BlogWas ist Microsoft Entra?

Was ist Microsoft Entra?

Im Juni 2022 hat Microsoft mit Entra eine neue Produktfamilie angekündigt, die künftig alle Identitäts- und Zugriffsfunktionen für Cloud-Dienste umfassen soll. Neben der enthaltenen Azure AD sieht Entra zwei weitere neue Produkte, eine CIEM-Lösung mit dem Namen Microsoft Entra Permissions Management und ein dezentrales Identitätsprodukt namens Microsoft Entra Verified ID vor, die administrativ im Entra Admin Center zusammengeführt sind. Wir zeigen, was Microsoft mit Entra bezweckt und wie die Teile zusammenspielen.

Du benötigst mehr Know-how rund um MS Azure? Dann empfehlen wir dir unsere Microsoft Azure Schulungen!

Microsoft Entra ID ist ein cloudbasierter Identitäts- und Zugriffsverwaltungsdienst, mit dem deine Mitarbeiter auf externe Ressourcen zugreifen können. Externe Ressourcen wie Microsoft 365, das Azure-Portal oder viele weitere SaaS-Anwendungen.

Das Abschotten von IT-Systemen funktioniert heute aufgrund der umfassenden Vernetzung nicht mehr. Daraus resultieren, laut Microsoft, eine Vielzahl von Angriffsmöglichkeiten entlang der kompletten Wertschöpfungskette von Unternehmen. Daher ist es praktisch unmöglich, alle vorherzusehen und zu berücksichtigen – insbesondere, wenn Lösungen von Drittanwendern zum Einsatz kommen, die sich der Kontrolle des Unternehmens entziehen. Deshalb ist ein umfassender, granularer und dynamisch automatisierter Ansatz gefragt, den Microsoft Entra bieten soll.

Microsoft integriert dazu bekannte Komponenten, wie Azure Active Directory (Azure AD) in Microsoft Entra, einschließlich bekannter Funktionen wie Conditional Access, ​Privileged Identity Management, ​Access Reviews usw.. Der Nutzer erhält mit dem Entra Admin Portal, ohne Erwerb einer weiteren Lizenz, eine neu strukturierte Oberfläche, welche die schon bekannte Verwaltungsseiten einbettet.

Das Entra Admin Center

Entra erweitert die bisherigen Identitäts- und Zugangslösungen von Microsoft derart, dass sie als Vertrauensbasis für das ganze digitale Ökosystem eines Unternehmens nutzbar sind. Entra verifiziert dazu sämtliche Arten von Identitäten, um deren Zugriff auf „beliebige Ressourcen“ zu sichern, zu verwalten und deren Zugriff zu regeln. Entra soll z. B. den Zugriff auf

  • jede Anwendung,
  • jede Ressource und
  • und für jeden Benutzer

schützen.

So weit so gut, und im Kontext der Microsoft-Cloud-Dienste einschließlich M365 und Azure klingt das nicht einmal sonderlich neu. Azure AD deckt ja mit einer passenden Lizenz, die z. B. Identitiy Protection, Identity Governance oder Priviliged Identity Management umfasst, nahezu alle skizzierten Funktionen ab und bildet daher das Rückgrat von Entra.

Identity Governance 

Es ist ein großer Aufwand neuen Mitarbeitern oder Gastkonten z. B. von Dienstleistern oder Partnern die passenden Berechtigungen zu geben und diese über den gesamten Lebenszyklus zu verwalten. So ist es nicht selten erforderlich, Berechtigungen nachträglich anzufordern oder manuell zuzuweisen, was Zeit und Geld kostet. In Azure AD Identity Governance bereits enthaltenen Funktionen wie z. B. Priviliged Identity Management Zugriffsprüfungen (Access Review) ermöglichen das. Letztere regeln z. B. die Mitgliedschaft in Teams oder Gruppen, das Annehmen von Azure-AD-Rollen oder den zeitlich begrenzten Zugriff auf Unternehmensanwendungen.

 Das Konfigurieren von Zugriffsprüfungen für Azure AD oder (hier) Azure-Ressourcen.

Verlässt ein Mitarbeiter das Unternehmen oder soll ohnehin nur zeitlich begrenzten Zugriff auf ein Projekt haben,  lassen sich die Berechtigungen schnell automatisiert wieder entziehen.

Mehrwert von Entra

Der Mehrwert von Entra ergibt sich durch die Integration mit den beiden von Entra eigeführten neuen und künftigen Komponenten. Aktuell sind das, wie in der Abbildung der Startseite des Admin Centers zu erkennen, die „Entra Berechtigungsverwaltung“ (Permission Management) und „Entra Überprüfte ID“ (Verified ID). Damit ist Entra auch in der Lage, jede Identität in hybriden und Multi-Cloud-Umgebungen überprüfen und sichern zu können, sowie Berechtigungen zu erkennen und zu verwalten. Intelligente Zugriffsentscheidungen in Echtzeit tragen dazu bei und sorgen darüber hinaus für ein einfacheres Benutzererlebnis.

