Definieren der Datenschutzstrategie für Ihre Hybrididentitätslösung

In dieser Aufgabe definieren Sie die Datenschutzstrategie für Ihre Hybrididentitätslösung, um die geschäftlichen Anforderungen zu erfüllen, die Sie hier definiert haben:

Definieren von Datenschutzoptionen

Wie unter Bestimmen von Anforderungen an die Verzeichnissynchronisierung erläutert, können Sie Microsoft Azure AD mit Ihrer lokalen Instanz von Active Directory Domain Services (AD DS) synchronisieren. Diese Integration ermöglicht Unternehmen die Nutzung von Azure AD, um die Anmeldeinformationen von Benutzern zu überprüfen, wenn diese versuchen, auf Unternehmensressourcen zuzugreifen. Dies ist für beide Szenarien möglich: lokale und in der Cloud befindliche ruhende Daten. Zugriff auf Daten in Azure AD erfordert die Benutzerauthentifizierung über einen Sicherheitstokendienst (Security Token Service, STS).

Nach der Authentifizierung wird der Benutzerprinzipalname (User Principal Name, UPN) aus dem Authentifizierungstoken ausgelesen. Anschließend werden vom Autorisierungssystem die replizierte Partition und der Container für die Domäne des Benutzers ermittelt. Informationen zu Vorhandensein, Aktivierungsstatus und Rolle des Benutzers verwendet das Autorisierungssystem dann, um festzustellen, ob für den Benutzer in dieser Sitzung der Zugriff auf den Zielmandanten autorisiert ist. Bei bestimmten autorisierten Aktionen (insbesondere Benutzererstellung und Zurücksetzen des Kennworts) wird ein Überwachungspfad erstellt, den ein Mandantenadministrator dann zum Verwalten von Maßnahmen zur Sicherstellung der Konformität oder für Untersuchungen verwendet.

Die Verschiebung von Daten aus Ihrem lokalen Datencenter in Azure Storage über eine Internetverbindung ist wegen Datenvolumen, Bandbreitenverfügbarkeit oder anderer Faktoren möglicherweise nicht immer sinnvoll. Der Import-/Exportdienst von Azure Storage bietet eine hardwarebasierte Option, um große Mengen von Daten im BLOB-Speicher abzulegen und daraus abzurufen. Sie können BitLocker-verschlüsselte Festplattenlaufwerke direkt an ein Azure-Datencenter senden, wo Cloudbediener den Inhalt auf Ihr Speicherkonto hochladen. Die Bediener können Ihre Azure-Daten auch auf Ihre Datenträger herunterladen und an Sie zurücksenden. Nur verschlüsselte Datenträger werden für diesen Prozess akzeptiert (mithilfe eines BitLocker-Schlüssels, der durch den Dienst selbst während der Einrichtung des Auftrags generiert wird) . Der BitLocker-Schlüssel wird für Azure separat bereitgestellt, es ist sozusagen eine gemeinsame Schlüsselnutzung „außer der Reihe“.

Da Datenübertragung in verschiedenen Szenarien stattfinden kann, ist es auch wichtig zu wissen, dass Microsoft Azure virtuelle Netzwerke verwendet, um den Datenverkehr eines Mandanten vom Datenverkehr der übrigen Mandanten zu isolieren. Dies erfolgt mit Maßnahmen wie Firewalls auf Host- und Gastebene, IP-Paketfilter, Portblockierung und HTTPS-Endpunkten. Allerdings wird der größte Teil der internen Azure-Kommunikation, Infrastruktur-zu-Infrastruktur und Infrastruktur-zu-Kunde (lokal) inbegriffen, auch verschlüsselt. Ein anderes wichtiges Szenario ist die interne Kommunikation von Azure-Datencentern. Microsoft verwaltet Netzwerke, um sicherzustellen, dass keine VM die IP-Adresse einer anderen abhören oder annehmen kann. TLS/SSL wird beim Zugreifen auf Azure Storage oder SQL-Datenbanken bzw. beim Verbinden mit Cloud Services verwendet. In diesem Fall ist der Kundenadministrator für den Abruf eines TLS/SSL-Zertifikats und dessen Bereitstellung in der Mandanteninfrastruktur verantwortlich. Datenverkehr zwischen virtuellen Computern in der gleichen Bereitstellung oder Mandanten in einer einzelnen Bereitstellung über Microsoft Azure Virtual Network kann durch verschlüsselte Kommunikationsprotokolle wie z. B. HTTPS, SSL/TLS oder andere geschützt werden.

