Meine Aufgabe ist es, Unternehmen in Cloud Fragen zu beraten, nicht Software zu verkaufen.
Bei Azure Ad Premium P1 klinge ich aber oft so, als würde ich an diesem Verkauf gemessen. Dabei ist es ganz einfach:
Als Unternehmen mit mehr als 50-100 Mitarbeiter führt aus meiner Sicht kein Weg vorbei an AD Premium P1 !
Microsoft hat einfach zu viele praktische Governance- und Managementfunktionen in die P1 gepackt, da brauchen wir über die Sinnhaftigkeit der Securityfeatures gar nicht mehr reden.
Folgende Punkte von Azure AD Premium P1 sehe ich als notwendig an (Reihung ohne Wertigkeit)
- Multi Faktor Authentifizierung (MFA)
Muss ich, glaub ich, nicht wirklich erklären warum. Ist eine einfache Methode, den Missbrauch von Logindaten zu minimieren.
Der Sicherheitsgewinn im Vergleich zu technischen und organisatorischen Einführung und den “Nachteilen” für den Benutzer steht außer Frage. - Lizenzzuweisung über Gruppen
https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/licensing-groups-assign
Dringend empfohlen ! Es ist definitiv der einfacherer Weg, Lizenzzuweisungen über AD Gruppen zu machen.
Idealerweise vom Anfang an, die “Migration” danach kann komplexer werden…
Geht auch bei „Paid or trial edition of Office 365 Enterprise E3 or Office 365 A3 or Office 365 GCC G3 or Office 365 E3 for GCCH or Office 365 E3 for DOD and above“ – dh braucht nicht zwingend AD Prem P1 - Dynamische Gruppen
Besonders bei Nutzung von Teams und Yammer zeigt sich rasch, das dynamische Gruppen ein wichtiges Werkzeug sind, den Adminaufwand zu verringern.
Die Mitgliedschaft in einer dynamische Gruppen basiert zB auf einem AD Attribut. Nur damit kann ich elegant bei Teams sicherstellen, das nur die richtigen Personen im Team sind…
https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/groups-dynamic-membership - Namenskonventionen für Gruppen
https://docs.microsoft.com/en-us/office365/admin/create-groups/groups-naming-policy?view=o365-worldwide
Auch wenn die Namenskonvention für O365 Gruppen ihre Schwächen hat, ist sie trotzdem für die Governance-Themen von Teams/Yammer/Planner/… sehr wichtig. - Ablauf für Gruppen
https://docs.microsoft.com/en-us/office365/admin/create-groups/office-365-groups-expiration-policy?view=o365-worldwide
Ebenfalls ein wichtiges Feature für die Governance von Teams und Co - Anlegen von Gruppen einschränken
Besonders in der Anfangszeit des Teams-Rollout Projektes empfehle ich, das Anlegen von Gruppen auf gewissen Personenkreise einzuschränken. Wird das umgesetzt, benötigt jede Person, die Gruppen anlegen darf, eine AD Premium P1 Lizenz. - Self Service Password Reset
Gibt dem Benutzer die Möglichkeit, sein Passwort selbstständig zurück zu setzen.
Allerdings muss ich zugeben, das ich keinen einzigen Kunden kenne, der das produktiv einsetzt (also nicht nur konfiguriert hat)
(Freue mich über Feedback darüber) - Conditional Access
https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/overview
Ein wahrlich mächtiges Feature, das mir die Sicherheit meiner Daten wesentlich einfacher verwalten läßt - Sicherheitsbericht über “bad password detection and remediation, and leaked credential reporting”
Ein Grund, Passwordhash auch bei ADFS und Passthrough Authentication einzurichten.
Hier erhalte ich Informationen, wenn die Accounts und PW meiner User auf Passwortlisten auftauchen…
https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/Azure-Active-Directory-Premium-reporting-now-detects-leaked/ba-p/249200
Für alle privilegierten Accounts (Admins) empfehle ich den Kauf von Azure AD Premium P2 !
Hauptgrund dafür ist das Feature “Priviledged Identity Management” (https://docs.microsoft.com/en-us/office365/securitycompliance/privileged-access-management-overview )
DISCLAIMER:
Dieser Artikel führt NICHT alle Features von AD Premium P1 auf – dafür gibts genug Infos im Netz. Ich zeige nur die Features, die aus meiner täglichen Arbeit sich als nützlich und notwendig erwiesen haben und die viele meiner Kunden nutzen.
Ich diskutiere hier auch bewußt nicht die Sinnhaftigkeit der EMS Suite und der Microsoft 365 Suite – nicht weil ich beide als nicht sinnvoll erachte, sondern weil – im Gegensatz zu AD Premium P1 – es Kunden gibt für die das nicht notwendig ist.
Für AD Premium P1 gibt es aus meiner Sicht keine Alternative !
