Bedeutung
Microsoft Entra ist eine Familie von Identitäts- und Netzwerkzugriffslösungen. Seit dem Sommer 2023 heisst das ehemalige Azure Active Directory «Entra ID», um einen konsistenten Markenauftritt für die Cloud-Produkte aus Redmond sicherzustellen. Entra ID sorgt für einen einfachen Zugriff auf lokale und Cloud-Ressourcen von jedem Ort und Gerät aus.
Ausgangslage
«IAM»-Lösungen (Identity and Access Management) wie Microsoft Entra ID sind wichtige Sicherheitselemente einer IT-Infrastruktur, vergleichbar mit einem Concierge im Eingangsbereich eines mehrstöckigen Wohn- und Geschäftshauses. Ob cloudbasiert, On-Premises (vor Ort) oder hybrid gestaltet: IAM-Lösungen regeln den automatisierten Zugriff und die Vergabe von Berechtigungen. Sie bestimmen also, wer wie auf Server und Daten zugreifen darf – unsichtbar im Hintergrund oder mittels Eingabemaske für Benutzername, Passwort und allenfalls einen dritten Faktor per SMS oder Authentifizierungssoftware.
Viele Unternehmen bieten eigene IAM-Lösungen an, nebst Microsoft auch Google, Meta oder Abraxas. Mit SECURE Connect erweitert Abraxas den Architekturspielraum für exakt an die Sicherheits- und Kundenbedürfnisse angepasste Lösungen. Entra ID dient als zentraler Identitätsprovider, weil in der Regel die Geräte der Benutzenden an diesem angeschlossen sind. Die eigene IAM-Lösung Abraxas IAM (SECURE Connect) ist ebenfalls ans Entra ID angebunden. Das ermöglicht individuelle Authentifizierungs- und Autorisierungsketten. Ausserdem kann SECURE Connect weitere Faktoren wie Geofencing zur Verfügung stellen, falls das Entra-ID-Authentifizierungstoken dieses Merkmal nicht übermittelt.
CoreOne – die neueste Generation von IAM-Lösungen bei Abraxas
Neben Secure Connect kommt bei Abraxas in mehreren Kundenlösungen die IAM-Lösung CoreOne von ITSense zum Einsatz – etwa für den sicheren Zugriff auf ein kantonales Berufsbildungsportal und die Fachanwendung Kompass der schweizerischen Strassenverkehrs- und Schifffahrtsämter. Das «eVertretungsmodell» der IAM-Suite erweitert die Informationen von Identitätsanbietern wie AGOV oder E-ID um Angaben zu vertretungsberechtigten natürlichen und juristischen Personen. Dadurch lassen sich Zugriffe und Berechtigungen präzise und zentral verwalten. Nutzer müssen sich nicht mehr einzeln in verschiedene E-Services einloggen, und beim Austritt eines Mitarbeitenden können alle Berechtigungen und Vertretungsverhältnisse mit einem Schritt aufgehoben werden.
Mehr dazu im Whitepaper
Geschichte
Verzeichnisprotokolle gab es bereits lange vor Microsoft, beispielsweise LDAP (Lightweight Directory Access Protocol). Die Geschichte von Entra ID reicht bis ins Jahr 1999 zurück. Damals überführte Microsoft seine eigene Windows-Domäne mit rund 27'000 Benutzerkonten zu Active Directory. Damit war erstmals für die Microsoft-Welt die Gliederung eines Netzwerks nach räumlichen oder organisationellen Strukturen möglich. Im Jahr darauf, mit Windows 2000 Server, erschien die erste offizielle Version des klassischen Active Directory. Mit der Entwicklung von Windows Azure (2010), der Cloud-Plattform von Microsoft, und der Umbenennung in Microsoft Azure (2014) entstand auch Azure AD, die Cloud-Version von Active Directory (AD).
Deep Dive
Entra ID unterscheidet sich wesentlich vom klassischen Pendant Active Directory: Unternehmen verzichten dank dem Dienst auf eigene Server, und er verwendet RESTful-APIs für den Datenabruf. Er ist eng mit Microsoft 365 und anderen Produkten verzahnt, aber nicht darauf beschränkt. Die wesentlichen Funktionen sind:
- Authentifizierung mit allen gängigen Methoden (z. B. Passwordless, Single Sign-On, Multifaktor-Authentifizierung).
