digitalisering maakt Active Directory tot kritisch bedrijfsasset

De Active Directory (AD) vormt bij iedere (Microsoft based) organisatie een belangrijk onderdeel van de digitale werkplek. Heel veel applicaties maken gebruik van de data, maar de kwaliteit van die data is voor veel organisaties een uitdaging.

De Active Directory wordt ingezet als:

  • bedrijfsbreed telefoonboek
  • adresboek met de verschillende kamernummers en locaties
  • overzicht van de hiërarchische organisatiestructuur
  • identity en access management waarin rollen en rechten worden vastgelegd.

bedrijf kritisch

Met dergelijke bedrijf kritische rollen zou je zeggen dat de kwaliteit van de inhoud van de Active Directory hoog op het prioriteitenlijstje staat binnen organisaties. Niet alleen bij IT als eigenaar, maar ook bij andere (staf-) afdelingen zoals HR. En toch lijkt dit lang niet altijd zo te zijn. Natuurlijk, iedereen is het erover eens dat het een belangrijk onderdeel van het applicatielandschap is. En ja ook vindt iedereen het van groot belang is dat wat er in de Active Directory staat moet kloppen. En toch…. Als je het navraagt bij organisaties is A) de IT afdeling altijd als enige verantwoordelijk voor de correctheid van de informatie en B) is de informatie in het systeem zelden volledig up-to-date en correct.

toenemend belang

Nou begrijpen wij dat personeels-, locatie- en functiewijzigingen aan de orde van de dag zijn en dat het zo op het eerste gezicht lastig lijkt deze constante verandering bij te houden. Maar iets meer aandacht zou terecht zijn voor het ‘waarom’ en ‘hoe’ je als organisatie kunt zorg dragen voor up-to-date en integere inhoud van de Active Directory. Hieronder een aantal redenen: 

  • Identity als nieuwe Firewall. Nu mensen vanaf praktisch iedere locatie en ieder device hun werk kunnen doen, is het hebben van een goed beheerde firewall op de bedrijfslocaties niet meer voldoende. Een ander, controleerbaar, attribuut is hiervoor essentieel. Zo wordt de identiteit van medewerkers tegenwoordig gezien als ‘de nieuwe firewall’. Het zakelijke account van de gebruiker is in veel gevallen genoeg om bij de bedrijfsdata te kunnen. Daarmee is dit account en de daarbij opgeslagen informatie opeens een stuk belangrijker geworden.
  • Dynamische workflow op basis van profieleigenschappen: met nieuwe applicaties als Microsoft Flow en PowerApps is het voor een grotere groep medewerkers heel eenvoudig een workflow in combinatie met een goed uitziend formulier te creëren. Allerlei bedrijfsprocessen kunnen nu eenvoudig worden gedigitaliseerd (zonder diepe technische kennis). Een voorbeeld van zo’n workflow is een goedkeuring van iets, waarbij de manager van een afdeling vaak de gelukkige is in dit proces. Als je dit proces soepel en correct wilt laten verlopen, zonder dat er expliciet een naam van een manager moet worden ingevuld, moet de betreffende manager wel correct zijn ingevuld in de systemen. En wanneer óf de medewerker, óf de manager van de afdeling wijzigt, is het wel net zo prettig dat de verzoeken tot goedkeuring niet nog een maand naar de ‘oude’ persoon gaan. Daarnaast zijn deze flows ook in staat om bepaalde taken direct bij de juiste afdeling af te leveren, mits die bekend is in de Active Directory. Kortom, willen workflows en digitale formulieren je echt werk uit handen nemen, en wil je starten met wat wij de ‘Routine Machine’ noemen, is het van belang dat de eigenschappen in de Active Directory correct zijn, en snel aangepast worden bij wijzigingen in de organisatie.
  • Organisatiestructuur in een helder overzicht. Naast het gebruik in workflows, is de manager ook de bron van het organigram die op je profielpagina van SharePoint of Delve (Office 365) tevoorschijn komt. Dit geeft een handig overzicht waar iemand ‘zit’ in de organisatiestructuur, wie zijn of haar naaste collega’s zijn en aan wie de persoon rapporteert. Handig, vooral in grote organisaties, voor bijvoorbeeld het plannen van een afspraak, het stellen van een vraag bij ‘geen gehoor’ of het escaleren van zaken die wat minder soepel verlopen.
  • Samenwerken met gelijken: sinds kort is het in Yammer mogelijk om ‘dynamische’ groepen aan te maken. Het dynamische in deze functionaliteit is dat je het lidmaatschap van de groepen niet handmatig hoeft te beheren (een collega toevoegen of verwijderen), maar dat het lidmaatschap wordt bepaald op basis van een eigenschap die is opgegeven (in de Azure Portal). Bijvoorbeeld: (user.departmenteq “Sales”) -or (user.departmenteq “Marketing”) (user.departmenteq “Sales”) -and -not (user.jobTitle -contains “SDE”) (bron). Dit zorgt ervoor dat de juiste mensen betrokken worden in de discussie en dat medewerkers niet onterecht worden in of uitgesloten voor het gesprek. Een heel mooie toevoeging op het tot nu toe handmatige beheer van groepen maar ook een toevoeging waarvoor het noodzakelijk is dat de informatie in de Active Directory actueel en betrouwbaar is.
  • Gericht aanbieden van classificatie-labels en het toekennen van machtigingen: met een aanvulling als Azure Information Protection (als onderdeel van Enterprise Mobility + Security) op een Office 365 licentie, kan een organisatie gericht informatie labelen en daarmee classificeren voor informatiebeveiligingsdoeleinden. Deze labels kun je baseren op een afdeling of functie, met behulp van Azure AD beveiligingsgroepen. Deze kunnen tegenwoordig dynamisch worden gevuld op basis van regels, die (natuurlijk!) worden gekoppeld aan eigenschappen in de Active Directory. (let op: een aanvullende EMS of Azure AD premium licentie is hiervoor vereist).

