Was ist Azure Active Directory?
Azure Active Directory (Azure AD) ist ein Cloud-Dienst für die Zugangskontrolle und das Identitätsmanagement – sowohl für Cloud- als auch für On-Premises-Anwendungen. Der Cloud-Dienst gibt Administratoren Freiheit in der Entscheidung, welche Information in der Cloud bleibt, wer diese Informationen verwalten kann und wer Zugriff darauf bekommt. Eines der Hauptfeatures ist das einmalige Anmelden (Single Sign-On). Es bleibt dem User erspart, sich anwendungsspezifische Kennwörter zu merken und sich für jede Anwendung anzumelden.
Auf eine Vielzahl von Software as a Service (SaaS)-Angeboten kann über Azure Active Directory mit einem einzelnen, zentralen Account zugegriffen werden. Darunter Salesforce, AWS, GitHub oder Asana. Bei Office 365 ist die Nutzerauthentifizierung und die Identitätsverwaltung schon von vornherein mit Azure AD gelöst und enthalten. Microsoft Azure AD kann kleinen und mittleren Unternehmen helfen, die Zusammenarbeit, Produktivität und Sicherheit zu verbessern, egal ob Ihr Team im Büro ist oder remote arbeitet, wenn es auf Ihr Netzwerk zugreift.
Identitätsmanagement mit Azure AD
Für das Identitätsmanagement bietet Azure AD diverse Möglichkeiten. Diese reichen von einer Multifaktorauthentifizierung über Gruppen und Passwort-Verwaltung bis hin zu Statistiken über das Nutzungsverhalten von Anwendern.
Azure AD kann in eine existierende Windows Server Active Directory-Struktur integriert werden und ermöglicht die Bearbeitung aller identitätsbezogenen Anforderungen an einer zentralen Stelle, vereinfacht dadurch IT-Prozesse und spart Kosten. Sobald Sie sich in Office 365, SharePoint oder Exchange Online angemeldet haben, sind Sie automatisch ein Azure AD-Mandant, in dem Sie alle Benutzer im Unternehmen sowie die Kennwörter, Berechtigungen, Benutzerdaten usw. verwalten können.
Azure AD stellt nicht nur eine nahtlose Verbindung zu Microsoft-Online Services her, sondern kann auch mit einer einzigen Anmeldung eine Verbindung zu hunderten SaaS-Anwendungen herstellen. Auf diese Weise können Mitarbeiter auf die Daten des Unternehmens zugreifen, ohne sich wiederholt anmelden zu müssen. Das Zugriffstoken wird lokal auf dem Gerät des Mitarbeiters gespeichert. Außerdem können Sie den Zugriff einschränken, indem Sie Ablaufdaten für Token erstellen.
Für Unternehmen/Organisationen, die bereit sind, ihre lokale Active Directory-Struktur in Azure AD zu integrieren, bietet Azure AD Connect einen automatischen Synchronisierungsmechanismus. Mittels Synchronisierung von Benutzerkonten in ihrem lokalen Active Directory und Azure Active Directory können Benutzer einen einheitlichen Satz von Anmeldeinformationen verwenden, um auf Office365 und lokale Netzwerkressourcen zuzugreifen.
Für wen ist Azure Active Directory?
- Azure AD bietet von sich aus sehr viele Möglichkeiten zur vereinfachten und zentralisierten Administration.
- Es gibt vier verschiedene Pläne, je besser, desto mehr Features sind verfügbar. Jeder Kunde muss für sich entscheiden, welcher Plan für das eigene Unternehmen bzw. die eigne Organisation geeignet ist.
- Bei jeden Office 365 Plan ist die Basis-Variante von Azure AD bereits enthalten.
Editionen von Azure Active Directory
Azure Active Directory ist in vier Editionen erhältlich: Free, Office 365-Apps, Premium Plan 1 und Premium Plan 2.
