Oversikt over Azure Active Directory
Azure Active Directory (AD) er det skybaserte motstykket til Windows AD-domenetjenester. Det er neste generasjons katalogtjeneste for identitets- og tilgangsstyring og danner ryggraden for Microsofts tre skyplattformer: Microsoft 365, Dynamics 365 og Azure. Azure AD er globalt distribuert med høy tilgjengelighet og kan skaleres til flere hundre millioner brukeridentiteter. Det er flere likhetstrekk med lokalt Windows AD. Azure AD godkjenner pålogginger og lar deg administrere brukere og grupper med tilganger og rettigheter. Enheter kan registreres eller meldes inn i Azure AD, men må behandles via Intune. AD-attributtene er felles, som er viktig for synkroniseringen i hybride miljøer. Men det er langt mer som skiller katalogene. Arkitekturen er fundamentalt forskjellig. Det finnes ingen gruppepolicyer. Azure AD kommer med en rekke mekanismer og tjenester for å beskytte bruker- og enhetsidentiteter.
Egenskaper i Microsoft Azure AD
Du kan synkronisere Windows AD med Azure AD for engangspålogging (single sign-on). Dermed blir det helt transparent for brukere om de benytter skybaserte eller lokale applikasjoner. Det hjelper dine ansatte med å få tilgang til denne typer tjenester:
- Eksterne ressurser som Azure-portalen, Microsoft 365 og andre SaaS-applikasjoner
- Interne ressurser i bedriftsnettverket som aksesseres lokalt, i tillegg til lokale apper som er gjort tilgjengelig i skyen.
SaaS står for software as a service – programvare som tjeneste – som innebærer at den er klar til bruk. Eventuelt må du foreta enkelte tilpasninger og se til at sikkerheten er i samsvar med dine krav. Autentiseringen mot Azure AD gir også tilgang til tredjeparter, som sky-applikasjoner i Oracle og Google Cloud. HR-appene i figuren aksesseres via det interne nettet. De lokale og eldre appene er publisert med Azure AD Application Proxy.
Sentrale komponenter i Azure AD
Leier (eng. tenant) er en dedikert og isolert instans av Azure AD. Den opprettes automatisk når du tegner et abonnement på Microsoft 365, Dynamics 365 eller Azure. I likhet med en domeneskog i Windows markerer en tenant en sikkerhetsavgrensning. Riktig nok er det mye enklere å opprette klarerte forbindelser med brukere i andre tenanter, noe som svarer til hvordan vi jobber i dag. Directory (katalog) brukes synonymt med tenant.
Domener er ikke annet enn DNS-oppføringer. Disse må ikke forveksles med Windows-domener. Du kan operere med ett eller flere DNS-navn. I utgangspunktet får du et unikt subdomene under onmicrosoft.com, som for eksempel ayla.onmicrosoft.com. Så kan du legge til ditt eget domene, så som sildeviga.no. Du bekrefter eierskapet ved å sette opp en TXT-oppføring i din egen DNS-sone.
Brukere håndteres sånn som du er vant til fra Windows, med attributter som tittel og avdeling. Det finnes rene skybrukere og synkroniserte identiteter, ekte medlemmer og gjester. Brukernavnet må følge standarden for User Principal Name (UPN) – som ofte er identisk med e-postadressen – for eksempel jsmith@sildeviga.no. Du må oppgi brukslokasjonen for å tildele lisenser (Norge, Tyskland osv.) Det er avanserte mekanismer for identitetsbeskyttelse avhengig av abonnement.
Grupper kan være statiske eller dynamiske; du kan legge til medlemmer manuelt eller basere medlemskapet på AD-attributter. Det er Office 365-grupper – som i alt vesentlig benyttes i Microsoft Teams – distribusjonsgrupper og sikkerhetsgrupper. Du kan delegere ansvaret for å administrere gruppene til sluttbrukere. Det er en funksjon for å kontrollere om medlemmer er aktive, og grupper kan ha en fast utløpsdato. Du kan tildele lisenser på gruppenivå og dermed forenkle prosessen.
