Azure AD Connect — это продукт Microsoft, который в основном предназначен для беспрепятственного представления локальных Active Directory и Azure Active Directory. Он включает в себя ряд технологий:
- Синхронизация Azure AD Connect
- Azure AD Connect Health
- ADFS (службы федерации Active Directory)
- Соединитель подготовки PHS/PTA/SSSO
Основным компонентом (и что люди часто имеют в виду, когда говорят «Azure AD Connect») является Azure AD Connect Sync. Это служба синхронизации, предназначенная для работы между AD (Active Directory) и Azure AD (хотя на самом деле она может делать гораздо больше). Интерфейс выглядит так же, как диспетчер службы синхронизации FIM или MIM (и это потому, что он основан на FIM 2010), но с гораздо меньшим количеством доступных типов агентов управления («соединителей»).
Существенное отличие состоит в том, что правила синхронизации мало соответствуют правилам FIM или MIM и настраиваются в специальном интерфейсе, полностью через пользовательский интерфейс (без кодирования).
Рекомендации по использованию Azure AD Connect
1. Защитите сервер, на котором работает Azure AD Connect.
Убедитесь, что сервер, на котором запущен агент Azure AD Connect, надежно защищен. Ограничьте, какие учетные записи могут входить на сервер, особенно те, у которых есть права локального администратора. Вам также потребуется контролировать физический доступ к серверу и применять политику надежных паролей. Если вам нужно разрешить другим пользователям доступ к средству синхронизации Azure AD Connect, вы можете добавить их в группу ADSyncAdmins на локальном сервере. Как всегда, убедитесь, что им действительно нужен доступ к инструменту, прежде чем делать это.
2. Определите, какие объекты пользователей и групп могут синхронизироваться с Azure AD.
По умолчанию все объекты пользователей и групп будут синхронизированы с Azure AD. Однако многие локальные группы на самом деле не нужно синхронизировать с облаком. На самом деле, многие из них могут больше не понадобиться. Рекомендуется удалить все избыточные группы из локальной службы AD независимо от того, используете ли вы Azure AD Connect или нет. Вы также можете использовать возможности фильтрации модуля синхронизации, чтобы исключить любые нерелевантные группы. Также рекомендуется временно отключить запланированную задачу синхронизации перед внесением каких-либо важных изменений, так как это предотвратит автоматическую синхронизацию ошибок между Azure AD и вашей локальной средой.
3. Не синхронизируйте локальные группы администраторов с Azure AD.
Нет причин синхронизировать группы администраторов с Azure AD, поскольку они относятся к вашей локальной среде и, следовательно, не имеют отношения к вашей облачной среде. На самом деле, это только создаст ненужные риски, поскольку больше потенциальных противников будет знать, какие группы (и, следовательно, администраторы) должны быть нацелены.
4. Убедитесь, что цикл синхронизации запускается не реже одного раза в неделю.
По умолчанию цикл синхронизации запускается каждые 30 минут. Корпорация Майкрософт рекомендует, если вы решите изменить цикл синхронизации по какой-либо причине, убедитесь, что он запускался не реже одного раза в 7 дней. Невыполнение этого требования может привести к проблемам, которые необходимо решить, запустив полную синхронизацию. Это может занять много времени.
5. Не думайте, что AD Connect станет надежным решением для резервного копирования и восстановления.
Хотя верно то, что подключение Azure AD будет синхронизировать ваши облачные данные с локальной средой AD, его не следует рассматривать как надежное решение для резервного копирования и восстановления. Проблема заключается в том, что объекты Azure AD содержат определенные атрибуты, характерные для облачных служб, которые их используют.
Если вы случайно удалите объект в Azure AD и, таким образом, попытаетесь восстановить резервную копию из локальной среды, эти атрибуты будут потеряны. В этом случае восстановленные объекты не будут доступны для Microsoft 365, Teams, SharePoint Online, OneDrive и других облачных служб. Та же проблема возникает, когда вы удаляете атрибуты объекта, а не сам объект. Таким образом, крайне важно использовать решение для резервного копирования и восстановления корпоративного уровня, а не полагаться на Azure AD Connect.
6. Защитите учетные записи Azure AD с правами администратора
Убедитесь, что всем учетным записям администраторов назначены предварительно определенные роли. Поскольку учетная запись глобального администратора будет иметь доступ ко всем административным параметрам в вашей среде Azure AD, убедитесь, что на эту роль назначено не более пяти человек. Используйте многофакторную аутентификацию (MFA), управление доступом к удостоверениям (IAM) и решение для аудита изменений в режиме реального времени для защиты учетной записи глобального администратора и других учетных записей с правами администратора.
Заключение
Остались вопросы? Просто свяжитесь с нами. Fanetech – золотой партнер Microsoft в Казахстане. Мы поможем вам выбрать оптимальные пакеты лицензий Microsoft с удобным управлением через личный кабинет.