Was ist Microsoft Entra?
Im Juni 2022 hat Microsoft mit Entra eine neue Produktfamilie angekündigt, die künftig alle Identitäts- und Zugriffsfunktionen für Cloud-Dienste umfassen soll. Neben der enthaltenen Azure AD sieht Entra zwei weitere neue Produkte, eine CIEM-Lösung mit dem Namen Microsoft Entra Permissions Management und ein dezentrales Identitätsprodukt namens Microsoft Entra Verified ID vor, die administrativ im Entra Admin Center zusammengeführt sind. Wir zeigen, was Microsoft mit Entra bezweckt und wie die Teile zusammenspielen.
Du benötigst mehr Know-how rund um MS Azure? Dann empfehlen wir dir unsere Microsoft Azure Schulungen!
Microsoft Entra ID ist ein cloudbasierter Identitäts- und Zugriffsverwaltungsdienst, mit dem deine Mitarbeiter auf externe Ressourcen zugreifen können. Externe Ressourcen wie Microsoft 365, das Azure-Portal oder viele weitere SaaS-Anwendungen.
Das Abschotten von IT-Systemen funktioniert heute aufgrund der umfassenden Vernetzung nicht mehr. Daraus resultieren, laut Microsoft, eine Vielzahl von Angriffsmöglichkeiten entlang der kompletten Wertschöpfungskette von Unternehmen. Daher ist es praktisch unmöglich, alle vorherzusehen und zu berücksichtigen – insbesondere, wenn Lösungen von Drittanwendern zum Einsatz kommen, die sich der Kontrolle des Unternehmens entziehen. Deshalb ist ein umfassender, granularer und dynamisch automatisierter Ansatz gefragt, den Microsoft Entra bieten soll.
Microsoft integriert dazu bekannte Komponenten, wie Azure Active Directory (Azure AD) in Microsoft Entra, einschließlich bekannter Funktionen wie Conditional Access, Privileged Identity Management, Access Reviews usw.. Der Nutzer erhält mit dem Entra Admin Portal, ohne Erwerb einer weiteren Lizenz, eine neu strukturierte Oberfläche, welche die schon bekannte Verwaltungsseiten einbettet.
Entra erweitert die bisherigen Identitäts- und Zugangslösungen von Microsoft derart, dass sie als Vertrauensbasis für das ganze digitale Ökosystem eines Unternehmens nutzbar sind. Entra verifiziert dazu sämtliche Arten von Identitäten, um deren Zugriff auf „beliebige Ressourcen“ zu sichern, zu verwalten und deren Zugriff zu regeln. Entra soll z. B. den Zugriff auf
- jede Anwendung,
- jede Ressource und
- und für jeden Benutzer
schützen.
So weit so gut, und im Kontext der Microsoft-Cloud-Dienste einschließlich M365 und Azure klingt das nicht einmal sonderlich neu. Azure AD deckt ja mit einer passenden Lizenz, die z. B. Identitiy Protection, Identity Governance oder Priviliged Identity Management umfasst, nahezu alle skizzierten Funktionen ab und bildet daher das Rückgrat von Entra.
Identity Governance
Es ist ein großer Aufwand neuen Mitarbeitern oder Gastkonten z. B. von Dienstleistern oder Partnern die passenden Berechtigungen zu geben und diese über den gesamten Lebenszyklus zu verwalten. So ist es nicht selten erforderlich, Berechtigungen nachträglich anzufordern oder manuell zuzuweisen, was Zeit und Geld kostet. In Azure AD Identity Governance bereits enthaltenen Funktionen wie z. B. Priviliged Identity Management Zugriffsprüfungen (Access Review) ermöglichen das. Letztere regeln z. B. die Mitgliedschaft in Teams oder Gruppen, das Annehmen von Azure-AD-Rollen oder den zeitlich begrenzten Zugriff auf Unternehmensanwendungen.
Verlässt ein Mitarbeiter das Unternehmen oder soll ohnehin nur zeitlich begrenzten Zugriff auf ein Projekt haben, lassen sich die Berechtigungen schnell automatisiert wieder entziehen.
