Integration von Azure AD mit Microsoft 365

AAD Connect (wird vermutlich in Entra ID Connect umbenannt) hatte im Laufe der Jahre mehrere Vorgänger mit unterschiedlichen Namen – wenn Sie eine Installation von DirSync oder AAD Sync vorfinden, sollten Sie ein Upgrade auf AAD Connect durchführen, da diese Tools nicht mehr unterstützt werden.

AAD Connect unterstützt die Verbindung mehrerer on-premises Verzeichnisse mit AAD. Es gab auch eine Version 1 Generation von AAD Connect, die veraltet ist. Sie sollten die Version 2 verwenden, die sich automatisch aktualisiert.

Sie können das Tool direkt auf einem DC oder auf einem Member Server installieren. Es gibt keine echte Aktiv/Aktiv-HA-Option, aber Sie können eine zweite Installation von AAD Connect auf einem separaten Server im Staging-Modus einrichten und ein manuelles Failover durchführen, wenn der primäre Server für einige Zeit offline sein sollte.

AAD Connect synchronisiert Benutzer- und Gruppenkonten in den von Ihnen ausgewählten OUs (oder das gesamte Verzeichnis – nicht empfohlen) mit Entra ID.

Anschließend weisen Sie diesen Benutzerkonten Lizenzen zu, und sie können anfangen, die Cloud Services zu nutzen. Beachten Sie, dass dies auch bedeutet, dass On-premises immer der Ort ist, an dem Sie neue Konten erstellen und bestehende Konten aktualisieren, deaktivieren oder löschen können.

Es gibt einige Möglichkeiten, wie Sie Passwörter in AD verwalten können. Die einfachste ist die Kennwort-Hash-Synchronisierung.

Dadurch erhalten Ihre Benutzer SSO (auch wenn es sich technisch gesehen um “ dieselben Anmeldedaten “ handelt, da sich die beiden Benutzerkonten in zwei verschiedenen Verzeichnissen befinden).

Ein weiterer Vorteil dieser Methode ist, dass Microsoft Sie warnen kann, wenn es im Internet / Dark Web Anmeldedaten mit Konten Ihres Tenants findet, bei denen die Passwörter übereinstimmen.

Wenn Sie darauf bestehen, dass die Passwörter Ihrer Benutzer nicht in der Cloud gespeichert werden dürfen (nicht einmal als Hash eines Hashs), ist die Pass-Through-Authentifizierung (PTA) eine weitere Option.

Sie richten Agenten auf mehreren (mindestens 3, maximal 40) Windows Server 2012 R2+ Servern ein (keine eingehenden Ports erforderlich), und wenn sich ein Benutzer z.B. auf www.office.com anmeldet, überprüft Entra ID, ob das richtige Passwort eingegeben wurde, indem es über die PTA-Agenten mit Ihrem on-premises AD kommuniziert.

Sowohl mit PTA als auch mit der Passwort-HashSynchronisierung können Sie optional Seamless Single Sign On (Seamless SSO) aktivieren, bei dem sich der Benutzer bei AD anmeldet und beim Zugriff aufwww.office.com automatisch eingeloggt wird.

Eine Ergänzung ist AAD Connect Cloud Sync, das über die Cloud konfiguriert wird und nur auf schlanke Agenten on-premises angewiesen ist.

Das bedeutet auch, dass Sie über eine integrierte Hochverfügbarkeit verfügen, sofern Sie mehrere Agenten einsetzen. Cloud Sync gewinnt langsam an Funktionsgleichheit mit AAD Connect.

Die wichtigsten Funktionen, die heute noch fehlen, sind die Unterstützung von Geräte-Objekten, die Möglichkeit der Synchronisierung von Non-ADLDAP-Verzeichnissen, PTA-Unterstützung, einige Filteroptionen und große Gruppen mit über 250.000 Mitgliedern.

Das Hindernis für viele wird jedoch sein, dass es keine Unterstützung für Exchange Hybrid Writeback gibt. Ich erwarte, dass Cloud Sync irgendwann AAD Connect ersetzen wird.

Die traditionelle Methode, Kennwort-Hashes nicht in der Cloud zu speichern, ist die Verwendung von AD Federation Services (ADFS).

