Hopp til hovedinnhold

Azure Active Directory Identiteter og tilganger i skyen

Logo letter
Evelon AS
Jon-Alfred Smith

Tidene forandrer seg – og vi med dem. Dagens arbeidsmiljø beveger seg opp i skyen, sammen med maskinrom og lokal infrastruktur. Microsoft selv har tre skyplattformer som gjensidig utfyller hverandre og burde dekke de fleste behov: Office 365 sørger for produktivitet og samarbeid. Dynamics 365 lar deg styre forretningsprosesser og behandle kunderelasjoner. Azure tilbyr virtuelle servere, applikasjoner og et stadig økende antall skytjenester. Bak alt dette spøker Azure Active Directory (AD) som det skybaserte motstykke til vårt velkjente AD i Windows.

Azure AD godkjenner pålogginger og lar deg administrere brukere og grupper med tilganger og rettigheter. Men det rommer i tillegg langt flere funksjoner. Du kan i betydelig grad øke sikkerheten i virksomheten eller organisasjonen din. Du kan forbedre brukeropplevelsen og ikke minst gjøre livet lettere for deg som administrator. Azure AD omtales som «identitet som en tjeneste». Med det følger forskjellige planer eller abonnementer. Gratistjenesten er som standard del av Office 365. Her tar vi for oss Azure Active Directory Premium P1, med et sideblikk på P2, som er alternativene vi anbefaler.

Azure Active Directory

azure1

Azure Active Directory er Microsofts geografisk distribuerte katalogtjeneste for identitets- og tilgangsadministrasjon. Det er en global tjeneste med høy tilgjengelighet som kan skaleres til flere hundre millioner brukeridentiteter. Du vil finne mange likhetspunkter med lokalt AD. Katalogene er godt integrert; for sømløs engangspålogging kan du synkronisere brukere med passord opp i skyen. Men du vil raskt oppdage at det også er store forskjeller. Sentrale komponenter i Azure AD er:

  • Leier (eng. tenant) er en dedikert og isolert instans av Azure AD. Den opprettes automatisk når du registrerer deg for et abonnement på Office 365 eller Microsoft Azure. I likhet med en domeneskog i Windows danner en tenant en sikkerhetsavgrensning. Men det er mye enklere å opprette klarerte forbindelser med brukere i andre tenanter, noe som svarer til nye måter vi jobber på i dag. Det er verdt å merke seg at directory på engelsk brukes synonymt med tenant.
  • Domener er ikke noe annet enn DNS-oppføringer. Disse må ikke forveksles med Windows-domener. Du kan operere med ett eller flere DNS-navn. I utgangspunktet får du et unikt subdomene under onmicrosoft.com, som for eksempel ayla.onmicrosoft.com. Så kan du legge til ditt eget domene, som sildeviga.no. Du bekrefter eierskapet ved å sette opp en TXT-oppføring i din egen DNS-sone.

Brukere håndteres sånn som du er vant til fra Windows, med samme type AD-attributter som tittel, avdeling og sted. Her finnes det rene skybrukere og synkroniserte identiteter, ekte medlemmer og gjester. Brukernavnet må følge standarden for User Principal Name (UPN) – som ofte er identisk med e-postadressen – for eksempel jsmith@sildeviga.no. Du bør oppgi brukslokasjonen for å tildele lisenser. Du finner en egen selvbetjeningsfunksjon for å tilbakestille passord, noe som kan avlaste helpdesken. Det er innebygd støtte for multifaktor-autentisering (MFA) med betinget tilgang; det betyr at du kan kvalifisere når eller når det ikke er nødvendig med MFA – ett irritasjonsmoment mindre for brukerne dine. Avhengig av abonnement er det mekanismer for å flagge og avverge risikofylte pålogginger, hindre og oppdage identitetstyveri, samt beskytte privilegerte identiteter med administrative rettigheter.

