Azure Active Directory is het vlaggenschip van de cloud-identiteitsservice van Microsoft. We behandelen de belangrijkste kenmerken ervan, leggen uit hoe het werkt en geven aan wat het voor jouw organisatie kan betekenen.
Cloud-technologie heeft de manier waarop organisaties werken aanzienlijk veranderd. Het biedt nieuwe manieren om zaken te doen, met klanten te communiceren en je interne IT-systemen en medewerkers te beheren. Microsoft’s Azure platform is een van de grote spelers in de cloud. En het wordt alleen maar groter, met medio 2020 345 miljoen maandelijkse gebruikers. Deze groei wordt grotendeels gevoed door het Active Directory component in het hart van Azure. Azure Active Directory (Azure AD) biedt een steeds groter wordende reeks functies en functionaliteit voor het beheer van identiteiten en beveiliging.
Maar wat is Azure AD precies? Wat biedt het? Hoe werkt het? Je vindt deze antwoorden en nog veel meer hieronder, want we geven je alles wat u moet weten over Azure AD.
Wat is Azure AD?
Azure Active Directory is de multi-tenant, cloud-gebaseerde identiteits- en toegangsbeheerdienst van Microsoft. Het is de digitale infrastructuur die je medewerkers toelaat om in te loggen en toegang te krijgen tot externe bronnen in Office 365 en een steeds groeiende lijst van andere SaaS-applicaties, alsook die op een bedrijfsnetwerk of intranet. De kracht van Azure AD ligt in de flexibiliteit die het biedt door volledig op de cloud te zijn gebaseerd. Dit betekent dat het kan fungeren als de enige directory van een organisatie, of het kan synchroniseren met een on-premises directory via Azure AD Connect.
Hoe dan ook, het stelt zowel on-premises als cloud-gebaseerde gebruikers in staat om toegang te krijgen tot dezelfde apps en bronnen, en tegelijkertijd te profiteren van functies zoals single sign-on (SSO), multi-factor authenticatie (MFAKlik op het woord voor de betekenis), voorwaardelijke toegang (conditional access) en nog veel meer.
Belangrijker nog, het biedt één enkele plaats voor het beheer van jouw identiteits-, beveiligings- en compliancecontroles in je hele IT-omgeving.
Wat doet Azure AD?
Azure AD biedt verschillende voordelen afhankelijk van waar je het voor gebruikt.
Voor IT-beheerders laat het volledige controle toe over de toegang tot toepassingen en middelen door gebruik te maken van beveiligingscontroles zoals MFA en voorwaardelijke toegang. Ze kunnen ook gebruik maken van ingebouwde governance controls van Azure AD om geautomatiseerd levenscyclusbeheer en geprivilegieerde toegangsbeperkingen toe te passen.
Daarnaast biedt Azure AD beheerders ook de mogelijkheid om provisioning te automatiseren tussen Windows Server Active Directory en cloud apps zoals Office 365.
Voor ontwikkelaars kan Azure AD gebruikt worden als een op standaarden gebaseerde aanpak om functies zoals SSO mogelijk te maken en voor het personaliseren van de app-ervaringen met behulp van bestaande organisatiegegevens via API’s.
Als je een gebruiker of medewerker bent, betekent Azure AD een snelle en gemakkelijke toegang tot werkbronnen, op een veelheid van apparaten, van bijna overal ter wereld.
Hoe werkt het?
Azure AD is, zoals de naam al aangeeft, een directory – een container voor je gebruikersnamen, referenties en toegangsrechten (meestal tot informatiebronnen).
Cloud-only of hybride
Azure AD kan worden bediend in ‘cloud-only’ modus, zodat je gebruikers zich kunnen aanmelden op hun Windows pc’s met behulp van de cloud directory service. Als alternatief, als jij, zoals veel organisaties, nog steeds gebonden bent aan een on-premise legacy infrastructuur, kan Azure AD je lokale Active Directory gebruiken als een master voor accountgegevens en werken in een verscheidenheid van hybride modi.
Bedreigingsdetectie
Of het nu gaat om de Cloud-only of de Hybride-modus, Azure AD fungeert effectief als jouw ‘voordeur’ voor het aanmelden. Een belangrijk voordeel hiervan is dat je kunt profiteren van state-of-the-art beveiligingsmaatregelen, zoals het beoordelen van het dreigingsniveau van de gebruiker die toegang probeert te krijgen en in staat zijn om die dreiging te beperken – bijvoorbeeld door het toevoegen van twee-factor authenticatie.