Applikasjoner bør innlemmes i Azure AD. Det sørger for sikker tilgang. Du får koblet brukerne dine til applikasjonene de trenger, med en friksjonsløs opplevelse på tvers av skyen og lokale apper.
Enheter kan kjøre Windows, macOS, Android, iOS og iPadOS. Alle disse kan registreres i Azure AD. Windows 10-maskiner kan meldes direkte inn i Azure AD, i en hybrid konfigurasjon også samtidig som de er medlem av et Windows-domene. Fordelen er at du dermed kan administrere dem med egne verktøy, som Microsoft Intune.
Azure AD og Windows AD
Azure Active Directory Lokalt Active Directory Multi-tenant Single-tenant Åpent nettverk Lukket lokalnett Flat struktur Hirearkisk X.500-struktur DNS-baserte domener DNS for objekter AD Graph API for spørringer LDAP for spørringer SAML, OAuth, WS-føderering for autentisering Kerberos for autentisering Organisasjonsenheter og gruppepolicier
Active Directory inneholder en fortegnelse over ressurser. Den er aktiv i den forstand at du kan administrere dem. Azure AD er multi-tenant, basert på en flerleietaker-arkitektur. Med din egen tenant leier du bare en begrenset del av Azure AD, som er godt isolert og sikret. Det er forklaringen på hvorfor uttrykket tenant brukes, som betyr leier, leietaker, forpakter. Windows AD er såkalt single-tenant, dvs. den omfatter bare én domeneskog, ofte bare med ett domene.
Azure AD befinner seg på et åpent nettverk og eksponerer veldefinerte endepunkter. Mens Windows AD er knyttet til lukkede, beskyttede lokalnett, omgitt av brannmurer og demilitariserte soner. I Azure AD er oppbygningen flat. Strukturen i Windows AD er hierarkisk, basert på et enkelt katalogtre, som i likhet med filsystemer har sin rot over bakken og vokser nedover. I Azure AD benyttes DNS bare for domener. Windows AD gjør utstrakt bruk av DNS for å navngi og lokalisere objekter.
For spørringer i Azure AD har man programmeringsgrensesnittet Graph API. Der benytter du fortrinnsvis portalen og for automatisering PowerShell eller Azure Command-Line Interface (CLI). I Windows AD brukes LDAP kombinert med brukervennlige verktøy.
For autentisering i Azure har Microsoft valgt å gå over til utbredte nettstandarder: Security Assertion Markup Language (SAML) er en åpen rettesnor for utveksling av autentiserings- og autorisasjonsdata mellom parter. OAuth 2.0 er en bransjestandardprotokoll for autorisasjon. WS-føderering (Web Services Federation) er en protokoll som kan brukes til å forhandle om utstedelse av et token.
I Windows danner Kerberos en sikker autentiseringsmodell, som også benyttes i Unix- og Linux-verden. Fra X.500-katalogen har Windows AD overtatt organisasjonsenheter (OUer). Ved hjelp av dem kan man delegere rettigheter og tildele gruppepolicyer. Rettigheter i Azure AD bygger på rollebasert tilgangskontroll. Gruppepolicyobjekter og -preferanser finnes ikke i Azure AD. Men man oppnår mye av det samme i Intune med konfigurasjonspolicyer.
Fire utgaver av Azure AD
Azure Active Directory er tilgjengelig i fire utgaver – Gratis, Office 365-apper, Premium P1 og Premium P2. Høyere versjoner inkluderer alle egenskaper i de lavere. Gratis-utgaven lar deg administrere kjerneidentiteter og tilganger. Det er støtte for bedrift-til-bedrift-samarbeid. Denne versjonen følger med produkter som Azure, Dynamics 365, Intune og Power Platform. Office 365-apper sørger for utvidet identitets- og tilgangsadministrasjon og er blant annet inkludert i Microsoft 365 Business Basic og Business Standard.