  • Grupper kan være statiske eller dynamiske; du kan legge til medlemmer manuelt eller basere medlemskapet på AD-attributter. Det er Office 365-grupper, som i alt vesentlig benyttes i Microsoft Teams, og sikkerhetsgrupper. Du kan delegere ansvaret for å administrere gruppene til sluttbrukere. Det er en funksjon for å kontrollere om et medlem er aktivt, og grupper kan ha en fast utløpsdato. Du kan forsyne grupper med lisenser og dermed forenkle tildelingen.
  • Applikasjoner bør i høyest mulig grad innlemmes i Azure AD. Det sørger for en sikker tilgang. Du får koblet brukerne dine til applikasjonene de trenger, med en friksjonsløs opplevelse på tvers av skyen, mobilen og lokale apper.
  • Enheter er Windows-bokser, Macer, nettbrett og mobiltelefoner. Alle disse kan registreres i Azure AD. Windows 10-maskiner kan meldes direkte inn i Azure AD, i en hybrid konfigurasjon også samtidig som de er medlem av et Windows-domene. Fordelen er at du dermed kan administrere dem med egne verktøy, som Microsoft Intune. Det er et tett integrert tilleggsprodukt som blant mye annet kan hjelpe deg med å konfigurere betinget tilgang med et sett av policyer. Sånn kan du stille krav til enheter som får lov til å benyttes mot din tenant.

Azure AD og Windows AD

azure2

Det er naturlig å forstå noe ukjent ut fra noe kjent. Windows Active Directory har eksistert i nærmere 20 år og stått sin prøve. Betegnelsen skriver seg fra at katalogen (directory) inneholder en fortegnelse over ressursene i organisasjonen; den er aktiv i den forstand at vi kan administrere dem. Windows AD er såkalt single-tenant, dvs. den omfatter bare én domeneskog, ofte bare med ett domene. Azure er multi-tenant, dvs. leieren eller tenanten er bare en isolert – til gjengjeld godt sikret – del av Azure AD. Windows AD er knyttet til lukkede, beskyttede lokale nettverk, omgitt av brannmurer og demilitariserte soner. I Azure AD finnes det naturlig nok ikke et sånt konsept; her eksponeres bare veldefinerte endepunkter.

Strukturen i Windows AD er hierarkisk, basert på et enkelt katalogtre, som i likhet med filsystemer (og trær hos mystikere) har sin rot over bakken og vokser nedover. I Azure AD er oppbygningen flat. Windows AD gjør utstrakt bruk av DNS for å navngi og lokalisere objekter. I Azure AD benyttes DNS bare for domener. I Windows AD må man dessverre enkelte ganger slåss med en kronglete LDAP-syntaks for å foreta en spørring, som for å få frem alle brukere i en avdeling. Men man forsøker i det lengste å unngå det ved å benytte mer brukervennlige verktøy. I Azure har man AD Graph API, som er et programmeringsgrensesnitt og til tross for navnet alt annet enn grafisk. Der benytter du fortrinnsvis portalen og for automatisering PowerShell eller Azure command-line interface (CLI).

Kerberos – egentlig den trehodete hunden i gresk mytologi som

Azure3

Portalen for Azure Active Directory

azure14

Her kan det bare bli noen få smaksprøver. Utvid administrasjonssentrene i Office 365-portalen om nødvendig og klikk på Azure Active Directory. Dashbordet kommer opp med standardinnstillingene. Du kan også logge deg direkte på via https://portal.azure.com. Portalen er oversatt til svensk, men ikke til norsk ennå. Du kan operere med mange forskjellige dashbord. Du kan legge til og fjerne fliser, forstørre og forminske dem. Navigasjonsruten til venstre, den mørke bolken, kan også tilpasses ut fra hvilke favoritter du er interessert i.

azure5

Klikk på Azure Active Directory i navigasjonsfeltet. Grensesnittet er langt på vei selvforklarende. Under Organizational relationships har du muligheten til å legge inn gjestebrukere. Du kan registre enheter og apper. Application proxy sikrer ekstern tilgang til foretaksinterne web-applikasjoner.

azure6

Det er omfattende rapporteringsfunksjoner. En av årsakene til den lave skåringen ovenfor er at Azure AD P2-linsenen nettopp er lagt til. MFA er satt opp for bare én bruker så langt. Den globale administrator-kontoen er ikke beskyttet ennå.

azure7

Her flagges en mulig risikofylt pålogging. Azure Identity Protection lærer seg vanene dine. Dessverre er jeg for lite i Tyskland, men i dette tilfelle er det en falsk positiv.

