Mit den Sicherheitsgruppen hat Microsoft einen weiteren Schritt in Richtung optimierte und zentralisierte Benutzerverwaltung gemacht. Administratoren können die Berechtigungen bereits bei der Benutzeranlage gemeinsam mit der Lizenz in Entra (ehemals Azure Active Directory) steuern und müssen dafür im besten Fall gar nicht mehr selbst in Business Central tätig werden. Die Funktionalität der Sicherheitsgruppen ersetzt die vorhandenen Benutzergruppen.
Was ändert sich?
Grundsätzlich ändert sich nichts an der inhaltlichen Funktionsweise der Berechtigungen, sondern nur die Art, wie sie dem Benutzer zugeordnet werden. Betroffen ist nur, wer bisher die Benutzergruppen zur Berechtigungsvergabe genutzt hat.
Seit Version 22 von Business Central (ca. seit April 2023 verfügbar) steht diese Funktion zur Verfügung und wird mit Version 25 (ca. ab Oktober 2024 verfügbar) automatisch aktiviert. Business Central bringt dabei auch eine integrierte Konvertierungsfunktion mit, um den Übergang so einfach wie möglich zu gestalten.
Wie ist die Funktionsweise?
Bisher gab es grundsätzlich zwei verschiedene Möglichkeiten, Benutzern Berechtigungen zuzuweisen. Zum einen können die Berechtigungssätze direkt einem Benutzer hinzugefügt werden. Daran ändert sich nichts, Berechtigungen können weiterhin direkt am Benutzer gesteuert werden.
Zum anderen konnten dem Benutzer Benutzergruppen zugeordnet werden. Im diesem Fall wurden die Berechtigungen aus den Benutzergruppen dem Benutzer hinzugefügt. Diese Benutzergruppen wurden in Business Central angelegt und verwaltet.
In Zukunft ersetzen die neuen Sicherheitsgruppen die bisherigen Benutzergruppen. Die Sicherheitsgruppen werden bereits in Entra angelegt und dort auch den Benutzern zugeordnet. Im Anschluss müssen die Sicherheitsgruppen in BC angelegt werden.
Bei der Anlage wird die Verbindung zur entsprechenden Entra-Sicherheitsgruppe hergestellt, indem in BC die entsprechende Sicherheitsgruppe aus Entra ausgewählt wird. Im letzten Schritt müssen der Sicherheitsgruppe in Business Central noch die Berechtigungssätze hinzugefügt werden.
Alle Benutzer erhalten dann die jeweiligen Berechtigungssätze aus den Sicherheitsgruppen, denen sie zugeordnet sind.
Dabei gibt es zwei kleine Unterschiede zwischen den Benutzergruppen und den Sicherheitsgruppen:
- Bei den Benutzergruppen wird am Benutzer entschieden, für welchen Mandanten die Berechtigungen aus dieser Benutzergruppe gelten. Bei den Sicherheitsgruppen hingegen wird der Mandant direkt am Berechtigungssatz an der Sicherheitsgruppe festgelegt.
Während die Benutzergruppen also unabhängig von Mandanten waren, enthalten die Sicherheitsgruppen die zugelassenen Mandanten. Wie bisher gilt, dass alle Mandanten berechtigt sind, wenn keine Einschränkung getroffen wird. - Wenn einem Benutzer eine Benutzergruppe zugeordnet wurde, wurden alle enthaltenen Berechtigungssätze in die Berechtigungssätze des jeweiligen Benutzers kopiert. Erhält ein Benutzer seine Berechtigungen über eine Sicherheitsgruppe, passiert das nicht.
Die Tabelle der Berechtigungssätze am Benutzer ist dann leer, solange keine zusätzlichen Berechtigungen „an den Sicherheitsgruppen vorbei“ vergeben wurden. Auf diese Weise lässt sich sehr einfach erkennen, welche zusätzlichen Berechtigungen ein Benutzer hat, die nicht aus einer Sicherheitsgruppe kommen.
Ablauf der Umstellung
Der einfachste Weg für die Umstellung besteht darin, für jede genutzte Benutzergruppe eine neue Sicherheitsgruppe anzulegen, die die gleichen Berechtigungssätze enthält. Die Benutzer werden dann in Entra den entsprechenden Sicherheitsgruppen zugeordnet, so wie sie bisher den Benutzergruppen zugeordnet waren.
Im oberen Screenshot sind angelegte Sicherheitsgruppen zu sehen, der separate Screenshot darunter zeigt die zugehörigen Factboxen auf der gleichen List. Dort sind die enthaltenen Berechtigungssätze zu sehen und welche Benutzer der ausgewählten Sicherheitsgruppe zugeordnet sind.
Falls Sie bisher eine Unterscheidung der Mandanten am Benutzer vorgenommen haben, müssen für diese Konstellationen separate Sicherheitsgruppen angelegt werden.
