N E T Z W E R K E F Ü R D A S 3. J A H R T A U S E N D I P A D D R E S S M A N A G E M E N T P R I V I L E G E M A N A G E M E N T A C T I V E D I R E C T O R Y M A N A G E M E N T
Ulf B. Simon-Weidner Microsoft Most Valuable Professional Reconnect Windows Server Directory Services Enterprise Mobilty & Security Suite
U LF B. S I M O N- W EIDNER 14x Microsoft Most Valuable Professional (2004 2018) MVP Reconnect Microsoft Certified Trainer (1999 2014), MCITP, MCSA Computacenter: Trainee Principal Consultant Solution Manager Cloud Integration & Moderne Infrastrukturdienste (1998 heute) Fachautor: IT-Administrator, Microsoft Press, Microsoft Official Courseware Fachkonferenzen: Global Azure Bootcamp 2016, Microsoft TechEd EU und USA, CIM Lingen, Windows Server 2012 Launch Road-Show, Windows Server 2008 Launch, Directory Experts Conference, The Experts Conference, Systems, CeBit,..
F R AGE September November 2018
F R AGE September November 2018
M U LTI G EO Microsoft
2017 Ulf B. Simon-Weidner Microsoft Cloud Deutsche Datentreuhand
N EU: M I CRO SOFT 365 September November 2018
A Z U R E A C TIVE D I R EC TO RY P R EMIUM Source: Microsoft
A Z U R E A D U N D C LO U D - E I N FÜHRUNG W i e b e k o m m e i c h U S E R a c c o u n t s i n d i e C l o u d
V ERBINDUNG VO N A Z U R E A D U N D A D O N- P R EM DirSync Azure AD Sync AAD Connect Sync Engine AAD Connect Sync Engine FIM + AD Connector ADFS ADFS ADFS PTA
KA M PF DER G I G A N T EN September November 2018
A D FS VS. PTA Szenario Automatisches Synchronisieren neuer Benutzer-, Kontakt- und Gruppenkonten, die in meiner lokalen Active Directory-Instanz erstellt werden, mit der Cloud X X X Einrichten meines Mandanten für Office 365-Hybridszenarien X X X Ermöglichen der Anmeldung und des Zugriffs auf Clouddienste für meine Benutzer mit ihrem lokalen Kennwort X X X Implementieren des einmaligen Anmeldens mit Anmeldeinformationen des Unternehmens X X X Sicherstellen, dass keine Kennworthashes in der Cloud gespeichert werden X X Aktivieren der lokalen Multi-Factor Authentication-Lösungen Unterstützung von Smartcard-Authentifizierung für meine Benutzer 4 Anzeigen von Benachrichtigungen zum Kennwortablauf im Office-Portal und auf dem Windows 10-Desktop PWS und SSO PTA und SSO AD FS X X X September November 2018
A Z U R E A D U N D C LO U D U n t e r s c h i e d e z w i s c h e n A z u r e A D B a s i c, P r e m i u m P 1, P 2, Azure Active Directory Free Azure Active Directory Basic Azure Active Directory Premium P1 Azure Active Directory Premium P2 Nur Office 365- Apps Common Features Verzeichnis-objekte Begrenzung auf 500.000 Objekte Keine Begrenzung für Objekte Keine Begrenzung für Objekte Keine Begrenzung für Objekte Keine Objektbegrenzung für Office 365- Benutzerkonten Benutzer- /Gruppenverwaltung (Hinzufügen/Aktualisie ren/löschen), benutzerbasierte Bereitstellung, Geräteregistrierung, Kennwortänderung, Synchronisierungstool s für Verzeichnisintegration lokal und in der Cloud (Azure AD Connect) Ja Ja Ja Ja Ja Single Sign-On (SSO) 10 Apps pro Benutzer2 (vorab integrierte SaaS- und von Entwicklern integrierte Apps) 10 Apps pro Benutzer2 (Ebene Free + Anwendungsproxy- Apps) Keine Begrenzung (Ebenen Free und Basic + Self-Service- App- Integrationsvorlagen4) Keine Begrenzung (Ebenen Free und Basic + Self-Service- App- Integrationsvorlagen4) 10 Apps pro Benutzer2 (vorab integrierte SaaS- und von Entwicklern integrierte Apps) Sicherheits- /Nutzungsberichte Grundlegende Berichte Grundlegende Berichte Erweiterte Berichte Erweiterte Berichte Grundlegende Berichte
A Z U R E A D U N D C LO U D U n t e r s c h i e d e z w i s c h e n A z u r e A D B a s i c, P r e m i u m P 1, P 2, Premium- und Basic- Features Gruppenbasierte Zugriffsverwaltung/- bereitstellung Azure Active Directory Free Azure Active Directory Basic Azure Active Directory Premium P1 Ja Ja Ja Azure Active Directory Premium P2 Nur Office 365- Apps für Cloudbenutzer Self- Service- Kennwortrücksetzung Branding von Unternehmen (Anpassung von Anmeldeseiten/Zugriffs bereichen) Ja Ja Ja Ja Ja Ja Ja Ja Anwendungsproxy Ja Ja Ja SLA 99,9 % Ja Ja Ja Ja Premium-Features Self-Service-Gruppenund App- Verwaltung/Hinzugefügt e Self-Service- Anwendung/Dynamisch e Gruppen Ja Ja Self-Service- Kennwortrücksetzung/- änderung/-freischaltung mit Zurückschreiben in lokalen Verzeichnissen Ja Ja
A Z U R E A D U N D C LO U D U n t e r s c h i e d e z w i s c h e n A z u r e A D B a s i c, P r e m i u m P 1, P 2, Premium-Features Mehrstufige Authentifizierung (Cloud und lokal (MFA-Server)) Azure Active Directory Free Azure Active Directory Basic Azure Active Directory Premium P1 Ja Azure Active Directory Premium P2 Ja Nur Office 365- Apps Eingeschränkte Cloud nur für Office 365-Apps MIM-CAL + MIM-Server Ja Ja Cloud App Discovery Ja Ja Connect Health Ja Ja Bedingter Zugriff auf Grundlage von Gruppe und Standort Geschützter Zugriff auf Grundlage des Gerätestatus (Zugriff von verwalteten Geräten erlauben) Identitätsschutz Ja Ja Ja Ja Ja Privileged Identity Management Ja
A Z U R E A D U N D C LO U D U n t e r s c h i e d e z w i s c h e n A z u r e A D B a s i c, P r e m i u m P 1, P 2, Azure Active Directory Free Azure Active Directory Basic Azure Active Directory Premium P1 Azure Active Directory Premium P2 Nur Office 365- Apps Mit Windows 10 + Azure AD Join in Verbindung stehende Features Mit Windows 10 + Azure AD Join in Verbindung stehende Features Verbinden Sie ein Windows 10-Gerät mit Azure AD, Desktop SSO, Microsoft Passport für Azure AD, Administrator BitLocker- Wiederherstellung Automatische MDM- Registrierung, Self- Service BitLocker- Wiederherstellung, zusätzliche lokale Administratoren für Windows 10-Geräte über Azure AD Join, Enterprise State Roaming Ja Ja Ja Ja Ja Ja Ja
S I G N O N - O PTIONEN Password Sync Pass-through Authentication (PTA) Federation (ADFS) Passwort Hashes werden synchronisiert, User melden sich in der Cloud mit den gleichen Credentials an Die Passwörter werden nicht synchronisiert, sondern von den On-Premises DCs verifiziert User werden über eine Federation Infrastruktur (ADFS) authentifiziert Nicht Konfigurieren Die Authentifizierung ist bereits eingerichtet Enable Single Sign on Single Sign On für diverse Browser (EDGE, IE, Chrome, Firefox, Safari) - Computer müssen oder werden Azure-AD-joined sein (auch <Win10) - Intranet-Zone muss nach bestimmten Azure-URLs erweitert werden - Nutzt Kerberos für die Cloud September / Oktober 2017
A C TIVE D I R EC TO RY F EDERAT I O N S ERV I C ES V e r e i n f a c h t September / Oktober 2017
PA SS-TH RO U G H A U THENTICAT I O N F u n k t i o n s w e i s e d e r P a s s - t h r o u g h A u t h e n t i f i z i e r u n g m i t A A D
PA SSWO R D H A SH S YNCHRO N I SAT I O N
F R AGE September November 2018
G RO U P B A SED L I CENSING
C LO U D- BA SIERTE LI STE G ESPERRTER PA SSWÖ RTER A z u r e A D - K e n n w o r t s c h u t z / B e n u t z e r d e f i n i e r t e L i s t e g e s p e r r t e r K e n n w ö r t e r Zwei Feature: Azure AD Kennwortschutz Benutzerdefinierte Liste gesperrter Kennwörter Zu Beachten: Vor was wird geschützt? WS2012+ RPC Anforderungen an den AAD PP Proxy Domänen / Forests September November 2018
A Z U R E A D PA SSWO RTSCHUTZ A n f o r d e r u n g e n v s. L i z e n z e n - D e t a i l Kennwortschutz für Azure AD mit globaler Liste gesperrter Kennwörter Kennwortschutz für Azure AD mit benutzerdefinierter Liste gesperrter Kennwörter Reine Cloudbenutzer Azure AD Free Azure AD Basic Über die lokale Windows Server Active Directory-Instanz synchronisierte Benutzer Azure AD Premium P1 oder P2 Azure AD Premium P1 oder P2 September November 2018
September November 2018
SM A RT L O CKO U T FÜR A Z U R E AD Schützt vor Brute-Force und Guessing-Attacken Denial of Service? Immer aktiv, weitere Konfig ab AAD Basic Sowohl bei Synchronisierten Accounts wie auch Pass-Through Authentifizierung PTA: Schwellenwert in der Cloud kleiner wie On-Premises einrichten PTA: Lockout-Time größer wie On-Premises einrichten September November 2018
S ELF S ERVICE PA SSWO R D R ESET M i t A z u r e A c t i v e D i r e c t o r y Ermöglicht Anwendern, ihre Passwörter in Azure AD selber zurück zu setzen Wer darf es nutzen? Erfordert 1-2 Abfragen der folgenden Authentifizierungsmethoden: E-Mail Mobiltelefon Geschäftstelefon / Festnetz Sichere Frage Anpassung Registrierungsparameter Benachrichtungen
S ELF S ERVICE PA SSWO R D R ESET M i t A z u r e A c t i v e D i r e c t o r y Mit Password Writeback auch für On-Premises Konfigurationsoption in AAD Connect Auch bei Office 365 ProPlus Lizensierung über AAD, auch wenn keine weiteren Cloud-Dienste genutzt werden
W I N DOWS H ELLO FO R B U SINESS Zwei-Faktor Authentifizierung Etwas, was Du besitzt Etwas, was Du weißt Etwas, das Teil von Dir ist Klassische Authentifizierung Windows Hello for Business Windows Hello vs. Windows Hello for Business Keys vs. Zertifikate Cloud-only, Hybrid und On-Premises Deployments September November 2018
W I N DOWS H ELLO FO R B U SINESS A n f o r d e r u n g e n Geht ab Windows 10 1511, aber je nach Deployment-Szenario erst 1703 Clients müssen AAD-joined sein. Hybrid oder cloud-only Azure, sonst ADFS Schema: Windows Server 2016 + DFL/FFL: Windows Server 2008 R2 + (PKI CA: Windows Server 2012 +) ADFS GPO oder Modern Management Key: Windows Server 2016 DCs // Cert: Windows Server 2008 R2 September November 2018
WAS B I ETEN A Z U R E A D A PPS
S ECURITY Z u g r i f f s s c h u t z d u r c h M u l t i - F a k t o r - A u t h e n t i f i z i e r u n g Zwei-Wege-Authentifizierung Login am PC Zusätzliche Authentifizierung via: Telefon SMS App Empfehlung: Mindestens die mittleren - hohen Schutzstufen (Account und Service Administrator) sollten sich mit MFA anmelden müssen Zusätzliche Regeln können festgelegt werden Z.B. MFA bei Login außerhalb des Unternehmensnetzwerks (Unterwegs, Homeoffice o.ä.)
A Z U R E A D A PPS A n w e n d u n g s b e i s p i e l e Single Sign-On für Gruppen Beispiel Corporate Twitter für bestimmte Marketing-Kolleginnen/Kollegen Prozesse, um Applikationen zu erhalten Conditional Access: Steuerung über komplexe Berechtigungsstrukturen, zum Beispiel auch Geräteabhängig September / Oktober 2017
A Z U R E A D A PPS C o n d i t i o n a l A c c e s s User- und Gruppenbasiert Gerätegruppen, wie Domänenmitglieder oder Firmenkontrolliert MFA-Anforderungen Auswahl bestimmter OS-Plattformen (Windows, ios, WinPhone, Android) Evaluation von Risiken Festlegung von Netzwerken September / Oktober 2017
S CHUTZ VO N O N-PR EMISES I DENTITÄT E N W i c h t i g e r d e n J e! On-Premises Cloud Administration Domain Controllers Management System Domain Controllers! Serve rs Management System! Servers Internet Workstations Management System Workstations
FA Z I T September November 2018
Ulf B. Simon-Weidner Microsoft Most Valuable Professional Reconnect Windows Server Directory Services Enterprise Mobilty & Security Suite www.msmvps.com/ulfbsimon-weidner @dsgeek