Zentrale Verwaltung von Gastkonten in hybriden Umgebungen – AD und Entra ID

Die Verwaltung der Zugriffssteuerung und Berechtigungen für Gastkonten bzw. externe Konten in hybriden Umgebungen ist komplex. Dieser Artikel beleuchtet die Herausforderungen und Lösungsansätze, insbesondere im Kontext der Nutzung von AD-Gruppen zur Steuerung des Zugriffs für Gastkonten. In diesen Fällen erfolgt die Verwaltung der Konten teilweise aus dem AD heraus.

Parallel dazu ist es natürlich auch möglich, Gastkonten nur in Entra ID anzulegen. In diesem Fall erfolgt die Verwaltung der Konten allerdings getrennt vom Management der anderen Konten, die zum Beispiel über Active Directory zu Entra ID synchronisiert werden. Nachfolgend zeigen wir veschiedene Möglichkeiten und deren Vorteile. 

Was sind Gastkonten und welchen Nutzen haben sie?

Gastkonten in Entra ID und M365 bieten eine flexible Möglichkeit, externe Benutzer in Unternehmensnetzwerke einzubinden, insbesondere in hybriden Umgebungen mit lokalem Active Directory (AD). Diese Gastkonten ermöglichen es, Partner, Lieferanten oder Kunden sicher und effizient in die eigenen Ressourcen einzubinden, ohne ihnen vollständigen Zugriff auf das interne Netzwerk zu gewähren.

In einer hybriden Konfiguration synchronisiert Entra ID Connect die Benutzerkonten zwischen dem lokalen AD und Entra ID, wodurch eine nahtlose Integration gewährleistet ist. Das spielt zum Beispiel auch in Cloud-Diensten in M365, wie Microsoft Teams oder SharePoint, eine wichtige Rolle. 

Gastbenutzer erhalten dabei Zugriffsrechte entsprechend der zugewiesenen Rollen und Gruppen, was durch die Richtlinien in Entra ID und M365 detailliert gesteuert wird. Durch diese Struktur werden Sicherheitsanforderungen und Compliance-Vorgaben effizient umgesetzt. Gleichzeitig wird die Zusammenarbeit mit externen Partnern optimiert.

Herausforderungen und Risiken von Gastkonten

Die Verwendung von Gastkonten in Entra ID und Microsoft 365 birgt mehrere Sicherheitsrisiken und Herausforderungen. Ein zentrales Risiko besteht in der potenziellen Ausweitung des Angriffsvektors, da externe Benutzer möglicherweise weniger strenge Sicherheitsrichtlinien einhalten als interne Benutzer. Dies kann zu ungewolltem Zugriff auf sensible Daten führen, insbesondere wenn Gastkonten nicht angemessen überwacht und verwaltet werden.

Ein weiteres Problem ist die Verwaltung der Identitäten und Zugriffsrechte der Gastbenutzer, da diese oft dynamisch sind und sich die benötigten Zugriffsrechte häufig ändern können. Es besteht die Gefahr, dass Zugriffsrechte nicht rechtzeitig angepasst oder entzogen werden, was zu erhöhten Sicherheitsvorfällen führen kann. Zudem stellt die Einhaltung von Compliance-Richtlinien eine Herausforderung dar, da externe Benutzer möglicherweise anderen Datenschutzbestimmungen unterliegen.

Die Integration und Synchronisation von Gastkonten in hybriden Umgebungen kann zusätzlich komplex und fehleranfällig sein, was die Administration erheblich erschwert und potenziell Sicherheitslücken schafft. Um diese Risiken zu minimieren, sind sorgfältige Planung, regelmäßige Überwachung und die Implementierung strenger Sicherheitsrichtlinien unerlässlich.

Unser Team kontaktieren

Gastkonten in AD und Entra ID verwalten

Generell gibt es verschiedene Möglichkeiten, Gastkonten in hybriden Umgebungen zu nutzen und mit Entra ID zu verbinden.

