Microsoft Azure AD – die Lizenzarten und Funktionen

Azure AD - Lizenzen und Funktionen

Willkommen zu Teil 2 der Azure-AD Reihe. In diesem Teil geht es um das Thema Lizenzarten und Funktionsumfang. Wir werden uns auch mit dem Thema der Lizenzbeschaffung beschäftigen, und der Lizensierungsmöglichkeiten. Auf Grund des Funktionsumfangs kann ich in diesem Artikel nicht alle Funktionen beschreiben, die in den einzelnen Lizenzen enthalten sind. Ich versuche aber möglichst viel abzudecken und mit Links zum Vertiefen zu versehen.

Stand der Informationen aus diesem Artikel sind Mai 2019, aktuelle Preise und Funktionsumfang finden Sie auch bei Microsoft unter: https://azure.microsoft.com/en-us/pricing/details/active-directory/

Lizenzarten

Es gibt 5 Varianten der Azure-AD Lizenz, oftmals ist eine dieser Varianten auch schon in Paketen wie Office365 E3 oder Microsoft 365 E3 enthalten. 3 der 5 Varianten können auch gebührenpflichtig einzeln lizensiert werden. Wie die meisten Cloud-Lizenzen bei Microsoft basieret dies auf der Anzahl der Benutzer. Wobei bei auch eine Mischung genutzt werden kann.

Microsoft Azure-AD Free

Die kostenfreie Variante hat natürlich auch die meisten Einschränkungen. Diese Variante ist die einzige die ein hartes Objektlimit hat, nämlich 500000 Objekte. Wie groß aber diese Zahl eigentlich ist, zeigt schon, dass egal welche Edition man verwendet ein Support-Call für mehr als 50000 Objekte eröffnet werden muss. Objekte meint in dem Falle technisch gesehen alles was einen „Distinguished Name“ besitzt, also alles, Benutzer, Computer, Gruppen, etc.

Weitere Einschränkungen sind natürlich die fehlende Basis und Premium Features. Zu den Basis Features gehört auch eine SLA, die für die kostenlose Version nicht gewährt wird.

Microsoft Azure-AD Basic / Office 365-Apps

Da der Funkionsumfang fast identisch ist, fasse ich diese beiden Lizenzvarianten zusammen. Neben einer SLA haben diese beiden Edition noch weitere Funktionen, die sie von der kostenfreien „Free“ Lizenz unterscheiden. Diese Funktionen sind zum Beispiel:

Gruppenbasierte Zugriffverwaltung und Bereitstellung

Dies ermöglicht Gruppen zur Verwaltung von Zugriffsrechten zu verwenden. Das können zum Beispiel Postfächer in Office365 sein, aber auch Ressourcen in Azure selber, zum Beispiel Zugriffsrechte auf Azure Log Analytics. Auch ist dies die Grundlage für die Bereitstellung von Diensten und Ressourcen auf Basis einer Gruppenzugehörigkeit.

Kennwort Self-Service für Cloudbenutzer

Cloudbasierte Identitäten (Keine Synchronisierten!) können damit, sofern eingerichtet, selber ihr Kennwort zurücksetzten.

Unternehmensbrandig

Das Unternehmensbranding ermöglicht das Anpassen der Anmelde Seiten und sorgt dafür das bei Azure-AD basierten Verknüpfungen ggf. auch das Individuelle Firmenlogo erscheint. Dies ist zum Beispiel eine Voraussetzung von Microsoft Autopilot, zeigt sich aber schon bei der Normalen Anmeldung an Office365. Natürlich erst nach Eingabe der Email-Adresse.

Beispiel für Unternehmensbranding
Beispiel für Unternehmensbranding

Anwendungsproxy

Dies ist ein Reverse Proxy, der genutzt werden kann, um interne Webanwendungen über das Internet bereitzustellen. Eine Anleitung wie das eingerichtet werden kann, finden Sie unter docs.Microsoft.com.

Multi-Faktor Authentifizierung (Nur Office 365-Apps)

Für Konten mit Administrativen Rechten in Office 365 / AzureAD steht auch die Multi-Faktor Authentifizierung zur Verfügung. Mehr zu der Funktion unter Azure-AD P1: Multifaktor-Authentifizierung.

