17 GMT
HttpStatusCode: Forbidden
HttpStatusDescription: Forbidden
HttpResponseStatus: Completed

Interessant war aber auch, dass beide User z.B.: eine Liste der AzureAD-Benutzer abfragen konnten. Das kann zwar auch ein "Domain Benutzer" gegen einen lokalen Domain Controller aber in der Cloud hätte man das einschränken können.

Dennoch wundere ich mich etwas, dass überhaupt Commandlets bereitgestellt werden, die vom Benutzer aber dann doch nicht genutzt werden können. Das hat Exchange On-Premises schon besser hin bekommen.

Es hat mich aber überrascht, dass ich als normaler Benutzer nach Authentifizierung sehr viel Informationen aus dem eigenen Tenant bekommen können.

Global Reader und Portale

Ich habe aber bislang als Benutzer keinen Zugriff die Admin-Portal erhalten. Wenn Sie als normaler Anwender auf https://portal.microsoft.com/Adminportal/Home#/users gehen, dann bekommen Sie eine Fehlermeldung:

Auch in Teams ist die Tür zu

ich komme aber als normaler Benutzer durchaus an die ein oder andere Stelle Im Azure Portal, wobei natürlich viele Dinge deaktiviert sind.

Nun delegiere ich als Administrator die "Global Reader" Rolle an den Anwender.

Der Benutzer kann kurz darauf nach einer erneuten Anmeldung auf das Portal zugreifen aber nichts anlegen oder ändern:

Auch auf dem Office 365 Portal erscheint dann der Admin-Links

Ich kann z.B.: die Benutzer alle sehen aber keine neue Objekte anlegen oder bestehende Objekte ändern.

Ein reiner "Read-Only"-User, wie durch die Rolle versprochen. Auch im Exchange Control Panel ist das "Plus" zum anlegen von Postfächern nicht mehr da.

Als Benutzer ohne "Global Reader"-Rolle lande ich beim Aufruf von https://outlook.office365.com/ecp auf "meiner" persönlichen Seite

Wenn ich die Zuweisung der Admin-Rolle wieder entferne, dann ist nach kurzer Zeit auch das "Admin"-Icon unter portal.office365.com weg. Wenn der Anwender aber schon im Portal unterwegs ist, dann kann aber weiterhin den Zugang nutzen, bis er sich abmeldet.

Rolle im JWT-Ticket?

Mich hat natürlich interessiert, ob die Rechte sich auch im JWT (JavaScript Web Token) wiederspiegeln die im Browser bei der Anmeldung per "Bearer" verwendet werden. Das Token ist aber sehr überschaubar.

Es enthält eigentlich den "upn" und "unique_name", der zum Backend übertragen wird. Hier scheint dann das Backend anhand dieser Informationen mal schnell die Rollen zu ermitteln. Ich hatte eigentlich gehofft, da alle individuellen Berechtigungen zu sehen. Damit ist aber auch ein Stück weit erklärbar, dass eine bestehende Sitzung weiterhin die Rechte nutzen kann, solange Sie nicht abgemeldet wurde.

Rechte auf Daten

Mich hat natürlich noch interessiert, ob das "Global Read" vielleicht auch Lesezugriff auf Dateien, Nachrichten und andere Inhalte erlaubt. Das ist aber anscheinend nicht der Fall. Die Berechtigungen des "Global Reader" beschränkt sich aber auf die Informationen der Services und Konfigurationen in Office 365, d.h. auf Benutzer, Gruppen, Service-Einstellungen etc.

Das Recht "microsoft.office365.exchange/allEntities/read" hat also keine Funktion auf die Inhalte. Das ist aber auch besser so.

Weitere Links