12 Tipps für Azure AD
Azure AD gehört zu den wichtigsten Identity Management- und Zugriffsverwaltungsdiensten für Cloud-Lösungen. Vor allem in der Microsoft-Welt mit Microsoft Azure und Microsoft 365 ist Azure AD ein wichtiges Tool für die Authentifizierung von Benutzern. SharePoint Online, Exchange Online, Teams und auch OneDrive for Business setzen auf die Authentifizierung mit Azure AD.
Durch die Synchronisierungsmöglichkeiten mit Active Directory können Unternehmen auch lokale Anmeldedaten in die Cloud synchronisieren.
Wir zeigen in diesem Beitrag 12 Tipps für den Umgang mit Azure AD. Als Einführung können Sie auch unseren Beitrag „Azure Active Directory in der Praxis – Die ersten Schritte“ lesen.
Index
Tipp 1: Active Directory und Azure AD zentral verwalten
Bevor Sie sich in die Tiefen des Azure AD begeben, sollten Sie wissen, dass es IAM-Lösungen gibt, mit denen Sie das Azure AD und AD zentral über eine einzige Schnittstelle verwalten können.
Wie in den nächsten Abschnitten ersichtlich wird, erfordert die native Verwaltung des Azure AD u.a. den Zugriff auf zahlreiche Verwaltungsportale, als auch PowerShell-Kenntnisse.
Eine Admin-freundliche Lösung, wie das FirstWare IDM-Portal, ermöglicht die Hybrid-Identitätsverwaltung über eine zentrierte benutzerorientierte Oberfläche. Außerdem können Sie auch viele Aufgaben automatisieren, wie die Aktualisierung von Zugriffen nach einem Abteilungswechsel (beispielsweise auf Laufwerke, Verteilerlisten oder Teams).
Sie sparen Zeit und gleichzeitig erhöhen Sie die Sicherheit Ihres Identity und Access Managements.
Tipp 2: Verwaltungsportale von Microsoft speichern
Um Azure AD, Microsoft 365 und auch Azure nativ zu verwalten, sollten Sie verschiedene URLs kennen und unter Umständen als Favoriten speichern. Mit den URLs können Sie direkt auf die verschiedenen Verwaltungsportale zugreifen. Die wichtigsten Portale sind:
- Microsoft Azure-Portal: https://portal.azure.com
- Azure AD Admin Center: https://aad.portal.azure.com
- Microsoft 365 Admin Center: https://admin.microsoft.com
- MS Teams Admin Center: https://admin.teams.microsoft.com
- Microsoft Exchange Admin Center: https://admin.exchange.microsoft.com
- SharePoint Admin Center: https://admin.microsoft.com/sharepoint
- Microsoft Endpoint Manager Admin Console: https://endpoint.microsoft.com
- Azure Cloud Shell: https://shell.azure.com
- Azure Subscriptions: https://account.azure.com/Subscriptions
Tipp 3: Azure AD mit der PowerShell und Azure Cloud Shell verwalten
Sie können Azure AD auch mit der PowerShell verwalten. Neben der Möglichkeit über die Azure Cloud Shell (https://shell.azure.com) zu verwalten, können Sie das Modul für die Verwaltung von Azure AD in der PowerShell installieren.
Azure und Azure AD können Sie auch mit der Azure Cloud Shell verwalten
Nach dem Aufrufen der Azure Cloud Shell können Sie über die Menüleiste oben auch Dateien zu Microsoft Azure hochladen und herunterladen. Auch die Verwaltung der Dateifreigabe dazu können Sie über die Menüleiste vornehmen. Die Verwaltung von Azure AD können Sie aber auch ohne Webbrowser lokal vornehmen. Dazu installieren Sie am besten das Azure AD-PowerShell-Modul auf Ihrem PC. Diese Installation erfolgt mit:
install-module azuread
Nach der Installation können Sie eine Verbindung mit Azure AD über die PowerShell aufbauen Dazu verwenden Sie den Befehl:
Connect-AzureAD
Um alle vorhandenen Cmdlets anzuzeigen, um Azure AD zu verwalten, steht der folgende Befehl zur Verfügung:
get-command -module azuread
Tipp 4: Benutzeranmeldungen an Azure AD überwachen
Über das Azure AD Admin Center-Portal können Sie mit dem Menüpunkt „Anmeldeprotokolle“ bei „Benutzer“ überprüfen, wann sich Benutzer an den verschiedenen Stellen angemeldet haben. Auch die IP-Adresse, von der die Anmeldung gekommen ist, zeigt das Portal an, genauso wie die Verwendung der Multifaktor-Authentifizierung. Der Standort der Anmeldung und die Verwendung des bedingten Zugriffs sind an dieser Stelle zu sehen. Sie sehen hier auch, ob die Anmeldung erfolgreich war. Viele erfolglose Anmeldungen deuten auf einen Angriff auf ein Benutzerkonto hin.
