Hopp til hovedinnhold

Azure Active Directory Identitet som tjeneste

Logo letter
Evelon AS
Jon-Alfred Smith
tavle hvor det står identity as a service

Azure Active Directory (AD) er neste generasjons katalogtjeneste for identitets- og tilgangsstyring. Den er det skybaserte motstykket til AD i Windows og danner ryggraden i Microsoft 365, Azure og Dynamics 365. Til tross for navnelikheten er de to identitetstjenestene veldig forskjellige. Lokalt AD er knyttet til lokalnettet med nettverkssikkerhet. Du eier og er alene om domeneskogen din. Azure AD er globalt distribuert med høy tilgjengelighet og skalerer til flere hundre millioner identiteter. Du leier et lite utsnitt av katalogen, derav uttrykket tenant, som betyr leietaker eller forpakter. Med et abonnement på en av skyplattformene etableres det en ny instans av Azure AD. Teknologiene som følger med, sørger for styrket autentisering og identitetsbeskyttelse. Brukerne får muligheten til å jobbe sikkert fra hvor som helst, enten lokalt eller på Internett.

Sentralisert administrasjon og sikkerhet

IaaS1

Microsoft introduserte AD i Windows 2000 for å gi virksomheter muligheten til å administrere flere komponenter og systemer i lokal infrastruktur ved hjelp av en enkelt identitet per bruker. Azure AD tar dette ett skritt videre med Identitet som tjeneste og gir tilgang til:

  • Eksterne ressurser, så som Microsoft 365, Azure-portalen og tusenvis av andre SaaS-apper
  • Interne ressurser, som for eksempel applikasjoner på bedriftens nettverk og intranett, sammen med sky-apper utviklet av din egen organisasjon

SaaS står for Software as a Service eller Programvare som tjeneste. Dette er ferdige programmer som kjører i skyen. Mobilt arbeid og bruk av hjemmekontor er stadig økende. For å hindre potensielt kompromitterte enheter i å komme inn i bedriftsnettverket, er det ikke uvanlig å publisere lokale apper til Internett ved hjelp av Azure AD Application Proxy eller tredjepartsløsninger, som Citrix (Desktop as a Service).

.

Azure AD godkjenner tilgangene med sikkerhetsmekanismer som multifaktor-autentisering (MFA), betinget tilgang og beskyttelse av brukeridentiteter. En viktig funksjon er selvbetjent tilbakestilling av passord. Du administrerer alle apper fra et sentralt sted, noe som gir en enkel samlet oversikt over applikasjonene dine og effektiv overvåking. Programvaren som brukes av HR – Human Resources eller personalavdelingen – fôrer Azure AD gjerne med opplysninger om ansatte, kontraktører og konsulenter

Lokalt AD og Azure AD

De fleste IT-administratorer er kjent med Active Directory Domain Services. Tabellen nedenfor viser forskjeller og likheter mellom konseptene for lokalt AD og Azure AD.

Iaas2

Windows AD er ikke utviklet for en verden med skyteknologi. Å stole på en lokal identitetsløsning som kontrollpunkt gjør tilkoblingen til alle skyapper til en nesten umulig oppgave, både med tanke på administrasjon og sikkerhet. Beskyttede lokalnett med brannmurer har riktig nok fortsatt en rolle i hybride miljøer, men de klarer bare i begrenset grad å hindre phishing-angrep og brukerkontoer i å bli kompromittert. Azure AD flytter sikkerhetsperimeteren – den beskyttende omkretsen rundt virksomhetens digitale miljø – fra nettverk til identitet.

Identitet som sikkerhetsperimeter

En identitet er noen eller noe som kan verifiseres og godkjennes for det den utgir seg for. Det kan være brukere, enheter eller programmer. De inngår i en identitetsinfrastruktur som gir en robust løsning for identitets- og tilgangsstyring basert på sterk autentisering og autorisasjon.

