Die Position von Microsoft in der Welt des Unternehmens- und Cloud-Computing ist sowohl dominant als auch gut dokumentiert: Es bietet mehrere der weltweit beliebtesten Betriebssysteme, Unternehmensanwendungen und Cloud-Dienste.
Von diesem Standpunkt aus ist Microsoft einzigartig positioniert, um eine umfassende IDM-Suite (Identity Management) bereitzustellen, die in Form von Azure Active Directory (Azure AD) angeboten wird.
Durch die enge Integration in den Rest der Software-Suite, die Kompatibilität mit einer Vielzahl von Apps und Ressourcen von Drittanbietern sowie eine hervorragende zugrunde liegende Sicherheitsarchitektur erhält Azure Active Directory zusammen mit dem Konkurrenten Okta die Auszeichnung "Editors 'Choice" in dieser Kategorie Identitätsmanagement.
Service Levels und Preise
Ein Bereich, in dem Microsoft anscheinend niemals führend sein wird, ist die transparente und leicht verständliche Preisgestaltung.
Azure AD hat seine Preisstruktur erneut geändert und ist jetzt in drei verschiedenen Preisstufen erhältlich.
Die kostenlose Schicht unterstützt bis zu eine halbe Million Objekte (Benutzer, Gruppen usw.), Single Sign-On (SSO) in bis zu 10 Cloud-Anwendungen, Integration in ein vorhandenes Verzeichnis oder Identitätsspeicher durch Synchronisierung oder Verbund, Self-Service-Passwort Änderung für Cloud-Benutzer, mobile App-basierte Multifaktor-Authentifizierung (MFA) und Unterstützung für Gastbenutzer.
Kunden von Unternehmensebenen der Office 365-Plattform von Microsoft (E1, E3, E5 oder F1) erhalten einige zusätzliche Vorteile von Azure AD kostenlos, darunter das Zurücksetzen von Self-Service-Kennwörtern (für verlorene oder vergessene Kennwörter) und eine Service Level Agreement (SLA) ).
Die Premium-Preisstufen P1 und P2 sind für 6 und 9 US-Dollar monatlich pro Benutzer erhältlich und bieten eine Vielzahl von Tools für die Integration in lokale Active Directory-Umgebungen.
Azure AD P1 und P2 bieten beide die Möglichkeit, die Verwendung bestimmter Kennwörter sowohl in Ihren Cloud-Identitäten als auch in Active Directory-basierten Konten zu verhindern, sowie die Möglichkeit für lokale Active Directory-Benutzer, allgemeine Kontoaktionen zu verwalten (Zurücksetzen / Ändern von Kennwörtern) , Konto entsperren) durch Selbstbedienung.
Lösungen wie Microsoft Cloud App Discovery, Azure AD Join und Application Proxy sowie eine Vielzahl von Verwaltungsfunktionen wie dynamische Gruppen und Sicherheitstools wie der bedingte Zugriff sind auch für Abonnenten eines Premium-Service-Levels aktiviert.
Premium P2-Abonnenten erhalten Zugriff auf zusätzliche Sicherheitsfunktionen wie das Erkennen von Schwachstellen und riskanten Konten, den risikobasierten bedingten Zugriff, das privilegierte Identitätsmanagement und das Berechtigungsmanagement.
Einstieg
Sobald Sie sich über die Preisgestaltung im Klaren sind, stellt sich heraus, dass Azure AD eine der einfachsten und flexibelsten Methoden zur Integration in eine vorhandene Active Directory-Umgebung in Form von Azure AD Connect bietet.
Azure AD Connect synchronisiert Objekte aus Active Directory in Azure AD und erleichtert die Authentifizierung entweder durch Kennwort-Hash-Synchronisierung, Passthrough-Authentifizierung oder Verbund mithilfe von Active Directory-Verbunddiensten (AD FS).
Jede dieser Methoden hat ihre eigenen Vor- und Nachteile, die von Sicherheit über Ausfallsicherheit bis hin zur Komplexität der Konfiguration reichen.
Der wichtigste Aspekt ist jedoch, dass Sie die Flexibilität haben, verschiedene Methoden basierend auf Geschäftsprioritäten zu aktivieren.
