Microsoft Entra ergänzt Azure Active Directory um Berechtigungs-Management und Verified ID

    , 03.03.2023
    Tags: , , ,

    Entra Verified IDIm Juni 2022 hat Microsoft mit Entra eine neue Produktfamilie angekündigt, die künftig alle Identitäts- und Zugriffsfunktionen für Cloud-Dienste umfassen soll. Neben Azure AD enthält sie zwei neue Produkte, die CIEM-Lösung Microsoft Entra Permissions Management und das dezentrale Identitätsprodukt Microsoft Entra Verified ID.

    Das Abschotten von IT-Systemen funktioniert heute aufgrund der umfassenden Vernetzung nicht mehr verlässlich. Daher ist es auch praktisch unmöglich, alle Bedrohungen vorherzusehen. Das gilt besonders dann, wenn Lösungen von Drittanwendern zum Einsatz kommen, die sich der Kontrolle des Unternehmens entziehen.

    Deshalb ist, so Microsoft, ein umfassender, granularer und automatisierter Ansatz gefragt, den Entra bieten soll. Microsoft integriert dazu Azure Active Directory (Azure AD) einschließlich bekannter Komponenten wie Conditional Access, ​Privileged Identity Management oder ​Access Reviews in Entra.

    Hinzu kommen das Entra Permissions Management, eine Lösung für das Cloud Infrastructure Entitlement Management (CIEM), das aus der Akquisition von CloudKnox Security im Juli 2021 stammt, und Entra Verified ID.

    Zusätzliches Admin-Portal für AAD

    Der Nutzer erhält mit dem Entra Admin Portal auch ohne Erwerb einer weiteren Lizenz eine neu strukturierte Oberfläche für Azure AD, welche die schon bekannten Verwaltungsseiten einbettet. Microsoft plant künftig auch die Integration anderer Sicherheitsportale wie Microsoft Defender for Cloud.

    Das Entra Admin Center

    Da Entra primär für das Management hybrider und Multi-Cloud-Umgebungen (z.B. AWS und GCP) gedacht ist, müssen sich Nutzer von Office 365, Microsoft 365, SharePoint, Teams oder Azure nicht umstellen, denn das Azure AD bildet auch den Dreh- und Angelpunkt von Microsoft Entra.

    Anwender von Microsofts Cloud-Diensten könnten also nach wie vor weiter mit Azure AD im Azure Portal, dem ADD-Portal oder den anderen AAD-basierten Admin-Portalen wie dem Office- oder Exchange-Admin-Portal, Defender und/oder Endpoint Manager arbeiten und das Entra-Admin-Portal zunächst ignorieren.

    Auch das Synchronisieren von Azure AD mit AD DS mittels Azure AD Connect funktioniert weiterhin wie gewohnt, ebenso wie das Steuern von Azure AD via PowerShell.

    Wer sich aber auch ohne Multicloud-Ambitionen mit Entra vertraut machen möchte, kann alle Aspekte von Azure AD auch im Entra Admin Center verwalten.

    Azure AD im Entra Admin Center

    Entra Permission Management

    Es ist ein erheblicher Aufwand, neuen Mitarbeitern oder Gastkonten (etwa von Dienstleistern oder Partnern) die passenden Berechtigungen zu geben und diese über den gesamten Lebenszyklus zu verwalten. So ist es nicht selten erforderlich, Berechtigungen nachträglich anzufordern oder manuell zuzuweisen, was Zeit und Geld kostet.

    In Multicloud-Umgebungen werden mangels Transparenz oder Sachkenntnis häufig Berechtigungen auf Funktionen oder Dienste vergeben, die Mitarbeiter gar nicht benötigen. Das erhöht die potenziellen Angriffsflächen.

    In Azure AD Identity Governance bereits enthaltene Funktionen wie Priviliged Identity Management und Zugriffsprüfungen (Access Reviews) adressieren dieses Problem. Letztere regeln unter anderem die Mitgliedschaft in Teams oder Gruppen, das Annehmen von Azure-AD-Rollen oder den zeitlich begrenzten Zugriff auf Anwendungen.

    Mit der Berechtigungsverwaltung (Permission Management) ist Entra zusätzlich in der Lage, jede Identität in hybriden und Multi-Cloud-Umgebungen zu überprüfen und Berechtigungen zu erkennen sowie zu verwalten. Dazu tragen intelligente Zugriffsentscheidungen in Echtzeit bei, die nebenbei auch für ein besseres Benutzererlebnis sorgen.

    Somit bildet Entra auch das Fundament eines Cloud Infrastructure Entitlement Management (CIEM) und erlaubt, Anwendungen und Ressourcen in hybriden und Multi-Cloud- Umgebungen (zum Beispiel AWS und GCP) zu überprüfen und abzusichern.

