Geringeres Risiko bei aktualisierten Active Directory-Verbunddiensten

Das Azure Active Directory-Team von Microsoft arbeitet seit langem auf das Ziel hin, Identität als neue Steuerebene zu verwenden. Identität – wer Sie sind und woran Sie arbeiten dürfen – sollte der kleinste gemeinsame Nenner sein, wenn es um die Zugangskontrolle geht. Die Identität sollte festlegen, was akzeptabel und was nicht verfügbar ist, unabhängig davon, ob ein Benutzer auf eine Ressource oder ein Gerät des Unternehmens zugreift, das sich in einem Rechenzentrum befindet, eine gehostete Cloud-App oder ein Webdienst eines Drittanbieters ist. oder irgendetwas anderes.

Zu diesem Zweck hat Microsoft einige Verbesserungen an Windows Server 2016 vorgenommen Active Directory-Verbunddienste (AD FS) und sein Geschwister-Cloud-Dienst Azure Active Directory, um zu optimieren, wie der Zugriff in bestimmten Situationen gewährt werden kann. Die bedingte Zugriffskontrolle wurde erweitert, sodass Administratoren mehr Kontrolle haben. Sie können entscheiden, wie viel Zugriff und Vertrauen ein Benutzer hat, je nachdem, welches Gerät er verwendet und wo er auf eine Ressource oder App zugreift.

Intune bietet die Grundlage für die Kontrolle

Das Microsoft Intune Das Konfigurationsdienstprogramm für das Cloud-System ist die Grundlage dieser Funktionalität. Intune wird in der Regel im Rahmen des gekauft Enterprise Mobility Suite (EMS) und ist Teil von Azure AD Premium, das in der EMS-Lizenz enthalten ist. Intune ist jetzt für die Aktualisierung eines Repositorys aller Geräte verantwortlich, die entweder einer Organisation “beigetreten” sind oder direkt von der Organisation verwaltet werden. Intune verfolgt auch den Status eines Geräts, der den Richtlinien entspricht.
Intune nennt das das Neue Gerätevertrauensstufe. Die Ebene kann einer von drei Zuständen sein: authentifiziert, verwaltet oder konform. Mit diesen Status bietet die neue Funktion für bedingten Zugriff dem Administrator die Möglichkeit, komplexe Regeln zu erstellen, z.

  • Ermöglichen Sie Mitarbeitern, die Mitglieder der HR-Gruppe sind, nur dann den Zugriff auf das SharePoint-Webportal für Vergütungsstrategien, wenn sie die Multifaktorauthentifizierung erfolgreich bestanden haben.
  • Erlauben Sie nur Auftragnehmern, die kompatible Geräte verwenden, die Richtlinien übergeben, auf den Salesforce-Mandanten zuzugreifen. und
  • Ermöglichen Sie dem Verkaufspersonal, sich nur dann remote mit der lokalen Angebotsanwendung zu verbinden, wenn das Gerät mit unserem Arbeitsplatz verbunden ist – nicht mit der Domäne.

Identität und Geräte können miteinander verflochten sein

Ein Administrator kann Regeln einrichten, die die Identität eines Benutzers sowie die Rollen und Gruppen testen, auf die er aufgrund dieser Identität zugreifen darf. Das IT-Personal kann auch den Gerätekonformitätsstatus mit dieser Identität koppeln, um sicherzustellen, dass die richtigen Personen mit sicheren, richtlinienkonformen Geräten auf vertrauliche Anwendungen zugreifen.
Einige Anwendungen sind möglicherweise nur auf Geräten zulässig, die entweder Domänenmitglieder sind oder mit dem Arbeitsplatz verbunden sind, sodass die IT-Abteilung verschlüsselten Speicher erzwingen kann. In anderen Fällen können einige Apps zum Lesen und zum Konsumieren von Inhalten verwendet werden. In diesem Fall muss die IT nur Identitätskontrollen erzwingen.

Windows Server 2016 erweitert die Steuerelemente

Ab Windows Server 2016Diese bedingte Zugriffskontrolle funktioniert über physische Perimeter hinweg. Die IT-Mitarbeiter können mithilfe von Active Directory Steuerelemente für lokale Anwendungen sowie Cloud-Dienste wie Office 365 oder andere Cloud-Apps einrichten, die von Azure Active Directory zusammengeschlossen und gesichert werden können, einschließlich DocuSign und Salesforce. Azure Active Directory synchronisiert Gerätestatusinformationen mit der regulären Bereitstellung von AD, und die Organisation veröffentlicht die App über den Active Directory-Anwendungsproxy, der diese Einschränkungen des Gerätestatus versteht.
Die Organisation muss lediglich Azure AD Connect installieren, das das temperamentvolle DirSync-Produkt ersetzt. Azure AD Connect ist hilfreich, wenn das Unternehmen in eine ältere lokale Bereitstellung investiert ist, aber auch Microsoft Azure verwendet.

Keine Änderung des App-Codes erforderlich

Einer der wichtigsten Vorteile ist die Möglichkeit, die Multifaktorauthentifizierung mit lokalen und Cloud-Apps zu erzwingen, ohne dass Änderungen am Anwendungscode erforderlich sind.
Durch die Verwendung von AD FS zur Authentifizierung müssen Apps nur Ansprüche berücksichtigen – die gängigsten Protokolle werden unterstützt, einschließlich OAuth 2.0, OpenID Connect, SAML oder WS-Federation – und die IT kann Azure Active Directory die Komplexität der Multifaktorauthentifizierung bewältigen. Dies macht vorhandene Apps für eine bescheidene monatliche Rechnung für die EMS-Lizenz und einige Stunden Arbeit erheblich sicherer.

Similar Posts

Leave a Reply