Der Microsoft 365 Trainer - Microsoft 365 Certified :Enterprise Administrator Expert

2 Nutzeridentität und - funktionen verwalten

Prüfungsanforderungen von Microsoft:

• Design der Identitätsstrategie
• Identitätssynchronisierung mit Azure AD Connect planen
• Identitätssynchronisation mit Azure AD Connect verwalten
• Verwalten von Azure AD Identitäten
• Nutzerrollen verwalten

Quelle: Microsoft

2.1 Einführung

Die Nutzeridentitäten sind die wichtigsten Sicherheitsbausteine für eine Unternehmensumgebung.

Sie sollten alle Möglichkeiten kennen diese sicher und sinnvoll zu verwalten und zu schützen.

2.2 Design der Identitätsstrategie

Microsoft 365 bietet eine vollständige Verwaltung aller Identitäten, also aller Benutzerkonten.

Die Konten werden in Azure AD angelegt und können dort verwaltet und bearbeitet werden.

Abbildung 2.1: Kontenverwaltung in Azure AD

Der Vorteil hierbei ist es, dass Sie alle Konten an einer zentralen Stelle verwalten können, die von jedem Standort aus zugänglich ist, da sie in der Cloud gespeichert ist.

Dieses Szenario eignet sich besonders, wenn Sie bisher keine lokale Kontenverwaltung hatten und somit eine Verwaltung neu erstellen möchten.

Abbildung 2.2: Kontenverwaltung in Active Directory

Allerding wird es häufig eher so sein, dass Sie bereits einen lokalen Verzeichnisdienst betreiben und alle Benutzerkonten dort verwalten.

Dies ist die bisher gängige Benutzerverwaltung, nämlich mithilfe des Active Directorys in einer On-Premise Domäne.

Zum Glück ist es nicht so, dass Sie sich entscheiden müssen, welche Art der Kontenverwaltung Sie benutzen möchten, denn das würde ja unter Umständen bedeuten, dass Sie eine bestehende Active Directory Domäne auflösen, alle Konten zu Azure AD umziehen und neu konfigurieren müssen.

Dieser Aufwand wäre unendlich groß, unter Umständen würde sogar ein kompletter Stillstand des Unternehmens nötig werden. Das wäre keine gute Strategie.

Microsoft bietet Ihnen die Möglichkeit, beide Arten der Kontenverwaltung parallel zu nutzen, indem Sie die On-Premise Active Directory Domäne mithilfe eines Tools mit Namen "AD-Connect" an Azure AD anschließen.

Durch eine solche Verbindung können Sie die Identitäten aus der On-Premise Domäne in die Cloud zu Azure AD replizieren lassen.

Abbildung 2.3: Replikation der Konten

Die Einrichtung von AD Connect werden wir in Folge genauer betrachten.

Es gibt sogar die Möglichkeit, auch die Kennwörter aus der Active Directory Domäne in Azure AD replizieren zu lassen, damit ist eine Anmeldung auch möglich, wenn das lokale On-Premise Active Directory nicht zur Verfügung stehen sollte.

Zum Schluss kann zusätzlich Single-Sign-On eingerichtet werden.

Dies ist eine einzige Authentifizierung sowohl an der On-Premise Domäne als auch am Azure AD. Damit können die Benutzer mit einem einzigen Eingeben der Anmeldeinformationen auf alle Ressourcen zugreifen, egal wo sie verwaltet werden.

2.2.1 Voraussetzungen

Die Voraussetzungen für eine Verzeichnissynchronisation sind relativ einfach zu erfüllen.

Microsoft 365

In Microsoft 365 ist die Verzeichnissynchronisation zu Azure Active Directory enthalten.

Zusätzlicher Domänenname Azure Active Directory

Natürlich müssen Sie den gewünschten Domänennamen Ihrer On-Premise Domäne hinzufügen. Hierfür gehen Sie den bereits bekannten Weg. Sie fügen eine Domäne hinzu, veranlassen die Überprüfung mithilfe einer .TXT oder MX-Datei und nehmen im Anschluss die gewünschten Einstellungen vor.

Active Directory Domäne

Auch die Active Directory Domäne muss einige Voraussetzungen erfüllen.

Gesamtstrukturfunktionsmodus

Die Active Directory Domäne, die Sie anschließen möchten, muss mindestens im Gesamtstrukturfunktionsmodus Windows Server 2003 laufen.

