Integration von Azure AD mit Microsoft 365
Hinter M365 verbirgt sich ein Verzeichnis, das Benutzerkonten, Gruppen und andere Securityobjekte enthält. Viele Jahre lang war dieses Verzeichnis als Azure Active Directory bekannt, obwohl es nur sehr wenig mit dem On-Premise Active Directory gemein hatte. Azure AD wurde im Juli 2023 in Entra ID umbenannt.
In diesem Artikel sehen wir uns Entra ID an und wie Sie damit für M365 interagieren.
Entra, Priva und Purview
Bevor wir uns mit Entra ID befassen, werfen wir einen Blick auf das neue Portal, auf das Sie zugreifen werden: entra.microsoft.com.
Alle identitätsbezogenen Services sind hier untergebracht, während alle Funktionen im Zusammenhang mit Information Governance unter compliance.microsoft.com zu finden sind, dem sogenannten Purview-Portal, und es gibt einen Abschnitt mit allen datenschutzbezogenen Funktionen namens Priva.
Neben Entra ID enthält das Entra-Portal auch Entra Permissions Management, das administrative Berechtigungen in Azure, AWS und GCP (IaaS und PaaS) inventarisiert und entsprechend zuteilt – unabhängig von Microsoft 365-Berechtigungen.
Außerdem gibt es Verified ID, das in Zukunft bei Neueinstellungen und der Verwaltung externer Identitäten helfen wird, sowie Global Secure Access – diese Funktionen liegen jedoch außerhalb des Umfangs dieses Buches.
Entra ID & Hybrid Identity
AD verwendet Kerberos und Group Policy, hat eine hierarchische Struktur und basiert auf LDAP, was alles nicht besonders Cloud-freundlich ist.
Entra ID arbeitet über HTTPS, kann über eine REST-API angesprochen werden und unterstützt moderne Authentifizierungsprotokolle wie Security Assertion Markup Language (SAML), WS-Federation und OpenID Connect für die Authentifizierung und OAuth für die Autorisierung. Es unterstützt auch Federation, so dass Sie es mit anderen Authentifizierungssystemen verbinden können.
In Entra ID werden drei Arten von Authentifizierungen unterstützt:
- Cloud-basiert
- VerzeichnisSynchronisierung
- Single Sign On (SSO) mit AD FS
Die erste Variante eignet sich, wenn Sie kein AD on-premises haben (oder es abschaffen wollen) und Sie nur Konten in der Cloud erstellen.
Sie ist definitiv am einfachsten zu konfigurieren. Bei den beiden anderen müssen Sie Ihr on-premises AD über das kostenlose AAD Connect-Tool mit Ihrem Entra ID Tenant verknüpfen.
AAD Connect
AAD Connect (wird vermutlich in Entra ID Connect umbenannt) hatte im Laufe der Jahre mehrere Vorgänger mit unterschiedlichen Namen – wenn Sie eine Installation von DirSync oder AAD Sync vorfinden, sollten Sie ein Upgrade auf AAD Connect durchführen, da diese Tools nicht mehr unterstützt werden.
AAD Connect unterstützt die Verbindung mehrerer on-premises Verzeichnisse mit AAD. Es gab auch eine Version 1 Generation von AAD Connect, die veraltet ist. Sie sollten die Version 2 verwenden, die sich automatisch aktualisiert.
Sie können das Tool direkt auf einem DC oder auf einem Member Server installieren. Es gibt keine echte Aktiv/Aktiv-HA-Option, aber Sie können eine zweite Installation von AAD Connect auf einem separaten Server im Staging-Modus einrichten und ein manuelles Failover durchführen, wenn der primäre Server für einige Zeit offline sein sollte.
AAD Connect synchronisiert Benutzer- und Gruppenkonten in den von Ihnen ausgewählten OUs (oder das gesamte Verzeichnis – nicht empfohlen) mit Entra ID.
Anschließend weisen Sie diesen Benutzerkonten Lizenzen zu, und sie können anfangen, die Cloud Services zu nutzen. Beachten Sie, dass dies auch bedeutet, dass On-premises immer der Ort ist, an dem Sie neue Konten erstellen und bestehende Konten aktualisieren, deaktivieren oder löschen können.
