In den letzten Monaten haben wir unseren M365 Connector angepasst und dadurch neue Produktfunktionen hinzugewonnen. Durch die M365 Services und deren Integration in das Azure Active Directory (Azure AD) erlangen Unternehmen und Anwender/innen größere Freiheiten bei der Nutzung und Vergabe von Berechtigungen für Online-Dienste.
Die Vergabe von Berechtigungen und Lizenzen sowie die Verwaltung von Gruppen stellen die Kernfunktionalitäten des M365 Connectors dar.
So einfach es mittlerweile ist, Berechtigungen und Lizenzen in der „M365/Azure-Welt“ zu vergeben, so herausfordernd ist es auch, die vergebenen Berechtigungen im Blick zu behalten und zu verhindern, dass diese unkontrolliert anwachsen. Durch das umfassende SecuIAM Regelwerk, weitreichende Automatismen und die Nachvollziehbarkeit der durchgeführten Aktionen wird die Administration durch SecuIAM dabei unterstützt, eine unerwünschte Verselbstständigung der Lizenz- und Berechtigungsvergabe zu vermeiden.
Vorteile und Nutzen des M365 Connectors
Die Implementierung unseres M365 Connectors unterstützt die Administration bei der manuellen und automatischen Vergabe von Berechtigungen in diversen Bereichen. Der entsprechende Nutzen bezieht sich dabei nicht nur auf eine zentralisierte Provisionierung aus SecuIAM heraus, sondern umfasst zudem die Vorteile der Informationsbereitstellung über verschiedene Zielsysteme hinweg. So können beispielsweise gelieferte Informationen aus einem Personalverwaltungssystem (HR-System) zur automatischen Anlage von zugehörigen Azure AD-Accounts genutzt, jedoch auch Informationen zurückgeschrieben werden, die erst im Verlauf des Anlageprozesses vergeben werden. Eine bei Anlage in Exchange Online gebildete E-Mail-Adresse kann somit zurück ins HR-System und/oder an alle anderen an SecuIAM angeschlossenen Systeme verteilt werden.
Accountverwaltung
Die Anlage, Bearbeitung, das Sperren/Entsperren sowie das Löschen von Accounts im Azure AD wurden implementiert. Somit ist es möglich, Accounts manuell, über Anträge oder aber vollautomatisch über Zuordnung/Entzug durch das SecuIAM Regelwerk zu provisionieren. Die getätigten Aktionen sind über das Reporting nachvollziehbar.
Lizenzverwaltung
Auch die Lizenzvergabe und der Lizenzentzug sind über den manuellen sowie den automatischen Weg durch SecuIAM möglich. M365 Lizenzen können Accounts direkt oder aber entsprechend des SecuIAM Regelwerks bequem automatisiert zugeordnet werden. Unterstützt wird die Administration hierbei vor allem durch die Standardprozesse für den Mitarbeitereintritt, den Mitarbeiteraustritt oder aber den OE-Wechsel (Abteilungswechsel von Mitarbeitenden). Durch die hinterlegten Regeln werden hierbei die einzelnen Lizenzen/Lizenzoptionen entsprechend der Abteilungszugehörigkeit der Nutzer automatisch zugewiesen und/oder entzogen, sodass es weder zu einer Über- noch zu einer Unterversorgung mit den für die Arbeit notwendigen Lizenzen kommt. Dies sorgt für eine stets arbeitsplatzgerechte Vergabe von Lizenzen und erspart dem Unternehmen unnötige Lizenzkosten. Durch diverse Reportübersichten ist die Administration stets darüber informiert, über welche Wege (direkte Zuordnung zu einem Account/indirekte Zuordnung über eine Sicherheitsgruppe) die Unternehmenslizenzen verteilt wurden. Durch einen regelmäßigen Abgleich zwischen SecuIAM und Azure wird sichergestellt, dass stets die korrekten Lizenzen und Lizenzoptionen für eine Provisionierung zur Verfügung stehen.
Gruppenverwaltung
Über SecuIAM können M365 Gruppen und Sicherheitsgruppen angelegt, geändert und gelöscht werden. Zudem ist ein automatischer Import von Gruppenobjekten aus Azure in SecuIAM möglich. Die Gruppen werden den Accounts direkt oder aber über SecuIAM Rollen zugeordnet. Das kann auch prozessgestützt, also automatisiert unter Anwendung von Zuweisungs- und Entzugsregelungen, geschehen. An Sicherheitsgruppen können zudem Lizenzen/Lizenzoptionen vergeben werden. Selbstverständlich ist auch eine Beantragung von Gruppen über das Rollenmodell möglich, wodurch die Administration bei Berechtigungs- und Lizenzvergabe zusätzlich entlastet wird.
Gastverwaltung
Analog der Anlage von Accounts in Azure ist auch die Verwaltung von Gastaccounts über SecuIAM möglich. Hierbei können diese sowohl automatisch infolge einer Anlage eines SecuIAM Kontakts über entsprechende Regeln als auch manuell oder über einen Antrag zugeordnet werden. Natürlich ist auch die Vergabe von Berechtigungen und Lizenzen für einen Gastaccount möglich.
Reconciliation
Um den Compliance-Anforderungen an SecuIAM gerecht zu werden, müssen neben einem umfangreichen Reporting auch die aktuell vergebenen Lizenzen/Lizenzoptionen, Gruppen und Berechtigungen regelmäßig überprüft und abgeglichen werden. Hierzu können die zur Verfügung stehenden Lizenzen/Lizenzoptionen und Gruppen automatisch mit dem Zielsystem synchronisiert werden. Stehen diese nicht mehr für eine Zuteilung zur Verfügung, werden sie in SecuIAM entfernt. Erweitern sich z. B. die zur Verfügung stehenden Lizenzen/Lizenzoptionen, so werden diese automatisch mit aufgenommen.
Auch Accounts können abgeglichen und Differenzen über eine Übersicht im Webportal aufgelöst werden. Es werden fehlende Accounts in SecuIAM oder dem Zielsystem als Differenzen aufgefunden aber auch Unterschiede in der Vergabe von Attributen, Lizenzen/Lizenzoptionen und Berechtigungen zwischen beiden Systemen aufgedeckt. Unter Berücksichtigung des Regelwerks können die Differenzen über die Oberfläche entweder im Azure AD oder aber in SecuIAM korrigiert werden. Sollten Differenzen aktuell nicht auflösbar sein oder nicht mehr betrachtet werden, können diese von einem zukünftigen Vergleich ausgeschlossen werden.
Vor allem durch die hohe Dynamik von M365 Diensten arbeiten wir fortwährend an der Weiterentwicklung des M365 Connectors, um neue Features zu integrieren oder vorhandene Funktionen zu erweitern.