Vier zaken die ons afgelopen maand in het oog sprongen voor Azure AD

Het mag geen geheim zijn: Microsoft klust hard aan Azure Active Directory. Elke maand worden talloze nieuwe features toegevoegd en ten goede veranderd. SCCT beweegt in de voorhoede van Microsoft Identity partners, waardoor we afgelopen maand tegen een aantal wijzigingen aanliepen. Hieronder noemen we vier zaken, die ons in het oog sprongen en waar we gelijk mee aan de slag konden:

1. Opslag van gegevens van Europese klanten in Azure AD

Veel Europese organisaties kijken met Fidler, WireShark en argusogen naar het synchronisatieverkeer tussen hun Active Directory Domain Services (AD DS)-omgevingen en Azure AD. Zoals we echter aan veel organisaties uitleggen, zegt dit niets over eventueel synchronisatieverkeer achter de cloud van Microsoft zelf. Drie weken geleden zagen we de eerste informatie die Microsoft hierover vrijgaf.

Voor de integriteit van de Azure AD-dienstverlening slaat Microsoft bepaalde gegevens voor objecten in Azure AD-tenants van Europese organisaties ook op buiten de Europese Unie, namelijk in de Verenigde Staten. Het document biedt zeer transparant een overzicht per attribuut en per Azure AD-onderdeel.

2. Oude authenticatie gaat in de ban

Op zich zeggen we niets nieuws wanneer we zeggen dat oude authenticatie in de ban gaat. Modern Authentication biedt zodanig veel voordelen in combinatie met Conditional Access, dat veel organisaties nu reeds overstappen van oude versies van programma’s en van oude protocollen. Tot deze maand was ’t echter niet heel makkelijk om een overzicht te krijgen van de personen, apparaten en applicaties die incorrect ingesteld waren voor Modern Authentication of het domweg niet ondersteunen. De geheel op de schop genomen Sign-in Activity logs in het Azure portaal toont nu standaard informatie voor de kolom Application, waarbij optioneel meer kolommen kunnen worden toegevoegd:

Daarnaast is het voor mensen die bekend zijn met de Microsoft Graph mogelijk om via deze weg de Sign-in Activity logs op te vragen. Blokkeren of anderzijds behandelen van applicaties die geen Modern Authentication ondersteunen of gebruiken vonden we terug als preview-functionaliteit binnen Conditional Access:

We zien dat beheerders zo het gereedschap in handen krijgen om oude authenticatieprotocollen in de ban te doen.

3. Self-service afscheid nemen als beheerder

Een groot aantal klanten vertrouwt ons met hun Identity-projecten, -bronnen en -beheer. Hoewel we steeds vaker een beheeraccount van de klant inzetten voor onze werkzaamheden, ervaren we ook nog steeds situaties waarin gasttoegang beter past. Hier wringt de schoen in termen van Identity & Access Management (IAM) toch wel eens, omdat we ons als beheerders niet kunnen uitschrijven uit een Azure AD-tenant. Hiervoor is een beheerder van de klant benodigd. In het kader van de Algemene Verordening Gegevensbescherming (AVG) heeft Microsoft nu deze mogelijkheid opengezet. Initieel bedoeld voor mensen om zich te kunnen laten vergeten, is het voor ons als beheerders een godsgeschenk. Uiteraard hebben we ons, op de SCCT Academy (onze gezamenlijke laatste vrijdag van de maand op kantoor), massaal uitgeschreven uit Azure AD-tenants voor wie we niet meer actief diensten verlenen.

Collega Sander Berkouwer schreef een uitgebreid artikel waarin hij laat zien hoe je dit aanpakt.

4. Access reviews

Na een mooie preview-periode zijn de Azure AD Access reviews nu generiek beschikbaar (GA) voor Azure AD-tenants met Azure AD Premium P2-licenties.

De Access Reviews-functionaliteit stelt beheerders en functionele eigenaren in staat om de toegang tot functionaliteit te beoordelen. Beheerders kunnen de reviewrondes periodiek, bijvoorbeeld per week of per maand, inroosteren en kunnen zelfs automatisch de uitkomsten van de reviews toepassen. Mocht een functionele eigenaar niet reageren, dan hebben de beheerders nu de keuze om alle toegang te ontzeggen, te blijven toestaan of om de standaardinstellingen toe te passen.

Makkelijker kan Microsoft het technische deel van het IAM-proces voor beheerders niet maken…

Meer weten?

Ben je benieuwd geworden hoe deze features de reis naar de cloud kunnen ondersteunen? Maken deze nieuwe features je wel héél hebberig? Neem contact met ons op. Dan kijken we samen hoe je deze nieuwe features kunt inzetten!.

Carlo Schaeffer
Carlo SchaefferManaging Parnter- 088 – 06 06 400
2018-06-06T13:02:21+00:00