Gastkonten dienen dazu, temporären oder externen Benutzern kontrollierten Zugriff auf Unternehmensressourcen zu ermöglichen. Diese Konten werden oft für Partner, Berater oder temporäre Mitarbeiter erstellt und bieten eine isolierte Umgebung, die den Zugang auf spezifische, notwendige Ressourcen beschränkt. Gastkonten sind dabei von regulären Benutzerkonten getrennt und unterliegen strengeren Richtlinien, um die Sicherheitsanforderungen des Unternehmens zu erfüllen.
Die Verwaltung dieser Konten erfolgt über zentrale Richtlinien, die festlegen, welche Ressourcen zugänglich sind und wie lange der Zugriff bestehen darf. Das hilft, die Integrität des Netzwerks zu schützen und den Missbrauch von Zugriffsrechten zu verhindern. Durch die Verwendung von Gastkonten lassen sich zudem Audit- und Compliance-Anforderungen besser umsetzen, da Zugriffsprotokolle und Benutzeraktivitäten genau nachverfolgt werden können.
Index
Gastkonten aus Active Directory mit Entra ID synchronisieren: Ist das sinnvoll?
Gastkonten aus Active Directory lassen sich zu Entra ID synchronisieren. Dabei kommt das Tool Entra Connect V2 zum Einsatz, das die Verzeichnissynchronisierung zwischen On-Premises Active Directory und Entra ID ermöglicht. Es ist wichtig, dass die Gastkonten im lokalen Active Directory entsprechend konfiguriert sind, um eine reibungslose Synchronisation zu gewährleisten. Noch besser ist die Synchronisierung mit Entra Cloud Sync. Darauf gehen wir in diesem Beitrag ebenfalls ein.
Die Synchronisation zwischen AD und Entra ID erfolgt in der Regel durch eine Einweg-Replikation, bei der die Daten aus dem lokalen AD in Entra ID übertragen werden. Nach der Synchronisation können die Gastkonten in Entra ID genutzt werden, um auf cloudbasierte Ressourcen und Dienste zuzugreifen. Hierbei behalten sie ihre spezifischen Zugriffsrechte und Einschränkungen bei, die im lokalen Active Directory definiert wurden. Die entsprechenden Nutzer können daher lokal auf Ressourcen zugreifen und parallel auf Ressourcen in der Cloud. Das funktioniert für Azure und für Ressourcen aus Microsoft 365, zum Beispiel SharePoint oder Teams.
Gastkonten mit Entra ID synchronisieren
Generell ist der beste Weg für die Synchronisierung von Konten aus AD mit Entra ID die Verwendung von Entra Cloud Connect. Hier können im Netzwerk mehrere Agenten parallel installiert werden, was die Hochverfügbarkeit verbessert. Außerdem ist es mit Entra Cloud Sync möglich, mehrere Domänen und AD-Gesamtstrukturen parallel mit einem Entra ID-Verzeichnis zu synchronisieren. Die Verwaltung erfolgt über das Entra Admin Center, nicht über den lokal installierten Agenten.
Die Einstellungen dazu finden sich am schnellsten über die Suche nach „Entra Connect“ im Entra Admin Center (entra.microsoft.com). Die zentrale Verwaltung erfolgt über „Microsoft Entra-Cloudsynchronisierung verwalten“.
Im Fenster sind die vorhandenen Synchronisierungspartnerschaften zu finden. Hier lassen sich mit „Neue Konfiguration“ parallel weitere Agenten verteilen oder die bereits vorhandenen Synchronisierungen anpassen.
Für die Synchronisierung ist auf dem jeweiligen Server im lokalen Netzwerk ein Agent notwendig, der sich bei der Einrichtung der Konfiguration herunterladen lässt, oder durch Anklicken einer vorhandenen Verbindung. Die Einrichtung erfolgt über die Datei „AADConnectProvisioningAgentSetup.exe“. Bereits vorhandene Konfigurationen sind durch Anklicken der entsprechenden Domäne zu sehen. Der Download erfolgt über „Lokalen Agent herunterladen“.
Über „Agents“ sind die lokal angebundenen Server zu sehen sowie deren externer IP-Adresse. Außerdem ist zu sehen, ob der entsprechende Agent aktiv ist. Dadurch lassen sich jederzeit mehrere Agenten im Netzwerk betreiben und neue Agenten hinzufügen.
