Azure AD und der Datenschutz

Am vergangenen Donnerstag hatten wir ein grandioses Azure Meetup Cologne bei der Alegri International Service GmbH zum Thema Azure AD und Autopilot. Im Rahmen dessen hatte ich kurz neue Einstellungen in Bezug auf die Azure AD und den Datenschutz erläutert. Dies greife ich nun in diesem Blogbeitrag auf. 

Azure AD?

Unter der Azure AD oder auch AAD genannt versteht man die zentrale Identitätsverwaltung in der Cloud, genauer in den Microsoft Cloud Rechenzentren. In der Regel wird diese 3 Mal in somit 3 verschiedenen Regionen repliziert mit der Ausnahme beispielsweise der MCD (Microsoft Cloud Deutschland) hier wird diese nur einmal zwischen den beiden RZs (Mageburg und Frankfurt) repliziert. Die Azure AD wird in Europa sehr häufig als hybride Variante mit dem Synctool ADConnect und am häufigsten in der großen Varianten mit WAP-Proxy und ADFS gemeinsam genutzt, jedoch holt die neue Variante die Pass-Though-Authentification auf. Der Trend geht zur zweiten Variante. 

Die Azure AD repliziert weltweit folgende minimalen Informationen

  • Tenant-ID
  • Domain / default Domain .onmicrosoft.com 
  • Benutzernahme z.B. Vorname.Nachname
  • Region (Hauptrechenzentrum des Tenants)

Darüberhinaus kann man selber entscheiden welche Informationen rein in der Cloud eingetragen werden oder in einer hybriden Umgebung gesynct. So wird sehr häuftig auch eine Mitarbeiternummer, die Geräte und auch Postfacher an die Azure AD Identität gehanden. Ganz klassisch natürlich auch die Lizensierung für Office 365 Pro Plus einzeln oder über die Zuweisung mit Gruppen (Premium Plan erforderlich). 

Die Identität in der Azure AD wird immer wichtiger, so z.B. für den automatischen Rollout von Geräten mit Autopilot oder auch für 3rd Party Applikationen oder auch für Azure Information Protection zum Labeln und Verschlüsseln, sowie öffnen und gemeinsam arbeiten von Dateien.

Portalseite: https://aad.portal.azure.com

Diskussion – Sync von personenbezogenen Daten

Über diese obigen Daten wird immer heftig diskutiert mit Datenschutzbeauftragten und Betriebsrat. Da ein Sync in die USA passieren kann, wenn wir hier von einem Europäischen Tenant sprechen. Das die oben angegebenen Daten aus technischen Gründen in die USA repliziert. 

Microsoft Cloud Deutschland und der Sync in die USA

Jetzt denken viele, dass man in der MCD “sicherer” sei und “datenschutzkonformer”, da die Azure AD nur in zwei Regionen innerhalb von Deutschland repliziert werden. Diese These ist aus vertraglicher Sicht nicht haltbar, da man genauso wie in der Europäischen Cloud die gleichen Verträge schließt und lediglich der Datentreuhändervertrag hinzukommt. Weiterhin ist die These nicht haltbar, da die Datenverarbeitung zunächst über EU-US Privacy Shield formal angesichert ist (Risiko hoch) und zusätzlich über die EU-Standardvertragsklauseln aus dem OSts (Risiko mittel), die der Kunde direkt mit Microsoft schließt. Über diese beiden vertraglichen Grundlagen ist eine Verarbeitung von personenbezogenen Daten über die Azure AD und einen Sync konform, solange nicht z.B. der EuGH das Abkommen und den Vertrag für nichtig erklärt. Weiterhin gibt es TOMs, die diese Übertragung absichern und dank Dataprivacy by Design auch nur die wichtigen Daten repliziert werden, wenn diese auch wirklich gebraucht werden. 

Letztlich löchern viele die MCD durch die Nutzung von 2FA/MFA, denn der SMS und Anrufservice stammt aus den MS RZs in den USA und damit wird die AAD auch wieder repliziert. Hier müssten alle nur die App nutzen, was ich bisher nur 2 Mal wirklich gesehen habe.

Datenschutz und Azure AD

Die Azure AD muss und sollte natürlich ebenfalls mit Funktionen und Werkzeugen ausgestattet sein, die den Datenschutz gewährleisten und auch zur Cybersecurity beitragen. In sehr kurzen Abschnitten zeige ich euch einige auf:

  1. Informationen zum Datenschutz in der Azure AD hinterlegen

Unter Eigenschaften in eurer Azure AD könnt ihr Informationen hinterlegen und erfahrt auch, dass ihr in einem Rechenzentrum seid, welches mit den EU Standardvertragsklauseln ausgestattet und konform betrieben wird. 

  • Globaler Datenschutzkontakt (Email)
  • URL zur Datenschutzerklärung (URL)

 

 

2. Datenschutzerklärung zwingend hinterlegen

Unter dem Punkt 1 wird lediglich die Datenschutzerklärung hinterlegt, aber niemand hat diese bestätigt. Dies ist aber auch möglich, ihr benötigt nur einen Azure AD Premium Plan. Über Conditional Access, könnt ihr nach Sprachen sortiert eure Datenschutzerklärung oder auch andere Dokumente hinterlegen und diese müssen durch die Nutzer bestätigt werden, sonst können diese nicht mehr auf die Dienste und die Azure AD zugreifen. 

 

3. Datenprotabilität von Nutzerdaten aus Azure AD

Ihr könnt mit dieser Funktion Nutzeranfragen bearbeiten und Daten aus der Azure AD zu einem Nutzer exportieren und später aus einem Azure Storage runterladen und dem Nutzer aushändigen. 

4. permanentes und sofortiges Löschen von Userdaten

Ebenfalls seit einigen Wochen könnt ihr User sofort permanent löschen:

  1. User löschen
  2. User aus “Deleted users” löschen über “Delete permanently”

Auf Wunsch habe ich diese Funktion dahingehend getestet, ob die Logdaten gelöscht werden. Dies ist nicht so, es werden die Azure AD Daten des Users gelöscht, aber in der Auditierung bleiben diese.

5. Identitätsschutz vor Cyberangriffen

Wenn ihr zu den NutzerInnen mit einem EMS E5 Paket gehört, dann habt ihr auch Azure AD Identity Protection. Hier könnt ihr Nutzer in der Azure AD schützen, Regeln definieren und Nutzer werden auch automatisch mit Risikomarkierungen belegt, wenn diese ein unsicheres Passwort nutzen oder der Nutzer sich in DE und 10 Sekunden später in Moskau anmeldet, was nicht sein kann. (ausgenommen VPN usw.)

 

Dazu kommt natürlich die Überwachung mit Microsoft Cloud App Security, mit dem ihr über Monitoring hinaus ebenfalls Policies/Parameter festlegen könnt und jeder einzelne Azure AD Account gemonitored wird. Hier werden natürlich nicht nur die eigenen Accounts, sondern auch Externe geprüft und überwacht.