ra2 studio - stock.adobe.com
Microsoft Entra: Alles, was Azure-Admins wissen müssen
Microsoft Entra ist eine neue Produktfamilie von Microsoft, zu der auch Microsoft Azure Active Directory gehört. Wir erklären, welche neue Funktionen Sie kennen sollten.
Microsoft Entra ist seit dem Mai 2022 Teil der Azure-Produktfamilie von Microsoft. Unter diesen Schirm gehört auch Azure Active Directory (AD). Zusätzlich hat Microsoft mit Entra Permissions Management, ehemals CloudKnox Permission Management, noch eine Lösung im Bereich Cloud Infrastructure Entitlement Management (CIEM) mit hineingepackt. Verified ID macht als dezentrale Identitätslösung das Set komplett.
Wir zeigen in diesem Beitrag, was Sie über Entra wissen müssen und welche Änderungen es für Admins bezüglich Azure AD gibt. Microsoft Entra richtet sich vor allem an Nutzer, die Multi-Cloud-Umgebungen mit AWS (Amazon Web Services), Azure und GCP (Google Cloud Platform) zentral verwalten.
Azure AD ist jetzt Bestandteil von Microsoft Entra
Azure AD ist elementarer Bestandteil von Entra und fungiert als Drehkreuz der neuen Produktfamilie. Admins müssen sich aber nicht an einen neuen Namen gewöhnen, denn Azure AD bleibt als solches erhalten. Auch die Funktionen bleiben gleich. Aktuell hat Microsoft keine Änderungen in dieser Hinsicht angekündigt.
Die Umstellung der Produktfamilie ist daher für Sie zunächst kein Grund zum Handeln, denn bezüglich der Verwaltung bleibt alles beim Alten. Sie konfigurieren Azure AD weiterhin im Admin Center oder im Verwaltungsportal von Azure. Das Steuern von Azure AD über die PowerShell und die Synchronisierung von lokalen Benutzerkonten mit Azure über Azure AD Connect sind ebenfalls weiterhin funktional und bedürfen keiner Änderungen.
Die Optionen für Microsoft Entra finden Sie im Microsoft Entra Admin Center unter folgendem Link. Sie melden sich mit Ihrem normalen Azure-Admin-Konto an und nehmen hier sämtliche erweiterten Einstellungen für Azure AD vor.
Azure AD ist die Basis von Entra Permssion Management und Entra Verified ID. Es ist jedoch weiterhin möglich, es ohne die beiden anderen Entra-Bestandteile zu nutzen. Auch Conditional Access und die kennwortlose Anmeldung lässt sich ohne zusätzliche Tools nur mit Azure AD umsetzen.
Zusammengefasst: Wenn Sie Entra nicht brauchen, ändert sich an Azure AD für Sie nichts und Sie können einfach weitermachen, wie bisher.
Azure AD mit Microsoft Entra
Entra Permission Management und Entra Verified ID ziehen die für ihre Funktionen notwendigen Benutzerinformationen aus Azure AD. Dazu kommt noch die Möglichkeit Workload-Identitäten mit Azure AD und Entra zu verwalten. Damit lassen sich die Berechtigungen und Identitäten gemeinsam in Azure konfigurieren.
Sie legen Richtlinien fest, erteilen Berechtigungen oder analysieren die Risiken Ihrer Berechtigungsinformation. Die Tools helfen Ihnen, kompromittierte Identitäten zu erkennen und ihr Auftreten zu verhindern. Dazu arbeiten sie mit Conditional Access zusammen, das in Azure AD ohnehin zur Verfügung steht.
Entra Permission Management durch Cloud Infrastructure Entitlement Management
Entra Permission Management ist ein weiteres interessantes Tool in der Produktfamilie. Dabei handelt es sich um eine Lösung im Bereich Cloud Infrastructure Entitlement Management (CIEM). Microsoft hat das Produkt durch die Übernahme der Firma CloudKnox Security in sein Portfolio aufgenommen.
Die Lösung hat verschiedene Aufgaben. Zunächst können Sie Berechtigungen von Benutzerkonten in Azure AD hinsichtlich ihrer Zugriffe auf Azure, AWS und GCP überwachen. Erkennt das System, dass ein Benutzer mehr Rechte hat, als er aktuell für seine Zugriffe benötigt, schränkt Entra Permission Management die Rechte automatisch ein. Wenn der Nutzer die Rechte eben doch benötigt schaltet die Lösung sie auf Anfrage des Benutzers auch wieder frei.
Durch dieses dauerhafte und plattformübergreifende Monitoring verbessert Entra die Sicherheit in Multi-Clouds und setzt Least Privilege Policies um. Zu Entra Permission Management gehören auch KI-Funktionen, die Anomalien bei der Nutzung von Rechten aufspüren. Das beugt Missbrauch vor und deckt Hackerangriffe schneller auf. Wenn nötig, schickt Entra Benachrichtigung an die zuständigen Mitarbeiter – auch diese bezieht es aus Azure AD.
Entra Verified ID – Dezentrale Identitätslösung aus der Cloud
Entra Verified ID soll in Zukunft Benutzerkonten und deren Daten aus Azure AD bei Bedarf mit anderen Diensten teilen können. Zum Erscheinungszeitpunkt unterstützt sie IT-Mitarbeiter beim Onboarding neuer Nutzer. Dazu verwendet Verified ID dezentrale Identitätsstandards, die vor allem bei der Selbstverwaltung eine Rolle spielen. Microsoft arbeitet dazu eng mit der Gemeinschaft der Decentralized Identifiers (DIDs) zusammen.
Die Zentrale ID aus Verified ID stellt sicher, dass es sich bei dem Benutzer wirklich um die Person handelt, die das Benutzerkonto angelegt hat. Die Technik erinnert etwas an PostIdent. Verified ID lässt sich auf verschiedenen Plattformen nutzen. Es erlaubt außerdem die Verwaltung der Benutzerdaten durch die Mitarbeiter selbst. Gleichzeitig legen die Benutzer fest, welcher Dienst Zugriff auf die verschiedenen Daten im Benutzerkonto bekommt.
Dadurch kommt der Dienst auch für sicherheitskritische Bereiche wie in der Medizin in Frage. Der Benutzer legt genau fest, welche Informationen Dienst A mit Dienst B teilt, loggt sich aber mit denselben Anmeldedaten bei beiden Diensten ein. Microsoft zeigt mit diesem Dienst, dass Azure AD in Zukunft eine Art Metadienst für die Authentifizierung von Benutzerkonten werden will. Zu den praktischen Einsatzbereichen gehört auch das Registrieren von Zeitarbeitern und der Berechtigungsnachweis von Partnern, Auftragnehmern und Angestellten.
Microsoft Entra testen
Azure AD gibt es zeitlich beschränkt in einer kostenlosen Testversion. Azure AD Free ist mit weniger Funktionen sogar dauerhaft verfügbar. Wer sich die Funktionen von Microsoft Entra näher anschauen will, kann die einzelnen Komponenten bis zu 90 Tage mit bis zu 100 Lizenzen testen.
