Microsoft 365 on meille kaikille tuttu palvelu, mutta taustalla pyörivän Azure AD:n potentiaali jää usein hyödyntämättä. Tässä blogissa avaamme Azure AD:n merkittävimpiä toimintoja.
Microsoft kehitti Azure AD:n alun perin Office 365:n kirjautumisia varten. Ilman Azure AD:ta käyttäjät joutuisivat kirjautumaan erillisillä käyttäjätunnuksilla sähköpostiin, SharePointiin, Teamsiin ja muihin Microsoftin palveluihin. Azure AD:ta voisikin kuvailla globaaliksi kirjautumisalustaksi – mutta sen lisäpalvelut mahdollistavat paljon muutakin. Näin historian valossa tarkasteltuna voitaisiin jopa sanoa, että Microsoft keksi Azure AD:n vahingossa ja siitä tuli erittäin suuri menestystarina koska lähes kaikki identiteetin suojaamiseen liittyvät ominaisuudet tukeutuvat Azure AD:n ominaisuuksiin.
1. Azure AD kerää statistiikkaa käyttäjien kirjautumisista
Azure AD kerää tietoa muun muassa siitä, millä työvälineellä, mihin kellonaikaan ja mistä päin maailmaa käyttäjät kirjautuvat palveluihin. Mutta mitä ihmettä IT tällä tiedolla tekee?
Tarkastellaanpa asiaa tietoturvan näkökulmasta.
Azure AD:n login-tietojen avulla voidaan esimerkiksi varmistaa, etteivät epäilyttävästä sijainnista tulevat käyttäjät pääse järjestelmiin sisään. Taustalla tapahtuvan datamurskauksen avulla myös vuodettujen tunnusten väärinkäyttö voidaan estää. Jos datamurskaus tuo ilmi, että käyttäjä on matkustanut minuuteissa tuhansia kilometrejä, ovat tunnukset todennäköisesti päätyneet vääriin käsiin ja niiden käyttö voidaan estää tai kirjautumiseen voidaan vaatia lisäkomponentteja. Koneäly voi löytää poikkeuksellista toimintaa isostakin organisaatiosta tavalla johon ihmiset eivät yksinkertaisesti kykene. Data sen sijaan visualisoidaan ihmisen käsiteltäväksi jos automaatioon ei pysty heti luottamaan.
2. Azure AD toimii kirjautumisalustana lukuisiin palveluihin
Azure AD voi tarjota kirjautumisen vaikka LinkedIniin, Twitteriin tai On-Premissä pyörivään Windows Admin Centeriin. Valmiita integraatioita SSO-ratkaisuille on Azure AD:ssa noin kolme tuhatta. Ja yleisten pilvipalveluiden lisäksi ilahduttavan moni SaaS palvelu saadaan tukemaan Azure AD -kirjautumista. Tämä kaikki helpottaa loppukäyttäjän elämää.
Asian voi toteuttaa parilla eri tavalla. Voimme joko rakentaa SSO-integraation (tai käytämme valmista integraatiota) toimittajamme ympäristöön, tai tarjota käyttäjälle valmiiksi käyttäjätunnus-salasana -kredentiaaliparin. Azure AD:n hyödyntäminen palveluihin kirjauduttaessa lisää palveluiden tietoturvaa ykköskohdan mukaisesti.
3. Conditional Access – parasta mitä voit tietoturvan suhteen tehdä
Azure AD mahdollistaa Conditional Access -kuviot. Conditional Accessin avulla voidaan rakentaa erilaisia sääntöjä, jolloin käyttäjältä esimerkiksi vaaditaan kirjautumisen yhteydessä kaksivaiheista tunnistautumista eli MFA:ta.
Conditional Access lisää tietoturvaa valtavasti, ja samalla palveluiden käytettävyys säilyy silti halutulla tasolla. Toimiva sääntö voi olla esimerkiksi se, että yrityksen sisäverkosta tulevia kirjautumisia ei kiusata MFA:lla, kun taas ulkoverkosta kirjautuessa MFA vaaditaan.