Allerdings haben Sie in diesem Fall nicht alle Funktionen zur Verfügung. Microsoft empfiehlt, dass der Server, auf dem das Tool "Azure AD-Connect" installiert wird, mindestens Server 2008 R2 als Betriebssystem haben sollte.

Den Gesamtstrukturfunktionsmodus können Sie sehr leicht überprüfen, indem Sie auf dem Domänencontroller die Konsole "Active Directory-Domänen und -Vertrauensstellungen" öffnen.

Abbildung 2.4: Active Directory-Domänen und -Vertrauensstellungen

In dieser Konsole klicken Sie mit der rechten Maustaste auf die Bezeichnung und wählen "Gesamtstrukturfunktionsebene heraufstufen".

Nun können Sie die aktuelle Gesamtstrukturfunktionsebene erkennen.

Firewall

Wenn Sie eine Firewall betreiben, müssen Sie natürlich dafür sorgen, dass AD-Connect die entsprechenden Ports benutzen kann.

In der folgenden Tabelle sehen Sie die benötigten Protokolle und Ports:

Protokoll Port Beschreibung DNS 53
(TCP/UDP) DNS-Suchen in der Zielgesamtstruktur Kerberos 88
(TCP/UDP) Kerberos-Authentifizierung für die AD-Gesamtstruktur MS-RPC 135
(TCP/UDP) Wird bei der anfänglichen Konfiguration des Azure AD Connect-Assistenten beim Binden an die AD-Gesamtstruktur sowie bei der Kennwortsynchronisierung verwendet LDAP 389
(TCP/UDP) Wird zum Importieren von Daten aus AD verwendet. Daten werden per Kerberos Sign & Seal verschlüsselt SMB 445
(TCP/UDP) Wird bei nahtlosem SSO zum Erstellen eines Computerkontos in der Active Directory-Gesamtstruktur verwendet LDAP/SSL 636
(TCP/UDP) Wird zum Importieren von Daten aus AD verwendet. Die Datenübertragung ist signiert und verschlüsselt. Gilt nur bei Verwendung von SSL RPC 49152- 65535
(Random High RPC- Port) (TCP/UDP) Wird bei der anfänglichen Konfiguration von Azure AD Connect beim Binden an die AD-Gesamtstrukturen und bei der Kennwortsynchronisierung verwendet WinRM 5985
(TCP/UDP) Wird nur verwendet, wenn Sie AD FS mithilfe von gMSA im Azure AD Connect-Assistenten installieren AD DS-Webdienste 9389
(TCP/UDP) Wird nur verwendet, wenn Sie AD FS mithilfe von gMSA im Azure AD Connect-Assistenten installieren

Sollten Sie in der Firewall Beschränkungen für bestimmte Domänen eingerichtet haben, müssen Sie folgende Domänen zur Liste der zugelassenen Domänen hinzufügen:

URL Port Beschreibung mscrl.microsoft.c om HTTP/80 Wird verwendet um CRL-Listen (Zertifikatsperrlisten) herunterzuladen. *.verisign.com HTTP/80 Wird verwendet um CRL-Listen (Zertifikatsperrlisten) herunterzuladen. *.entrust.net HTTP/80 Wird verwendet um CRL-Listen (Zertifikatsperrlisten) für MFA herunterzuladen. *.windows.net HTTPS/443 Wird für die Anmeldung bei Azure AD verwendet. secure.aadcdn.mi
crosoftonline-p.com HTTPS/443 Wird für MFA verwendet. *.microsoftonline.com HTTPS/443 Wird zum Konfigurieren Ihres Azure AD-Verzeichnisses und zum Importieren/Exportieren von Daten verwendet.

Domänenname

Ein großes Thema ist der Name der Active Directory Domäne.

Oft wird in einer lokalen Domäne mit einem nicht routingfähigen Domänensuffix gearbeitet, wie beispielsweise "Meistertrainer.local".

Microsoft 365 benötigt aber ein routingfähiges Domänensuffix, um die Anmeldenamen ordnungsgemäß anlegen zu können.

Beispielsweise wird ein Konto mit Namen "Peter", das sich in der Domäne "Meistertrainer.info" befindet, in Microsoft 365 Azure Active Directory später als "Peter@Meistertrainer.info" geführt. Sollten Sie jedoch die lokale Domäne mit einem nicht routingfähigen Domänensuffix führen, wird jedes Benutzerkonto mit einer onmicrosoft.com Domäne synchronisiert.

In unserem Beispiel wäre das der Benutzer "Peter", der sich in der Domäne "Meistertrainer.local" befindet.

Er würde später in Microsoft 365 Azure Active...