Neue Azure-AD-Mandanten einrichten

Erstbezug

 Beim Aufbau eines neuen Mandanten in der Microsoft-Cloud gilt es, zwischen Sicherheit und Benutzerkomfort abzuwägen und Themen wie Zugriff, Rechtevergabe und Authentifizierung zu adressieren. Aber auch der Zugriff Externer und die Rechte der Anwendungen sind zu berücksichtigen. Und schließlich sollten Admins einige alte Protokolle abschalten.
Mitarbeiter wie auch die Unternehmensleitung setzen die Verfügbarkeit von IT-Diensten längst als selbstverständlich voraus. Ungeplante Ausfälle sind deshalb ... (mehr)

Die wichtigen Einstellungen beim Betrieb eines neuen oder der Übernahme eines bestehenden Azure-AD-Tenants beziehen sich auf Sicherheitseinstellungen, Benutzer, Informationen und Datenschutz. Dazu kommen Konfigurationen, die den Dienst selbst schützen. Denn von Mitarbeitern oder Geschäftspartnern erstellte Daten und Objekte sind später nur schwer wieder aufzuräumen. Hier sollten Sie sich frühzeitig Gedanken machen. All diesen wichtigen Eckpfeilern widmen wir uns im Folgenden im Detail.

Möglichst wenig Rechte vergeben

Wenn Sie Azure AD (AAD) für Office 365 und weitere Dienste nutzen, ist es wichtig, den Zugang und die vom Dienst geschützten Daten streng zu kontrollieren. Das beginnt mit der Anmeldung und dem Single Sign-On (SSO): Haben Sie eine föderierte Anmeldung mit einem Identityprovider (IDP) wie etwa ADFS konfiguriert, müssen Sie sicherstellen, dass der Zugang zum IDP, sowohl administrativ als auch durch Benutzer bei der Anmeldung, mit der gleichen Vertraulichkeit behandelt wird wie das AAD selbst. In vielen Umgebungen bedeutet dies, dass Sie den ADFS-Dienst – und im Fall von Password Hash Synchronization (PHS) auch Azure AD Connect – so schützen müssen wie lokale Domaincontroller. Das macht die hybriden Komponenten vielerorts zu Tier-0-Systemen mit entsprechenden Schutzvorkehrungen.

Innerhalb des AAD sollten Sie sich um "Least Privilege" bemühen: Die Rechte für den Global Admin sowie die Administratoren der Office-365-Dienste wie "Exchange Service Administrator" oder

"SharePoint Service Administrator" sollten Sie auf ein Minimum beschränken. Zugriff gewähren Sie nur dann, wenn administrative Tätigkeiten notwendig sind. Denken Sie beim Entfernen von ständigen Rollenmitgliedern daran, dass Sie zumindest einen "Break Glass"-Account für Notfälle einrichten. Der Logon für diesen Account sollte losgelöst von

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021