Hopp til hovedinnhold

Hybride brukere i Microsoft Azure og Office 365

Logo letter
Evelon AS
Jon-Alfred Smith

De fleste små og mellomstore bedrifter har foretatt solide investeringer i lokal infrastruktur, med godt innarbeidede rutiner for drift og vedlikehold. Systemene dekker som regel de grunnleggende behovene for virksomhetene og brukerne. Da fortoner deg seg som meningsløst å kaste alt dette over bord, selv om nettskyen kan friste med bedre og på sikt rimeligere løsninger. En smartere strategi er sakte men sikkert å utvide IT-tjenestene til også å omfatte skyen. Det gir deg det beste fra begge verdener.

Limet som holder denne konstruksjonen sammen, er hybride brukere – én felles identitet lokalt og i skyen med engangspålogging. Da slipper brukerne dine å holde styr på forskjellige brukernavn og passord. De behøver heller ikke godkjennes på nytt når de skal ha tilgang til skytjenester som for eksempel Exchange og Microsoft Teams. Og de får alle fordeler av avanserte sikkerhetsmekanismer i Azure Active Directory, som passordbeskyttelse og selvbetjent tilbakestilling av passord, betinget tilgang med multifaktor-autentisering, identitetsbeskyttelse og ekstern tilgang til lokale applikasjoner uten VPN-oppkobling.

Det store bildet

Hybridbrukere1

Det er fire søyler som inngår i et hybrid økosystem. Det gir deg en enhetlig plattform for å utvikle applikasjoner, med full fleksibilitet til å rulle dem ut lokalt eller i skyen. Du kan et godt stykke på vei integrere administrasjonen av en ensartet dataplattform og sikre den med både lokale og skybaserte tjenester. Men selve fundamentet dannes av en felles identitet. Her skal vi vise deg hvordan du kan dra nytte av hybride brukere i Office 365 og Microsoft Azure, og hva du må gjøre for å integrere miljøet ditt med skyen.

Hybrid brukeridentitet

Hybridbrukere2

I over tjue år har vi hatt nettverk med Windows Active Directory (AD). Tradisjonelt logger brukere seg på lokalt fra en datamaskin for å få tilgang til ressurser som er trygt forvart innenfor virksomheten. I dag benytter vi i tillegg andre enheter og tar i økende grad i bruk skytjenester med datalagring utenfor huset. Her har vi ofte forskjellige identiteter. Selv om vi skulle operere med samme brukernavn og passord, gir det ikke engangspålogging (single sign-on), men krever at vi må autentisere oss på nytt (same sign-on).

Men en hybrid identitet i Azure opphever vi skillet mellom lokal og skybasert bruker. Forutsetningen for å få dette til å virke er at vi setter opp en toveis synkronisering mellom lokalt AD og Azure AD. For sluttbrukere fører dette til en sømløs opplevelse der de ikke aner om de bruker applikasjoner lokalt eller i skyen, og hvor de lagrer data. Dette behøver de heller ikke bry seg om. Det er her Azure AD Connect med sin synkroniseringstjeneste kommer inn.

Fordelene med en felles identitet

  • Du kan opprette og administrere en enkelt identitet for hver bruker på tvers av ditt hybride miljø. På den måten holder du brukere, grupper og enheter synkronisert.
  • Du sørger at brukerne dine har engangspålogging og tilgang til applikasjonene dine, foruten tusenvis av forhåndsintegrerte sky-apper som du finner på markedsplassen i Azure.
  • Du beskytter brukerne ved å håndheve retningslinjer for risikobasert betinget tilgang og multifaktor-autentisering. Det gjelder for applikasjoner lokalt og i skyen.
  • Brukerne får ekstern tilgang til lokale applikasjoner via Azure AD Application Proxy uten at du behøver å sette opp tungvinte VPN-forbindelser.
  • Brukerproduktiviteten kan forbedres med selvbetjeningsfunksjoner. Brukere kan selv tilbakestille passord og be om tilgang til applikasjoner i datasenteret og i skyen
  • Du har fordelen av å benytte en høyt tilgjengelig, pålitelig og verdensomspennende skybasert løsning for å administrere identiteter og tilganger.
  • Samarbeid med leverandører og partnere og gi dem trygg tilgang til interne ressurser.

Forberede katalogsynkronisering

Hybridbrukere3

Microsoft anbefalte før i tiden at du skulle benytte forskjellige navn på domener internt og eksternt – en type sikkerhet ved uklarhet (security by obscurity). Om du har et domenenavn som ikke kan brukes på Internett – som ovenfor med smith.local – må du legge til et gyldig domene med verktøyet Active Directory Domain and Trusts. Så må du sette opp brukerne du skal synkronisere, med det nye domenenavnet. Her endres eksempelvis jonsmi@smith.local til jonsmi@sildeviga.no.

