Tags: Azure, Active Directory, Identity-Management, Rechteverwaltung
Im Juni 2022 hat Microsoft mit Entra eine neue Produktfamilie angekündigt, die künftig alle Identitäts- und Zugriffsfunktionen für Cloud-Dienste umfassen soll. Neben Azure AD enthält sie zwei neue Produkte, die CIEM-Lösung Microsoft Entra Permissions Management und das dezentrale Identitätsprodukt Microsoft Entra Verified ID.
Das Abschotten von IT-Systemen funktioniert heute aufgrund der umfassenden Vernetzung nicht mehr verlässlich. Daher ist es auch praktisch unmöglich, alle Bedrohungen vorherzusehen. Das gilt besonders dann, wenn Lösungen von Drittanwendern zum Einsatz kommen, die sich der Kontrolle des Unternehmens entziehen.
Deshalb ist, so Microsoft, ein umfassender, granularer und automatisierter Ansatz gefragt, den Entra bieten soll. Microsoft integriert dazu Azure Active Directory (Azure AD) einschließlich bekannter Komponenten wie Conditional Access, Privileged Identity Management oder Access Reviews in Entra.
Hinzu kommen das Entra Permissions Management, eine Lösung für das Cloud Infrastructure Entitlement Management (CIEM), das aus der Akquisition von CloudKnox Security im Juli 2021 stammt, und Entra Verified ID.
Zusätzliches Admin-Portal für AAD
Der Nutzer erhält mit dem Entra Admin Portal auch ohne Erwerb einer weiteren Lizenz eine neu strukturierte Oberfläche für Azure AD, welche die schon bekannten Verwaltungsseiten einbettet. Microsoft plant künftig auch die Integration anderer Sicherheitsportale wie Microsoft Defender for Cloud.
Da Entra primär für das Management hybrider und Multi-Cloud-Umgebungen (z.B. AWS und GCP) gedacht ist, müssen sich Nutzer von Office 365, Microsoft 365, SharePoint, Teams oder Azure nicht umstellen, denn das Azure AD bildet auch den Dreh- und Angelpunkt von Microsoft Entra.
Anwender von Microsofts Cloud-Diensten könnten also nach wie vor weiter mit Azure AD im Azure Portal, dem ADD-Portal oder den anderen AAD-basierten Admin-Portalen wie dem Office- oder Exchange-Admin-Portal, Defender und/oder Endpoint Manager arbeiten und das Entra-Admin-Portal zunächst ignorieren.
Auch das Synchronisieren von Azure AD mit AD DS mittels Azure AD Connect funktioniert weiterhin wie gewohnt, ebenso wie das Steuern von Azure AD via PowerShell.
Wer sich aber auch ohne Multicloud-Ambitionen mit Entra vertraut machen möchte, kann alle Aspekte von Azure AD auch im Entra Admin Center verwalten.
Entra Permission Management
Es ist ein erheblicher Aufwand, neuen Mitarbeitern oder Gastkonten (etwa von Dienstleistern oder Partnern) die passenden Berechtigungen zu geben und diese über den gesamten Lebenszyklus zu verwalten. So ist es nicht selten erforderlich, Berechtigungen nachträglich anzufordern oder manuell zuzuweisen, was Zeit und Geld kostet.
In Multicloud-Umgebungen werden mangels Transparenz oder Sachkenntnis häufig Berechtigungen auf Funktionen oder Dienste vergeben, die Mitarbeiter gar nicht benötigen. Das erhöht die potenziellen Angriffsflächen.
In Azure AD Identity Governance bereits enthaltene Funktionen wie Priviliged Identity Management und Zugriffsprüfungen (Access Reviews) adressieren dieses Problem. Letztere regeln unter anderem die Mitgliedschaft in Teams oder Gruppen, das Annehmen von Azure-AD-Rollen oder den zeitlich begrenzten Zugriff auf Anwendungen.
Mit der Berechtigungsverwaltung (Permission Management) ist Entra zusätzlich in der Lage, jede Identität in hybriden und Multi-Cloud-Umgebungen zu überprüfen und Berechtigungen zu erkennen sowie zu verwalten. Dazu tragen intelligente Zugriffsentscheidungen in Echtzeit bei, die nebenbei auch für ein besseres Benutzererlebnis sorgen.
Somit bildet Entra auch das Fundament eines Cloud Infrastructure Entitlement Management (CIEM) und erlaubt, Anwendungen und Ressourcen in hybriden und Multi-Cloud- Umgebungen (zum Beispiel AWS und GCP) zu überprüfen und abzusichern.
