Hybrides Offboarding in Entra ID und Active Directory
Hybrides Offboarding entfernt ein Benutzerkonto sowohl aus dem lokalen Active Directory als auch aus Entra ID. Der Prozess stellt sicher, dass alle Zugriffsrechte lokal und in der Cloud entzogen werden, um Sicherheitsrisiken zu minimieren.
Der hybride Ansatz ist insbesondere für Unternehmen relevant, die eine Kombination aus On-Premise-Infrastrukturen und Cloud-Diensten nutzen. In solchen Umgebungen reicht es nicht aus, Benutzer nur in einer Umgebung zu deaktivieren oder zu löschen. Es müssen in beiden Umgebungen konsistente Maßnahmen ergriffen werden.
Mit dem IDM-Portal ist es möglich, den kompletten Offboarding-Prozess für Unternehmen individuell abzubilden und zu konfigurieren. Die Benutzerverwaltung spielt hierbei eine zentrale Rolle, da sie die Grundlage für eine reibungslose Abwicklung schafft. Das Ganze kann für den Endanwender so einfach dargestellt werden, dass er keine IT-Kenntnisse benötigt. Er muss nicht wissen, was technisch im Hintergrund abläuft und kann sich nur auf den fachlichen Prozess des Offboardings konzentrieren.
Index
Prozess des hybriden Offboardings
Der Prozess des hybriden Offboardings beginnt in der Regel mit dem Deaktivieren oder Entfernen des Benutzerkontos im lokalen Active Directory.
Synchronisationstools wie Entra ID Connect replizieren diese Aktion in Entra ID und deaktivieren oder löschen das entsprechende Cloud-Konto.
Allerdings sollten sich Administratoren nicht darauf verlassen, sondern einen Prozess implementieren, der sicherstellt, dass ein nicht mehr benötigtes Benutzerkonto sowohl in AD, als auch in Entra ID deaktiviert ist. Eine Kontrolle ist daher in den meisten Fällen notwendig.
Dabei sind mehrere Schritte zu berücksichtigen:
- Deaktivierung des Kontos in AD: Das Benutzerkonto wird im lokalen Active Directory deaktiviert. Dies stoppt sofort den Zugriff auf lokale Ressourcen.
- Synchronisation mit Entra ID: Die Deaktivierung wird über Entra ID Connect an Entra ID übertragen. Dadurch wird das Cloud-Konto des Benutzers entsprechend deaktiviert. Lesen Sie hierzu auch unseren Tech-Blog über Entra ID Connect.
- Entzug von Zugriffsrechten: In beiden Systemen müssen sämtliche Zugriffsrechte, Gruppenzugehörigkeiten und Berechtigungen überprüft und entfernt werden.
- Löschung des Kontos: Nach einer festgelegten Aufbewahrungsfrist kann das Konto vollständig gelöscht werden, um Speicherplatz und Ressourcen freizugeben
- Auditierung und Dokumentation: Alle Schritte des Offboardings sollten dokumentiert und auditiert werden, um den Compliance-Anforderungen gerecht zu werden.
Unterschiede zwischen AD und Entra ID beim Offboarding
Im Rahmen des Offboarding gibt es einige Unterschiede zu beachten. Einige davon haben wir in der folgenden Tabelle aufgeführt.
