Im Juni 2022 hat Microsoft mit Entra eine neue Produktfamilie angekündigt, die künftig alle Identitäts- und Zugriffsfunktionen für Cloud-Dienste umfassen soll. Neben Azure AD enthält sie zwei neue Produkte, die CIEM-Lösung Microsoft Entra Permissions Management und das dezentrale Identitätsprodukt Microsoft Entra Verified ID.
Nutzer von 
M365-Diensten richten in der Regel ein hybrides AD ein, um über gemeinsame Identitäten für Cloud- und lokale Ressourcen zu verfügen. Dafür synchronisieren sie mittels AAD Connect Objekte des lokalen AD nach Azure Active Directory (AAD). IdFix soll AD-Probleme beheben, bevor Sie Objekte des Verzeichnisses in die Cloud übertragen.
Der Automobilhersteller betreibt in seiner slowakischen Niederlassung eine komplexe Infrastruktur für die IT sowie für die Operational Technology (OT) zur Steuerung der Produktion. Um mögliche Angriffe und Anomalien in dieser Umgebung frühzeitig zu entdecken, suchte das Unternehmen nach einer Lösung für das Sicherheits-Monitoring.
Die Mitgliedschaft von Geräten und Benutzern im Azure Active Directory ist praktisch immer eine Bedingung, um Cloud- und Hybrid-Dienste von Microsoft nutzen zu können. Dafür bietet der Verzeichnisdienst mehrere Optionen. Für Clients, die Mitglied in einer lokalen AD-Domäne sind, bietet sich ein Hybrid Join an.
Eine interne Zertifizierungsstelle muss manchmal aus verschiedenen Gründen ausgemustert werden, zum Beispiel durch die Umstellung auf ein neueres Betriebssystem oder nach Fusionen und Übernahmen. Dabei möchte man normalerweise die alte CA außer Betrieb nehmen, ohne die zuvor ausgestellten Zertifikate zu beeinträchtigen.
Ein Hybrid Join in einem lokalen Active Directory und Azure AD ist die Voraussetzung, um Geräte im M365 Endpoint Management (Intune) zu verwalten. Die Registrierung in Intune lässt sich dann für eine Richtlinie von Conditional Access nutzen, um nur solchen Clients den Zugriff auf M365-Dienste zu erlauben, die über das Online-Tool verwaltet werden.
Viele Unternehmen stellen Websites und andere Ressourcen für externe und interne Clients bereit. In der Vergangenheit haben sie dafür oft getrennte DNS-Server aufgesetzt. Microsofts Split-Brain-DNS-Deployment von Active Directory-integrierten Zonen vermeidet solche Redundanzen. Die Einrichtung der DNS-Richtlinien erfolgt mittels PowerShell.
Nachdem DES schon lange als unsicher gilt, beschleunigt CVE-2022-37966 nun den Abschied von RC4 für die Verschlüsselung von Kerberos-Tickets. Wenn man Konten keinen Algorithmus zugewiesen hat, dann kommt künftig AES zum Einsatz. Welche Accounts durch eine schwache Verschlüsselung gefährdet sind, kann man mit PowerShell ermitteln.
Das Attribut UserAccountControl im Active Directory enthält mehrere kritische Kontoeinstellungen. Das betrifft etwa das Ablaufdatum von Passwörtern oder die Delegierung. Ein AD-Audit sollte dieses Attribut regelmäßig prüfen. Das lässt sich mit PowerShell erledigen, und für das Ändern der Flags gibt es ein eigenes Cmdlet.
Wie beim Management des lokalen Active Directory sind die GUI-Tools zwar komfortabel, aber beispielsweise für Bulk-Operationen ineffizient. Die Alternative unter den Bordmitteln ist auch hier PowerShell. Microsoft bietet dafür ein Modul an, das alle Anforderungen beim Management von Gruppen und Benutzern erfüllt.
Als Reaktion auf CVE-2022-37966 änderte Microsoft mit KB5019081 das Kerberos-Protokoll, so dass es standardmäßig die Session-Tickets nicht mehr mit RC4, sondern mit AES verschlüsselt. Dies kann ausgerechnet in Umgebungen, die RC4_HMAC_MD5 bereits zentral deaktiviert haben, zu Problemen bei der Anmeldung führen.