Es gibt einige Möglichkeiten, wie Sie Passwörter in AD verwalten können. Die einfachste ist die Kennwort-Hash-Synchronisierung.
Dadurch erhalten Ihre Benutzer SSO (auch wenn es sich technisch gesehen um “ dieselben Anmeldedaten “ handelt, da sich die beiden Benutzerkonten in zwei verschiedenen Verzeichnissen befinden).
Ein weiterer Vorteil dieser Methode ist, dass Microsoft Sie warnen kann, wenn es im Internet / Dark Web Anmeldedaten mit Konten Ihres Tenants findet, bei denen die Passwörter übereinstimmen.
Wenn Sie darauf bestehen, dass die Passwörter Ihrer Benutzer nicht in der Cloud gespeichert werden dürfen (nicht einmal als Hash eines Hashs), ist die Pass-Through-Authentifizierung (PTA) eine weitere Option.
Sie richten Agenten auf mehreren (mindestens 3, maximal 40) Windows Server 2012 R2+ Servern ein (keine eingehenden Ports erforderlich), und wenn sich ein Benutzer z.B. auf www.office.com anmeldet, überprüft Entra ID, ob das richtige Passwort eingegeben wurde, indem es über die PTA-Agenten mit Ihrem on-premises AD kommuniziert.
Sowohl mit PTA als auch mit der Passwort-HashSynchronisierung können Sie optional Seamless Single Sign On (Seamless SSO) aktivieren, bei dem sich der Benutzer bei AD anmeldet und beim Zugriff aufwww.office.com automatisch eingeloggt wird.
Eine Ergänzung ist AAD Connect Cloud Sync, das über die Cloud konfiguriert wird und nur auf schlanke Agenten on-premises angewiesen ist.
Das bedeutet auch, dass Sie über eine integrierte Hochverfügbarkeit verfügen, sofern Sie mehrere Agenten einsetzen. Cloud Sync gewinnt langsam an Funktionsgleichheit mit AAD Connect.
Die wichtigsten Funktionen, die heute noch fehlen, sind die Unterstützung von Geräte-Objekten, die Möglichkeit der Synchronisierung von Non-ADLDAP-Verzeichnissen, PTA-Unterstützung, einige Filteroptionen und große Gruppen mit über 250.000 Mitgliedern.
Das Hindernis für viele wird jedoch sein, dass es keine Unterstützung für Exchange Hybrid Writeback gibt. Ich erwarte, dass Cloud Sync irgendwann AAD Connect ersetzen wird.
Die traditionelle Methode, Kennwort-Hashes nicht in der Cloud zu speichern, ist die Verwendung von AD Federation Services (ADFS).
Dies ist wesentlich komplexer und erfordert die Einrichtung mehrerer Server on-premises (oder als VMs in Azure), bietet aber mehr Flexibilität. Wenn Ihr Unternehmen AD FS bereits für andere Zwecke eingesetzt hat, ist die Einrichtung der Federation mit O365 kein großes Projekt, aber meine Empfehlung (und die von Microsoft) ist, bei PTA oder Passwort-Hash-Sync zu bleiben.
In Anbetracht des Einbruchs in die Lieferketten von Solarwinds und des anschließenden Eindringens in verschiedene Organisationen, die ADFS verwenden, sowie der Empfehlung von Microsoft in den letzten Jahren, von ADFS zu Azure AD zu migrieren, ist es an der Zeit, auf Azure AD umzusteigen, wenn Sie ADFS im Einsatz haben.
Azure MFA
Eines der besten Dinge, die Entra ID ermöglicht, ist die einfache Einrichtung der Multi-Faktor-Authentifizierung (MFA) für Benutzer.
Kennwörter sind eines der schwächsten Glieder in der heutigen IT-Landschaft, und die meisten Sicherheitsverletzungen, die wir beobachten, sind darauf zurückzuführen, dass die Anmeldedaten einer Person kompromittiert wurden.
Eine Lösung für dieses Problem ist die Verwendung von MFA (manchmal auch als 2FA oder zweistufige Authentifizierung bekannt), bei der für die Authentifizierung nicht nur ein Benutzername und ein Passwort, sondern auch ein Gerät oder eine biometrische Geste erforderlich sind.
