Semmelbrösel Beitragskopfzeile
Sicherheit

Zoho Directory 2.0: 8 neue Sicherheitsfunktionen, die das Identitätsmanagement verändern

6 Min. gelesen
Versuchen Sie es Zoho One Kostenlos (einschließlich Verzeichnis) 30-Tage-Testversion • Alle über 45 Apps enthalten
Inhaltsverzeichnis

Inhaltsverzeichnis

  1. Was ist neu in Zoho Directory 2.0?
  2. Cloud RADIUS: WLAN-Sicherheit ohne Server
  3. Smart Groups: Automatisierte Benutzerverwaltung
  4. Richtlinien für bedingten Zugriff
  5. Authentifizierungs-Routing-Richtlinie
  6. Bringen Sie Ihren eigenen Schlüssel mit (BYOK)
  7. Cloud-LDAP-Integration
  8. Audit-Protokolle und Anomalieerkennung
  9. Umsetzungsempfehlungen
Hauptinhalt

Was ist neu in Zoho Directory 2.0?

Zoho hat gerade Directory 2.0 veröffentlicht, ein wichtiges Upgrade seiner Workforce-Identity-Management-Plattform. Als Zoho-Berater, der Identitätslösungen für Dutzende von Organisationen implementiert hat, freue ich mich besonders über diese Updates, weil sie echte Schwachstellen angehen, die ich jeden Tag in diesem Bereich sehe.

Das Update bringt acht Hauptfunktionen, die das Identitätsmanagement vereinfachen und gleichzeitig die Sicherheit erhöhen. Was mich am meisten beeindruckt, ist, dass Zoho sich darauf konzentriert hat Entfernen von Infrastrukturabhängigkeiten - Keine Wartung von RADIUS-Servern oder LDAP-Instanzen mehr. Alles ist jetzt Cloud-nativ.

Quellenangabe: Funktionsdetails basierend auf Zohos offizielle Ankündigung (November 2025). Die Analyse- und Implementierungsanleitungen stammen von mir und basieren auf Kundenbereitstellungen.

1. Cloud RADIUS: WLAN-Sicherheit ohne Hardware

Das Problem, das dadurch gelöst wird

Herkömmliche WLAN-Sicherheit erfordert die Wartung physischer RADIUS-Server. Wenn Mitarbeiter ausscheiden, sind Sie mit gemeinsamen Passwörtern oder manuellen Zertifikatsperrungen konfrontiert. Ich habe gesehen, dass Unternehmen Tausende für die RADIUS-Infrastruktur ausgegeben haben, nur um ihr Gast-WLAN zu sichern.

Cloud RADIUS eliminiert dies vollständig. Es verknüpft den Netzwerkzugriff direkt mit Benutzeridentitäten im Verzeichnis Zoho und bietet:

  • Identitätsbasierte Authentifizierung: Der WLAN-Zugang ist an Mitarbeiterkonten gebunden, nicht an gemeinsame Passwörter
  • Keine Infrastruktur: Keine Server, die gewartet, gepatcht oder gesichert werden müssen
  • Sofortiger Zugriffsentzug: Wenn Sie ein Benutzerkonto deaktivieren, verlieren Sie sofort den WLAN-Zugang
  • Zertifikatsautomatisierung: Benutzerzertifikate werden automatisch ausgestellt und erneuert

Umsetzungstipp aus der Praxis

Beginnen Sie zunächst mit Konferenzräumen und Gäste-WLAN. Dadurch können Sie das System testen, ohne Ihr Hauptnetzwerk zu unterbrechen. Sobald die Stabilität stabil ist, führen Sie die Implementierung in den Mitarbeiternetzwerken Abteilung für Abteilung durch. Ich habe festgestellt, dass eine zweiwöchige Pilotphase pro Abteilung gut funktioniert.

Diagramm, das den Cloud RADIUS-Fluss zeigt: Benutzer stellt eine Verbindung zu WLAN her, RADIUS-Anfrage geht an das Verzeichnis Zoho, das Verzeichnis validiert und gewährt Netzwerkzugriff.

2. Intelligente Gruppen: Benutzerverwaltung einrichten und vergessen

Hier ist ein Szenario, das ich ständig sehe: Die Personalabteilung stellt jemanden im Londoner Büro als Vertriebsleiter ein. Die IT fügt sie manuell hinzu zu:

  • Londoner Bürogruppe
  • Vertriebsteamgruppe
  • GMT-Zeitzonengruppe
  • Manager-Berechtigungsgruppe

Smart Groups automatisieren dies vollständig. Legen Sie Bedingungen einmal fest und Benutzer werden basierend auf ihren Attributen automatisch hinzugefügt/entfernt.

