Azure AD Premium P1 Lizenz

Mit diesen 4 Security Features sichern Sie Ihre Cloud

Autor: Jonathan BrockhausenJunior Consultant Microsoft Security–Auf LinkedIn vernetzen

Azure AD Premium P1 ist die erste bezahlte Stufe der Azure AD-Pläne von Microsoft. Die Lizenz bietet einen Einstieg in die Welt des Azure AD und ermöglicht zusätzlich bereits diverse, leicht umzusetzende Security Features, die Ihre moderne Cloud-Architektur absichern können. In diesem Blogartikel erläutern wir die 4 wichtigsten Security Features, die in diesem Plan enthalten sind. Zudem betrachten wir, welchen Mehrwert die Umsetzung von Multi Factor Authentification, Conditional Access, Self Service Password Reset und App Proxy Ihrer Organisation bringen kann.

Multi Factor Authentication (MFA)

„Your password doesn’t matter but MFA does“ ist das Fazit einer Microsoft-Studie zur Sicherheit verschiedener Authentifizierungsmechanismen. Die Nutzung von MFA ist demnach 99,9% sicherer als die reine Verwendung von Benutzername und Passwort bei der Authentifizierung.

Passwörter allein sind ein nachweislich schwacher Anmeldemechanismus. Durch die Erweiterung der Anmeldung um einen zusätzlichen Faktor, mit dem der User beispielsweise einen Nachweis über den Besitz eines Tokens oder Firmenhandys erbringt, kann die Sicherheit massiv gesteigert werden.

Mit Multi Faktor Authenzifizierung wird ein weiterer Faktor zur Anmeldung eingesetzt. In Azure AD Premium P1 stehen die folgenden Wege zur Verfügung:

Authenticator App
Freigabe der Anmeldung über die Microsoft Authenticator App auf dem Smartphone
Anruf
Anruf an die Telefonnummer des Nutzers
SMS
SMS an den Nutzer
Hardware-Token
OATH-Hardware-Token (als Preview-Feature)

Die Registrierung für einen weiteren Anmeldefaktor ist für User im Azure AD standardmäßig aktiviert, wird jedoch nicht erzwungen. Mit der Nutzung von Conditional Access Richtlinien können Sie dies ändern.

Conditional Access

Mit Conditional Access hat Microsoft ein sehr mächtiges und trotzdem sehr einsteigerfreundliches Sicherheitswerkzeug bereits mit Azure AD Premium P1 zur Verfügung gestellt.

Ins Deutsche übersetzt bringt der „Bedingte Zugriff“ Möglichkeiten, die Zugangsberechtigung auf Unternehmensressourcen anhand bestimmter Parameter zu steuern. Neben der Erzwingung von MFA bei Anmeldeversuchen außerhalb des lokalen Netzwerks können Sie auch granular festlegen, welche Zugriffsrichtlinien bei welchen Apps greifen sollen.

Conditional Access

Quelle: Microsoft

Auf höheren Lizenzstufen wie Azure AD Premium P2 oder M365 EMS E5 können Sie dann zusätzlich von der automatisierten Einstufung des Anmelderisikos profitieren, die zum Beispiel auf Grundlage von Ort oder Gerät des Anmeldeversuchs erfolgt. Darüber hinaus lassen sich die Zugriffe feiner steuern, um zum Beispiel bei weniger sichereren Anmeldungen das Herunterladen von Dateien aus der Cloud zu blockieren.

Self Service Password Reset (SSPR)

Wenn Sie Ihre Benutzerkonten im Azure AD verwalten, können Sie den Aufwand Ihres Helpdesks mit der Nutzung von SSPR mit wenigen Schritten massiv verringern, indem Sie es Ihren Anwendern ermöglichen, ihre Passwörter eigenständig zurückzusetzen.

Um diesen Prozess abzusichern, stehen Ihnen bei der Einrichtung diverse zusätzliche Anmeldefaktoren zur Verfügung. Die Passwortänderung kann beispielsweise eine Bestätigung durch einen Code per SMS oder Mail erzwingen.

Es entsteht eine klassische Win-Win-Situation – Ihre Nutzer können umstandsfrei und ohne lange Wartezeit weiterarbeiten und Ihre IT-Abteilung kann sich auf Wesentliches konzentrieren, ohne dabei die Sicherheit zu vernachlässigen.

App Proxy

Das Azure AD ermöglicht es Ihnen, On-Premises-Anwendungen über den App Proxy auch für Nutzer verfügbar zu machen, die im Homeoffice arbeiten oder auf Dienstreise sind. Dies ist für sämtliche on-premises gehostete Webanwendungen, wie zum Beispiel Ticketsysteme, Zeiterfassungsportale oder Ihr webbasiertes ERP-System umsetzbar.

Der App Proxy bietet Ihnen einen einfachen und sicheren Weg, Anwendungen aus dem lokalen Netz zu publizieren und durch die Anmeldung im Azure AD abzusichern. Die Prä-Authentifizierung im Azure AD verhindert hierbei schon von sich aus, dass unautorisierte Nutzer Zugriff auf lokale Ressourcen erhalten können, bevor das interne Netz überhaupt erreicht wird.

Zusätzlich können Sie die Anmeldung an lokalen Ressourcen mit den oben genannten Azure AD Features MFA und Conditional Access zusätzlich an Ihre Anforderungen anpassen.

Dabei übernimmt der App Proxy viele Funktionen eines herkömmlichen Proxy-Servers vollautomatisch, zum Beispiel den Schutz vor DDoS-Angriffen. Sie können so außerdem auf die Konfiguration der eingehenden Firewall-Regeln für Anwendungen hinter dem Proxy verzichten.

Ihre Nutzer profitieren durch die Nutzung von Single Sign On (SSO) direkt doppelt – eine mehrfache Eingabe der Passwörter wird hinfällig und die Anmeldung bleibt trotzdem sicher.

Fazit zur Azure AD Premium P1 Lizenz

Der Einstieg in eine sichere und moderne Cloud-Umgebung wird Ihnen mit der Azure AD Premium P1 Lizenz leicht gemacht. In Hinblick auf eine Zero-Trust-Strategie sind die hier beschriebenen Maßnahmen ein guter erster Schritt, doch wie Sie wissen, ist IT-Sicherheit ein stetiger Prozess. Nachdem Sie also die Basics abgedeckt haben, können Sie mit einem Upgrade auf Azure AD Premium P2, Microsoft 365 E3 oder E5 noch viele weitere Maßnahmen in der Microsoft-Cloudwelt umsetzen. Gerne unterstützen wir Sie dabei!