Premium P1 er utformet for å styrke organisasjoner med mer krevende behov og legger til et bredt spekter av funksjoner som beskytter brukere og gir dem sømløs tilgang til tjenester lokalt og i skyen. Utgaven følger med Microsoft 365 Business Premium og Enterprise Mobility + Security (EMS) E3. Om det er behov for ytterligere sikkerhet for enkelte, kan du tegne lisenser på Azure AD Premium P2, som gir avansert identitetsbeskyttelse og administrasjon av privilegerte identiteter. Premium P2 inngår i Microsoft 365 Enterprise E5 og EMS E5.
Kontrollere Azure AD-versjon
I dashbordet for Active Directory admin center vises utgaven. Her benyttes Microsoft 365 Business Premium som kommer med en full lisens på Azure AD Premium P1.
Gratis-utgaven av Azure AD
Gratis inneholder basisfunksjonene. Du kan klargjøre og administrere brukere, grupper og enheter. For skybrukere er det selvbetjent endring av passord. Det er en mekanisme for passordbeskyttelse, som omfatter globale forbudte passord. Du kan konfigurere godkjenning med flere faktorer (multifaktor-autentisering – MFA) for alle brukere, men uten samme fleksibilitet som i Premium.
Azure AD Connect lar deg sette opp synkronisering mellom lokalt AD og Azure AD med. Alternativene er synkronisering av passord-hash, direktegodkjenning og føderering. Det er støtte for enkel pålogging (single sign-on – SSO), også kjent som engangspålogging. Det gir tilgang til Microsofts skyapper og SaaS-apper fra tredjeparter, men ikke til lokale programmer, som krever programproxy for Azure Active Directory eller sikre hybride partnerskapsintegrasjoner som er tilgjengelige med Azure AD P1 og P2. Enheter kan registreres eller meldes inn i Azure AD. Administrator, men ikke sluttbruker, kan gjenopprette BitLocker. Du får grunnleggende rapporter om sikkerhet og bruk. Det er støtte for bedrift-til-bedrift-samarbeid med opptil fem gjestebrukere.
Office 365-apper
I Microsoft 365 bruker du Microsoft 365 administrasjonssenter for vanlige administrative oppgaver og går over til Active Directory admin center for mer avanserte funksjoner. I Office 365-apper inngår firmavaremerking for å tilpasse påloggings- og avloggingssider, samt tilgangspanelet. I stedet for bare muligheten til å endre passordet får du selvbetjent tilbakestilling av passord for skybrukere. I første tilfelle må de huske passordet, i sistnevnte kan de ha glemt det. Det er en mekanisme for å skrive tilbake til enheter, noe som sørger for toveis synkronisering mellom lokale kataloger og Azure. Abonnementet inneholder en servicenivå-avtale på 99,9 prosent oppetid.
Azure AD Premium P1
Tre av de viktigste egenskapene er selvbetjent tilbakestilling, endring og opplåsing av passord med tilbakeskriving til lokalt AD, en full versjon av Azure MFA og betinget tilgang. Funksjonen for selvbetjening avlaster helpdesk, men gir også muligheten til å reagere raskt ved mistanke om at legitimasjonen er kompromittert. MFA reduserer faren for identitetstyveri med 99,9 prosent.
Betinget tilgang lar deg kvalifisere under hvilke forutsetninger en bruker- og enhetsidentitet skal få adgang til ressurser i organisasjonen. Dette kan baseres på gruppe, plassering og enhetsstatus og er integrert med Azure Information Protection og Microsoft Cloud App Security. Det er også integrering med tredjepartspartnere. Betinget tilgang kan angi vilkår for bruk, sette begrensninger for SharePoint og Exchange og kombineres med MFA. Signalene – bruker og sted, enhet og app – verifiseres ved hvert tilgangsforsøk. Vurdering av sanntidsrisiko krever Azure AD Premium P2.