Iaas3

La oss se på et scenario for å tydeliggjøre hvordan identiteter fungerer som sikkerhetsperimeter i fravær av andre beskyttelsesmekanismer på nettverket. Bedriftsressurser befinner seg i skyen og lokalt, her publisert med Azure AD App Proxy og Citrix eller tilsvarende. En bruker på et åpent og fiendtlig Internett forsøker å logge på fra en Windows 10-enhet. Forespørselen kanaliseres gjennom Azure AD. Da slår betinget tilgang inn og kontrollerer om – og i så fall hvordan – bruker skal få adgang. Betinget tilgang knytter sammen et sett av betingelser som må oppfylles for at bruker skal godkjennes.

Et regelsett kan se sånn ut: Enheten må være medlem av både lokalt AD og Azure AD. Den må være innrullert i Intune, Microsofts plattform for mobil enhets- og applikasjonsbehandling. Her må den være i samsvar med virksomhetens retningslinjer (kryptert disk, siste sikkerhetsoppdateringer, antivirus-beskyttelse osv.). Det må bare benyttes godkjente apper. All pålogging over Internett krever MFA. I tillegg kan sesjonsbaserte signaler inngå i vurderingen: Står enheten på et kjent infisert nett (oppdaget ved maskinlæring)? Har enheten like før forsøkt å logge på fra et helt annet sted på kloden (umulig reise)? Er det noe som tyder på at identiteten er kompromittert (identitetslekkasje)?

Bruker på enheten kan bare logge på med godkjente apper om alle disse betingelsene er innfridd. De andre signalene kan føre til at bruker må endre passord eller blir utestengt. Effekten av disse sikkerhetsmekanismene er: Bare klarerte brukere på klarerte enheter med klarerte apper får adgang til ressurser i organisasjonen. Alle andre avvises allerede ved inngangsdøren. I denne forstand blir identiteten og en kontinuerlig evaluering av den til din sikkerhetsperimeter eller nye brannmur.

Tre typer brukeridentiteter i Azure AD

Iaas4

Brukere kan ha rene skykontoer som er opprettet i Azure AD. De kan være hybride, synkronisert fra Windows AD. De kan være gjester og ha eksterne kontoer. B2B står for Business-to-Business, bedrift-til-bedrift. Gjester kan tildeles roller og lisenser på samme måte som brukere i organisasjonen.

Sky-identiteter

IaaS5

For organisasjoner som ikke har lokal infrastruktur, er det naturlig å opprette alle brukere i Azure AD. Enkelte ganger gjøres det av virksomheter når de vurderer og utforsker skyen, eller når de har hastverk med å komme i gang med Teams og bare raskt etablerer brukerne. Da administrerer du dem i Azure AD. Administrasjonsentret for Microsoft 365 gir grunnleggende funksjoner.

IaaS6

For avanserte egenskaper må du inn i administrasjonssentret for Azure AD, som ikke er fornorsket ennå. I navigasjonsruten vises menypunkter for å konfigurere sikkerhetsmekanismer som Multi-Factor Authentication (totrinnsverfisering) og Azure AD Conditional Access (betinget tilgang). Her finner du Enterprise applications (foretaksapplikasjoner) for å integrere dem i enkel pålogging.

Azure AD Privileged Identity Management (PIM) er en tjeneste som lar deg administrere, kontrollere og overvåke tilgangen til viktige ressurser. Azure AD Identity Protection automatiserer påvisning og utbedring av identetetsbaserte risikoer. Nytt er Administrative units (administrative enheter), som svarer til organisasjonsheter (OUer) i lokalt AD og lar deg organisere brukerkontoer og grupper for å delegere administrasjonsansvar. I Devices har du innmeldte eller registrerte enheter.

Hybride identiteter

Du setter opp synkronisering med Azure AD Connect, som i alt vesentlig er enveistrafikk fra Windows AD til Azure AD. Den legger til brukere i skyen med samme brukernavn, som helst bør være identisk med e-postadressen. Det forenkler påloggingen. Brukeradministrasjon foregår lokalt via verktøy som Active Directory and Users. Endringer overføres til Azure AD.

