Mit Privileged Identity Management (PIM) lassen sich privilegierte Konten wie der globale Administrator im Azure AD zeitlich beschränken. Nutzer kommen dann nur noch bei tatsächlichem Bedarf in den Genuss der erhöhten Rechte, wobei sie das im Self Service erledigen können. Dieser Artikel zeigt, wie PIM für den Schutz von Azure AD-Ressourcen funktioniert.
Azure Stack HCI ist Microsofts bevorzugte Plattform, um eine hyperkonvergente Infrastruktur (HCI) bereitzustellen. Sie wird on-prem betrieben und über Azure verwaltet. Microsoft unterstützt seit kurzem auch Azure-Stack-HCI-Cluster mit nur einem Knoten. Damit konkurriert das System bei weiteren Anwendungsszenarios mit Windows Server.
Lösungen für Managed File Transfer gibt es als On-prem-Anwendungen oder als Cloud-Service (SaaS). Beide Optionen müssen gleichermaßen hohe Anforderungen erfüllen. Die SaaS-Variante bietet alle Funktionen einer lokalen Lösung, ohne dass sich Admins mit der Wartung von Software und Infrastruktur beschäftigen müssen.
In der Cloud ist eine sichere Authentifizierung unerlässlich. Eine reine Anmeldung mit Benutzername und Passwort erfüllt diese Anforderung nicht. Dieses simple Verfahren lässt sich mittels MFA absichern oder durch kennwortlose Methoden ersetzen. Azure AD unterstützt mehrere davon, darunter auch die Authenticator App.
Verwenden Nutzer zur Authentifizierung bei Azure oder Office 365 lediglich ein Passwort, dann stellt das in der Public-Cloud einen gefährlichen Angriffsvektor dar. Microsoft sieht daher für Azure AD eine sichere Anmeldung über mehrere Verfahren vor. Die simple und kostenlose MFA beschränkt sich auf die Authenticator App.
Die Azure Firewall ist ein voll verwalteter Plattform-Dienst von Microsoft, welcher auf der Perimeter-Ebene agiert. Dieser Beitrag zeigt einfache Einsatzbeispiele mit einer Azure-VM, die per RDP von außen erreicht werden soll und die über eine Anwendungsregel einen eingeschränkten Zugang zum Internet erhalten soll.
Viele Unternehmen überlegen, wie sie auf die Authentifizierung mittels Kennwort verzichten können. Wenn sie Azure Active Directory (Azure AD) nutzen, dann haben sie einige alternative Methoden für eine passwortlose Anmeldung. Dazu gehören etwa die zertifikatbasierte Authentifizierung oder die Verwendung eines FIDO2-Security-Schlüssels.
Microsoft kündigte die allgemeine Verfügbarkeit von Windows Server Guest Subscription für On-prem-Installationen an. Voraussetzung dafür ist, dass die virtuellen Maschinen auf Azure Stack HCI laufen. Abgerechnet wird pro physischem Rechenkern und Monat. Einigen Vorteilen stehen langfristig höhere Kosten entgegen.
Die Authentifizierung mittels Zertifikaten ist ein sicheres Verfahren, um die Identität eines Benutzers zu festzustellen. Bis vor kurzem musste man jedoch die Active Directory Federation Services (AD FS) einsetzen, um sich auf diese Weise an Azure AD zu authentifizieren. Dies ändert sich nun mit dem neuen Service Azure AD Certificate-based Authentication.
Bei Update Compliance handelt es sich um einen kostenlosen Cloud-Service, mit dem Admins einen Überblick über den Update-Status ihrer Windows-PCs erhalten. Bis dato konnte man damit auch Rechner überwachen, die nur Mitglied in einem lokalen AD sind. Ab Oktober setzt der Service aber Azure AD voraus.
Für die Netzwerksicherheit bietet Azure zahlreiche Dienste wie virtuelle Netzwerke, Netzwerksicherheitsgruppen, VNet-Peering, Dienstendpunkte oder die Azure Firewall. Bei Letzterer handelt es sich um einen skalierbaren und hoch verfügbaren PaaS-Dienst, der keinen Vergleich mit herkömmlichen Produkten scheuen muss.