Das Installieren und Konfigurieren von Azure AD Connect ähnelt anderen Tools wie Okta und Idaptive und umfasst die Installation des Software-Agenten, das Konfigurieren der Verbindung zum Azure AD-Dienst sowie des lokalen Verzeichnisses und optional das Anpassen der Einstellungen für die Identitätssynchronisierung und Authentifizierung werden behandelt.
Einige Schlüsseleinstellungen, abgesehen von den zuvor angedeuteten Authentifizierungsmethoden, umfassen beispielsweise die Einschränkung der zu synchronisierenden Identitäten in Active Directory (angegeben durch Einschränkung des Umfangs der zu synchronisierenden Domänenstruktur und Verwendung von Gruppen zur Einschränkung der Synchronisierung).
Zu synchronisierende Attribute können auch mithilfe von Azure AD Connect angepasst und eingeschränkt werden.
Das Aktivieren der SSO-Authentifizierung für Cloud-Anwendungen in Azure AD ähnelt anderen von uns getesteten Plattformen.
Ein Anwendungskatalog führt Sie Schritt für Schritt durch den Konfigurationsprozess.
Eine Besonderheit von Azure AD ist die Möglichkeit, Authentifizierungsfehler einzufügen und entweder den Dienst das Problem für Sie lösen zu lassen oder Hinweise zur Hauptursache zu geben.
Dies kann ein großes Plus bei der Behebung von Authentifizierungsfehlern zwischen Azure AD und kritischen Geschäftsanwendungen sein.
Sichern der Cloud-Authentifizierung
Bei der Identitätsverwaltung geht es darum, die Sicherheit Ihres Unternehmens zu verbessern.
Azure AD und andere IDMs bieten verschiedene Funktionen, um dies zu erleichtern.
Das ultimative Ziel vieler Sicherheitsmanager besteht darin, MFA in Cloud-Anwendungen oder sogar in lokale Ressourcen wie Anwendungen, VPNs (Virtual Private Networks) oder sogar Business-Desktops zu integrieren.
MFA ist sicherlich ein nobles Ziel, das in hohem Maße erreichbar ist und zweifellos Ihre allgemeine Sicherheitslage verbessert, aber es ist nur eine Komponente einer erfolgreichen IDM-Strategie.
Sobald Ihre Identitäten für Azure AD verfügbar sind und Sie eine oder mehrere Anwendungen für die Authentifizierung konfiguriert haben, besteht der nächste große Schritt darin, Richtlinien für den bedingten Zugriff zu konfigurieren.
Eine Richtlinie für bedingten Zugriff zielt auf eine Reihe von Benutzern oder Gruppen, eine Auswahl von Cloud-Anwendungen und die Bedingungen ab, für die die Richtlinie gilt.
Sobald der Richtlinienbereich festgelegt ist, müssen Sie im nächsten Schritt definieren, was passiert, wenn ein Benutzerauthentifizierungsversuch den Kriterien entspricht.
Azure AD bietet die Möglichkeit, nicht nur bestimmte Authentifizierungsfaktoren zu erzwingen (oder den Versuch in bestimmten Szenarien abzulehnen), sondern Sie können eine Richtlinie ausschließlich für den Nur-Bericht-Modus konfigurieren, mit der Sie Authentifizierungsversuche, die Sie möglicherweise als riskant oder verdächtig empfinden, problemlos überwachen können.
Für den bedingten Zugriff ist eine Premium-Lizenz erforderlich, wobei Office 365- und Free Tier-Kunden in eine Konfiguration verwiesen werden, die als Sicherheitsstandards bezeichnet wird.
Für einen vordefinierten Satz von Bedingungen ist eine MFA-Registrierung und -Authentifizierung erforderlich.
IDM-Suiten funktionieren am besten, wenn sie Teil einer größeren Sicherheitsinfrastruktur für Unternehmen sind.
Insbesondere eine MDM-Suite (Mobile Device Management) ist eine weitere Schlüsselkomponente, die sich gut mit Ihrem IDM kombinieren lässt.
Azure AD unterstützt die Integration sowohl mit Microsoft Intune als auch mit einer Vielzahl von MDM-Lösungen von Drittanbietern wie VMware AirWatch von VMWare und Microsoft Intune.
