In Azure AD sind definierte Attribute als “sensitive” eingestuft. Für die Bearbeitung von Sensitive Attributes können Benutzer höhere Admin Rollen benötigen. In den nächsten Wochen vereinheitlicht Microsoft die Möglichkeit welche Rolle Sensitive Attributes für Benutzerkonten und Admin Rollen bearbeiten darf.
In Azure AD definiert Microsoft folgende Attribute und Aufgaben als “Sensitive Attributes”:
- accountEnabled
- businessPhones
- mobilePhone
- onPremisesImmutableId
- otherMails
- passwordProfile
- userPrincipalName
Für die Anpassung einer Telefonnummer bei einem Benutzerkonto mit Admin Rolle war im September 2021 beispielsweise die Rolle Privileged Authentication Admins erforderlich. Mittlerweile ist dies auch mit der Rolle User Admin möglich. Heute ist es kompliziert zu kennen welche Admin Rollen Sensitive Attributes bearbeiten dürfen.
Im August plant Microsoft dies mit der Passwort Reset Tabelle zu vereinheitlichen.
Am Ende der Beschreibung aller Admin Rollen publiziert Microsoft bereits heute eine Tabelle welche Admin Rollen Passwörter für welche Art von Konten zurücksetzen dürfen. Zukünftig soll die Tabelle auch als Übersicht dienen welche der Rollen User Admins, Authentication Admins und Privileged Authentication Admins Sensitive Attributes für ein Konto bearbeiten dürfen.
Update vom 16. Juli 2022:
Mittlerweile hat Microsoft die neue Tabelle erstellt und Sensitive Attributes in der Hilfe präzisiert. Weiters sollten bis Ende August die Anpassungen umgesetzt sein.