Über „Neue Konfiguration“ und der Auswahl von „AD-zu-Microsoft-Entra-ID-Synchronisierung“ erfolgt die Konfiguration der Synchronisierung von Active Directory zu Entra ID.
Sobald der erste Agent installiert und eingerichtet ist, erscheint er bei „Agents“ im Entra Admin Center bei „Cloudsynchronisierung“. Die Synchronisierung wird anschließend über „Konfiguration -> Neue Konfiguration -> AD-zu-Microsoft Entra-ID-Synchronisierung“ eingerichtet. Hier sind die Domänen zu sehen, die über die Agents bei Entra ID angemeldet sind.
Über „Erstellen“ bindet Entra ID die Domäne an. Die Verwaltung erfolgt danach ebenfalls im Entra Admin Center. Über einen Klick auf „Deaktiviert“ bei „Status“ lassen sich Informationen abrufen. Über einen Klick auf die Domäne wird wiederum mit „Überprüfen und aktivieren“ und dann mit „Konfiguration aktivieren“ die Synchronisierung eingeschaltet.
Danach sollte bei „Status“ für die Domäne „Fehlerfrei“ stehen. Jetzt erfolgt die Synchronisierung der Benutzerkonten und deren Kennworthashes aus der jeweiligen Domäne/Gesamtstruktur zu Entra ID. Das gilt natürlich auch für die Gastkonten, die in der Domäne vorhanden sind.
Über den Menüpunkt mit den drei Punkten auf der rechten Seite, lassen sich mit „Agents anzeigen“ alle installierten Agenten in der Weboberfläche anzeigen. Hier ist es auch möglich, den Agent herunterzuladen, zum Beispiel für weitere Server im Netzwerk. Dadurch lässt sich die Bereitstellung hochverfügbar betreiben. Wichtig ist, dass im Entra Admin Center in den Einstellungen der jeweiligen Domäne bei „Konfigurationsstatus“ der Wert „Aktiviert“ zu sehen ist und bei „Agents“ die Anzahl der verwendeten Agenten.
Sollen nur bestimmte Konten synchronisiert werden, können in den Einstellungen bei „Bereichsfilter“, „Attributzuordnung“ oder „Ausdrucks-Generator“ Filter definiert werden, welche die Gastkonten oder andere Konten filtern.
Das sollten Unternehmen beim Synchronisieren von Gastkonten beachten
Die Synchronisierung von Gastkonten aus Active Directory mit Entra ID über Entra Cloud Sync bringt mehrere Herausforderungen mit sich. Eine der zentralen Schwierigkeiten besteht in der korrekten Konfiguration und Verwaltung der Synchronisationseinstellungen, um sicherzustellen, dass die Gastkonten die richtigen Berechtigungen und Zugriffsrechte erhalten. Unterschiedliche Richtlinien und Attribute zwischen dem lokalen AD und Entra ID können zu Inkonsistenzen und Synchronisationsproblemen führen.
Die Skalierbarkeit und Performance der Synchronisation können ebenfalls herausfordernd sein, insbesondere bei großen und komplexen Verzeichnisstrukturen. Netzwerkbandbreite und Latenzzeiten können die Effizienz der Synchronisation beeinträchtigen. Zudem erfordert die regelmäßige Überwachung und Wartung der Synchronisationstools zusätzliche Ressourcen und Fachkenntnisse, um potenzielle Fehler und Unterbrechungen frühzeitig zu erkennen und zu beheben.
Alternativen zur Synchronisierung
Zur Synchronisierung von Gastkonten aus Active Directory (AD) mit Entra ID gibt es Alternativen, die von den spezifischen Anforderungen und der Infrastruktur eines Unternehmens abhängen.
Direct Federation
Eine Möglichkeit besteht in der Direct Federation, bei der externe Benutzer aus einem Partnerverzeichnis direkt in Entra ID authentifiziert werden, ohne dass eine vollständige Synchronisation der Konten erforderlich ist. Dabei wird eine Vertrauensstellung zwischen dem lokalen AD des Partners und Entra ID eingerichtet.
Azure B2B Collaboration
Eine weitere Alternative bietet Azure B2B Collaboration. Mit dieser Methode können Gastbenutzer aus anderen Verzeichnisdiensten oder mit anderen E-Mail-Domänen eingeladen werden, auf Ressourcen in Entra ID zuzugreifen. Dies erfordert keine Synchronisation der Konten und ermöglicht dennoch einen sicheren und kontrollierten Zugriff.
