Azure Active Directory (AAD) ist der Identitäts- und Zugriffsverwaltungsdienst der Microsoft-Cloud Azure. Vielleicht ohne sich dessen bewusst zu sein, verwendet eine Organisation diesen zentralen Teil von Azure, wenn sie Microsoft 365 nutzt – bei Einsatz von Azure-Diensten wie virtuellen Maschinen oder Speicherkonten ohnehin. Wie im On-Premises-AD sind in Azure AD die Standardeinstellungen auf Funktionalität ausgelegt und nicht auf Sicherheit.

Das führt dazu, dass reguläre Benutzer im AAD unerwartet viele Berechtigungen haben. Mangelnde Härtung und Fehlkonfigurationen sind Einfallstore für Angreifer, die einzelne Identitäten, Azure-Ressourcen oder gar das komplette Azure AD und damit verbundene Abonnements kompromittieren. Dabei erhöhen sie vom initialen Zugriff ohne Zugangsdaten ihre Rechte unter Umständen immer weiter und springen zwischen Azure-Diensten und AAD. Wenn eine Organisation On-Premises-AD und Azure AD verbunden hat, können Angreifer von einem kompromittierten lokalen Verzeichnisdienst in die Cloud wechseln – und andersherum.

Dieser Vortrag zeigt: Eine sichere Konfiguration ist möglich und bringt oft keine wesentlichen Funktionseinbußen. Mit kostenlosen quelloffenen Tools und in Azure eingebauten Werkzeugen wie Microsoft Defender können Cloud-Admins und Sicherheitsverantwortliche Verbesserungspotential aufspüren. Außerdem gibt es in der Microsoft-Cloud und ihrem Identitätsdienst Azure AD zahlreiche Funktionen, die AAD-Identitäten und Azure-Dienste sicherer machen.