Die Bordmittel für das AD-Management eignen sich schlecht, um Aufgaben an technisch weniger versierte User zu delegieren. Power Automate for Desktop bietet sich für diesen Zweck als Alternative an. Es enthält vordefinierte Aktionen für die AD-Verwaltung. Die damit erstellten Workflows lassen sich weitergeben, beispielsweise um User anzulegen.
In der Cloud ist eine sichere Authentifizierung unerlässlich. Eine reine Anmeldung mit Benutzername und Passwort erfüllt diese Anforderung nicht. Dieses simple Verfahren lässt sich mittels MFA absichern oder durch kennwortlose Methoden ersetzen. Azure AD unterstützt mehrere davon, darunter auch die Authenticator App.
Eine regelmäßige Wartung ist von zentraler Bedeutung für die Sicherheit des Active Directory. Dazu gehört das Aufspüren und Korrigieren von Konten, die kein Passwort benötigen bzw. das nie abläuft, oder von verwaisten Accounts. Eine einfache Möglichkeit dafür bietet die Kombination aus Specops Password Auditor und PowerShell.
Verwenden Nutzer zur Authentifizierung bei Azure oder Office 365 lediglich ein Passwort, dann stellt das in der Public-Cloud einen gefährlichen Angriffsvektor dar. Microsoft sieht daher für Azure AD eine sichere Anmeldung über mehrere Verfahren vor. Die simple und kostenlose MFA beschränkt sich auf die Authenticator App.
Microsoft warnt davor, dass Angreifer mit einem auf GitHub allgemein zugänglichen Hacking-Tool bekannte Schwächen von Active Directory ausnutzen können. KrbRelayUp erlaubt ihnen bei einer erfolgreichen Attacke, administrative Rechte zu erlangen und beliebigen Code auf kompromittierten Geräten als SYSTEM auszuführen.
Viele Unternehmen überlegen, wie sie auf die Authentifizierung mittels Kennwort verzichten können. Wenn sie Azure Active Directory (Azure AD) nutzen, dann haben sie einige alternative Methoden für eine passwortlose Anmeldung. Dazu gehören etwa die zertifikatbasierte Authentifizierung oder die Verwendung eines FIDO2-Security-Schlüssels.
Die kumulativen Windows-Updates im Mai 2022 beseitigten mehrere Schwachstellen im Active Directory. Nach ihrer Installation auf einem Domänen-Controller kommt es aber vor, dass sich Benutzer nicht mehr mittels Zertifikat anmelden können. Microsoft bietet vorerst einen Workaround, bis das Problem behoben ist.
Die Authentifizierung mittels Zertifikaten ist ein sicheres Verfahren, um die Identität eines Benutzers zu festzustellen. Bis vor kurzem musste man jedoch die Active Directory Federation Services (AD FS) einsetzen, um sich auf diese Weise an Azure AD zu authentifizieren. Dies ändert sich nun mit dem neuen Service Azure AD Certificate-based Authentication.
Bei Update Compliance handelt es sich um einen kostenlosen Cloud-Service, mit dem Admins einen Überblick über den Update-Status ihrer Windows-PCs erhalten. Bis dato konnte man damit auch Rechner überwachen, die nur Mitglied in einem lokalen AD sind. Ab Oktober setzt der Service aber Azure AD voraus.
Das Zurücksetzen von Passwörtern gehört zu den häufigsten Anfragen an den Helpdesk. Um diesen von solchen Aufgaben zu entlasten, kann man den Passwort-Reset via Self-Service an die User selbst delegieren. Wichtig sind dabei sichere Methoden zur Authentifizierung der Benutzer. Azure AD bietet mehrere solcher Verfahren.
Die Pass-through Authentifizierung (PTA) stellt eine Alternative zu AD FS oder der Password-Hash-Synchronisation nach Azure AD dar. Ziel auch dieser Technik ist es, den Benutzern über die Authentifizierung am lokalen AD den Zugriff auf Cloud-Apps zu ermöglichen. Ihre Konfiguration ist jedoch weniger aufwändig als etwa für AD FS.