Tags: Azure, Active Directory, Authentifizierung
Azure AD ist ein Cloud-basierter Dienst zur Identitäts- und Zugriffsverwaltung, der sich für externe Anwendungen wie Microsoft 365 sowie für interne Ressourcen nutzen lässt. Er bietet mehrere moderne Verfahren zur Authentifizierung, die auch in hybriden Umgebungen mit einem lokalen Active Directory zur Verfügung stehen.
Azure AD ist das Fundament für alle Cloud-Dienste von Microsoft (Office, Dynamics, Azure). Es wurde von Grund auf für die Anfragen via HTTP/S und Standards wie SAML oder OpenID Connect (OIDC) konzipiert. Microsoft spricht daher in Zusammenhang mit Azure AD stets von "Modern Authentication".
Azure AD als Identitätsplattform
Die mit Abstand wichtigste Funktion einer Identitätsplattform ist das Verifizieren von Anmeldeinformationen. Dieser Vorgang beschränkt sich in Azure AD nicht auf das Überprüfen eines Benutzernamens und des zugehörigen Passworts. Diese Form der Anmeldung ist nämlich unsicher, weswegen Microsoft dringend zu anderen Verfahren rät.
Die Authentifizierung an Azure AD beruht auf mehreren Komponenten, welche die Sicherheit verbessern und den Support-Aufwand für den Helpdesk verringern sollen. Zu diesen gehören:
- Multi-Factor Authentication
- Authentifizierung ohne Kennwort
- SSO mit anderen Cloud-Diensten und lokalen Anwendungen
- Zugriff über Conditional Access steuern
- Self Service für das Zurücksetzen von Passwörtern
Multi-Faktor-Authentifizierung
Die Multi-Factor Authentication (MFA) fordert Benutzer im Verlauf des Anmeldevorgangs zu einer weiteren Identifizierungsmethode auf, zum Beispiel der Eingabe eines Codes auf dem Smartphone oder dem Scannen eines Fingerabdrucks.
Ein zweites Authentifizierungsverfahren erhöht die Sicherheit, weil es von einem Angreifer nicht dupliziert werden kann. Für die konkrete Umsetzung von MFA siehe diesen Beitrag:
MFA Multifaktor-Authentifizierung (MFA) für Azure und Office 365 konfigurieren
Kennwortlose Authentifizierung
MFA schützt Organisationen zwar gut vor dem Diebstahl von Identitäten, für Nutzer ist dieses Verfahren aber nicht komfortabel. Sie müssen sich weiterhin ein Passwort merken und darüber hinaus eine zusätzliche Sicherheitsprozedur durchlaufen.
Bequemer ist dagegen die kennwortlose Authentifizierung. Microsoft bietet in Azure AD dafür gleich vier Optionen an:
- Windows Hello for Business
- Microsoft Authenticator App
- FIDO2-Sicherheitsschlüssel
- Zertifikatsbasierte Authentifizierung
Windows Hello for Business erlaubt Nutzern, biometrische Merkmale zur Authentifizierung zu verwenden, sofern Sie sich von einem Windows-Gerät anmelden, das dem Azure AD beigetreten ist. Das Verhältnis von Sicherheit zur Praktikabilität bzw. Komfort zeigt folgendes Diagramm von Microsoft.
Bei der kennwortlosen Authentifizierung mittels App müssen Benutzer bei der Anmeldung die im Logon-Dialog angezeigte Zahl in ihre Authenticator-App eintippen und anschließend ihre Identität mittels Smartphones über ein biometrisches Verfahren wie Fingerabdrucksensor oder FaceID beweisen.
FIDO2-Keys ermöglichen eine schnelle Anmeldung an Betriebssystemen, Anwendungen und Services. Der für die Authentifizierung notwendige Austausch von Nachrichten wird mit dem privaten Schlüssel signiert, welcher auf dem FIDO2-Device gespeichert ist. Dieser kann mit einem biometrischen Merkmal oder einer PIN entsperrt werden.
Die Anmeldung mittels Zertifikat ist ein sicheres Verfahren, um die Identität eines Benutzers zu festzustellen. Bis vor kurzem mussten man noch die Active Directory Federation Services (AD FS) einsetzen, um sich auf diese Weise an Azure AD zu authentifizieren. Dies änderte sich mit dem kürzlich eingeführten Service Azure AD Certificate-based Authentication.
Authentifizierung mit Conditional Access steuern
MFA lässt sich für Cloud-Konten automatisch erzwingen oder auch auf Benutzerebene aktivieren. Aber letztlich handelt es sich dabei um eine relativ statische Methode, die ein Anmeldeverfahren unabhängig von den Gegebenheiten des Benutzers vorschreibt.