1. Admins können die Konten in AD anlegen und mit Entra ID Connect mit Entra ID synchronisieren. Die Verwaltung der Konten erfolgt dabei vor allem im lokalen Active Directory.
2. Parallel dazu ist es natürlich auch möglich, die Gastkonten in Entra ID anzulegen und ins AD zu synchronisieren. Dabei erfolgt die Verwaltung natürlich vor allem in Entra ID.

Abhängig vom jeweiligen Szenario ergeben sich dadurch schnell fehleranfällige und komplizierte Workflows, oftmals auch im Mischbetrieb.

Sind Gastkonten notwendig, ist es aus Gründen der Sicherheit in den meisten Fällen besser, diese zentral zu verwalten. Das stellt sicher, dass die Gastkonten genau da zur Verfügung stehen, wo sie gebraucht werden und durch die zentrale Verwaltung ein Überblick zu den Rechten und Einsatzgebieten besteht.

Eine zentrale Verwaltung bietet darüber hinaus weitere Vorteile. Gastkonten, die Admins in Entra ID erstellen, sind in AD weder sichtbar noch nutzbar. Benötigt ein externer Nutzer auch hier Zugriff, sind teilweise weitere Konten notwendig. Das erhöht die Angriffsvektoren, da mehr Konten vorhanden als im Unternehmen nötig sind.

Dazu kommt die inkonsistente Verwaltung in mehreren Systemen. Falsch gesetzte Berechtigungen stellen in einem solchen Szenario ein weiteres Sicherheitsrisiko dar. Hier entstehen schnell Sicherheitslücken, die im hybriden Netzwerk zu erheblichen Problemen führen können. Selbst bei richtig gesetzten Berechtigungen entstehen dabei komplexe Strukturen, die nur schwer im Griff zu behalten sind.

Gastkonten in hybriden Umgebungen zentral unter Kontrolle behalten

Sind Gastkonten in Active Directory vorhanden, gibt es verschiedene Szenarien, damit umzugehen:

• Wenn die Gastkonten vor allem in Active Directory notwendig sind, lassen sich diese auch hier zentral verwalten. Bei Bedarf kann man sie in die Cloud zu Entra ID synchronisieren. Dadurch sind diese in Entra und M365 verfügbar, zum Beispiel für Gastzugriffe auf MS Teams oder SharePoint.
• Es ist auch möglich, Gastkonten als herkömmliche Benutzerkonten anzulegen und dabei verschiedene Attribute zu verwenden. In Frage kommen unbenutzte Attribute oder das „msDS-User-Account-Control-Computed“-Attribut.

Das Attribut „msDS-User-Account-Control-Computed“ in Active Directory ermöglicht die Kennzeichnung und Handhabung von externen und Gastkonten. Dieses Attribut ist eine bitmaskierte Zahl, die verschiedene Kontoeinstellungen widerspiegelt, die vom System dynamisch berechnet werden. Für die Unterscheidung und Verwaltung von externen Benutzerkonten und Gastkonten wird das Attribut genutzt, um spezifische Flags zu setzen, die diese Konten als solche markieren.

Zum Beispiel wird das Flag für ein Gastkonto gesetzt, um den Zugriff auf sensible Ressourcen zu beschränken und spezifische Richtlinien anzuwenden, die für temporäre oder eingeschränkte Benutzer geeignet sind. Externe Benutzerkonten sind ebenfalls durch entsprechende Bits in diesem Attribut markiert. Dadurch erfolgt eine automatische Anpassung der administrativen Maßnahmen, wie:

• Passwortanforderungen,
• Anmelderechte und
• Zugriffsberechtigungen.

Es ermöglicht eine präzise und automatisierte Verwaltung dieser speziellen Benutzergruppen, die auf die spezifischen Sicherheits- und Zugriffsanforderungen des Unternehmens abgestimmt sind.