Je nachdem, wie Sie die Fragen unter Bestimmen der Datenschutzanforderungen beantwortet haben, sollten Sie bestimmen können, wie Ihre Daten geschützt werden sollen und wie die Hybrididentitätslösung Ihnen bei diesem Prozess behilflich sein kann. Die folgende Tabelle enthält die von Azure unterstützten Optionen, die für jedes Datenschutzszenario verfügbar sind.

Datenschutzoptionen In der Cloud gespeichert Lokal gespeichert Während der Übertragung
BitLocker-Laufwerkverschlüsselung X X
SQL Server zum Verschlüsseln von Datenbanken X X
VM-zu-VM-Verschlüsselung X
SSL/TLS X
VPN X

Hinweis

Lesen Sie Compliance nach Produkt unter Microsoft Azure Trust Center, um mehr über die Zertifizierungen zu erfahren, mit denen jeder Azure-Dienst kompatibel ist. Da die Optionen zum Schutz von Daten einem mehrstufigen Ansatz unterliegen, ist ein Vergleich dieser Optionen für diese Aufgabe nicht machbar. Stellen Sie sicher, dass Sie alle verfügbaren Optionen für den jeweiligen Zustand der Daten nutzen.

Definieren von Content Management-Optionen

Ein Vorteil der Verwendung von Azure AD zum Verwalten einer Hybrididentitätsinfrastruktur ist, dass der Prozess aus der Perspektive des Endbenutzers vollständig transparent ist. Der Benutzer versucht, auf eine freigegebene Ressource zuzugreifen, die Ressource erfordert eine Authentifizierung, und der Benutzer muss eine Authentifizierungsanfrage an Azure AD senden, um das Token abzurufen und auf die Ressource zuzugreifen. Dieser gesamte Prozess findet im Hintergrund ohne Benutzereingriff statt.

Organisationen, die um den Datenschutz besorgt sind, fordern in der Regel eine Klassifizierung von Daten für ihre Lösung. Wenn die aktuelle lokale Infrastruktur bereits die Klassifizierung von Daten unterstützt, kann Azure AD als Hauptrepository für die Identität des Benutzers genutzt werden. Ein gängiges, lokal für die Klassifizierung von Daten verwendetes Tool ist das Toolkit zur Datenklassifizierung für Windows Server 2012 R2. Dieses Tool unterstützt Sie beim Ermitteln, Klassifizieren und Schützen von Daten auf Dateiservern in Ihrer privaten Cloud. Sie können hierfür auch die Automatische Dateiklassifizierung in Windows Server 2012 einsetzen.

Wenn Ihre Organisation keine Datenklassifizierung einsetzt, aber vertrauliche Dateien schützen muss, ohne lokal neue Server hinzuzufügen, kann sie den Azure Rights Management-Dienstvon Microsoft nutzen. Azure RMS verwendet Verschlüsselungs-, Identitäts- und Autorisierungsrichtlinien, um Ihre Dateien und E-Mail zu schützen, und ist geräteübergreifend einsetzbar – auf Telefonen, Tablets und PCs. Da Azure RMS ein Clouddienst ist, erübrigt es sich, explizit Vertrauensstellungen mit anderen Organisationen zu konfigurieren, bevor Sie geschützte Inhalte freigeben können. Wenn Sie bereits ein Microsoft-365- oder Azure-AD-Verzeichnis haben, wird automatisch die Zusammenarbeit zwischen Organisationen unterstützt. Sie können auch einfach die Verzeichnisattribute, die Azure RMS benötigt, um eine gemeinsame Identität für Ihre lokalen Active Directory-Konten zu unterstützen, mithilfe der Azure Active Directory-Synchronisierungsdienste (Azure AD-Synchronisierung) oder Azure AD Connect synchronisieren.

