Microsoft Entra ist das neue Dach von Azure Active Directory

Mit Microsoft Entra stellt Microsoft eine neue Produktfamilie vor, mit der das Identitätsmanagement in den Fokus des Konzerns rückt. Im Grunde genommen steht vor allem die Benutzerverwaltung in Netzwerken und Cloud-Diensten im Fokus von Entra.

Als Anbieter von IAM-Lösungen sowohl On-premise als auch in der Cloud, ist dies für die FirstAttribute eine gute Nachricht. Die Wichtigkeit des Identitätsmanagement als ein wesentlicher Bestandteil der IT-Sicherheitsstrategie eines Unternehmens rückt immer mehr in den Vordergrund.

Microsoft Entra adressiert Multicloud-Infrastrukturen

Die Sicherheit von Identitäten spielt bei der Authentifizierung in Netzwerken, Cloud-Diensten und hybriden Umgebungen eine immer wichtigere Rolle. Die Dienste in Entra sollen in Zukunft nicht nur in Microsoft-Netzwerken zum Einsatz kommen, sondern auch in Cloudstrukturen mit AWS und Google Cloud Platform (GCP). Entra ist daher die Antwort von Microsoft auf Multicloud-Infrastrukturen, in denen häufig auch Anmeldedaten aus Active Directory zum Einsatz kommen.

Auch in anderen Clouddiensten gibt es Anbindung an Active Directory, zum Beispiel in AWS. Hier kann Entra helfen, braucht selbst aber Unterstützung bei der sicheren und effektiven Verwaltung von Benutzerkonten.

Lebenszyklus von Identitäten in der Cloud und in hybriden Netzwerken

Da Active Directory und Azure AD in immer mehr Diensten und auch auf verschiedenen Plattformen zum Einsatz kommt, hat sich Microsoft entschlossen, diesen Anforderungen Rechnung zu tragen. Mit Microsoft Entra ist eine neue Produktfamilie auf dem Markt, welche die Verwaltung und Absicherung von Identitäten im Fokus hat.

Parallel dazu erfolgt die Verwaltung von Berechtigungen der Identitäten in der Cloud und ermöglicht auch die Überwachung dieser Bereiche. Dazu kommt die mögliche Automatisierung. Mit Microsoft Entra will Microsoft eine zentrale Instanz zur Verfügung stellen, mit der Identitäten auch für andere Cloud-Dienste zentral gesteuert werden sollen. Natürlich soll Azure AD hier der wichtigste Bestandteil sein.

Entra begleitet den Lebenszyklus von Identitäten auch über andere Cloud-Dienste hinweg.

Entra soll Identitäten über den kompletten Lebenszyklus begleiten, wie eine Art Meta-Lösung mit zusätzlichen Diensten. Dabei soll es in Zukunft auch möglich sein, mehr Authentifizierungen ohne Kennwort durchzuführen und stattdessen mit modernen Technologien wie Windows Hello oder Authentifizierungs-Apps zu arbeiten. Diese Möglichkeiten gibt es bereits bei Microsoft-Konten und auch in Azure AD. Mit den Funktionen in Microsoft Entra sollen diese Funktionalitäten im ganzen Internet funktionieren. 

Microsoft Entra mit FirstWare IDM-Portal: Better together

Zusammen mit IAM-Lösungen, wie dem FirstWare IDM-Portal von FirstAttribute, können Organisationen damit eine umfassende Berechtigungsverwaltung integrieren, die

• leicht zu verwalten ist,
• eine sichere Datenbasis bietet und
• gleichzeitig mit den Entra-Diensten zusammen eine Verbesserung der Berechtigungsverwaltung in hybriden Netzwerken bietet.

Dazu kommen KI-Technologien und verschiedene Funktionen zur Automatisierung.

Es ist wichtig anzumerken, dass Microsoft Entra die Verwaltungsmöglichkeiten von Azure AD und von Active Directory nicht umfassend erweitert. Daher sind weiterhin Lösungen notwendig, mit denen die Identitäten verwaltet werden können. Entra ersetzt solche Lösungen nicht, sondern ergänzt sie und ermöglicht deren Einsatz auch plattformübergreifend.

FirstWare IDM-Portal kennenlernen

Dazu kommt die Möglichkeit von Entra, in hybriden Multicloud-Umgebungen zu arbeiten, in denen auch Active Directory und die Replikation von Benutzern zum Einsatz kommt. AWS und Google Cloud Platform (GCP) erlauben beide die Synchronisierung mit einem lokalen AD. Hier kann Microsoft Entra unterstützen, benötigt bei der ordentlichen Pflege von Benutzerkonten aber zusätzliche Lösungen, wie das FirstWare IDM-Portal.