Tipp 5: Unternehmensanwendungen registrieren und LinkedIn-Verknüpfungen anlegen
Über den Menüpunkt „Benutzereinstellungen“ bei „Benutzer“ im Azure AD Admin Center können Sie festlegen, ob Benutzer eigene Anwendungen in Azure AD registrieren können und auf das Verwaltungsportal zugreifen können. Auch die Verknüpfung mit dem LinkedIn-Konto von Anwendern können Sie an dieser Stelle konfigurieren oder unterbinden. Darüber hinaus finden Sie hier auch die Möglichkeit, externe Benutzerkonten anzubinden und die Features von Benutzerkonten zu steuern.
Tipp 6: Unternehmensanwendungen mit Azure AD registrieren
Über den Menüpunkt „Unternehmensanwendungen“ im Azure AD Admin Center können Sie festlegen, welche externen Anwendungen die Authentifizierung mit Azure AD unterstützen sollen. An dieser Stelle können Sie Standardanwendungen auswählen, die bereits hinterlegt sind. Sie können aber auch neue Anwendungen anbinden oder die Registrierung von Anwendungen wieder rückgängig machen. Ob Benutzer selbst Anwendungen registrieren können, lässt sich im Azure AD Admin Center bei „Benutzer\Benutzereinstellungen“ festlegen.
Tipp 7: An Azure AD angebundene Geräte verwalten
Im Azure AD Admin Center können Sie über den Menüpunkt „Geräte“ überprüfen, welche Geräte aktuell an Azure AD angemeldet sind. Hier sehen Sie auch die Geräte, die angebunden aber nicht verwaltet oder konform mit den hinterlegten Richtlinien sind. Bei „Alle Geräte anzeigen“ können Sie überprüfen, ob auch alle Geräte an dieser Stelle noch notwendig sind. Aus Gründen der Sicherheit kann es sinnvoll sein, nicht mehr benötigte Geräte zu entfernen.
Sie können an dieser Stelle auch Einstellungen der Geräte anpassen und festlegen, wer neue Geräte an Azure AD anbinden kann. Außerdem legen Sie an dieser Stelle auch fest, wie viele Geräte Benutzer maximal an Azure AD anbinden dürfen. Rufen Sie dazu den Menüpunkt „Geräteeinstellungen“ auf.
Tipp 8: Self-Service-Portal in Azure AD und Microsoft für Anwender nutzen
Azure AD bietet ein Self-Service-Portal, an dem sich alle Anwender anmelden können, um ihr eigenes Benutzerkonto zu verwalten. Das Konto ist über die URL https://myaccount.microsoft.com erreichbar. Nutzen Anwender auch ein Microsoft-Konto ist dieses wiederum in einem eigenen Portal über die Seite https://account.microsoft.com erreichbar.
Im Azure AD-Portal können die Benutzer zum Beispiel ihr Kennwort ändern oder zurücksetzen und auch Einstellungen anpassen, sowie den Datenschutz optimieren. Auch das Kontrollieren der eigenen Anmeldungen ist hier möglich, zum Beispiel um zu überprüfen, ob ein Konto gehackt wurde. Wenn für ein Konto Lizenzen für Microsoft Office hinterlegt sind, können Benutzer über das Portal auch die Installationsdateien herunterladen.
Tipp 9: Administratorrollen von Anwendern verwalten
Über den Menüpunkt „Zugewiesene Rollen“ können Sie bei „Benutzer“ nach dem Anklicken eines Benutzerkontos steuern, welche Rechte ein Benutzerkonto im Abonnement hat. Klicken Sie in der Steuerung der zugewiesenen Rollen auf eine Rolle, sehen Sie wiederum alle Benutzerkonten, die dieser Rolle zugewiesen sind. Interessant ist hier auch die Möglichkeit mit Privileged Identity Management in Azure AD zu arbeiten. Dadurch können Sie festlegen, dass Benutzer nur über eine gewisse Zeit berechtigt sind, Verwaltungsaufgaben durchzuführen.
