Sicherung hybrider Identitäten mit Azure AD Connect Health

Sicherung hybrider Identitäten mit Azure AD Connect Health

01.06.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieure bei der Verwendung von Microsoft Entra Connect Health (ehemals Azure AD Connect Health) zur Überwachung und Sicherung hybrider Identitäten anleiten. Azure AD Connect Health ist ein Überwachungsdienst, der eine konsolidierte Ansicht Ihrer lokalen Identitätsinfrastruktur, einschließlich Azure AD Connect, Active Directory Federation Services (AD FS) und Active Directory-Domänencontroller, bietet und dabei hilft, sicherzustellen, dass die Identitätssynchronisierung und -authentifizierung zuverlässig und sicher funktioniert [1].

Einführung

Für viele Unternehmen stellt das Identitätsmanagement eine komplexe Herausforderung dar, insbesondere in Hybridumgebungen, in denen Identitäten sowohl im lokalen Active Directory als auch in der Microsoft Entra ID in der Cloud vorhanden sind. Die Synchronisierung und Authentifizierung dieser Identitäten ist für den Zugriff auf Ressourcen und Dienste von entscheidender Bedeutung. Synchronisierungsfehler oder Leistungsprobleme können zu Dienstunterbrechungen, Sicherheitsproblemen und Benutzerfrustration führen. Azure AD Connect Health bietet Überwachungs- und Berichtstools, die es Ihnen ermöglichen, Probleme mit der Hybrididentität proaktiv zu identifizieren und zu lösen und so den Zustand und die Sicherheit Ihrer Umgebung zu gewährleisten [2].

Dieser praktische Leitfaden behandelt die Installation von Azure AD Connect Health-Agents, die Konfiguration der Überwachung, die Analyse von Synchronisierungsberichten, die Identifizierung und Fehlerbehebung häufiger Fehler sowie Best Practices für die Aufrechterhaltung einer gesunden und sicheren Hybrididentitätsumgebung. Es werden Schritt-für-Schritt-Anleitungen, Beispiele für die Schnittstellennutzung und Validierungsmethoden bereitgestellt, damit Leser Azure AD Connect Health effektiv implementieren und verwalten, ihre Hybrididentitäten schützen und die Geschäftskontinuität sicherstellen können.

Warum ist Azure AD Connect Health so wichtig?

  • Proaktive Überwachung: Bietet Warnungen und Benachrichtigungen zu Synchronisierungs-, Leistungs- und Verfügbarkeitsproblemen, bevor sie sich auf Benutzer auswirken.
  • Zentralisierte Sichtbarkeit: Bietet eine zentrale Übersicht zur Überwachung des Zustands aller Komponenten Ihrer hybriden Identitätsinfrastruktur.
  • Detaillierte Berichterstattung: Erstellt Berichte zu Synchronisierungsfehlern, Authentifizierungsaktivitäten und AD FS-Nutzung und erleichtert so die Prüfung und Compliance.
  • Vereinfachte Fehlerbehebung: Hilft bei der schnellen Diagnose und Lösung von Synchronisierungs- und Authentifizierungsproblemen und reduziert so Ausfallzeiten.
  • Erhöhte Sicherheit: Identifiziert Fehlkonfigurationen und verdächtige Nutzungsmuster, die auf Sicherheitsrisiken hinweisen können.

Voraussetzungen

Um Azure AD Connect Health verwenden zu können, benötigen Sie die folgenden Elemente:

  1. Lizenzierung: Eine Microsoft Entra ID Free-, Premium P1- oder Premium P2-Lizenz. Azure AD Connect Health ist in allen diesen Lizenzen enthalten [3].
  2. Administratorzugriff: Ein Konto mit der Rolle „Globaler Administrator“ in Microsoft. Geben Sie eine ID ein, um den Dienst zu konfigurieren.
  3. Azure AD Connect: Eine Instanz von Azure AD Connect muss installiert und konfiguriert werden, um Identitäten zwischen dem lokalen Active Directory und der Microsoft Entra ID zu synchronisieren.
  4. Netzwerkkonnektivität: Der Azure AD Connect-Server und/oder die AD FS-Server müssen über ausgehende Konnektivität zu den Azure AD Connect Health-Endpunkten verfügen (TCP-Ports 443).

Schritt für Schritt: Konfigurieren und Verwenden von Azure AD Connect Health

Wir behandeln die Installation der Agents und die Überwachung der Identitätssynchronisierung.

1. Zugriff auf das Microsoft Portal Enter Admin Center

  1. Öffnen Sie Ihren Browser und navigieren Sie zu „https://entra.microsoft.com“.
  2. Melden Sie sich mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
  3. Wählen Sie im linken Navigationsbereich Schutz > Azure AD Connect aus.

2. Installieren der Azure AD Connect Health Agents

Agents werden während der Azure AD Connect-Installation automatisch installiert. Wenn Sie sie jedoch neu installieren oder auf AD FS-Servern oder Domänencontrollern installieren müssen, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf der Seite Azure AD Connect auf Azure AD Connect Health.
  2. Wählen Sie im linken Navigationsbereich von Azure AD Connect Health die Option Verbindungssynchronisierung aus.

  3. Wenn der Agent nicht installiert oder veraltet ist, wird eine Warnung angezeigt. Klicken Sie auf Installierenr-Agent oder Download-Agent.

  4. Führen Sie das Agent-Installationsprogramm („AdHealthAgentSetup.exe“) auf dem Server aus, auf dem Azure AD Connect installiert ist (oder auf dem AD FS/Domänencontroller-Server).

  5. Folgen Sie den Anweisungen des Assistenten. Während der Installation werden Sie aufgefordert, sich mit einem Microsoft Entra ID-Konto „Globaler Administrator“ anzumelden, um den Agenten zu registrieren.

  6. Nach erfolgreicher Installation beginnt der Agent mit der Erfassung und dem Senden von Daten an den Azure AD Connect Health-Dienst.

3. Überwachung der Identitätssynchronisierung

Das Azure AD Connect Health-Dashboard bietet eine detaillierte Ansicht Ihres Synchronisierungsstatus.

  1. Wählen Sie im Azure AD Connect Health-Dashboard Verbindungssynchronisierung aus.
  2. Sie sehen eine Liste der Synchronisierungsdienste. Klicken Sie auf Ihren Synchronisierungsdienst (normalerweise der Name Ihres Azure AD Connect-Servers).
  3. Im Übersichtsbereich wird Folgendes angezeigt:
    • Synchronisierungsstatus: Zeigt an, ob die Synchronisierung ordnungsgemäß funktioniert.
    • Synchronisierungsfehler: Ein Diagramm und eine Liste der Synchronisierungsfehler, die behoben werden müssen.
    • Synchronisierungslatenz: Die Zeit, die benötigt wird, bis Änderungen synchronisiert werden.
    • Exportierte Änderungen: Die Anzahl der Objekte, die nach Microsoft Entra ID exportiert wurden.

4. Synchronisierungsfehler analysieren

Azure AD Connect Health hilft Ihnen, Synchronisierungsfehler zu identifizieren und zu diagnostizieren.

  1. Klicken Sie in der Synchronisierungsdienstübersicht auf den Abschnitt Synchronisierungsfehler.
  2. Sie sehen eine Liste der Fehler, kategorisiert nach Typ (z. B. „AttributeConflict“, „DuplicateValue“).
  3. Klicken Sie auf einen bestimmten Fehler, um Details anzuzeigen, einschließlich:
    • Betroffene Objekte: Eine Liste der Objekte, die den Fehler verursachen.
    • Fehlerdetails: Eine Beschreibung des Fehlers und eine vorgeschlagene Lösung.
    • Konfliktierende Attribute: Wenn es sich um einen Attributkonflikt handelt, welche Attribute verursachen das Problem.

5. AD FS überwachen (falls zutreffend)

Wenn Sie AD FS für den Verbund verwenden, kann Azure AD Connect Health den Zustand und die Leistung Ihrer AD FS-Server überwachen.

  1. Wählen Sie im Azure AD Connect Health-Dashboard Verbunddienste aus.
  2. Sie sehen eine Übersicht über Ihre AD FS-Umgebung, einschließlich:
    • Serverstatus: Zustand der AD FS- und Webanwendungsproxyserver.
    • Authentifizierungsfehler: Berichte über fehlgeschlagene Authentifizierungsversuche.
    • Leistung: Leistungsmetriken für Authentifizierungsanfragen.

6. Überwachung von Domänencontrollern (falls zutreffend)

Azure AD Connect Health kann auch den Zustand Ihrer lokalen Domänencontroller überwachen.

  1. Wählen Sie im Azure AD Connect Health-Dashboard Active Directory Domain Services aus.
  2. Sie sehen eine Übersicht Ihrer Domänencontroller, einschließlich:
    • Serverstatus: Zustand der Domänencontroller.
    • Warnungen: Warnungen zu Replikation, Leistung oder anderen Problemen.

Validierung und Tests

Die Validierung Ihrer Azure AD Connect Health-Implementierung ist von entscheidender Bedeutung, um sicherzustellen, dass sie korrekt überwacht und genaue Informationen bereitstellt.

1. Überprüfen des Agentenstatus

  1. Überprüfen Sie im Azure AD Connect Health-Portal, ob der Agent-Status für alle relevanten Server (Azure AD Connect, AD FS, Domänencontroller) „Aktiv“ ist.

2. Simulation eines Synchronisationsfehlers

  1. Erstellen Sie in einer Testumgebung einen Benutzer im lokalen Active Directory mit einem Attribut, das einen Synchronisierungskonflikt verursachen könnte (z. B. „proxyAddresses“ dupliziert mit einem vorhandenen Benutzer in Microsoft Entra ID).
  2. Erzwingen Sie einen Azure AD Connect-Synchronisierungszyklus: „Powershell Import-Modul ADSync Start-ADSyncSyncCycle -PolicyType Delta „
  3. Warten Sie einige Minuten und überprüfen Sie im Azure AD Connect Health-Dashboard, ob der Synchronisierungsfehler erkannt und gemeldet wurde.