Sobald ein MDM zugeordnet ist, können Sie die Gerätekonformität in Ihren Richtlinien für den bedingten Zugriff nutzen, z.
B.
MFA nur erforderlich, wenn ein Gerät nicht kompatibel ist.
Kompromittierte Identitäten sind schwer zu identifizieren, bevor ein Angriff identifiziert wird, ohne dass Werkzeuge für diesen Zweck entwickelt wurden.
Einige der von uns überprüften IDM-Suiten bieten eine Risikobewertung, die auf dem Authentifizierungsverhalten, dem Verlauf der Kennwortänderung, der MFA-Registrierung und in einigen Fällen auf der Existenz eines Benutzers in einer Datenbank mit gefährdeten Identitäten basiert.
Azure AD geht noch einen Schritt weiter, indem es automatisierte Korrekturschritte in Form eines blockierten Zugriffs unterstützt oder eine Kennwortänderung erfordert, wenn bestimmte Risikostufen erreicht werden.
Ein weiterer häufiger Bedrohungsvektor sind Benutzer, denen ein bestimmter Zugriff zu Recht gewährt wurde, entweder in Form von Benutzern, die ihre Rollen innerhalb eines Unternehmens geändert haben, oder von verärgerten Mitarbeitern, die das Unternehmen verlassen haben.
Die Deprovisionierung des Benutzerzugriffs ist in vielen Organisationen Teil einer Checkliste für die Ausverarbeitung, und Benutzer, die Abteilungen oder Rollen wechseln, haben normalerweise jemanden, der ihre Rechte prüft.
Geschäftsprozesse weisen jedoch unterschiedliche Erfolgsraten auf, wodurch ein Benutzer möglicherweise die Berechtigungen für Ressourcen behält, die er besitzt habe kein Geschäft mit Zugang zu.
Die Suite von Identity Governance-Tools von Azure AD unterstützt sowohl die Berechtigungsverwaltung als auch die Zugriffsüberprüfung.
Beide erleichtern die Verlagerung der Verwaltung von Benutzerrechten von Administratoren auf einen Vorgesetzten oder eine andere verantwortliche Partei.
Insbesondere können Zugriffsüberprüfungen den Supervisor regelmäßig auffordern, die Benutzer zu überprüfen, die Zugriff auf Ressourcen haben, die sie besitzen.
Bei Ressourcen, die besonders sensibel sind, kann der Benutzerzugriff auf diese Anwendungen sogar widerrufen werden, wenn der Prüfer nicht auf die Zugriffsprüfung reagiert.
Gut gerundet und eng integriert
Insgesamt hält Microsoft Azure AD weiterhin an der Spitze des Identitätsverwaltungspakets, insbesondere wenn Sie bereits Microsoft Azure-Kunde sind.
In Verbindung mit einer vorhandenen Infrastruktur, die auf Microsoft-Plattformen wie Intune und Office 365 ausgeführt wird, ist es schwierig, nicht zu mögen, was Microsoft für die Verwaltung und Sicherung Ihres Unternehmens auf den Tisch bringt.
Microsoft Azure Active Directory
Vorteile
Einfache Verzeichnisverbindung, die in wenigen Minuten abgeschlossen werden kann
Integriert sich nahtlos in MFA- und MDM-Anbieter von Drittanbietern
Identity Governance kann IT-Ressourcen freisetzen, indem regelmäßige aufsichtliche Überprüfungen automatisiert werden
Gleiches Administratorportal für vorhandene Azure-Kunden
View More
Das Fazit
Microsoft ist ein Power Player für Cloud-Dienste, und Azure AD bietet die Möglichkeit, Identitäten und Authentifizierung in Ihrer gesamten Unternehmensinfrastruktur zu sichern, ohne den Verwaltungsaufwand wesentlich zu beeinträchtigen, insbesondere wenn Sie bereits in die Microsoft Cloud-Plattform investiert haben.
