Management von Identitäten und Authentifizierungsverfahren

Jedes Unternehmen steht bei der Einführung von Microsoft 365 Diensten vor den gleichen Herausforderungen des Identitäts-Management und den möglichen Authentifizierungsverfahren.

Da nahezu wöchentlich neue Features freigegeben werden, möchte ich mit dieser Serie einen Einblick in die wesentlichen Funktionen und Herausforderungen bei der Einführung von Azure Active Directory geben.

Was ist das Azure Active Directory ?

Alle Dienste in Microsoft 365 (Exchange Online, SharePoint Online, Microsoft Teams etc.) setzen zwingend das Azure Active Directory (Azure AD) voraus.

Zwischen einem lokalen Active Directory und dem Azure AD bestehen erhebliche Unterschiede in der Art und Weise, wie lokale Workloads (Beispiel Exchange Server) das lokale AD und den cloudbasierten Verzeichnisdienst verwenden.

Das Azure AD, das Microsoft 365 unterstützt, ist als hochverfügbarer, mehrschichtiger, mandantenfähiger Dienst konzipiert, der in der Lage ist, Lasten in einem immensen Umfang zu bewältigen.

Jeder Tenant von Microsoft 365 hat einen entsprechenden Tenant innerhalb von Azure AD. Hierbei ist jede Instanz unabhängig und von den anderen Instanzen vollständig isoliert. Hierdurch wird sichergestellt, dass kein Tenant Zugriff auf die Daten eines anderen Tenants hat.

Mit Erstellung eines neuen Microsoft 365 Tenants wird automatisch ein neuer Azure AD – Tenant für den Kunden angelegt. Der Azure AD-Tenant wird nicht separat lizenziert, und verursacht in der Basis-Version keine zusätzlichen Kosten. Alle neuen Benutzer und Gruppen, die im Microsoft 365 Portal angelegt werden, werden automatisch im neuen Azure AD-Tenant gespeichert.

Microsoft gab im Juni 2019 bekannt, dass ca. 21 Millionen Organisationen mit etwa 1,2 Milliarden Benutzern in Azure AD gespeichert sind. Diese Benutzer erzeugen durchschnittlich acht Milliarden Authentifizierungsversuche pro Tag.

Azure AD wird in mehreren Microsoft-Rechenzentren auf der ganzen Welt eingesetzt. Neben Microsoft 365 wird Azure AD auch von anderen Cloud-Diensten wie Microsoft Dynamics CRM und Microsoft Intune genutzt. Ebenso nutzen zahlreiche Anwendungen von Drittanbietern das Azure AD als cloudbasierten Verzeichnisdienst.

Wie man es von Microsoft gewöhnt ist, werden für alle verfügbaren Cloud-Dienste regelmäßig neue Funktionen eingeführt. Hievon ist das Azure AD natürlich nicht ausgenommen. Detailierte Informationen werden immer in den Release Notes des Azure AD veröffentlicht. Diese lassen sich hier abrufen:

https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/whats-new

Das Azure AD-Verwaltungsportal ist auf zwei Wegen erreichbar. Entweder über das Microsoft 365 Portal, in dem man über die linke Navigationsleiste zum Azure AD navigiert.

Der direkte Zugriff erfolgt über die URL . Standardmäßig enthält dieses Dashboard die meisten der Funktionen, die für eine Einbindung von Microsoft 365 Diensten benötigt werden, einschließlich der Möglichkeit, eine Verzeichnissynchronisation oder -föderation einzurichten.

Azure AD – Lizenzpläne

Alle Microsoft 365 Pläne werden mit einer kostenlosen Version von Azure AD geliefert, die alle für die Verwendung erforderlichen Kernfunktionen bietet. Allerdings reichen für viele Funktionen die Basisdienste von Azure AD nicht aus, um die Sicherheitsanforderungen im Kontext der heutigen Cyber-Bedrohungen zu erfüllen. Einige wichtige Sicherheitsfunktionen, die heutige Unternehmen benötigen, sind in Azure AD Premium zusammengefasst. Es existieren 2 Premium-Varianten des Azure AD:

• Azure AD Premium P1
• Azure AD Premium P2

Kunden können die Premium-Pläne dediziert zu bestehenden Plänen hinzubuchen oder durch die Buchung von optionalen Services erwerben. Bekannte Angebote sind hier zum Beispiel „Enterprise Mobility + Security“ (EMS) oder Microsoft 365 Enterprise.

Für viele Unternehmen reicht P1 aus, aber P2 bietet eine Reihe risikobasierter Steuerelemente, mit denen Sicherheitsrichtlinien dynamisch durchgesetzt werden können, basierend auf der Ermittlung des Risikofaktors jedes Benutzers durch Microsoft und dessen Anmeldeversuch. Einen Vergleich der verschiedenen Arten von Azure AD-Lizenzen finden Interessierte unter:

https://azure.microsoft.com/en-us/pricing/details/active-directory/

Das Hinzubuchen der Premium-Lizenzen zu bereits bestehenden Plänen lässt sich auch direkt aus dem eigenen Portal umsetzen:

Azure AD –
Gastkonten & Premium-Features

Unternehmen müssen beachten, dass auch Gastkonten über entsprechende Benutzer-Berechtigungen verfügen müssen, um auch die Azure AD Premium-Funktionalität nutzen zu können. Diese Benutzerrechte für Gastkonten werden durch den Kauf von Azure AD Premium-Lizenzen für reguläre Benutzer erworben.

Noch ein wichtiger Hinweis:

Gastbenutzer aus anderen Tenants werden wie Benutzer aus anderen externen Organisationen behandelt. Diese profitieren nicht von den Lizenzen, die dem eigenen Tenant zugewiesen sind.

Obwohl Microsoft derzeit keine Lizenzbeschränkungen für Gastbenutzer erzwingt, ist es wichtig sicherzustellen, dass die eigenen Lizenzpläne diesen Punkt berücksichtigen, wenn Kunden Anwendungen bereitstellen wollen, die Gastkonten unterstützen. Beliebte Beispiele sind Office 365-Groups, Microsoft Teams und Microsoft Planner**.

* Im Juni 2019 stellte Microsoft fest, dass 100 Millionen Benutzer über Azure AD Premium verfügen.
** Anleitung zur Lizenzierung von B2B-Kooperationen mit Azure Active Directory

Im Teil II dieser Serie beschreibe ich die möglichen Architektur-Szenarien im Azure Active Directory.