Dadurch wird der Erfolg von Angriffen auf Zugangsdaten drastisch reduziert (laut Microsoft um 99%).
MFA kann ein Telefon anrufen, eine SMS mit einem Code senden oder eine Benachrichtigung senden bzw. einen Code von der kostenlosen Microsoft Authenticator-App anfordern. Wenn es nicht unbedingt erforderlich ist, sollten Sie keine Anrufe oder SMS verwenden, da diese unsicherer sind als die App-Optionen.
Grundsätzlich gilt: Alle Ihre privilegierten Konten (Global / Exchange / SharePoint / Compliance-Administratoren usw.) MÜSSEN MFA verwenden. Dies ist auf allen Ebenen von O365 kostenlos und lässt sich einfach einrichten.
Die Benutzererfahrung ist relativ nahtlos, wenn Sie die App auf Ihrem Smartphone installieren. Wenn Sie ein IT-Entscheidungsträger sind, müssen Sie damit rechnen, dass Ihre Administratoren diesen Punkt ablehnen, aber um eine akzeptable IT-Sicherheit zu gewährleisten, ist dieser Schritt nicht verhandelbar – alle Administratoren MÜSSEN MFA verwenden.
Nebenbei bemerkt verwende ich Azure MFA für meinen eigenen geschäftlichen Tenant und alle Tenants meiner Kunden, die ich seit vielen Jahren verwalte, ohne Probleme.
Sie müssen jedoch auch für Zeiten planen, in denen Azure MFA nicht verfügbar ist. Dazu gehört die Einrichtung eines (vorzugsweise zwei) Global Admin Cloud-Konten, die von MFA und allen CA-Richtlinien ausgenommen sind.
Diese Konten sollten mit sehr langen und komplexen Passwörtern versehen sein, die nur hochrangigen Administratoren zur Verfügung stehen, und sie sollten überwacht werden, so dass im Falle ihrer Verwendung ein Alarm ausgelöst wird. Diese Konten für den Notfall sollten nur verwendet werden, um den Benutzerzugang wiederherzustellen.
Wenn z.B. Entra ID MFA ausgefallen ist, können Sie die MFA-Anforderungen für die Dauer des Ausfalls deaktivieren, damit sich die Benutzer anmelden und produktiv arbeiten können.
Die Aktivierung von MFA für Ihre Endbenutzer erfordert eine gewisse Planung und Schulung der Benutzer. Wie Sie MFA implementieren, hängt davon ab, wie gut Ihre Benutzer mit der Technik vertraut sind und ob sie normalerweise von einem Firmensitz aus arbeiten.
Administratoren erhalten MFA immer kostenlos, bei den Business SKUs ist MFA bereits integriert, aber in beiden Fällen fehlen die erweiterten Funktionen, die Entra ID Premium P1 (M365 E3) oder Entra ID Premium P2 (M365 E5) bieten.
Dazu gehören die einmalige Umgehung, vertrauenswürdige IPs/benannte Standorte, mit denen Sie IP-Adressbereiche des Firmensitzes definieren können, in denen Benutzer nicht zur MFA aufgefordert werden.
Beachten Sie, dass alle MFA-Stufen es Ihnen ermöglichen (wenn Sie diese Funktion zulassen), MFA auf einem vertrauenswürdigen Gerät für eine bestimmte Anzahl von Tagen (7-60) zu speichern.
Wenn sich ein Benutzer an einem Gerät angemeldet und MFA erfolgreich durchgeführt hat, wird er für diesen Zeitraum nicht mehr auf dem Gerät gefragt und wenn das Gerät verloren geht oder gestohlen wird, können entweder der Benutzer oder Sie das Vertrauen in diese Geräte einfach „aufheben“.
Ab Mai 2023 hat Microsoft den Nummernabgleich für alle Microsoft AuthenticatorGenehmigungen aktiviert.
Anstatt also einfach auf Genehmigen oder Ablehnen zu drücken, müssen Sie einen zweistelligen Code eingeben, der auf Ihrem Computerbildschirm angezeigt wird. Die App zeigt Ihnen auch den geografischen Standort an, von dem die MFA-Anfrage kommt.
