Wie Microsoft Azure uitrolt in een organisatie, komt het volgende probleem tegen: iedereen wil ‘Global Admin’ zijn. Om allerlei redenen wil iedereen overal bij kunnen en de meest uitgebreide rechten hebben om zijn werk te kunnen doen. Dat is op zich al lastig, maar het wordt pas echt problematisch als Azure al is uitgerold, maar niet goed is gelet op het toekennen, of terugnemen van rechten. Uit oogpunt van veiligheid is dat ongewenst.

Terug naar de inspiratiepagina

Lange lijsten met Global Admin-accounts; ze vinden vaak hun oorsprong omdat een tenant* in het verleden is gestart door bijvoorbeeld developers of DBAers voordat de IT-organisatie Azure breder ging gebruiken. Technische applicatiebeheerders, managers, sharepointbeheerders en andere posities; ze hebben allemaal ooit vanuit verschillende overwegingen de Azure Global Admin rol gekregen. Vervolgens zijn binnen de IT-organisatie deze toekenningen niet opnieuw bekeken en beoordeeld nadat Microsoft-365 is geïntroduceerd, en/of nadat Azure producten toenemend in gebruik werden genomen.

*Tenant: de ruimte waarin al uw online services van Microsoft zijn opgeslagen en van waaruit het gebruikersbeheer plaats vindt

Minimaal twee, maximaal 4 Global Admins

Binnen Azure bestaan er verschillende standaardrollen die rechten geven op verschillende productgroepen of onderdelen. Zo bestaat er bijvoorbeeld een Sharepoint Admin en een Exchange Admin. De rol met de meeste rechten is die van de Global Admin. Deze rol overstijgt alle andere en geeft binnen Azure rechten op zo ongeveer alles. Het is dus verstandig om deze rol spaarzaam toe te kennen en accounts met deze rol goed te beveiligen.

Een Global Admin kan het wachtwoord van een andere Global Admin resetten. Daarom adviseert Microsoft om minimaal twee accounts met deze rol binnen een organisatie te hebben om te voorkomen dat je jezelf buitensluit. Maar het advies is ook om niet meer dan vier accounts toe te staan, vanuit het idee de beveiligingsrisico’s zo klein mogelijk te houden. Wie de Microsoft security score in de gaten houdt, scoort punten indien er niet meer dan vier Global Admins aanwezig zijn in een Azure tenant.

Pak je rechten af, dan stuit je op weerstand

Wie aankaart dat rechten of rollen toe zijn aan aanpassing, stuit dikwijls op weerstand. Personen met de Global Admin-rol geven vaak onterecht aan waarom ze deze rechten nodig hebben. Gelukkig maakt Azure het tamelijk eenvoudig om deze onjuiste claims te weerleggen.

Aan de hand van de auditing data wordt namelijk direct zichtbaar welke rechten een account in een periode wel en niet heeft gebruikt. Bovendien kan eenvoudig zichtbaar worden gemaakt dat een functie prima kan met een specifieke (beperktere) Azure rol – in plaats met die van de Global Admin. Dat neemt de koudwatervrees meestal al weg. Het is overigens ook meteen duidelijk naar welke specifieke Azure rol een account kan worden gemigreerd.

Aanpak

Azure biedt drie mogelijkheden om auditdata te genereren. Deze keuze hierbij hangt af van de gewenste hoeveelheid bewijslast, de lengte van de auditingperiode en van het aantal accounts dat wordt betrokken. Voor een overzicht en instructie van deze mogelijkheden, is een mailtje voldoende: ludwig.sauer@neonomads.nl. Ik stuur dan een handig document.

De mens eerst

Veranderingen, en zeker het afnemen van rechten, vallen de meeste mensen zwaar. Ze leiden tot weerstand. Bij NeoNomads zien we het als prioriteit om die gevoeligheid weg te nemen. En mensen mee te nemen in veranderingen. Dat doen we op empathische wijze, vooral op basis van harde gegevens. Als externe professionals nemen we ook een – op het oog onafhankelijke rol in,en tonen we ons vrij van mogelijke vooroordelen. Op basis van deze autoriteit slagen we erin om IT-projecten binnen planning en budget succesvol uit te voeren.

Meer weten over Azure en hoe om te gaan met rollen en rechten? Matthijs, Ludwig en zijn collega’s kunnen er alles over vertellen: matthijs.kerssemakers@neonomads.nl ludwig.sauer@neonomads.nl.
Meer weten over NeoNomads, of over werken bij ons? Neem contact op met Matthijs Kerssemakers: matthijs.kerssemakers@neonomads.nl | 06-28705037.