|
Merkmal |
Active Directory (AD) |
Entra ID |
|
Lage der Daten |
On-Premises |
Cloud-basiert |
|
Konto Deaktivierung |
Deaktivierung des Benutzerkontos stoppt den Zugriff auf lokale Ressourcen. |
Deaktivierung des synchronisierten Kontos stoppt den Zugriff auf Cloud-Ressourcen. |
|
Konto Löschung |
Löschung des Kontos im AD löscht die lokalen Ressourcen wie Profile und Dateien. |
Löschung des synchronisierten Kontos entfernt das Konto aus der Cloud, aber einige Daten können in Backup-Systemen verbleiben. |
|
Zugriffsrechte |
Zugriffsrechte werden auf Datei- und Netzwerkebene verwaltet. |
Verwaltung der Zugriffsrechte erfolgt auf Anwendungsebene, oft in Verbindung mit Conditional Access Policies. |
|
Gruppenzugehörigkeiten |
AD-Gruppen verwalten lokale Netzwerk- und Dateizugriffsrechte. |
Azure AD/Entra ID-Gruppen verwalten Zugriffsrechte auf Cloud-Ressourcen und Anwendungen. |
|
Automatisierung |
In der Regel weniger automatisiert; oft manuelle Prozesse notwendig. |
Höheres Maß an Automatisierung durch integrierte Tools und Skriptingmöglichkeiten in der Cloud. |
|
Auditierung und Compliance |
AD bietet grundlegende Auditmöglichkeiten; externe Tools erforderlich für erweiterte Analysen. |
Entra ID bietet umfangreiche integrierte Audit- und Reporting-Funktionen, insbesondere für Cloud-Compliance. |
|
Verfügbarkeit von Tools |
Traditionelle Tools wie PowerShell und GPOs dominieren. |
Moderne, cloudbasierte Tools und APIs stehen zur Verfügung. |
Offboarding in AD durchführen
Deaktivierung oder Löschung von Benutzerkonten
Ein typischer Offboarding-Prozess in Active Directory besteht aus mehreren Schritten, die in der ADUC (Active Directory Users and Computers Console) durchgeführt werden. Aufgrund der Komplexität dieses Prozesses ist es empfehlenswert, die Aufgabe von geschulten Administratoren durchführen zu lassen. Der erste Schritt ist die rechtzeitige Deaktivierung des Benutzerkontos, um zu verhindern, dass der Benutzer weiterhin auf das Netzwerk zugreift. Dafür wird das Attribut „Account Disabled“ gesetzt. Wichtig ist dabei auch, das Passwort des Benutzerkontos zurückzusetzen.
Im Anschluss werden sämtliche Berechtigungen und Gruppenmitgliedschaften des Benutzers überprüft und entfernt, einschließlich der Entfernung des Benutzers aus allen AD-Gruppen, in denen er Mitglied war. Darüber hinaus gibt es verschiedene Prozesse zur Sicherung persönlicher Daten des Benutzers sowie zur Sicherung des Postfachs und wichtiger E-Mails.
Nachdem Administratoren sichergestellt haben, dass alle relevanten Daten archiviert und übertragen wurden, wird das Benutzerkonto endgültig gelöscht, um Speicherplatz zu sparen und die AD-Datenbank zu bereinigen. Einige Unternehmen deaktivieren das Konto vor der endgültigen Löschung zunächst für einen bestimmten Zeitraum, um potenzielle spätere Rückfragen oder Zugriffe auf archivierte Daten zu ermöglichen.
Es wird empfohlen, den Offboarding-Prozess zu auditieren, um die Nachvollziehbarkeit zu erhöhen und die Einhaltung der festgelegten Standards und Regeln zu überprüfen.
Schwachstellen beim Offboarding in Active Directory
Beim Offboarding von Benutzern in Active Directory können verschiedene Schwachstellen auftreten.
Eine dieser Schwachstellen besteht darin, dass Gruppenmitgliedschaften nicht vollständig entfernt werden. Dies kann dazu führen kann, dass ein deaktiviertes oder gelöschtes Konto weiterhin über Berechtigungen verfügt, insbesondere in sicherheitsrelevanten Gruppen. Dieses Risiko lässt sich umgehen, indem alle Gruppenmitgliedschaften des Benutzers gründlich überprüft und entfernt werden. Idealerweise erfolgt dies durch den Einsatz automatisierter Skripte, die sicherstellen, dass keine Mitgliedschaft übersehen wird.
Hier helfen Lösungen wie das FirstWare IDM-Portal, da sich der Offboarding-Vorgang automatisieren lässt. Mit Skripten wird sichergestellt, dass Administratoren nichts vergessen und jedes Offboarding immer gleich korrekt und vollständig abläuft.
Eine weitere Schwachstelle besteht in der Gefahr verwaister Benutzerkonten, die nach dem Ausscheiden eines Mitarbeiters aktiv bleiben. Solche Konten stellen ein erhebliches Sicherheitsrisiko dar, da sie von unbefugten Personen missbraucht werden könnten. Zur Vermeidung dieses Risikos sollten regelmäßige Überprüfungen inaktiver Benutzerkonten durchgeführt werden. Automatisierte Tools können dabei helfen, inaktive Konten zu identifizieren, sodass Administratoren diese rechtzeitig deaktivieren oder löschen können.
