Entra ID Connect (ehemals Azure AD Connect) ist ein von Microsoft bereitgestelltes Tool, dass die On-Premise Active Directory-Welt mit Microsoft Entra ID (ehemals Azure AD) verbindet. Neben der reinen Synchronisierung von Objekten stellt Entra ID Connect zusätzliche Funktionen wie Passwort-Hash-Sync oder Single-Sign On (SSO) bereit.
TIER 0
Das Tier 0-Modell umfasst hoch privilegierte Identitäten und Systeme, die u. a. direkten Zugriff auf Domain Controller haben. Entra ID Connect benötigt u. a. für die Synchronisierung und Bereitstellung von SSO Zugriff auf die Domain Controller und wird daher als TIER 0 System eingestuft.
Entra ID Connect Auditing
Die neueste Version von Entra ID Connect - 2.4.129.0 ist mit neuen Auditing-Funktionalitäten ausgestattet, um dieses System einfacher gegenüber Konfigurationsänderungen überwachen zu können.
Die nachfolgenden Auditing-Events lassen sich künftig überwachen:
EventID | EventName | Description |
|---|---|---|
2503 | Add/Update/Delete Directories | Provides the name of the affected directory |
2504 | Enable Express settings mode | This event will be logged when "Express Setup" is selected by the administrator |
2505 | Enable/Disable domains and OU for sync | Shows a list of all domains connected to Connect Sync |
2506 | Enable/Disable PHS Sync | Shows Password Hash Sync is enabled or disabled |
2507 | Enable/Disable Sync start after install | Event is logged when sync is enabled or disabled when the installation is done |
2508 | Create ADDS account | Shows the created account needed to connect to the new directory added |
2509 | Use Existing ADDS account | Shows name of the account used to connect to the directory |
2510 | Create/Update/Delete custom sync rule | Shows the name of the sync rule that has changed along with information on what changed |
2511 | Enable/Disable Domain based filtering | Shows domain filtering is selected and lists selected domains |
2512 | Enable/Disable OU based filtering | Shows OU based filtering is selected and lists selected OUs |
2513 | User Sign-In method changed | Shows the old sign in method and the new one |
2514 | Configure new ADFS farm | Shows the federation service name |
2515 | Enable/Disable Single sign-on | Shows single sign-on change |
2516 | Install web application proxy server | Shows selected ADFS servers and Domain Admin username |
2517 | Set Permissions | Shows the specific AD Sync permission changed |
2518 | Change ADDS Connector credential | Shows ADDS Connector credential changed |
2519 | Reinitialize Entra ID Connector account password | Shows that the AD Sync service account password was reset |
2520 | Install ADFS Server | Shows the selected server |
2521 | Set ADFS Service Account | Specifies if group-managed or domain user. Includes administrator username |
Upgrade
Das Upgrade von Entra ID Connect auf die aktuellste Version kann wie gewohnt per In-Place Upgrade erfolgen.
Download der aktuellen Version:
Download Microsoft Entra Connect from Official Microsoft Download Center
Event forwarding
Zur Überwachung möglicher Konfigurationsänderungen empfiehlt es sich, ein entsprechendes Weiterleiten der Logs des Entra ID Connect-Servers zu einem SIEM- System einzurichten.
Wie bereits in einem unserer vergangenen Blogpost Was ist Azure-Arc | M365simple beschrieben, wird für die cloudbasierte Verwaltung von On-Premise Servern die Verwendung von Azure Arc vorausgesetzt.
Mithilfe des Azure Monitor Agent (AMA) können die erzeugten Logdateien direkt in das Microsoft hauseigene SIEM - Sentinel integriert und dort entsprechend verarbeitet werden.
Die Aktivierung des AMA auf Azure Arc aktivierten Servern kann direkt via Built-In Policy erfolgen. Der AMA-Agent sorgt schlussendlich dafür, dass die Logdateien das SIEM erreichen können.
Mittels Regelwerk innerhalb von Sentinel kann eingestellt werden, dass bei Eintreten eines der o.g. Events ein Incident erzeugt wird.
Weitere Informationen
Auditing administrator events in Microsoft Entra Connect Sync - Microsoft Entra ID | Microsoft Learn
Windows Forwarded Events connector for Microsoft Sentinel | Microsoft Learn
Azure Monitor Agent Overview - Azure Monitor | Microsoft Learn
Deploy Azure Monitor agent on Arc-enabled servers - Azure Arc | Microsoft Learn
Zusammenfassung
Die Überwachung von TIER 0-Systemen ist wichtig und beschränkt sich nicht nur auf den Entra ID Connect-Dienst. Durch die Integration von cloudbasierten Agenten kann die Überwachung in bestehende SIEM-Systeme (bspw. Microsoft Sentinel) integriert werden.