Tipp 10: Benutzerkonten aus Azure AD mit der PowerShell auslesen
In Tipp 2 haben wir Ihnen bereits gezeigt, wie Sie Azure AD mit der Azure Cloud Shell und der PowerShell verwalten können. Mit den beiden Werkzeugen ist es auch möglich, die Daten von Benutzerkonten auszulesen. Wenn Sie zum Beispiel „Get-AzureADUser“ eingeben, erhalten Sie Informationen zu den Benutzerkonten in einem Azure-Abonnement.
Wollen Sie ausführlichere Informationen zu einem Benutzer oder einer Gruppe in Azure AD erhalten, verwenden Sie das Cmdlet mit dem Parameter „ObjectID“ zum Beispiel:
Get-AzureADUser -ObjectID 3b47a729-16c1-4be1-9ee2-7f3bd00a346b
Die ObjectID erhalten Sie für jeden Benutzer nach Eingabe von „Get-AzureADUser“. Als ObjectID können Sie aber auch den „UserPrincipalName“ verwenden. Das ist normalerweise die E-Mail-Adresse, mit der sich der Benutzer anmeldet.
Um sich alle Daten eines Benutzerkontos anzuzeigen, können Sie das Ergebnis von „Get-AzureADUser“ auch an das Cmdlet „select“ weitergeben und mit dem Platzhalter „*“ alle Daten anzeigen:
Get-AzureADUser -ObjectID 3b47a729-16c1-4be1-9ee2-7f3bd00a346b | select *
Anzeigen der Informationen zu Benutzerkonten in Azure AD mit der PowerShell.
Tipp 11: Microsoft 365 und Microsoft Azure AD in der PowerShell verwalten
Neben der Möglichkeit Azure AD in der PowerShell zu verwalten, können Sie auch die Einstellungen von Microsoft 365 und die Verknüpfung des Abonnements parallel in der PowerShell verwalten. Dazu benötigen Sie ein weiteres Modul, das Sie mit dem folgenden Befehl installieren:
Install-Module -Name MSOnline
Danach bauen Sie eine Verbindung mit dem Microsoft 365-Abonnement auf:
Connect-MsolService
Hier können Sie die gleichen Anmeldedaten verwenden, wie bei der Anmeldung an Azure AD. Um sich zum Beispiel Informationen zu den Einstellungen des Abonnements anzuzeigen, verwenden Sie:
Get-MsolCompanyInformation
Ein weiteres Modul ist die Verwaltung von Exchange Online über die PowerShell. Auch hier spielt Azure AD eine wichtige Rolle:
Install-Module -Name ExchangeOnlineManagement
Die Anmeldung mit diesem Modul erfolgt wiederum mit:
Connect-ExchangeOnline
An dieser Stelle können Sie wieder die Anmeldedaten aus Azure AD verwenden, die Sie auch für Azure AD selbst und für Microsoft 365 verwendet haben. Es ist an dieser Stelle auch möglich, die Anmeldeten in einer Variablen zu speichern und mit dem Parameter „-Credential“ die Anmeldedaten aus der Variablen für die verschiedenen Dienste zu nutzen:
$cred = Get-Credential
Connect-ExchangeOnline -Credential $cred
Connect-MsolService -Credential $cred
Connect-AzureAD -Credential $cred
Tipp 12: Gruppen in Azure AD mit der PowerShell verwalten
Die einzelnen Gruppen in Azure AD lassen sich mit dem Cmdlet „Get-AzureADGroup“ anzeigen. Zusätzlich können Sie in der PowerShell auch neue Gruppen erstellen, Gruppenmitgliedschaften steuern, Gruppen löschen und vieles mehr. Alle Cmdlets dazu zeigen Sie mit „Get-Command *ADGroup*“ an.
Kontaktieren Sie uns, wenn Sie erfahren möchten, wie Sie Ihre Benutzerdaten mit Identity & Access Management on-premise und in der Cloud absichern können.