Ein weiteres Risiko ergibt sich aus der ungesicherten Verwaltung von Benutzerdaten. Wenn Benutzerkonten nach dem Offboarding nicht ordnungsgemäß gesichert werden, führen fehlende Sicherungen von persönlichen Dateien oder E-Mails zu Datenverlusten oder Compliance-Verstößen. Daher ist es entscheidend, vor der Löschung eines Benutzerkontos alle relevanten Daten vollständig zu sichern und sicher zu archivieren.
Eine oft übersehene Schwachstelle sind verbleibende delegierte Rechte oder administrative Privilegien, die einem Benutzerkonto gewährt wurden. Wenn diese Rechte nach dem Offboarding bestehen bleiben, könnten sie von anderen Benutzern oder Systemen missbraucht werden. Es ist daher notwendig, sämtliche delegierten Rechte im Zuge des Offboarding-Prozesses zu überprüfen und zu entfernen. Gegebenenfalls sollte dies durch den Einsatz spezialisierter Tools zur Überwachung von Zugriffsrechten erfolgen.
Schließlich kann eine mangelhafte Dokumentation und Nachverfolgung des Offboarding-Prozesses dazu führen, dass wichtige Schritte übersehen werden. Alle Schritte des Offboardings sollten daher detailliert dokumentiert und regelmäßig auditiert werden, um sicherzustellen, dass der Prozess vollständig und den Unternehmensrichtlinien entsprechend durchgeführt wurde.
Offboarding in Entra ID
Deaktivierung oder Löschung von Benutzerkonten
Das Offboarding in Entra ID erfolgt technisch durch eine Reihe von Schritten. Diese stellen sicher, dass Administratoren ein Benutzerkonto sicher und vollständig deaktivieren oder löschen.
Zunächst deaktiviert die zuständige IT-Abteilung das Benutzerkonto in Entra ID, was den Zugriff auf alle zugeordneten Cloud-Dienste sofort unterbindet. Dies erfolgt häufig durch die Deaktivierung der Anmeldefunktion und das Entfernen der Multi-Faktor-Authentifizierung (MFA).
Microsoft bietet in Entra ID auch umfassende Möglichkeiten zur Authentifizierung von Legacy-Apps (Screenshot: Microsoft)
Anschließend werden alle zugeordneten Lizenzen und Gruppenmitgliedschaften entfernt, um sicherzustellen, dass der Benutzer keinen Zugriff mehr auf Unternehmensressourcen hat. Danach archivieren oder löschen Unternehmen das Konto entsprechend ihren Richtlinien vollständig.
Der Prozess endet mit einer umfassenden Auditierung. So wird sichergestellt, dass alle Schritte korrekt durchgeführt wurden und keine Berechtigungen bestehen bleiben, die ein Sicherheitsrisiko darstellen könnten. Diese Schritte können durch Automatisierungsfunktionen in Entra ID unterstützt werden. Dadurch wird der Prozess effizienter und weniger fehleranfällig.
Schwachstellen beim Offboarding in Entra ID
Beim Offboarding in Entra ID bestehen spezifische Schwachstellen, die sich von denen in AD unterscheiden und zusätzliche Risiken für Unternehmen darstellen.
Eine der Hauptschwachstellen ist die potenzielle Persistenz von Cloud-basierten Zugriffsrechten und App-Berechtigungen. Während in AD die Deaktivierung eines Benutzerkontos in der Regel den Zugriff auf lokale Ressourcen sofort unterbindet, können in Entra ID verknüpfte Anwendungen oder Dienste weiterhin Zugriffsrechte gewähren. Dies geschieht, wenn diese Berechtigungen nicht explizit entfernt werden. Besonders kritisch übersehen Nutzer häufig OAuth-basierte Zugriffe, die auch nach der Deaktivierung eines Benutzerkontos weiterhin aktiv bleiben können.
Ein weiteres Risiko besteht in der unzureichenden Kontrolle über delegierte administrative Berechtigungen in der Cloud. Anders als in AD kann es in Entra ID schwierig sein, den Überblick über alle Berechtigungen und Rollen zu behalten, die einem Benutzerkonto zugewiesen sind, insbesondere in komplexen hybriden Umgebungen. Dadurch könnten ehemalige Mitarbeiter weiterhin indirekten Zugriff auf sensible Ressourcen haben.