Ein wesentlicher Bestandteil des Content Managements ist, zu verstehen, wer auf welche Ressource zugreift. Darum ist eine umfassende Protokollierungsfunktion für die Identitätsverwaltungslösung wichtig. Azure AD bietet eine 30 Tage dauernde Protokollierung, einschließlich:

  • Änderungen in der Rollenmitgliedschaft (z. B. Benutzer, die der globalen Administratorrolle hinzugefügt werden)
  • Updates von Anmeldeinformationen (z. B. Kennwortänderungen)
  • Domänenverwaltung (z. B. Überprüfen einer benutzerdefinierten Domäne, Entfernen einer Domäne)
  • Hinzufügen oder Entfernen von Anwendungen
  • Benutzerverwaltung (z. B. Hinzufügen, Entfernen, Aktualisieren eines Benutzers)
  • Hinzufügen oder Entfernen von Lizenzen

Hinweis

Lesen Sie Microsoft Azure Sicherheits- und Überwachungsprotokollverwaltung , um weitere Informationen zu Protokollierungsfunktionen in Azure zu erhalten. Je nachdem, wie Sie die Fragen in Bestimmen der Content Management-Anforderungenbeantwortet haben, sollten Sie bestimmen können, wie der Inhalt in Ihrer Hybrididentitätslösung verwaltet werden soll. Obgleich alle Optionen, die in Tabelle 6 aufgeführt werden, in Azure AD integriert werden können, ist es wichtig, zu definieren, welche für Ihre geschäftlichen Anforderungen besser geeignet sind.

Content Management-Optionen Vorteile Nachteile
Zentralisiert lokal (Active Directory Rights Management-Server) Volle Kontrolle über die Serverinfrastruktur, verantwortlich für die Klassifizierung der Daten
Integrierte Funktion in Windows Server, keine zusätzliche Lizenz bzw. kein zusätzliches Abonnement erforderlich
Kann mit Azure AD in ein Hybridszenario integriert werden
Unterstützt Information Rights Management-Funktionen (IRM) in Microsoft Online-Diensten wie Exchange Online und SharePoint Online sowie Microsoft 365
Unterstützt lokale Microsoft-Serverprodukte wie Exchange Server, SharePoint Server und Dateiserver, auf denen Windows Server und Dateiklassifizierungsinfrastruktur (File Classification Infrastructure, FCI) ausgeführt werden.
Höherer Wartungsaufwand (Erledigung von Updates, Konfigurationsvorgängen und potenziellen Upgrades), da sich der Server im Besitz der IT-Abteilung befindet
Erfordert eine lokale Serverinfrastruktur
Keine native Nutzung der Azure-Funktionen
Zentralisiert in der Cloud (Azure RMS) Einfacher zu verwalten im Vergleich zur lokalen Lösung
Kann mit AD DS in ein Hybridszenario integriert werden
Vollständig in Azure AD integriert
Benötigt zum Bereitstellen des Diensts keinen lokalen Server
Unterstützt lokale Microsoft-Serverprodukte wie Exchange Server, SharePoint Server und Dateiserver, auf denen Windows Server und Dateiklassifizierungsinfrastruktur (File Classification Infrastructure, FCI) ausgeführt werden
IT-Abteilung hat vollständige Kontrolle über Schlüssel ihrer Mandanten mit BYOK-Funktion
Ihre Organisation muss ein Cloudabonnement besitzen, das RMS unterstützt
Ihre Organisation benötigt ein Azure AD-Verzeichnis zur Unterstützung der Benutzerauthentifizierung für RMS
Hybrid (Azure RMS integriert mit lokalem Active Directory Rights Management-Server) Dieses Szenario bietet die Vorteile beider Alternativen, zentralisiert lokal und in der Cloud. Ihre Organisation muss ein Cloudabonnement besitzen, das RMS unterstützt
Ihre Organisation benötigt ein Azure AD-Verzeichnis zur Unterstützung der Benutzerauthentifizierung für RMS
Verbindung zwischen Azure-Clouddienst und lokaler Infrastruktur ist erforderlich