 

hoe regel je beheer

Met bovenstaande redenen wil ik benadrukken dat de kwaliteit van de informatie en indeling van de Active Directory van steeds groter belang wordt voor moderne organisaties. Maar hoe hou je die data nu up-to-date?  Natuurlijk kan er een nieuw communicatieprotocol met alle medewerkers komen of met de collega’s van HR. Hierbij zou men iedere wijziging direct kunnen/moeten doorgeven aan de IT-afdeling die het per ommegaande verwerkt in de Active Directory. Een tijdrovende klus…

slimme bot als hulpmiddel

Een andere optie is dat de medewerker zelf in staat gesteld wordt de eigen data te bewerken, al dan niet met een goedkeuringsstap. Iets dergelijks is mogelijk met de tool van Hyperfish. Gezien het belang dat wij hieraan hechten, hebben we onlangs een partnership afgesloten Hyperfish. Hyperfish gebruikt bot-technologie waarmee organisaties eigen regels kunnen opstellen die de kwaliteit van AD data controleren. Ontbreekt er informatie, of wil je een periodieke review op bepaalde eigenschappen in het AD, dan stuurt de hyperbot zelf een bericht (email of chat) naar de medewerker met de vraag de informatie uit te breiden of te corrigeren. Dit kan door simpelweg te antwoorden op het bericht. De data wordt direct verwerkt in de Active Directory. Dit geeft de medewerkers vrijheid in het zelf beheren van hun data, het geeft de organisatie een tool om de correctheid van de informatie te waarborgen en te controleren, en als laatste bespaart het de IT-beheerorganisatie veel tijd als het gaat om controle en updaten van de velden in de Active Directory. Klinkt als een win-win!

 

bij Frank op de Bank #2

blogpost

bij Frank op de Bank #2

Deze week schoof Bastiaan Boerkamp van e-office aan bij Frank op de Bank! Bastiaan is business consultant en onder andere gespecialiseerd in secure productivity. En dat is ook het onderwerp van deze tweede aflevering van Frank op de Bank!

lees verder
feedback