Zusätzlich können Synchronisationsprobleme zwischen Entra ID und lokalen AD-Domänen auftreten, insbesondere bei der Verwendung von Pass-Through Authentication (PTA). Diese Probleme verhindern, dass Änderungen in AD korrekt in Entra ID übernommen werden, wodurch veraltete oder inkonsistente Benutzerinformationen und Berechtigungen entstehen.
Offboarding in Drittsystemen
Das Offboarding in Drittsystemen ist ebenso notwendig wie in Active Directory oder Entra ID. Viele Unternehmen nutzen eine Vielzahl von Anwendungen und Plattformen, die außerhalb ihrer primären Identitätsverwaltungssysteme liegen. Diese Drittsysteme, wie beispielsweise
- SaaS-Anwendungen,
- CRM-Systeme oder
- Kollaborationsplattformen,
verwalten oft ihre eigenen Benutzerkonten und Zugriffsrechte. Wenn ein Benutzer aus dem Unternehmen ausscheidet, bleiben seine Zugriffsrechte in diesen Systemen möglicherweise bestehen, wenn das Offboarding nicht ordnungsgemäß durchgeführt wird. Dies stellt ein erhebliches Sicherheitsrisiko dar, da ein ehemaliger Mitarbeiter weiterhin Zugang zu sensiblen Unternehmensdaten haben könnte. Zudem verursachen nicht deaktivierte Benutzerkonten unnötige Lizenzkosten.
Um solche Risiken zu vermeiden, ist es essenziell, dass Offboarding-Prozesse auch in allen genutzten Drittsystemen konsequent und vollständig umgesetzt werden. Automatisierte Identitäts- und Zugriffsmanagementlösungen wie das IDM-Portal können hierbei helfen, den Offboarding-Prozess zentral zu steuern. Sie stellen sicher, dass Benutzerkonten und Berechtigungen in allen relevanten Systemen zeitgleich und umfassend entfernt werden.
Sicherheitsgefahren durch unvollständiges Offboarding
Ein unvollständiges oder nicht durchgeführtes Offboarding in einer hybriden Umgebung, die sowohl Active Directory als auch Microsoft Entra ID umfasst, stellt erhebliche Risiken für die Sicherheit und den Betrieb eines Unternehmens dar.
Unbefugter Zugriff auf Unternehmensressourcen
Eines der größten Risiken besteht darin, dass ehemalige Mitarbeiter weiterhin unbefugt auf Unternehmensressourcen zugreifen können. Wenn Administratoren Benutzerkonten nicht vollständig deaktivieren oder löschen, behalten die Konten weiterhin Zugriffsrechte auf Dateien, Anwendungen und Systeme. Dies kann insbesonders dann gefährlich sein, wenn die Person böswillige Absichten hat oder wenn die Anmeldeinformationen in falsche Hände geraten. In hybriden Umgebungen, in denen AD und Entra ID integriert sind, könnten solche Schwachstellen nicht nur das lokale Netzwerk betreffen, sondern auch Cloud-basierte Dienste und Anwendungen, was das Risiko erheblich erhöht.
Synchronisationsrisiken
Hybride Identitäten, die sowohl in lokalen AD-Domänen als auch in der Cloud verwaltet werden, bringen zusätzliche Herausforderungen mit sich. Synchronisationsprobleme zwischen den beiden Systemen verhindern, dass Änderungen in AD korrekt in Entra ID reflektiert werden und umgekehrt. Dadurch könnten veraltete Berechtigungen bestehen bleiben, was potenziell unautorisierte Zugriffe ermöglicht.
PTA-Server als Angriffsziel für AD- und Entra ID-Zugriffe
Angreifer, die Administratorrechte auf einem lokalen Pass-Through Authentication (PTA)-Server erlangen, könnten sich Zugang zu verschiedenen AD-Domänen verschaffen und somit Zugriff auf sämtliche Benutzerkonten im verbundenen Entra ID-Tenant erhalten, ohne die eigentlichen Anmeldeinformationen zu kennen. Dies unterstreicht die Notwendigkeit, hybride Identitäten strikt zu verwalten und die Sicherheitspraktiken kontinuierlich zu überwachen und zu aktualisieren.