    Allerdings konnte man auch bisher schon Azure-AD-Nutzer auf eine von AWS veröffentlichte Unternehmens­anwendung für den SSO-Zugriff berechtigen, zum Beispiel via SAML.

    SSO mit AWS ermöglicht auch bisher schon AAD-Nutzer den nahtlosen Zugriff auf AWS und andere Unternehmensanwendungen.

    Konkret bietet Entra Permissions Management einen umfassenden Einblick in die Berechtigungen sämtlicher Benutzer und Workloads sowie aller Aktionen und Ressourcen in Multi-Cloud-Infrastrukturen.

    Erkennt der Service, dass ein Nutzer mehr Rechte hat, als er für seine aktuellen Zugriffe tatsächlich benötigt, dann schränkt er die Rechte automatisch ein und schaltet sie auf Anfrage des Nutzers aber auch wieder frei, wenn dieser die Rechte doch benötigt.

    Zum Funktionsumfang von Entra Permission Management gehören auch Machine-Learning-Funktionen, welche Anomalien bei der Nutzung von Rechten erkennen können. Dies deckt nicht nur potenzielle Hackerangriffe schneller auf, sondern beugt auch generell dem Missbrauch vor.

    Durch konsequentes Durchsetzen des Prinzips der geringsten Privilegien reduziert die Software auch das Risiko von Datenschutz­verletzungen in Azure, AWS und der Google Cloud Platform. Für Entra Permissions Management ist allerdings eine entsprechende Lizenz erforderlich. Diese schlägt mit 8,80 USD pro Ressource und Monat zu Buche.

    Nutzer können Entra Permissions Management für bis zu 90 Tage und 100 Lizenzen kostenlos testen.

    Microsoft Entra Verified ID

    Mit Entra Verified ID verwendet Microsoft dezentrale Identitäts­standards, um Benutzern und Unternehmen mehr Kontrolle darüber zu geben, wann und mit wem Identitäts­daten geteilt wurden, um diese bei Bedarf auch wieder entziehen zu können. Sie dienen also in erster Linie der Selbstverwaltung.

    Microsoft hat zur Definition und Entwicklung entsprechender Standards mit Mitgliedern der Decentralized Identity Foundation (DIF), der W3C-Credentials Community-Gruppe und einer umfassenderen Identitäts-Community zusammen­gearbeitet. Die Ergebnisse der Kooperation wurden in Verfied ID implementiert, das damit (bisher) diese Dienste nutzt:

    • W3C Verifiable Credentials (W3C Nachweise)
    • DIF-Sidetree
    • DIF Well Known DID Configuration
    • DIF DID-SIOP
    • DIF Presentation Exchange ​

    Zum gegenwärtigen Zeitpunkt unterstützt Microsoft Entra Verified ID beim Onboarding neuer Nutzer. Dabei gewährleistet die zentrale ID, dass es sich bei dem Benutzer stets tatsächlich um die Person handelt, die das Konto angelegt hat.

    Die Technik lässt sich in etwa mit PostIdent vergleichen. Entra Verified ID erlaubt nicht nur das Verwalten der Benutzerdaten durch die Mitarbeiter selbst, diese können auch festlegen, welcher Dienst Zugriff auf die verschiedenen Daten im Benutzerkonto erhalten soll.

    Fazit

    Entra erweitert Azure Active Directory inklusive zugehöriger Features wie Conditional Access um zwei weitere Dienste.

    Mit der Berechtigungsverwaltung (Permission Management) ist Entra zusätzlich in der Lage, Berechtigungen in Multi-Cloud-Umgebungen zu erkennen und zu verwalten. Überprüfte ID (Verified ID) vereinfacht die Selbst­verwaltung von Identitätsdaten.

    Strategisch lässt sich an Entra ablesen, dass Microsoft plant, Azure AD als eine Art Meta-Dienst für die Authentifizierung von Benutzerkonten auszubauen. Mögliche Einsatzbereiche wären das Registrieren von Zeitarbeitern oder der Berechtigungs­nachweis von Partnern, Auftragnehmern und Angestellten.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling
    Thomas Drilling arbeitet seit mehr als 20 Jahren selb­ständig als Redakteur und Autor für viele ehe­malige und aktuelle IT-Magazine sowie Blogs. Thomas ist zudem Buch­autor und IT-Consultant. Seit 5 Jahren ist Thomas neben seiner journa­listischen Tätig­keit haupt­beruflicher, selb­ständiger IT-Trainer für VMware und Microsoft.

    Seine Themen­schwer­punkte sind Virtua­lisierung und Cloud Com­puting, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zerti­fi­zierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas ist außerdem zertifi­zierter AWS Solu­tions Archi­tect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Admini­strator.

    Thomas führt aktuell jeden zwei­ten Mon­tag einen 4-tägigen Grund­lagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Infor­mationen und Anmel­dung über sein AWS-Blog.

    Ähnliche Beiträge

    Weitere Links