Artikkeli on päivitetty 13.3.2023.

Microsoft 365 on meille kaikille tuttu palvelu, mutta taustalla pyörivän Azure AD:n potentiaali jää usein hyödyntämättä. Tässä blogissa avaamme Azure AD:n merkittävimpiä toimintoja.

Microsoft kehitti Azure AD:n alun perin Office 365:n kirjautumisia varten. Ilman Azure AD:ta käyttäjät joutuisivat kirjautumaan erillisillä käyttäjätunnuksilla sähköpostiin, SharePointiin, Teamsiin ja muihin Microsoftin palveluihin. Azure AD:ta voisikin kuvailla globaaliksi kirjautumisalustaksi – mutta sen lisäpalvelut mahdollistavat paljon muutakin. Näin historian valossa tarkasteltuna voitaisiin jopa sanoa, että Microsoft keksi Azure AD:n vahingossa ja siitä tuli erittäin suuri menestystarina koska lähes kaikki identiteetin suojaamiseen liittyvät ominaisuudet tukeutuvat Azure AD:n ominaisuuksiin.

 

1. Azure AD kerää statistiikkaa käyttäjien kirjautumisista

Azure AD kerää tietoa muun muassa siitä, millä työvälineellä, mihin kellonaikaan ja mistä päin maailmaa käyttäjät kirjautuvat palveluihin. Mutta mitä ihmettä IT tällä tiedolla tekee?

Tarkastellaanpa asiaa tietoturvan näkökulmasta.

Azure AD:n login-tietojen avulla voidaan esimerkiksi varmistaa, etteivät epäilyttävästä sijainnista tulevat käyttäjät pääse järjestelmiin sisään. Taustalla tapahtuvan datamurskauksen avulla myös vuodettujen tunnusten väärinkäyttö voidaan estää. Jos datamurskaus tuo ilmi, että käyttäjä on matkustanut minuuteissa tuhansia kilometrejä, ovat tunnukset todennäköisesti päätyneet vääriin käsiin ja niiden käyttö voidaan estää tai kirjautumiseen voidaan vaatia lisäkomponentteja. Koneäly voi löytää poikkeuksellista toimintaa isostakin organisaatiosta tavalla johon ihmiset eivät yksinkertaisesti kykene. Data sen sijaan visualisoidaan ihmisen käsiteltäväksi jos automaatioon ei pysty heti luottamaan.

 

2. Azure AD toimii kirjautumisalustana lukuisiin palveluihin

Azure AD voi tarjota kirjautumisen vaikka LinkedIniin, Twitteriin tai On-Premissä pyörivään Windows Admin Centeriin. Valmiita integraatioita SSO-ratkaisuille on Azure AD:ssa noin kolme tuhatta. Ja yleisten pilvipalveluiden lisäksi ilahduttavan moni SaaS palvelu saadaan tukemaan Azure AD -kirjautumista. Tämä kaikki helpottaa loppukäyttäjän elämää.

Asian voi toteuttaa parilla eri tavalla. Voimme joko rakentaa SSO-integraation (tai käytämme valmista integraatiota) toimittajamme ympäristöön, tai tarjota käyttäjälle valmiiksi käyttäjätunnus-salasana -kredentiaaliparin. Azure AD:n hyödyntäminen palveluihin kirjauduttaessa lisää palveluiden tietoturvaa ykköskohdan mukaisesti.

3. Conditional Access – parasta mitä voit tietoturvan suhteen tehdä

Azure AD mahdollistaa Conditional Access -kuviot. Conditional Accessin avulla voidaan rakentaa erilaisia sääntöjä, jolloin käyttäjältä esimerkiksi vaaditaan kirjautumisen yhteydessä kaksivaiheista tunnistautumista eli MFA:ta.

Conditional Access lisää tietoturvaa valtavasti, ja samalla palveluiden käytettävyys säilyy silti halutulla tasolla. Toimiva sääntö voi olla esimerkiksi se, että yrityksen sisäverkosta tulevia kirjautumisia ei kiusata MFA:lla, kun taas ulkoverkosta kirjautuessa MFA vaaditaan.

4. Self-Service Groupit – sovelluksia käyttäjälle itsepalveluna

Jos käytössä on esimerkiksi Intune, voidaan Self-Service Groupien avulla tarjota käyttäjille sovelluksia itsepalveluna. Toisin kuin perinteisessä On-Premises -infrassa, Intunessa sovelluksia voidaan jakaa käyttäjäryhmillä. Yhdistettynä Self Service Groupeihin voimme luoda esimerkiksi PDF-lukuohjelmalle sovellusjakelun, joka käyttää Azure AD -ryhmää nimeltä ”PDF-lukusofta”.

Mikäli käyttäjä haluaa kyseisen sovelluksen itselleen, hän voi hakea ryhmää vaikka myapps.microsoft.com -sivustolta ja pyytää liittymislupaa. Käyttäjä voidaan hyväksyä ryhmään joko automaattisesti tai hyväksymiskäytännön pohjalta.

Hetken päästä käyttäjän koneelle tai matkapuhelimeen heilahtaa PDF-lukuohjelma, IT-kavereiden tekemättä yhtään mitään. Ominaisuus toimii myös kakkoskohdan SSO-kuvioissa, jos on tarve saada käyttöön tietty SaaS -palvelu.

5. Salasanojen vaivaton resetointiportaali

Azure AD:n käyttäjät voivat nollata salasanansa MFA:ta hyödyntäen. Cloud-only -käyttäjille toiminnon käyttöönotto vaatii vain ominaisuuden päälle kytkemisen.

Pienellä konffauksella ja Premium-lisensseillä saadaan venytettyä Azure AD:n potentiaali myös ”perinteiseen maailmaan” eli On-Premises -infraan. Tällöin helpparin kuorma pienenee merkittävästi, eikä käyttäjienkään tarvitse soitella mihinkään unohtuneen salasanan takia – win-win -tilanne kaikille.

Onko käyttäjien identiteetit, laitteet ja data turvattu yrityksessänne? Tietoturvan pikamanuaalista löydät käytännönläheiset vinkit yrityksenne tietoturvan parantamiseksi.

LATAA TIETOTURVAN PIKAMANUAALI

Voisimmeko olla avuksi IT-asioissa?

Jätä yhteystietosi alle, niin otamme sinuun yhteyttä: