IT konference TechEd DevCon

Používáte ve firmě online služby společnosti Microsoft, jako je Office 365? Pak máte automaticky zřízenu službu Azure Active Directory (Azure AD). Její základní úroveň (Azure AD Free) je dokonce zdarma. V tomto článku si ukážeme, co služba Azure AD umí, jak ji efektivně využívat, jak si zjednodušit a zlevnit správu IT prostředků.

externí autořiexterní autoři
Cloud ServicesCloud Services
11.04.2019 11:29:0011.04.2019 11:29:00

externí autoři

externí přispěvatelé magazínu softwarový QUAS

DAQUAS
+420 222 512 201
+420 603 442 434
daquas@daquas.cz
Anny Letenské 7, Praha 2

Správa identit (nejen) pro cloudové služby - Azure Active Directory

Používáte ve firmě online služby společnosti Microsoft, jako je Office 365? Pak máte automaticky zřízenu službu Azure Active Directory (Azure AD). Její základní úroveň (Azure AD Free) je dokonce zdarma. V tomto článku si ukážeme, co služba Azure AD umí, jak ji efektivně využívat, jak si zjednodušit a zlevnit správu IT prostředků.

Azure AD umožňuje i v nejmenších firmách efektivně spravovat koncová uživatelská zařízení, využívat multifaktorové ověřování, logovat a vyhodnocovat přístupy uživatelů k aplikacím i zařízením. Azure AD je služba, která zajišťuje správu identit, správu přístupů (uživatelů, zařízení atd.) v prostředí cloudu Microsoft Azure i v aplikacích on premise.

K čemu je AAD

V malých společnostech obvykle nejsou nasazeny centrální ověřovací služby, jako je on premise Active Directory, a každý počítač je samostatná entita s lokálním správcem a lokálně založenými uživateli. Toto uspořádání přináší mnoho praktických problémů při správě počítače nebo střídání uživatelů. U přenosných zařízení, která se často pohybují i mimo firemní prostředí, nelze vzdáleně resetovat heslo nebo zařízení zablokovat. Vynikajícím pomocníkem pro řešení těchto nepříjemností je právě Azure AD. Azure AD není potřeba nijak složitě konfigurovat, je prakticky ihned připravena k použití.

Jedna z oblastí, kterou IT správci musí řešit, je management uživatelských hesel. Uživatelé hesla často zapomínají, rádi by používali příliš jednoduchá nebo žádná hesla. Většina uživatelů si stěžuje na to, že „každá aplikace po mně chce nějaké heslo“ a „já se z těch přihlašování jednou zblázním“. Azure AD umožní sjednotit přihlášení do různých aplikací pod jednu single-sign-on (SSO) identitu a značně tak zjednodušit přihlašování uživatelů. Správci mohou povolit multifaktorové ověřování (např. pomocí SMS kódu nebo ověřovací aplikace) a umožnit uživatelům samoobslužné resetování hesla. Lze vynutit silná hesla, definovat dobu platnosti hesla atd. IT správci nejsou zatěžováni rutinní agendou spojenou se správou hesel a dochází tak ke snižování nákladů.

Druhy AAD

Azure AD je rozděleno podle nabízené funkcionality na několik úrovní. Azure AD Free zahrnuje správu uživatelů a skupin, jednotné přihlašování v Office 365, synchronizaci místních adresářů v hybridním režimu nasazení, základní sestavy a další. Azure AD Free je zdarma. Je omezeno maximálním počtem 500 000 objektů.

Azure Active Directory Basic. Oproti úrovni Free poskytuje Basic navíc přizpůsobení přihlašovací stránky (firemní identita), řízení přístupu na základě skupin, samoobslužné resetování hesla pro cloudové aplikace a Azure AD Application Proxy, která umožňuje publikování místních webových aplikací pomocí služby Azure AD. Také AAD Basic podléhá smlouvě o dostupnosti služby SLA.

Azure Active Directory Premium P1. Navíc nad úroveň Free a Basic P1 umožňuje samoobslužné resetování/změnu/zamknutí hesla přes zpětný zápis v hybridním režimu, podrobné sestavy, podmíněný přístup na základě skupin, dynamické skupiny, podmíněný přístup na základě stavu zařízení a další funkcionality. Podrobné informace jsou přehledně zpracovány zde: https://azure.microsoft.com/cs-cz/pricing/details/active-directory

Jak funguje AAD

Je důležité si uvědomit, že Azure AD není analogie on-premise Active Directory. Nejedná se o doménu Active Directory provozovanou v prostředí cloudu, ale každá z těchto dvou technologií funguje na jiném principu a je určena pro jiný účel. 

Základním předpokladem pro připojení počítače k Azure AD je Windows 10 ve verzi Professional nebo Enterprise a aktivní připojení k internetu. Na počítači, který je připojen k Azure AD, se pak mohou přihlašovat všichni uživatelé z příslušného tenantu. Při prvním přihlášení se vytvoří profil uživatele a aplikují se nakonfigurované zásady organizace. Pokud je zařízení kompatibilní s Windows Hello, můžete místo hesla používat k ověření biometrické údaje (otisk prstu, obličej) nebo PIN. V kombinaci se službou Microsoft Intune pak můžete připojená zařízení spravovat a chránit pomocí zásad. Při použití šifrování technologií Bitlocker můžete uložit obnovovací klíč do svého Azure AD účtu. Jistě jste se setkali se situací, kdy jste při bootování počítače vyzváni k zadání obnovovacího klíče a vy v tu chvíli začínáte hledat, kde ho vlastně máte. V Azure AD máte jistotu bezpečného a snadno dostupného úložiště.

Objekty typu uživatel, skupina zabezpečení, distribuční skupina, skupina Office 365 apod., které vytváříte v administraci Office 365, jsou vytvářeny v Azure AD. Můžete je poté využívat i v jiných aplikacích Office 365, např. v SharePointu. Všechny operace s objekty jsou logovány, včetně událostí spojených s přihlašováním. Logy jsou dostupné v portálu Azure AD. Samostatně se logují podezřelé události – např. přihlášení uživatele z neobvyklé IP adresy.

Synchronizace AD a AAD

Společnosti s fungující infrastrukturou Active Directory mohou své on premise objekty (uživatele, zařízení, skupiny) synchronizovat do Azure AD a vytvořit tzv. hybridní prostředí. Tyto objekty pak zakládají jen jednou ve své on premise architektuře a hybridní režim zajistí jejich synchronizaci do online prostředí. Propojení se provádí nástrojem Azure AD Connect. Přihlašování uživatelů v hybridním prostředí lze realizovat několika způsoby:

  • Synchronizace hash hodnoty hesel z on premise AD do Azure AD
  • Předávací ověřování
  • Federace se službou Active Directory FS

Můžeme také povolit „jednotné přihlašování“, které umožní automatické přihlášení do služeb Office 365 z počítačů, které jsou členem domény on premise Active Directory a řadič domény je dostupný. Schéma přihlášení je na obrázku.

Jak je vidět, Azure AD nabízí různorodou paletu funkcí. Využije je nejen velká korporace, ale i firma s několika málo uživateli. V tomto článku jsme představili pouze základní funkce, které jsou součástí Azure AD Free. Ve spojení s dalšími plány jako např. Microsoft Intune nebo ještě lépe Microsoft 365 tvoří Azure AD základní stavební prvek moderního cloudového IT.

Lukáš Berger, WeDoIT.cz