Azure-AD Premium P1

Azure-AD Premium P1 beinhaltet alle Funktionen von Azure-AD Free und Basic, hinzu kommen noch ein paar Premium Funktionen:

Erweiterte Gruppenfunktionen

Unter erweiterten Gruppenfunktionen versteht Microsoft Dynamische Gruppen, Berechtigungsmanagement für die Gruppenverwaltung, Gruppenablauf und noch einige weitere Funktionen rund um Gruppen.

Passwort Selbst-Service zum Zurücksetzten

Ermöglicht Benutzern, mit aktivierten zurückschreiben auch für On-Premise Benutzer, das ändern und entsperren des eignen Kennwortes.

Zwei Wege Synchronisation für Geräte

Dies ermöglicht das Übertragen von Azure-AD Geräten in das lokale Active Directory. Dies sind dann aber keine Normalen Computerkonten, wie es bei einem Hybrit-Join der Fall ist. Diese Funktion wird jedoch für „Bedingten Zugriff“ (Conditional Access) mit ADFS geschützten Zugriff benötigt. Hierbei können die Azure-AD Geräte genauso wie AD Geräte als Authentifizierungsfaktor genutzt werden.

Multi-Faktor Authentifizierung

Mit der Multi-Faktor Authentifizierung kann die Authentifizierung mit weiteren Faktoren abgesichert werden. Wie bei einer klassischen MFA unterscheidet man die Faktoren nach:

  • Wissen: Zum Beispiel das Password
  • Besitz: Zum Beispiel ein vertrauenswürdiges Gerät wie ein persönliches Smartphone oder ein Security-Token
  • Biometrie: Zum Beispiel Fingerabdrücke, Gesichtsmuster, Retina oder Venenscans

Dabei kann der Azure MFA Service entweder in der Cloud betreiben oder als lokalen Server mit ADFS in der eigenen Umgebung. Letzteres ist besonders für Firmen Interessant, die alles rund um die Authentifizierung in ihrer eigenen Hoheit behalten möchten.

Der Vorteil an Azure-MFA ist, dass kein kostenpflichtiger Token benötigt wird. Als Möglichkeiten für die Faktoren stehen ohne viel Konfiguration direkt die folgenden Faktoren zur Verfügung:

  • Microsoft Authenticator APP für Push-Benachrichtigung und On-time-Password Generator. Die Microsoft Authenticator-App ist für Android und iOS kostenlos verfügbar.
  • Codezustellung über SMS (Telefonnummer muss hinterlegt sein)
  • Codezustellung über Sprachanruf (Telefonnummer muss hinterlegt sein)
Anmeldedialog zusätzlicher Faktor
Anmeldedialog zusätzlicher Faktor

Ein weiterer Vorteil der kostenlosen Microsoft Authenticator APP ist, das sie auch für andere Konten One-Time-Password generieren kann, Zum Beispiel:

  • Amazon
  • Facebook
  • Twitter
  • Instagram
  • IFTTT
  • Google
  • Microsoft Live ID (Live.com / Outlook.com)
  • Und viele andere die den entsprechenden Standard unterstützen
Screenshot aus der Microsoft
Authenticator  App
Screenshot aus der Microsoft
Authenticator App

Microsoft Identity Manager User CAL

Wem der kostenlose AD-Sync nicht ausreicht, der denkt vielleicht über die Microsoft IDM Lösung nach. Ab Azure AD P1 ist die Benutzer CAL, die dafür benötigt wird bereits enthalten. Somit muss dieser Teilaspekt der Lizensierung nicht mehr für Benutzer mit der entsprechenden Azure-AD Lizenz berücksichtigt werden.

Cloud App Discovery / Microsoft Cloud App Security Integration

Mit diesem Produkt kann die Nutzung von Cloud-Diensten analysiert werden. Dabei wird der Datenverkehr analysiert und so über 16000 verschiedene Anwendungen aus einem von Microsoft gepflegten Katalog erfasst. Dies geschieht unter anderem über die Analyse von Firewall und Proxy Logs.
Ziel ist es, die sogenannte Schatten-IT aufzuspüren. Also die Systeme, die nicht von der IT verwaltet werden, aber für Unternehmenszwecke genutzt werden. Mehr zu diesem Produkt unter https://docs.microsoft.com/en-us/cloud-app-security/set-up-cloud-discovery

