Was Admins über Microsoft Entra wissen sollten

Was ist Microsoft Entra ID?

Microsoft Entra ID, früher Azure Active Directory (AD), ist das Rückgrat der Entra-Produktlinie. Es handelt sich im Wesentlichen um eine Cloud-Version des lokalen Active Directory und bietet Authentifizierungs- und Zugriffskontrolldienste aus der Microsoft Cloud.

Während Microsoft den Namen von Azure AD in Microsoft Entra ID im August 2023 geändert hat, sagte das Unternehmen, dass der Name die einzige Änderung ist, die seine Kunden verstehen müssen. Alle zugehörigen Azure-AD-Produkte wurden ab Oktober 2023 mit aktualisierten SKUs (Stock Keeping Units) umbenannt. Zum Beispiel sind Azure Active Directory Premium P1 und Azure Active Directory Premium P2 jetzt Microsoft Entra ID P1 beziehungsweise Microsoft Entra ID P2.

Diese Änderung betrifft nur das Cloud-Produkt. Der lokale Active-Directory-Verzeichnisdienst in Windows Server wird seinen Namen behalten.

Was ist Microsoft Entra Permissions Management?

Microsoft Entra Permissions Management, ehemals Azure AD Entitlement Management, ist ein Tool zur Verwaltung von Berechtigungen für die Cloud-Infrastruktur (Cloud infrastructure entitlement management, CIEM), mit dem die Zugriffsrechte von Benutzern auf Cloud-Ressourcen verwaltet werden.

Laut Microsoft bietet dieses Tool Sicherheitsexperten eine konsistentere Methode zur Zuweisung von Sicherheitsrichtlinien und eine Möglichkeit zu sehen, auf welche Ressourcen jeder Benutzer oder jede Identität zugreift. Microsoft Entra Permissions Management unterstützt Unternehmen, die ein Zero-Trust-Sicherheitsmodell und das Prinzip der geringsten Benutzerprivilegien (POLP) verfolgen wollen.

Was ist Microsoft Entra Verified ID?

Microsoft Entra Verified ID, früher Azure AD Verifiable Credentials, ist eine kostenlose Komponente der Entra-Suite, die in allen Microsoft-Entra-ID-Abonnements enthalten ist.

Entra Verified ID erstellt überprüfbare Benutzeranmeldeinformationen, die entweder auf Vorlagen basieren oder mit Ihren eigenen Anmeldeinformationsregeln erstellt werden. Diese Berechtigungsnachweise sind mehr als nur Benutzerkonten. Sie können mehrere Attribute für eine bestimmte Person speichern. Eine Organisation könnte Entra Verified ID beispielsweise dazu verwenden, Zertifizierungen auszustellen oder die Ausbildung einer Person zu verfolgen.

Die von Verified ID erstellten Berechtigungsnachweise basieren auf offenen Standards, was bedeutet, dass Sie eine digitale Identität erstellen können, die bei einem Benutzer bleibt. Eine an den Aussteller gesendete Abfrage bestimmt die Gültigkeit der Anmeldeinformationen eines Benutzers.

Der Aussteller verwaltet den gesamten Lebenszyklus der Benutzeranmeldeinformationen und hat die Möglichkeit, eine Reihe von Anmeldeinformationen bei Bedarf auszusetzen oder zu widerrufen.

Was ist Microsoft Entra Identity Governance?

Microsoft Entra Identity Governance, ehemals Azure AD Identity Governance, gewährt Anwendern Zugriff auf die erforderlichen Ressourcen und verringert gleichzeitig das Risiko von Sicherheitsverletzungen oder Insider-Bedrohungen.

Entra Identity Governance nutzt maschinelles Lernen für Zugriffskontrollentscheidungen. Benutzer beantragen Zugriff auf Ressourcen und erhalten sofort eine geprüfte Antwort, ohne auf eine manuelle Genehmigung warten zu müssen. Entra Identity Governance verwaltet auch Zugriffskontrollanfragen für Partner, Zulieferer und andere externe Parteien, die möglicherweise Zugriff auf die Ressourcen Ihres Unternehmens benötigen.

