Tags: Azure, Active Directory, Authentifizierung
Azure AD ist ein Cloud-basierter Dienst zur Identitäts- und Zugriffsverwaltung, der sich für externe Anwendungen wie Microsoft 365 sowie für interne Ressourcen nutzen lässt. Er bietet mehrere moderne Verfahren zur Authentifizierung, die auch in hybriden Umgebungen mit einem lokalen Active Directory zur Verfügung stehen.
Azure AD ist das Fundament für alle Cloud-Dienste von Microsoft (Office, Dynamics, Azure). Es wurde von Grund auf für die Anfragen via HTTP/S und Standards wie SAML oder OpenID Connect (OIDC) konzipiert. Microsoft spricht daher in Zusammenhang mit Azure AD stets von "Modern Authentication".
Azure AD als Identitätsplattform
Die mit Abstand wichtigste Funktion einer Identitätsplattform ist das Verifizieren von Anmeldeinformationen. Dieser Vorgang beschränkt sich in Azure AD nicht auf das Überprüfen eines Benutzernamens und des zugehörigen Passworts. Diese Form der Anmeldung ist nämlich unsicher, weswegen Microsoft dringend zu anderen Verfahren rät.
Die Authentifizierung an Azure AD beruht auf mehreren Komponenten, welche die Sicherheit verbessern und den Support-Aufwand für den Helpdesk verringern sollen. Zu diesen gehören:
- Multi-Factor Authentication
- Authentifizierung ohne Kennwort
- SSO mit anderen Cloud-Diensten und lokalen Anwendungen
- Zugriff über Conditional Access steuern
- Self Service für das Zurücksetzen von Passwörtern
Multi-Faktor-Authentifizierung
Die Multi-Factor Authentication (MFA) fordert Benutzer im Verlauf des Anmeldevorgangs zu einer weiteren Identifizierungsmethode auf, zum Beispiel der Eingabe eines Codes auf dem Smartphone oder dem Scannen eines Fingerabdrucks.
Ein zweites Authentifizierungsverfahren erhöht die Sicherheit, weil es von einem Angreifer nicht dupliziert werden kann. Für die konkrete Umsetzung von MFA siehe diesen Beitrag:
MFA Multifaktor-Authentifizierung (MFA) für Azure und Office 365 konfigurieren
Kennwortlose Authentifizierung
MFA schützt Organisationen zwar gut vor dem Diebstahl von Identitäten, für Nutzer ist dieses Verfahren aber nicht komfortabel. Sie müssen sich weiterhin ein Passwort merken und darüber hinaus eine zusätzliche Sicherheitsprozedur durchlaufen.
Bequemer ist dagegen die kennwortlose Authentifizierung. Microsoft bietet in Azure AD dafür gleich vier Optionen an:
- Windows Hello for Business
- Microsoft Authenticator App
- FIDO2-Sicherheitsschlüssel
- Zertifikatsbasierte Authentifizierung
Windows Hello for Business erlaubt Nutzern, biometrische Merkmale zur Authentifizierung zu verwenden, sofern Sie sich von einem Windows-Gerät anmelden, das dem Azure AD beigetreten ist. Das Verhältnis von Sicherheit zur Praktikabilität bzw. Komfort zeigt folgendes Diagramm von Microsoft.
Bei der kennwortlosen Authentifizierung mittels App müssen Benutzer bei der Anmeldung die im Logon-Dialog angezeigte Zahl in ihre Authenticator-App eintippen und anschließend ihre Identität mittels Smartphones über ein biometrisches Verfahren wie Fingerabdrucksensor oder FaceID beweisen.
FIDO2-Keys ermöglichen eine schnelle Anmeldung an Betriebssystemen, Anwendungen und Services. Der für die Authentifizierung notwendige Austausch von Nachrichten wird mit dem privaten Schlüssel signiert, welcher auf dem FIDO2-Device gespeichert ist. Dieser kann mit einem biometrischen Merkmal oder einer PIN entsperrt werden.
Die Anmeldung mittels Zertifikat ist ein sicheres Verfahren, um die Identität eines Benutzers zu festzustellen. Bis vor kurzem mussten man noch die Active Directory Federation Services (AD FS) einsetzen, um sich auf diese Weise an Azure AD zu authentifizieren. Dies änderte sich mit dem kürzlich eingeführten Service Azure AD Certificate-based Authentication.
Authentifizierung mit Conditional Access steuern
MFA lässt sich für Cloud-Konten automatisch erzwingen oder auch auf Benutzerebene aktivieren. Aber letztlich handelt es sich dabei um eine relativ statische Methode, die ein Anmeldeverfahren unabhängig von den Gegebenheiten des Benutzers vorschreibt.
