Delegare l’amministrazione di Azure AD con le Administrative Units

Azure Active Directory è l’offerta Cloud di Microsoft per la gestione degli accessi e delle identità.

Nonostante abbia un nome molto simile alla controparte on-premises basata su Windows Server, è un prodotto completamente differente.

Active Directory è basata sullo standard X.500 che le conferisce la struttura ad albero (il Directory Information Tree, DIT) che è possibile osservare aprendo Active Directory Users and Computers, così come l’esistenza dei Domain Controllers (che nel modello sono chiamati Directory Services Agents, DSA) e molte altre caratteristiche comuni con gli altri prodotti di directory degli anni 90.
Alla pari dei suoi coetanei, Active Directory utilizza protocolli nati in un epoca nella quale il Cloud non esisteva e la connettività era scarsa (soprattutto quella geografica): esisteva una separazione netta tra il mondo “interno” ed “esterno” alla rete dell’Organizzazione, da qui le basi dei protocolli LDAP, Kerberos e NTLM.

Figura 1 – Good Old Active Directory

Azure Active Directory nasce nel 2010, quando gli smartphone erano già entrati nel mercato (grazie soprattutto al 4G, che faceva il suo debutto nel 2009) e si andavano sfumando i contorni della rete. Il mondo stava cambiando.
Azure Active Directory è un servizio IdaaS (Identity as a Service), ovverosia non è un prodotto per il quale si acquista una licenza che conferisce il diritto d’uso come per i software on-premises. Viene ospitato e gestito da Microsoft e all’amministratore viene delegata la gestione della sua partizione chiamata Tenant.
Rispondendo alle necessità di un’era completamente differente, Azure AD non implementa più i vecchi e limitanti protocolli on-premises: in effetti parla protocolli nati e pensati per attraversare Internet come OpenID Connect e SAML per l’autenticazione oppure OAuth per l’autorizzazione.
Una delle differenze che saltano più all’occhio di chi si avvicina per la prima volta ad Azure AD è la struttura: completamente piatta. Le Organizational Units / Containers che sono onnipresenti in Active Directory su Windows Server qui non esistono più.

Figura 2 – Azure Active Directory

Le OU in Active Directory esistono per via dello standard X.500 (Azure Active Directory non ha necessità di seguirlo) e assolvono principalmente tre compiti:

  • L’organizzazione gerarchica degli oggetti: lo standard X.500 obbliga gli oggetti ad essere identificati univocamente tramite un Distinguished Name.
  • La gestione degli endpoint: in Azure AD è demandata a software di Mobile Device Management che implementano lo standard OMA-DM come ad esempio Microsoft Intune.
  • La delega del privilegio: tramite delle ACL è possibile delegare alcune attività amministrative ad amministratori junior, piuttosto che al Help Desk.

Figura 3 – Delega di privilegi in AD

Nella versione iniziale di Azure Active Directory la funzionalità di delega del privilegio non era presente, soprattutto perché negli ambienti Enterprise si fa ricorso a implementazioni ibride, dove la quasi totalità della gestione avviene su Active Directory on-premises per poi essere sincronizzata in Cloud tramite Azure AD Connect.

Dal 2017 è possibile delegare il privilegio all’interno di Azure Active Directory tramite le Administrative Units ma solo utilizzando PowerShell, invece da Aprile 2020 è possibile gestire le Administrative Units anche tramite il portale Azure e il supporto verrà gradualmente esteso ad altri scenari.
In questo articolo vedremo come creare delle Administrative Units per delegare il privilegio di reset delle password ad un operatore di help desk.

Per poter utilizzare le Administrative Units i requisiti di licenza sono molto basilari: è necessaria una licenza Azure AD Premium P1 per ogni utente delegato mentre per i membri non viene richiesta nessuna licenza.

Accedere al portale di Azure AD tramite https://aad.portal.azure.com e selezionare la voce Administrative Units

Figura 4 – Administrative Units

Premendo Add è possibile creare una nuova Administrative Unit

Figura 5 – Nuova Administrative Unit

È possibile creare tutte le Administrative Units necessarie in base ai bisogni dell’organizzazione.
È importante ricordarsi che in Azure Active Directory un utente può far parte di più Administrative Units contemporaneamente, al contrario di Active Directory dove un utente non può far parte di più di una Organizational Unit.
Per questo motivo le Administrative Units non supportano il nesting.

Figura 6 – Administrative Units create

Portandosi all’interno di una delle Administrative Units appena create si potranno osservare nella colonna Manage gli strumenti a disposizione per gestirla.

Figura 7 – Manage Administrative Unit

Premendo su Add member è possibile cercare in Azure AD gli utenti che si vogliono aggiungere

Figura 8 – Aggiunta utenti

È altresì possibile assegnare utenti e gruppi a specifiche Administrative Units direttamente dalla blade delle proprietà dell’oggetto: questa azione consente di visualizzare in un colpo d’occhio tutte le Administrative Units di cui un utente fa parte.

Figura 9 – User Properties

Premendo su Assign to administrative unit lo si aggiungerà ad una Administrative Unit già esistente.

Figura 10 – Assegnazione ad Administrative Unit

All’interno della blade di gestione di una Administrative Unit portarsi su Roles and administrators e selezionare il ruolo che si intende delegare. Durante la public preview solo alcuni ruoli, i più comuni, sono delegabili.

Figura 11 – Delega di un ruolo

Selezionare quindi il delegato, ovverosia chi deterrà il potere derivante dall’appartenenza al ruolo.

Figura 12 – Scelta del delegato

Con l’utente delegato provare ad effettuare l’operazione desiderata su un membro della Administrative Unit, in questo esempio si tratta di un reset password.

Figura 13 – Reset Password

Conclusioni

L’arrivo delle Administrative Units sul portale di Azure Active Directory è un’ottima notizia, significa che i deployment “born in the cloud” di dimensione Enterprise dove non c’è una controparte on-premises stanno iniziando a rappresentare una quota non più trascurabile, e Microsoft sta lavorando per rispondere a queste esigenze.

Ci sono ancora dei limiti: si tratta di una preview e purtroppo manca l’integrazione con il sistema di gestione delle identità privilegiate, Azure AD PIM di cui abbiamo parlato nel video #POWERCON2020 – Azure AD Privileged Identity Management. Ma mano a mano che crescerà la dimensione e la complessità delle aziende con un approccio IT cloud-only, sono certo che arriverà anche questa funzionalità.

Alla pagina Administrative units management in Azure Active Directory potete trovare la documentazione ufficiale e sullo User Voice di Azure AD potete richiedere nuove funzionalità oppure supportare richieste esistenti.