Definieren von Zugriffssteuerungsoptionen

Durch die optimale Nutzung der in Azure AD verfügbaren Funktionen für Authentifizierung, Autorisierung und Zugriffssteuerung ermöglichen Sie Ihrem Unternehmen die Nutzung eines Repositorys für die zentrale Identität und Benutzern und Partnern einmaliges Anmelden (Single Sign-On, SSO). Dies ist in der folgenden Abbildung dargestellt:

centralized management

Zentralisierte Verwaltung und vollständige Integration in andere Verzeichnisse

Azure Active Directory bietet einmaliges Anmelden bei Tausenden von SaaS-Anwendungen und lokalen Webanwendungen. Lesen Sie den Artikel Einmaliges Anmelden mithilfe externer Identitätsanbieter, um mehr über SSO-Drittanbieter zu erfahren, die von Microsoft getestet wurden. Diese Funktion ermöglicht Unternehmen, eine Vielzahl von B2B-Szenarien zu implementieren und gleichzeitig die Kontrolle über die Identitäts- und Zugriffsverwaltung zu behalten. Allerdings muss während des B2B-Entwurfsprozesses die Authentifizierungsmethode berücksichtigt werden, die vom Partner verwendet wird, und es muss überprüft werden, ob diese Methode von Azure unterstützt wird. Derzeit werden von Azure AD die folgenden Methoden unterstützt:

  • Security Assertion Markup Language (SAML)
  • OAuth
  • Kerberos
  • Token
  • Zertifikate

Hinweis

Lesen Sie Azure Active Directory-Authentifizierungsprotokolle , um weitere Details zu jedem Protokoll und seinen Funktionen in Azure zu erfahren.

Mit Azure AD-Unterstützung können mobile Geschäftsanwendungen die gleiche mühelose Mobile Services-Authentifizierung nutzen, um Mitarbeitern zu ermöglichen, ihre mobilen Anwendungen mit ihren Active Directory-Unternehmensanmeldeinformationen anzumelden. Mit diesem Feature wird Azure AD als Identitätsanbieter in Mobile Services parallel zu anderen Identitätsanbietern unterstützt, für die bereits Unterstützung vorhanden ist (einschließlich Microsoft-Konten, Facebook-ID, Google-ID und Twitter-ID). Wenn die lokalen Apps die Anmeldeinformationen des Benutzers verwenden, die sich im AD DS des Unternehmens befinden, sollte der Zugriff von Partnern und Benutzern aus der Cloud transparent sein. Sie können den bedingten Zugriff des Benutzers auf (cloudbasierte) Webanwendungen, Web-API, Microsoft-Clouddienste, SaaS-Drittanbieteranwendungen und systemeigene (mobile) Clientanwendungen verwalten und die Vorteile von Sicherheit, Überwachung und Berichterstattung an einem Ort nutzen. Es empfiehlt sich aber, die Implementierung in einer Nicht-Produktionsumgebung oder mit einer begrenzten Anzahl von Benutzern zu überprüfen.

Tipp

Es ist wichtig zu erwähnen, dass Azure AD nicht wie AD DS über Gruppenrichtlinien verfügt. Um Richtlinien für Geräte durchzusetzen, benötigen Sie eine Verwaltungslösung für mobile Geräte, z.B. Microsoft Intune.

Sobald der Benutzer mithilfe von Azure AD authentifiziert ist, muss seine Zugriffsebene ausgewertet werden. Die Zugriffsebene, über die der Benutzer für eine Ressource verfügt, kann variieren. In Azure AD kann eine zusätzliche Sicherheitsstufe durch Steuern des Zugriffs auf einige Ressourcen hinzugefügt werden. Bedenken Sie aber, dass die Ressource selbst auch eine eigene separate Zugriffssteuerungsliste haben kann, z.B. die Zugriffssteuerung für Dateien, die sich auf einem Dateiserver befinden. In der folgenden Abbildung sind die Ebenen der Zugriffssteuerung zusammengefasst, die für ein Hybridszenario gelten können:

access control

Jede Interaktion in dem in Abbildung X gezeigten Diagramm stellt eine Zugriffssteuerungsszenerie dar, die von Azure AD abgedeckt werden kann. Im Folgenden werden die einzelnen Szenarien beschrieben:

  1. Bedingter Zugriff auf lokal gehostete Anwendungen: Sie können registrierte Geräte mit Zugriffsrichtlinien für Anwendungen verwenden, die für die Verwendung von AD FS mit Windows Server 2012 R2 konfiguriert sind.

