Office 365 on meille kaikille tuttu palvelu, mutta taustalla pyörivän Azure AD:n potentiaali jää usein hyödyntämättä. Tässä blogissa avaan Azure AD:n merkittävimpiä toimintoja.

Microsoft kehitti Azure AD:n alun perin Office 365:n kirjautumisia varten. Ilman Azure AD:ta käyttäjät joutuisivat kirjautumaan erillisillä käyttäjätunnuksilla sähköpostiin, SharePointiin, Teamsiin ja muihin Microsoftin palveluihin. Azure AD:ta voisikin kuvailla globaaliksi kirjautumisalustaksi – mutta sen lisäpalvelut mahdollistavat paljon muutakin.

1. Azure AD kerää statistiikkaa käyttäjien kirjautumisista

Azure AD kerää tietoa muun muassa siitä, millä työvälineellä, mihin kellonaikaan ja mistä päin maailmaa käyttäjät kirjautuvat palveluihin. Mutta mitä ihmettä IT tällä tiedolla tekee?

Tarkastellaanpa asiaa tietoturvan näkökulmasta.

Azure AD:n login-tietojen avulla voidaan esimerkiksi varmistaa, etteivät epäilyttävästä sijainnista tulevat käyttäjät pääse järjestelmiin sisään. Taustalla tapahtuvan datamurskauksen avulla myös vuodettujen tunnusten väärinkäyttö voidaan estää. Jos datamurskaus tuo ilmi, että käyttäjä on matkustanut minuuteissa tuhansia kilometrejä, ovat tunnukset todennäköisesti päätyneet vääriin käsiin ja niiden käyttö voidaan estää tai kirjautumiseen voidaan vaatia lisäkomponenttejä.

2. Azure AD toimii kirjautumisalustana lukuisiin palveluihin

Azure AD voi tarjota kirjautumisen vaikka LinkedIniin, Twitteriin tai On-Premissä pyörivään Windows Admin Centeriin. Valmiita integraatioita SSO-ratkaisuille on Azure AD:ssa noin kolme tuhatta.

Asian voi toteuttaa parilla eri tavalla. Voimme joko rakentaa SSO-integraation (tai käytämme valmista integraatiota) toimittajamme ympäristöön, tai tarjota käyttäjälle valmiiksi käyttäjätunnus-salasana -kredentiaaliparin. Azure AD:n hyödyntäminen palveluihin kirjauduttaessa lisää palveluiden tietoturvaa ykköskohdan mukaisesti.

3. Conditional Access – parasta mitä voit tietoturvan suhteen tehdä

Azure AD mahdollistaa Conditional Access -kuviot. Conditional Accessin avulla voidaan rakentaa erilaisia sääntöjä, jolloin käyttäjältä esimerkiksi vaaditaan kirjautumisen yhteydessä kaksivaiheista tunnistautumista eli MFA:ta. Lue lisää MFA:sta toisesta blogistani.

Conditional Access lisää tietoturvaa valtavasti, ja samalla palveluiden käytettävyys säilyy silti halutulla tasolla. Toimiva sääntö voi olla esimerkiksi se, että yrityksen sisäverkosta tulevia kirjautumisia ei kiusata MFA:lla, kun taas ulkoverkosta kirjautuessa MFA vaaditaan.

4. Self-Service Groupit – sovelluksia käyttäjälle itsepalveluna

Jos käytössä on esimerkiksi Intune, voidaan Self-Service Groupien avulla tarjota käyttäjille sovelluksia itsepalveluna. Toisin kuin perinteisessä On-Premises -infrassa, Intunessa sovelluksia voidaan jakaa käyttäjäryhmillä. Yhdistettynä Self Service Groupeihin voimme luoda esimerkiksi PDF-lukuohjelmalle sovellusjakelun, joka käyttää Azure AD -ryhmää nimeltä ”PDF-lukusofta”.

Mikäli käyttäjä haluaa kyseisen sovelluksen itselleen, hän voi hakea ryhmää vaikka myapps.microsoft.com -sivustolta ja pyytää liittymislupaa. Käyttäjä voidaan hyväksyä ryhmään joko automaattisesti tai hyväksymiskäytännön pohjalta.

Hetken päästä käyttäjän koneelle tai matkapuhelimeen heilahtaa PDF-lukuohjelma, IT-kavereiden tekemättä yhtään mitään. Ominaisuus toimii myös kakkoskohdan SSO-kuvioissa, jos on tarve saada käyttöön tietty SaaS -palvelu.

5. Salasanojen vaivaton resetointiportaali

Azure AD:n käyttäjät voivat nollata salasanansa MFA:ta hyödyntäen. Cloud-only -käyttäjille toiminnon käyttöönotto vaatii vain ominaisuuden päälle kytkemisen.

Pienellä konffauksella ja Premium-lisensseillä saadaan venytettyä Azure AD:n potentiaali myös ”perinteiseen maailmaan” eli On-Premises -infraan. Tällöin helpparin kuorma pienenee merkittävästi, eikä käyttäjienkään tarvitse soitella mihinkään unohtuneen salasanan takia – win-win -tilanne kaikille.

Jos haluat kuulla lisää Azure AD:sta, perehdy webinaaritallenteeseemme:
Miten modernisoit IT-infraa ja sen palveluita Azuren avulla?