Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Microsoft 365 und die einzelnen Anwendungen innerhalb der Cloud-Lösung sind eng mit dem Azure Active Directory verzahnt. Welche Verbindung besteht zwischen Microsoft 365 und SharePoint Online? Und welche zu Azure AD? Wie kann man die verschiedenen Microsoft 365 und SharePoint Berechtigungen am besten verwalten? Wir helfen Ihnen dabei, sich Klarheit zu verschaffen.

Authentifizierung von Benutzerkonten mit Azure Online umsetzen

Die verschiedenen Anwendungen in Microsoft 365 nutzen Identitäten in Azure AD für die Benutzeranmeldung. Für die Verwendung von Azure AD in Microsoft 365 ist aber kein eigenes Abonnement für Azure AD notwendig. Die Kosten für die Verwendung sind in den Abonnementkosten von Microsoft 365 enthalten.

SharePoint Online und Exchange Online können daher auf umfassende Daten von Azure AD zugreifen, um Berechtigungen zu erteilen. Hier gibt es generell keine Einschränkungen im Vergleich zu den kostenpflichtigen Abonnements von Azure AD. Es ist aber möglich, zusätzliche Dienste in Azure AD zu buchen, von denen auch SharePoint Online und die anderen Dienste in Microsoft 365 profitieren.

Daher haben Unternehmen flexible Möglichkeiten, die Authentifizierung von Benutzerkonten für SharePoint, Exchange und anderen Diensten in Microsoft 365 mit Azure Online umzusetzen.

Mit wachsenden Möglichkeiten steigen aber auch die Anforderungen an sauber gepflegte Anmeldedaten und Benutzerkonten deutlich an. Die Benutzer in Microsoft 365 melden sich mit einem Konto an Azure AD an. Sicherheitseinstellungen und auch Berechtigungen für Anwendungen in Microsoft 365 basieren wiederum auf Azure AD.

Aus diesem Grund spielt die Pflege der Benutzerkonten in Azure AD natürlich eine wichtige Rolle, da Anwender und Administratoren jederzeit auf die relevanten Daten von Benutzerkonten zugreifen können müssen. Für viele Unternehmen ist auch in Zeiten der umfassenden Cloud-Umstellung das lokale AD und dessen effiziente Pflege ein wichtiger Faktor.

Sicherheit und MFA maßgebend wichtig

Für die Anmeldung der Benutzerkonten in der Cloud spielt die Sicherheit eine noch wichtigere Rolle als bei lokalen Anmeldungen. Auch bei synchronisierten Konten kann die Multifaktor-Authentifizierung in Azure AD für Konten in der Cloud aktiviert werden. Die Benutzer können auf ihren lokalen Rechnern weiterhin mit ihrem Konto aus Active Directory arbeiten, müssen sich aber in Azure AD mit mehrstufiger Authentifizierung anmelden, sobald das in der Umgebung in Azure AD entsprechend konfiguriert wurde.

Der Zugriff auf SharePoint Online erfordert in diesem Fall keine weitere Anmeldung. Das gilt natürlich auch für hybride Szenarien, in denen lokale SharePoint-Server mit SharePoint Online in Verbindung stehen. 

Mehr Flexibilität durch Synchronisierung zwischen AD und AAD

Parallel dazu gibt es auch die Möglichkeit, mit der Synchronisierung zwischen lokalen Active Directory-Umgebungen und Azure AD zu arbeiten. In diesem Zusammenhang kommen Konten aus lokalen Active Directory-Gesamtstrukturen auch ins Azure AD. Das ermöglicht wiederum die Pflege der Berechtigungen auf Basis der Daten und Benutzer von Active Directory. Wichtig ist das zum Beispiel für das Single-Sign-On (SSO). Dazu melden sich Benutzer an ihrem Rechner an Active Directory an. Durch die Synchronisierung mit Azure AD kommen die Konten auch in die Cloud und können hier für Berechtigungen zum Einsatz kommen.

Auch der Beitrag „Single-Sign-On in Microsoft 365 nutzen“ durchleuchtet das Thema, wie sich Microsoft 365-Dienste, und damit auch Microsoft Teams, optimal in hybriden Netzwerken betreiben lässt. Um die Synchronisierung mit Azure AD Connect durchzuführen, richten Sie die Synchronisierung ein, wie im Beitrag „Azure AD Connect installieren“ zu lesen ist.

Sauberer Datenbestand als Basis

Damit Benutzerkonten in Active Directory optimal, sicher und auch übersichtlich nutzbar sind, benötigen die meisten Unternehmen ohnehin eine Zusatzlösung, mit der sich die Benutzerverwaltung vereinfachen und sauberer durchführen lässt. Spätestens bei einer Synchronisierung mit Azure AD ist es nahezu unerlässlich, dass Active Directory mit Zusatzlösungen auf einem sauberen Datenbestand basiert. Das FirstWare IDM-Portal von FirstAttribute gehört zu den Besten in diesem Bereich und vereinfacht die Verwaltung von AD, bei gleichzeitiger Verbesserung der Datenqualität.

