Mit Microsoft Entra stellt Microsoft eine Produktfamilie bereit, welche sich komplett um das Thema Identitäten und Zugriff dreht. Hierfür werden bekannte Komponenten, wie die Verwaltung des Microsoft Azure Active Directory (Azure AD) in Microsoft Entra integriert. Dies schließt die bekannten Funktionen wie Conditional Access, Privileged Identity Management, Access Reviews usw. mit ein. Ohne weitere Lizenz erhält man damit eine neu strukturierte Oberfläche, die bekannte Verwaltungsseiten einbettet.
Allerdings erweitert Microsoft das Portfolio mit teilweise neuen Lösungen wie „Identity Governance“ „Verified ID“ und „Permissions Management“. Hierbei sind Sie allerdings nicht auf Microsoft Produkte beschränkt. Microsoft Entra dient dem „Cloud Infrastructure Entitlement Management (CIEM)“-System und bietet die Möglichkeit Anwendungen und Ressourcen in hybriden und Multi-Cloud- Umgebungen (z.B. AWS und GCP) zu überprüfen und abzusichern. Die Integration in andere Sicherheitsportale wie Microsoft Defender for Cloud ist geplant.
Identity Governance
Es ist ein sehr großer Aufwand neuen Mitarbeitern oder Gastkonten von z.B. Dienstleistern die notwendigen Berechtigungen zu geben. Oft müssen hier Berechtigungen nachträglich beantragt und manuell zugewiesen werden, da im Vorfeld nicht klar ist, worauf der Mitarbeiter wirklich Zugriff benötigt. Dies kostet Zeit und Geld.
Mittels der bereits vorhandenen und neuen Lösungen, welche Microsoft in ihrem Identity Governance Portfolio hat, kann dies erleichtert werden. Der Zugriff auf Applikationen oder Ressourcen kann schnell und einfach zugewiesen und überwacht werden. Sollte der Mitarbeiter das Unternehmen verlassen oder nur zeitlich begrenzten Zugriff auf ein Projekt haben, dann können diese Berechtigungen ebenso schnell wieder automatisiert entzogen werden.
Verified ID
Bei Verified ID werden dezentrale Identitätsstandards verwendet, um Benutzern und Unternehmen mehr Kontrolle zu geben wann und mit wem Identitätsdaten geteilt und bei Bedarf wieder entzogen werden sollen. Hierfür arbeitet Microsoft mit Mitgliedern der „Decentralized Identity Foundation (DIF)“, der W3C-Credentials Community-Gruppe und der umfassenderen Identitäts-Community zusammen, um wichtige Standards zu definieren und zu entwickeln. Die Ergebnisse dieser Kooperation wurden in Verfied ID implementiert. So werden z.B. folgende Dienste verwendet:
- W3C Verifiable Credentials (W3C Nachweise)
- DIF-Sidetree
- DIF Well Known DID Configuration (DIF-Konfiguration mit bekannter DID-Konfiguration)
- DIF DID-SIOP
- DIF Presentation Exchange (DIF-Präsentationsbörse)
Permissions Management
Langfristig setzen die meisten Unternehmen nicht auf eine Single-Cloud, sondern auf eine Multi-Cloud Strategie, um mehr Flexibilität und Unabhängigkeit zu erhalten. Hieraus ergeben sich aber auch einige Probleme:
- Bei einer Multi-Cloud-Strategien fehlt es bei der Verwaltung von Zugriffsberechtigungen aufgrund der Komplexität oft an Transparenz.
- Es werden oft Berechtigungen vergeben, die Zugriffe auf Funktionen oder Dienste zulassen, auf die ein Mitarbeiter normalerweise keinen Zugriff benötigt. Dies erhöht die potenziellen Angriffsflächen eines Unternehmens.
- Der Zugriff auf Clouddienste soll weiterhin komfortabel sein, selbst dann, wenn die Anzahl an Cloud-Anwendungen stetig steigt.
- Unterschiedliche Berechtigungsmodelle der verschiedenen Cloudanbieter macht die Verwaltung zusätzlich komplex
Genau hier greift „Permissions Management“ ein: In einer einheitlichen Lösung werden Berechtigungen in Multi-Cloud-Szenarien automatisch erkannt und können bei Bedarf angepasst werden. Hierdurch wird das Risiko auf Datenschutzverletzungen reduziert.
Zusammengefasst kann man wichtige Azure AD-Konfigurationen sehr schnell im Entra Portal finden und das ohne weitere Kosten. Ob Microsoft auch langfristig daran festhält, bleibt abzuwarten. Am meisten lohnt sich der Einsatz für Kunden, welche auf unterschiedliche Cloud Provider (Azure, AWS, GCP) setzen oder ein Nachweissystem (Verified ID) einführen wollen. Für diese zusätzlichen Funktionen fallen jedoch weitere Lizenzkosten an. Mit den Funktionalitäten können Kosten auf anderer Seite jedoch wieder reduziert werden, sei es an Lizenzen für Drittherstellerprodukte oder Arbeitszeit.
Sie haben Fragen oder benötigen Unterstützung?
Dann melden Sie sich gerne bei uns. Wir beraten Sie gerne bei Ihrem Projekt.