1. Azure Active Directory Free
Die kostenlose Edition ist in einem Office 365-Abonnement enthalten. Natürlich hat diese kostenlose Variante die meisten Einschränkungen. Diese Variante hat ein Objektlimit von 500.000 Objekten. Objekte bedeuten in diesem Fall technisch alles, was einen „Distinguished Name“ hat (Benutzer, Computer, Gruppen). Weitere Einschränkungen sind die fehlende Grund- und Premiumfunktion, zudem auch eine Service Level Agreements (SLA) gehört.
2. Azure Active Directory Office 365-Apps
Die Preisklasse verfügt neben einem SLA über weitere Funktionen, die sich von der kostenlosen Lizenz unterscheiden. Enthalten ist dabei die gruppenbasierte Zugriffsverwaltung.
Die gruppenbasierte Zugriffsverwaltung und -bereitstellung erlaubt die Verwaltung der Zugriffsrechte von Gruppen, darunter zählen beispielsweise Postfächer in Office365, aber auch Ressourcen in Azure selbst. Dies ist auch die Grundlage für die Bereitstellung von Diensten und Ressourcen basierend auf der Gruppenmitgliedschaft.
Passwort Self-Service für Cloud Benutzer bedeutet, dass Cloud-basierte Identitäten ihre eigenen Passwörter zurücksetzen können, wenn sie eingerichtet wurden.
Unternehmensbranding oder Corporate Branding ermöglichen die Individualisierung der Anmeldeseite und Sicherstellung, dass auf Azure AD-basierten Verknüpfungen auch das angepasste Firmenlogo zu sehen ist.
Der Reverse Proxy (Anwendungsproxy) kann genutzt werden, um interne Webanwendungen über das Internet zur Verfügung zu stellen.
3. Azure AD Premium P1 Lizenz
Die Azure AD Premium P1 Lizenz enthält alle Funktionen, die in Azure AD Free und Basic vorhanden sind. Hinzukommen noch ein paar Premium-Funktionen. Darunter erweiterte Gruppenfunktionen, Passwort-Self-Service, Zwei-Wege-Synchronisation, Multi-Faktor-Authentifizierung, Produkt Cloud App Discovery, Cloud Health und Conditional Access.
Unter den erweiterten Gruppenfunktionen versteht man das Berechtigungsmanagement für die Gruppenverwaltung, Gruppenablauf und noch andere Funktionen rund um Gruppen.
Passwort-Self-Service ermöglicht es, Benutzern mit dem aktivierten Zurückschreiben auch für On-Premise-Benutzer, das Ändern und Entsperren des eigenen Kennwortes.
Die Zwei-Wege-Synchronisation für Geräte dient dem Übertragen von Azure AD-Geräten in das lokale Active Directory.
Multi-Faktor-Authentifizierung: Die Authentifizierung kann über verschiedene Faktoren funktionieren:
- Wissen: Zum Beispiel das Passwort
- Eigentümer: Zum Beispiel ein vertrauenswürdiges Gerät wie ein persönliches Smartphone oder ein Sicherheitstoken
- Biometrie: Zum Beispiel Fingerabdrücke, Gesichtsmuster, Netzhaut- oder Venenscans
Wenn die Authentifizierung nur über ein Kennwort erfolgt, kann dies einen Angriffsvektor darstellen und mit Unsicherheit verbunden sein. Wenn das Kennwort entschlüsselt wird, gibt es keinen weiteren Sicherheitsmechanismus, der vor einem Angreifer schützt. Weitere Authentifizierungs-Verfahren erhöhen die Sicherheit.
Mit dem Produkt Cloud App Discovery/Microsoft Cloud App Security Integration ist es möglich, die Nutzung von Cloud-Diensten zu analysieren. Das Ziel dabei ist es, die sogenannte Schatten-IT (Systeme, die nicht von der IT verwaltet werden, aber für Unternehmenszwecke genutzt werden) aufzuspüren.
Die Connect Health-Funktion dient der Überwachung der Verbindung zwischen den Systemen, die an der Authentifizierung beteiligt sind. Es lässt sich somit eine zuverlässige Verbindung mit Office 365 und Microsoft Online Services sicherstellen. Die Alarmierung kann unter anderem durch Emails erfolgen.