Identity Provisioning Tools
Darüber hinaus können Unternehmen auch auf Identity Provisioning Tools von Drittanbietern zurückgreifen. Diese Tools bieten erweiterte Funktionen zur Verwaltung und Synchronisation von Identitäten zwischen verschiedenen Verzeichnisdiensten und Cloud-Plattformen. Sie können maßgeschneiderte Lösungen für spezifische Anforderungen bieten und dabei helfen, komplexe Synchronisationsszenarien zu vereinfachen.
Lokale Authentifizierungsdienste
Schließlich besteht die Möglichkeit, auf lokale Authentifizierungsdienste zu setzen, die eine Brücke zwischen dem lokalen AD und Entra ID schlagen. Diese Dienste ermöglichen es, Benutzeranmeldungen lokal zu verifizieren und Token für den Zugriff auf Azure-Ressourcen auszustellen, ohne dass die Konten direkt synchronisiert werden müssen.
Azure AD Application Proxy: Remote-Zugriff auf Webanwendungen
Der Azure AD Application Proxy ermöglicht Remote-Zugriff auf interne Webanwendungen. Der Proxy-Service fungiert als Brücke zwischen lokalen Anwendungen und externen Benutzern, die über Entra ID authentifiziert werden. Durch die Verwendung des Application Proxys können Unternehmen ihre bestehenden On-Premises-Anwendungen ohne Änderungen an der Infrastruktur zugänglich machen. Dabei werden die Benutzerkonten und -rechte aus dem lokalen AD synchronisiert und über Entra ID gesteuert.
Das bietet eine nahtlose Integration und Verwaltung von Zugriffsrechten, da Benutzer sich mit ihren Entra ID-Anmeldedaten authentifizieren können und dabei die Sicherheit und Compliance-Richtlinien des Unternehmens eingehalten werden. Zudem wird durch den Einsatz des Azure AD Application Proxys das Risiko von Sicherheitslücken minimiert, da keine VPN-Verbindungen oder Firewall-Änderungen erforderlich sind. Der Proxy sorgt dafür, dass alle Anfragen über sichere Kanäle geleitet und nur autorisierte Benutzer Zugriff erhalten, was die Verwaltung und den Schutz von Anwendungen und Daten erheblich vereinfacht.
Beste Alternative: AD Gastkonten mit IAM-System verwalten (IDM-Portal)
Kommen zahlreiche Gastkonten produktiv in lokalen Umgebungen und in Entra ID zum Einsatz, können IAM-Lösungen dabei helfen. IAM-Systeme (Identity and Access Management) wie das FirstWare IDM-Portal von FirstAttribute können eine entscheidende Rolle im Bereich der Gastkontenverwaltung in Active Directory spielen, insbesondere in Verbindung mit dem Einsatz von Entra ID. Solche Systeme bieten eine zentrale Plattform zur Verwaltung von Benutzeridentitäten und Zugriffsrechten aus AD und Entra ID, einschließlich der Erstellung, Aktualisierung und Deaktivierung von Gastkonten. Das IDM-Portal ermöglicht es Administratoren, Gastkonten zentral zu verwalten und dabei die Unternehmensrichtlinien und Sicherheitsstandards einzuhalten.
Im IDM-Portal können Sie die AD- und Entra ID-Berechtigungen (Gruppen) Ihrer Gastkonten zentral verwalten. Mehr Informationen über die Zentrale Verwaltung von Gastkonten in hybriden Umgebungen – AD und Entra ID finden Sie hier.
IAM-Systeme unterstützen zudem die Automatisierung von Arbeitsabläufen und Genehmigungsprozessen, was die Verwaltung von Gastkonten vereinfacht und beschleunigt. Durch die Integration von IAM-Systemen mit Entra ID können Unternehmen sicherstellen, dass nur autorisierte Gäste Zugriff auf die benötigten Ressourcen erhalten, während gleichzeitig die Einhaltung von Compliance- und Sicherheitsvorgaben gewährleistet wird.
Unterstützung benötigt?
Gerne stellen wir Ihnen unsere Leistungen und Lösungen in einem persönlichen Gespräch vor. Wir freuen uns über Ihre Kontaktaufnahme.
Leave a Reply
<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>