Entra Identity Governance kann ein Unternehmen bei der Einhaltung von Compliance-Vorgaben unterstützen. So kann das Unternehmen beispielsweise regelmäßige Zugriffsüberprüfungen planen, um die Aktivitäten der Benutzer mit den Ressourcen zu kontrollieren und die Zugriffsanforderungen zu überprüfen. Entra Identity Governance erzwingt auch die Trennung von Aufgaben und schränkt den Zugriff ein, wenn widersprüchliche Anforderungen auftreten.

Lebenszyklus-Workflows sind eine Funktion in Entra Identity Governance, mit der sich automatisierte Workflows für gängige Identitätsmanagement-Aufgaben erstellen lassen. Microsoft stellt Vorlagen zur Verfügung, um die Erstellung von Workflows in den folgenden Bereichen zu vereinfachen:

• Onboarding eines Mitarbeiters vor der Einstellung
• Onboarding eines neu eingestellten Mitarbeiters
• Kündigung eines Mitarbeiters in Echtzeit
• Pre-Offboarding eines Mitarbeiters
• Offboarding eines Mitarbeiters
• Post-Offboarding eines Mitarbeiters

Entra Identity Governance funktioniert sowohl mit Anwendungen von Microsoft als auch von Drittanbietern, die in der Cloud oder On-Premises laufen.

Was ist Microsoft Entra Workload ID?

An einem modernen Arbeitsplatz benötigen nicht nur die Benutzer Zugriff auf Cloud-Ressourcen. Anwendungen und Dienste müssen oft andere Anwendungen und Dienste nutzen, um richtig zu funktionieren. Um diesen Prozess zu erleichtern, sorgt Microsoft Entra Workload ID – Microsoft verwendet auch den Namen Workload Identities – dafür, dass Anwendungen und Dienste auf sichere Weise auf Cloud-Ressourcen zugreifen. Dieses Produkt wurde früher Azure AD Managed Service Identities genannt.

Entra Workload ID führt drei Hauptaufgaben aus, um den sicheren Zugriff auf Ressourcen zu gewährleisten.

Erstens erweitert Entra Workload ID die bedingten Zugriffsrichtlinien, um mit Anwendungen und Diensten zu arbeiten, nicht nur mit Benutzerkonten, um Zugriffskontrollentscheidungen zu treffen, die auf verschiedenen Faktoren basieren, wie zum Beispiel dem geografischen Standort und einem wahrgenommenen Risikoniveau.

Als nächstes schützt Entra Workload ID Workloads, indem es kompromittierte Workload-Identitäten erkennt, indem es auf durchgesickerte Anmeldeinformationen prüft oder feststellt, dass die Anwendung bösartig ist.

Schließlich vereinfacht Entra Workload ID das Lebenszyklusmanagement von Workloads durch Tools zur Überprüfung von Workload-Zugriffsaktivitäten und zur Überprüfung der mit diesen Workloads verbundenen Berechtigungen. Entra Workload ID kennzeichnet Workloads für die Deprovisionierung.

Was ist Microsoft Entra ID Protection?

Microsoft Entra ID Protection, ehemals Azure AD Identity Protection, ist eine Funktion, die sich zum Zeitpunkt der Veröffentlichung dieses Artikels in der Vorschau befindet. Microsoft Entra ID Protection wird kostenlos in Microsoft Entra ID enthalten sein, sobald es allgemein verfügbar ist.

Microsoft Entra ID Protection ist eine Funktion zur Erkennung von Bedrohungen, die Identitätsangriffe verfolgt und die Möglichkeit bietet, diese bösartigen Aktivitäten automatisch zu beseitigen. Microsoft Entra ID Protection versucht, sich am Mitre ATT&CK Framework zu orientieren, um die Konsistenz mit der von Microsoft im Entra-Dashboard verwendeten Terminologie zu gewährleisten. Microsoft Entra ID Protection verfolgt verschiedene Arten der Risikoerkennung, darunter verdächtige Anmeldungen, Passwort-Spray-Versuche und Massenzugriff auf sensible Dateien.

