Das Azure Active Directoy dient dem zentralen Identitätsmanagement hinter den Microsoft Cloud Diensten wie Office 365. Enterprise Mobility + Security beinhaltet Microsoft Intune, die Azure Rechteverwaltung und die Premiumvariante des Azure Active Directory und bietet somit umfassende Möglichkeiten Geräte und die von Ihnen genutzten Dienste, auch wenn diese nicht zu Microsofts Portfolio gehören, über Ihre Unternehmensidentität zu verwalten.

Was ist das Azure Active Directory?

Das Azure Active Directory ist Microsofts cloud-basierte Lösung zur Benutzer (-gruppen) und Zugriffsverwaltung und steht als IDaaS (Identity as a Service) über Microsoft Azure zur Verfügung. Die Identitätsverwaltung, die Sie vielleicht aus Ihrem Office 365 oder Intune -Tenant kennen,  nutzt diesen Service automatisch Hintergrund – vom vollen Funktionsumfang könne Sie durch den Zugriff über das Azure-Portal profitieren.

Der Leistungsumfang unterscheidet sich in vier Varianten: Kostenlos, Basic und Premium P1 oder P2 (auf deren Unterschied an anderer Stelle eingegangen wird).

Die kostenlose Variante erlaubt rudimentäre Funktionen zur Nutzerverwaltung für bis zu 500.000 Verzeichnis-Objekte,  deren Zugriffsrechte und Authentifizierung  jeweils für bis zu 10 Services verwaltet werden können.

Der Basic-Plan, als kleinste Erweiterung zu dem in Office 365 inkludiertem Free-Plan, verspricht zunächst ein SLA von 99,9% und erweitert außerdem die Möglichkeiten der kostenlosen Variante um Funktionen zur gruppenbasierten Zugriffsverwaltung, optischen Anpassung  des Zugriffsportals (Firmenlogo etc.),  der nutzergetriebenen Passwortzurücksetzung (Self-Service Password reset) und der sicheren Remoteverwaltung – beispielsweise durch die Azure AD Sync Services, mit denen Sie die Benutzer in Ihrem Azure AD über Ihr lokales AD verwalten können. Das Limit der Verzeichnisobjekte wird bei diesem Plan aufgehoben. Die Preisgestaltung erfolgt auf Nachfrage, da dieser Funktionsumfang in den kommerziellen Microsoft Services bereits integriert ist.

Die Premium Variante  hebt zunächst die Service- bzw. App-Authentifizierungs-Begrenzung auf, die für einen Nutzer oder eine Gruppe bereitgestellt werden können. Zudem beinhaltet diese Ausführung CALs (Client Access Lisence) für den Einsatz des Microsoft Identity Manager. Weiter können Ihre lokalen und cloud-basierten Dienste umfassender verwaltet werden: Die Verwaltung von Benutzern und deren Passwörtern kann sowohl im Cloud-Portal als auch über Ihr lokales AD erfolgen. Auch Ihre lokale Anwendungen können sich am Azure AD Authentifizieren, was den Standort-unabhängigen Einsatz vereinfacht. Zur Absicherung des Zugriffs durch autorisierte Personen steht eine Multi-Factor Authentifizierung, für Ihre lokalen als auch cloud-basierten Services und Apps zur Verfügung.
Um die Qualität des Dienstes zu gewährleisten und zu überwachen werden außerdem detaillierte Nutzungs- und Sicherheitsberichte, Connect-Health-Überwachung und die Möglichkeit zur zentralisierten Statusverwaltung Ihrer eigenen Anwendungen über Cloud App Discovery geboten.

Single-Sign-On: Die Authentifizierung gegen das Azure Active Directory

Für den Alltag werden häufig viele verschiedene Dienste benötigt, die wiederum viele unterschiedliche Zugangsdaten benötigen.

Nehmen wir beispielsweise den Einsatz eines Unternehmens-Social-Media-Auftritts via Twitter. Urlaub, Krankheit und ein hohes Anfragelevel sorgen dafür, dass eine Firma mehr als eine Person mit der Aufgabe versieht sich um den Social-Media-Auftritt zu kümmern. Solche Dienste bieten jedoch meist nur einen einzigen zentralen Account. So werden ein Benutzername und ein Passwort an mehrere Personen ausgegeben. Verlässt ein Mitarbeiter das Unternehmen, so müssen diese Anmeldedaten “blitzartig” geändert und den verbliebenen Mitarbeitern muss die neue Kennung mitgeteilt werden. Umständlich. Zum anderen konnte man bereits häufig beobachten was passiert wenn Anwender zu viele Passwörter verwalten mussten und diese dann unabsichtlich (oder absichtlich…)  an Dritte gelangen. Die Posts die durch die Kanäle einiger großer Unternehmen ins Netz gelangten führten teils zu großem Amüsement – teils zu Imageschaden. Und wie soll nun die undichte Stelle identifiziert werden, wenn der genutzte Account keiner Einzelperson zuordbar ist?

Das angebrachte Beispiel stellt dabei noch ein eher harmloses Szenario dar.

Die Lösung: Single Sign On – Der Nutzer bekommt die Zugangsdaten für den Dienst zu dem er berechtigt ist gar nicht erst zu Gesicht.

image

Von Ihnen autorisierte Webdienste wie Twitter können direkt mit einem Klick aus dem Office 365 Portal aufgerufen werden – die Authentifizierung erfolgt dann automatisch in einem Zwischenschritt und der Nutzer kann auf den Dienst zugreifen.

image

Fazit

Enterprise Mobility + Security beinhaltet mit dem Azure Active Directory ein umfangreiches Werkzeug zur eleganten und sicheren Nutzerverwaltung. Details zum Preis und den weiteren Bestandteilen des Pakets können Sie unserer Website entnehmen. Gerne stehen wir Ihnen bei Fragen zu den einzelnen Technologien und möglichen Einsatzszenarien in Ihrem Unternehmen zur Verfügung. Kontaktieren Sie uns einfach!