Mehrwert von Entra
Der Mehrwert von Entra ergibt sich durch die Integration mit den beiden von Entra eigeführten neuen und künftigen Komponenten. Aktuell sind das, wie in der Abbildung der Startseite des Admin Centers zu erkennen, die „Entra Berechtigungsverwaltung“ (Permission Management) und „Entra Überprüfte ID“ (Verified ID). Damit ist Entra auch in der Lage, jede Identität in hybriden und Multi-Cloud-Umgebungen überprüfen und sichern zu können, sowie Berechtigungen zu erkennen und zu verwalten. Intelligente Zugriffsentscheidungen in Echtzeit tragen dazu bei und sorgen darüber hinaus für ein einfacheres Benutzererlebnis.
Somit bildet Entra auch ein Fundament eines Cloud Infrastructure Entitlement Management (CIEM)-System und bietet die Möglichkeit, Anwendungen und Ressourcen in hybriden und Multi-Cloud-Umgebungen (z. B. AWS und GCP) zu überprüfen und abzusichern. Laut Microsoft ist künftig auch die Integration in andere Sicherheitsportale wie Microsoft Defender for Cloud geplant. Mit Stand der Ankündigungen der Ignite 2022 ist die Komponente Identity Management seit Oktober Public Preview, ebenso wie die zertifikatsbasierte Authentifizierung und das Stärken der Authentifizierung mit bedingtem Zugriff.
Keine Umstellung für Nutzer von Microsoft Cloud-Diensten
Da Entra primär für das Management hybrider und Multi-Cloud-Umgebungen (z. B. AWS und GCP) gedacht ist, müssen sich Nutzer von Office 365, Microsoft 365, Sharepoint, Teams oder Azure überhaupt nicht umstellen, denn das Azure AD bildet auch den Dreh- und Angelpunkt von Microsoft Entra. Microsoft-Cloud-Dienst-Nutzer könnten also nach wie vor weiter mit Azure AD im Azure Portal, dem ADD-Portal oder den anderen AAD-basierten Admin-Portalen wie dem Office- oder Exchange-Admin-Portal, Defender und/oder Endpoint Manager arbeiten. Das Entra-Admin-Portal kann zunächst ignoriert werden, da alle Funktionen vom Azure AD weiterhin funktionieren und Microsoft auch keine Änderungen beabsichtigt. Wer sich auch ohne Multicloud-Ambitionen mit Entra vertraut machen möchte, kann alle Aspekte von Azure-AD, auch im Entra-Admin-Center verwalten.
Wer nicht in Multicloud-Umgebungen unterwegs ist, hat zunächst keinen Handlungsbedarf, insbesondere wenn man bedenkt, dass man z. B. auch bisher Azure-AD-Nutzer mit Hilfe einer von AWS veröffentlichten Unternehmensanwendung für den SSO-Zugriff auf AWS berechtigen kann, z. B. via SAML.
Auch das Synchronisieren von Azure AD mit ADDS mit Azure AD Connect funktioniert weiterhin wie gewohnt, ebenso wie das Steuern von Azure AD via Powershell. Trotzdem bildet Azure AD mit unverändert vorhandenen Funktionen wie Conditional Access, kennwortloser Authentifizierung oder Azure AD External Identities als Identitätslösung für Kunden und Partner die Basis von Entra Permission Management und Entra Verified ID.
Entra Permission Management
Das Entra Permissions Management ist eine CIEM-Lösung (Cloud Infrastructure Entitlement Management) und aus der Akquisition von „CloudKnox Security“ im Juli 2021 hervorgegangen. Auf lange Sicht werden viele Unternehmen, wenn sie sich für die Cloud committen, auf eine Multi-Cloud Strategie setzen, um eine gewisse Unabhängigkeit zu erhalten und die Flexibilität zu erhöhen. Das bringt aber auch gewissen Probleme mit sich. So leidet oft die Transparenz bei der Verwaltung von Zugriffsberechtigungen und es werden mangels Sachkenntnis oder entsprechender Möglichkeiten häufig Berechtigungen vergeben, die Mitarbeitern unnötigerweise Zugriff auf Funktionen oder Dienste ermöglichen, die diese unter normalen Umständen gar nicht benötigen. Das erhöht die potenziellen Angriffsflächen.