Single sign-on-compatibiliteit
Een van de meest aantrekkelijke voordelen van het gebruik van Azure AD is de mogelijkheid om single sign-on (SSO) mogelijk te maken en het ondersteunt de integratie van applicaties van derden om dit te helpen bereiken. Applicaties kunnen verbinden met behulp van standaard ‘moderne auth’ protocollen – SAML of OpenID Connect. Applicatie en groepstoewijzingen (inclusief dynamische groepen) in Azure AD bepalen wie toegang heeft tot wat.
Single sign-on betekent dat gebruikers in staat zullen zijn om toegang te krijgen tot alle applicaties die ze nodig hebben door slechts één keer in te loggen met behulp van een enkele gebruikersaccount die gehost wordt in Azure AD. Eenmaal ingelogd kunnen ze toegang krijgen tot deze applicaties zonder dat ze een tweede keer moeten inloggen.
Azure AD is ontworpen om een eenvoudige integratie met veel van de huidige populaire SaaS-applicaties mogelijk te maken, waardoor gebruikers zich direct kunnen aanmelden voor applicaties of deze kunnen ontdekken en lanceren vanaf een portaal, zoals Office 365 of het Azure AD toegangspaneel.
Wat zijn de voordelen van het gebruik van Azure AD?
Azure AD biedt een overvloed aan incentives voor adoptie, vandaar dat het door 95% van de Fortune500 wordt gebruikt.
Nogmaals, dit wordt gedreven door zijn ongelooflijke flexibiliteit. Terwijl Azure AD geoptimaliseerd is voor Microsoft toepassingen, is het ook zeer compatibel met apps die buiten het huis dat Bill heeft gebouwd zijn ontwikkeld.
Deze open standaarden aanpak heeft ervoor gezorgd dat Azure AD het kernmechanisme is geworden waarmee een organisatie al haar verschillende apps, apparaten en gebruikers over meerdere tenants heen kan beheren.
De belangrijkste voordelen van Azure AD vallen grotendeels in vijf categorieën:
1. Eén plaats voor identiteits- en toegangsbeheer
Azure AD is het hart van de IT van je organisatie en geeft je één plek om naartoe te gaan voor het beheer van de gebruikersidentiteiten en -rechten. Je kunt gebruikers aan groepen toewijzen, individueel of met behulp van regels die gebaseerd zijn op attributen, en je kunt groepen gebruiken om licenties en toegang tot applicaties toe te wijzen. Je hebt alle controle op één plek.
2. Eén identiteit voor alle applicaties
Terwijl de Azure AD identiteiten van je gebruikers perfect zijn om in te loggen in Microsoft applicaties, is het ook zeer compatibel met apps die overal anders zijn ontwikkeld. Van de 345 miljoen eerder genoemde maandelijkse gebruikers, gebruiken 44 miljoen van hen Azure AD om regelmatig toegang te krijgen tot applicaties van derden, waardoor het proces wordt gestroomlijnd en de productiviteit wordt verhoogd.
3. Beveiliging
Organisaties willen hun middelen beschermen tegen kwaadwillige of toevallige schade – en hun gebruikers beschermen tegen identiteitsdiefstal. Azure AD bereikt deze doelen met een reeks maatregelen, waaronder detectie van bedreigingen, conditional access, multi-factor authenticatie, geprivilegieerd identiteitsbeheer, en meer.
4. Gebruiksgemak
De toegang tot middelen moet gemakkelijk zijn voor de eindgebruikers. Single sign-on, met dezelfde aanmelding voor Windows en al je applicaties, betekent minder gedoe met inloggegevens en minder druk op de IT-helpdesk.
5. Samenwerking
Met Azure AD kun je externe (gast)gebruikers in je directory uitnodigen om toegang te verlenen, terwijl hun inloggegevens beheerd worden door de IT-afdeling van hun organisatie.
Dit geeft je directe en eenvoudige samenwerkingsmogelijkheden zonder dat je je zorgen hoeft te maken over de levenscyclus van de gebruiker.
Azure AD belangrijkste functies
Het hebben van al uw ongelijksoortige omgeving verenigd onder Azure AD biedt een aantal belangrijke functionaliteit opties en functies:
Applicatiebeheer
Beheer zowel cloud- als on-premise apps, single sign-on, de MyApps-portal en alle SaaS-apps.