3. Überprüfen von Warnungen und Benachrichtigungen

  1. Stellen Sie sicher, dass E-Mail-Benachrichtigungen für kritische Warnungen in Azure AD Connect Health konfiguriert sind.
  2. Überprüfen Sie Ihren Posteingang, um zu sehen, ob Sie Benachrichtigungen über den simulierten Synchronisierungsfehler erhalten haben.

Sicherheitstipps und Best Practices

  • Umfassende Installation: Installieren Sie Azure AD Connect Health-Agents auf allen relevanten Servern (Azure AD Connect, AD FS, Domänencontroller), um einen vollständigen Überblick über Ihre Infrastruktur zu erhaltenIdentitätsstruktur.
  • Benachrichtigungskonfiguration: Konfigurieren Sie Warnungen für kritische Synchronisierungs-, Leistungs- und Verfügbarkeitsereignisse, um proaktiv über Probleme benachrichtigt zu werden.
  • Regelmäßige Fehlerüberprüfung: Überwachen und beheben Sie regelmäßig Synchronisierungsfehler, um die Integrität der Identitätsdaten aufrechtzuerhalten und Zugriffsprobleme zu verhindern.
  • Azure AD Connect-Wartung: Halten Sie Ihre Azure AD Connect-Software auf dem neuesten Stand, um sicherzustellen, dass Sie über die neuesten Funktionen und Sicherheitsfixes verfügen.
  • Sicherung und Wiederherstellung: Verfügen Sie über einen Sicherungs- und Wiederherstellungsplan für Ihren Azure AD Connect-Server und Ihre lokale Active Directory-Datenbank.
  • Prinzip der geringsten Rechte: Stellen Sie sicher, dass das Azure AD Connect-Dienstkonto und die von Connect Health-Agenten verwendeten Konten nur über die erforderlichen Berechtigungen verfügen.
  • Serversicherheit: Schützen Sie Ihren Azure AD Connect-Server und Ihre AD FS-Server mit den besten Sicherheitspraktiken (Patching, Antivirus, Firewall usw.), da sie wichtige Komponenten Ihrer Identitätsinfrastruktur sind.

Allgemeine Fehlerbehebung

  • Agent stellt keine Verbindung her: Überprüfen Sie die Netzwerkkonnektivität vom Server zu den Azure AD Connect Health-Endpunkten. Stellen Sie sicher, dass die Firewall ausgehenden Datenverkehr auf Port 443 zulässt. Überprüfen Sie die Ereignisprotokolle auf dem Server auf agentenbezogene Fehler.
  • Veraltete Daten im Dashboard: Es kann zu Verzögerungen bei der Synchronisierung der Agentendaten mit dem Dienst kommen. Stellen Sie sicher, dass der Agent auf dem Server ausgeführt wird. Starten Sie den Agentendienst bei Bedarf neu.
  • Persistente Synchronisierungsfehler: Überprüfen Sie die Fehlerdetails im Azure AD Connect Health-Dashboard. Verwenden Sie Azure AD Connect-Tools zur Fehlerbehebung (z. B. „Synchronization Service Manager“), um die Grundursache zu untersuchen. Attributkonflikte kommen häufig vor und erfordern häufig eine Datenkorrektur im lokalen Active Directory.
  • Falsche Warnungen: Überprüfen Sie die Warnungseinstellungen und Schwellenwerte. Passen Sie sie an, wenn sie zu viele irrelevante Warnungen generieren.
  • AD FS-Leistungsprobleme: Verwenden Sie Azure AD Connect Health, um AD FS-Leistungsmetriken zu überwachen und Engpässe zu identifizieren. Überprüfen Sie die Ereignisprotokolle auf AD FS-Servern.

Fazit

Azure AD Connect Health ist ein unverzichtbares Tool für Organisationen, die hybride Identitätsumgebungen betreiben. Durch die Bereitstellung proaktiver Überwachung, zentraler Sichtbarkeit und Fehlerbehebungsfunktionen ermöglicht es IT- und Sicherheitsteams, den Zustand, die Leistung und die Sicherheit ihrer Identitätsinfrastruktur aufrechtzuerhalten. Durch die effektive Implementierung und Verwaltung von Azure AD Connect Health wird sichergestellt, dass die Identitätssynchronisierung und -authentifizierung zuverlässig funktioniert, Unterbrechungen minimiert und vor Sicherheitsbedrohungen geschützt werden. Mit diesem praktischen Leitfaden können Sicherheitsexperten den Schutz hybrider Identitäten stärken und so einen kontinuierlichen und sicheren Zugriff auf die Ressourcen der Organisation gewährleisten.

Referenzen:

[1] Microsoft Learn. Was ist Microsoft Entra Connect Health?. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/whatis-azure-ad-connect [2] Microsoft Learn. Verwendung von Microsoft Entra Connect Health mit Synchronisierung. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/how-to-connect-health-sync [3] Microsoft Learn. Microsoft Entra Connect Health-Lizenzanforderungen. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/whatis-azure-ad-connect#license-requirements