Manuelle Gruppen (Alter Weg)

  • ❌ Der Administrator fügt jeden Benutzer manuell hinzu
  • ❌ Mitgliedschaften kann man leicht vergessen
  • ❌ Veraltete Gruppen, da sich die Rollen ändern
  • ❌ Kein Prüfpfad für Änderungen

Intelligente Gruppen (Neuer Weg)

  • ✅ Automatisch basierend auf Benutzerattributen
  • ✅ Immer genau und aktuell
  • ✅ Selbstwartung, wenn Benutzer ihre Rollen ändern
  • ✅ Vollständiges Automatisierungs-Audit-Protokoll

Bedingungsbeispiele, die ich mit Kunden verwende

  • E-Mail-Domäne: Automatische Gruppierung von Auftragnehmern (@contractor.company.com) im Vergleich zu Mitarbeitern
  • Standort: Regionale Zugriffsrichtlinien (EU-Benutzer erhalten unterschiedlichen App-Zugriff)
  • Abteilung: Der Vertrieb erhält CRM-Zugriff, die Finanzabteilung erhält Zugriff auf Bücher
  • Berufsbezeichnung: Manager erhalten automatisch Genehmigungsberechtigungen
Flussdiagramm, das die Logik von Smart Groups zeigt: Ein Benutzerattribut ändert sich, die Smart Group-Bedingung wird ausgewertet und die Gruppenmitgliedschaft wird automatisch aktualisiert.

3. Richtlinien für bedingten Zugriff: Kontextbezogene Sicherheit

Hier glänzt Zoho Directory 2.0 wirklich für die Unternehmenssicherheit. Der bedingte Zugriff wertet jeden Anmeldeversuch basierend auf aus Kontext, nicht nur Zeugnisse.

Was wird bewertet

  • Standort: Blockieren Sie Anmeldungen aus sanktionierten Ländern oder verlangen Sie 2FA von neuen Standorten
  • Zeit: Beschränken Sie den Zugriff auf Geschäftszeiten oder kennzeichnen Sie ungewöhnliche Anmeldezeiten
  • IP-Adresse: Setzen Sie Büro-IPs auf die Whitelist und blockieren Sie bekannte VPN-/Proxy-Bereiche
  • Gerätetyp: Für sensible Apps sind verwaltete Geräte erforderlich
  • Plattform: iOS/Android zulassen, aber Geräte mit Jailbreak blockieren

Beispiel einer realen Politik

Für einen Finanzdienstleistungskunden habe ich Folgendes konfiguriert:

Richtlinie: „Zugriff auf das Finanzteam“
IF-Benutzer in der Finanzabteilung
UND Zugriff Zoho Books
UND Standort NICHT in [USA, Kanada, Großbritannien]
DANN benötigen Sie 2FA + Genehmigung des Managers

WENN die Zeit 23:00 bis 05:00 Uhr Ortszeit ist
DANN den Zugang sperren + Sicherheitsteam alarmieren

Dadurch wurde ein kompromittiertes Konto innerhalb von zwei Stunden nach dem Verstoß entdeckt – der Angreifer loggte sich um 3 Uhr morgens EST aus Osteuropa ein. Das System blockierte den Zugang und alarmierte automatisch das Sicherheitsteam.

Entscheidungsbaum für bedingten Zugriff: Eine Anmeldeanforderung wird anhand mehrerer Bedingungen (Gerät, Standort, Rolle) geprüft, was zu Ergebnissen wie „Zulassen“, „Verweigern“ oder „Anfordern von 2FA“ führt.

4. Routing-Richtlinie: Authentifizierungsmethoden vorschreiben

Unterschiedliche Teams benötigen unterschiedliche Authentifizierungsansätze. Mit der Routing-Richtlinie können Sie bestimmte Anmeldemethoden basierend auf Benutzergruppen oder Apps erzwingen.