Beide Funktionen wurden entwickelt, um MFA-Ermüdungsangriffe zu bekämpfen, bei denen der Angreifer wiederholt versucht, sich anzumelden und dabei so viele Anfragen auf Ihrem Telefon generiert, dass manche Benutzer am Ende einfach auf Genehmigen drücken, damit es aufhört.
Microsoft aktiviert jetzt Sicherheitsstandards für alle neuen Tenants, und Sie können sie für Ihre bestehenden Tenants manuell aktivieren.
Dies erzwingt MFA für alle Benutzer und Administratoren, wobei nur die Microsoft Authenticator-App verwendet und ältere Authentifizierungsverfahren blockiert werden sowie der Zugriff auf das Azure AD-Portal kontrolliert wird.
Während diese Sicherheitsmaßnahmen ein guter Ausgangspunkt für ein kleines Unternehmen mit begrenzten Anforderungen sind, rate ich bei komplexeren Organisationen zur Vorsicht, da es keine Möglichkeit gibt, Notfall-User (so genannte „Break Glass Accounts“) oder Service-Konten von MFA auszuschließen oder mit Benutzern umzugehen, die nicht über die Authenticator-App auf einem Telefon verfügen bzw. nicht darauf zugreifen können.
Publishing Applications
Eine der leistungsstärksten Funktionen von Entra ID ist die Möglichkeit, Anwendungen (von Drittanbietern und on-premises) für Ihre Benutzer zu veröffentlichen.
Diese werden direkt neben den normalen Office-Anwendungen unter myapplications.microsoft.com oder www.office.com angezeigt und können von den Benutzern mit inem einzigen Klick gestartet werden.
Nehmen Sie zum Beispiel das Twitter-Konto Ihres Unternehmens, bei dem mehrere Benutzer den Benutzernamen und das Kennwort haben, um Tweets im Namen des Unternehmens zu versenden.
Sie müssen nicht nur das Kennwort zurücksetzen, sobald jemand das Unternehmen verlässt (Sie möchten schließlich nicht, dass er weiterhin im Namen Ihres Unternehmens twittert, nachdem er das Unternehmen verlassen hat), sondern Sie haben auch kaum Kontrolle darüber, wem das Kennwort sonst noch mitgeteilt wird.
Wenn Sie Twitter über Entra ID veröffentlichen und eine AD-Gruppe erstellen, in die Benutzer aufgenommen werden, die Zugriff haben sollen, fügen Sie einfach ein Benutzerkonto zu dieser Gruppe hinzu.
Der Benutzer hat dann automatisch Single-Sign-On-Zugriff auf Twitter im My Apps-Portal, ohne jemals das Passwort zu kennen.
Für einige der mehr als 2400 Anwendungen, die standardmäßig unterstützt werden, können Sie sogar eine automatische Bereitstellung konfigurieren, so dass beim Hinzufügen eines Benutzers zur AD Salesforce-Gruppe automatisch ein Konto für ihn in Salesforce erstellt wird – wiederum ohne dass er das Kennwort dafür kennt.
Eine beliebte Option ist die Verwendung der AWS Single Sign-On App zur Integration von AAD und AWS.
Premium Features
Entra ID Premium P1 schaltet nicht nur mehr MFAFunktionen frei, sondern ermöglicht es Ihnen auch, häufig verwendete Passwörter in Ihrem on-premises AD zu sperren (einschließlich einer benutzerdefinierten Wortliste), Benutzern die Möglichkeit zu geben, ihre eigenen Passwörter zurückzusetzen, wenn sie sie vergessen haben, MFA mit bedingtem Zugriff zu integrieren und Benutzern gleichzeitig die Möglichkeit zu geben, sich sowohl für MFA als auch für das Zurücksetzen von Passwörtern per Self-Service (SSPR) zu registrieren.
Der P2-Level bietet den vollen Funktionsumfang von Entra Identity Protection, bei dem Sie Berichte erhalten, und Authentifizierungen auf der Grundlage der Risikostufe des Benutzerkontos und der Anmeldung blockieren oder sogar eine “zusätzliche” MFA-Aufforderung auf der Grundlage des Risikoprofils des Authentifizierungsversuchs auslösen können.
