Microsoft Entra ID
Microsofts cloudbasierter Identitäts- und Zugriffsverwaltungsdienst (ehemals Azure Active Directory), der Authentifizierung und Autorisierung für Cloud-Anwendungen, SaaS-Dienste und hybride Umgebungen bereitstellt.
Microsoft Entra ID ist Microsofts cloudbasierter Identitätsdienst und die zentrale Steuerungsebene für Authentifizierung und Autorisierung in Microsoft 365, Azure und tausenden SaaS-Anwendungen. Im Juli 2023 wurde Azure Active Directory in Microsoft Entra ID umbenannt — die Funktionalität blieb identisch, doch der neue Name spiegelt die Erweiterung des Produktportfolios über das klassische Active Directory hinaus wider. Für Unternehmen, die Microsoft 365 nutzen, ist Entra ID bereits aktiv — häufig ohne dass es bewusst konfiguriert oder gehärtet wurde.
Protokolle und Funktionsweise
Anders als das On-Premise-Active Directory, das auf Kerberos und LDAP basiert, setzt Entra ID auf moderne Webprotokolle: OAuth 2.0 für Autorisierung, OpenID Connect für Authentifizierung und SAML 2.0 für föderierte Anmeldungen. Diese Protokolle sind für Cloud- und SaaS-Szenarien konzipiert und ermöglichen Single Sign-On (SSO) über Anwendungsgrenzen hinweg. Für Legacy-Anwendungen, die SAML oder WS-Federation erfordern, kann ADFS als Brücke dienen — Entra ID bietet diese Protokolle jedoch zunehmend nativ an und macht ADFS in vielen Szenarien überflüssig.
Hybride Identität mit Entra Connect
Die meisten Unternehmen betreiben keine reine Cloud-Umgebung, sondern synchronisieren ihr lokales Active Directory über Microsoft Entra Connect (ehemals Azure AD Connect) mit Entra ID. Dabei werden Benutzerkonten, Gruppen und Passwort-Hashes in die Cloud repliziert. Diese Synchronisation ist praktisch, birgt aber ein erhebliches Risiko: Fehlkonfigurationen im On-Premise-AD — etwa überprivilegierte Konten oder schwache Passwortrichtlinien — werden direkt in die Cloud vererbt. Ein kompromittiertes lokales AD kann so zum Einfallstor für die gesamte Cloud-Umgebung werden.
Die Synchronisation erfordert sorgfältige Planung: Welche Organisationseinheiten werden repliziert? Werden Passwort-Hashes synchronisiert oder setzt man auf Pass-Through-Authentifizierung? Wie wird der Entra-Connect-Server selbst geschützt? In der Praxis finden wir regelmäßig Umgebungen, in denen der Connect-Server nicht als Tier-0-System behandelt wird — obwohl seine Kompromittierung den vollen Zugriff auf Cloud-Identitäten ermöglicht.
Sicherheitsfunktionen und Lizenzmodell
Entra ID bietet gestaffelte Sicherheitsfunktionen je nach Lizenz. Die kostenlose Stufe (Free) umfasst grundlegende Authentifizierung und SSO. Entra ID P1 fügt Conditional Access und Gruppenbasierte Zugriffssteuerung hinzu. Entra ID P2 erweitert um Identity Protection (risikobasierte Anmeldebewertung) und Privileged Identity Management (PIM) für zeitlich begrenzte Administratorrechte. Gerade die P2-Funktionen sind sicherheitskritisch: Identity Protection erkennt verdächtige Anmeldemuster automatisch, und PIM setzt das Least-Privilege-Prinzip für administrative Rollen durch.
Typische Angriffsvektoren
Da Entra ID der zentrale Identitätsprovider für Cloud-Ressourcen ist, stellt es ein attraktives Angriffsziel dar. Token-Diebstahl ermöglicht Angreifern den Zugriff auf Ressourcen ohne erneute Authentifizierung — gestohlene Refresh-Tokens bleiben oft tagelang gültig. Consent-Phishing verleitet Nutzer dazu, bösartigen Anwendungen weitreichende Berechtigungen auf ihr Konto zu erteilen. Fehlkonfigurierte App-Registrierungen mit übermäßigen API-Berechtigungen schaffen dauerhafte Hintertüren.
Die Kompromittierung von Entra Connect ermöglicht es Angreifern, vom lokalen Netzwerk aus Cloud-Identitäten zu übernehmen.
DSGVO und Datenresidenz
Für deutsche Unternehmen ist die Frage der Datenverarbeitung zentral. Microsoft verarbeitet Entra-ID-Daten in europäischen Rechenzentren und bietet mit der EU Data Boundary eine Zusicherung, dass Identitätsdaten innerhalb der EU gespeichert und verarbeitet werden. Dennoch bleibt die Verantwortung für die korrekte Konfiguration — etwa Zugriffsprotokollierung, Aufbewahrungsfristen und Berechtigungskonzepte — beim Unternehmen selbst. Ein DSGVO-konformer Betrieb erfordert die bewusste Auseinandersetzung mit den Entra-ID-Einstellungen, insbesondere bei Diagnosedaten und Drittanbieter-App-Integrationen.
Relevanz für KMUs
Die meisten mittelständischen Unternehmen nutzen Microsoft 365 und damit bereits Entra ID — oft jedoch nur mit Standardeinstellungen. Schon wenige gezielte Maßnahmen steigern das Sicherheitsniveau erheblich: MFA für alle Konten aktivieren, Conditional Access mit Basisrichtlinien konfigurieren, Legacy-Authentifizierungsprotokolle blockieren und App-Registrierungen auf notwendige Berechtigungen reduzieren. Unternehmen mit hybrider Infrastruktur sollten zusätzlich die Entra-Connect-Konfiguration regelmäßig überprüfen, um die Vererbung von On-Premise-Schwachstellen in die Cloud zu verhindern. Ein strukturiertes Identity and Access Management-Assessment identifiziert Konfigurationslücken und liefert einen priorisierten Maßnahmenplan. Da Entra ID der zentrale Identitätsprovider ist, wirken sich selbst kleine Konfigurationsverbesserungen auf die gesamte Cloud-Sicherheit aus.