Nyheter, tips og triks fra gjengen i Lillevik IT
Tidene forandrer seg – og vi med dem. Dagens arbeidsmiljø beveger seg opp i skyen, sammen med maskinrom og lokal infrastruktur. Microsoft selv har tre skyplattformer som gjensidig utfyller hverandre og burde dekke de fleste behov: Office 365 sørger for produktivitet og samarbeid. Dynamics 365 lar deg styre forretningsprosesser og behandle kunderelasjoner. Azure tilbyr virtuelle servere, applikasjoner og et stadig økende antall skytjenester. Bak alt dette spøker Azure Active Directory (AD) som det skybaserte motstykke til vårt velkjente AD i Windows.
Azure AD godkjenner pålogginger og lar deg administrere brukere og grupper med tilganger og rettigheter. Men det rommer i tillegg langt flere funksjoner. Du kan i betydelig grad øke sikkerheten i virksomheten eller organisasjonen din. Du kan forbedre brukeropplevelsen og ikke minst gjøre livet lettere for deg som administrator. Azure AD omtales som «identitet som en tjeneste». Med det følger forskjellige planer eller abonnementer. Gratistjenesten er som standard del av Office 365. Her tar vi for oss Azure Active Directory Premium P1, med et sideblikk på P2, som er alternativene vi anbefaler.
Azure Active Directory er Microsofts geografisk distribuerte katalogtjeneste for identitets- og tilgangsadministrasjon. Det er en global tjeneste med høy tilgjengelighet som kan skaleres til flere hundre millioner brukeridentiteter. Du vil finne mange likhetspunkter med lokalt AD. Katalogene er godt integrert; for sømløs engangspålogging kan du synkronisere brukere med passord opp i skyen. Men du vil raskt oppdage at det også er store forskjeller. Sentrale komponenter i Azure AD er:
Det er naturlig å forstå noe ukjent ut fra noe kjent. Windows Active Directory har eksistert i nærmere 20 år og stått sin prøve. Betegnelsen skriver seg fra at katalogen (directory) inneholder en fortegnelse over ressursene i organisasjonen; den er aktiv i den forstand at vi kan administrere dem. Windows AD er såkalt single-tenant, dvs. den omfatter bare én domeneskog, ofte bare med ett domene. Azure er multi-tenant, dvs. leieren eller tenanten er bare en isolert – til gjengjeld godt sikret – del av Azure AD. Windows AD er knyttet til lukkede, beskyttede lokale nettverk, omgitt av brannmurer og demilitariserte soner. I Azure AD finnes det naturlig nok ikke et sånt konsept; her eksponeres bare veldefinerte endepunkter.
Strukturen i Windows AD er hierarkisk, basert på et enkelt katalogtre, som i likhet med filsystemer (og trær hos mystikere) har sin rot over bakken og vokser nedover. I Azure AD er oppbygningen flat. Windows AD gjør utstrakt bruk av DNS for å navngi og lokalisere objekter. I Azure AD benyttes DNS bare for domener. I Windows AD må man dessverre enkelte ganger slåss med en kronglete LDAP-syntaks for å foreta en spørring, som for å få frem alle brukere i en avdeling. Men man forsøker i det lengste å unngå det ved å benytte mer brukervennlige verktøy. I Azure har man AD Graph API, som er et programmeringsgrensesnitt og til tross for navnet alt annet enn grafisk. Der benytter du fortrinnsvis portalen og for automatisering PowerShell eller Azure command-line interface (CLI).
Kerberos – egentlig den trehodete hunden i gresk mytologi som
bevokter inngangen til underverden – danner en åpen og sikker autentiseringsmodell. I Azure har Microsoft valgt å gå over til utbredte web-standarder i stedet. Fra X.500-katalogen har Windows AD overtatt organisasjonsenheter (OUer). Ved hjelp av dem kan man delegere rettigheter og tildele gruppepolicyer. En tilsvarende mekanisme finnes ikke Azure AD, annet enn om man tar i bruk Microsoft Intune for policyer. Rettigheter i Azure AD bygger på rollebasert tilgangskontroll (RBAC).