Lisenser for Azure AD

Microsofts skytjenester krever Azure AD for pålogging og identitetsbeskyttelse. Derfor får du som bruker automatisk tilgang til alle gratisfunksjoner i Azure AD - uten omkostninger i den forstand at de inngår i grunnabonnementet.. Disse er også i hovedsak tilgjengelig i portalen for Office 365. For en bedre og mer funksjonell implementering bør du oppgradere til lisenser for Azure Active Directory Basic, Premium P1 eller Premium P2. Det gir deg eksempelvis selvbetjening, forbedret overvåking, sikkerhetsrapportering og sikker tilgang for din mobile arbeidsstyrke.

  • Azure Active Directory Free bidrar med bruker- og gruppe-administrasjon, synkronisering av kataloger mellom lokalt AD og Azure AD, grunnleggende rapporter og engangspålogging på tvers av Azure, Office 365 og mange populære SaaS-apper.
  • Azure Active Directory Basic inneholder alle gratisfunksjoner og sørger for aksess til skysentriske apper. Du får gruppebasert tilgangshåndtering, selvbetjeningsfunksjonen for å tilbakestille passord og Azure AD Application Proxy, som lar deg publisere lokale web-apper ved hjelp av Azure AD.
  • Azure Active Directory Premium P1 plusser på med en rekke nyttige funksjoner. Her har du multifaktor-autentisering med betinget tilgang – grunn god nok til å velge denne lisensen. Du kan la dine hybride brukere få tilgang til både lokale og skybaserte ressurser. Det er også støtte for avansert administrasjon, som dynamiske grupper og selvbetjent gruppe-håndtering. Du får Microsoft Identity Manager (en pakke for lokal identitets- og tilgangsstyring) pluss muligheten til å skrive passord tilbake fra skyen, så lokale brukere kan ordne med dem selv.
  • Azure Active Directory Premium P2 kommer med Azure Active Directory Identity Protection (AIP) og Privileged Identity Management (PIM). Med AIP kan du oppdage og avverge mulige innbrudd med stjålne påloggingsopplysninger. PIM lar deg begrense og overvåke administratorer og deres tilgang til ressurser.
  • “Pay as you go”-funksjonslisenser lar deg benytte tilleggsfunksjoner, som Azure Active Directory Business-to-Customer (B2C). B2C kan hjelpe deg med å levere løsninger for å administrere identiteter og tilganger i kundesikrede apper – noe som faller utenfor fremstillingen her.

Avslutning og konklusjon

Teknologisk er skytjenester for lengst blitt overlegne i forhold til løsninger lokalt og ikke lenger mulig å få til der. Dette er Teams det beste bevis på, som i alt vesentlig er et presentasjonslag for økosystemene i Microsoft-skyen. Et annet eksempel er nettopp Azure Active Directory, som er en naturlig videreføring av Windows AD. Her får du funksjoner du lenge har savnet som Windows-administrator:

Ved hjelp av få museklikk er alle brukere sikret med multifaktor-autentisering. Du har verktøyene du trenger for å hindre og avsløre identitetstyveri. Du får beskyttet privilegerte identiteter med administrative rettigheter. Du kan i en håndvending gi samarbeidspartnere tilgang til ressurser i egen tenant – tungvint i Windows, lekende lett i skyen. Hva med alle forespørslene fra brukere som har glemt eller må endre passordene sine? La dem ordne med det selv. La dem også vedlikeholde gruppene – kjappere for dem og mindre arbeid for deg.

Fra Exchange er du vant til å forenkle gruppemedlemskap med dynamiske distribusjonsgrupper. Azure AD gir deg samme funksjonalitet for Office 365- og sikkerhetsgrupper. Har du noensinne ryddet opp i hundrevis av Windows-grupper uten å ane hva de gjør, og hvorfor de er der? Da kommer grupper med utløpsdato og logging av inaktive brukere som en gudesendt gave. Og så er det alle overvåkings- og rapporteringsfunksjonene. Her har vi bare skrapt på overflaten av mekanismene og mulighetene i Azure AD. Forhåpentlig har det vært nok til å gi mersmak og sette deg i gang.

Koblinger

Hva er Microsoft Azure?

Kom i gang med Microsoft Azure

Sett opp multifaktor-autentisering i Office 365

Office 365 – Sikkerhet i skyen

Publisert:

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!