- Identitätsverwaltung von Nutzern und Gruppen (Self-Service-Kennwortänderung, Synchronisation mit lokalen Verzeichnissen)
- Sicherheitsfunktionen (Identitätsschutz, risikobasierter Zugriff)
- Integration von Protokollen von Drittherstellern (z. B. OAuth, SAML und OpenID Connect)
- Identitätsgovernance über den gesamten Lebenszyklus
Oft kommt eine Kombination von lokalem Active Directory und Entra ID zum Einsatz. Dank verbundenen Verzeichnisdiensten kann man sich am Arbeitsplatz gleichzeitig auch für die Ressourcen in der Microsoft Cloud anmelden und vice versa für Ressourcen im lokalen Rechenzentrum, die dem Active Directory angehören. Mit weiteren Tools des Entra-Produktportfolios ist ebenfalls das Einbinden lokaler Verzeichnisse und Anwendungen möglich.
Der Vergleich von Windows Server Active Directory und Microsoft Entra ID zeigt eine stärkere Flexibilität von Entra ID in modernen Szenarien, inklusive der Verwaltung von mobilen Endgeräten.
Um die Sicherheit von Entra ID zu stärken, bedarf es einiger Massnahmen wie der Eingrenzung von administrativen Berechtigungen sowie der kontinuierlichen Überprüfung von Zugriffs- und Anwendungsberechtigungen. Ausserdem sollte die Multi-Faktor-Authentifizierung aktiviert werden, mit den passenden Methoden wie den Richtlinien für den bedingten Zugriff, zum Beispiel bei Anmeldungen von ungewöhnlichen Orten aus. Die Aktivitäten in Entra ID müssen zudem laufend überwacht und ungewöhnliche Aktivitäten gekennzeichnet werden.
Entra ID ist in einer kostenlosen Version erhältlich. Sie bietet Benutzer- und Gruppenverwaltung, lokale Verzeichnissynchronisation, einfache Berichte, Self-Service-Kennwortänderung für Cloud-Benutzer sowie einmaliges Anmelden für Azure, Microsoft 365 und zahlreiche beliebte SaaS-Apps. Die beiden Tarife P1, P2 und die Entra-ID-Suite erweitern den Funktionsumfang erheblich. Weitere Identitätsverwaltungsfunktionen zu den Themen Governance oder Berechtigungsmanagement sind mit separaten Lizenzen verfügbar oder aber in der Entra-ID-Suite enthalten.
Wirkung
Entra ID ist wie andere Lösungen auch eine Sicherheitskomponente, auf die sich Hacker meist zuerst stürzen. Wer dieses «Eingangstor» überwindet, steigert seine Chance auf einen erfolgreichen Einbruch. Mit den weitreichenden Sicherheitsfunktionen wie etwa je nach Standort oder Risikoprofil unterschiedlichen Zugangsrichtlinien oder der Einführung weiterer Faktoren stärkt Entra ID den Schutz der Infrastruktur. Dank der zentralisierten Management-Konsole vereinfacht sich die Administration erheblich. On-Premises-Hardware entfällt, somit ist Entra ID kosteneffizient. Auf der Anwenderseite ergibt sich durch die Entra ID eine gesteigerte Produktivität. Mit einem Login ist der Zugriff auf das definierte Set an Unternehmensapplikationen möglich.
Alle bisher erschienenen Buchstaben im digitalen ABC
-
A
wie Artificial Intelligence
Artificial Intelligence; abgek. AI,
engl. für dt. künstliche Intelligenz, abgek. KI -
B
wie Big Data
Big Data (von englisch big = gross und data = Daten)
-
B
wie Bug Bounty
Bug-Bounty-Programm (engl. sinng. Kopfgeld-Programm für Programmierfehler)
-
C
wie Cloud
Cloud, w.
-
C
wie CERT
CERT, Akronym für engl. Computer Emergency Response Team
-
D
wie Digitale Schweiz
1. Digitale Schweiz, w. (die digitale Transformation der Schweiz betreffend)
2. Nebenbedeutung: Teil des Markenversprechens von Abraxas. «Für die digitale Schweiz. Mit Sicherheit» -
D
wie DevOps
DevOps, Kofferwort für Development und Operations
-
E
wie E-ID
E-ID, w. (staatlich anerkannte, nationale elektronische Identität)
-
E
wie Entra ID
Entra ID, cloudbasierter Identitäts- und Zugriffsverwaltungsdienst von Microsoft; neue Bezeichnung für Azure AD.
