IAM / ACTIVE DIRECTORY

Es war einmal ...
Alles fängt mit IAM und Active Directory an!

Was ist IAM und Azure Active Directory?

Die meisten IT’ler kennen den klassischen On Premise Active Directory Verzeichnisdienst.

Sobald Sie den Sprung in die Azure oder Microsoft 365 / Office 365 Welt planen, kommen Sie um das Thema IAM – Identity Access Management – und Azure Active Directory nicht herum. Als eines der ersten zu konfigurierenden und umzusetzenden Technologien ist das Azure Active Directory auf Ihrer Cloud Agenda ganz weit oben.

Active Directory ist jedoch nicht gleichzusetzen mit IAM – Identity Access Management, denn das IAM besteht aus mehreren Funktionen und Prozessen, als nur ein LDAP System wie das (Azure) Active Directory.

In Azure und Microsoft 365 / Office 365 werden mehr Tools, Funktionen und Prozesse bereitgestellt, als nur das Azure AD, um den hohen Ansprüchen und Sicherheitsanforderungen an ein IAM zu genügen.

Die in Microsoft 365 / Office 365 und Azure bereitgestellten Tools ergänzen sich und bilden somit ein modernes und mächtiges IAM ab. Durch die Flexibilität und Erweiterbarkeit der vorhandenen Systeme und Tools im Microsoft Cloud Universum (natürlich auch On Premise), können Sie überall, wo Sie eine Funktion oder Schnittstelle vermissen, andere oder eigene vorhandene Tools einsetzen.

Microsoft arbeitet in diesem Umfeld mit allen gängigen und namhaften Herstellern zusammen und bietet Ihnen als Kunden und Nutzern die maximale Flexibilität und Freiheit an.

Wie funktioniert IAM / Azure Active Directory in der Cloud?

Wie aus dem Kürzel IAM – „Identity Access Management“ bereits abzulesen ist, beinhaltet dieses Thema zwei separate Themenkomplexe:

Für beide Themenblöcke bietet Microsoft sich ergänzende Tools und Lösungen, die zum Teil gemeinsame Schnittmengen haben und sich funktional „überschneiden“. Das ist jedoch nicht zwingend von Nachteil, sondern ist tatsächlich so gewollt.

Beispielsweise können Microsoft 365 User und Gruppen sowohl von den meisten Office 365 Admin-Centern heraus erstellt werden (Bsp.: SharePoint Admin Center, Exchange Admin Center, Teams Admin Center, etc.) als auch über das altbekannte Azure Active Directory Dashboard / Console im Azure Admin Portal.

In größeren Organisationen und Konzernen sind die Admin-Rollen für die verschiedensten Themen getrennt zugeordnet. Ein Azure AD Admin hat in der Regel andere Aufgabenschwerpunkte wie ein SharePoint Admin. Dabei kann der SharePoint Admin Gruppen erstellen und in SharePoint zuweisen, ohne dass er auf die Zuarbeit vom Azure AD Admin angewiesen ist. Das macht Sinn und lässt alle Beteiligten schneller und effektiver arbeiten.

Jedoch müssen die jeweiligen Aufgaben, Rollen und Berechtigungen miteinander „synchronisiert“ sein. Dafür stellt Microsoft intelligente und ausgeklügelte Funktionen und Tools zur Verfügung, welche einen rollenbasierten Zugriff mit entsprechenden zeitlichen Begrenzungen und Überwachungsmechanismen ermöglichen. Beispielhafte Funktionen hierzu wären: RBAC (Role Base Access Control), Conditional Access, etc.

Um die Möglichkeiten sinnvoll und effektiv zu nutzen, müssen Sie als Nutzer erst einmal wissen, welche Optionen und Möglichkeiten Ihnen überhaupt zur Verfügung stehen und im nächsten Schritt entscheiden, welche Option Sie in welcher Ausprägung nutzen möchten. Wie Sie sich denken können, müssen hier eher strategische, architektonische und organisatorische Entscheidungen getroffen werden. Im Anschluss ergeben sich die technischen Optionen und Maßnahmen in der Regel von selbst.

Wir beraten Sie hierzu sehr gerne im Detail über die Möglichkeiten, die für Sie und Ihr Unternehmen in Frage kommen.   

Welche Optionen und Services gibt es zu IAM / Azure AD in der Cloud?

Das Kern-Tool für IAM in Azure ist natürlich das Azure Active Directory (Azure AD oder AAD abgekürzt). Die flache Struktur von Azure AD bietet jedoch keine Organisationseinheit und keine Gruppenrichtlinien.

Anstelle von Kerberos verwendet Azure AD Authentifizierungs- und Sicherheitsprotokolle wie „Security Statement Markup Language“ (SAML) und „Open Authorization“ (OAuth2). Dazu kommt, dass die AD Graph API den Cloud-Dienst Azure AD anstelle von LDAP nutzt.

Ein weiterer Vorteil von Azure AD gegenüber On Premise AD ist die Funktion zum Verwalten von Lizenzen für Microsoft-Dienste direkt über das Administratorenportal. Admins können ihre aktuellen Lizenzzahlen überprüfen und sie einem Benutzer oder einer Gruppe zuweisen, ohne in ein anderes Portal zu wechseln.

Microsoft bietet Azure AD in verschiedenen Ausführungen und Preisklassen an: kostenlos, Premium P1 und Premium P2, die alle jeweils einen unterschiedlichen Funktionsumfang aufweisen.

Wir bei Aurum beraten Sie gerne auch in Bezug auf die Vor- und Nachteile der unterschiedlichen Szenarien im Einsatz von IAM und Active Directory (Azure und On Premise) für Ihren Betrieb. Für weitere Informationen kommen Sie gerne auf uns.

Was bietet AURUM zum Thema IAM und Active Directory?

Das Thema IAM und Active Directory bringt vielfältige Aufgaben und Themen mit sich, welche Sie im Betrieb oder im Rahmen Ihrer IT Projekte beherrschen und bewältigen müssen. Wir unterstützen Sie sehr gerne mit profundem Wissen und echter nachweislicher Erfahrung aus dutzenden IT Projekten.

Folgende beispielhafte Services und Dienstleistungen bieten wir als AURUM:


Wenn Sie ein Thema vermissen, sprechen Sie uns gerne an.