Azure Active Directory

Was ist Azure Active Directory Premium genau?

Was ist Azure Active Directory Premium? Wir erklären AAD. Grundsätzlich werden mit Azure Active Directory Benutzeridentitäten und Zugriffsprivilegien verwaltet. Zudem umfasst AAD das Identitäten Verzeichnis, die Zugriffsverwaltung und den Identitätsschutz in der Cloud. Wie der Name schon sagt, ist Azure AD Teil von Azure. Azure Active Directory wird in vier Ausprägungen angeboten. Dies sind Azure Active Directory (kostenlos), AAD als Teil von Microsoft 365 Abos, sowie P1 und P2.

Grundlegende Funktionen von Azure AD, mit gewissen Einschränkungen jedoch, können kostenlos genutzt werden. Kunden mit Microsoft 365 Abos erhalten etwas mehr Funktionalität. Zum Beispiel im Bereich Multi Factor Authentication. Die Azure AD Premium Varianten P1/P2 bieten dann zahlreiche Zusatzfunktionen. Deswegen erfordern sie eine kostenpflichtige Lizenzierung.

Was sind die Premium Funktionen?

Für viele Organisationen ist es ohne Zusatzfunktionen in Azure AD nicht möglich, zum Beispiel Microsoft 365, mit den erforderlichen Sicherheitsrichtlinien und gewünschten Funktionen zu nutzen. Zusätzlich zu Microsoft 365, sind die Azure AD Premium Funktionen auch für SaaS-Anwendungen von Drittanbietern immens nützlich.

Eine gute Übersicht welche Funktionen in den vier Varianten, insbesondere in P1 und P2 enthalten sind, finden Sie direkt bei Microsoft.

Alle Funktionen von P1 sind auch in P2 enthalten. D.h. wenn ich P2 kaufe, bekomme ich auch P1 sowie auch alle Funktionen der kostenlosen Version.

Wie kann ich Azure Active Directory lizenzieren?

Sie können Azure AD Premium P1 als Einzelprodukt lizenzieren. Des Weiteren können Sie es als Teil eines Bundles wie der Enterprise Mobility + Security E3 Suite oder auch als Teil von Microsoft 365 Business Premium einsetzen. Die P2 Lizenzen haben noch mehr Funktionen als die P1 Lizenzen. Diese P2 Lizenz ist ebenfalls einzeln oder als Teil von Enterprise Mobility + Security E5 oder Microsoft 365 E5 erhältlich.

Wichtige Funktionen

Nachfolgend sind drei wichtige Funktionen, welche sich mit Azure AD Premium realisieren lassen, beschrieben.

Self-Service-Kennwortzurücksetzung

Vergessene Passwörter sind ein altbekanntes Thema. Anrufe von Endbenutzern beim Service Desk, um ein Passwort zurückzusetzen, sind teuer. Es entstehen Aufwände beim Service Desk Mitarbeiter und verlorene Zeit beim Benutzer.

Azure AD Premium P1 umfasst die selfservice Kennwortrücksetzung (SSPR). Mit SSPR können Benutzer ihr Passwort zurücksetzen oder ihr Konto entsperren. Dies passiert wohlgemerkt ohne die IT-Abteilung. SSPR ist nicht nur für Cloud Passwörter geeignet. Dank Password Writeback, kann Azure AD auch ins lokale Active Directory schreiben. Zum Beispiel eine Kennwortänderung, ein Zurücksetzen oder die Entsperrung eines Kontos. Dies erfolgt ohne eingehende Ports auf der Firewall zu öffnen. Zudem wird ihre lokale AD-Kennwortrichtlinie auch dann eingehalten, wenn die Kennwortänderung/-zurücksetzung in der Cloud durchgeführt wird.

Conditional Access

Eine der leistungsfähigsten und aufregendsten Funktionen in Azure AD Premium ist zweifelsohne Conditional Access. Mit CA können Sie granulare Richtlinien definieren, die das «Wer», «Was», «Wann» und «Wie» des Zugriffs auf einzelne Anwendungen und Microsoft 365 Workloads steuern. Mithilfe von CA-Richtlinien können Sie von der traditionellen Netzwerkabgrenzung «vor» oder «hinter» der Firewall, zu einer modernen Zero-Trust-Architektur übergehen. Dies erlaubt eine Vielzahl von Eingaben und Signalen des Benutzers, der auf die Anwendung zugreift, zu berücksichtigen.