Microsoft Azure Active Directory-Spezifikationen
Vom Benutzer anpassbares SSO-Portal
Ja
User Self-Service
Ja
Mehrere SSO-Richtlinien
Ja
Passwortsynchronisierung
Ja
SaaS-Bereitstellung
Ja
Verzeichnisverbinder
Ja
Integration mehrerer Verzeichnisse
Ja
Authentifizierung bei lokalen Apps
Ja
Multifaktoranbieter von Drittanbietern
Nein
MDM-Integration von Drittanbietern
Ja
Berichtsbibliothek
Ja
Die Position von Microsoft in der Welt des Unternehmens- und Cloud-Computing ist sowohl dominant als auch gut dokumentiert: Es bietet mehrere der weltweit beliebtesten Betriebssysteme, Unternehmensanwendungen und Cloud-Dienste.
Von diesem Standpunkt aus ist Microsoft einzigartig positioniert, um eine umfassende IDM-Suite (Identity Management) bereitzustellen, die in Form von Azure Active Directory (Azure AD) angeboten wird.
Durch die enge Integration in den Rest der Software-Suite, die Kompatibilität mit einer Vielzahl von Apps und Ressourcen von Drittanbietern sowie eine hervorragende zugrunde liegende Sicherheitsarchitektur erhält Azure Active Directory zusammen mit dem Konkurrenten Okta die Auszeichnung "Editors 'Choice" in dieser Kategorie Identitätsmanagement.
Service Levels und Preise
Ein Bereich, in dem Microsoft anscheinend niemals führend sein wird, ist die transparente und leicht verständliche Preisgestaltung.
Azure AD hat seine Preisstruktur erneut geändert und ist jetzt in drei verschiedenen Preisstufen erhältlich.
Die kostenlose Schicht unterstützt bis zu eine halbe Million Objekte (Benutzer, Gruppen usw.), Single Sign-On (SSO) in bis zu 10 Cloud-Anwendungen, Integration in ein vorhandenes Verzeichnis oder Identitätsspeicher durch Synchronisierung oder Verbund, Self-Service-Passwort Änderung für Cloud-Benutzer, mobile App-basierte Multifaktor-Authentifizierung (MFA) und Unterstützung für Gastbenutzer.
Kunden von Unternehmensebenen der Office 365-Plattform von Microsoft (E1, E3, E5 oder F1) erhalten einige zusätzliche Vorteile von Azure AD kostenlos, darunter das Zurücksetzen von Self-Service-Kennwörtern (für verlorene oder vergessene Kennwörter) und eine Service Level Agreement (SLA) ).
Die Premium-Preisstufen P1 und P2 sind für 6 und 9 US-Dollar monatlich pro Benutzer erhältlich und bieten eine Vielzahl von Tools für die Integration in lokale Active Directory-Umgebungen.
Azure AD P1 und P2 bieten beide die Möglichkeit, die Verwendung bestimmter Kennwörter sowohl in Ihren Cloud-Identitäten als auch in Active Directory-basierten Konten zu verhindern, sowie die Möglichkeit für lokale Active Directory-Benutzer, allgemeine Kontoaktionen zu verwalten (Zurücksetzen / Ändern von Kennwörtern) , Konto entsperren) durch Selbstbedienung.
Lösungen wie Microsoft Cloud App Discovery, Azure AD Join und Application Proxy sowie eine Vielzahl von Verwaltungsfunktionen wie dynamische Gruppen und Sicherheitstools wie der bedingte Zugriff sind auch für Abonnenten eines Premium-Service-Levels aktiviert.
Premium P2-Abonnenten erhalten Zugriff auf zusätzliche Sicherheitsfunktionen wie das Erkennen von Schwachstellen und riskanten Konten, den risikobasierten bedingten Zugriff, das privilegierte Identitätsmanagement und das Berechtigungsmanagement.
Einstieg
Sobald Sie sich über die Preisgestaltung im Klaren sind, stellt sich heraus, dass Azure AD eine der einfachsten und flexibelsten Methoden zur Integration in eine vorhandene Active Directory-Umgebung in Form von Azure AD Connect bietet.
Azure AD Connect synchronisiert Objekte aus Active Directory in Azure AD und erleichtert die Authentifizierung entweder durch Kennwort-Hash-Synchronisierung, Passthrough-Authentifizierung oder Verbund mithilfe von Active Directory-Verbunddiensten (AD FS).