Registrering i Azure AD og Intune
Microsoft Endpoint Manager er en paraply for blant annet Intune, som er Microsofts skybaserte løsning for mobil enhets- og applikasjonsbehandling. Enhetene er registrert i både Azure AD og her. I Intune setter du opp konfigurasjonspolicyer, som tilsvarer gruppepolicyer i lokalt AD, med støtte for andre plattformer enn bare Windows – «mobil først, sky først» (Satya Nadella). Du trekker opp retningslinjer for samsvar. På bakgrunn av dem, kan en bedømmelse av enhetstilstanden benyttes som én av forutsetningene i betinget tilgang. Intune kan lisensieres som tillegg og følger med Microsoft 365 Business Premium og Enterprise. For Windows 10 kan registreringen i Intune automatiseres når du melder maskinen inn i Azure AD. Det gjelder også for lokalt AD i hybride miljøer ved hjelp av gruppepolicyer.
Administrasjon av avanserte gruppetilgang
I Microsoft 365 er det sikkerhetsgrupper, distribusjonsgrupper og Office 365-grupper, sistnevnte et sett med ressurser for samarbeid. Det kan være en delt innboks i Outlook, en felles kalender, et dokumentbibliotek og OneNote-notater. Spesielt for Azure AD Premium er støtte for dynamiske grupper, basert på AD-attributter som tittel, departement og avdeling. Det reduserer arbeidet med å administrere brukere og enheter. Du kan delegere tillatelser til å opprette grupper til brukere. Da er det viktig med policyer for gruppenavn, retningslinjer for bruk og standard klassifisering. Grupper kan ha en utløpsdato. Med tilgangsrapporter kan du kontrollere om det er inaktive medlemmer.
Passordbeskyttelse og passordløs pålogging
Passordbeskyttelsen er utvidet. Du kan legge til en egen liste over passord du ønsker å forby. Den kan også utvides til bruk i Windows AD. Men til tross for mekanismer for å gjøre passord tryggere legger Microsoft opp til passordløs autentisering, som forenkler påloggingen og gjør den sikrere.
Azure AD Application Proxy
Application Proxy gir sikker tilgang til interne applikasjoner fra Internett. Tjenesten tilbyr mer sikkerhet enn konvensjonelle VPN- eller reverse proxy-løsninger og er enklere å sette opp. Brukere får like sikker og enkel adgang som når de jobber med Microsoft 365 og andre Azure AD SaaS-løsninger. Du behøver ikke tilpasse applikasjonen. Du må ikke åpne brannmuren for innkommende tilkoblinger. Trafikken initialiseres innenfra ved hjelp av agenter. I figuren vises det at du kan publisere IaaS-apper som kjører på virtuelle maskiner i Azure og andre nettskyer – infrastructure as a service (infrastruktur som tjeneste).
Cloud App Discovery
Cloud App Discovery beskytter mot uautorisert datatilgang og skygge-IT. I moderne bedrifter hvor det er lov å ta med private enheter eller jobbe hjemmefra, skjer det lett at IT-avdelingen mister oversikten over skyappene som benyttes. Uautorisert tilgang til firmadata, mulig datalekkasje og andre sikkerhetsrisikoer som oppstår ved bruk av uoffisielle nettsky-applikasjoner, forårsaker jevnlig hodebry for IT. Med Cloud App Discovery kan du håndtere disse utfordringene. Azure AD-tjenesten gir detaljert innsikt i skyapplikasjonene og lager rapporter som gir en bred analyse av landskapet.
Andre funksjoner og tjenester i Azure AD Premium P1
Det følger med brukerlisenser for Microsoft Identity Manager, som binder sammen løsninger for identitets- og tilgangsadministrasjon, som Windows AD, LDAP, Oracle og andre applikasjoner, med Azure AD. Enterprise State Roaming lar brukere synkronisere brukerinformasjon og innstillinger for applikasjoner på en sikker måte til skyen og på tvers av Windows 10-enheter – ikke ulikt funksjonene i Windows 8. Men her er det separasjon mellom forbruker- og bedriftsdata. I bakgrunnen benyttes Azure Rights Management (Azure RMS) for kryptering. Du får tilgang til avanserte rapporter om sikkerhet og bruk.
