microsoft-azure-logo

Azure AD -palveluun on tullut taas uusia ominaisuuksia, ja uutta palvelua myös pukkaa tuutista. Tietoturvan kunniaksi otetaan kiinni pikaisesti pariin mielenkiintoiseen uutuuteen, joihin tosin pääsee tutustumaan vain Azure AD Premium -tilaajat, eli siis myös kaikki EMS:iä (Enterprise Mobility Suite) käyttävät organisaatiot.

Azure AD Identity Protection

Tämä uusi palvelu on jo tuotannossa, eli sitä pääsee heti käyttämään, jos vain Azure AD Premium -käyttöoikeudet löytyy. Nyt voidaan samaa koneälyn tuottamaa informaatiota hyödyntää toimenpiteiden automatisointiin.

Otetaan esimerkiksi yleinen Azure AD Premium -raportti, josta saadaan tieto siitä, onko löydetty poikkeavia kirjautumisia esimerkiksi niin, että samalla tunnuksella on kirjauduttu sisään tunnin sisällä Suomesta ja Kiinasta.

Kun Azure-koneäly tällaisen havaitsee, voidaan Azure AD Identity Protection -palvelulla pakottaa käyttäjä vaihtamaan salasana tai ottamaan käyttöön monivaiheinen tunnistautuminen, eli saadaan automatisoitua halutut toimenpiteet tietoturvapoikkeamiin, joita koneäly havaitsee. Voidaan toki itse valita, tuleeko toimenpiteitä vain korkean riskiluokan löydöksistä, tai vaikka niin että tietoa vain kerätään, jolloin voidaan nähdä, miten säännöksen kytkeminen päälle vaikuttaisi omassa ympäristössä.

Azure AD Privileged Identity Management

Tämän tulossa olevan palvelun (vielä preview tilassa) tarkoituksena on minimoida MS:n pilvipalveluissa käytettyjen hallintaoikeuksien tietoturvariskiä. Yleisin rooli on tietysti Global Administrator -rooli, joka antaa koko tenanttiin täydet oikeudet, ja näitä oikeuksia kuitenkaan ei koko aikaa tarvitse edes ylläpitäjät.

Azure AD Identity Protection -palvelulla voidaan määritellä tietoturvaan liittyvät roolit joko pysyviksi (, kuten aikaisemmin on ollut), jolloin oikeudet on aina käyttäjille joille rooli on kytketty päälle, tai väliaikaiseksi jolloin käyttäjän on mahdollista aktivoida oikeudet itselleen silloin kun niitä tarvitsee.

Edelleen siis valituilla käyttäjillä on käytettävissään roolin oikeudet, mutta väliaikaisessa mallissa käyttäjän on ensin Azure-portaalista aktivoita itselle oikeudet, ja sen jälkeen pääsee oikeuksia käyttämään. Tällöin ei turhaan käyttäjillä ”roiku” korkean tason oikeuksia, jolloin tietoturvan taso on parempi.