Brukeradministrasjon i Microsoft 365 Business Premium
Azure Active Directory (AD) er neste generasjons katalogtjeneste for identitets- og tilgangsstyring. Den er det skybaserte motstykket til AD i Windows og danner ryggraden i Microsoft 365, Azure og Dynamics 365. Navnelikheten til tross er de to identitetstjenestene veldig forskjellige. Windows AD er knyttet til lokalnettet med nettverkssikkerhet. Du eier og er alene om domeneskogen din. Azure AD er globalt distribuert med høy tilgjengelighet og skalerer til flere hundre millioner identiteter.
Du leier et lite, godt isolert utsnitt av katalogen, derav uttrykket tenant (leietaker el. forpakter), som er en annen betegnelse for skyorganisasjonen. Med en lisens på en av plattformene etableres det en ny instans av Azure AD. Innebygde sikkerhetsmekanismer sørger for minst like trygg tilgang til apper og data over et åpent, fiendtlig Internett som på bedriftsnettverket. Verktøyene vil som regel være bedre og enklere å bruke enn det små og mellomstore bedrifter (SMB) vanligvis har.
Oppsett av Microsoft 365-organisasjonen
Microsoft 365-administrasjonssenter gir grunnleggende funksjoner for å konfigurere organisasjonen og administrere brukere og enheter. For mer avanserte behov må du gå inn i portalene for Azure AD eller Enhetsbehandling. Ta for deg oppsettet for domener før du setter Microsoft 365 i produksjon. Når du registrerer virksomheten, opprettes et subdomene under onmicrosoft.com (her ayla).
Du bør legge til ett eller flere egne domener (her sildeviga.no). Så trenger du DNS-oppføringer for e-post (Exchange), Teams (Skype), enhets- og applikasjonsbehandling (Intune) og din organisasjon (OrgID). Veivisere bidrar til å forenkle prosessen. Det kan også være lurt å ta en rask titt på Organisasjonsinnstillinger.
Under Tjenester kan du konfigurere Microsoft 365-tjenestene som følger med. Blant annet finner du mange innstillinger for Bookings-appen som du bør gå gjennom før du tar den i bruk. Du kan hindre ansatte i å gi samtykke når tredjepartsapper ber om tilgang til bedriftsdata på deres vegne. Du kan tillate ekstern kalenderdeling med personer utenfor organisasjonen som har Microsoft 365 eller Exchange. Du kan gi gjestetilgang i Teams med mer.
Under Sikkerhet og personvern kan du tillate at brukere kan legge til personer utenfor organisasjonen som gjester. Passordutløpspolicy lar deg konfigurere at passord aldri skal endres, som er Microsofts råd i kombinasjon med sterk autentisering. Det anbefales at brukere bør registrere seg for selvbetjent tilbakestilling av passord.
Under Organisasjonsprofil ser du at kundedataene dine for Exchange, Teams og SharePoint lagres i EU, med hva det betyr for å sikre personlig identifiserbar informasjon.
Tre typer brukere
I Microsoft 365 finnes det tre typer brukerkontoer. Det kan være rene skybrukere som er opprettet direkte i Azure AD. Brukere kan være synkronisert til skyen fra lokalt Windows AD og er hybride. Det kan dreie seg om gjester med eksterne kontoer – B2B står for Business-to-Business, bedrift-til-bedrift. Disse identitetene og deres tilganger må sikres godt.
Administrere skyidentiteter
For organisasjoner uten lokal infrastruktur må du opprette og administrere brukerne i Azure AD. Det gjøres også ofte av virksomheter når de vurderer og utforsker skyen, eller når de har hastverk med å komme i gang med Teams. Administrasjonssentret for Microsoft 365 er oversiktlig organisert. I den grå navigasjonsruten til venstre ser du alternativer for å forvalte brukere, enheter, teams og grupper. Der finner du også menypunkter for fakturering og oppsettet for organisasjonen din. Under er det pekere til portaler for Sikkerhet og Samsvar pluss andre administrasjonssentre.
