Kijkt u ook naar de informatiebeveiliging van uw Azure AD Connect service-account?

Informatiebeveiliging valt of staat met de juiste permissies. Ook in Hybrid Identity-implementaties, waar Active Directory is gekoppeld aan Azure Active Directory, geldt deze spreuk.

Bij SCCT nemen we de informatiebeveiliging van onze klanten serieus. We hebben daarom een methode ontwikkeld waarmee de permissies van Azure AD Connect service-accounts tot een minimum kunnen worden beperkt. Dit is bij SCCT de standaard werkwijze, daardoor genieten onze klanten standaard van service-accounts met minimale permissies, wanneer zij onze Hybrid Identity-implementatie of onze Hybrid Identity Health Scan-dienst afnemen.

De wereld staat echter niet stil. Microsoft ontwikkelt door. Ook de gratis Azure AD Connect-tool wordt door ontwikkeld. Bij minimale permissies voor het service-account heeft dit nu mogelijk impact voor uw organisatie.

Wat is er veranderd?

Microsoft zag een manier om meer te voldoen aan migratievereisten bij organisaties. Daarom hebben zij vanaf versie 1.5.18.0 als nieuwe feature dat groepsobjecten gebruik kunnen maken van het mS-DS-ConsistencyGuid-attribuut als source anchor. Deze feature is een aanvulling op vergelijkbare functionaliteit die al langere tijd in Azure AD Connect bestaat voor gebruikersobjecten.

Hoe werkt mS-DS-ConsistencyGuid?

Gebruikersobjecten en groepsobjecten kennen een objectGUID. Azure AD Connect schifjt de base64-representatie van het objectGuid-attribuut van het object in Active Directory bij de eerste keer synchroniseren in het mS-DS-ConsistencyGuid-attribuut van het object. Wijzigingen in het objectGuid-attribuut hebben nadien geen invloed meer op de end-to-end-match van het object in Active Directory met het object in Azure Active Directory. De match gebeurt nu niet meer op de waarde van het objectGuid-attribuut, maar op de waarde van het mS-DS-ConsistencyGuid-attribuut.

De hoofdoorzaak waardoor het het objectGuid-attribuut verandert is door een migratie vanuit een Active Directory-omgeving naar een Andere Active Directory-omgeving. Inderdaad, bij een migratie.

Wat verandert er voor het Azure AD Connect service-account?

In tegenstelling tot versies van Azure AD Connect voorafgaand aan versie 1.5.18.0, dient het service-account vanaf Azure AD Connect versie 1.5.18.0 permissies te hebben om te schrijven in het mS-DS-ConsistencyGuid-attribuut van groepen. Dit zijn aanvullende permissies.

De feature in Azure AD Connect is niet configureerbaar voor de beheerders. We raden aan om deze permissies toe te voegen aan de groep waarmee de basispermissies worden uitgedeeld aan het service-account. Met dsacls.exe kan dit granulair per Organizational Unit (OU), eenduidig en herhaalbaar worden uitgevoerd.

Wat raden we aan?

SCCT heeft de standaard werkwijze aangepast en een extra commandoregel hier toegevoegd aan toegevoegd. U kunt het vanaf daar overnemen om gebruik te kunnen maken van de feature en eventuele synchronisatiefouten in Azure AD Connect op te lossen.

Meer vragen dan antwoorden?

Heeft u na het lezen van bovenstaande tekst meer vragen dan antwoorden gekregen? Neem dan vooral contact op. We helpen u graag (remote) met uw uitdagingen rondom Azure AD Connect.