Pilvihakemisto pitää käyttäjistäsi parhaiten huolta – laita Azure AD identiteetinhallinnan keskiöön

Onko paikallisen AD-käyttäjähakemiston aika ohi? Onko erilliselle identiteetinhallinnan järjestelmälle enää tarvetta? Näitä kysymyksiä mietitään tällä hetkellä monessa organisaatiossa. Azure AD tarjoaa monet identiteetinhallinnan perustoiminnot sisäänrakennettuna, ilman erillistä kustannusta ja jatkuvasti kehittyvinä moderneina versioina.

Identiteetinhallinnan lyhyt historia


Perinteinen organisaatio-IT:n käyttäjätunnuksen luontiprosessi noudattaa usein samaa kaavaa. Pienimmissä organisaatioissa käyttäjätunnus luodaan käsin paikalliseen AD:hen. Keskikokoisissa yrityksissä luontiprosessi tapahtuu automaattisesti HR-järjestelmän eräajojen perusteella.

Mitä suuremmaksi kasvetaan, sitä todennäköisemmin talosta alkaa löytyä erillinen identiteetinhallinta- eli IDM-järjestelmä. IDM-järjestelmän tehtävänä on luoda käyttäjäidentiteetti erillisiin järjestelmiin, huolehtia luvituksista sekä tarjota käyttöliittymiä tietojen päivittämiseen, oikeuksien pyytämiseen ja myöntämiseen – vain tärkeimmät mainitakseni.

Kun organisaatiot ottivat käyttöön Microsoftin pilvipalveluita, tarve pilvi-identiteeteille ratkaistiin synkronoimalla paikallisen AD:n tunnukset pilven käyttäjähakemistoon eli Azure AD:hen, mutta arkkitehtuuriin ei tehty muita muutoksia. Vuonna 2022 Azure AD on kuitenkin hyvin erilainen palvelu, joka tarjoaa mahdollisuudet jopa todelliseen pilvipohjaiseen eli Cloud-First -malliin myös identiteettien osalta.

Azure AD – kaiken keskipiste


Azure AD:sta on viime vuosina kehittynyt paljon muutakin kuin käyttäjähakemisto. Se on nykyään hakemisto, johon myös liiketoimintajärjestelmät liitetään. Näin järjestelmiin voidaan järjestää tietoturvallinen pääsy moderneilla integraatioprotokollilla, huomattavan helposti ja järjestelmien sijainnista riippumatta.

Azure AD on myös entistä enemmän hakemisto päätelaitteiden hallinnalle. Moni organisaatio vähintäänkin pilotoi pilvipohjaista laitehallintaa, jossa laitteet hallitaan pääosin tai ainoastaan pilviteknologioilla. Monelle tulee silti yllätyksenä vaikka se, että Azure AD -liitetyllä laitteella voi saada kertakirjautumisen paikallisen AD:n resursseihin.

Uusia toimintoja Azure AD:n identiteetinhallintaan


Microsoftin vastaus identiteetinhallintajärjestelmän tarpeeseen on perinteisesti ollut Microsoft Identity Manager eli MIM. Microsoft on kuitenkin todennut, että vaikka MIM:n kehittämistä jatketaan, pidemmällä tähtäimellä identiteetinhallinnan toiminnot rakennetaan Azure AD:n toimintoina. Azure AD:ssa identiteetinhallinnan kokonaisuus rakentuu useasta erillisestä osatoiminnosta, joista tärkeimmät ovat:

  • Moni on kutsunut jo vieraskäyttäjiä Teams-tiimin osaksi. Siinä on hyvä esimerkki itsepalveluprosessista, joka on täysin upotettu sovelluskäyttöliittymään. Itsepalvelua voi viedä pidemmälle Azure AD:n omatoimisen salasanaresetoinnin ja ryhmien itsepalveluhallinnan avulla.
  • Yhä useampi organisaatio siirtyy käyttämään E5 Security -tason lisenssejä. Sitä kautta organisaatio saa käyttöönsä Access reviews -toiminnon, joka mahdollistaa säännölliset katselmoinnit ja siivoukset vaikka organisaation vieraskäyttäjiin. Lue Access reviews -toiminnosta lisää Laura Kokkarisen blogista
  • Monelle on tuttu JIT PIM -toiminto, joka mahdollistaa pääkäyttäjätunnusten hetkittäisen aktivoinnin ja pyyntöprosessin. Tämä olisi hyödynnettävissä myös Azuren RBAC-pääkäyttäjäoikeuksien hallintaan.
  • Loppukäyttäjien näkökulmasta harvoin hyödynnetty avaintoiminto on Entitlement Management, joka mahdollistaa erilaisten roolikohtaisten oikeuspakettien määrittämisen ja hakuprosessin toteuttamisen.
  • Azure AD mahdollistaa tiettyjen HR-järjestelmien suoran liitoksen – tuettuja ovat ainakin Workday ja SAP:n SuccessFactors. Tämä on todella olennainen tekijä siinä, että käyttäjän luontiprosessi saadaan aidosti pilvipohjaiseksi. Käyttäjä syntyy HR-järjestelmästä suoraan Azure AD:hen, jolloin mutkaa paikallisen AD:n kautta ei enää tarvita.

Mistä lähteä liikkeelle?


Uskaltaako kaiken laskea pilven varaan? Koska Azure AD kasvaa yhä tärkeämmäksi osaksi arkkitehtuuria, nosti Microsoft viime vuonna Azure AD:n palvelutasolupauksen eli SLA:n 99,99 % tasolle.

Harva organisaatio on vielä katkaissut napanuoraa paikalliseen AD:hen käyttäjätunnusten osalta, vaikka sovellukset ja päätelaitteet ovat jo pilvipohjaisiksi siirtyneet. Matkaa täyteen pilvimalliin kannattaa jo alkaa luonnostelemaan, sillä kuten edellä kuvasin, Azure AD:ssa on useita identiteetinhallinnan toimintoja, joilla tämän päivän tarpeita saa jo virtaviivaistettua.

Helpointa pilven varaan siirtyminen on aloittaa se kirjautumisesta – jos vielä käytät AD-federointia, hankkiudu siitä nopeasti eroon. Toinen kärkihanke on tyypillisesti ulkoisten käyttäjien tehokas pilvihallinnointi uudella External Identities -mallilla – siinä saa monesti myös kustannussäästöjä lisensseistä, kun vieraskäyttäjien mahdollisuuksia hyödynnetään aiempaa laajemmin.

Laita identiteetinhallinnan uudistustiekartta tehtävälistallesi – meiltä saat siihen asiantuntevimman avun! Microsoft 365 -asiakkailla on parhaat mahdollisuudet varmistaa mm. Azuren turvallinen hallinta, päätelaitteiden suojaus, loppukäyttäjien identiteetti ja M365-palveluiden sekä muiden liiketoimintasovellusten turvallinen käyttö.

Tutustu palveluihimme

Tutustu tietoturvapalveluihimme, ota rohkeasti yhteyttä, kutsu meidät käymään ja ala hyödyntämään pilven tuomaa turvaa omassa ympäristössäsi!

Katso webinaaritallenne: Välineet modernin tietoturvan rakentamiseen

Moderneihin tietoturvauhkiin ja vaatimuksiin vastaaminen on kiinteä osa riskienhallintaa. Valtavien datamassojen edessä huomaa kuitenkin nopeasti, että tämä edellyttää moderneja työtapoja ja -välineitä. Välineiden avulla mm. suojaudut uhilta ja laajennat käyttäjätietojen suojausta integroidulla ja automatisoidulla suojauksella, jotta voit estää vahingot hyökkäyksen tapahtuessa.

Tilaa maksuton webinaaritallenne, jossa asiantuntijamme käyvät läpi joukon keskeisiä välineitä kuten Microsoft 365 Defender, Microsoft Sentinel ja Azure AD sekä luovat katsauksen lisensseihin.