Auch für das Management von Kontakten und Berechtigungen in Microsoft Teams hat Entra keine Antwort. Diese Anforderungen lassen sich wiederum mit my-IAM ergänzen, der neuen Cloud Identity Management Plattform von FirstAttribute, die sich auf Microsoft Teams spezialisiert.

Google Cloud Platform lässt sich mit lokalen AD-Strukturen synchronisieren und damit auch mit Microsoft Entra integrieren. Für die Pflege der lokalen Benutzerkonten sind aber weiterhin Lösungen für das Identitätsmanagement notwendig, zum Beispiel das FirstWare IDM-Portal von FirstAttribute.

Angriffe auf Identitäten nehmen weiter zu

Die Anzahl der Identitäten nimmt gleichzeitig mit der Anzahl deren Verwendung zu. Benutzer müssen sich an immer mehr Diensten im lokalen Rechenzentrum, privaten Clouds und auch in Cloud-Plattformen authentifizieren. Dabei kommt oft das gleiche Benutzerkonten zum Einsatz, das in vielen Fällen seine Basis in Active Directory hat und durch die Synchronisierung in die Cloud wandert. Aber auch Identitäten in der Cloud, zum Beispiel in Azure AD oder Microsoft 365 werden für immer mehr Einsatzgebiete genutzt und sollten daher entsprechend geschützt werden.

Parallel mit dem Einsatzgebiet nehmen die Phishing-Angriffe und sonstigen Attacken auf Identitäten enorm zu. Das zeigen verschiedene Studien und Statistiken in diesem Bereich:

• Remotezugangsdaten sind mittlerweile ein begehrtes Handelsobjekt in einschlägigen Internetforen.
• Laut dem Verizon Data Breach Incident Report sind Anmeldedaten mit über 60 Prozent die begehrteste Datenkategorie bei Sicherheitsverletzungen.
• Den Angaben der Identity Defined Security Alliance zufolge haben 79 % der Unternehmen in den letzten zwei Jahren eine Sicherheitsverletzung im Zusammenhang mit Identitäten erlebt.
• Laut Gartner werden “[…] viele Datenschutzverletzungen durch Sicherheits- und Identity-Tools verursacht, die fehlerhaft oder unvollständig konfiguriert wurden oder deren Konfiguration veraltet ist.” (Gartner, Predicts 2022).
• In 2021 sind laut dem „Cyber Attack 2021 Mid Year Report“ die Angriffe mit Ransomware um 93% gestiegen.

Solche Statistiken belegen die Notwendigkeit entsprechender Sicherheitsmaßnahmen, um den Schutz der Identitätsdaten zu verbessern. 

Authentifizierungs-Dienst Azure AD rückt in den Vordergrund

Als Antwort auf diese Gefahren und die wachsende Anzahl von Anforderungen an Identitäten, will Microsoft mit Entra seinen Authentifizierungs-Dienst Azure AD mehr in den Vordergrund schieben. Auch nach der Integration in Microsoft Entra können Organisationen natürlich weiterhin lokale Benutzerkonten aus Active Directory mit Azure AD synchronisieren. Diese synchronisierten Konten können danach noch umfangreicher zum Einsatz kommen. Die lokale Pflege von Benutzerkonten spielt daher auch in Zukunft in hybriden Netzwerken eine maßgebliche Rolle.

Innerhalb von Microsoft Entra ist Azure AD die tragende Säule. Dabei ändert Microsoft aber keine Funktionalitäten in Azure AD so ab, dass diese nur noch in Entra funktionieren. Alle aktuellen Funktionen von Azure AD bleiben erhalten, inklusive Sicherheitsdienste wie Conditional Access oder die kennwortlose Anmeldung. Dennoch arbeitet Azure AD auch mit den anderen Diensten in Entra zusammen. Es ist zu erwarten, dass die Funktionalitäten noch ausgebaut und weitere Funktionen zu Entra hinzukommen. Mit Azure AD ist es möglich, die Identitäten von Workloads zu steuern, die in Azure zum Einsatz kommen. Auch die Workloads-Identitäten lassen sich mit Conditional Access und anderen Funktionen schützen.

Weitere Services

Cloud Infrastructure Entitlement Management

Neben Azure AD ist Entra Permission Management als Cloud Infrastructure Entitlement Management (CIEM) ein Dienst, der zu Entra gehört. Dabei handelt es sich um das Produkt CCloudKnox Permissions Management, das Microsoft umbenannt hat. Microsoft hat den Hersteller CloudKnox Security im Juni 2021 übernommen. Die CIEM-Lösung behält die Rechte von Anwendern in Cloud-Plattformen im Auge und kann automatisiert gegensteuern, wenn ein Benutzer zu hohe Rechte hat.

Die Berechtigungsverwaltung von Microsoft Entra bietet umfassende Möglichkeiten für die Verwaltung von komplexeren Strukturen und Multicloud-Umgebungen.

Falls notwendig, kann der Dienst die Rechte von Benutzern automatisiert einschränken und bei Bedarf auch wieder freigeben. Dazu kann der jeweilige Benutzer in einem Self-Service-Portal die Freigabe anfordern und erhält sie durch Entra Permission Management zurück. Dadurch ist es möglich, komplette Umgebungen zuverlässig vor zu hohen Rechten zu schützen. Das funktioniert auch in Multicloud-Umgebungen mit AWS und Google Cloud Platform (GCP).

Entra Permission Management arbeitet darüber hinaus mit KI-Technologien, um Anomalien bei der Verwendung von Berechtigungen automatisiert zu erkennen und gegenzusteuern. Missbrauch von zugeteilten Rechten kann dadurch erkannt und die Gefahren in diesem Bereich sofort gebannt werden. Parallel dazu kann Entra Permission Management auch Berichte erstellen, aus denen hervorgeht, wie Berechtigungen im Unternehmen genutzt werden.

Entra Verified ID – Die dezentrale Identitätslösung in der Cloud

Neben Azure AD und Entra Permission Management als CIEM, ist Entra Verified ID die dritte Säule in Entra. Diese Lösung soll das Registrieren und Onboarding von neuen Benutzern vereinfachen. Basis des Dienstes ist ebenfalls wieder Azure AD. Mit der Lösung sollen sich Anmeldedaten auch für externe Dienste über Azure AD abwickeln lassen, bei gleichzeitiger Speicherung weiterer Informationen, zum Beispiel von Gesundheitsdaten. Generell kann Entra Verified ID so ähnlich wie Post Ident funktionieren, also auch die Authentizität von Benutzern verifizieren. Die Daten, die in der ID gespeichert sind, können Benutzer selbst steuern und Benutzer können auch festlegen, wer Zugriff auf die Daten erhalten soll. Es ist auch möglich, dass unterschiedliche Rechte erteilt werden, die Anwender selbst freigeben können.

Identity Governance mit Microsoft Entra

Um die Sicherheit von Identitäten zu gewährleisten, können Unternehmen Gastkonten und andere Identitäten nutzen und Rechte erteilen, die nicht dauerhaft gelten sollen. Das ist für die Zusammenarbeit mit Partnern wichtig, da hier beim Ausscheiden eines Mitarbeiters automatisiert Konten auslaufen oder Berechtigungen gestrichen werden können. Die Komponente in Entra umfasst ein Identity Lifecycle Management, mit dem sich das Onboarding deutlich vereinfachen lässt. Auch hier ist die Basis wieder Azure AD. Die Verwaltung der Komponenten erfolgt im Microsoft Entra Admin Center, das über die URL https://entra.microsoft.com erreichbar ist. Die Anmeldung erfolgt mit einem Admin-Konto aus Azure AD.

Die Komponenten von Microsoft Entra werden im Entra Admin Center zentral verwaltet.

Über „Overview“ oder „Übersicht“ sind im Microsoft Entra Admin Center bei „Azure Active Directory“ die wichtigsten Informationen zu den verbundenen Verzeichnissen zu finden. Die Informationen machen schnell klar, dass Microsoft die Bedeutung von Azure AD in Zukunft deutlich aufwerten und auch außerhalb der Microsoft-Welt zum Einsatz bringen will. Dazu spielt es in Zukunft weiterhin eine wichtige Rolle, dass die Daten korrekt gepflegt sind. Das gilt auch bei der Synchronisierung zwischen lokalen AD-Umgebungen und Azure AD.

Die Identitätssicherheitsbewertung  zeigt den Status der Identitäten in der Umgebung über das Microsoft Entra Admin Center an.

Über die FirstAttribute AG

Die FirstAttribute AG ist ein unabhängiges deutsches Cloud Service- und Software-Unternehmen mit Schwerpunkt Identity & Access Management (IAM) für AD und M365/Azure AD.

Alles Wissenswerte über unsere Produkte und Leistungen erfahren Sie hier.

Jetzt kontaktieren