Gruppen in Azure und Office 365

15.08.2018 / Christoph Hannebauer


Seit gut anderthalb Jahrzehnten ist das Active Directory der typische Verzeichnisdienst bei Unternehmen. Entsprechend gehören Art und Bedeutung der zahlreichen Gruppentypen – wie Domain Local, Global und Universal – zum Basis-Know-how der AD-Administratoren. Doch im 100%-Cloud-Konzept ist das Azure Active Directory (Azure AD oder AAD) der zentrale Verzeichnisdienst, und das AD hat nur noch eine Legacy-Funktion. Das AAD ist technisch grundverschieden zum AD, entsprechend gibt es dort keine direkten Entsprechungen der Gruppentypen.

Unternehmen müssen sich also neu überlegen, für welche organisatorischen und Rechte-Strukturen sie welche Gruppentypen verwenden. Dieser Artikel gibt als Einstieg zur Entwicklung eines entsprechenden Konzepts einen Überblick der verschiedenen Gruppentypen in Office 365 und Azure und wie sie verschachtelt werden können. Das folgende Diagramm skizziert die Verschachtelungszusammenhänge (bitte nicht erschrecken, im Admin-Alltag muss man das nicht alles auswendig wissen):

Diagramm der Gruppenzusammenhänge

Manche Verschachtelungen sind über die Web-Konsole allerdings nicht möglich. Eine O365-Gruppe kann nur über PowerShell einer Distribution List hinzugefügt werden, nicht über die GUI. Wenn man einer Gruppe über das Azure-Portal ein nicht erlaubtes Gruppenmitglied hinzufügt, beispielsweise eine Security Group einer Mail-enabled Security Group, dann kommt leider auch keine Fehlermeldung, sondern im Gegenteil eine (falsche) Erfolgsmeldung. Alle Gruppen außer Azure AD Security Groups vom Mitgliedstyp Dynamic Device können Nutzer als Mitglied enthalten. Auch bei den PowerShell-CMDlets nicht gleich offensichtlich:

Office 365-Gruppen

Das Herzstück der Nutzerstruktur bei Office 365 sind die Office-365-Gruppen oder kurz O365-Gruppen. Ihre Funktion ist zugleich Sicherheitsgruppe, E-Mailverteiler und gemeinsame Dateiablage. Zahlreiche Office-365-Dienste basieren im Hintergrund auf einer O365-Gruppe, beispielsweise Teams oder Planner.

Eine wichtige Unterscheidung sind öffentliche und geschlossene O365-Gruppen. Öffentlichen Gruppen kann jeder Nutzer des Tenants selbst beitreten und auf Daten der Gruppe auch ohne Beitritt zugreifen. Bei geschlossenen O365-Gruppen ist die Unterscheidung zwischen Eigentümer und Mitglied wichtig: Eigentümer können Mitglieder aufnehmen und entfernen und nur als Mitglied kann man auf Daten der O365-Gruppe zugreifen.

Ein Group-Nesting von O365-Gruppen ist nicht möglich: Eine O365-Gruppe kann nur einzelne Nutzer als Mitglied haben, keine anderen Gruppen irgendeines Typs. Die O365-Gruppe kann selbst auch nicht Mitglied anderer O365- oder Security-Gruppen sein, außer von mail-enabled Security Groups und Verteilerlisten.

Teams

Jedes Team basiert auf einer O365-Gruppe. Ein Team enthält Channels mit eigenem Chat, eigenen Dateien und ähnlichem. Wenn man Mitglied eines Teams ist, also Mitglied der zugrundeliegenden O365-Gruppe, kann man jeden einzelnen Channel

Den Channel Allgemein/General favorisiert man als Team-Mitglied immer, zusätzlich kann man ihm folgen.

Security Groups

Als nahezu universelles Werkzeug der Berechtigungsverwaltung können Security Groups vom Mitgliedstyp Assigned/Zugewiesen (später mehr zur Alternative Dynamisch) fast alle anderen Objekttypen enthalten, nämlich neben Nutzern und Geräten auch dynamische Gruppen und Mail-enabled Security Groups. Was allerdings fehlt sind vor allem O365-Gruppen, was angesichts der zentralen Stellung der O365-Gruppen ein großes Manko ist.

Azure AD Dynamic Groups

Bei Sicherheitsgruppen vom Mitgliedstyp Dynamic/Dynamisch legt man die Mitglieder nicht manuell oder über ein Skript fest, sondern definiert Attribut-basierte Regeln darüber, wer Mitglied der Gruppe sein soll. Die Regeln werden automatisch von einem Hintergrunddienst evaluiert und die Mitgliedsliste neu geschrieben. Das erste Schreiben der Mitgliederliste kann bei großen Verzeichnissen bis zu 24 Stunden dauern. Eine Azure AD Dynamic Group kann nur entweder Nutzer oder Geräte enthalten, aber weder beides noch andere Gruppen.

Mail-enabled Security Groups

Nur auf den ersten Blick ähnlich zu Security Groups sind Mail-enabled Security Groups. Wie im Diagramm zu sehen, können Mail-enabled Security Groups nämlich keine Security Groups enthalten. Sie werden auch nicht über das Azure-Portal verwaltet, sondern über das Office-365-Portal.

Distribution List

Ein E-Mail-Verteiler hat technisch die gleiche Funktion wie on-premises: E-Mails an den Verteiler erreichen automatisch alle Mitglieder. Allerdings sind O365-Gruppen deutlich vielseitiger, so dass Distribution Lists in der Cloud eine deutlich untergeordnete Rolle spielen.

Exchange Dynamic Distribution Group

Auch dieser Gruppentyp ist über Exchange und Exchange Online direkt aus der on-premises-Welt übernommen worden und entspricht einer Distribution List, bei der die Mitglieder nicht einzeln eingetragen werden, sondern über bestimmte Regeln Attribut-basiert hinzugefügt oder entfernt werden. Da Azure AD Dynamic Groups nicht mail-enabled sein können, gibt es auch in der Cloud gelegentlich Anwendungsfälle für diesen Gruppentyp.

Azure AD Administrative Units

Administrative Units (AUs) entsprechen in ihrer Zielsetzung den Organizational Units (OUs) des alten Active Directory: Die Mitgliedschaft gibt den Mitgliedern nicht Zugriff auf zusätzliche Ressourcen, sondern lokale Administratoren erhalten Rechte zur Verwaltung der Mitglieder. Entsprechend stehen sie nicht in Beziehung zu den anderen Gruppentypen, Nesting ist also beispielsweise nicht möglich. Als Methode zur Strukturierung der Nutzerbasis gehören sie trotzdem in diese Übersicht.

Zusammenfassung

Das Azure AD räumt auf mit den alten Strukturen aus AD-Zeiten, dennoch gibt es schon einen bunten Strauß an neuen Gruppentypen, deren Zusammenhänge nicht auf den ersten Blick zu sehen sind. Einige Gruppentypen werden aber kaum gebraucht und verschwinden vielleicht mittelfristig ganz.