Synchronisierung von Verzeichnissen mit bewährten Sicherheitsverfahren
Mit Azure AD Connect ist die Synchronisierung von Verzeichnisdaten von Active Directory vor Ort mit Azure AD sowohl einfach als auch effizient. Aber ist es möglich, zu viel des Guten zu haben?
Bewährte Sicherheitspraktiken beschränken die gemeinsame Nutzung auf eine strikte Need-to-know-Basis. Azure AD Connect synchronisiert jedoch standardmäßig 151 Attribute. Sie haben richtig gelesen: 151 Attribute.
Wenn Sie also die "Express Settings"-Installation von Azure AD Connect durchführen, enthält Azure AD insgesamt 151 Attribute (ohne Attribute, die null oder nicht vorhanden sind) für jedes Objekt, das von Ihrem lokalen Active Directory mit Azure AD synchronisiert wird.
Und je nachdem, wo Ihr Azure AD gehostet wird (z.B. außerhalb der USA), können einige dieser Attribute - einschließlich fünf benutzerbezogener Attribute - weiter in Rechenzentren in den USA repliziert werden.
Es ist wichtig zu wissen, dass die aktuelle Version von Azure AD Connect ziemlich unversöhnlich ist: Sobald ein Attribut synchronisiert wurde, können Sie die Aktualisierungen abschalten, aber das Attribut bleibt (in einem veralteten Zustand) in Azure AD. Daher ist es extrem wichtig, Azure AD Connect gleich beim ersten Mal richtig zu machen.
Begrenzen Sie Ihr Risiko
Standardeinstellungen und Expresskonfigurationen können die besten Freunde eines vielbeschäftigten IT-Administrators sein, und ich empfehle sie oft. Schließlich entsprechen diese Einstellungen und Konfigurationen in der Regel den Empfehlungen und bewährten Verfahren des Herstellers.
Für viele (oder sogar die meisten) Unternehmen ist die Standard-Synchronisierungsstufe in Azure AD Connect jedoch weder aus betrieblicher Sicht notwendig noch aus Sicherheitsgründen wünschenswert.
Denken Sie daran, dass Azure AD nicht nur eine Erweiterung Ihres lokalen Active Directory ist - Azure AD ist vielmehr ein eigener Identitätsspeicher mit einer eigenen Reihe von Schwachstellen. Und wenn es darum geht, sensible Daten in der Cloud zu speichern, ist weniger das Beste.
Daher sollten Sie in Erwägung ziehen, Ihre Installation von Azure AD Connect mit den integrierten und einfach zu bedienenden Funktionen zum Filtern von Anwendungen und Attributen anzupassen.
Kontrolle übernehmen
Die Filterung von Anwendungen und Attributen - zusammen mit der Filterung von Domänen und OUs - gibt Ihnen eine erhebliche Kontrolle darüber, was von Ihrem lokalen Active Directory mit Azure AD synchronisiert wird. Während Synchronisierungsregeln zusätzliche Möglichkeiten bieten, ist die Filterung in den meisten Fällen ausreichend und in jedem Fall der beste Startpunkt.
Und um Ihnen den Einstieg zu erleichtern, hat Semperis ein White Paper veröffentlicht, das Sie hier herunterladen können.
Ich empfehle Ihnen dringend, das Whitepaper herunterzuladen: Unnötige Datensynchronisationen untergraben die Sicherheit und lassen sich nur schwer rückgängig machen. Das Whitepaper enthält weitere Erklärungen, zusätzliche Einschränkungen und wertvolle Tipps zur Verwendung.
Ein Gleichgewicht finden
Während die Synchronisierung von 151 Attributen "für den Fall der Fälle" übertrieben sein kann, kann die Synchronisierung von nur den erforderlichen Attributen unnötig geizig sein und zu betrieblichen Problemen führen. Wie bei vielen Dingen im Leben ist es wichtig, ein Gleichgewicht zu finden. Da es einfacher ist, Attribute zur Synchronisierung hinzuzufügen als sie zu entfernen, empfehle ich Ihnen, konservativ mit einer begrenzten Anzahl von Attributen zu beginnen, diese aktiv zu überwachen und bei Bedarf Attribute hinzuzufügen.
