Microsoft 365 Identity Management – Ein kurzer Überblick

Identity Management kümmert sich um Dinge wie Nutzer-Accounts und Computer. Gerade darum ist dieses Thema unheimlich sensibel. Daher schauen wir uns in diesem Post einen groben Überblick zu diesem Thema an.

Für Microsoft 365 stehen uns zwei mögliche Indentity Management Modelle zur Verfügung: Cloud-Only und Hybrid.

Cloud-Only

Beim Cloud-Only Ansatz werden Nutzer, Geräte und Gruppen im Azure AD verwaltet. Auch die Authentifizierung wird über Azure AD abgewickelt.

Gerade für Unternehmen die keinerlei On-Prem Systeme nutzen ist dieser Weg empfehlenswert. Die Erstellung der Nutzer, Zuweisung von Lizenzen, die Konfiguration von Services, Applikationen und Mobile Device Management (MDM) kann bequem über die Web UI oder PowerShell erledigt werden.

Hybrid

Das Hybrid Model auf der anderen Seite eignet sich optimal bei der Integration einer Cloud Lösung in eine bestehende On-Premises Umgebung.

Bild 1

On-Prem AD DS wird über Azure AD Connect mit dem Azure AD synchronisiert [Bild 1]. Dabei wird eine Kopie der AD Objekte in Azure AD angelegt und regelmäßig aktualisiert. Die Authentifizierung der Nutzer läuft sowohl über AD DS als auch über Azure AD – je nachdem welcher Typ verwendet wird. Aber dazu später mehr.

Was sollte man beachten?

  • Vor der Synchronisierung erstmal aufräumen. Es sollten natürlich nur die Objekte synchronisiert werden, die auch aktiv genutzt werden. Also alle Karteileichen erstmal raus.
  • Management On-Prem im AD DS.
  • Verzeichnis aufräumen – Karteileichen entfernen
  • Objektattribute nachtragen
  • Verwendung von „ID fix for AD DS“

Das Hybrid Modell gibt es in zwei unterschiedlichen Typen.

Managed Type mit PHS

PHS steht für „Password Hash Synchronisation“. Bei dieser Implementierung wird die Authentifizierung über das Azure AD abgewickelt.

Die Implementierung ist vergleichsweise einfach und bietet den Nutzern die Verwendung der selben Credentials für On-Premises und Microsoft 365 Dienste.

Managed Type mit PTA

„Pass Through Authentication“ ist die zweite Möglichkeit das Hybrid Modell als Managed Type zu Verwenden.

Die Authentifizierung – auch für die Microsoft 365 Dienste und Anwendungen – wird hierbei über das AD DS abgewickelt. Dazu ist aber eine Agent-Software auf einem Server notwendig.

Aber warum sollte man diese Methode verwenden? Ein großer Vorteil liegt in der sofortigen Anwendung von Änderungen und Policies für On-Premises Nutzer ohne auf einen Sync warten zu müssen.

Federated Authentication

Die dritte Variante nennt sich „Federated Authentication“. Nutzen sollte man diesen Ansatz in Enterprise Umgebungen und bei komplexen Sicherheitsanforderungen wie beispielsweise Verwendung von Smart Cards, MFA, Single Sign-On, usw…

Zwar ist die Implementierung um Welten aufwendiger als die vorher beschriebenen Varianten, allerdings sind die angebotenen Authentifizierungsmethoden sicherer. Azure AD Auth-Anfragen werden dabei an andere ID Provider weitergeleitet (z. B. AD DS).

Fazit

Microsoft 365 als Einzellösung oder in Kombination mit bestehender Infrastruktur bietet ein vollumfängliches Portfolio für Identity Management um eine sichere Umgebung zu bieten. Jedoch sollte man sich bei der Implementierung auskennen und strategisch die richtige Vorentscheidung treffen um nicht im Nachhinein hohen Zusatzaufwand zu generieren.

Links

[1] „Office 365 identity models and Azure Active Directory“ auf Microsoft Docs
[2] „Azure AD Connect and Azure AD Connect Health installation roadmap“ auf Microsoft Docs
[3] „Choose the right authentication method for your Azure Active Directory hybrid identity solution“ auf Microsoft Docs

Lob, Kritik oder eigene Meinung? Lass es uns wissen!