-
F
wie Firewall
Firewall, w.
engl. für Brandmauer -
G
wie Graphical User Interface
GUI, s. (Abk. für engl. Graphical User Interface)
-
H
wie Hermes
Hermes, m.
1. Götterbote aus der griech. Mythologie, u. a. Gott des Handels, Begleiter der Toten in den Hades
2. frz. Familienunternehmen mit Sitz in Paris für Luxus-Modeartikel
3. Abk. für «Handbuch der Elektronischen Rechenzentren des Bundes, eine Methode zur Entwicklung von Systemen», offener Standard zur Führung und Abwicklung von IT-Systemen -
I
wie IoT
IoT, s.
Abk. für engl. Internet of Things -
J
wie Java
Java, s.
1. kleinste der Grossen Sundainseln (Indonesien)
2. systemunabhängige Programmiertechnologie, besonders für Anwendungen im Internet -
K
wie Kubernetes
Kubernetes, m.
1. Steuermann (altgriechisch)
2. Container-Orchestrierungssystem (Software) -
L
wie Latenz
Latenz, f.
1. Vorhandensein einer noch nicht sichtbaren Sache
2. Zeit zwischen Reiz und Reaktion (Physiologie)
3. symptomfreie Zeit zwischen Ansteckung und Ausbruch einer Krankheit (Medizin)
4. Zeit zwischen Anfrage und Antwort (IT) -
M
wie Malware
Malware, f.
Software, die in Computersysteme eindringen und dort Störungen oder Schäden verursachen kann -
N
wie New Work
New Work, n. od. f.
engl. für Neue Arbeit
Gesamtheit der modernen und flexiblen Formen der Arbeit bzw. der Arbeitsorganisation -
O
wie Outsourcing
Outsourcing, n.
engl. für Auslagerung
Übergabe von Aufgaben und / oder Strukturen eines Unternehmens an externe Dienstleister -
P
wie Proxy
Proxy, m.
engl. für Stellvertreter
ein Vermittler von Anfragen in Computernetzwerken -
Q
wie Quantencomputer
Quantencomputer, m.
Aus Qubits und Quantengattern aufgebauter Computer, der die Gesetze der Quantenmechanik ausnutzt. -
R
wie Redundanz
Redundanz, f.
Zusätzliche technische Ressourcen als Reserve (Technik) -
S
wie Software-as-a-Service
SaaS, (ohne Artikel)
Kurzwort für englisch Software-as-a-Service = Software als Dienstleistung -
T
wie Transport Layer Security
TLS, m.,
Kurzwort für englisch Transport Layer Security (= Transportschicht-Sicherheit) -
U
wie USV
USV, w.,
Abk. für Unterbrechungsfreie Stromversorgung -
V
wie VPN
VPN, n.,
Abk. für engl. virtual private network = virtuelles privates Netzwerk -
W
wie White-Hat-Hacker
White-Hat-Hacker, m.
Ein White-Hat-Hacker (Oder White Hat, engl. für Weisser Hut) ist ein ethischer Hacker für Computersicherheit. -
X
wie XSS (Cross-Site-Scripting)
XSS, s.
Abk. für engl. Cross-Site-Scripting; dieses webseitenübergreifendes Scripting ist eine Angriffsmethode von Cyberkriminellen. -
Y
wie Y2K
Y2K,
Numeronym für das Jahr-2000-Problem, engl. Year und 2K für 2 Kilo = 2000 -
Z
wie z/OS
z/OS,
seit 2001 im Einsatz stehendes Betriebssystem für IBM-Grossrechner
Über Bruno Habegger
Bruno Habegger ist Abraxas-Magazin-Autor und Senior Communication Manager. Er verfügt über eine langjährige Erfahrung im ICT- und Energie-Bereich als Journalist, Contentproduzent und Berater. Er war Präsident einer Regionalpartei und an seinem damaligen Wohnort acht Jahre Mitglied der Sicherheitskommission.