Authenticatie
Of het nu gaat om een selfservice wachtwoordherstel, het kalibreren van de MFA-vereisten of het inschakelen van slimme lock-out, je kunt echt gedetailleerd werken met de authenticatie-instellingen (vooral bij gebruik in combinatie met conditional access) voor een betere beveiliging en controle.
Business-to-business (B2B)
Beheer de gastgebruikers en -partners en geef ze de toegang die je bereid bent toe te staan.
Business-to-customer (B2C)
Bied aangepaste login- en aanmeldingservaringen aan, zodat klanten hun profiel binnen je applicaties kunnen beheren.
Device management
Controleer hoe je netwerk wordt benaderd door on-premise en externe apparaten, met behulp van Intune om gegevens te beveiligen.
Hybride identiteit
De meeste organisaties zijn nog niet klaar om te gaan cloud-only, maar het gebruik van Azure AD Connect stelt je in staat om te profiteren van de functies van Azure AD – zelfs als je een aantal on-premise applicaties en een aantal cloud applicaties hebt draaien.
Identiteitsbeheer
Om ervoor te zorgen dat je identiteits-ecosysteem gezond blijft, heeft Azure AD een aantal ingebouwde bestuursfuncties waarmee je je identiteit kunt beheren en toegang kunt krijgen tot levenscycli en geprivilegieerde toegangsvoorwaarden kunt instellen.
Deze controles zijn ontworpen om organisaties in staat te stellen ervoor te zorgen dat de juiste gebruikers de juiste toegangsniveaus hebben en te controleren wat ze ermee doen. Een van de belangrijkste voordelen van goed bestuur is de mogelijkheid om de effectiviteit van de toegepaste controles te controleren en te verifiëren.
Identiteitsbescherming
Azure AD Identity Protection maakt gebruik van beveiligingsinformatie die afkomstig is uit het digitale imperium van Microsoft om risico’s op basis van identiteit op te sporen en te verhelpen, waardoor een groot deel van het proces van het identificeren en aanpakken van beveiligingsproblemen wordt geautomatiseerd.
Deze risico’s kunnen dan verder onderzocht worden via het Azure AD portaal.
Rapporten en monitoring
Azure AD beschikt ook over monitoring- en rapportagemogelijkheden om je te helpen inzicht te krijgen in je omgeving. Je kunt diagnostiek uitvoeren en logboeken bekijken die vervolgens ook kunnen worden toegepast op SIEM-tools van derden (of de eigen Azure Sentinel van Microsoft) om een diepere duik in jouw gegevens te nemen.
Azure AD vs. Active Directory
Je vraagt je misschien af wat Azure AD betekent voor je Windows Server Active Directory (of ‘lokale Active Directory’). Zoals eerder vermeld, kan je on-premise directory gesynchroniseerd worden met Azure AD via Azure AD Connect. Azure AD hoeft het niet noodzakelijkerwijs te vervangen – het kan werken als de cloud-gebaseerde tegenhanger van je AD.
Het is een veel voorkomende misvatting dat ADFS iets te maken heeft met het synchroniseren van gebruikers, maar dat heeft het niet. ADFS kan externe single sign-on tegen je on-premise directory verwerken, terwijl AAD Connect de synchronisatie afhandelt. Ze praten niet met elkaar en hebben elk hun eigen gegevensbron. ADFS is grotendeels vervangen door Azure AD.
En Azure AD is ook niet alleen ‘Active Directory in the Cloud’. Hoewel het veel van dezelfde functies uitvoert (authenticatie, gebruikersbeheer, autorisatie, directory query, etc.), bereikt het deze op een heel andere manier.
Jouw lokale AD is niet ontworpen voor de duizenden webgebaseerde diensten die nu beschikbaar zijn en in veel gevallen cruciaal zijn voor de dagelijkse functie van een organisatie. Azure AD gebruikt een heel andere set van protocollen om te werken met webapplicaties zoals Salesforce, Google en Office 365.
B2B, B2C en externe gebruikers
Zoals benadrukt in het hoofdstuk over de belangrijkste functies, heeft Azure AD een speciaal gebouwde functionaliteit die ontworpen is om het werken met externe gebruikers te ondersteunen, maar de bijzonderheden verschillen tussen de vraag of die gebruikers klanten of partners zijn.
Azure AD B2B laat bedrijven toe om op een veilige manier bestanden en middelen te delen met partners en aannemers voor samenwerkingsdoeleinden. Azure AD zorgt voor de federatie tussen het bedrijf en de partner, zodat gebruikers zich kunnen aanmelden bij gedeelde bronnen via een uitnodiging die naar elke e-mail kan worden gestuurd.
