Microsoft Azure är en fantastisk plattform med stora möjligheter. Det är också en av världens säkraste plattformar. Trots det finns saker du som kund behöver göra. Här delar jag med mig av några enkla inställningar jag tycker alla organisationer bör ändra om de inte redan gjort det.
När man som kund registrerar sin organisation i Microsoft Azure så gör man det med god vilja och med de bästa av intentioner. Du förutsätter säkerligen också att standardinställningarna är de säkraste och bästa för din organisations användning av Microsoft Azure. Eller så har du endast registrerat dig som Microsoft 365-kund och vet inte alls att du får ett Azure AD på köpet. Ganska snart kommer dock Azure AD att påverkas då externa partners eller kunder bjuds in till Teamskanaler, man delar dokument via OneDrive etc.
Även om Microsoft Azure är en väldigt säker plattform så är det byggt standardiserat för att tusentals, kanske miljontals företag, ska kunna börja sin cloudresa med en plattform som ser likadan ut och fungerar på samma sätt för alla.
Här nedan kommer förslag på några enkla förändringar som du rekommenderas att genomföra som både kan säkra upp er plattform och göra den billigare.
External identities
Microsoft Azure AD har en möjlighet där man med väldigt enkla medel kan bjuda in externa gäster. Det är så pass enkelt att det inte ens behöver vara någon inom it-organisationen som genomför arbetet. Det räcker med att bjuda in en kund till en kanal i Microsoft Teams så kommer kontot att skapas i Azure Active Directory.
Något som många inte vet är att standardinställningen för att bjuda in gäster tillåter alla, även gäster att göra så. En så pass tillåtande öppning kanske inte är att rekommendera. Det är förstås upp till varje organisation att välja sina inställningar men den första guiden visar hur du enkelt ändrar ett par inställningar i Azure AD för att minska ytan för externa gästkonton.
Såhär gör du
1. Logga in till https://portal.azure.com och gå till Azure Active Directory.
2. Klicka på ”External Identities” enligt bilden till vänster.
Notera!
Alla externa gästkonton kommer påverkas. Om du har externa konton som ska ha möjlighet att se mer i Azure AD så går det att ordna genom rolltilldelning i Azure. Detta kommer inte behandlas i den här artikeln.
3. Välj sedan ”External collaboration settings” som bilden visar.
Här nedan ser du nu standardinställningarna för samarbete med externa gäster. Till synes har gäster inte riktigt, men nästan, lika höga behörigheter i Azure AD som interna medarbetare och kan dessutom bjuda in andra gäster. Så vill de flesta inte ha det.
4. Ändra inställningarna enligt bilden nedan och klicka ”Save”.
Sådär!
Du har nu säkrat upp ert AD ganska ordentligt. Detta kommer inte märkas av någon förutom om någon extern gäst försöker logga in i AD eller bjuda in sina kollegor eller andra till er Teams-kanal.
Linked subscriptions
Som standard använder Azure Active Directory och Microsoft 365 en så kallad 1:5-modell för externa gäster. För varje licensierat konto får fem externa konton skapas och användas med samma funktionalitet som det licensierade kontot. Bjuder man in fler än så krävs full licensiering för dem.
Linked Subscriptions aktiverar en licensmodell för alla externa konton, MAU (Monthly Active Users). 50 000 gäster kan logga in per månad utan extra kostnad för organisationen. Om fler externa konton loggar in under en månad, tillkommer en extra, men lägre kostnad per konto och månad.
Externa gästkonton får då även möjlighet att använda sig av P2-funktionalitet som till exempel Entitlement Management utan extra kostnad. Det ger ett mycket stort användningsområde.
För att aktivera linked subscription behöver du en resursgrupp i Azure. Rekommendationen är att använda en egen resursgrupp för att kunna få en bra översikt över eventuella kostnader för tjänsten. Men, det är förstås upp till respektive organisation att välja. Instruktionen omfattar inte skapande av resursgrupper eller andra krav som till exempel Resource Providers.
Såhär gör du
1. Fortfarande i ”External Identities” där du klickar på ”Linked Subscriptions”.
2. Markera din tenant och klicka på ”Link Subscription”. I popup-fönstret väljer du din subscription och din resursgrupp, klicka sedan ”Apply”.
När länkningen är klar ser det ut enligt nedan.
App registrations och Tenant Creation
Grundinställningen i Azure AD säger att alla användare ska kunna registrera cloudapplikationer. En it-organisation kan önska bättre kontroll och endast tillåta administratörer registrera nya applikationer vilket också är undertecknads rekommendation.
Dessutom ger standardinställningen möjlighet för alla användare att skapa en ny tenant. Även om det initialt inte medför någon kostnad så kan det drabba organisationen ekonomiskt längre fram.
Såhär gör du
1. Inne i Azure tar du dig till Azure Active Directory.
2. Scrolla ned i den vänstra kolumnen till du hittar ”User Settings” och klicka där.
3. Såhär ser nu standardinställningarna ut i Azure AD.
4. Ändra de två översta enligt nedan bild och klicka ”Save”. För nu ändrar vi dock endast de två översta (även övriga inställningar bör tänkas igenom, diskuteras och kanske ändras).
5. Klicka på ”Save”.
Behöver du hjälp med att hantera er i miljö i Azure?
Vill du prata mer om hur ni kan dra nytta av Microsoft Azure på bästa sätt, eller behöver stöd med att hantera er befintliga miljö?
Tveka inte att höra av dig till oss för en gemensam utvärdering. Helt utan förpliktelser såklart! Vi hjälper er gärna att optimera er Azure-miljö och säkerställa en smidigare och effektivare drift.
powered by Advanced iFrame. Get the Pro version on CodeCanyon.