Dies ist wesentlich komplexer und erfordert die Einrichtung mehrerer Server on-premises (oder als VMs in Azure), bietet aber mehr Flexibilität. Wenn Ihr Unternehmen AD FS bereits für andere Zwecke eingesetzt hat, ist die Einrichtung der Federation mit O365 kein großes Projekt, aber meine Empfehlung (und die von Microsoft) ist, bei PTA oder Passwort-Hash-Sync zu bleiben.

In Anbetracht des Einbruchs in die Lieferketten von Solarwinds und des anschließenden Eindringens in verschiedene Organisationen, die ADFS verwenden, sowie der Empfehlung von Microsoft in den letzten Jahren, von ADFS zu Azure AD zu migrieren, ist es an der Zeit, auf Azure AD umzusteigen, wenn Sie ADFS im Einsatz haben.

Eines der besten Dinge, die Entra ID ermöglicht, ist die einfache Einrichtung der Multi-Faktor-Authentifizierung (MFA) für Benutzer.

Kennwörter sind eines der schwächsten Glieder in der heutigen IT-Landschaft, und die meisten Sicherheitsverletzungen, die wir beobachten, sind darauf zurückzuführen, dass die Anmeldedaten einer Person kompromittiert wurden.

Eine Lösung für dieses Problem ist die Verwendung von MFA (manchmal auch als 2FA oder zweistufige Authentifizierung bekannt), bei der für die Authentifizierung nicht nur ein Benutzername und ein Passwort, sondern auch ein Gerät oder eine biometrische Geste erforderlich sind.

Dadurch wird der Erfolg von Angriffen auf Zugangsdaten drastisch reduziert (laut Microsoft um 99%).

MFA kann ein Telefon anrufen, eine SMS mit einem Code senden oder eine Benachrichtigung senden bzw. einen Code von der kostenlosen Microsoft Authenticator-App anfordern. Wenn es nicht unbedingt erforderlich ist, sollten Sie keine Anrufe oder SMS verwenden, da diese unsicherer sind als die App-Optionen.

Grundsätzlich gilt: Alle Ihre privilegierten Konten (Global / Exchange / SharePoint / Compliance-Administratoren usw.) MÜSSEN MFA verwenden. Dies ist auf allen Ebenen von O365 kostenlos und lässt sich einfach einrichten.

Die Benutzererfahrung ist relativ nahtlos, wenn Sie die App auf Ihrem Smartphone installieren. Wenn Sie ein IT-Entscheidungsträger sind, müssen Sie damit rechnen, dass Ihre Administratoren diesen Punkt ablehnen, aber um eine akzeptable IT-Sicherheit zu gewährleisten, ist dieser Schritt nicht verhandelbar – alle Administratoren MÜSSEN MFA verwenden.

Nebenbei bemerkt verwende ich Azure MFA für meinen eigenen geschäftlichen Tenant und alle Tenants meiner Kunden, die ich seit vielen Jahren verwalte, ohne Probleme.

Sie müssen jedoch auch für Zeiten planen, in denen Azure MFA nicht verfügbar ist. Dazu gehört die Einrichtung eines (vorzugsweise zwei) Global Admin Cloud-Konten, die von MFA und allen CA-Richtlinien ausgenommen sind.

Diese Konten sollten mit sehr langen und komplexen Passwörtern versehen sein, die nur hochrangigen Administratoren zur Verfügung stehen, und sie sollten überwacht werden, so dass im Falle ihrer Verwendung ein Alarm ausgelöst wird. Diese Konten für den Notfall sollten nur verwendet werden, um den Benutzerzugang wiederherzustellen.

Wenn z.B. Entra ID MFA ausgefallen ist, können Sie die MFA-Anforderungen für die Dauer des Ausfalls deaktivieren, damit sich die Benutzer anmelden und produktiv arbeiten können.

Die Aktivierung von MFA für Ihre Endbenutzer erfordert eine gewisse Planung und Schulung der Benutzer. Wie Sie MFA implementieren, hängt davon ab, wie gut Ihre Benutzer mit der Technik vertraut sind und ob sie normalerweise von einem Firmensitz aus arbeiten.

Administratoren erhalten MFA immer kostenlos, bei den Business SKUs ist MFA bereits integriert, aber in beiden Fällen fehlen die erweiterten Funktionen, die Entra ID Premium P1 (M365 E3) oder Entra ID Premium P2 (M365 E5) bieten.

Dazu gehören die einmalige Umgehung, vertrauenswürdige IPs/benannte Standorte, mit denen Sie IP-Adressbereiche des Firmensitzes definieren können, in denen Benutzer nicht zur MFA aufgefordert werden.

Beachten Sie, dass alle MFA-Stufen es Ihnen ermöglichen (wenn Sie diese Funktion zulassen), MFA auf einem vertrauenswürdigen Gerät für eine bestimmte Anzahl von Tagen (7-60) zu speichern.

Wenn sich ein Benutzer an einem Gerät angemeldet und MFA erfolgreich durchgeführt hat, wird er für diesen Zeitraum nicht mehr auf dem Gerät gefragt und wenn das Gerät verloren geht oder gestohlen wird, können entweder der Benutzer oder Sie das Vertrauen in diese Geräte einfach „aufheben“.

Ab Mai 2023 hat Microsoft den Nummernabgleich für alle Microsoft AuthenticatorGenehmigungen aktiviert.

Anstatt also einfach auf Genehmigen oder Ablehnen zu drücken, müssen Sie einen zweistelligen Code eingeben, der auf Ihrem Computerbildschirm angezeigt wird. Die App zeigt Ihnen auch den geografischen Standort an, von dem die MFA-Anfrage kommt.

Beide Funktionen wurden entwickelt, um MFA-Ermüdungsangriffe zu bekämpfen, bei denen der Angreifer wiederholt versucht, sich anzumelden und dabei so viele Anfragen auf Ihrem Telefon generiert, dass manche Benutzer am Ende einfach auf Genehmigen drücken, damit es aufhört.

Microsoft aktiviert jetzt Sicherheitsstandards für alle neuen Tenants, und Sie können sie für Ihre bestehenden Tenants manuell aktivieren.

Dies erzwingt MFA für alle Benutzer und Administratoren, wobei nur die Microsoft Authenticator-App verwendet und ältere Authentifizierungsverfahren blockiert werden sowie der Zugriff auf das Azure AD-Portal kontrolliert wird.

Während diese Sicherheitsmaßnahmen ein guter Ausgangspunkt für ein kleines Unternehmen mit begrenzten Anforderungen sind, rate ich bei komplexeren Organisationen zur Vorsicht, da es keine Möglichkeit gibt, Notfall-User (so genannte „Break Glass Accounts“) oder Service-Konten von MFA auszuschließen oder mit Benutzern umzugehen, die nicht über die Authenticator-App auf einem Telefon verfügen bzw. nicht darauf zugreifen können.

Entra ID Premium P1 schaltet nicht nur mehr MFAFunktionen frei, sondern ermöglicht es Ihnen auch, häufig verwendete Passwörter in Ihrem on-premises AD zu sperren (einschließlich einer benutzerdefinierten Wortliste), Benutzern die Möglichkeit zu geben, ihre eigenen Passwörter zurückzusetzen, wenn sie sie vergessen haben, MFA mit bedingtem Zugriff zu integrieren und Benutzern gleichzeitig die Möglichkeit zu geben, sich sowohl für MFA als auch für das Zurücksetzen von Passwörtern per Self-Service (SSPR) zu registrieren.

Der P2-Level bietet den vollen Funktionsumfang von Entra Identity Protection, bei dem Sie Berichte erhalten, und Authentifizierungen auf der Grundlage der Risikostufe des Benutzerkontos und der Anmeldung blockieren oder sogar eine “zusätzliche” MFA-Aufforderung auf der Grundlage des Risikoprofils des Authentifizierungsversuchs auslösen können.

P2 bietet auch Privileged Identity Management (PIM), bei dem Sie alle administrativen Konten in berechtigte Konten umwandeln und die Benutzer eine Erhöhung beantragen müssen, wenn sie administrative Aufgaben durchführen müssen (bekannt als “Just in Time Administration”).

Anstatt einzelnen Benutzer-Konten in Entra ID administrative Rollen zuzuweisen, können Sie jetzt Gruppen verwenden, um Admin-Zugriff zu gewähren.

