Microsoft hat innerhalb der Cloud Funktionalitäten die sogenannten Azure AD Premium Funktionen bereit gestellt.

Für viele ist dies nur eine Lizenz, da sich diese Option entweder nur über einen Volumenlizenzvertrag oder über Partner als Voucher bestellen lässt.

Was wenige wissen, ist das sich dies aber auch auf monatlicher Basis und pro Benutzer abrechnen lässt. Die ANK Business Services GmbH, mein Arbeitgeber, ist nun schon seit einiger Zeit Mitglied im ausgewählten Microsoft CSP (Cloud Solution Provider) Programm. Über dieses Programm bieten wir sogenannte “Managed hCloud Services” (Hybrid Cloud Dienste) an. Die hierfür benötigten Lizenzen rechnen wir mit dem Kunden direkt auf monatlicher Verbrauchsbasis ab, so auch die optionale Lizenz für das Azure AD Premium.

Doch was versteckt sich dahinter? Nur eine Lizenz oder auch Funktionen?

In erster Linie natürlich eine Lizenz, aber nur, um die vielen vielen Funktionen auch einem Endlunden gegenüber berechnen zu können.

Die Hauptfunktionen beziehen sich auszugsweise auf:

  • Benutzerverwaltung
  • Sicherheit Audit (Berichte)
  • Sicherheitsgruppenverwaltung
  • Self Service Optionen
  • SLA
  • Multi Faktor Authentifizierung
  • Extranet Zugriffsszenarien
  • Benutzerspezifische Layoutanpassung

In diesem Artikel möchte ich kurz auf die Benutzerverwaltung bzw. das Self Service Portal eingehen. Denn in der on-premises Welt ist dies eine der häufigsten Supportaufkommen… “Ich habe das Passwort vergessen”… Hierzu bietet das klassiche Windows keine durchgehende Lösung. Und bei Nutzung eines Citrix Gateways oder eines SharePoint Portals als einzige webbasierte Schnittstelle für Benutzer auch keine Möglichkeit. Wenn hier das Passwort falsch eingegeben wurde und das Benutzerkonto gesperrt wurde oder das Passwort aufgrund einer internen Richtlinie abgelaufen ist, dann geht in der aller Regel der Weg nur über ein Support Ticket bei einem HelpDesk. Dies ist nicht nur kostenaufwendig (es soll Verträge mit über 50,- EUR pro Ticket geben) sondern ist auch mit einem erhöhten Aufwand in der Implementation verbunden. Hinzu kommt, das man dem Support Center / HelpDesk die volle Kontrolle auf die Benuterkonten gibt, da oft nur die Standard AD Management Konsole zur Verfügung gestellt wird, statt eines webbasierten Prozeßes mit dedizierten Benutzerrollen. Oft gibt es dann auch Verträge nach dem Motto “Follow the Sun” und dann kann “irgendein” HelpDesk das Passwort zurücksetzen und man weiß als Endbenutzer gar nicht, in welchem Land diejenige Person sitzt.

Hier greifen dann Tools, die oft nur eine Teillösung des Problems sind. So gibt es Tools, die zwar auf einem Windows Desktop einen Hinweis zum Passwortwechsel anzeigen, aber nicht in den anderen Webapplikationen wie SharePoint. Und wenn man dann eine Lösung in SharePoint hinein programmiert, was im Übrigen seit SharePoint 2013 nicht mehr geht, da die Schnittstelle nicht mehr existent ist, dann weiß wieder nichts der Desktop Client.

Hier kann nun das Microsoft Azure AD, speziell Azure AD Premium unterstützen und die meisten Vorfälle sicher bedienen.

Der erste Weg in ein zentrales Identity Management ist die Synchronisierung in ein einzelnes Repository, hier das Azure AD. Erst wenn wir eine zentrale Instanz aller Benutzerobjekte geschaffen haben, können wir gezielt die verschiedensten Geschäftsvorfälle betrachten und den Auswirkungen entgegen treten.

image

 

Nachdem wir mit Unterstützung von z.B. “Azure AD Connect” eine Synchronisierung und Standardisierung der Benutzerobjekte implementiert haben, können wir uns nun um die Premium Funktionen kümmern.

image

 

Richtlinie zum Zurücksetzen des Passworts

Wenn wir hier auf “Ja” klicken, können wir folgende Eigenschaften definieren:

image

image

image

 

Und so sieht die Seite für einen Benutzer aus, wenn er seine Kontaktdaten registrieren soll:

image

Wir haben nun mit der reinen Aktivierung “Richtlinien zum Zurücksetzen des Passworts” eine Menge an neuen Optionen, die oft zusätzliche Infrastrukturen oder Applikationen benötigen, erhalten:

  • Verwaltung von Benutzerkonten an einer zentralen Stelle
  • Verwaltung von Benutzerspezifischen Optionen, die der Benutzer anpassen kann (externe eMail, Telefonnummer, eigene Fragen, …)

Das ist dann auch schon die Konfiguration des “Self Service Portals” zum Paswort zurücksetzen. Doch wie kommt der Benutzer dahin?

