Veel organisaties maken gebruik van Azure AD Connect. Dit systeem maakt het mogelijk om je on-premises AD omgeving te integreren met Azure AD, zodat gebruikers op een eenduidige manier toegang krijgen. Zonder Azure AD Connect hebben gebruikers bijvoorbeeld niet één identiteit en geen Single sign-on in de Cloud.
Azure AD Connect is een synchronisatie mechanisme die 2 kanten op gaat en gegevens uitwisselt voor gebruikers en apparaten. Een essentieel systeem als het gaat om het verlenen van toegang voor gebruikers. Dit systeem bevat Azure AD Connect en is een synchronisatie mechanisme die twee kanten op gaat en gegevens uitwisselt voor gebruikers en apparaten. Een essentieel systeem als het gaat om het verlenen van toegang voor gebruikers. Dit systeem bevat veel gegevens over de resources en gebruikers in de organisatie: belangrijk om hier goede beveiliging voor in te regelen. Dergelijke systemen hebben veel rechten om aanpassingen te doen zowel in de Cloud als AD. In deze blog vertel ik je waar je op moet letten als het gaat om de beveiliging.
Verleen alleen toegang die nodig is aan Azure AD Connect
Geef alleen de toegang die nodig is aan de service van Azure AD Connect. Niet meer, niet minder (liever wel, maar het kan niet anders soms). Hierdoor kan misbruik van Azure AD Connect voorkomen worden. En laat Azure AD Connect gebruik maken van een Group Managed Service Account (gMSA), hierdoor beheert Azure AD Connect het wachtwoord van het account.
Synchroniseer alleen resources en gebruikers die nodig zijn in Azure AD
Let goed op welke resources of gebruikers je synchroniseert naar Azure AD. Hebben deze niets te zoeken in Azure AD, zorg er dan voor dat deze niet gesynchroniseerd worden. Je creëert vervuiling en een hoger risico door deze wel te synchroniseren.
Zorg dat Azure AD Connect up-to-date is!
Controleer welke versie de huidige Azure AD Connect installatie heeft en check wat de laatste versie is. Je kunt de versies hier terugvinden. Installeer de recente versie en blijf deze bijhouden of automatisch updaten!
Gebruik dezelfde beveiligingsstrategie als voor een domain controller
Een domain controller wordt gebruikt om ook gebruikers en resources op te slaan. De inhoud van een domain controller is bijna hetzelfde als Azure AD Connect. Zorg er dus voor dat je dezelfde strategie gebruikt voor de beveiliging als je domain controllers.
Laat alleen netwerkverkeer toe die nodig is!
Zorg dat je op een Azure AD Connect server alleen netwerkverkeer toelaat die nodig is om te functioneren. Al het andere verkeer is onnodig en brengt risico’s met zich mee.
Benader de Azure AD Connect servers alleen via PAM of PAW’s
Zorg dat je toegang voor Azure AD Connect onderbrengt in een PAM oplossing of alleen bereikbaar maakt vanaf PAW’s.
Korte uitleg van PAWs & PAM: Microsoft’s strategie rondom Privileged Access Management (PAM) is de laatste jaren gewijzigd naar Privileged Access Workstation (PAW). PAM of PAW zorgt voor een veiligere toegang tot verhoogde rechten.
Meer weten?
Wil je toch de inrichting laten controleren door een expert. Met de Security Assessment kunnen we hoe jouw beveiliging er voor staat.