Frisch gebraut mit Microsoft Azure und Microsoft 365

Kategorie: Azure AD Seite 1 von 4

Installation und Konfiguration Azure Active Directory Cloud Sync

Azure Active Directory Cloud Sync ist eine Software, welche Objekte aus dem Active Directory nach Azure Active Directory synchronisiert.
Bei der Azure AD Connect-Cloudsynchronisierung wird die Bereitstellung von AD Objekten zu Azure AD in Microsoft Online Services orchestriert. Lokal wird nur noch ein einfacher Agent benötigt.

Die gesamte Synchronisierungskonfiguration wird im Azure Portal (https://portal.azure.com) eingerichtet. Azure AD Cloud Sync kann durch die Installation des Agents auf mehreren Servern hochverfügbar bereitgestellt werden.

Dieses Tutorial beschreibt die Installation und Konfiguration von Azure AD Cloud Sync.

Überprüfen und entfernen von inaktiven Benutzern aus Microsoft 365 Gruppen

Die Berechtigungen für Microsoft 365 Gruppen oder Applikationen können sich ständig ändern. Damit wird der Aufwand für die Überprüfung der Berechtigungen zeitaufwändig und ineffizient.

Mit dem Azure Active Directory Feature „Access Review“ kann dieser Task weitgehend automatisiert werden und mit wenigen Klicks inaktive Benutzer und Gäste aus den Microsoft 365 Gruppen und Applikationen entfernt werden.

Kerberos Entschlüsselungsschlüssel manuell erneuern (Roll over Kerberos decryption key)

Benutzer können mit nahtlosem Anmelden (Seamless SSO) die gleichen Anmeldedaten für lokale und Cloud basierte Dienste nutzen. Die wiederkehrende Aufforderung für die Eingabe der Anmeldedaten zwischen den Diensten entfällt. Die notwendigen Daten werden zwischen Active Directory und Azure Active Directory automatisch ausgetauscht.

Bei der Konfiguration von nahtlosem Anmelden (Seamless SSO) wird das Computerkonto „AZUREADSSOACC“ erstellt. Diesem Computerkonto soll aus Gründen der Sicherheit der Kerberos Entschlüsselungsschlüssel (Kerberos decryption key) alle 30 Tage geändert werden.

In dieser Anleitung wird beschrieben, wie der Kerberos Entschlüsselungsschlüssel manuell alle 30 Tage geändert wird (Roll over Kerberos decryption key)

Privileged Identity Management (PIM): Azure Rollen durch Benutzer anfordern

Privileged Identity Management (PIM) vereinfacht die Administration von privilegierten Zugriffen auf Ressourcen in Azure und Microsoft 365. Dies erhöht die Sicherheit der Clouddienste. Ein Benutzer erhält die erhöhten Rechte nur für den Zeitraum, in der diese wirklich notwendig sind (Just-in-Time).

Diese Anleitung zeigt auf, wie der Benutzer eine Azure Rolle für einen bestimmten Zeitraum beantragen kann und wie ein Administrator diese Anfrage verwaltet.

Privileged Identity Management (PIM): Grundkonfiguration

Privileged Identity Management (PIM) verwaltet und überwacht Zugriffe auf Azure Rollen. Die Zugriffe auf Azure-Ressourcen und Microsoft Onlinedienste sind bedarfsgesteuert und zeitlich eingeschränkt.
Benutzer können die Rollen für erhöhte Berechtigung online beantragen. Ein Administrator kann die Anfrage danach genehmigen oder ablehnen. Die Berechtigung entfernt sich nach Ablauf des festgelegten Zeitraums automatisch.

Mit Privileged Identity Management (PIM) lassen sich folgende Risiken minimieren:

  • Anzahl Benutzer und deren Berechtigungsdauer auf privilegierte Rollen werden auf ein Minimum reduziert
  • Benutzer werden besser vor versehentlicher Beeinträchtigung sensibler Daten geschützt. (keine unnötigen Rechte, wenn diese nicht gebraucht werden)
  • Angreifer erhalten keinen privilegierten Zugriff

Mit dieser Anleitung wird Privileged Identity Management (PIM) für Azure AD- und Azure-Rollen konfiguriert.

Seite 1 von 4

Präsentiert von WordPress & Theme erstellt von Anders Norén