Workshopserie: Azure Active Directory einrichten und nutzen (2)

Eine Anmeldung an den Active Directory Federation Services (ADFS) und damit an Azure AD soll in unserem Workshop für den Nutzer genügen, um alle Online-Dienste erreichen zu können. Dabei steht natürlich die Steuerung des Zugriffs auf die Cloud-Dienste über Gruppen im Mittelpunkt. Gelingt der Zugriff auf externe Online-Dienste, schauen wir uns die Sicherheitsberichte in Azure genauer an und wollen mehr über mögliche Gefahren wissen – eine Funktion, die Azure AD in der Premium-Variante anbietet. Für administrative Benutzer richten wir im Anschluss dann eine weitere Authentifizierung ein und nutzen dazu die Azure Multifaktor-Authentifizierung.

Gruppen in Azure AD bilden

Für das Erteilen von Zugriffsrechten und die Steuerung der Berechtigungen auf Anwendungen bedient sich Azure AD eines bekannten und erprobten Mittels: Gruppen. Während das Windows Active Directory generell zwischen Sicherheits- und Distributionsgruppen unterscheidet und diese weiter in verschiedene Gültigkeitsbereiche für lokale, globale und domänenlokale Zwecke unterteilt, existieren in Azure AD einfach nur Gruppen. Liegen die Sicherheitsgruppen im Bereich der Azure AD-Synchronisierung, werden diese inklusive der Gruppenmitgliedschaft nach Azure AD synchronisiert. Die Gruppenmitgliedschaft umfasst dabei alle Win­dows AD-Benutzeraccounts und weiter verschachtelte Gruppen – sofern die Mitglieder ebenfalls im Scope der Synchronisation liegen.

Wie auch bei Benutzerkonten unterscheidet Azure AD zwischen Gruppen, die im lokalen AD erstellt wurden, und Cloud-basierten Gruppen. Es gelten sogar dieselben Regeln: Gruppen aus dem lokalen Windows AD können nur durch die Synchronisation aus dem Windows AD heraus geändert werden. Cloud-basierte Gruppen hingegen lassen sich durch das Azure Management-Portal und das Office 365-Portal verwalten. Im Office-Portal gibt es vom Dashboard aus im linken Menü die Option

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.