P2 bietet auch Privileged Identity Management (PIM), bei dem Sie alle administrativen Konten in berechtigte Konten umwandeln und die Benutzer eine Erhöhung beantragen müssen, wenn sie administrative Aufgaben durchführen müssen (bekannt als “Just in Time Administration”).
Anstatt einzelnen Benutzer-Konten in Entra ID administrative Rollen zuzuweisen, können Sie jetzt Gruppen verwenden, um Admin-Zugriff zu gewähren.
Die Gruppen müssen ein bestimmtes Attribut (isAssignableToRole) haben, das auf true gesetzt ist, und eine statische Mitgliedschaft im Benutzerkonto (keine dynamische – automatische Zuweisung von Benutzerkonten zu einer Gruppe auf der Grundlage eines Attributs wie “Abteilung” im Verzeichnis).
Während AD eine hierarchische Struktur hat, die sich auf Organisationseinheiten (Organizational Units, kurz: OUs) stützt, um Ihre Benutzer-, Rechner- und Gruppenkonten auf der Grundlage von Abteilungen, Geografie oder anderen Ansätzen zu strukturieren, hat Entra ID eine flache Struktur.
Mit Hilfe von Verwaltungseinheiten (Administrative Units, kurz: AUs) können Sie Benutzer- und Gruppenkonten strukturieren und dann administrative Berechtigungen an eine oder mehrere AUs delegieren.
Die AU-Administratoren benötigen eine Entra ID Premium-Lizenz. Beachten Sie, dass im Gegensatz zu OUs, bei denen ein Konto nur in einer einzigen OU sein kann, ein Gruppen- oder Benutzerkonto Mitglied mehrerer AUs (bis zu 30) sein kann.
Wenn Sie über eine große Umgebung und Premium P2-Lizenzen verfügen, sollten Sie die Berechtigungsverwaltung (engl. Entitlement Management) in Betracht ziehen, mit der Sie den Zugriff auf Anwendungen und Sites sowie Gruppenmitgliedschaften (einschließlich Teams) in einem einzigen Zugriffspaket zusammenfassen können.
Diese sind für interne Benutzer nützlich (“Sie sind ein neuer Mitarbeiter im Marketing – hier ist Ihr Paket, mit dem Sie alle benötigten Zugriffsrechte erhalten”) und können auch für die Vergabe von Zugriffsrechten an externe Benutzer verwendet werden.
Für Partnerorganisationen, mit denen Sie häufig zusammenarbeiten, können Sie es sogar so einrichten, dass deren Benutzer Pakete im Self-Service-Modus beantragen können.
Die Berechtigungsverwaltung kann auch die IT-Abteilung aus der Rolle der Rechtevergabe herausnehmen, indem sie die Zuweisung von Paketen an Benutzer im Unternehmen delegiert.
Richtlinien Für Den Bedingten Zugriff
Sowohl P1 als auch P2 schalten eine weitere leistungsstarke Funktion in Entra ID frei: Bedingter Zugriff (Conditional Access, kurz: CA).
Damit können Sie Richtlinien für den Anwendungszugriff (sowohl für Cloud- als auch für On-Premises-Anwendungen) auf der Grundlage des Benutzerkontos und der Gruppen, in denen der Benutzer Mitglied ist, der Anwendung, auf die er zugreift, dem Zustand seines Endgeräts, seinem Standort, dem Anmeldungsrisiko und der Art der Client-Anwendung, von der aus er zugreift, erstellen.
Diese “wenn dies – dann das”- Regeln erhöhen die Sicherheit Ihrer Daten erheblich, indem die Risikofaktoren, die die Identität und den Zugriff in M365 beeinflussen, gemanagt werden.
Um die Einrichtung guter CA-Richtlinien noch einfacher zu machen, gibt es Vorlagen (zum Zeitpunkt der Erstellung dieses eBooks noch in der Preview), die die Themen Sichere Grundlage (engl. Secure Foundation), Zero Trust, Remote-Arbeit, Schutz der Administratoren und Neu auftretende Bedrohungen abdecken.