Die Gruppen müssen ein bestimmtes Attribut (isAssignableToRole) haben, das auf true gesetzt ist, und eine statische Mitgliedschaft im Benutzerkonto (keine dynamische – automatische Zuweisung von Benutzerkonten zu einer Gruppe auf der Grundlage eines Attributs wie “Abteilung” im Verzeichnis).

Während AD eine hierarchische Struktur hat, die sich auf Organisationseinheiten (Organizational Units, kurz: OUs) stützt, um Ihre Benutzer-, Rechner- und Gruppenkonten auf der Grundlage von Abteilungen, Geografie oder anderen Ansätzen zu strukturieren, hat Entra ID eine flache Struktur.

Mit Hilfe von Verwaltungseinheiten (Administrative Units, kurz: AUs) können Sie Benutzer- und Gruppenkonten strukturieren und dann administrative Berechtigungen an eine oder mehrere AUs delegieren.

Die AU-Administratoren benötigen eine Entra ID Premium-Lizenz. Beachten Sie, dass im Gegensatz zu OUs, bei denen ein Konto nur in einer einzigen OU sein kann, ein Gruppen- oder Benutzerkonto Mitglied mehrerer AUs (bis zu 30) sein kann.

Wenn Sie über eine große Umgebung und Premium P2-Lizenzen verfügen, sollten Sie die Berechtigungsverwaltung (engl. Entitlement Management) in Betracht ziehen, mit der Sie den Zugriff auf Anwendungen und Sites sowie Gruppenmitgliedschaften (einschließlich Teams) in einem einzigen Zugriffspaket zusammenfassen können.

Diese sind für interne Benutzer nützlich (“Sie sind ein neuer Mitarbeiter im Marketing – hier ist Ihr Paket, mit dem Sie alle benötigten Zugriffsrechte erhalten”) und können auch für die Vergabe von Zugriffsrechten an externe Benutzer verwendet werden.

Für Partnerorganisationen, mit denen Sie häufig zusammenarbeiten, können Sie es sogar so einrichten, dass deren Benutzer Pakete im Self-Service-Modus beantragen können.

Die Berechtigungsverwaltung kann auch die IT-Abteilung aus der Rolle der Rechtevergabe herausnehmen, indem sie die Zuweisung von Paketen an Benutzer im Unternehmen delegiert.

Sowohl P1 als auch P2 schalten eine weitere leistungsstarke Funktion in Entra ID frei: Bedingter Zugriff (Conditional Access, kurz: CA).

Damit können Sie Richtlinien für den Anwendungszugriff (sowohl für Cloud- als auch für On-Premises-Anwendungen) auf der Grundlage des Benutzerkontos und der Gruppen, in denen der Benutzer Mitglied ist, der Anwendung, auf die er zugreift, dem Zustand seines Endgeräts, seinem Standort, dem Anmeldungsrisiko und der Art der Client-Anwendung, von der aus er zugreift, erstellen.

Diese “wenn dies – dann das”- Regeln erhöhen die Sicherheit Ihrer Daten erheblich, indem die Risikofaktoren, die die Identität und den Zugriff in M365 beeinflussen, gemanagt werden.

Um die Einrichtung guter CA-Richtlinien noch einfacher zu machen, gibt es Vorlagen (zum Zeitpunkt der Erstellung dieses eBooks noch in der Preview), die die Themen Sichere Grundlage (engl. Secure Foundation), Zero Trust, Remote-Arbeit, Schutz der Administratoren und Neu auftretende Bedrohungen abdecken.

Um sicherzustellen, dass Sie nicht aus Versehen eine Richtlinie erstellen, die den CEO fünf Minuten vor seiner Vorstandspräsentation aussperrt, können Sie mit der Option, CA-Richtlinien im reinen Berichtsmoduseinzusetzen, die Auswirkungen der Richtlinien bewerten, ohne sie tatsächlich durchzusetzen.

Es gibt eine API für den Zugriff auf CA-Richtlinien. Damit können Sie (z.B. mit PowerShell) ein Backup Ihrer CA-Richtlinien erstellen, sie wiederherstellen, Änderungen überwachen und sie als Code behandeln, anstatt sie manuell im Portal zu verwalten.

Sie können die Richtlinien auch in einem Test-Tenant testen, bevor Sie sie von dort aus exportieren und in Ihren Produktions-Tenant importieren, nachdem sie die Überprüfung bestanden haben.