Einrichten des Zugangs zum Azure AD-Mandanten

Die Azure Active Directory (AAD)-Informationen können in den einzelnen User Workspace Management-Konsolen in den folgenden Gruppen der Menübandleiste konfiguriert werden:

  • Environment Manager – "Verwalten"

  • Application Control – "Globale Einstellungen"

  • Performance Manager – "Ressourceneinrichtung"

Mandant

Die Mandanteninformationen werden pro Konfiguration gespeichert und enthalten Folgendes:

Mandanten-ID: Die Mandanten-ID muss entweder eine GUID oder der Name der primären Domäne des Mandanten sein, z. B. meinedomaene.beimicrosoft.com. Sie befindet sich im AAD-Portal.

Anwendungs-ID (Client): Die Anwendungs-ID (GUID) ist die ID in der Anwendungsregistrierung im Portal.

Zertifikatfingerabdruck: Der Fingerabdruck des in das Portal hochgeladenen Zertifikats. Die Konsole kann den Fingerabdruck auch abrufen, indem sie zur .cer-Datei oder zur .pfx-Datei navigiert.

Die Konsolen unterbinden die Erstellung von AAD-Bedingungen, -Regeln und -Ressourcenverwaltungsgruppen, solange keine Mandanteninformationen eingegeben wurden. Beim Hinzufügen von AAD-Benutzern, -Gruppen, -Bedingungen und -Regeln veranlasst das Auswahlsteuerelement die Konsole, die Identität des Azure AD-Benutzers abzufragen. Dieser Benutzer muss berechtigt sein, alle Benutzer und Gruppen im Mandanten zu lesen, anderenfalls funktioniert die Auswahl nicht. Die Standardberechtigungen für AAD-Benutzer lassen dies zu.

Das Verwenden separater Anwendungsregistrierungen hat keine erkennbaren Vorteile, ist jedoch mit Wartungskosten verbunden.

Bedingungen, Regeln und Limits

In Environment Manager können vier Bedingungen auf Endpunkten verwendet werden, wenn diese AAD-Domänen angehören. Bei dieser Zugehörigkeit kann es sich um eine vollständige oder eine hybride Verknüpfung handeln (dabei ist der Endpunkt Mitglied einer lokalen AD-Domäne, die über AAD Connect mit der AAD-Domäne synchronisiert wird). Die Bedingungen lauten wie folgt:

  • AAD-Gruppenmitgliedschaft des Computers

  • AAD-Gruppenmitgliedschaft des Benutzers

  • AAD-Benutzername

  • AAD-Gruppenmitgliedschaft des Clientcomputers

Application Control unterstützt die Erstellung eines AAD-Benutzers und einer AAD-Gruppe, während Performance Manager die Ressourcenverwaltung auf Basis eines bestimmten AAD-Benutzers bzw. einer bestimmten AAD-Gruppe zulässt. Die AAD-Bedingungen und -Regeln setzen voraus, dass das für die Verschlüsselung verwendete Zertifikat auf dem Endpunkt im persönlichen Zertfikatspeicher des lokalen Computers zusammen mit dem privaten Schlüssel installiert ist. Auf den Konsolen gibt es keine Funktionalität zum Bereitstellen der Zertifikate auf den Endpunkten. Wenn kein Zertifikat vorhanden ist, wird ein Fehler protokolliert und es lässt sich keine AAD-Bedingung oder AAD-Regel durchführen.

AAD-Bedingungen und AAD-Regeln führen nur dann auf dem Endpunkt eine Prüfung durch, wenn dieser über eine direkte oder eine hybride Verknüpfung (unter Verwendung von Azure AD Connect bei einer lokalen AD-Domäne) der Azure AD-Domäne beigetreten ist. Ist dies nicht der Fall, schlagen die Bedingungen und Regeln fehl und es wird ein Fehler protokolliert.

Im Gegensatz zu AD-Bedingungen werden Azure AD-Bedingungen nur zu folgenden Zeitpunkten geprüft:

  • Beim Starten werden die Gruppenmitgliedschaften des Computers geprüft. Die Bedingungen werden geprüft, sobald das Netzwerk verfügbar ist. Möglicherweise funktioniert das Hinzufügen einer AAD-Computergruppenbedingung zum Computerstarttrigger nicht erwartungsgemäß, da die Gruppeninformationen mitunter veraltet sind oder fehlen.

  • Bei der Anmeldung des Benutzers werden die Bedingungen Benutzergruppe und Clientcomputergruppe geprüft. Die Gruppenmitgliedschaften des Computers werden erneut geprüft.

Änderungen an den Gruppenmitgliedschaften werden erst bei der nächsten Anmeldung sichtbar.

Die Bedingung bzw. Regel für den AAD-Benutzernamen setzt voraus, dass bei einer hybriden Verknüpfung der lokale Benutzerprinzipalname (User Principal Name, UPN) des Benutzers mit dem Namen in Azure AD übereinstimmt. Dies erfordert die Registrierung und Validierung des lokalen UPN-Suffixes als benutzerdefinierten Domänennamen im Azure-Mandanten.

Datenerfassung und Protokollierung

Die Azure AD-Daten werden über die ausführbare Datei "AADDataCollector.exe" erfasst, die mit geeigneten Parametern beim Starten und Anmelden ausgeführt wird. Die Datei wird jeweils einmalig ausgeführt und dann beendet. Nachfolgend sind die erfassten Daten und ihr Speicherort auf der Festplatte aufgeführt:

  • Eine Liste der AAD-Gruppen, denen der Computer angehört (einschließlich verschachtelter Gruppen) und die von der Bedingung AAD-Computergruppe verwendet werden

    %PROGRAMDATA%\AppSense\{Product}\AADComputerGroups.store

  • Ÿ Die Liste der Gruppen, denen der aktuelle Benutzer (mit SID {sid}) angehört (einschließlich verschachtelter Gruppen) und die von den Regeln und Bedingungen für die AD-Benutzergruppe verwendet werden

    %LOCALAPPDATA%\AppSense\{Product}\AADUserGroups_{sid}.store

  • Gruppen, denen das verbundene Gerät (d. h. der Quellcomputer bei einer Remoteverbindung) angehört und die von der Bedingung AAD-Clientcomputergruppe verwendet werden. Diese Bedingung funktioniert nur dann, wenn der verbundene Computer sich in derselben Azure-Domäne befindet wie der Endpunkt und wenn sein NETBIOS-Name mit dem Gerätenamen in AAD übereinstimmt. Die Liste der Gruppen, denen der aktuelle Benutzer (mit SID {sid}) angehört (einschließlich verschachtelte Gruppen) und die von den Regeln und Bedingungen für die AD-Benutzergruppe verwendet werden

    %LOCALAPPDATA%\Local\AppSense\{Product}\AADDevice_{devicename}_{sid}.store

Die Dateien sind auf die gleiche Weise strukturiert wie Sitzungsvariablendateien und bestehen aus Name/Wert-Paaren. In dem Fall ist der Name die Gruppenobjekt-ID und der Wert ist der Gruppenname. Wenn der Gruppenname gespeichert wird, können Abfragen auf Basis von Platzhaltern und regulären Ausdrücken durch Bedingungen in Environment Manager geprüft werden.

Die ausführbare Datei "AADDataCollector.exe" gibt eine Protokollierung aus, die vom Aufrufer gelesen und ebenfalls protokolliert wird. Beispiel: Wenn die Protokollierung für Environment Manager aktiviert ist, werden Protokolle des Erfassers angezeigt, wenn die Protokollierung "EmSystem" und "EmUser" aktiviert sind.