Iaas7

Synkronisering med passord-hash lagrer ikke lokale passord i Azure AD. Det er hash-verdien som sendes over. I lokalt AD oppbevares passord kryptert og kan ikke føres tilbake til utgangspunktet. Før det sendes til Microsoft, legges det til en salt-verdi (vilkårlig tall) og hashes ytterligere tusen ganger.

Gjennomgangsautentisering(Pass-through authentication – PTA) sender godkjenningsforespørselen videre til lokale domenekontrollere, som foretar autentiseringen. En agent kjører på én eller flere domenetilkoblede servere. Fordelen er at du umiddelbart kan stenge brukere ute og holde fast ved samme passordpolicyer. Ulempen er krav til høy tilgjengelighet lokalt. Om det ikke er kontakt med en domenekontroller, får du ikke tilgang til Microsoft 365.

Synkronisering med føderering krever mest arbeid. Du må sette opp minst to ekstra servere, helst fire. Føderasjon gir forbedret tilgangskontroll til administratorer, ideelt når det kreves smartkort, sertifikater eller tredjeparts MFA. Du får ekte engangspålogging på tvers av skyen og lokalt miljø.

IaaS8

Microsofts anbefaling er å benytte synkronisering med passord-hash og krysse av for Enable single sign-on. Ved kontakt med en domenekontroller sørger det for engangspålogging, uten for fornyet pålogging med samme legitimasjon (same sign-on). Synkroniseringen er lettest å sette opp, dekker de fleste behov og er den sikreste løsningen. Microsoft Leaked Credentials Service kan sjekke om legitimasjon lagt ut på Det mørke nettet, samsvarer med legitimasjonen som brukes i Azure AD. Det er også Smart Lockout- og IP Lockout-funksjoner for å redusere passordsprayangrep.

Eksterne identiteter

Iaas9

Du inviterer eksterne brukere. De autentiseres så av identitetstjenester utenfor din organisasjon, så som Google eller Outlook.com. For brukere i andre tenanter i Azure AD foretas godkjenningen der, dessverre uten at de kan ta med seg lisenser derfra.

Enheter i Azure AD

Iaas10

Enheter er også identiteter som inngår i påloggingen. Men i Azure AD alene gjør de ingen nytte for seg. Det skjer først i kombinasjon med Intune, som inngår i Microsoft Endpoint Manager. Et naturlig krav til enhetene er at de er i samsvar for å få adgang til organisasjonen.

Dynamiske sikkerhetsgrupper

Iaas11

Identiteter organiseres som kjent i grupper, og grupper gis rettigheter og tillatelser. Å legge til brukere og enheter manuelt er gammel skole. I Azure AD kan dette gjøres effektivt med dynamiske sikkerhetsgrupper. Medlemskap er basert på AD-attributter som avdeling og rolle. For samarbeid er det aktuelt å benytte Microsoft 365-grupper. Ved en automatisert gjennomgang av gruppene kontrollerer du at de ikke har inaktive medlemmer.

Konklusjon

Windows AD var revolusjonerende da det kom høsten 1999. Det gir en bortimot totalt integrert plattform for lokalnett basert på Windows, særlig sammen med Endpoint Configuration Manager (SCCM). Men i dag viser det et visst patina av elde. Det kreves mer av en identitetstjeneste i det 21. århundre. Vi jobber også på andre enheter og operativsystemer. Vi er mindre på kontoret. Vi vil ikke lenger ha lobotomerte PCer som er tilpasset faste arbeidsrutiner. Tvert imot ønsker vi å styrke produktivitet, samarbeid og kreativitet. Ansatte er mer datakyndige. La dem finne egne løsninger. Din oppgave er å sørge for at det skjer på en trygg måte. Det legger grunnlaget for at hver enkelt virksomhet oppnår mer.

De to grafikkene som viser hybride miljøer, er hentet fra Microsoft Learn. Visio-tegningene som beskriver synkronisering, er basert på Paul Cunninghams Pluralsight-kurs «Preparing to Migrate to Office 365».

Publisert:

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!