Gängige Routing-Muster

  • Führungskräfte: Nur passwortlos (biometrische oder Hardwareschlüssel)
  • Entwickler: SSO + 2FA mit TOTP
  • Allgemeine Mitarbeiter: Passwort + SMS 2FA
  • Auftragnehmer: Soziales Login (Google/Microsoft) mit eingeschränktem App-Zugriff

Rollout-Strategie

Erzwingen Sie nicht vom ersten Tag an die Passwortlosigkeit. Beginnen Sie mit Führungskräften und dem IT-Team, um das Konzept zu beweisen. Sobald sie sich damit vertraut gemacht haben, erweitern Sie sie auf Abteilungen, die sensible Daten verarbeiten (Finanzen, Personalwesen). Lassen Sie den Rest der Organisation zwei bis drei Monate lang freiwillig zustimmen, bevor Sie es zur Pflicht machen.

5. Bring Your Own Key (BYOK): Ultimative Datenkontrolle

Für regulierte Branchen (Gesundheitswesen, Finanzwesen, Regierung) sind Datenverschlüsselungsschlüssel von entscheidender Bedeutung. BYOK bedeutet Sie kontrollieren die Verschlüsselungsschlüssel die Ihre Daten im Verzeichnis Zoho schützen.

Warum das wichtig ist

Mit BYOK kann Zoho ohne Ihre Schlüssel nicht auf Ihre verschlüsselten Daten zugreifen. Wenn Sie den Schlüsselzugriff widerrufen, werden Ihre Daten sofort unlesbar – auch für Zoho selbst. Dies ist entscheidend für:

  • HIPAA-Konformität (Gesundheitswesen)
  • Durchsetzung des „Rechts auf Vergessenwerden“ der DSGVO
  • Regulatorische Anforderungen für Finanzdienstleistungen
  • Regierungs-/Verteidigungsunternehmen

Wer braucht das: Wenn Ihr Compliance-Beauftragter jemals gefragt hat: „Wo werden die Verschlüsselungsschlüssel gespeichert?“ - Sie brauchen BYOK.

6. Cloud LDAP: Verzeichnisdienste ohne Server

Ähnlich wie Cloud RADIUS verschiebt Cloud LDAP die herkömmliche LDAP-Authentifizierung in die Cloud. Dies ist enorm für Unternehmen mit älteren Anwendungen, die LDAP benötigen, aber keine Active Directory- oder OpenLDAP-Server verwalten möchten.

Von mir bereitgestellte Anwendungsfälle

  • VPN-Authentifizierung: OpenVPN/WireGuard authentifiziert gegen das Verzeichnis Zoho
  • Netzwerkausrüstung: Switches, Router, Firewalls nutzen LDAP für den Administratorzugriff
  • Legacy-Anwendungen: Alte Java-Apps, die nur die LDAP-Authentifizierung unterstützen
  • Linux-Server: SSH-Authentifizierung über LDAP ohne Pflege des lokalen Verzeichnisses
Architekturdiagramm für Cloud LDAP: Eine Legacy-App sendet eine LDAP-Anfrage an den Cloud LDAP-Endpunkt, die vom Verzeichnis Zoho verarbeitet wird, um eine Authentifizierungsantwort bereitzustellen.

7 und 8. Audit-Protokolle + Anomalieerkennung

Diese beiden Funktionen arbeiten zusammen, um Folgendes bereitzustellen vollständige Transparenz und automatische Bedrohungserkennung.

Audit-Protokolle

Jeder Admin-Vorgang wird protokolliert mit:

  • Wer hat die Aktion ausgeführt?
  • Was hat sich geändert (Vorher/Nachher-Werte)
  • Wann es passiert ist (mit Zeitzone)
  • Von welcher IP-Adresse

Dies ist für Compliance-Audits unerlässlich. Ich kann Ihnen gar nicht sagen, wie oft Compliance-Teams fragen: „Beweisen Sie, dass Benutzer

Anomalieerkennung

Maschinelles Lernen analysiert Benutzerverhaltensmuster und meldet ungewöhnliche Aktivitäten:

  • Melden Sie sich zu ungeraden Zeiten von einem neuen Gerät aus an
  • Plötzlicher Anstieg der Dateidownloads
  • Zugriff auf Apps, die noch nie zuvor verwendet wurden
  • Geografisch unmögliche Reise (Tokio → New York in 2 Stunden)

Beispiel für eine Reaktion auf einen echten Vorfall

Die Zugangsdaten eines Mitarbeiters eines Kunden wurden gefälscht. Anomalieerkennung gemeldet:

  • Login aus Nigeria (Mitarbeiter normalerweise in Chicago)
  • Zugriff auf 15 verschiedene Apps in 3 Minuten (normal: 2–3 Apps pro Tag)
  • Komplettes Mitarbeiterverzeichnis heruntergeladen (noch nie gemacht)

Das Sicherheitsteam wurde innerhalb von 90 Sekunden alarmiert. Konto wurde in weniger als 5 Minuten gesperrt. Möglicher Gesamtschaden: minimal.