Um sicherzustellen, dass Sie nicht aus Versehen eine Richtlinie erstellen, die den CEO fünf Minuten vor seiner Vorstandspräsentation aussperrt, können Sie mit der Option, CA-Richtlinien im reinen Berichtsmoduseinzusetzen, die Auswirkungen der Richtlinien bewerten, ohne sie tatsächlich durchzusetzen.
Es gibt eine API für den Zugriff auf CA-Richtlinien. Damit können Sie (z.B. mit PowerShell) ein Backup Ihrer CA-Richtlinien erstellen, sie wiederherstellen, Änderungen überwachen und sie als Code behandeln, anstatt sie manuell im Portal zu verwalten.
Sie können die Richtlinien auch in einem Test-Tenant testen, bevor Sie sie von dort aus exportieren und in Ihren Produktions-Tenant importieren, nachdem sie die Überprüfung bestanden haben.
Den Lebenszyklus von Konten Managen
Sobald Sie AAD Connect implementiert haben, sollten Sie Ihre Prozessdokumentation aktualisieren, um den gesamten Lebenszyklus von Benutzerkonten zu berücksichtigen, z. B. um sicherzustellen, dass sie die richtigen Lizenzen erhalten, den richtigen Gruppen hinzugefügt werden und dass bei der Deaktivierung des Kontos die richtigen Schritte befolgt werden.
Um sicherzustellen, dass Benutzer (und Gäste) keine Zugriffsrechte ansammeln, die sie nicht mehr benötigen, verwenden Sie die Zugriffsüberprüfung (Premium P2), mit der Sie jetzt alle Gastkonten in einem Arbeitsgang überprüfen können, statt auf Basis der einzelnen Teams/M365 Gruppen.
Bei einem kleineren O365- oder M365-Tenant ist es wahrscheinlich, dass Sie das vollständige Azure AD-Portal gar nicht benötigen und stattdessen Ihre Benutzer nur im M365-Portal verwalten. Es ist jedoch eine gute Idee, das “vollständige” Entra-Portal unter https://entra.microsoft.com zu erkunden.
Wenn Sie die neuen Funktionen von Entra ID ausprobieren möchten, nutzen Sie den Preview Hub, um sich über die Public Preview-Funktionen zu informieren und diese zu aktivieren.
Um Ihre Microsoft 365-Umgebung richtig zu schützen, nutzen Sie die einzigartigen Dienste von Hornetsecurity:
- 365 Total Protection
- 365 Total Backup
- 365 Permission Manager
- 365 Total Protection Compliance & Awareness
- 365 Total Protection Enterprise Backup
Besuchen Sie jetzt unseren Hornetsecurity-Blog, um über die neuesten M365 Artikel und Praktiken auf dem Laufenden zu bleiben.
Fazit
Zusammenfassend lässt sich sagen, dass der Übergang von Azure Active Directory zu Entra ID in Microsoft 365 einen bedeutenden Wechsel zu moderner Authentifizierung und verbesserter Sicherheit darstellt. Entra ID bietet robuste Funktionen wie die Multi-Faktor-Authentifizierung, die Veröffentlichung von Anwendungen und bedingte Zugriffsrichtlinien und ist damit ein zentraler Bestandteil des Identitätsmanagement-Frameworks von M365.
Häufig gestellte Fragen
Ja, Office 365 & Microsoft 365 umfasst Entra ID, ehemals Azure Active Directory (Azure AD). Entra ID ist der Identitäts- und Zugriffsverwaltungsdienst, der von Microsoft 365 für die Benutzerauthentifizierung und -autorisierung verwendet wird.
Eine Microsoft 365-Gruppe in Azure AD ist eine Sicherheitsgruppe mit einer zugehörigen E-Mail-Adresse und gemeinsamen Ressourcen. Sie vereinfacht die Zusammenarbeit, indem sie den Mitgliedern Zugriff auf gemeinsame Anwendungen, Daten und Konversationen gewährt.
Azure AD bietet sowohl kostenlose als auch Premium-Pläne an. Der kostenlose Plan bietet grundlegende Funktionen für das Identitäts- und Zugriffsmanagement, während die Premium-Pläne zusätzliche Funktionen wie Richtlinien für den bedingten Zugriff, erweiterte Sicherheitsfunktionen und Identitätsmanagement mit Selbstbedienung bieten.