Im Juni 2022 hat Microsoft mit Entra eine neue Produktfamilie angekündigt, die künftig alle Identitäts- und Zugriffsfunktionen für Cloud-Dienste umfassen soll. Neben Azure AD enthält sie zwei neue Produkte, die CIEM-Lösung Microsoft Entra Permissions Management und das dezentrale Identitätsprodukt Microsoft Entra Verified ID.
Mit PowerShell lassen sich Aktionen für praktisch alle Produkte der Microsoft-Plattform automatisieren. Kommt jedoch eine größere Sammlung an Scripts zusammen, dann geht die Übersicht schnell verloren. Das gilt erst recht, wenn die Scripts an Standardbenutzer delegiert und deren Berechtigungen erhöht werden sollen.
Es gibt viele Möglichkeiten, Dateien zu übertragen. Aber die meisten sind manuell, nicht verwaltet und oft unsicher. Managed File Transfer (MFT) hingegen ist meist automatisiert und unterliegt einem zentralen Management. MFT eignet sich zudem für die Übertragung zwischen Personen, Systemen und Prozessen.
Die Benutzerkontensteuerung (UAC) hilft bei der Zuweisung von Privilegien für administrative Aufgaben. Sie ermöglicht es Benutzern, einzelne Anwendungen mit dem Token eines Administrators auszuführen. Dabei erlaubt Windows auch die Wahl zwischen mehreren Methoden der Authentifizierung. Das UAC-Verhalten lässt sich mit Gruppenrichtlinien steuern.
Die Benutzer- und Gruppenverwaltung in Microsofts Cloud ist die Angelegenheit von Azure AD. Das Verzeichnis kennt mehrere Arten von Gruppen. Dazu gehören die Pendants von Sicherheits- und Verteilergruppen aus dem on-prem AD DS. Darüber hinaus unterstützt AAD das Erstellen von dynamischen Gruppen über Abfragen.
Über Rollen lassen sich mehrere Berechtigungen zusammenfassen und gebündelt an Konten oder Gruppen zuweisen. Azure kennt aus historischen Gründen gleich drei Rollenmodelle. Zum einen verfügt Azure Active Directory über rund 80 vordefinierte Rollen, hinzu kommen 70 für Azure-Ressourcen sowie klassische Rollen.
Kaum eine andere Anwendung muss man so häufig mit erhöhten Rechten starten wie einen Kommandointerpreter, beispielsweise cmd.exe oder PowerShell. In Windows Terminal kann man die Erhöhung der Privilegien für einzelne oder alle Shells konfigurieren. Es wartet dabei aber mit einigen Inkonsistenzen und Eigenheiten auf.
In vielen Organisationen kommt Software zum Einsatz, welche Zugriff auf die Postfächer von Benutzern haben muss. In diesem Fall ist es vorteilhaft, die dafür nötigen Berechtigungen zentral zu vergeben. Exchange sieht dafür die Impersonation-Rolle (Identitätswechselrolle) vor, die im Namen der jeweiligen Benutzer agieren kann.
Admin- und Service-Konten sind ein bevorzugtes Ziel für Angreifer und sollten entsprechend abgesichert werden. Dazu gehört das Durchsetzen starker Kennwörter oder das automatische Ändern von Passwörtern für Service-Accounts. Zudem sollte man privilegierte Konten sparsam einsetzen.
Statische und dynamische Verteilergruppen gehören zur Grundausstattung von Exchange. Mit ihnen lassen sich etwa Abteilungen oder Teams abbilden. Sie dienen der Bündelung von Kontakten und vereinfachen die Erreichbarkeit der Empfänger. Manchmal möchte man aber die Mitglieder einer Gruppe vor den Benutzern verbergen.
Aus bekannten Gründen ist das Arbeiten vom Home-Office ein Megatrend der letzten eineinhalb Jahre. Entsprechend schossen auch die Nutzerzahlen von Microsoft 365 und Microsoft Teams in die Höhe. Diese Entwicklung hat jedoch in vielen Firmen eine Schattenseite, nämlich ein unkontrollierten Wachstum von Teams und Channels.