Her kan det bare bli noen få smaksprøver. Utvid administrasjonssentrene i Office 365-portalen om nødvendig og klikk på Azure Active Directory. Dashbordet kommer opp med standardinnstillingene. Du kan også logge deg direkte på via https://portal.azure.com. Portalen er oversatt til svensk, men ikke til norsk ennå. Du kan operere med mange forskjellige dashbord. Du kan legge til og fjerne fliser, forstørre og forminske dem. Navigasjonsruten til venstre, den mørke bolken, kan også tilpasses ut fra hvilke favoritter du er interessert i.
Klikk på Azure Active Directory i navigasjonsfeltet. Grensesnittet er langt på vei selvforklarende. Under Organizational relationships har du muligheten til å legge inn gjestebrukere. Du kan registre enheter og apper. Application proxy sikrer ekstern tilgang til foretaksinterne web-applikasjoner.
Det er omfattende rapporteringsfunksjoner. En av årsakene til den lave skåringen ovenfor er at Azure AD P2-linsenen nettopp er lagt til. MFA er satt opp for bare én bruker så langt. Den globale administrator-kontoen er ikke beskyttet ennå.
Her flagges en mulig risikofylt pålogging. Azure Identity Protection lærer seg vanene dine. Dessverre er jeg for lite i Tyskland, men i dette tilfelle er det en falsk positiv.
Microsofts skytjenester krever Azure AD for pålogging og identitetsbeskyttelse. Derfor får du som bruker automatisk tilgang til alle gratisfunksjoner i Azure AD - uten omkostninger i den forstand at de inngår i grunnabonnementet.. Disse er også i hovedsak tilgjengelig i portalen for Office 365. For en bedre og mer funksjonell implementering bør du oppgradere til lisenser for Azure Active Directory Basic, Premium P1 eller Premium P2. Det gir deg eksempelvis selvbetjening, forbedret overvåking, sikkerhetsrapportering og sikker tilgang for din mobile arbeidsstyrke.
Teknologisk er skytjenester for lengst blitt overlegne i forhold til løsninger lokalt og ikke lenger mulig å få til der. Dette er Teams det beste bevis på, som i alt vesentlig er et presentasjonslag for økosystemene i Microsoft-skyen. Et annet eksempel er nettopp Azure Active Directory, som er en naturlig videreføring av Windows AD. Her får du funksjoner du lenge har savnet som Windows-administrator:
Ved hjelp av få museklikk er alle brukere sikret med multifaktor-autentisering. Du har verktøyene du trenger for å hindre og avsløre identitetstyveri. Du får beskyttet privilegerte identiteter med administrative rettigheter. Du kan i en håndvending gi samarbeidspartnere tilgang til ressurser i egen tenant – tungvint i Windows, lekende lett i skyen. Hva med alle forespørslene fra brukere som har glemt eller må endre passordene sine? La dem ordne med det selv. La dem også vedlikeholde gruppene – kjappere for dem og mindre arbeid for deg.
Fra Exchange er du vant til å forenkle gruppemedlemskap med dynamiske distribusjonsgrupper. Azure AD gir deg samme funksjonalitet for Office 365- og sikkerhetsgrupper. Har du noensinne ryddet opp i hundrevis av Windows-grupper uten å ane hva de gjør, og hvorfor de er der? Da kommer grupper med utløpsdato og logging av inaktive brukere som en gudesendt gave. Og så er det alle overvåkings- og rapporteringsfunksjonene. Her har vi bare skrapt på overflaten av mekanismene og mulighetene i Azure AD. Forhåpentlig har det vært nok til å gi mersmak og sette deg i gang.
Kom i gang med Microsoft Azure
Sett opp multifaktor-autentisering i Office 365
Office 365 – Sikkerhet i skyen
Legg igjen en kommentar
Vi er spesialisert på drift, support og Microsoft skytjenester, og er for de fleste av våre kunder it-avdelingen de ikke har selv. Vi kan dokumentere høy kompetanse, og et stort antall aktive og tilfredse kunder. Vi er Microsoft Gold Partner, og fokuserer på å levere alle tjenester som en ren tjeneste til fast pris per måned med ubegrenset support og full fleksibilitet. 100% Fornøydhetsgaranti på alle tjenester.
Vinner av Microsoft sin hederspris "Beste kundetilfredshet 2017"