Zum Einsatz kommt das, wenn Gastbenutzer nicht nur auf Ressourcen in der Cloud zugreifen sollen, sondern auch auf lokale Workloads oder Daten im lokalen Rechenzentrum (On-Premises). Auch der umgekehrte Weg ist denkbar. Die zentrale Verwaltung in einem IAM-System, wie dem FirstWare IDM-Portal, erleichtert die Verwaltung von Gastkonten um ein Vielfaches. Sie vermeidet Sicherheitslücken durch fehlerhafte Einstellungen oder einer unnötig hohen Anzahl an Konten in Entra ID oder lokalem Active Directory.

IDM-Portal hilft bei der zentralen Verwaltung von Gastkonten

Für eine zentralen Verwaltung von Gastkonten können Unternehmen das FirstWare IDM-Portal verwenden und damit parallel Gastkonten in Active Directory und Entra ID verwalten.

Da das IDM-Portal direkt in das AD schreibt, kann es neben den herkömmlichen Benutzerkonten auch Gastkonten im AD anlegen, lesen und bearbeiten:   

Dies geschieht über eine benutzerfreundliche Oberfläche, die alle relevanten Attribute darstellt. Da das IDM-Portal ohne eigene Datenbank funktioniert, ist die Anlage und Pflege der Gastkonten extrem schnell erledigt. Zugriffsberechtigungen sind automatisch maßgeschneidert auf Rollen und Attribute, so dass Gastbenutzer nur das dürfen, was nötig ist.

Ebenfalls kann man im IDM-Portal die Gastkonten in Entra ID bearbeiten, sowohl aus User-, als auch aus Gruppen-Perspektive. Gäste sind beispielsweise über eine drag & drop Funktion einfach zu Entra Gruppen hinzufügbar: 

Für den Zugriff auf Entra-Identitätsdaten verwendet das IDM-Portal die Business Services my-IAM RealIdentity und my-IAM RealGroup. Diese Services ziehen die Identitätsdaten aus Entra ID heran und stellen sie für die Weiterbearbeitung im IDM-Portal bereit. Alle Änderungen werden sofort in Entra ID übermittelt.

my-IAM RealIdentity und my-IAM RealGroup sind Cloud-Services der my-IAM platform zur Bereitstellung und Verwaltung von Identitäten und Gruppen aus verschiedensten Quellen, wie Entra ID, aber auch anderen externen Systemen. Besonders bei Gastkonten ermöglicht RealGroup eine zentrale Verwaltung und Zuweisung von Gruppenberechtigungen, wodurch der Zugriff auf Unternehmensressourcen sicher und kontrolliert bleibt. 

Der große Vorteil bei der Nutzung des IDM-Portals:

• Damit steht Administratoren eine Oberfläche zur Verwaltung beider Directorys zur Verfügung.
• Es erleichtert die Verwaltung enorm, da die Kontrolle über die Gastkonten zentral erfolgt.
• Die Anlage und Pflege der Gastkonten ist extrem schnell.
• Es reduziert Inkonsistenzen sowie Sicherheitsrisiken durch automatisierte Prozesse.
• Die Verwaltung kann darüber hinaus an Fachkräfte delegiert werden.

Fazit

Gastkonten werden für viele Unternehmen immer relevanter, da es eine Zunahme verschiedener Systeme und externer Identitäten gibt. Wie diese externen Nutzer am besten zu verwalten sind, ist ein wichtiges Thema, gerade auch weil wichtige Sicherheitsaspekte daran hängen.  

Durch die nahtlose Integration der Cloud und des Active Directorys in das IDM-Portal verwalten Administratoren die Gastkonten an einer zentralen Stelle, was die Sicherheit erhöht und die administrative Effizienz verbessert. 

Mehr über FirstWare IDM-Portal

Das FirstWare IDM-Portal von FirstAttribute ist eine integrierte Lösung für das Identity und Access Management (IAM), die die automatisierte Verwaltung von Nutzern und deren Berechtigungen ermöglicht, egal ob On-Prem oder in der Cloud.

Dieses Portal integriert sämtliche Facetten des Identity- und Access-Managements und ermöglicht einen zentralisierten Zugriff auf Identitäts- und Verzeichnisdienste.

Jetzt kontaktieren