Azure AD Connect

Azure Active Directory Connect sørger for å integrere ditt lokale Active Directory (AD) eller en LDAP-katalogtjeneste med Azure AD. Dermed kan du dra nytte av følgende:

  • Virksomheten kan gi brukerne en felles hybrid identitet på tvers av lokale og skybaserte tjenester som benytter Windows Active Directory, og deretter koble seg opp mot Azure Active Directory – ryggraden for Microsofts skyplattformer.
  • Administratorer kan gi betinget tilgang basert på forhold som programressurs, enhet og brukeridentitet, nettverksplassering og multifaktor-autentisering.
  • Brukere kan gjøre bruk av sin felles identitet i Office 365, Microsoft Intune, Azure og tredjeparts applikasjoner.
  • Utviklere kan bygge programmer som utnytter den vanlige identitetsmodellen, integrerer applikasjoner i lokalt Active Directory eller Azure for skybaserte applikasjoner.

Azure AD Connect gjør denne integrasjonen mulig og forenkler administrasjonen av din lokale og skybaserte infrastruktur.

Planlegge for katalogsynkronisering

Naturligvis trenger vi en plan for å integrere vært lokale miljø med skyen. Men her kan vi også skrittvis forfine underveis. Designet bør åpne for forandringer. Hybride identiteter begynner som en støtterolle og låser så opp flere muligheter.

Hybridbrukere4

Den blå trekanten står for en domeneskog, som kan inneholde ett eller flere domener. Skyen marker en Office 365- eller Azure-tenant. Den vanligste modellen for katalogsynkronisering er en én-til-én-tilordning mellom domeneskog og tenant (leier). Én domeneskog mot tre tenanter er mulig, men med begrensninger og ikke anbefalt av Microsoft. Tre skoger mot tre tenanter er alternativ som frarådes med tanke på Office 365 – hver organisasjon bør helst ha bre én tenant. Endelig har større foretak enkelte ganger flere domeneskoger. Disse må synkroniseres via en instans av Azure AD Connect mot én tenant.

Sette opp Azure AD Connect

Hybridbrukere5

Velg Azure Active Directory i Office 365-portalen eller log deg på i Azure. Bla deg ned til Azure AD Connect og klikk på Download Azure AD Connect. Kjør den grunnleggende installasjonen. Stort sett klarer virksomheter flest seg med Express Settings for å legge til nødvendige komponenter. Det eneste måte være om du ønsker å endre plasseringen for installasjonen, benytte en eksisterende SQL Server og tjenestekonto eller angi tilpassede synkroniseringsgrupper – alt sammen mer avanserte funksjoner.

Hybridbrukere6

Derimot er det et poeng å tilpasse oppsettet av selve synkroniseringen. Her velges Password Hash Synchronization. I det ligger at det ikke er passordet som overføres til Azure, men et kryptert avtrykk eller en hash. En annen opsjon er Pass-through authentication. Da lagres passordene bare lokalt – som er en løsning mange foretrekker. Oppsett av føderasjoner med Azure AD Connect er på vei ut. Vi bør aktivere engangspålogging (single sign-on).

Klikk på Next og oppgi en bruker med globale rettigheter i Office 365 eller Azure AD. Du må velge katalogtype (AD eller LDAP) og domeneskogen du ønsker å synkronisere. Angi gyldig lokal konto med Enterprise-rettigheter.

Hybridbrukere7

Det er et poeng å filtrere hva du ønsker å synkronisere. Det er opprettet en organisasjonsenhet for virksomheten.

Hybridbrukere8

Det er ingen hybrid Exchange-organisasjon. Men vi ønsker at passord skrives tilbake fra Azure AD, så vi kan benytte oss av selvbetjeningsfunksjonen for å tilbakestille dem. Og dermed er vi klare for å synkronisere kontoer med påloggingsopplysninger.

Vær oppmerksom på et viktig forhold: Når du synkroniserer brukere, grupper og enheter opp mot skyen, må du administrere dem lokalt. Skal du for eksempel slette en synkronisert bruker, kan du ikke gjøre det i Azure AD. Du må ta vedkommende ut av organisasjonsenheten som er satt opp til synkronisering.

Sammendrag

Windows Active Directory (AD) og Azure AD har noe til felles. Du kan opprette og administrere brukere, grupper og enheter, samt tildele dem rettigheter og tilganger. Men der slutter også likhetene. Genitrekket i Microsofts skyplattformer er at du kan sette opp toveis synkronisering mellom disse katalogtjenestene. Det gjør at du kan ta i bruk avanserte funksjoner i Azure AD og integrere Office 365 med alle applikasjoner for produktivitet, samarbeid og kommunikasjon. Ikke minst kan du sømløst benytte deg av infrastruktur- og plattformtjenestene i Azure sammen med et stadig voksende antall skytjenester.

Publisert:

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!