Dazu sind mehrere Links vorhanden:

https://account.activedirectory.windowsazure.com/PasswordReset/Register.aspx

Nachdem in diesem Beispiel mindestens eine Methode zur Authentifizierung durch den Benutzer registriert wurde, hat dieser nun Zugriff auf die Option

image

 

https://account.activedirectory.windowsazure.com/profile/

image

 

Nun haben wir mit Azure AD Premium aber nicht nur ein Self Service Portal und eine Multi Faktor Authentifizierung, sondern auch ein zusätzliches Berichtswesen.

image

 

Diese Berichte kann dann ein Compliance Administrator bei Bedarf einsehen. Es gibt aber auch Warnungen per eMail, sollte etwas “verdächtiges” passieren

image

 

Ich persönlich habe so eine eMail letztes Jahr erhalten (und das war bisher die einzige Smile ). Dies lag aber daran, das ich zu diesem Zeitpunkt mich in Wien aufhielt (SharePoint Konferenz) und mich per Remote Server aber in Deutschland anmeldete. Hier hat das System erkannt, das ich mich im gleichen Moment sowohl von einer Lokation in Wien und von einer Lokation an einem Deutschen IP Netz anmeldete.

 

Und mit dieser Funktion wird ebenfalls ein Standard Problem in der “alten” on-premises Welt unterstützt. Denn aus Angst vor Angriffen auf das lokale AD, werden entweder Unmengen an Extranet Szenarien gebildet, die manchmal das Arbeiten gar nicht mehr ermöglichen oder aber die Versuche, ein Passwort falsch einzusetzen wird auf ein Minimum rediziert. Im letzteren Fall wird dann aber oft etwas wichtiges vergessen…

Wenn ich die Versuche für eine Passwort Eingabe auf ein Minimum reduziere, erhöhe ich gleichfalls die Wahrscheinlichkeit, das ein Benutzerkonto unberechtigt gesperrt wird. Warum?
Wenn wir die Theorie von Microsoft betrachten, das ein Benutzer heute bis zu 5 Geräte hat, die Passwort Eingabe aber nur auf 3 Versuche reduziert wird… Was passiert wohl dann?

Richtig, spätestens, wenn ein Smartphone sich über Active Sync versucht zu authentifizieren, wird dieses fehl schlagen. Wenn der Benutzer sich eventuell noch an anderen Applikationen angemeldet hat und der Zugriffstoken erneuert wird, dann sind das wieder falsche Passworteingaben.

Durch die Auslagerung bzw. Implementation eines zentralen Benutzermanagement erhalten wir also auch zugleich die technische Umgebung, Angriffe auf unsere Benutzerkonten nicht nur durch Multi Faktor Authentifizierungen zu minimieren, sondern auch eine Sicherheitsumgbeung mit diversen Mechanismen, die sofort bei Gefahrenerkennung greifen.

Z.B. Brut Force Attacken, diese werden aus dem internen Netzwerk herausgehalten, sie finden in der Microsoft Azure Umgebung statt. Ein möglicher Angriff beeinträchtigt also nicht unser lokales Netzwerk. Und damit befolgen wir sogar gesetzliche Bestimmungen, wie z.B. BDSG §9. (https://www.bfdi.bund.de/bfdi_wiki/index.php/Technische_und_organisatorische_Ma%C3%9Fnahmen)

Ein Microsoft Azure AD kann also im Verhältnis zu den Kosten, nicht nur eine Vielzahl von Sicherheitsfunktionen bereit stellen, sondern auch durch eine rasche Implementation erhebliche Projektkosten im klassichen Sinne einsparen.
Bitte nicht vergessen… Je nach Umgebungsgröße ist selbstverständlich ein Projekt mit ausreichender Dokumentation und Prozessentwicklung notwendig, diese Arbeit kann nicht durch einen Clouddienst abgenommen werden, aber stark vereinfacht werden.

Sollte nun das Interesse an ein Azure AD Premium Test geweckt worden sein, so bieten wir hier verschiedene Möglichkeiten an.

Für größere Umgebungen schreiben Sie uns zum Thema “Fasttrack” an (office@ankbs.de), bei kleineren Umgebungen generieren wir sehr gerne einen Link, in dem Sie das direkt nutzen können und jederzeit wieder Kündigungen können.

Aber vielleicht sind Sie ja auch Gewinner im diesjährigen Adventskalender Smile

Frohe Weihnachtszeit

Michael

Anhang:

Übersicht über die Azure AD Funktionen, aufgelistet nach Lizenzform

image

The short URL of the present article is: http://wp.me/p1MQAv-17y

Tagged with:

Filed under: AzureCloudOffice 365 GridOffice365Security