Soll jedoch die Anmeldung oder der Zugriff auf bestimmte Anwendungen vom Kontext der Benutzer bzw. der Geräte abhängen, dann sind die Richtlinien für Conditional Access (CA) die von Microsoft vorgesehene Lösung.
Damit können Sie den Zugriff von Risikobewertungen (Benutzer- oder Anmelderisiken), Geräteplattformen, Standorten oder spezifischen Client-Apps abhängig machen. Eine mögliche Maßnahme bestünde darin, MFA nur unter bestimmten Rahmenbedingungen zu erzwingen.
Im Gegensatz zu herkömmlichen Richtlinien bieten CA-Policies somit mehr Möglichkeiten. Letztendlich ist jede CA-Richtlinie eine Auseinanderreihung von If-Anweisungen zur Auswertung der erwähnten Signale.
Allerdings erfordert das Feature Bedingter Zugriff eine Premium P2-Lizenz von Azure AD.
Siehe zu diesem Thema auch: Conditional Access: Richtlinien zur Sicherung von Cloud-Ressourcen in Azure AD erstellen
Single-Sign-on für hybride Umgebungen
Das Azure AD dient nicht nur als Identitätsspeicher für den Zugriff auf Azure-Dienste, wie der Name vermuten lässt. Besondere Bedeutung hat vor allem die Authentifizierung der Benutzer für andere Cloud-Dienste von Microsoft (Office 365, Dynamics).
Dabei sind zahleiche Anwendungen vom Start weg in Azure AD registriert, so dass Sie diese direkt mit SSO verwenden können. Dabei bietet Microsoft je nach Anforderung der jeweiligen Anwendung mehrere Optionen für SSO wie beispielsweise Verbund, Kennwort oder Verknüpft.
SSO für hybride Konfigurationen ist praktisch unumgänglich, wenn Unternehmen Office 365 einführen. Sie müssen dann ihr lokales Active Directory an Azure AD anbinden. Das bevorzugte Tool dafür ist Azure AD Connect, eine weitere, aber aufwändigere Option besteht in Einsatz der Active Directory Federation Services (AD FS).
Azure AD Connect unterstützt zwei Modus, nämlich Sync und Provisioning. Azure AD Connect Cloud Provisioning erfordert keine so aufwändige lokale Infrastruktur wie AAD Connect Sync und beschränkt sich on-prem auf die Installation eines Agenten. Zudem kommt man in den Genuss einer höheren Verfügbarkeit, weil sich mehrere Instanzen des Agents parallel betreiben lassen.
Eine hybride Umgebung hat vor allem den Vorteil, dass sie ein lokales Active Directory um alle Methoden der Modern Authentication ergänzt. Die Verifizierung der Benutzeridentität erfolgt in einer solchen Konstellation nämlich immer durch das Azure AD (außer bei AD FS), unabhängig davon, wo die Kennwörter vorgehalten werden.
Dabei gibt es folgende Optionen:
- (Selektive) Synchronisierung der Passwort-Hashes zwischen AD und AAD, so das Azure AD die Kennwörter direkt verifizieren kann.
- Pass-through Authentication, bei der Passwort-Hashes im On-prem-AD verbleiben und Azure AD dieses über einen lokalen Agent prüft.
Siehe dazu auch: Single Sign-On für Azure, Microsoft 365 und hybride Umgebungen: 3 Verfahren im Überblick
Fazit
Azure AD bietet eine ganze Reihe von Verfahren für die Authentifizierung von Benutzern. Diese reichen von der einfachen Anmeldung mittels Passwort über mehrere Varianten für MFA bis zu passwortlosen Methoden.
Da die Authentifizierung über Passwörter alleine unsicher ist, empfiehlt sich die Verwendung moderner Alternativen. Diese stehen Unternehmen auch dann zur Verfügung, wenn sie ihr lokales Active Directory mit Azure AD verbinden.
Für solche hybriden Umgebungen stehen mehrere Formen der Anbindung an das Azure AD zur Verfügung. Neben der Synchronisierung von Objekten inklusive Passwort-Hashes besteht die Möglichkeit der Pass-through-Authentifizierung, bei der Kennwort-Hashes nicht in die Cloud übertragen werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Thomas Drilling arbeitet ist seit fast 30 Jahren selbständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehemalige und aktuelle IT-Magazine sowie Blogs.
Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.
Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zertifizierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grundlagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.
Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Informationen und Anmeldung über sein Azure-Blog.
Verwandte Beiträge
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- Azure AD: Bevorzugte Methode für Multi-Faktor-Authentifizierung festlegen
- Microsoft Authenticator: Push-Nachrichten für MFA absichern
- Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards
- Privilegierte Konten mit Azure PIM schützen
Weitere Links