Nur bei einer optimalen Pflege von Active Directory können die Benutzerkonten in Azure AD auch korrekt genutzt werden. Es sich sicherer und auch aus Gründen der Zuverlässigkeit, Stabilität und Benutzerzufriedenheit die Pflege der Daten in einem speziellen System durchzuführen, das gleichzeitig auch noch in der Lage ist die Gruppenzuordnungen richtig zu pflegen. 

Vorteile bei der Pflege von Benutzerkonten mit dem IDM-Portal

Durch das IDM-Portal geben Sie einen administrativen Rahmen vor, der die Sicherheitsanforderungen des Unternehmens abbildet. Bei einer freien, manuellen Administration durch den Administrator haben die Admin-Benutzer sehr viel mehr Freiheitsgrade und Möglichkeiten. Das stellt aber eher einen Nachteil dar. Denn dadurch entstehen Abweichungen zwischen den einzelnen Administrationsschritten. Nicht nur, wenn Administrationsarbeit an weniger gut ausgebildetes Personal delegiert ist, bietet ein Portal die einzige Möglichkeit über mehrere Personen hinweg ein hohes Maß der Durchsetzung von Administrations-Richtlinien zu ermöglichen.

Dabei spielt es keine Rolle, ob Sie AD, Azure-AD oder Hybrid-Umgebungen verwalten. Eine richtig vorgegebene Struktur entlastet Administratoren, Support-Mitarbeiter und schafft eine hohe Akzeptanz bei den Benutzern. Bei hybriden Zugriffen ist das besonders wichtig. Denn hier müssen sich die Benutzer darauf verlassen können, dass ihre lokalen Anmeldedaten auch in der Cloud funktionieren und umgekehrt. Das geht nur bei weitgehender Automatisierung der Pflege von Benutzerdaten über ein Portal.

SharePoint Online und SharePoint On-Premises

Beim Einsatz von SharePoint Online in Microsoft 365 oder bei der Verwendung von hybriden Infrastrukturen mit lokalen SharePoint-Installationen kann umfassend auf Azure AD gesetzt werden. Betreiben Unternehmen eine hybride SharePoint-Installation in der Cloud und im lokalen Rechenzentrum ist der Einsatz von Azure AD auch bei der lokalen Installation möglich. Für die Anbindung lokaler SharePoint-Infrastrukturen kommt zunächst das Azure AD Admin Center zum Einsatz. Dieses steht über die URL https://aad.portal.azure.com zur Verfügung.

Um lokale SharePoint-Infrastrukturen anzubinden, klicken Sie auf „Unternehmensanwendung“ und dann auf „Neue Anwendung „. Suchen Sie nach „SharePoint on-premises“ und danach auf „Erstellen“, um eine Verknüpfung herzustellen. Microsoft beschreibt die weitere Einrichtung auf einer eigenen Seite in der Dokumentation zu Azure AD.

Sicherheitsrichtlinien für Conditional Access aus Azure AD in SharePoint Online nutzen

Über das Azure AD Admin Center erreichen Sie über den Link „Sicherheit“ die Optionen zum Anpassen der erweiterten Sicherheit in Azure AD. Bei „Bedingter Zugriff“ können Sie Richtlinien hinterlegen, welchen Geräten der Zugriff auf bestimmte Anwendungen gestattet wird, die mit Azure AD abgesichert sind. Auf diesem Weg lässt sich auch SharePoint Online absichern. Mit „Neue Richtlinie“ erstellen Sie eine Richtlinie. Sie können hier zum Beispiel festlegen, dass der Zugriff mit dieser Richtlinie nur für Arbeitsstationen erlaubt ist, die an Microsoft Endpoint Manager angebunden und entsprechend abgesichert sind.

Allerdings reicht dazu die kostenlose Version von Azure AD in Microsoft 365 nicht aus. Hier benötigen Sie ein Abonnement mit Azure AD Premium P2 oder Enterprise Mobility + Security E5. Wenn kein Abonnement dafür vorliegt, können Sie im Azure AD Admin Center einen Testzeitraum buchen, in dem Sie die Funktionen testen können.

Sobald die Richtlinie erstellt und mit SharePoint Online verknüpft ist, können Sie in SharePoint den Zugriff ebenfalls aktivieren und für einzelne Seiten hinterlegen. Die Einstellungen dazu nehmen Sie im SharePoint Admin Center vor, das wiederum über das Microsoft 365 Admin Center erreichbar ist. Die Einstellungen dazu sind bei „Richtlinien\Zugriffssteuerung“ zu finden.