Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.

Aan de slag met Azure Active Directory

Zoals beschreven in mijn eerdere blog over het zo veilig mogelijk houden van je gegevens met Enterprise Mobility + Security (EMS) bestaat EMS uit verschillende onderdelen. In deze blog ga ik dieper in op het onderdeel Azure Active Directory.

Om een goed beeld te krijgen van de mogelijkheden van Azure Active Directory wordt eerst de ‘oudere’ variant van Microsoft belicht, namelijk de Active Directory.

Historie

Active Directory is tegenwoordig een standaard onderdeel van een Microsoft-netwerk. Active Directory werd geïntroduceerd met Windows Server 2000, om het beheer van onder andere gebruikers eenvoudiger te maken. Hiervoor werden er allemaal kleine NT Domain-netwerken gemaakt en door middel van een trust (vertrouwensband) met elkaar verbonden. Het gevolg van deze situatie is dat er op meerdere plekken gebruikers beheerd worden. Met Active Directory kan dit allemaal vanuit één database. Op meerder servers kan deze database draaien, zodat er gelijk een failover en een load balancing omgeving wordt gecreëerd.

Active Directory

Active Directory kan worden gezien als een soort telefoonboek. Active Directory bevat gegevens over de organisatie, vestigingen, systemen, gebruikers en andere netwerkonderdelen. Al deze onderdelen zijn anders van aard en hebben hierdoor andere attributen.

Deze onderdelen worden in een Active Directory objecten genoemd. De objecten bevatten vervolgens attributen, die een omschrijving geven van het object.

Bijvoorbeeld een gebruiker, een object dus, heeft als attribuut ‘volledige naam’ of ‘gebruikersnaam’. Alle objecten kunnen vervolgens worden opgeslagen in een container, ook wel organizational unit genoemd. Een container is eigenlijk een folder. Deze folders worden gebruikt om een hiërarchie te creëren binnen de Active Directory.

De Active Directory wordt beheerd vanuit een Microsoft Management Console (MMC).

Alle medewerkers binnen een bedrijf die toegang moeten hebben tot het netwerk worden opgevoerd in de Active Directory als een gebruiker. Hierna kan de medewerker inloggen op zijn werkplek. Voor het aanmaken van een gebruiker zijn de volgende attributen belangrijk:

  • E-mailadres
  • Gebruikersnaam
  • User Principale Name(UPN)
  • SID

De vier attributen maken een gebruikersaccount binnen de Active Directory uniek. Het e-mailadres en UPN zijn in de moderne Active Directories gelijk. En de SID is een unieke Globally Unique Identifier (GUID) die automatisch wordt gegenereerd.

Azure Active Directory

Azure Active Directory (Azure AD) is eigenlijk hetzelfde als de ‘ouderwetse’ Active Directory. Echter is deze vele malen groter en is de Azure AD gekoppeld aan alle onderdelen van het Microsoft Cloud netwerk. De Azure AD wordt onder andere gehost over maar liefst 28 datacenters van Microsoft en heeft een automatische failover functionaliteit.

Azure Active Directory

Elke tenant in Office 365 of een abonnement op een Azure-service hebben een eigen stukje binnen de Active Directory.

Azure AD is er in vier verschillende versies:

  • Azure Active Directory Free
    • Binnen deze versie van Azure AD krijg je de basis functionaliteit. Hiermee kan je gebruikers aanmaken en groepen. Alleen kunnen de groepen bij dit abonnement niet gebruikt worden voor toegang tot applicaties. Dit is ook de enige versie waarbij een limiet is ingesteld voor een aantal van 500.000 objecten. De gratis versie van Azure AD is onderdeel van een elk Office 365 abonnement.
  • Azure Active Directory Basic
    • Hetzelfde als de gratis versie, alleen heeft deze versie geen limiet voor het beheren van objecten. Vanaf deze versie biedt Microsoft een SLA van 99,9%. Tevens kan de inlogpagina worden voorzien van eigen huisstijl en zijn cloud-gebruikers in staat om hun wachtwoord te wijzigen.
  • Azure Active Directory Premium P1
    • Natuurlijk weer alle functionaliteiten zoals bij de vorige twee versies. Daarbij komt dat on-premises gebruikers ook hun wachtwoord via de cloud kunnen wijzigen en dat Azure Multi-Factor Authentication (MFA) onderdeel is van dit abonnement. Met deze versie is het ook mogelijk om apparaten te registeren in zowel het on-premises netwerk als binnen Azure AD.
  • Azure Active Directory Premium P2
    • Als extra bij deze versie van Azure AD zijn Privileged Identity Management en Identity Protection. Privileged Identity Management is een monitoring tool om te kijken welke gebruikers waar rechten hebben en maakt het mogelijk om een alert of approval te maken wanneer gebruikers admin-rechten binnen Azure krijgen.
      Identity Protection maakt het, door middel van machine learning, mogelijk om het gedrag van gebruikers te analyseren. Wanneer dit afwijkt is er een beveiligingsrisico en kunnen er alerts worden gegenereerd of andere acties worden ondernomen.

Een compleet overzicht van de verschillende versies van Azure AD kan je vinden op https://www.microsoft.com/nl-nl/cloud-platform/azure-active-directory-features

Azure AD Connect

Azure AD Connect is een synchronisatie-tool die gebruikers en groepen uit het on-premises Active Directory synchroniseert naar Azure AD. De synchronisatie is echter maar één kant op: er worden geen identities vanuit Azure naar on-premises gesynchroniseerd. Hierdoor blijft het beheer van deze objecten ook altijd on-premises plaatsvinden.

De Azure AD Connect software synchroniseert dus gebruikers en groepen. Dit wordt gedaan op basis van een zogeheten soft match, wat inhoudt dat er wordt gecontroleerd of er al een gebruiker aanwezig is binnen Azure AD op basis van de UPN. Als dit het geval is zal deze worden bijgewerkt met de gegevens van het on-premises netwerk. Kan er echter geen match gemaakt worden, dan wordt er een ‘nieuw’ object aangemaakt.