Ferner soll mit wachsender Zahl von Cloud-Anwendungen der Zugriff für Nutzer trotzdem komfortabel bleiben und die zum Teil sehr unterschiedlichen Berechtigungsmodelle der einzelnen Cloud-Anbieter machen die Verwaltung kompliziert. An dieser Stelle greift das „Entra Permissions Management“ und stellt eine einheitliche Lösung zum automatischen Erkennen und Anpassen von Berechtigungen in Multi-Cloud-Szenarien zur Verfügung.
Konkret bietet Entra Permissions Management einen umfassenden Einblick in die Berechtigungen sämtlicher Benutzer und Workloads sowie aller Aktionen und Ressourcen in Multi-Cloud-Infrastrukturen. Erkennt Entra Permissions Management, dass ein Nutzer mehr Rechte hat, als er für seine aktuellen Zugriffsszenarien tatsächlich benötigt, schränkt Entra Permission Management die Rechte automatisch ein, schaltet sie aber auf Anfrage des Nutzers bei Benötigung wieder frei. Zum Funktionsumfang von Entra Permission Management gehören auch ML-Funktionen, welche Anomalien bei der Nutzung von Rechten erkennen können. Dies deckt nicht nur potenzielle Hackerangriffe schneller auf, sondern beugt auch Missbrauch vor. Durch konsequentes Durchsetzen des Prinzips der geringsten Privilegien reduziert die Software auch das Risiko von Datenschutzverletzungen in Azure, AWS und der Google Cloud Platform. Für Entra Permissions Management ist allerdings eine entsprechende Lizenz erforderlich. Diese schlägt mit € 8,80 pro Ressource/Monat zu Buche.
Nutzer können Entra Permissions Management jedoch für bis zu 100 Lizenzen und 90 Tage kostenlos testen.
Microsoft Entra Verified ID
Mit Entra Verified ID verwendet Microsoft dezentrale Identitätsstandards, um Benutzern und Unternehmen mehr Kontrolle zu geben, wann und mit wem Identitätsdaten geteilt wurden, um diese bei Bedarf auch wieder entziehen zu können. Sie dienen also in erste Linie der Selbstverwaltung. Microsoft hat zur Definition und Entwicklung entsprechender Standards mit Mitgliedern der „Decentralized Identity Foundation (DIF)“, der W3C-Credentials Community-Gruppe und der umfassenderen Identitäts-Community zusammengearbeitet und die Ergebnisse der Kooperation in Verfied ID implementiert, das damit (bisher) diese Dienste nutzt:
- W3C Verifiable Credentials (W3C Nachweise)
- DIF-Sidetree
- DIF Well Known DID Configuration
- DIF DID-SIOP
- DIF Presentation Exchange
Zum gegenwärtigen Zeitpunkt unterstützt Microsoft Entra Verified ID Mitarbeiter beim Onboarding neuer Nutzer. Dabei gewährleistet die zentrale ID aus Verified ID, dass es sich bei dem Benutzer stets tatsächlich um die Person handelt, die das Benutzerkonto angelegt hat. Die Technik lässt sich in etwa mit PostIdent vergleichen. Entra Verified ID erlaubt nicht nur das Verwalten der Benutzerdaten durch die Mitarbeiter selbst, die Benutzer können auch festlegen, welcher Dienst Zugriff auf die verschiedenen Daten im Benutzerkonto erhalten soll. So bekommt das Verified ID künftig auch für sicherheitskritische Bereiche in Frage.
Microsoft Entra Fazit
Strategisch lässt sich an Entra und insbesondere Verified IT ablesen, dass Microsoft plant, Azure AD als eine Art “Meta-Dienst” für die Authentifizierung von Benutzerkonten auszubauen. Mögliche Einsatzbereiche wären z. B. das Registrieren von Zeitarbeitern oder der Berechtigungsnachweis von Partnern, Auftragnehmern und Angestellten.
Kontakt
„*“ zeigt erforderliche Felder an