  2. Zugriffssteuerung auf das Azure-Portal: Mit Azure können Sie auch den Zugriff auf das Portal mithilfe der rollenbasierten Zugriffssteuerung von Azure (Azure RBAC) steuern. Diese Methode ermöglicht dem Unternehmen die Beschränkung der Anzahl von Vorgängen, die eine einzelne Person im Azure-Portal ausführen kann. Durch Einsatz von Azure RBAC zur Steuerung des Zugriffs auf das Portal können IT-Administratoren den Zugriff mithilfe folgender Ansätze zur Zugriffsverwaltung delegieren:

    • Gruppenbasierte Rollenzuweisung: Sie können Azure AD-Gruppen den Zugriff zuweisen, die über das lokale Active Directory synchronisiert werden können. So können Sie die vorhandenen Investitionen nutzen, die Ihre Organisation für Tools und Prozesse zum Verwalten von Gruppen getätigt hat. Sie können auch das Feature zur delegierten Gruppenverwaltung von Azure AD Premium nutzen.
    • Verwendung von integrierten Rollen in Azure: Sie können drei Rollen verwenden – Besitzer, Mitwirkender und Leser –, um sicherzustellen, dass Benutzer und Gruppen berechtigt sind, nur die Aufgaben auszuführen, die sie für ihre Arbeit benötigen.
    • Granularer Zugriff auf Ressourcen: Sie können Benutzern und Gruppen Rollen für ein bestimmtes Abonnement, eine Ressourcengruppe oder eine einzelne Azure-Ressource wie eine Website oder Datenbank zuweisen. Auf diese Weise können Sie sicherstellen, dass Benutzer Zugriff auf alle Ressourcen haben, die sie benötigen, und keinen Zugriff auf Ressourcen, die sie nicht verwalten müssen.

    Hinweis

    Wenn Sie die Anwendungen erstellen und die Zugriffssteuerung hierfür anpassen möchten, können Sie auch die Anwendungsrollen aus Azure AD für die Autorisierung verwenden. Lesen Sie dieses WebApp-RoleClaims-DotNet-Beispiel , um zu erfahren, wie Sie Ihre App so erstellen, dass sie diese Funktion nutzt.

  3. Bedingter Zugriff für Microsoft 365-Anwendungen mit Microsoft Intune: IT-Administratoren können Geräterichtlinien für den bedingten Zugriff bereitstellen, um Unternehmensressourcen zu schützen und gleichzeitig Information-Workern auf kompatiblen Geräten den Zugriff auf die Dienste zu gestatten.

  4. Bedingter Zugriff für SaaS-Apps: Dieses Feature ermöglicht Ihnen die anwendungsspezifische Konfiguration von Zugriffsregeln für die mehrstufige Authentifizierung und das Blockieren des Zugriffs für Benutzer, die nicht zu einem vertrauenswürdigen Netzwerk gehören. Die Regeln für die mehrstufige Authentifizierung können auf alle Benutzer angewendet werden, die einer Anwendung zugewiesen sind, oder nur auf Benutzer in angegebenen Sicherheitsgruppen. Benutzer können von der Pflicht zur mehrstufigen Authentifizierung ausgenommen werden, wenn sie von einer IP-Adresse innerhalb des Netzwerks der Organisation auf die Anwendung zugreifen.

Da die Optionen zur Zugriffssteuerung einem mehrstufigen Ansatz unterliegen, ist ein Vergleich dieser Optionen für diese Aufgabe nicht machbar. Stellen Sie sicher, dass Sie alle verfügbaren Optionen für jedes Szenario nutzen, das die Steuerung des Zugriffs auf Ihre Ressourcen erfordert.

