Azure Active Directory bildet die Basis eines modernen Identitätsmanagements in der Microsoft Cloud. Es ist der Dreh- und Angelpunkt wenn es darum geht eine komfortable, aber zugleich sichere Unternehmensumgebung aufzubauen. Und das Beste: Microsoft hat über die Jahre zahlreiche Features integriert, um eine möglichst umfassende Experience zu bieten. Dazu zählen unter anderem Funktionen wie Conditional Access, Priviliged Identity Management oder auch die Option externen Identitäten Zugang zu Ihrem Tenant zu gewähren – die sogenannten Guest Accounts.

HOW TO: Automatisiertes Azure AD Guest Account Management  

Wie Sie externen Identitäten, den Guest Accounts, Zugang zu Ihrem Tenant gewähren können? Die Nutzung ist ebenso simpel wie hilfreich:

Azure AD Guest Account Management
Preview: All Users

Ein Gast kann über ein simple Menüführung per bestehender E-Mail-Adresse eingeladen werden und muss dies dann lediglich über den zugestellten Link bestätigen. Das ermöglicht eine simple Zusammenarbeit über Unternehmensgrenzen hinaus – führt allerdings auch dazu, dass Administratoren im Zweifel mit Accounts zu tun haben, die unabhängig von ihrem Verbleib im Unternehmen entstehen.

Wie kann jetzt also sichergestellt werden, dass Guest Accounts nicht überhand nehmen? Eine Lösung für dieses Problem kommt direkt von Microsoft und nennt sich Access Reviews. Hierbei werden regelmäßige Abstände definiert, in denen Verantwortliche Personen Listen von Usern und ihren Berechtigungen erhalten und dann zu bewerten haben, ob deren Zugriffe weiterhin notwendig sind. In der Praxis zeigt sich allerdings, dass das zusätzliche, ungeliebte Bürokratie schafft. Oft besteht auch gerade bzgl. Gastbenutzern Uneinigkeit in der Zuständigkeit.

Warum also nicht den gesamten Prozess automatisieren?

Der Weg hin zur Automatisierung

Mein Beispiel geht davon aus, dass Gastbenutzer, die sich über einen längeren Zeitraum nicht mehr im Tenant angemeldet haben, keinen Zugriff mehr benötigen. Insbesondere bei vorübergehender Zusammenarbeit in Projekten ein häufiger Fall. Diesen Zeithorizont definiere ich via Powershell über einen Timestamp:

Ich will nun den letzten Login für alle Guest Accounts überprüfen. Daher lese ich zunächst alle Gäste in meiner Umgebung aus:

In einer Schleife wird anschließend über diese Accounts iteriert. Sofern Azure AD Premium vorliegt, steht mir außerdem folgendes Commandlet zur Verfügung:

Über den Top Parameter erhalte ich also den letzten, zum User zugehörigen Login. Schlussendlich wird dann über eine einfach Fallunterscheidung geprüft, ob dieser länger zurück liegt als mein angegebener Timestamp. Ist dies der Fall, wird der Nutzer aus dem Directory entfernt:

Das gesamte Skript kann völlig unbeaufsichtigt in einem Automation Account oder einer Azure Function via regelmäßigem Schedule ausgeführt werden ohne, dass dafür Kosten anfallen. Guest Account Leichen früherer Tage gehören damit der Vergangenheit an.

Sie möchten ebenfalls von Azure Active Directory als Identitätsmanagement profitieren und einen tieferen Einblick in die Nutzendimensionen von Microsofts Features erhalten? Das automatisierte Azure AD Guest Account Management war nur Eines von vielen kleinen Helfern, die Ihre IT auf ein neues Level heben. Kontaktieren Sie uns – unsere zertifizierten Experten stehen Ihnen zur Seite!