Zusätzlich empfiehlt es sich, die Berechtigungssätze aus den Benutzern zu löschen, damit wirklich nur noch die Berechtigungen aus den Sicherheitsgruppen greifen. Falls einzelne Benutzer zusätzliche Berechtigungen erhalten sollen, dürfen diese natürlich nicht gelöscht werden.
Im Screenshot sind die Benutzer-Factboxes zu sehen. Sie zeigen, welchen Sicherheitsgruppen ein Benutzer angehört und welche Berechtigungssätze daraus erteilt werden.
Weitere Anmerkungen
Falls die Funktionalität der Sicherheitsgruppen noch nicht aktiviert ist, muss das in der Funktionsverwaltung für alle Benutzer geschehen, bevor die Sicherheitsgruppen in Business Central angelegt werden!
Dabei kann eine Migrationsroutine von Microsoft genutzt werden, die alle Berechtigungssätze aus allen Benutzergruppen eines Benutzers in die jeweiligen Berechtigungssätze kopiert. Anschließend verschwinden die Benutzergruppen aus der Benutzeroberfläche. Der Eintrag in der Funktionsverwaltung heißt „Funktion: Benutzergruppenberechtigungen konvertieren“.
Die Sicherheitsgruppen können auch zuerst in der Sandbox konfiguriert werden. Sobald alle Sicherheitsgruppen fertig sind und die durchgeführten Tests erfolgreich funktioniert haben, können sie per Klick exportiert und in der Produktivumgebung importiert werden. Auch der Import darf erst nach der Umstellung in der Funktionsverwaltung erfolgen.
Die Möglichkeit, Berechtigungen über die Lizenz vorzugeben, besteht weiterhin. Wird ein neuer Benutzer angelegt, erhält dieser die in der Lizenzkonfiguration vorgegebenen Berechtigungssätze. Sollen ausschließlich Sicherheitsgruppen verwendet werden, müssen die Lizenzkonfigurationen entfernt werden.
Ist ein vollständiges Berechtigungskonzept unter Nutzung der Sicherheitsgruppen implementiert, empfehlen wir die Lizenzkonfiguration vollständig zu löschen. Auf diese Weise ist sichergestellt, dass neue Benutzer nicht doch versehentlich deutlich mehr Berechtigungen erhalten, als es die zugeordneten Sicherheitsgruppen vorsehen.
Zusammenfassung der Schritte
- Sicherheitsgruppen in Entra anlegen.
- Sicherheitsgruppen in Entra den Benutzern zuordnen.
- Umstellung auf Sicherheitsgruppen in der Funktionsverwaltung in BC.
- Anlegen und Konfigurieren der Sicherheitsgruppen in BC, alternativ Importieren.
- Überflüssige Berechtigungssätze aus Benutzer löschen.
Mein Fazit:
Wie bereits in der Einleitung erwähnt, sind die Sicherheitsgruppen ein guter Schritt für die zentrale Benutzerverwaltung eines Unternehmens. Sehr viele Lizenzen und Berechtigungen für andere Anwendungen und Plattformen von Microsoft werden ebenfalls in Entra gesteuert. Deshalb ist es eine logische Konsequenz, diese Verwaltung auch von Business Central in Entra zu verlegen.
In Zukunft können die Administratoren somit auch für Business Central die Lizenzen und Berechtigungen steuern, ohne selbst in BC tätig zu werden.
Genau wie bei den Benutzergruppen ergibt es natürlich Sinn, die Sicherheitsgruppen nach Rollen oder Abteilungen zu gliedern, damit ein übersichtliches und leicht verständliches Berechtigungskonzept entsteht.
Aus meiner Sicht ist niemandem geholfen, wenn es unüberschaubar viele Sicherheitsgruppen gibt und der „normale“ Anwender schon sehr vielen Gruppen zugeordnet ist. Das hängt aber auch immer mit der Größe des Unternehmens, der Organisationsstruktur und weitere Faktoren zusammen.
Unabhängig von den Berechtigungen geht es dann aber doch nicht ganz ohne Konfiguration eines Benutzers in BC. Es gibt weiterhin die Benutzer-Einrichtung, die Benutzereinstellung und ggf. noch weitere App-spezifische Benutzerkonfigurationen, die direkt in BC eingerichtet werden. Diese Einstellung verwalten in der Praxis oft auch Key-User, die sowieso regelmäßig im System unterwegs sind.
Für weitere hilfreiche Tipps & Tricks in Dynamics NAV / Business Central klicken Sie einfach oben auf den orangefarbenen Tag "Tipps & Tricks", dann finden Sie alle Beiträge im Überblick.
Möchten Sie keinen Beitrag mehr verpassen? Dann abonnieren Sie einfach den Blog und Sie werden automatisch per E-Mail benachrichtigt.
