Azure AD werkt met een SaaS model en biedt dus geen ondersteuning aan aan het beheren van computer objecten en eventuele Group Policies zoals bij een AD DS. Klinkt als een nadeel, maar het voordeel is het overdrachtsmodel binnen Azure AD aanzienlijk eenvoudiger is dan hetzelfde model in AD DS. Er zijn verschillende ingebouwde rollen in alle drie de lagen, waaronder globale beheerder, factureringsbeheerder, servicebeheerder, gebruikersbeheerder en wachtwoordbeheerder.
Door deze manier van werken kun je machtigingen verlenen aan toepassingen die zijn geregistreerd in een Azure AD-tenant aan de gebruikers en groepen en het overdrachtsproces beheren. Azure AD gebruikers toegang hebben tot Azure AD toepassingen via de webportal, ook wel Mijn apps genoemd, op https://myapps.microsoft.com. In deze portal worden automatisch alle toepassingen weergegeven waarvoor ze machtigingen hebben. Een ander voordeel van het gebruik van deze methode is de ondersteuning voor eenmalige aanmelding. Bij het starten van een afzonderlijke toepassing vanuit de interface, vindt verificatie automatisch plaats zodra gebruikers zich aanmelden bij de portal.
Azure Portal
In de Azure Portal wordt het beheer voor gebruikers, groepen en services een stuk makkelijker gemaakt dankzij de implementatie van RBAC (Rol-Based Access Control). Dit mechanisme is afhankelijk van drie ingebouwde rollen: owner, contributor en reader.
Binnenin Azure AD kan je gebruikers configureren met de volgende rollen:
- Global Administrator. Deze rol heeft toegang tot alle beheerfuncties en -instellingen. Wanneer u zich registreert voor het Azure-abonnement, wordt u een globale beheerder. Alleen deze rol kan beheerdersrollen toewijzen aan andere accounts.
- Limited Administrator. Wanneer u de rol Limited Administrator voor de gebruiker selecteert, kunt u vervolgens een of meer van de volgende beheerdersrollen selecteren (de lijst kan variëren op basis van toepassingen die je Azure AD gebruiken):
- Password Administrator kan wachtwoorden voor gebruikers opnieuw instellen en serviceaanvragen beheren.
- Service Administrator kan serviceaanvragen beheren.
- Billing Administrator kan factureringsgegevens beheren.
- Exchange Administrator kan Exchange Online-instellingen beheren.
- Skype for Business Administrator kan Skype voor Bedrijven Online-instellingen beheren.
- User Administrator kan gebruikersaccounts en -groepen beheren.
- SharePoint Administrator kan SharePoint Online-instellingen beheren.
- Compliance administrator kan instellingen voor naleving beheren.
- Security reader kan beveiligingsinstellingen lezen.
- Security Administrator kan beveiligingsinstellingen beheren.
- Privileged role Administrator kan bevoorrechte rollen beheren.
- Intune Administrator kan Intune instellingen beheren.
- Guest inviter kunnen gastgebruikers uitnodigen voor de organisatie.
- Conditional Access Administrator kan instellingen voor voorwaardelijke toegang beheren.
- User. Dit is een standaardrol die geen beheerdersrechten biedt.
Deze rollen zijn van toepassing op beheerhulpprogramma’s zoals de Microsoft 365- en Intune-portals of de Azure AD-module voor Windows PowerShell cmdlets. Wanneer u Privileged Identity Management gebruikt (Premium P2), kunt u ook de rollen Beveiligingslezer en Beveiligingsbeheerder configureren.