Die Funktion des bedingten Zugriffes (Conditional Access) ermöglicht die Steuerung der Ressourcen und Zusammenführung von Signalen. Zum Beispiel kann bestimmt werden, von welchen Unternehmensgeräten der Zugriff auf bestimmte Systeme erfolgen darf oder aus welchem Land der Zugriff nicht erlaubt ist – bspw. auf einer Dienstreise oder im Urlaub. Der bedingte Zugriff ist der Kern der neuen identitätsbasierten Steuerungsebene.
4. Azure AD Premium P2 Lizenz
Azure AD Premium P2 Lizenz enthält alle Funktionen, die in Azure AD Free, Basic und Premium P1 vorhanden sind, hinzukommen noch ein paar Premium-Funktionen. Darunter Identity Protection, Privileged Identity Management, Zugriffsüberprüfung und die Analyse von privilegierten Rechten.
Mit der Identity Protection können Nutzerkonten gesichert werden. Um Risiken zu analysieren werden dabei unter anderem Nutzerverhalten und Maschine Learning Methoden verwendet. Es können auch automatische Maßnahmen ergriffen werden. Dies hängt von dem ermittelten Risiko ab. Ein Beispiel wäre die Abfrage weiterer Authentifizierungs-Faktoren bei der Anmeldung oder die Verweigerung der Anmeldung. Um weitere Analysen vorzunehmen, werden Risikoerkennungsdaten in Hilfsprogrammen von Drittanbietern exportiert.
Privileged Identity Management erlaubt die rollenbasierte Verwaltung von privilegierten Rechten. Dabei werden auch Funktionen wie Just-in-time, zeitlich begrenzte oder genehmigungspflichtige Zuweisung ermöglicht. Ebenfalls ist es möglich, dass der Anwender den Grund für die erweiterten Rechte dokumentieren muss oder dass eine Benachrichtigung erfolgt.
Für Zugriffsüberprüfungen mit Access Review stellt Microsoft eine Funktion bereit, die sich dem Thema Zugriffsrechte und auch deren Life-Cycle widmet. Unternehmen können Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen und Rollenzuweisungen effizient verwalten.
Analyse von privilegierten Rechten bedeutet die Überprüfung von Berechtigungen nach Veränderung der Rolle des Mitarbeiters, wenn dieser zum Beispiel seine Abteilung wechselt oder neu in die Organisation kommt. Dazu erfolgt eine regelmäßige Überprüfung, ob bestimmte Rechte noch benötigt werden.
Die Vorteile von Azure AD auf einen Blick
- Administratoren haben die Freiheit, zu entscheiden, welche Informationen/Daten in der Cloud bleiben, wer darauf Zugriff bekommt und welche Dienste auf die Anwendungen zugreifen können.
- Azure AD kann auch vor Ort integriert werden. Dabei kann Azure AD Connect Health verwendet werden. Dabei können die Administratoren auch Single Sign-On (SSO) einrichten. Dies hat den praktischen Vorteil, dass die Zugangsdaten nicht für unterschiedliche Cloud-Anwendungen mehrfach eingeben werden müssen.
- Diverse Plattformen können die Anmeldedienste von Azure AD verbinden, so dass auf vielen Plattformen immer nur die eine Anmeldung verwendet werden muss.
- Der Zugang zu den persönlichen Daten ist weltweit und rund um die Uhr möglich.
- Benutzer können mit Ihrer Anmeldung als Gast anderen Unternehmen beitreten. Dort können Sie dann in Teilbereichen mitwirken und es ist transparent und nachvollziehbar.
- Es können hohe Anforderungen an die Sicherheit realisiert werden. So bringt Azure AD auch eine Möglichkeit zur Multi-Faktor-Authentifizierung mit.
Microsoft Azure Active Directory im Überblick
In unserer pdf-Datei erhalten Sie die wichtigsten Informationen noch einmal im Überblick.
Bildquellen: ©TechnoVectos@shutterstock, Microsoft, N+P