Somit bildet Entra auch ein Fundament eines Cloud Infrastructure Entitlement Management (CIEM)-System und bietet die Möglichkeit, Anwendungen und Ressourcen in hybriden und Multi-Cloud-Umgebungen (z. B. AWS und GCP) zu überprüfen und abzusichern. Laut Microsoft ist künftig auch die Integration in andere Sicherheitsportale wie Microsoft Defender for Cloud geplant. Mit Stand der Ankündigungen der Ignite 2022 ist die Komponente Identity Management seit Oktober Public Preview, ebenso wie die zertifikatsbasierte Authentifizierung und das Stärken der Authentifizierung mit bedingtem Zugriff.

Keine Umstellung für Nutzer von Microsoft Cloud-Diensten

Da Entra primär für das Management hybrider und Multi-Cloud-Umgebungen (z. B. AWS und GCP) gedacht ist, müssen sich Nutzer von Office 365, Microsoft 365, Sharepoint, Teams oder Azure überhaupt nicht umstellen, denn das Azure AD bildet auch den Dreh- und Angelpunkt von Microsoft Entra. Microsoft-Cloud-Dienst-Nutzer könnten also nach wie vor weiter mit Azure AD im Azure Portal, dem ADD-Portal oder den anderen AAD-basierten Admin-Portalen wie dem Office- oder Exchange-Admin-Portal, Defender und/oder Endpoint Manager arbeiten. Das Entra-Admin-Portal kann zunächst ignoriert werden, da alle Funktionen vom Azure AD weiterhin funktionieren und Microsoft auch keine Änderungen beabsichtigt. Wer sich auch ohne Multicloud-Ambitionen mit Entra vertraut machen möchte, kann alle Aspekte von Azure-AD, auch im Entra-Admin-Center verwalten.

Azure AD im Entra Admin Center.

Wer nicht in Multicloud-Umgebungen unterwegs ist, hat zunächst keinen Handlungsbedarf, insbesondere wenn man bedenkt, dass man z. B. auch bisher Azure-AD-Nutzer mit Hilfe einer von AWS veröffentlichten Unternehmensanwendung für den SSO-Zugriff auf AWS berechtigen kann, z. B. via SAML.

SSO mit AWS ermöglicht auch bisher schon AAD-Nutzer den nahtloses Zugriff auf AWS und andere Unternehmensanwendungen.

Auch das Synchronisieren von Azure AD mit ADDS mit Azure AD Connect funktioniert weiterhin wie gewohnt, ebenso wie das Steuern von Azure AD via Powershell. Trotzdem bildet Azure AD mit unverändert vorhandenen Funktionen wie Conditional Access, kennwortloser Authentifizierung oder Azure AD External Identities als Identitätslösung für Kunden und Partner die Basis von Entra Permission Management und Entra Verified ID.

Entra Permission Management

Das Entra Permissions Management ist eine CIEM-Lösung (Cloud Infrastructure Entitlement Management) und aus der Akquisition von „CloudKnox Security“ im Juli 2021 hervorgegangen. Auf lange Sicht werden viele Unternehmen, wenn sie sich für die Cloud committen, auf eine Multi-Cloud Strategie setzen, um eine gewisse Unabhängigkeit zu erhalten und die Flexibilität zu erhöhen. Das bringt aber auch gewissen Probleme mit sich. So leidet oft die Transparenz bei der Verwaltung von Zugriffsberechtigungen und es werden mangels Sachkenntnis oder entsprechender Möglichkeiten häufig Berechtigungen vergeben, die Mitarbeitern unnötigerweise Zugriff auf Funktionen oder Dienste ermöglichen, die diese unter normalen Umständen gar nicht benötigen. Das erhöht die potenziellen Angriffsflächen.

Ferner soll mit wachsender Zahl von Cloud-Anwendungen der Zugriff für Nutzer trotzdem komfortabel bleiben und die zum Teil sehr unterschiedlichen Berechtigungsmodelle der einzelnen Cloud-Anbieter machen die Verwaltung kompliziert. An dieser Stelle greift das „Entra Permissions Management“ und stellt eine einheitliche Lösung zum automatischen Erkennen und Anpassen von Berechtigungen in Multi-Cloud-Szenarien zur Verfügung.

