Microsoft is naast software leverancier de onbekende leider op het gebied van cyber security. Binnen de M365 bundels van Microsoft valt een heel pakket aan tooling om “Identities” en “Computers” te beschermen.
Veel los staande traditionele security producten zijn niet meer nodig. De functionaliteiten van deze traditionele security producten zitten verweven in de M365 bundels. Organisaties kunnen aanzienlijk geld besparen door hun M365 bundels beter te benutten.
Het inrichten en gebruik van Azure Sentinel vergt enige training. De andere producten spreken voor hun zelf. De samenwerking tussen de Microsoft security producten verloopt buiten gewoon goed.
De verschillende producten:
Microsoft Defender (for end Endpoint)Security center
Iedere organisatie gebruikt groepen om rechten toe te kennen aan medewerkers. Deze groepen geven bijvoorbeeld lees of schrijfrechten op een map. De groepen worden gebruikt om resources toe te kennen aan medewerkers. Vaak zijn dit applicaties, printers of alle andere zaken. Door de eenvoudige structuur van groepen blijft het overzichtelijk voor de beheerders.
Binnen het cloud tijdperk zijn groepen nog steeds relevant om permissies of resources toe te kennen. Echter vraagt dit wel een andere aanpak.
De administratie rondom groepslidmaatschappen laat nog weleens te wensen over. Medewerkers met veel arbeidsjaren hebben vaak een grote rugtas met groepen waarvan zij lid zijn. De dynamiek over werken is in de loop der jaren ook veranderd. Dit moet flexibeler en meer project/team matig. Om deze wensen in bestaande groepen structuren te plaatsen is lastig Dit is iets waar veel organisaties meer worstelen. In veel gevallen is er een wildgroei aan groepen ontstaan binnen hun Active Directory.
Hierdoor ziet men door de bomen het bos niet meer. Ik hoef niet uit te leggen waarom dit niet handig is voor IT-beveiliging.
Azure AD Dynamic Groups
In Azure AD kunnen groepen gemaakt worden op basis van user eigenschappen. Deze groepen noemt men Dynamic Groups. Zo kan er bijvoorbeeld een groep gemaakt worden op basis van functie titel. Het is dus eenvoudig om een groep te creëren met alle managers. De groep wordt ook automatisch bijgewerkt. Wanneer een lid niet meer voldoet aan de gestelde criteria wordt deze verwijderd.
Bijna alle user account eigenschappen kunnen gebruikt worden om membership rules te maken.
De Azure AD Dynamic Groups kunnen gebruikt worden in de Fortigate firewalls. (Lees hier hoe je je Fortigate SAML authenticatie met Azure AD inregelt) Resources worden door middel van dynamic groepen toegekend. De medewerker kan alleen via de SSL-VPN bij de resources als zijn account voldoet aan de criteria van de Dynamic Group.
Hieronder laat ik de stappen zien om dit te bereiken. In het onderstaande voorbeeld maak ik twee verschillende groepen aan. De ene is voor het security team. De andere is voor de CSN Microsoft licentie specialisten.
Beschrijf het doel van de dynamic groep zo concreet mogelijk en voeg deze later doe in de beschrijving
Maak binnen Azure AD een nieuwe groep aan. Geef aan dat de membership type: "Dynamic User" is. Voeg vervolgens een "Dynamic query" toe.
In de "Regel bouwer" kan je aangeven waar het groepslidmaatschap aan moet voldoen. In het onderstaande voorbeeld moet zijn functietitel iets te maken hebben met "security".
Gebruik de "validation rules" om te controleren of de gewenste leden voldoen aan de criteria Door een aantal test personen te kiezen zie je snel of de regel werkt.
Deze groep is gemaakt voor de Microsoft licentie specialisten van CSN Groep
Bij het aanmaken van een Dynamic Group wordt er een welkomst mail verstuurd naar de leden.
De groepen zijn aangemaakt. Het object-Id van de groep is later nodig in de Fortigate configuratie.
Het object-id van de groep wordt gebruikt in de Fortigate configuratie
Door de groep te openen kun je nogmaals controleren of de gewenste leden aanwezig zijn.
In ons geval gebruiken we de Dynamic Groups ook om de enterprise app "Fortigate SSL-VPN" toe te kennen
Geeft hier een duidelijk naam aan het attribuut. Deze is later nodig in de Fortigate configuratie
In de SAML user configuratie van de Fortigate plaats je de naam van het zojuist aangemaakte groep attribuut.
In de groep configuratie van de Fortigate maak je de nieuwe groepen aan. In deze groepen geef je de conditie aan waaraan ze moeten voldoen. In dit geval moet de "group-name" overeen komen met het "Object-id" van de groep in Azure AD.
De aangemaakte groepen kunnen nu worden ingezet om resources toe te kennen. Met andere woorden. Ze kunnen gebruikt worden in de Fortigate security policies.