Definieren der Optionen für die Reaktion auf Vorfälle

Azure AD kann die IT-Abteilung dabei unterstützen, potenzielle Sicherheitsrisiken in der Umgebung zu identifizieren, indem die Aktivität des Benutzers überwacht wird. Die IT-Abteilung kann die Zugriffs- und Nutzungsberichte von Azure AD verwenden, um sich einen Einblick in die Integrität und Sicherheit des Verzeichnisses Ihrer Organisation zu verschaffen. Mithilfe dieser Informationen kann ein IT-Administrator mögliche Sicherheitsrisiken besser bestimmen, um angemessen zu planen, wie diese Risiken eingedämmt werden können. Das Azure AD Premium-Abonnement bietet eine Reihe von Sicherheitsberichten, die es IT-Mitarbeitern ermöglichen, diese Informationen zu erhalten. Azure AD-Berichte sind wie folgt kategorisiert:

  • Anomalieberichte: Enthalten Anmeldeereignisse, die als anomal eingestuft wurden. Das Ziel hierbei ist, Sie auf entsprechende Aktivitäten aufmerksam zu machen und es Ihnen zu ermöglichen, eine Entscheidung zu treffen, ob ein Ereignis verdächtig ist.
  • Integrierte Anwendungsberichte: Bieten Einblicke, wie Cloudanwendungen in Ihrer Organisation verwendet werden. Azure Active Directory ermöglicht die Integration in Tausende von Cloudanwendungen.
  • Fehlerberichte: Enthalten Hinweise auf Fehler, die bei der Bereitstellung von Konten für externe Anwendungen auftreten können.
  • Benutzerspezifische Berichte: Enthalten Geräte- und Anmeldeaktivitätsdaten für einen bestimmten Benutzer.
  • Aktivitätsprotokolle: Enthalten eine Aufzeichnung aller überwachten Ereignisse in den letzten 24 Stunden, letzten 7 Tagen oder letzten 30 Tagen und von Änderungen an Gruppenaktivitäten sowie Kennwortzurücksetzungs- und Registrierungsaktivitäten.

Tipp

Ein weiterer Bericht, der auch das Team für die Reaktion auf Vorfälle bei der Bearbeitung eines Falls unterstützen kann, ist der Bericht über Benutzer mit kompromittierten Anmeldeinformationen . Dieser Bericht offenbart etwaige Übereinstimmungen zwischen der Liste mit kompromittierten Anmeldeinformationen und Ihrem Mandanten.

Andere wichtige Berichte, die in Azure AD integriert sind und während der Untersuchung einer Reaktion auf einen Vorfall verwendet werden können, sind:

  • Kennwortrücksetzungsaktivität: Zeigt dem Administrator, wie intensiv die Kennwortrücksetzung in der Organisation praktiziert wird.
  • Kennwortrücksetzungs-Registrierungsaktivität: Zeigt, welche Benutzer ihre Methoden zum Zurücksetzen des Kennworts registriert haben, und welche Methoden sie ausgewählt haben.
  • Gruppenaktivität: Zeigt einen Verlauf der Änderungen der Gruppe (z.B. Hinzufügen oder Entfernen von Benutzern), die im Zugriffsbereich initiiert wurden.

Ergänzend zu den Kernberichtsfunktionen von Azure AD Premium, die Sie bei der Untersuchung einer Reaktion auf einen Vorfall verwenden können, können IT-Mitarbeiter auch den Überwachungsbericht nutzen, um beispielsweise folgende Informationen zu erhalten:

  • Änderungen in der Rollenmitgliedschaft (z.B. Benutzer, die der globalen Administratorrolle hinzugefügt wurden)
  • Updates von Anmeldeinformationen (z.B. Kennwortänderungen)
  • Domänenverwaltung (z.B. Überprüfung einer benutzerdefinierten Domäne, Entfernung einer Domäne)
  • Hinzufügen oder Entfernen von Anwendungen
  • Benutzerverwaltung (z.B. Hinzufügen, Entfernen, Aktualisieren eines Benutzers)
  • Hinzufügen oder Entfernen von Lizenzen

Da die Optionen zur Reaktion auf einen Vorfall einem mehrstufigen Ansatz unterliegen, ist ein Vergleich dieser Optionen für diese Aufgabe nicht möglich. Stellen Sie sicher, dass Sie alle verfügbaren Optionen für jedes Szenario nutzen, für das Sie die Berichtsfunktionen von Azure AD im Rahmen des Prozesses zur Reaktion auf Vorfälle Ihres Unternehmens nutzen müssen.

Nächste Schritte

Ermitteln der Aufgaben für die Hybrididentitätsverwaltung

Weitere Informationen

Überlegungen zum Entwurf – Übersicht