Konkret bietet Entra Permissions Management einen umfassenden Einblick in die Berechtigungen sämtlicher Benutzer und Workloads sowie aller Aktionen und Ressourcen in Multi-Cloud-Infrastrukturen. Erkennt Entra Permissions Management, dass ein Nutzer mehr Rechte hat, als er für seine aktuellen Zugriffsszenarien tatsächlich benötigt, schränkt Entra Permission Management die Rechte automatisch ein, schaltet sie aber auf Anfrage des Nutzers bei Benötigung wieder frei. Zum Funktionsumfang von Entra Permission Management gehören auch ML-Funktionen, welche Anomalien bei der Nutzung von Rechten erkennen können. Dies deckt nicht nur potenzielle Hackerangriffe schneller auf, sondern beugt auch Missbrauch vor. Durch konsequentes Durchsetzen des Prinzips der geringsten Privilegien reduziert die Software auch das Risiko von Datenschutzverletzungen in Azure, AWS und der Google Cloud Platform. Für Entra Permissions Management ist allerdings eine entsprechende Lizenz erforderlich. Diese schlägt mit € 8,80 pro Ressource/Monat zu Buche.

Die Lizenzierung für Entra Berechtigungsmanagement.

Nutzer können Entra Permissions Management jedoch für bis zu 100 Lizenzen und 90 Tage kostenlos testen.

Microsoft Entra Verified ID

Mit Entra Verified ID verwendet Microsoft dezentrale Identitätsstandards, um Benutzern und Unternehmen mehr Kontrolle zu geben, wann und mit wem Identitätsdaten geteilt wurden, um diese bei Bedarf auch wieder entziehen zu können. Sie dienen also in erste Linie der Selbstverwaltung. Microsoft hat zur Definition und Entwicklung entsprechender Standards mit Mitgliedern der „Decentralized Identity Foundation (DIF)“, der W3C-Credentials Community-Gruppe und der umfassenderen Identitäts-Community zusammengearbeitet und die Ergebnisse der Kooperation in Verfied ID implementiert, das damit (bisher) diese Dienste nutzt:

  • W3C Verifiable Credentials (W3C Nachweise)
  • DIF-Sidetree
  • DIF Well Known DID Configuration
  • DIF DID-SIOP
  • DIF Presentation Exchange ​

Zum gegenwärtigen Zeitpunkt unterstützt Microsoft Entra Verified ID Mitarbeiter beim Onboarding neuer Nutzer. Dabei gewährleistet die zentrale ID aus Verified ID, dass es sich bei dem Benutzer stets tatsächlich um die Person handelt, die das Benutzerkonto angelegt hat. Die Technik lässt sich in etwa mit PostIdent vergleichen. Entra Verified ID erlaubt nicht nur das Verwalten der Benutzerdaten durch die Mitarbeiter selbst, die Benutzer können auch festlegen, welcher Dienst Zugriff auf die verschiedenen Daten im Benutzerkonto erhalten soll. So bekommt das Verified ID künftig auch für sicherheitskritische Bereiche in Frage.

Microsoft Entra Fazit

Strategisch lässt sich an Entra und insbesondere Verified IT ablesen, dass Microsoft plant, Azure AD als eine Art “Meta-Dienst” für die Authentifizierung von Benutzerkonten auszubauen. Mögliche Einsatzbereiche wären z. B. das Registrieren von Zeitarbeitern oder der Berechtigungsnachweis von Partnern, Auftragnehmern und Angestellten.

Kontakt

Dein INCAS Team
Akkordion öffnen
telephone-icon-contact-coaching-box
0800 4772466
email-icon-contact-coaching-box
info@incas-training.de

*“ zeigt erforderliche Felder an

Hidden
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Schulungen die dich interessieren könnten

Bewertungen

Kundenstimme männlich
Thomas M.
Aldi GmbH & Co. KG
star-participantstar-participantstar-participantstar-participantstar-participant
Lernen in einem sehr entspannten und angenehmen Klima. Prima!
Kundenstimme männlich
Dimitri B.
HSBC Trinkaus
star-participantstar-participantstar-participantstar-participantstar-participant
Sehr informativ und in der Praxis wiederverwendbar.
Kundenstimme männlich
Mausolf B.
Struers GmbH
star-participantstar-participantstar-participantstar-participantstar-participant
Tolle Schulung - kompetenter Trainer, der geduldig auf alle Fragen einging, diese beantworten konnte und darüber hinaus viele neue Anregungen mit auf den Weg gab. Die Schulung hat Spaß gemacht.
Kundenstimme männlich
Torsten B.
Westdeutscher Rundfunk WDR
star-participantstar-participantstar-participantstar-participantstar-participant
Das Seminar hat nicht nur Spaß gemacht, sondern auch wirklich 'ne Menge gebracht :-)