Was ist Microsoft Entra External ID?

Microsoft hat sein bestehendes Produkt Azure AD External Identities zu Microsoft Entra External ID weiterentwickelt, einer CIAM-Funktion (Customer Identity and Access Management), die Aufgaben im Zusammenhang mit der Sicherheit dieser externen Konten übernimmt.

Zu den exklusiven Funktionen von Microsoft Entra External ID gehören Tools für Entwickler, um sicherere Anwendungen für Kunden zu erstellen, sowie die Möglichkeit, Identitäten von externen Quellen wie Google für die Anmeldung zu nutzen.

Microsoft hat angegeben, dass seine Azure AD B2C-Plattform bis auf Weiteres getrennt von Entra External ID existieren wird.

Was ist Global Secure Access?

Für die Netzwerksicherheit umfasst Global Secure Access zwei Netzwerksicherheitsprodukte: Microsoft Entra Internet Access und Microsoft Entra Private Access. Das Zero-Trust-Sicherheitsmodell ist der Kern dieser Funktionen, bei denen der Identitätszugang bei jeder Anfrage überprüft wird.

Laut Microsoft bietet Entra Private Access eine verbesserte Möglichkeit, den Zugriff auf private Anwendungen und Ressourcen über ein Cloud-VPN zu schützen, was für Clients hilfreich ist, die möglicherweise keine VPN-Client-App haben, wie zum Beispiel MacOS- und Linux-Rechner.

Durch ein sicheres Web-Gateway schützt Microsoft Entra Internet Access Systeme vor bösartigem Datenverkehr. Das Web-Gateway bietet einen direkten Zugang zu Microsoft 365, privaten Anwendungen und anderen Internetdiensten.

Diese Produktkombination stellt eine Verbesserung gegenüber VPNs und Firewalls dar, deren Möglichkeiten nach einem Einbruch begrenzt sind.

Kosten und Lizenzierung für Microsoft Entra

Da es sich bei Microsoft Entra um eine Suite und nicht um ein einzelnes Produkt handelt, gibt es kein Abonnement mit Zugriff auf alle einzelnen Entra-Tools. Stattdessen muss jedes Tool separat lizenziert werden.

Microsoft Entra ID ist das Rückgrat jedes anderen Entra-Produkts. Neben allen anwendbaren Azure-AD-Abonnementgebühren berechnet Microsoft die Kosten pro Benutzer und Monat für ein Microsoft Entra ID P1 – früher Azure AD Premium P1 – Abonnement oder pro Benutzer und Monat für ein Microsoft Entra ID P2 Abonnement. Verified ID ist in allen Microsoft-Entra-ID-Abonnements enthalten, auch in der kostenlosen Variante.

Microsoft Entra Identity Governance ist ein Add-on für Microsoft Entra ID P1-Kunden und wird ebenfalls pro Benutzer und Monat berechnet, genau wie für Microsoft Entra ID P2-Kunden.

Der Preis für Entra Permissions Management wird pro Ressource und Monat berechnet. Die kostenlose Version von Microsoft Entra Workload ID wird mit einem Abonnement für einen kommerziellen Online-Dienst wie Azure geliefert. Entra Workload ID Premium kostet pro Workload-Identität und Monat.

Wie bleibe ich mit Microsoft Entra auf dem Laufenden?

Neben der Dokumentation auf der Microsoft-Website und dem Entra-Portal unter entra.microsoft.com können Kunden die Identity-PowerToys-Website besuchen, die von Microsoft-Mitarbeitern in ihrem Identitätsmanagement-Team verwaltet wird. Auf dieser Seite befindet sich die Microsoft Entra Mind Map, die eine visuelle Darstellung der miteinander verbundenen Dienste in der Microsoft-Entra-Produktlinie bietet.