Azure AD Premium P2 Lizenz
Erweiterte Sicherheit durch Identity Protection und PIM
Für weitergehende Sicherheitsanforderungen bietet Microsoft die Azure AD Premium P2 Lizenz. Diese beinhaltet alle Features von Azure AD Premium P1 und darüber hinausgehend Security Komponenten wie Identity Protection und Privileged Identity Management (PIM).
Access Reviews
In der Azure AD Premium P2 Lizenz sind unter anderem Access Reviews enthalten, die eine effizientere Verwaltung des Zugriffs auf Unternehmensanwendungen und von Rollenzuweisungen ermöglichen.
Mit diesen kann verhindert werden, dass die IT-Administration proaktiv, fortlaufend die Notwendigkeit von Zugriffsrechten hinterfragen muss. Access Reviews bieten folgende Funktionen:
- Unternehmen wird ermöglicht, den Zugriff von Benutzern auf Ressourcen, Office-Gruppen und Azure-Rollen im Auge zu behalten und je nach Bedarf das Zugriffsrecht beizubehalten oder zu entziehen.
- Mitarbeitenden und Gastbenutzern kann der weitere Zugang genehmigt oder verweigert werden.
- Empfiehlt dem Prüfer eine Entscheidung aufgrund der Anmeldeaktivität des Benutzers.
- Möglichkeit, wiederkehrende Überprüfungen einzurichten und die Entscheidungen automatisch anzuwenden.
Azure AD Identity Protection
Ein weiteres Feature der Lizenz ist Identity Protection. Es handelt sich dabei um eine automatisierte Erkennung und Behandlung von Risiken zum Schutz der Identität der Benutzer. Microsoft nutzt dafür die Erkenntnisse aus dem weltweiten Netz ihrer sich im Einsatz befindlichen Produkte bei gewerblichen Kunden (Azure AD) und privaten Kunden (Microsoft Konten, Xbox). So kann Microsoft jeden Tag auf 6,5 Billionen Signale zurückgreifen.
Identity Protection erkennt verschiedene Risikotypen, wie z. B.:
- Verwendung anonymer IP-Adressen
- Ungewöhnlicher Ortswechsel
- Mit Schadsoftware verknüpfte IP-Adresse
- Ungewöhnliche Anmeldeeigenschaften
- Kompromittierte Anmeldeinformationen
- Password Spray
Signale, die aus Identity Protection generiert werden, können dann in Conditional Access Richtlinien verarbeitet werden. Daraus resultierend können Nutzer dazu gezwungen werden, temporär eine Multi-Faktor-Authentifizierung durchzuführen, ihr Passwort zurückzusetzen oder der Zugriff wird ganz unterbunden.
Ferner können die Signale aus Identity Protection auch an ein SIEM übertragen werden.
Risk Based Conditional Access
Risk Based Conditional Access fügt aufbauend auf Identity Protection dem Conditional Access variable Bedingungen hinzu, die ein bestimmtes Risiko für ein Unternehmen darstellen.
Diese Risiken werden unterteilt in Benutzer- und Anmelderisiken. Benutzerrisiken können kompromittierte Anmeldedaten, für den Benutzer unübliches Verhalten oder der Versuch sein, auf das Primary Refresh Token zuzugreifen. Anmelderisiken können u. a. ungewöhnliche Ortswechsel, anonyme IP-Adressen oder mit Schadsoftware verknüpfte IP-Adressen sein.
Die Daten zu diesen Risiken stammen von externen Datenquellen und Strafverfolgungsbehörden. Auf Basis dieses Risikos kann Conditional Access dann die weitere Vorgehensweise diesen User betreffend steuern.
Entitlement Management
Mit Entitlement Management von Azure AD kann mit Zugriffspaketen die Berechtigung auf Gruppen, Anwendungen und SharePoint Online-Websites für interne Benutzer und Benutzer außerhalb der Organisation, die auf diese Ressourcen zugreifen müssen, effizienter verwaltet werden.
So können beispielsweise Personen außerhalb der IT-Abteilung in die Lage versetzt werden, Zugriffspakete und Richtlinien zu erstellen, sowie Regeln dafür entwerfen, welche User Zugriffspakete anfordern dürfen, wer ihren Zugriff genehmigen muss und wann der Zugriff abläuft. Dadurch können Sie mit einem Berechtigungskonzept den Datenschutz erhöhen, Prozesse auf mehrere Schultern verteilen und die interne IT-Abteilung entlasten.
Pivileged Identity Management (PIM)
Privileged Identity Management ist ein Dienst in Azure Active Directory (Azure AD), mit dem temporär administrativer Zugriff auf Ressourcen innerhalb der Organisation erteilt, gesteuert und überwacht wird. Diese Ressourcen umfassen das Azure AD und andere Microsoft-Onlinedienste wie Microsoft 365 oder Microsoft Intune.
Dieser Zugriff kann einzelnen Personen oder Gruppen zugewiesen werden. PIM kann sowohl die integrierten Azure-Ressourcenrollen als auch benutzerdefinierte Rollen verwalten. Dadurch kann der Kreis der Personen mit administrativen Rechten quantitativ eingegrenzt werden. Nur noch die Personen haben auf den Bereich Zugriff, für den sie wirklich Zugriff benötigen.
Folgende Möglichkeiten sind mit PIM gegeben:
Fazit zur Azure AD Premium P2 Lizenz
Nachdem Sie bereits die Basics mit der P1 Lizenz abgedeckt haben, lohnt sich bei darüber hinausgehenden Sicherheitsanforderungen ein Upgrade auf Azure AD Premium P2, Enterprise Mobility & Security E5 oder Microsoft 365 E5, um Ihre Cloud-Umgebung weiter abzusichern. Gerne unterstützen wir Sie dabei!
Microsoft Security Workshop
In dem dreitägigen Microsoft Security Workshop entwickeln wir eine auf Ihr Unternehmen zugeschnittene Sicherheitsstrategie.