Umsetzungsempfehlungen

Nach der Implementierung von Zoho Directory für mehr als 20 Organisationen ist hier mein empfohlener Rollout-Ansatz:

Phase 1: Gründung (Woche 1-2)

  1. Audit-Logs sofort aktivieren (Sie möchten historische Daten)
  2. Richten Sie Smart Groups für die grundlegende Organisationsstruktur ein
  3. Konfigurieren Sie die Anomalieerkennung mit konservativen Schwellenwerten

Phase 2: Zugangskontrollen (Woche 3-4)

  1. Implementieren Sie zunächst den bedingten Zugriff für Hochrisiko-Apps (Finanzen, HR-Systeme).
  2. Testen Sie die Routing-Richtlinie mit der Pilotgruppe (IT-Team oder Führungskräfte)
  3. Dokumentieren Sie Richtlinienausnahmen und Genehmigungsworkflows

Phase 3: Infrastrukturaustausch (Woche 5–8)

  1. Stellen Sie Cloud RADIUS bereit, um das Netzwerk zu testen (WLAN im Konferenzraum).
  2. Migrieren Sie LDAP-abhängige Apps einzeln nach Cloud LDAP
  3. Betreiben Sie parallele Systeme zwei Wochen lang, bevor Sie die alte Infrastruktur außer Betrieb nehmen

Phase 4: Erweiterte Sicherheit (Woche 9+)

  1. Implementieren Sie BYOK, wenn dies zur Einhaltung der Vorschriften erforderlich ist
  2. Passen Sie die Schwellenwerte für die Anomalieerkennung anhand realer Daten an
  3. Erweitern Sie den bedingten Zugriff auf alle Anwendungen
  4. Schulen Sie Ihr Team in der Reaktion auf Vorfälle mithilfe von Audit-Protokollen

Budgetplanung

Das Verzeichnis Zoho ist im Lieferumfang enthalten Zoho One (37 $/Benutzer/Monat für alle über 45 Apps). Wenn Sie nur Directory benötigen, beginnen die Preise viel niedriger. Der ROI ergibt sich aus der Stilllegung von RADIUS/LDAP-Servern – ich sehe typischerweise Einsparungen bei den Infrastrukturkosten von 500–2000 US-Dollar/Monat sowie eine geringere IT-Administrationszeit (4–10 Stunden/Woche).

Fazit

Zoho Directory 2.0 ist nicht nur ein inkrementelles Update – es ist ein grundlegender Wandel von „Identitätsmanagement erfordert Infrastruktur“ hin zu „Identitätsmanagement ist rein cloudnativ“. Die acht neuen Funktionen adressieren echte Schwachstellen, denen ich bei fast jedem Kundenkontakt begegne:

  • Cloud RADIUS beseitigt Probleme mit der WLAN-Sicherheit
  • Smart Groups reduzieren den Verwaltungsaufwand um 60–80 %
  • Der bedingte Zugriff fängt Bedrohungen ab, die bei herkömmlicher MFA übersehen werden
  • BYOK stellt selbst die paranoidesten Compliance-Beauftragten zufrieden
  • Audit-Protokolle und Anomalieerkennung bieten Transparenz auf Unternehmensniveau

Wenn Sie derzeit Active Directory, RADIUS-Server oder eine LDAP-Infrastruktur verwalten, ist Zoho Directory 2.0 eine ernsthafte Prüfung wert. Der Migrationsaufwand ist real, aber die langfristigen betrieblichen Einsparungen und Sicherheitsverbesserungen machen ihn für die meisten Unternehmen lohnenswert.

CTA-Bereich

Probieren Sie Zoho Directory risikofrei aus

Das Verzeichnis Zoho ist enthalten Zoho One zusammen mit über 45 anderen Geschäftsanwendungen. Starten Sie eine 30-tägige kostenlose Testversion, um alle in diesem Artikel beschriebenen Funktionen zu erkunden.

Kostenlose Testversion starten – Zoho One

Beinhaltet Zoho Verzeichnis + 45+ Apps • Keine Kreditkarte erforderlich • 30-Tage-Testversion

Verwandte Ressourcen

Verwandte Ressourcen