Zum Inhalt springen

MICROSOFT CLOUD ANBINDUNG ABSICHERN, ABER WIE?

Eine Frage, die ich in Kundengesprächen immer wieder höre, betrifft die sichere Anbindung an die Microsoft Cloud.

Was muss ich tun, damit der Azure AD Connect Server sicher und kein Sicherheitsrisiko ist?

Der AD Connect Server übernimmt die Synchronisation zwischen dem lokalen Active Directory (AD) und dem Azure Active Directory (AAD).

Hier sind die aus meiner Sicht die wichtigsten Schritte:

1. Netzwerk und Architektur

Überwachung und Beschränkung der Kommunikation:

  • Verwende ausschließlich vertrauenswürdige Microsoft 365-IP-Adressen und URLs als Kommunikationspartner des Azure AD Connect Servers.
  • Beschränken die Kommunikation auf die notwendigen Kommunikationspartner und -protokolle zur lokalen Infrastruktur!
  • Der Zugriff aus dem internen Netzwerk auf den Azure AD Connect Server sollte nur für spezielle Systeme wie administrative Jumphosts oder VM-Konsolen möglich sein.
  • Überwache die Kommunikation zwischen den Cloud-Diensten und der lokalen Infrastruktur.

Betrieb in der DMZ:

  • Der Azure AD Connect Server sollte auf einem dedizierten Server in einer separaten Zone (cloudDMZ) betrieben werden.
  • Stelle sicher, dass die Kommunikation zur Cloud oder zu internen Systemen durch eine Firewall auf die notwendigen Dienste beschränkt ist.

Details zu den erforderlichen Ports und Protokollen findet man in der Microsoft Dokumentation.


Hier noch ein paar NoGos:

  • Installation des Azure AD Connect Dienstes auf den Domain Controllern!
  • Betrieb des Azure AD Connect Server im gleichen Netz wie die Domain Controller!
  • Erreichbarkeit des Azure AD Connect Serveraus anderen öffentlichen Netzen, als Microsoft Netz!

  • Kein Zugriff von Clientsystemen auf den Azure AD Connect Server, vorallem kein RDP!
  • Einsatz des Domänen Administrators zur Verwaltung des Azure AD Connect Servers.
  • 2. Benutzer- und AD-Verwaltung

    Einschränkung der Synchronisation:

    • Synchronisiere nur die benötigten Benutzer zwischen dem lokalen Active Directory und Azure AD.
    • Stelle sicher, dass nur aktiv genutzte Benutzerkonten synchronisiert werden.

    Trennung von administrativen Konten:

    • Administrative Konten müssen von normalen Benutzerkonten getrennt werden.
    • Verwende ein dediziertes administratives Konto für Microsoft 365, das keine administrativen Rechte im lokalen Active Directory hat.

    Absicherung der administrativen Konten:

    • Administrative Konten müssen mit Multi-Faktor-Authentifizierung (MFA) abgesichert sein.
    • Erstellen Sie ein Monitoring mit Alerting für die Nutzung von administrative Konten!

    Zusammenfassung

    Die Sicherheit des Azure AD Connect Servers hängt von der richtigen Architektur und Abgrenzung zur restlichen IT-Infrastruktur ab.

    Weitere Maßnahmen findest Du hier: VERMEIDE DIESE 3 DINGE IN DEINEM ACTIVE DIRECTORY!

    WordPress Cookie Plugin von Real Cookie Banner