Zusätzlich zu den traditionellen Richtlinien Abfragen (wie z. B. welche Benutzer ID, welche IP-Adresse oder welcher Netzwerkstandort verwendet wird) können Sie auch Informationen über das genutzte Gerät, die verwendete Anwendung, einen dynamischen Risiko Score des Benutzers, sowie seine aktive Sitzung, als Faktoren für das Zulassen oder Sperren des Zugriffs verwenden. Sie könnten zum Beispiel eine Anwendung oder eine SharePoint-Site mit sensiblen Daten haben, auf die Sie den Zugriff nur von einem Firmengerät mit MFA erlauben.

Single Sign-on und Anwendungsbereitstellung

Zusätzlich zu den Microsoft 365 Workloads, lässt sich Azure AD mit Tausenden bekannten SaaS-Anwendungen und sogar mit selbst entwickelten Anwendungen, integrieren. Sie können die gleichen Identitätsmanagement- und Sicherheitskontrollen in Azure AD Premium, die mit Microsoft 365 verwendet werden, auf Drittanbieter ausweiten. Für viele Unternehmen führt die Strategie, alle Anwendungen mit Azure AD zu integrieren, zu einer Vereinfachung für Endbenutzer und IT-Abteilung gleichermassen.

Sobald die Integration abgeschlossen ist, können Endbenutzer über Single Sign-On (SSO) mit Azure AD auf die Anwendung zugreifen. Auch wenn Ihre Anwendung nicht in der Azure Galerie enthalten ist, können Sie eine benutzerdefinierte Anwendung hinzufügen, wenn sie standardbasierte Authentifizierungsprotokolle wie SAML, OAuth, Open ID Connect unterstützten.

Die Verwaltung der vielen Identitäten in SaaS-Anwendungen ist ein ständig wachsendes Problem, da die Anzahl der SaaS-Anwendungen zunimmt. Traditionelle Identitätsmanagement-Prozesse wie Account Provisioning und Deprovisioning, Rollenmanagement und Zugriffszertifizierungen, müssen auf SaaS-Anwendungen ausgeweitet werden.

Auch neuere Probleme, wie das Lizenzmanagement, stellen sich, wenn man für jeden aktiven Benutzer bezahlen muss. Glücklicherweise enthält Azure AD Premium Outbound-Provisioning-Funktionen für ausgewählte SaaS-Anwendungen. Sie können Outbound Provisioning verwenden, um herkömmliche Azure AD-Gruppen dem Zugriff und den Rollen von SaaS-Anwendungen zuzuordnen. Wenn Azure AD eine Änderung an einem Benutzer in einer Gruppe oder an der Gruppenmitgliedschaft selbst feststellt, wird das Konto des Benutzers in der SaaS-Anwendung erstellt oder aktualisiert und die Gruppen- oder Rollenmitgliedschaft in der Anwendung verwaltet.

Fazit und Vorgehen Azure Active Directory Premium?

Azure AD Premium bittet einen grossen und manchmal komplexen Satz von Funktionen, die einen enormen Mehrwert bieten können, aber es ist unmöglich, alle Funktionen auf einmal zu implementieren. Stattdessen sollten Sie die Funktionen identifizieren, die in kürzester Zeit den größten Wert für Ihr Unternehmen erbringen, und mit diesen beginnen. SSPR, SSO, Conditional Access, Provisioning und Access Management sowie Identitätsschutz, sind nur einige Beispiele für Funktionen, die meiner Meinung nach, für Unternehmen jeder Grösse, am attraktivsten sind. Sie können in einer überschaubaren Zeitspanne implementiert werden und bilden oft die Grundlage für grössere und komplexere Initiativen in der Zukunft.

Liebe Blogleser/innen, Sie haben den «Was ist Azure Active Directory Premium?» Blog gelesen, herzlichen Dank hierfür. Wie Sie wissen, entwickeln sich die Azure AD Funktionen rasant weiter. Zum Zeitpunkt des Artikels war der Inhalt bestimmt aktuell, es kann aber sein, dass die Infos bald überholt sind. Da wir geschriebene Blogs nur selten anpassen, finden Sie hier den Link zu unserer Azure Active Directory Seite mit allen aktuellen Informationen zum Thema.