Jede dieser Methoden hat ihre eigenen Vor- und Nachteile, die von Sicherheit über Ausfallsicherheit bis hin zur Komplexität der Konfiguration reichen.
Der wichtigste Aspekt ist jedoch, dass Sie die Flexibilität haben, verschiedene Methoden basierend auf Geschäftsprioritäten zu aktivieren.
Das Installieren und Konfigurieren von Azure AD Connect ähnelt anderen Tools wie Okta und Idaptive und umfasst die Installation des Software-Agenten, das Konfigurieren der Verbindung zum Azure AD-Dienst sowie des lokalen Verzeichnisses und optional das Anpassen der Einstellungen für die Identitätssynchronisierung und Authentifizierung werden behandelt.
Einige Schlüsseleinstellungen, abgesehen von den zuvor angedeuteten Authentifizierungsmethoden, umfassen beispielsweise die Einschränkung der zu synchronisierenden Identitäten in Active Directory (angegeben durch Einschränkung des Umfangs der zu synchronisierenden Domänenstruktur und Verwendung von Gruppen zur Einschränkung der Synchronisierung).
Zu synchronisierende Attribute können auch mithilfe von Azure AD Connect angepasst und eingeschränkt werden.
Das Aktivieren der SSO-Authentifizierung für Cloud-Anwendungen in Azure AD ähnelt anderen von uns getesteten Plattformen.
Ein Anwendungskatalog führt Sie Schritt für Schritt durch den Konfigurationsprozess.
Eine Besonderheit von Azure AD ist die Möglichkeit, Authentifizierungsfehler einzufügen und entweder den Dienst das Problem für Sie lösen zu lassen oder Hinweise zur Hauptursache zu geben.
Dies kann ein großes Plus bei der Behebung von Authentifizierungsfehlern zwischen Azure AD und kritischen Geschäftsanwendungen sein.
Sichern der Cloud-Authentifizierung
Bei der Identitätsverwaltung geht es darum, die Sicherheit Ihres Unternehmens zu verbessern.
Azure AD und andere IDMs bieten verschiedene Funktionen, um dies zu erleichtern.
Das ultimative Ziel vieler Sicherheitsmanager besteht darin, MFA in Cloud-Anwendungen oder sogar in lokale Ressourcen wie Anwendungen, VPNs (Virtual Private Networks) oder sogar Business-Desktops zu integrieren.
MFA ist sicherlich ein nobles Ziel, das in hohem Maße erreichbar ist und zweifellos Ihre allgemeine Sicherheitslage verbessert, aber es ist nur eine Komponente einer erfolgreichen IDM-Strategie.
Sobald Ihre Identitäten für Azure AD verfügbar sind und Sie eine oder mehrere Anwendungen für die Authentifizierung konfiguriert haben, besteht der nächste große Schritt darin, Richtlinien für den bedingten Zugriff zu konfigurieren.
Eine Richtlinie für bedingten Zugriff zielt auf eine Reihe von Benutzern oder Gruppen, eine Auswahl von Cloud-Anwendungen und die Bedingungen ab, für die die Richtlinie gilt.
Sobald der Richtlinienbereich festgelegt ist, müssen Sie im nächsten Schritt definieren, was passiert, wenn ein Benutzerauthentifizierungsversuch den Kriterien entspricht.
Azure AD bietet die Möglichkeit, nicht nur bestimmte Authentifizierungsfaktoren zu erzwingen (oder den Versuch in bestimmten Szenarien abzulehnen), sondern Sie können eine Richtlinie ausschließlich für den Nur-Bericht-Modus konfigurieren, mit der Sie Authentifizierungsversuche, die Sie möglicherweise als riskant oder verdächtig empfinden, problemlos überwachen können.
Für den bedingten Zugriff ist eine Premium-Lizenz erforderlich, wobei Office 365- und Free Tier-Kunden in eine Konfiguration verwiesen werden, die als Sicherheitsstandards bezeichnet wird.
Für einen vordefinierten Satz von Bedingungen ist eine MFA-Registrierung und -Authentifizierung erforderlich.
IDM-Suiten funktionieren am besten, wenn sie Teil einer größeren Sicherheitsinfrastruktur für Unternehmen sind.