4. Self-Service Groupit – sovelluksia käyttäjälle itsepalveluna
Jos käytössä on esimerkiksi Intune, voidaan Self-Service Groupien avulla tarjota käyttäjille sovelluksia itsepalveluna. Toisin kuin perinteisessä On-Premises -infrassa, Intunessa sovelluksia voidaan jakaa käyttäjäryhmillä. Yhdistettynä Self Service Groupeihin voimme luoda esimerkiksi PDF-lukuohjelmalle sovellusjakelun, joka käyttää Azure AD -ryhmää nimeltä ”PDF-lukusofta”.
Mikäli käyttäjä haluaa kyseisen sovelluksen itselleen, hän voi hakea ryhmää vaikka myapps.microsoft.com -sivustolta ja pyytää liittymislupaa. Käyttäjä voidaan hyväksyä ryhmään joko automaattisesti tai hyväksymiskäytännön pohjalta.
Hetken päästä käyttäjän koneelle tai matkapuhelimeen heilahtaa PDF-lukuohjelma, IT-kavereiden tekemättä yhtään mitään. Ominaisuus toimii myös kakkoskohdan SSO-kuvioissa, jos on tarve saada käyttöön tietty SaaS -palvelu.
5. Salasanojen vaivaton resetointiportaali
Azure AD:n käyttäjät voivat nollata salasanansa MFA:ta hyödyntäen. Cloud-only -käyttäjille toiminnon käyttöönotto vaatii vain ominaisuuden päälle kytkemisen.
Pienellä konffauksella ja Premium-lisensseillä saadaan venytettyä Azure AD:n potentiaali myös ”perinteiseen maailmaan” eli On-Premises -infraan. Tällöin helpparin kuorma pienenee merkittävästi, eikä käyttäjienkään tarvitse soitella mihinkään unohtuneen salasanan takia – win-win -tilanne kaikille.
Kuinka hyvin yrityksenne käyttäjät, laitteet ja data on suojattu?
Lue käytännönläheiset vinkit yrityksen tietoturvan parantamiseksi.
ajankohtaista
Liity asiantuntijoidemme seuraan, kun he valottavat Microsoft Azure -pilviympäristön suunnittelun ja toteutuksen yleisimpiä haasteita. Tässä webinaarissa opit, kuinka voit navigoida näiden haasteiden läpi ja rakentaa turvallisen, tehokkaasti hallittavan ja joustavasti skaalautuvan infrastruktuurin.
Tietokeskuksessa olemme tottuneet palvelemaan kaiken kokoisia asiakkaita useilta eri toimialoilta. Olemme nähneet vuosien varrella, kuinka […]
2/3 tietoturvahyökkäyksistä tapahtuu päätelaitteen kautta. Käyttäjä painaa vahingossa linkkiä, joka aiheuttaa pienen epidemian yrityksen IT-ympäristössä. […]
Kaikki alkoi maastolaitteista jo useita vuosia sitten. ”Toimitimme aluksi Suomen Metsäkeskukselle ruggeroituja tabletteja, eli laitteita, […]
Tule kuulemaan kuinka Koulutuskuntayhtymä Tavastia ratkaisi kasvaviin kone- ja ohjelmistomääriin liittyvät haasteet Azure Virtual Desktop -palvelun avulla.
Webinaarissa esiteltävät Azure Virtual Desktop ja Windows 365 palvelut auttavat myös pääsemään sirupulaa karkuun, koska palvelu toimii myös vähän heikommallakin koneella. Webinaarissa käymme läpi mitä osia tulevaisuuden infraan kuuluu, mitä Windows 365 ja Azure Virtual Desktop palvelut ovat ja mitä ongelmia voit ratkoa siirtämällä sovellukset ja työasemat pilveen.