Azure AD Premium P2
Azure AD Premium P2 føyer til disse to tjenestene: Azure AD Identity Protection sørger for utvidet identitetsbeskyttelse. Azure AD Privileged Identity Management sørger for identitetsstyring av brukere med administrative rettigheter.
Azure AD Identity Protection
De aller fleste data-innbrudd skjer som følge av identitetstyveri. Angriperne skaffer seg tilgang til et miljø ved å stjele brukernes påloggingsinformasjon. Med Azure Active Directory Identity Protection kan du avdekke mulige sikkerhetsproblemer som påvirker brukeridentitetene. Du kan konfigurere automatiserte svar på mistenkelige handlinger knyttet til kontoene. Du kan undersøke tvilsomme hendelser og sette i verk passende tiltak for å løse dem.
Den meste opplagte risikoen er når Microsoft oppdager identitetslekkasje. Ved denne hendelsen bør du ha en automatisert respons som enten stenger kontoen eller tvinger frem et passordskifte. Andre risikohendelser er pålogging fra anonyme IP-adresser. Hackere skjuler sine spor. Her kan det være aktuelt å tvinge frem MFA. En umulig reise er pålogging fra to vidt forskjellige geografiske steder innenfor et kort tidsrom. Azure AD Identity Protection kan flagge pålogginger fra infiserte enheter, suspekte IP-adresser og uvanlige steder. Det sentrale er at disse dynamiske hendelsene kan inngå i beslutningen om betinget tilgang.
Privileged Identity Management
Datakriminelle er ute et privilegerte roller med administrative rettigheter. Privileged Identity Management opphever den faste koblingen mellom privilegerte identiteter og tilordnede administratorroller. Rollene omgjøres i stedet til å bli valgbare. For det meste har identiteten ingen privilegier og fungerer som vanlig sluttbruker. Når det er nødvendig, kan en berettiget bruker velge en tildelt rolle og aktivere den. Aktivering og aktiviteter med utvidede rettigheter loggføres og overvåkes. Det gjør det lett å identifisere angrepsforsøk og være i samsvar med virksomhetens krav til sikkerhet. En hacker vil ha lite glede av en konto som er beskyttet av identitetsstyring.
Avsluttende ord
Microsofts skyplattformer er overlegne i forhold til lokale løsninger. Dette er Azure AD det beste bevis på. Gratis-utgaven kan holde for utviklere som benytter Azure, Microsofts skyplattform for databehandling. Office 365-apps kan være nok til å gjøre seg kjent med produktivitetstjenestene i Microsoft 365. Men for seriøs bruk i produksjon står det reelle valget mellom Azure AD Premium P1 og P2. Helst bør du plusse på med lisenser for Microsoft Intune.
Microsoft 365 Business Premium og Enterprise E3 gir deg Azure AD Premium P1 med Intune. For enkelte brukere kan det være aktuelt med en sterkere identitetsbeskyttelse. For dem kan du legge til et abonnement på Azure AD Premium P2. Sentrale ansatte kan trenge Azure AD Informasjon Protection for en risikobasert vurdering av påloggingen. IT bør ha Privileged Identity Management for å beskytte administrative roller. Microsoft 365 Enterprise E5 – eller noe rimeligere med E5 Security – kommer med Azure AD Premium P2 og Microsoft Intune.
De innebygde sikkerhetsmekanismene i Azure AD, er ikke de eneste beskyttelsesmekanismene Microsoft har å varte opp med i skyen. Her finnes det produkter som Office 365 Advanced Threat Protection (ATP) for å skjerme mot skadelige vedlegg og koblinger, samt nulldagstrusler. Du kan rettighetsstyre og kryptere meldinger og dokumenter med Azure Identity Protection (AIP). Både Office 365 ATP og AIP følger med Microsoft 365 Business Premium. I Microsoft 365 Enterprise E5 får du Azure ATP, som lar deg oppdage innbrudd i organisasjonen. Her har du også Microsoft Defender ATP som gir en omfattende beskyttelse mot de fleste former for angrep. Og dette var bare ment som en antydning av hvordan du kan gjøre Microsoft-skyen til et langt sikrere sted enn lokal infrastruktur.