Zu dem Thema gibt es auch ein Youtube Video wir dies zum Beispiel im Zusammenspiel mit Windows Defender ATP (WDATP) funktioniert. Das Video ist auf Englisch und eine Aufzeichnung von der Microsoft Ignite Konferenz 2018. https://www.youtube.com/watch?v=f8hbvbY1Hnc

Connect Health

Mit Connect Health können Sie die Verbindungen zwischen den Systemen, die an der Authentifizierung beteiligt sind überwachen. Das gilt nicht nur für den Azure-AD Connect, sondern auch für ADFS, wenn es genutzt wird. Die Alarmierung kann unter anderem durch Emails erfolgen. Mehr zu diesem Produkt finden Sie unter: https://docs.microsoft.com/en-us/azure/active-directory/hybrid/whatis-azure-ad-connect

Bedingter Zugriff (Conditional Access)

Mit dieser Funktion kann der Zugriff auf Ressourcen genauer gesteuert werden. Zum Beispiel das der Zugriff auf bestimmte Systeme nur von Unternehmensgeräten erfolgen darf, die den Unternehmensregel entsprechen. Ein weiteres Beispiel wäre Standortbezogen, wenn zum Beispiel bestimmte Systeme nicht aus bestimmten Ländern genutzt werden dürfen. Auch wenn der Benutzer normalerweise Zugriff hätte, wird er auf einer Dienstreise oder Urlaub in dem Land unterbunden.

Azure-AD Premium P2

Identity Protection

Mit der Identity Protection können Nutzerkonten gesichert werden. Dabei werden unter anderem Nutzerverhalten und Maschine Learning Methoden verwendet, um Risiken zu analysieren. Je nach dem Ermittelten Risiko können automatische Maßnahmen ergriffen werden, zum Beispiel die Abfrage weiterer Authentifizierungs-Faktoren bei der Anmeldung oder die Verweigerung der Anmeldung.

Weitere Informationen finden Sie unter: https://docs.microsoft.com/en-us/azure/active-directory/identity-protection/overview

Privileged Identity Management (PIM)

Privileged Identity Management erlaubt die rollenbasierte Verwaltung von Privilegierten Rechten. Dabei werden auch Funktionen wie Just-in-time, Zeitlich begrenzte oder Genehmigungspflichtige Zuweisung ermöglicht. Auch ist es möglich, dass der Anwender den Grund für die erweiterten Rechte dokumentieren muss oder das eine Benachrichtigung erfolgt. Natürlich kann auch eine Historie für Auditzwecke erzeugt werden.

Weitere Informationen zu PIM finden Sie unter: https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/pim-configure

Access Reviews

Mit Access Review stellt Microsoft eine Funktion bereit die sich dem Thema Zugriffsrechte und auch deren Life-Cycle widmet. Beispiele die Microsoft für diese Lösung nennt sind unter anderem:

  • Analyse von Privilegierten Rechten
  • Überprüfung von Berechtigungen nach Veränderung der Rolle des Mitarbeiters (zum Beispiel bei Abteilungswechsel)
  • Regelmäßige Überprüfung – Werden die Rechte noch benötigt?
  • Haben neue Mitarbeiter die notwendigen Berechtigungen?

Mehr zu dem Thema finden Sie unter: https://docs.microsoft.com/en-us/azure/active-directory/governance/access-reviews-overview

Hinweise zu Lizenzthemen

Ich bin kein Lizenzierungsexperte! Auch sind die Änderungen so schnelllebig, das es kaum möglich wäre die Artikel zu aktualisieren. Fragen Sie deshalb bei Themen zur Lizenzierung immer Ihren Lizenzberater. Alle Informationen in diesem Artikel sind ohne Gewähr.

Autor: Fabian Niesen

Fabian Niesen ist seit Jahren beruflich als IT-Consultant unterwegs. Hier schreibt er privat und unabhängig von seinem Arbeitgeber. Unter anderem ist er Zertifiziert als MCSA Windows Server 2008 / 2012, MCSA Office 365, MCSA Windows 10, MCSE Messaging, MCT und Novell Certified Linux Administrator. Seit 2016 ist er auch MCT Regional Lead für Deutschland. Seine Hobby’s sind Social Media, Bloggen, Mittelaltermärkte, Historische Lieder und der Hausbau. Zu finden ist er auch auf folgenden Plattformen: -

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.