2jenn - Fotolia
Azure AD B2B: Externe Zugriffe auf interne Ressourcen
Azure AD B2B erweitert die Vorteile von Active Directory auf die Cloud. Admins und selbst einfache Nutzer können damit externe Anwender einladen, um bestimmte Ressourcen zu teilen.
Viele Administratoren sind bereits mit Azure Active Directory (Azure AD) vertraut. Weniger bekannt ist allerdings der zugehörige Dienst Azure AD B2B (Business to Business), mit dem externen Nutzern Zugriff auf interne Ressourcen gewährt werden kann.
Azure Active Directory ist eine Cloud-basierte Plattform zum Management von Identitäten. In manchen Punkten ähnelt sie dem bekannten Active Directory von Microsoft, das in der Regel aber nur On-Premises eingesetzt wird. Mit Active Directory können Anwender und Computer authentifiziert werden.
Unterm Strich gibt es aber doch zahlreiche Unterschiede. So kann Azure AD B2B natürlich auch Objekte mit einem On-Premises genutzten Active Directory synchronisieren. Es bietet aber weit mehr Möglichkeiten, um Anwender sicher mit diversen Cloud-Diensten zu verbinden. So war etwa eine der von Anwendern gewünschten Funktionen, sich von außen mit eigentlich nur intern zur Verfügung stehenden Ressourcen verbinden zu können. Azure AD B2B funktioniert hier also wie eine Art Türsteher, der die Zugriffe kontrolliert.
Azure AD B2B unterstützt zudem das Nutzer-Management von Office 365. Um Office 365 sicher und effektiv einsetzen zu können, müssen Administratoren jedoch den Kern von Azure AD B2B verstehen. Dazu gehören etwa das Aufsetzen von Azure AD Connect, um Objekte aus dem Active Directory mit den Nutzern aus Azure AD synchronisieren zu können.
Externen Anwendern Zugriff ermöglichen
Azure AD B2B ist eine effektive Methode, um angemeldeten externen Anwendern und Diensten den Zugriff auf interne Ressourcen zu ermöglichen und um sie mit ihnen zu teilen. Informationen über bekannte Identitäten wie zum Beispiel interne Mitarbeiter, die im Active Directory bereits angelegt wurden, werden dazu mit Azure AD synchronisiert. Über diese einfache Sicherheitsmaßnahme erhalten sie von außen Zugriff auf interne Unternehmensressourcen wie etwa SharePoint, E-Mails und OneDrive for Business. Viele Organisationen wollen zudem, dass auch andere externe Nutzer auf diese Dienste zugreifen können.
So ermöglicht es Azure AD B2B Administratoren beispielsweise, in einer Umgebung mit Office 365 die Zugriffsrechte für eine SharePoint-Ressource detailliert festzulegen.
So funktioniert Azure AD B2B
Um Zugriffsrechte mit Azure AD B2B zu gewähren, lädt zum Beispiel ein Mitarbeiter aus dem Unternehmen einen externen Teilnehmer über das Azure-Portal mit Hilfe seiner E-Mail-Adresse ein. Administratoren können diese Fähigkeit auch normalen Nutzern in einer Organisation zuteilen, so dass sie selbst neue B2B-Nutzer über das Azure Active Directory Panel einladen können.
Der Empfänger erhält dann eine E-Mail mit einem Link, auf den er klicken muss. Anschließend folgt er den Instruktionen auf dem Bildschirm, bis er sich einloggen kann. Azure AD B2B überprüft dabei, ob der Empfänger bereits über einen Azure-AD-Account verfügt. Trifft dies zu, dann kann er seine bereits bestehenden Zugangsdaten nutzen, um auf die Ressourcen des einladenden Azure-AD-Kunden zuzugreifen. Hat er noch keinen Account, dann wird ein neuer Zugang zu der gewünschten Domain ohne weitere Kosten und ohne aufwändige Konfigurationsschritte angelegt. Der neue Account wird dabei in seiner eigenen Umgebung erstellt, auf die die IT-Abteilung des einladenden Azure-AD-Kunden keinen Zugriff hat. Azure AD B2B unterstützt auch öffentliche E-Mail-Adressen, wie sie etwa Outlook und Gmail zur Verfügung stellen.
Nachdem Azure AD B2B den neuen Zugang erstellt und dem neuen Account Gastrechte zugewiesen hat, erscheint der Anwender in der Übersicht der Azure-AD-Nutzer des Unternehmens. Administratoren können ihm nun weitere Zugriffsrechte zuweisen und natürlich später auch wieder entziehen. Der Account kann dabei auch wieder komplett aus der Azure-AD-Umgebung des Kunden entfernt werden. Innerhalb von Azure bleibt er aber trotzdem bestehen, da er ja in einer separaten Umgebung angelegt wurde.
Vorteile von Azure AD B2B
Einer der größten Vorteile von Azure AD B2B ist, dass der Dienst dem eingeladenen Anwender ermöglicht, einige Einstellungen selbst zu verwalten. Das befreit die Administratoren eines Unternehmens von einem Teil der sonst von ihnen zu erledigenden Aufgaben.
Die Administratoren haben andererseits aber auch keine Möglichkeit, um etwa das Passwort des Anwenders zurückzusetzen. Stattdessen muss er selbst einen Reset auslösen, wenn er dies wünscht. Dabei wird die mit seinem Account verknüpfte E-Mail-Adresse genutzt.
Die Anmeldung ist web-basiert und unterstützt verschiedene Möglichkeiten zur Multifaktor Authentifizierung. So können die Admins des Kunden eigene Richtlinien erstellen, die für die gesamte Umgebung, für genutzte Anwendungen oder auch für einzelne Nutzer gelten, um so bestimmte Authentifizierungsmaßnahmen zu erzwingen. Beispiele dafür sind etwa die Zusendung eines Codes via Text-Message, der dann eingegeben werden muss, oder die Nutzung der von Microsoft bereitgestellten App Authenticator.
Admins können außerdem auch die PowerShell nutzen, wenn sie eine größere Gruppe von externen Nutzern einladen wollen. Dabei können sie eine externe Datenquelle wie zum Beispiel eine CSV-Datei nutzen, um Einladungen in größeren Mengen versenden zu können.
Manche der Funktionen von Azure AD B2B sind kostenlos erhältlich, andere müssen jedoch lizenziert werden. Microsoft bietet eine umfangreiche Dokumentation an, so dass Administratoren leicht selbst herausfinden können, was sie benötigen und was nicht.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
