Erweiterte Sicherheit durch Identity Protection und PIM

Mit diesen kann verhindert werden, dass die IT-Administration proaktiv, fortlaufend die Notwendigkeit von Zugriffsrechten hinterfragen muss. Access Reviews bieten folgende Funktionen:

• Unternehmen wird ermöglicht, den Zugriff von Benutzern auf Ressourcen, Office-Gruppen und Azure-Rollen im Auge zu behalten und je nach Bedarf das Zugriffsrecht beizubehalten oder zu entziehen.
• Mitarbeitenden und Gastbenutzern kann der weitere Zugang genehmigt oder verweigert werden.
• Empfiehlt dem Prüfer eine Entscheidung aufgrund der Anmeldeaktivität des Benutzers.
• Möglichkeit, wiederkehrende Überprüfungen einzurichten und die Entscheidungen automatisch anzuwenden.

Azure AD Identity Protection

Ein weiteres Feature der Lizenz ist Identity Protection. Es handelt sich dabei um eine automatisierte Erkennung und Behandlung von Risiken zum Schutz der Identität der Benutzer. Microsoft nutzt dafür die Erkenntnisse aus dem weltweiten Netz ihrer sich im Einsatz befindlichen Produkte bei gewerblichen Kunden (Azure AD) und privaten Kunden (Microsoft Konten, Xbox). So kann Microsoft jeden Tag auf 6,5 Billionen Signale zurückgreifen.

Identity Protection erkennt verschiedene Risikotypen, wie z. B.:

• Verwendung anonymer IP-Adressen
• Ungewöhnlicher Ortswechsel
• Mit Schadsoftware verknüpfte IP-Adresse
• Ungewöhnliche Anmeldeeigenschaften
• Kompromittierte Anmeldeinformationen
• Password Spray

Signale, die aus Identity Protection generiert werden, können dann in Conditional Access Richtlinien verarbeitet werden. Daraus resultierend können Nutzer dazu gezwungen werden, temporär eine Multi-Faktor-Authentifizierung durchzuführen, ihr Passwort zurückzusetzen oder der Zugriff wird ganz unterbunden.

Ferner können die Signale aus Identity Protection auch an ein SIEM übertragen werden.

Risk Based Conditional Access

Risk Based Conditional Access fügt aufbauend auf Identity Protection dem Conditional Access variable Bedingungen hinzu, die ein bestimmtes Risiko für ein Unternehmen darstellen.

Diese Risiken werden unterteilt in Benutzer- und Anmelderisiken. Benutzerrisiken können kompromittierte Anmeldedaten, für den Benutzer unübliches Verhalten oder der Versuch sein, auf das Primary Refresh Token zuzugreifen. Anmelderisiken können u. a. ungewöhnliche Ortswechsel, anonyme IP-Adressen oder mit Schadsoftware verknüpfte IP-Adressen sein.

Die Daten zu diesen Risiken stammen von externen Datenquellen und Strafverfolgungsbehörden. Auf Basis dieses Risikos kann Conditional Access dann die weitere Vorgehensweise diesen User betreffend steuern.

Entitlement Management

Mit Entitlement Management von Azure AD kann mit Zugriffspaketen die Berechtigung auf Gruppen, Anwendungen und SharePoint Online-Websites für interne Benutzer und Benutzer außerhalb der Organisation, die auf diese Ressourcen zugreifen müssen, effizienter verwaltet werden.

So können beispielsweise Personen außerhalb der IT-Abteilung in die Lage versetzt werden, Zugriffspakete und Richtlinien zu erstellen, sowie Regeln dafür entwerfen, welche User Zugriffspakete anfordern dürfen, wer ihren Zugriff genehmigen muss und wann der Zugriff abläuft. Dadurch können Sie mit einem Berechtigungskonzept den Datenschutz erhöhen, Prozesse auf mehrere Schultern verteilen und die interne IT-Abteilung entlasten.

Pivileged Identity Management (PIM)

Privileged Identity Management ist ein Dienst in Azure Active Directory (Azure AD), mit dem temporär administrativer Zugriff auf Ressourcen innerhalb der Organisation erteilt, gesteuert und überwacht wird. Diese Ressourcen umfassen das Azure AD und andere Microsoft-Onlinedienste wie Microsoft 365 oder Microsoft Intune.

Dieser Zugriff kann einzelnen Personen oder Gruppen zugewiesen werden. PIM kann sowohl die integrierten Azure-Ressourcenrollen als auch benutzerdefinierte Rollen verwalten. Dadurch kann der Kreis der Personen mit administrativen Rechten quantitativ eingegrenzt werden. Nur noch die Personen haben auf den Bereich Zugriff, für den sie wirklich Zugriff benötigen.

Folgende Möglichkeiten sind mit PIM gegeben: