Grundlegendes zu Microsoft Identity and Access Management: Alles, was Sie wissen müssen

Veröffentlicht: 2019-11-14

Wussten Sie, dass allein im Jahr 2018 445 Millionen US-Dollar an Cyberkriminelle verloren gegangen sind?

Laut dem Verizon Data Breach Investigations Report 2019 waren 80 % der Hacking-Angriffe mit kompromittierten oder schwachen Anmeldeinformationen verbunden. Insgesamt waren 29 % aller Sicherheitsverletzungen auf gestohlene Zugangsdaten zurückzuführen.

Identity- und Access-Management-Lösungen waren noch nie so wichtig für Unternehmen. Aber die meisten Unternehmen haben keine Ahnung, wo sie anfangen sollen. Wir haben diesen Artikel erstellt, um Ihnen einen Ausgangspunkt zu geben und mehr über Microsoft Identity and Access Management-Lösungen zu erläutern.

Was leisten IAM-Dienste?

Ihre Mitarbeiter sind Ihr größtes Sicherheitsrisiko. Wenn sie ihre Passwörter nachlässig aufbewahren oder schwache Passwörter verwenden, können Sie genauso gut eine Benachrichtigung mit der Aufschrift „Hack me“ senden. Die Zugriffsverwaltung ist einfach, wenn Sie ein kleines Unternehmen mit wenigen Mitarbeitern führen. Je mehr Mitarbeiter Sie haben, desto schwieriger wird die Verwaltung. Hier kommen IAM-Services ins Spiel.

Mitarbeiterzugriff verwalten

Sie ermöglichen es Ihnen, den Mitarbeiterzugriff auf Ihre Systeme effizienter zu verwalten. Sie bieten alternative, sicherere Zugangsmöglichkeiten. Das Azure Active Directory von Microsoft bietet Ihnen beispielsweise einen einzigen Anmeldepunkt, gekoppelt mit einem Multi-Faktor-Autorisierungssystem.

Anstatt also nur Ihren Benutzernamen und Ihr Passwort einzugeben, haben Sie ein paar verschiedene Authentifizierungsschritte. Möglicherweise müssen Sie beispielsweise einen Authentifizierungscode eingeben, der an Ihr Telefon gesendet wird. Oder, wenn Sie noch mehr Sicherheit benötigen, könnte eine biometrische Identifizierung ins Spiel gebracht werden.

Mit IAM-Systemen sehen Sie auf einen Blick, auf welche Systeme ein Mitarbeiter zugreifen kann. Sie können ihren Zugriff auf nur die Systeme anpassen, die für ihre Funktion von entscheidender Bedeutung sind. Sie können das System auch so programmieren, dass Passwörter nach einem festgelegten Intervall automatisch zurückgesetzt werden.

Verbessern Sie die Customer Journey

Diese Systeme können die Client Journey verbessern, indem sie den Anmeldeprozess einfacher und sicherer machen.

Verwalten Sie den Zugriff für externe Auftragnehmer

Wenn Sie mit Freiberuflern zusammenarbeiten müssen, können Sie mit diesen Systemen die Benutzerprofile schnell und einfach einrichten. Sie können eingeschränkte Benutzerrechte nur den Systemen zuweisen, auf die sie zugreifen müssen.

Sie können ihnen beispielsweise Zugriff auf nur eine Firmen-E-Mail-Adresse oder einfachen Zugriff auf Ihre Datenbank gewähren. Sie können auch ein Enddatum für den Vertrag programmieren, um sicherzustellen, dass der Zugriff automatisch gekündigt wird.

Produktivität verbessern

Sie können auch zur Verbesserung der Produktivität beitragen, da sie es Mitarbeitern ermöglichen, sicher von verschiedenen Geräten aus zu arbeiten. Viele dieser Dienste sind Cloud-basiert, also nicht geräteabhängig. Mit anderen Worten, Sie müssen sie nicht auf das Gerät selbst herunterladen.

Indem Sie den Zugriff Ihrer Mitarbeiter auf Ihre Systeme beschränken, können Sie Überlastungen in diesen Systemen besser bewältigen. Dies wiederum verbessert die Produktivität.

Compliance unterstützen

Da die Datenschutzgesetze strenger werden, stehen Unternehmen unter größerem Druck, Kundendaten zu schützen. IAM-Systeme können dabei helfen.

Ermöglichen Sie dem IT-Personal, sich auf wichtigere Aufgaben zu konzentrieren

Schließlich ermöglichen diese Systeme die Automatisierung wesentlicher Sicherheitsaufgaben. Dadurch haben Ihre IT-Mitarbeiter Zeit für wichtigere Dinge. Es reduziert auch das Potenzial für menschliche Fehler.

Wie passt Microsoft hinein?

Die Azure-Reihe von Microsoft bietet eine Reihe robuster Tools, die Ihnen das Sicherheitsniveau bieten, das Sie benötigen. Sie haben sich auch mit mehreren Drittanbietern zusammengetan, um den Schutz weiter zu verbessern. Wenn Microsoft also nicht über die Technologie verfügt, um beispielsweise Gesichtserkennungssoftware anzubieten, werden sie mit einem Unternehmen zusammenarbeiten, das dies tut.

Azure Privileged Identity Management

Dieses Produkt bietet genehmigungsbasierte und zeitbasierte Aktivierungen, um den Missbrauch von Ressourcen und unbefugten Zugriff zu verhindern.

Zu den Funktionen gehören:

  • Privilegierter Just-in-Time-Zugriff : Mit dieser Funktion können Sie eingehenden Datenverkehr zu Ihrem virtuellen Azure-Computer blockieren. Dies schützt Sie effektiv vor Angriffen, indem es Ihre Exposition reduziert. Wenn das System nicht verwendet wird, ist es gesperrt.
  • Zeitgebundene Zugriffsrechte : Sagen Sie zum Beispiel, dass Sie jemanden vorübergehend beschäftigen. Geben Sie die Daten ein, an denen der Vertrag beginnt und endet. Das System sperrt den Zugang zum Kündigungsdatum automatisch.
  • Kontrollieren Sie, wer die Kontrolle hat : Das System erfordert die Erstellung und anschließende Aktivierung von Benutzerprofilen. Die Aktivierung von Sonderrechten kann nur mit Zustimmung des Systemadministrators erreicht werden. Sie können, wenn Sie es vorziehen, hier dem Maker/Checker-Modell zu folgen. IT-Experte 1 erstellt die Profile und leitet diese dann zur Genehmigung der Aktivierung weiter.
  • Verwenden Sie Multi-Faktor-Authentifizierung für Benutzeraktivierungen : Der Schutz erstreckt sich über Ihre Mitarbeiter hinaus. Sie können die Zwei-Faktor-Authentifizierung auch für Benutzer aktivieren, die sich für Ihre Website anmelden. Wenn sie beispielsweise ein Profil erstellen, müssen sie die E-Mail-Adresse verifizieren, um es zu aktivieren.
  • Benachrichtigung, wenn eine privilegierte Rolle aktiv wird : Dies ist eine andere Form der Authentifizierung. Wenn sich jemand beim System anmeldet oder um Erlaubnis dazu bittet, wird eine Benachrichtigung gesendet.
  • Überprüfung des Zugangs : Haben die Mitarbeiter die Rolle gewechselt? Benötigen sie immer noch so viel Zugriff wie zuvor? Microsoft Identity Access Management macht es einfach, Rollen zu überprüfen und den Zugriff nach Bedarf zu ändern.
  • Vollständiger Audit-Verlauf : Dies ist nützlich, wenn Sie auditiert werden. Dadurch werden Aktivierungsdaten, Datenänderungsdaten usw. nachgewiesen. Dies kann wichtig werden, wenn Ihr Unternehmen mit datenschutzrechtlichen Anklagen konfrontiert wird. Es erleichtert auch die Durchführung interner Audits erheblich.

Wer darf was?

Das System weist denjenigen, die es verwalten, unterschiedliche Berechtigungen zu. So funktioniert das.

  • Sicherheitsadministrator

Dem ersten hier registrierten Benutzer werden die Rollen Privilegierter Administrator und Sicherheitsadministrator zugewiesen.

  • Privilegierte Administratoren

Dies sind die einzigen Administratoren, die Rollen für andere Administratoren zuweisen können. Sie können auch anderen Administratoren Zugriff auf Azure AD gewähren. Personen in den folgenden Rollen können die Zuweisungen anzeigen, aber nicht ändern. Zu diesen Personen gehören Sicherheitsadministratoren, globale Administratoren, Sicherheitsleser und globale Leser.

  • Abonnement-Admin

Personen in diesen Rollen können die Zuweisungen für die anderen Administratoren verwalten. Sie können Aufträge ändern und beenden. Andere Rollen, denen dies gestattet ist, sind Benutzerzugriffsadministratoren und Ressourcenbesitzer.

Es ist zu beachten, dass Personen in den folgenden Rollen die Berechtigung zum Anzeigen von Zuweisungen zugewiesen werden muss: Sicherheitsadministratoren, Administratoren für privilegierte Rollen und Sicherheitsleser.

Terminologie, die Sie kennen müssen

Die in Microsoft Privileged Identity Management verwendete Terminologie kann für Uneingeweihte verwirrend sein. Hier ist eine Aufschlüsselung der grundlegenden Terminologie.

  • Berechtigt

Bei dieser Zuweisung müssen Benutzer eine oder mehrere bestimmte Aktionen ausführen, um ihre Rolle zu aktivieren. Der Unterschied zwischen dieser Rolle und einer permanenten Rolle besteht darin, dass nicht jeder jederzeit Zugriff benötigt. Der Benutzer kann die Rolle aktivieren, wenn er Zugriff benötigt.

  • Aktiv

Dies sind die Rollenzuweisungen, die standardmäßig vom System zugewiesen werden. Sie müssen nicht aktiviert werden. Beispielsweise können Systemadministratoren Zuweisungen für andere Administratoren erstellen.

  • aktivieren Sie

Dies sind die Maßnahmen, die Personen ergreifen müssen, um nachzuweisen, dass sie zur Nutzung des Systems berechtigt sind. Die Eingabe eines Benutzernamens und Passworts ist ein Beispiel dafür. Hier können viele verschiedene Authentifizierungsmethoden verwendet werden.

  • Zugewiesen

Das bedeutet, dass dem Benutzer bestimmte Privilegien innerhalb des Systems gewährt wurden.

  • Aktiviert

Dies ist ein Benutzer, der das System verwenden kann, seine Rolle aktiviert und es derzeit verwendet. Das System fordert den Benutzer auf, seine Zugangsdaten nach einem festgelegten Zeitraum der Inaktivität erneut einzugeben. Ein Beispiel ist das Internet-Banking, bei dem Sie nach zehn Minuten Inaktivität abgemeldet werden.

  • Dauerhaft wählbar

Dies ist eine Zuweisung, die es dem Benutzer ermöglicht, seine Rolle zu aktivieren, wann immer er möchte. Sie müssen bestimmte Aktionen ausführen, um auf Rollen zuzugreifen. Angenommen, ein Mitarbeiter erfasst eine zu leistende Zahlung. Möglicherweise müssen sie einen zufällig zugewiesenen Code eingeben, um die Transaktion zu bestätigen.

  • Dauerhaft aktiv

Diese Zuweisung ermöglicht es dem Benutzer, eine Rolle ohne Aktivierung zu verwenden. Dies sind Rollen, die der Benutzer ohne weitere Aktionen übernehmen kann.

  • Berechtigt ablaufen

Dies ist eine zeitbasierte Rolle. Hier müssen Sie Start- und Enddaten zuweisen. Dies ist für Freiberufler möglich. Es kann auch verwendet werden, um Mitarbeiter zu zwingen, ihre Passwörter regelmäßig zu aktualisieren.

Die Zugriffsverwaltung, insbesondere in einem mittleren bis großen Unternehmen, kann eine herausfordernde Aufgabe sein. Mit der Leistungsfähigkeit der Azure-Suite von Microsoft wird dies jedoch viel einfacher. IAM-Services fügen eine zusätzliche Sicherheitsebene zum Schutz vor Verstößen hinzu, die auf interne Zugriffe und Kompromittierungen zurückzuführen sind.

***

Chris Usatenko

Chris Usatenko ist ein Computerfreak, Autor und Ersteller von Inhalten. Er interessiert sich für alle Aspekte der IT-Branche. Als Freiberufler von Natur aus ist er bereit, Erfahrungen und Wissen aus der ganzen Welt zu sammeln und in seinem Leben umzusetzen.