Insbesondere eine MDM-Suite (Mobile Device Management) ist eine weitere Schlüsselkomponente, die sich gut mit Ihrem IDM kombinieren lässt.
Azure AD unterstützt die Integration sowohl mit Microsoft Intune als auch mit einer Vielzahl von MDM-Lösungen von Drittanbietern wie VMware AirWatch von VMWare und Microsoft Intune.
Sobald ein MDM zugeordnet ist, können Sie die Gerätekonformität in Ihren Richtlinien für den bedingten Zugriff nutzen, z.
B.
MFA nur erforderlich, wenn ein Gerät nicht kompatibel ist.
Kompromittierte Identitäten sind schwer zu identifizieren, bevor ein Angriff identifiziert wird, ohne dass Werkzeuge für diesen Zweck entwickelt wurden.
Einige der von uns überprüften IDM-Suiten bieten eine Risikobewertung, die auf dem Authentifizierungsverhalten, dem Verlauf der Kennwortänderung, der MFA-Registrierung und in einigen Fällen auf der Existenz eines Benutzers in einer Datenbank mit gefährdeten Identitäten basiert.
Azure AD geht noch einen Schritt weiter, indem es automatisierte Korrekturschritte in Form eines blockierten Zugriffs unterstützt oder eine Kennwortänderung erfordert, wenn bestimmte Risikostufen erreicht werden.
Ein weiterer häufiger Bedrohungsvektor sind Benutzer, denen ein bestimmter Zugriff zu Recht gewährt wurde, entweder in Form von Benutzern, die ihre Rollen innerhalb eines Unternehmens geändert haben, oder von verärgerten Mitarbeitern, die das Unternehmen verlassen haben.
Die Deprovisionierung des Benutzerzugriffs ist in vielen Organisationen Teil einer Checkliste für die Ausverarbeitung, und Benutzer, die Abteilungen oder Rollen wechseln, haben normalerweise jemanden, der ihre Rechte prüft.
Geschäftsprozesse weisen jedoch unterschiedliche Erfolgsraten auf, wodurch ein Benutzer möglicherweise die Berechtigungen für Ressourcen behält, die er besitzt habe kein Geschäft mit Zugang zu.
Die Suite von Identity Governance-Tools von Azure AD unterstützt sowohl die Berechtigungsverwaltung als auch die Zugriffsüberprüfung.
Beide erleichtern die Verlagerung der Verwaltung von Benutzerrechten von Administratoren auf einen Vorgesetzten oder eine andere verantwortliche Partei.
Insbesondere können Zugriffsüberprüfungen den Supervisor regelmäßig auffordern, die Benutzer zu überprüfen, die Zugriff auf Ressourcen haben, die sie besitzen.
Bei Ressourcen, die besonders sensibel sind, kann der Benutzerzugriff auf diese Anwendungen sogar widerrufen werden, wenn der Prüfer nicht auf die Zugriffsprüfung reagiert.
Gut gerundet und eng integriert
Insgesamt hält Microsoft Azure AD weiterhin an der Spitze des Identitätsverwaltungspakets, insbesondere wenn Sie bereits Microsoft Azure-Kunde sind.
In Verbindung mit einer vorhandenen Infrastruktur, die auf Microsoft-Plattformen wie Intune und Office 365 ausgeführt wird, ist es schwierig, nicht zu mögen, was Microsoft für die Verwaltung und Sicherung Ihres Unternehmens auf den Tisch bringt.
Microsoft Azure Active Directory
Vorteile
Einfache Verzeichnisverbindung, die in wenigen Minuten abgeschlossen werden kann
Integriert sich nahtlos in MFA- und MDM-Anbieter von Drittanbietern
Identity Governance kann IT-Ressourcen freisetzen, indem regelmäßige aufsichtliche Überprüfungen automatisiert werden
Gleiches Administratorportal für vorhandene Azure-Kunden
View More
Das Fazit
Microsoft ist ein Power Player für Cloud-Dienste, und Azure AD bietet die Möglichkeit, Identitäten und Authentifizierung in Ihrer gesamten Unternehmensinfrastruktur zu sichern, ohne den Verwaltungsaufwand wesentlich zu beeinträchtigen, insbesondere wenn Sie bereits in die Microsoft Cloud-Plattform investiert haben.