Allerdings konnte man auch bisher schon Azure-AD-Nutzer auf eine von AWS veröffentlichte Unternehmensanwendung für den SSO-Zugriff berechtigen, zum Beispiel via SAML.
Konkret bietet Entra Permissions Management einen umfassenden Einblick in die Berechtigungen sämtlicher Benutzer und Workloads sowie aller Aktionen und Ressourcen in Multi-Cloud-Infrastrukturen.
Erkennt der Service, dass ein Nutzer mehr Rechte hat, als er für seine aktuellen Zugriffe tatsächlich benötigt, dann schränkt er die Rechte automatisch ein und schaltet sie auf Anfrage des Nutzers aber auch wieder frei, wenn dieser die Rechte doch benötigt.
Zum Funktionsumfang von Entra Permission Management gehören auch Machine-Learning-Funktionen, welche Anomalien bei der Nutzung von Rechten erkennen können. Dies deckt nicht nur potenzielle Hackerangriffe schneller auf, sondern beugt auch generell dem Missbrauch vor.
Durch konsequentes Durchsetzen des Prinzips der geringsten Privilegien reduziert die Software auch das Risiko von Datenschutzverletzungen in Azure, AWS und der Google Cloud Platform. Für Entra Permissions Management ist allerdings eine entsprechende Lizenz erforderlich. Diese schlägt mit 8,80 USD pro Ressource und Monat zu Buche.
Nutzer können Entra Permissions Management für bis zu 90 Tage und 100 Lizenzen kostenlos testen.
Microsoft Entra Verified ID
Mit Entra Verified ID verwendet Microsoft dezentrale Identitätsstandards, um Benutzern und Unternehmen mehr Kontrolle darüber zu geben, wann und mit wem Identitätsdaten geteilt wurden, um diese bei Bedarf auch wieder entziehen zu können. Sie dienen also in erster Linie der Selbstverwaltung.
Microsoft hat zur Definition und Entwicklung entsprechender Standards mit Mitgliedern der Decentralized Identity Foundation (DIF), der W3C-Credentials Community-Gruppe und einer umfassenderen Identitäts-Community zusammengearbeitet. Die Ergebnisse der Kooperation wurden in Verfied ID implementiert, das damit (bisher) diese Dienste nutzt:
- W3C Verifiable Credentials (W3C Nachweise)
- DIF-Sidetree
- DIF Well Known DID Configuration
- DIF DID-SIOP
- DIF Presentation Exchange
Zum gegenwärtigen Zeitpunkt unterstützt Microsoft Entra Verified ID beim Onboarding neuer Nutzer. Dabei gewährleistet die zentrale ID, dass es sich bei dem Benutzer stets tatsächlich um die Person handelt, die das Konto angelegt hat.
Die Technik lässt sich in etwa mit PostIdent vergleichen. Entra Verified ID erlaubt nicht nur das Verwalten der Benutzerdaten durch die Mitarbeiter selbst, diese können auch festlegen, welcher Dienst Zugriff auf die verschiedenen Daten im Benutzerkonto erhalten soll.
Fazit
Entra erweitert Azure Active Directory inklusive zugehöriger Features wie Conditional Access um zwei weitere Dienste.
Mit der Berechtigungsverwaltung (Permission Management) ist Entra zusätzlich in der Lage, Berechtigungen in Multi-Cloud-Umgebungen zu erkennen und zu verwalten. Überprüfte ID (Verified ID) vereinfacht die Selbstverwaltung von Identitätsdaten.
Strategisch lässt sich an Entra ablesen, dass Microsoft plant, Azure AD als eine Art Meta-Dienst für die Authentifizierung von Benutzerkonten auszubauen. Mögliche Einsatzbereiche wären das Registrieren von Zeitarbeitern oder der Berechtigungsnachweis von Partnern, Auftragnehmern und Angestellten.
Täglich Know-how für IT-Pros mit unserem Newsletter
Thomas Drilling arbeitet ist seit fast 30 Jahren selbständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehemalige und aktuelle IT-Magazine sowie Blogs.
Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.
Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zertifizierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grundlagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.
Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Informationen und Anmeldung über sein Azure-Blog.
Verwandte Beiträge
- Azure Active Directory heißt künftig Entra ID, zwei Entra-Produkte kommen hinzu
- Gruppen in Azure AD: Security vs. Microsoft 365, dynamische vs. statische
- Rollen in Azure und Azure Active Directory
- Notfallzugriff für Microsoft 365 (Break Glass Account) einrichten
- Microsoft Teams: Benutzer am Erstellen von neuen Teams hindern
Weitere Links