Soll jedoch die Anmeldung oder der Zugriff auf bestimmte Anwendungen vom Kontext der Benutzer bzw. der Geräte abhängen, dann sind die Richtlinien für Conditional Access (CA) die von Microsoft vorgesehene Lösung.
Damit können Sie den Zugriff von Risikobewertungen (Benutzer- oder Anmelderisiken), Geräteplattformen, Standorten oder spezifischen Client-Apps abhängig machen. Eine mögliche Maßnahme bestünde darin, MFA nur unter bestimmten Rahmenbedingungen zu erzwingen.
Im Gegensatz zu herkömmlichen Richtlinien bieten CA-Policies somit mehr Möglichkeiten. Letztendlich ist jede CA-Richtlinie eine Auseinanderreihung von If-Anweisungen zur Auswertung der erwähnten Signale.
Allerdings erfordert das Feature Bedingter Zugriff eine Premium P2-Lizenz von Azure AD.
Siehe zu diesem Thema auch: Conditional Access: Richtlinien zur Sicherung von Cloud-Ressourcen in Azure AD erstellen
Single-Sign-on für hybride Umgebungen
Das Azure AD dient nicht nur als Identitätsspeicher für den Zugriff auf Azure-Dienste, wie der Name vermuten lässt. Besondere Bedeutung hat vor allem die Authentifizierung der Benutzer für andere Cloud-Dienste von Microsoft (Office 365, Dynamics).
Dabei sind zahleiche Anwendungen vom Start weg in Azure AD registriert, so dass Sie diese direkt mit SSO verwenden können. Dabei bietet Microsoft je nach Anforderung der jeweiligen Anwendung mehrere Optionen für SSO wie beispielsweise Verbund, Kennwort oder Verknüpft.
SSO für hybride Konfigurationen ist praktisch unumgänglich, wenn Unternehmen Office 365 einführen. Sie müssen dann ihr lokales Active Directory an Azure AD anbinden. Das bevorzugte Tool dafür ist Azure AD Connect, eine weitere, aber aufwändigere Option besteht in Einsatz der Active Directory Federation Services (AD FS).
Azure AD Connect unterstützt zwei Modus, nämlich Sync und Provisioning. Azure AD Connect Cloud Provisioning erfordert keine so aufwändige lokale Infrastruktur wie AAD Connect Sync und beschränkt sich on-prem auf die Installation eines Agenten. Zudem kommt man in den Genuss einer höheren Verfügbarkeit, weil sich mehrere Instanzen des Agents parallel betreiben lassen.
Eine hybride Umgebung hat vor allem den Vorteil, dass sie ein lokales Active Directory um alle Methoden der Modern Authentication ergänzt. Die Verifizierung der Benutzeridentität erfolgt in einer solchen Konstellation nämlich immer durch das Azure AD (außer bei AD FS), unabhängig davon, wo die Kennwörter vorgehalten werden.
Dabei gibt es folgende Optionen:
- (Selektive) Synchronisierung der Passwort-Hashes zwischen AD und AAD, so das Azure AD die Kennwörter direkt verifizieren kann.
- Pass-through Authentication, bei der Passwort-Hashes im On-prem-AD verbleiben und Azure AD dieses über einen lokalen Agent prüft.
Siehe dazu auch: Single Sign-On für Azure, Microsoft 365 und hybride Umgebungen: 3 Verfahren im Überblick
Fazit
Azure AD bietet eine ganze Reihe von Verfahren für die Authentifizierung von Benutzern. Diese reichen von der einfachen Anmeldung mittels Passwort über mehrere Varianten für MFA bis zu passwortlosen Methoden.
Da die Authentifizierung über Passwörter alleine unsicher ist, empfiehlt sich die Verwendung moderner Alternativen. Diese stehen Unternehmen auch dann zur Verfügung, wenn sie ihr lokales Active Directory mit Azure AD verbinden.
Für solche hybriden Umgebungen stehen mehrere Formen der Anbindung an das Azure AD zur Verfügung. Neben der Synchronisierung von Objekten inklusive Passwort-Hashes besteht die Möglichkeit der Pass-through-Authentifizierung, bei der Kennwort-Hashes nicht in die Cloud übertragen werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Seine Themenschwerpunkte sind Virtualisierung und Cloud Computing, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zertifizierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas ist außerdem zertifizierter AWS Solutions Architect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Administrator.
Thomas führt aktuell jeden zweiten Montag einen 4-tägigen Grundlagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Informationen und Anmeldung über sein AWS-Blog.
Ähnliche Beiträge
- Microsoft Authenticator: Push-Nachrichten für MFA absichern
- Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards
- Privilegierte Konten mit Azure PIM schützen
- Mit der Authenticator App an M365 oder Azure AD ohne Kennwort anmelden
- Multifaktor-Authentifizierung (MFA) für Azure und Office 365 konfigurieren
Weitere Links