Compliance-Risiken durch unvollständiges Offboarding
Ein weiteres Risiko betrifft die Einhaltung von Compliance-Vorgaben. Viele Vorschriften und Standards schreiben vor, dass der Zugang zu Systemen und Daten für ausgeschiedene Mitarbeiter zeitnah und vollständig entzogen werden muss. Unvollständiges Offboarding kann daher zu schwerwiegenden rechtlichen und regulatorischen Konsequenzen führen, einschließlich Bußgeldern und Reputationsschäden. In hybriden Umgebungen, in denen Identitäts- und Zugriffsmanagement über verschiedene Plattformen hinweg erfolgen muss, erhöht sich die Komplexität dieser Anforderung erheblich.
Best Practice Offboarding in hybridem IT-Umfeld mit IDM-Portal
Das IDM-Portal von FirstAttribute addressiert alle Probleme beim Offboarding, die wir in diesem Beitrag beschrieben haben.
Es ist eine ideale Lösung für das Offboarding von Benutzern, insbesondere in hybriden Umgebungen. Das IDM-Portal verwaltet Berechtigungen automatisiert mit Genehmigungs- und Zeitsteuerungsfunktionen und entfernt dabei während des Offboardings konsequent alle Zugriffsrechte eines Benutzers.
Zunächst stellt das Tool eine zentrale Oberfläche für AD und Entra ID bereit, die es ermöglicht, Benutzer- und Gruppenverwaltung zentral zu erledigen.
Dazu kommt eine umfassende Automatisierung der Vorgänge in allen angebundenen Verzeichnissen. Die Anbindung von Drittsystemen ermöglicht es, dass das Offboarding nicht nur in AD und Entra ID, sondern auch in allen weiteren integrierten Systemen, wie CRM oder HR-Anwendungen, gleichzeitig erfolgt. Dies verhindert, dass Benutzerkonten in diesen Systemen unbemerkt aktiv bleiben und Sicherheitslücken entstehen.
Hinzu kommt die Möglichkeit, das Offboarding zeitgesteuert durchzuführen. So führen die Nutzer Prozesse genau dann aus, wenn sie benötigt werden. Das entlastet die Administratoren und sorgt für deutlich mehr Sicherheit.
Ein weiterer Vorteil des IDM-Portals ist die Delegation der Benutzerverwaltung. IT-Administratoren und sogar Nicht-IT-Mitarbeiter führen Offboarding-Prozesse effizient durch, beschleunigen den Prozess und reduzieren die Wahrscheinlichkeit menschlicher Fehler. Zudem passt die organisationsspezifische Konfiguration der Oberfläche das Offboarding an die spezifischen Anforderungen des Unternehmens an und gewährleistet die Einhaltung von Compliance-Richtlinien.
Unternehmen, die mit Partnern und externen Mitarbeitern arbeiten, sollten auf keinen Fall ein manuelles Offboarding durchführen. Die Gefahren sind enorm, und das Risiko, beim Ausscheiden eines Mitarbeiters Rechte und Konten zu übersehen, steigt erheblich.
Fazit
Die Steuerung und Automatisierung der Benutzerverwaltung über ein zentrales Portal ist ein praktischer Ansatz, um sicherzustellen, dass Onboarding und Offboarding gemäß den unternehmensinternen Vorgaben ablaufen. Insbesondere in Mischumgebungen, in denen mehrere Directories zum Einsatz kommen, empfiehlt es sich, ein zentrales Tool zur Offboarding-Verwaltung zu nutzen, anstatt dies in jedem System manuell zu erledigen.
Der Einsatz solcher Tools reduziert das Risiko menschlicher Fehler durch automatisierte und zeitlich geplante Prozesse. Ein weiterer Vorteil ist die Kostenersparnis, da das Offboarding nicht nur zuverlässiger, sondern auch schneller abläuft und somit die Belastung der IT-Mitarbeiter reduziert, die sich in der eingesparten Zeit anderen Aufgaben widmen können.
Mehr über FirstWare IDM-Portal
Das FirstWare IDM-Portal von FirstAttribute ist eine integrierte Lösung für das Identity und Access Management (IAM), die die automatisierte Verwaltung von Nutzern und deren Berechtigungen ermöglicht, egal ob On-Prem oder in der Cloud.
Dieses Portal integriert sämtliche Facetten des Identity- und Access-Managements und ermöglicht einen zentralisierten Zugriff auf Identitäts- und Verzeichnisdienste.