Antakelig vil du tilbringe mye tid med aktive brukere. Navnet vises øverst på kortet. Du kan tilbakestille passord, blokkere pålogging og slette bruker. Du kan behandle brukernavn og primær e-postadresse. Du får en oversikt over påloggingsaktiviteten for de 30 siste dagene. Du kan angi en alternativ adresse for å tilbakestille passordet om en bruker har glemt det og blir låst ute av kontoen. Du kan tildele roller. Normalt skal sluttbrukere ikke ha administratortilgang. Til det oppretter du egne kontoer med akkurat nok rettigheter (prinsippet om minste privilegium). Du kan ta det enda et skritt videre ved bare å tillate administrativ tilgang fra spesielt herdede maskiner. Men her er det primært et testmiljø.
Et alias er en annen adresse andre kan benytte for å sende e-post. Du kan logge av brukere fra alle Microsoft 365-sesjoner. Du kan administrere medlemskap i grupper og legge til en overordnet som bruker rapporterer til. Blar du lengre ned, finner du kontaktinformasjon som kan redigeres. Du kan invitere bruker til å laste ned Microsoft 365 Apps på enhetene hun bruker, eller tilbakekalle dem. Her kan du også aktivere godkjenning med flere faktorer på den gamle måten, som ikke er anbefalt.
Enheter viser hvilke datamaskiner og mobilenheter som er registrert for bruker i Intune. Du får informasjon om samsvarstilstand, modell, operativsystem, siste innsjekking og registret dato. Herfra kan du velge å fjerne firmadata.
Lisenser og apper gir muligheten til å administrere dem for hver enkelt ansatt (en annen mulighet er på gruppenivå).
Under E-post finner du de vanligste funksjonene for å håndtere e-post. Du ser hvor mye av postboksen som er brukt. Du kan sette opp tillatelser (Send som og Send på vegne av) og behandle videresending av e-post og automatiske svar.
OneDrive lar deg forvalte OneDrive for Business per bruker, med innstillinger for lagringsplass og deling.
En veiviser hjelper deg med å legge til nye brukere. Brukernavn og primær e-postadresse blir som standard identiske, så som bolivar@sildeviga.no (mailto:bolivar@sildeviga.no). Teknisk er de forskjellige og kan være ulike, men du gjør deg selv en bjørnetjeneste om du holder dem atskilt. Det gjør det vanskeligere for brukere, og du oppnår ikke stort annet enn «sikkerhet ved uklarhet» (security by obscurity). Neste steg er å tilordne produktlisenser, typisk et abonnement på Microsoft 365 Business Premium. Dermed får bruker tilgang til appene og ressursene som er inkludert, blant dem en egen postboks og OneDrive-konto.
Under Valgfri innstillinger kan du angi om bruker skal ha standard rettigheter eller være medlem av en admin-rolle. Her kan du også angi jobbtittel, avdeling, kontor, poststed osv. Disse attributtene kan så benyttes for å kvalifisere medlemskap i dynamiske grupper. Skifter en ansatt avdeling eller kontor, gis nye tilganger og andre forsvinner. Naturligvis finnes det automatiserte metoder for å opprette brukere.
Synkronisere hybride identiteter
Eksisterende virksomheter har som regel en lokal infrastruktur med Windows AD og trenger å integrere Microsoft 365 sømløst. Målet er at brukere har samme brukernavn og passord lokalt og i skyen. Videre bør brukere bare logge på én gang for å få tilgang til alle ressurser på tvers av virksomheten. Det lar seg gjøre på tre forskjellige måter ved å konfigurere synkronisering med Azure AD Connect. Du kan sette opp dette på en lokal server eller i skyen som del av Azure AD-klargjøringstjenesten.
Microsoft anbefaler at man bruker Synkronisering med passord-hash. Den lagrer ikke lokale passord i Microsoft 365 som mange tror. Selskapet har overhodet ikke tilgang til dem. Windows AD benytter en hashfunksjon for å oppbevare passord kryptert i et ikke-reversibelt format. Før det sendes til Microsoft 365, blir det lagt til en salt-verdi (et vilkårlig tall) og hashes ytterligere tusen ganger. Ved kontakt med en domenekontroller får brukere sømløs engangspålogging (single sign-on); uten forbindelse kreves en fornyet pålogging med samme legitimasjon (same sign-on). Begge former forkortes med SSO.
Dette er den letteste synkroniseringen å sette opp, dekker de fleste behov og er den sikreste løsningen. Den fungerer sammen med Microsoft Leaked Credentials Service, en tjeneste som kontrollerer om lekket brukerlegitimasjon på det mørke nettet samsvarer med påloggingsopplysninger i Azure AD. Det er Smart Lockout- og IP Lockout-funksjoner som reduserer faren for passordspray-angrep. Du begrenser typisk på OU-nivå hvilke brukerkontoer som skal samkjøres med skyen. Du må aldri tildele admin-roller i Microsoft 365 til synkroniserte kontoer fordi de lettere kan kompromitteres lokalt.
Gjennomgangsautentisering (Pass-through authentication – PTA) sender godkjenningsforespørselen videre til lokale domenekontrollere, som foretar autentiseringen. En agent kjører på én eller flere domenetilkoblede servere. Fordelen er at du umiddelbart kan stenge brukere ute og holde fast ved dine passordpolicyer. Du kan begrense tidspunkter for pålogging. Ulempen er krav til høy tilgjengelighet for domenekontrollere. Uten kontakt med en autentiseringsserver får du ikke tilgang til Microsoft 365.
Synkronisering med føderering krever mest arbeid. Du må sette opp minst fire ekstra servere, to i det interne nettverket og to i den demilitariserte sonen (DMZen). Føderasjon gir forbedret tilgangskontroll for administratorer – ideelt når det kreves smartkort, sertifikater eller tredjeparts MFA. Du får ekte engangspålogging på tvers av skyen og lokalt miljø. Nå støtter Azure AD flere former for føderering, foruten sertifikatbasert autentisering, noe som gjør at dette alternativet stort sett frarådes.
Invitere eksterne identiteter
I portalen for Microsoft Entra kan du invitere eksterne brukere. De autentiseres av identitetstjenester utenfor din organisasjon, som Google eller Outlook.com. Brukere i andre Microsoft 365-organisasjoner godkjennes der, dessverre uten at de kan ta med seg lisenser. Dette er forskjellig fra invitasjoner fra Teams, SharePoint og OneDrive for Business som foretas i applikasjonene.
Gruppetyper
I Azure AD har Microsoft ryddet opp i gruppene du kjenner fra Windows AD, og tilpasset dem bedre.
Microsoft 365-grupper benyttes til å samarbeide og har flere tilknyttede ressurser, som felles postboks, kalender og OneNote.
Distribusjonsgrupper brukes bare av Exchange og oppretter en e-postadresse for en gruppe personer.
Sikkerhetsgrupper kontrollerer tilgangen til OneDrive og SharePoint og anvendes til å administrere mobilenheter. Disse gruppene kan også fungere som distribusjonslister og være e-postaktiverte. Gruppene kan ha statisk tilordnede medlemmer eller være dynamiske, basert på AD-attributter som avdeling og by. En avansert funksjon er å tilordne Azure AD-roller til grupper.
Andre egenskaper i Azure AD
Kontakter er personer utenfor organisasjonen som du vil ha i adresselisten i Outlook under Personer i Microsoft 365. Gjestebrukere lar deg legge til folk som kan delta i møter, chatte i Teams og redigere dokumenter. Slettede brukere er papirkurven i Azure AD. Du kan gjenopprette dem innen 30 dager.
Avsluttende ord
Windows AD var revolusjonerende da det ble lansert for over 20 år siden og er fortsatt blant verdens mest utbredte katalogtjenester. Den integrerer brukere, tjenester og applikasjoner og sørger for nødvendige tilganger med utgangspunkt i én eneste identitet. Men Windows AD var ikke utviklet med tanke på skyteknologi. En lokal identitetsløsning som kontrollpunkt gjør tilkoblingen til alle skyapper til en bortimot umulig oppgave. Azure AD tar opp tråden og fører identitetstjenesten videre. Katalogen inneholder fortsatt en fortegnelse over ressurser i virksomheten og er aktiv i den forstand at du kan administrere dem. Den er basert på åpne standarder som samarbeider med andre skyleverandører, og introduserer helt andre former for sikkerhet og identitetsbeskyttelse.
Grafikken som fremstiller de tre typer brukerkontoer og synkroniseringsmetodene, er laget av oss. De andre grafiske plansjene er fra Microsoft, fornorsket i Visio eller PowerPoint. Skjermbildene er fra vårt testmiljø.