Azure AD herstel in een hybride omgeving: de uitdaging

In een eerder blog schreven we over de zes Azure Active Directory (AD) hersteluitdagingen in een cloud-only werkomgeving. Volgens Microsoft blijkt uit de praktijk echter dat veel van haar klanten gebruik maken van een hybride AD-omgeving. In die gevallen blijft de on-premises AD de primaire applicatie voor verificatie en autorisatie. De synchronisatie tussen de on-premises AD en de Azure AD wordt verzorgd door Azure AD Connect. Helaas blijkt uit de praktijk dat in een dergelijke omgevingen problemen kunnen ontstaan bij het herstel van de Azure AD-omgeving.

In een hybride AD-omgeving worden identiteiten opgeslagen en beheerd in de on-premises AD. Het is praktisch onmogelijk om Office 365- of Azure services te gebruiken zonder enkele cloud-only objecten of attributen aan te maken. Cloud-only objecten en attributen worden namelijk niet herkend binnen de on-premises AD-omgeving. We maken dit wat duidelijker aan de hand van een voorbeeld.

Iedere Azure AD-gebruiker heeft een Office 365 licentie die bepaalt tot welke applicaties hij toegang heeft. Als een gebruikersobject wordt verwijderd, kan men het on-premises AD-gebruikersobject herstellen en met Azure AD Connect vervolgens weer synchroniseren met Azure AD. Helaas is de omgeving dan niet volledig hersteld en is het kenmerk van het licentietype verdwenen. Het kenmerk van het licentietype stelt vast tot welke Office 365-toepassingen men als gebruiker toegang heeft. Het resultaat is dat de gebruiker niet in de cloud kan werken totdat dit probleem handmatig is opgelost.

Stel, uw klant heeft alle gebruikersaccounts in de cloud. Denk aan B2B (business-to-business) en B2C (business-to-consumer) accounts. Als organisatie wilt u samenwerken en communiceren met bijvoorbeeld uw zakenpartners of consultants en stuurt u een e-mailuitnodiging. Hierdoor maakt u externe identiteiten in Azure AD aan. Als gevolg hiervan heeft u een Azure AD-account dat niet bestaat in de lokale AD. Om deze reden wordt dit account niet beschermd door de lokale back-up- en herstelstrategie. Als het account per ongeluk of opzettelijk wordt gewijzigd of verwijderd, bent u overgeleverd aan de beperkingen van Azure AD-herstel. Dit omschreven we eerder in het artikel: ‘Microsoft Azure AD: de zes kritieke recovery issues’. Waar u precies problemen kunt ondervinden, leest u hieronder in het kort.

Office 365-groepen

Gebruikers creëren Office 365-groepen om groepen mensen samen te stellen met wie ze willen samenwerken. Bovendien kunnen ze hiermee diverse applicaties en documenten delen. Als één van deze groepen per ongeluk wordt verwijderd, dan willen de betrokken gebruikers dit snel herstellen. U kunt dit helaas niet herstellen met behulp van Azure AD Connect, aangezien deze groep niet bestond in de on-premises AD. 

In de Prullenbak van Azure AD worden verwijderde groepen 30 dagen opgeslagen, maar het herstellen van een Office 365-groep is een ingewikkeld proces. U kunt PowerShell of het Exchange-beheercentrum gebruiken, maar u kunt geen individuele attributen of groepen terughalen.

Azure AD-groepen en groepslidmaatschap

Organisaties maken ook Azure AD-groepen aan om de toegang tot bronnen efficiënt te beheren. Helaas is het ook hier zo dat wanneer een Azure AD-groep of lidmaatschap is verwijderd, u deze groep vanaf scratch weer dient op te bouwen. Azure AD-groepen en groepslidmaatschap worden niet in de Prullenbak geplaatst bij verwijdering. Ze kunnen niet worden hersteld met native tools.

Azure AD B2B en B2C-accounts 

Azure AD biedt twee speciale soorten gebruikersgroepen: B2B- en B2C-accounts. Organisaties hebben vaak duizenden of zelfs miljoenen van deze accounts. Deze B2B- en B2C-accounts zijn van origine geen Microsoft Azure Enterprise-accounts. Dit zorgt ervoor dat zij geen deel uitmaken van de Azure AD Connect-synchronisatie. Wat gebeurt er als een B2B- of B2C-account wordt verwijderd?

Als een B2B- of B2C-account wordt verwijderd, kan die gebruiker zich niet meer aanmelden en toegang krijgen tot de applicaties en gegevens die hij nodig heeft. Het account kan niet worden hersteld met on-premises AD. Dit dient te worden hersteld vanuit de Prullenbak van Azure AD, waarbij men te maken krijgt met vele beperkingen.

Andere gebruikersaccounts in de cloud

Naast het synchroniseren van gebruikersobjecten vanuit een lokale AD met behulp van Azure AD Connect, maken sommige organisaties Azure AD-accounts met behulp van een externe directory zoals een virtual directory of identity management solution. Een andere manier is het aanmaken van cloud-only gebruikers. On-premises back-up en herstel is helaas ook hierop niet van toepassing.

Belang van een hersteloplossing

Wilt u weten hoe Quest u kan helpen bij de back-up en recovery-uitdagingen in Azure AD? Neem dan contact met ons op of download het whitepaper dat we schreven over het belang van een hersteloplossing voor je klanten.


Download whitepaper 


Door:

Team QUEST Software

 +31 (0)40 2 306 376
questsoftware@copaco.com


Download whitepaper