Aus FIM 2012 R2 wird MIM: Neue Funktionen für Forefront Identity Manager

Forefront Identity Manager wird durch Microsoft Identity Manager abgelöst. Neben der Namensänderung bringt MIM auch einige neue Funktionen mit.

Microsofts Security-Produkte, allen voran die Forefront-Produktfamilie, stehen derzeit vor einer umfassenden Neuausrichtung, da der zunehmende Trend hin zu Cloud-Computing auch die Sicherheitsanforderungen für Unternehmensnetzwerke stark verändert. Zwar blieben mit System Center Endpoint Protection und Exchange Online Protection (EOP) zwei Forefront-Produkte unter neuem Namen bestehen, der Großteil der Produktlinie wurde inzwischen aber eingestellt, beispielsweise Microsoft Forefront Threat Management und Unified Access Gateway (UAG), für deren Funktionalitäten Unternehmen damit auf Alternativen angewiesen sind.

Microsoft Forefront Identity Manager (FIM) war lange das einzige Produkt, das unter der Forefront-Marke bestehen bleiben sollte, bis Microsoft im April 2014 die Umbenennung in Microsoft Identity Manager (MIM) bekanntgab. Unter neuer Flagge wird der alte FIM derzeit aktiv weiterentwickelt und mit neuen Funktionen versorgt, die Veröffentlichung ist bereits für die erste Jahreshälfte 2015 geplant.

Als klassisches IAM-Tool (Identity and Access Management) stellt Microsoft Identity Manager Unternehmen dabei weiterhin Funktionen rund um Synchronisation und Bereitstellung von Identitäten, rollenbasiertes Zugriffsmanagement, Self-Service-Aufgaben zum Beispiel zum Passwortzurücksetzen sowie zur Zertifikatsverwaltung und zum Smartcard-Management zur Verfügung.

Ein großer Fokus liegt dabei laut Microsoft zunehmend auf hybriden Szenarien, bei denen MIM On-Premise im eigenen Data Center installiert ist, dessen Funktionen aber mit Rückgriff auf Microsoft Azure Active Directory auch auf SaaS-Anwendungen (Software-as-a-Service) erweitert werden können.

Microsoft Identity Manager erhält Privileged Access Management

Die erste Public Preview des Microsoft Identity Manager wurde im November 2014 veröffentlicht und bot Administratoren vor allem Einblick in das neue Privileged Access Management (PAM). Hierfür wird eine eigene, privilegierte Active-Directory-Gesamtstruktur angelegt, in der jeder Gruppe oder jedem Nutzer per PowerShell oder MIM-Portal eine PAM-Rolle zugewiesen wird.

Anders als in Standard-Sicherheitsgruppen behalten PAM-Mitglieder allerdings ihre privilegierten Rechte nicht dauerhaft, sondern verlieren diese nach einem vorher festgelegten Zeitrahmen automatisch wieder. Microsoft nennt dieses Vorgehen „Just-in-Time (JIT) Step-up“.

Mit der ersten Public Preview wurden zudem einige neue Self-Service-Möglichkeiten integriert, etwa die Anbindung an Microsoft Azure Multifaktor-Authentifizierung zum Self-Service-Passwortzurücksetzen oder eine Windows-8-App zum Self-Service-Management von Zertifikaten und Smartcards. Gleichzeitig unterstützt Microsoft Identity Manager nun Windows Server 2012 R2, SharePoint 2013, SQL Server 2014, Exchange 2013 und Visual Studio 2013 (zur Entwicklung von Erweiterungen).

Microsoft Identity Manager mit In-Place-Update für FIM 2012 R2

In der ersten Preview von Microsoft Identity Manager war für die PAM-Funktionalität noch ein Windows Server 10 nötig, der den Domain-Controller für die Active-Directory-Gesamtstruktur des Privileged Access Management bereitstellt. Die Anfang dieser Woche veröffentlichte zweite Public Preview von MIM hebt diese Einschränkung auf und unterstützt nun auch Domain-Controller auf Basis von Windows Server 2012 R2.

Als weitere Neuerungen des PAM-Systems nennt Microsoft einen speziellen Monitoring-Service, mit dem sich Veränderungen an bestehenden Active-Directory-Sicherheitsgruppen überwachen und Benachrichtigungen für bestehende SIEM-Tools (Security Information and Event Management) einstellen lassen

Benachrichtigungen im Microsoft Identity Manager

Benachrichtigung des neuen Monitoring-Service.

Eine weitere Verbesserung betrifft die Zuweisung von PAM-Rechten, die bisher lediglich per PowerShell oder nativer MIM-Programmierschnittstellen möglich war. Hier führt die zweite Preview des Microsoft Identity Manager REST APIs ein, wodurch sich dies nun auch in bestehende Admin-Tools integrieren lässt.

Durch die zweite Preview-Version wurde auch die Self-Service-Anwendung für Windows 8 erweitert, die jetzt zum Beispiel das eigenständige Ausrollen einer virtuellen Smartcard oder von Zertifikaten ermöglicht.

Microsoft Identity Manager wird wie bisher auch FIM Teil des kostenpflichtigen Azure Active Directory Premium sein. Seit der zweiten Preview besteht laut Microsoft zudem die Möglichkeit eines In-Place-Updates, durch das sich FIM 2010 R2 zu MIM 2015 aktualisieren lassen soll.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close