Azure AD’s B2C mogelijkheden zijn in de eerste plaats ontworpen voor gebruik in klantgerichte toepassingen, maar kunnen worden toegepast in een B2B-scenario. Hier fungeert Azure AD als het identiteitssysteem voor de applicatie, terwijl klanten zich ook kunnen aanmelden met een eerder vastgestelde identiteit, zoals een Facebook- of Gmail-login.
Azure AD-licentiemogelijkheden
Duizenden organisaties maken gebruik van de applicaties binnen Office 365, wat betekent dat ze automatisch toegang hebben tot Azure AD en alle gratis functies die daar standaard bij horen. Er zijn vier licentieopties beschikbaar voor diegenen die geïnteresseerd zijn in het gebruik van Azure AD:
Azure Active Directory Gratis
Het standaard Azure AD pakket wordt geleverd met gebruikers- en groepsbeheer, synchronisatie met je on-premise directory, self-service wachtwoordherstel, eenvoudige rapportagemogelijkheden en single sign-on over Azure, Office 365 en andere SaaS apps (waarbij er regelmatig meer worden toegevoegd).
Azure Active Directory Premium P1
Bovenop de basisfuncties biedt het P1-pakket hybride gebruikers toegang tot zowel cloud- als on-premise-bronnen. Je krijgt ook meer geavanceerde beheermogelijkheden, met dynamische groepen, self-service groepsmanagement en toegang tot Microsoft Identity Manager (MIM) voor on-premises IAM-functies.
Azure Active Directory Premium P2
De P2-licentie bouwt voort op zijn voorgangers door Azure AD Identity Protection toe te voegen aan de mix, die geavanceerde functies voor conditional access biedt voor een op risico’s gebaseerde benadering van de toegang tot applicaties.
Je krijgt ook geprivilegieerde identiteitsbeheertools om de beheerderstoegang te identificeren, te beperken en te controleren om ervoor te zorgen dat de toegangsrechten overeenkomstig worden toegepast en worden verwijderd wanneer ze overbodig zijn.
Pay-as-you-go
Als je gebruik wilt maken van extra functies zoals Azure AD’s B2C mogelijkheden, kan Microsoft jouw abonnement op maat maken met alle anderen die je nodig heeft bovenop de P2-licentie.
Alternatieve opties
Azure AD is een vrij breed aanbod en als onderdeel van jouw onderzoek zul je waarschijnlijk verschillende concurrenten tegenkomen die verschillende gebieden van haar functionaliteit hebben.
Hier zijn enkele van de bekendste partijen en wat ze te bieden hebben:
Okta
Okta zit bovenop Azure AD en biedt ‘vereenvoudigde single sign-on’, user lifecycle management (synchronisatie tussen verschillende gebruikersinformatiebronnen waaronder on-premise), Office365-licentiebeheer, en adaptieve MFA.
Ping Identiteit
Ping Identity biedt een single sign-on oplossing en voegt een identiteitsgovernance-laag toe naast de gebruikelijke MFA- en beveiligingsfuncties die je zou verwachten.
Auth0
Auth0 is een concurrent van AAD B2C en biedt aanpasbare user journeys voor single sign-on, met bescherming tegen kwaadaardige logins, en een breed scala aan integraties voor verschillende platformen.
iWelcome
iWelcome is een andere AAD B2C concurrent, die een breed scala aan out-of-the-box gebruikersreizen en eenvoudige management tools aanbiedt.
Hoewel Azure AD het voordeel heeft dat het een allesomvattende oplossing is die gebouwd is voor compatibiliteit en flexibiliteit met je behoeften, is het de moeite waard om te weten wat er nog meer wordt aangeboden en hoe ze de functionaliteit die binnen Azure AD wordt gevonden, aanvullen of repliceren.
Samenvatting
- Azure AD is de marktleidende cloud-gebaseerde IAM-dienst van Microsoft.
- Het biedt een centrale plaats voor het beheer van de toegang en het toepassen van geavanceerde veiligheidscontroles.
- Azure AD kan zowel cloud-only als aangepast worden aan een verscheidenheid van hybride scenario’s.
- Het is zeer compatibel met apps en diensten van derden voor eenvoudige adoptie en toekomstbestendigheid.
- Flexibele licentieopties zijn beschikbaar om te voldoen aan de eisen van de omgeving van jouw organisatie.