Microsoft365 EntraID | Warum P1 oder P2 für Sicherheit sorgen

Klassische Netzwerkgrenzen existieren nicht mehr. Die Benutzeridentität ist die verbleibende Konstante und damit das Primärziel für Angreifer. Die Free-Variante von Entra ID bietet dir eine Basis für die Identitätsverwaltung. Unternehmen verharren damit jedoch in einem reaktiven Zusta

Der Wechsel zu Entra ID Plan 1 (P1) oder Plan 2 (P2) ist keine reine Feature-Erweiterung. Es ist der strategische Wechsel zu einem modernen Sicherheits-Framework. 80 Prozent aller erfolgreichen Angriffe auf Microsoft-365-Umgebungen nutzen weniger als fünf Schwachstellen, darunter fehlendes MFA-Enforcement und offene Legacy-Protokolle.

Ein unzureichend gehärteter Tenant ermöglicht Angreifern Token Theft, OAuth-Consent-Phishing und laterale Bewegungen. Wer seinen Tenant nicht aktiv härtet, verlässt sich auf Standardeinstellungen, die für Benutzerfreundlichkeit optimiert sind, nicht für Sicherheit.

Um den strategischen Mehrwert der kostenpflichtigen Pläne greifbar zu machen, hilft ein direkter Vergleich der Kernfunktionen. Während die Free-Version Basissicherheit liefert, stellen P1 und P2 die essenziellen Werkzeuge für eine echte, steuerbare Zero-Trust-Architektur zur Verfügung.

Zusätzlich bietet Microsoft die Entra Suite für 10,40 € (Netto, pro Benutzer/Monat bei Jahresabo) an. Diese Suite kombiniert Netzwerkzugriff, Identitätsschutz, Governance und Lösungen zur Identitätsüberprüfung. Die technische Voraussetzung für die Buchung ist ein aktives Abonnement für Entra ID P1 oder ein Microsoft-365-Paket, das P1 bereits enthält. Wenn du in deiner Umgebung bereits Microsoft 365 E5 oder Entra ID P2 einsetzt, stehen dir für die Suite reduzierte Sonderpreise zur Verfügung.

Wie wichtig dieser Wechsel von pauschalen Security Defaults (Free) hin zu granularen Steuerungsmöglichkeiten ist, zeigt sich besonders deutlich beim Herzstück der P1-Lizenz.

Ein rechtssicherer Betrieb von Microsoft 365 erfordert nach Artikel 32 der DSGVO den Nachweis geeigneter technischer und organisatorischer Maßnahmen (TOM). Die Basisversion (Entra ID Free), welche in Microsoft 365 Business Basic oder Standard enthalten ist, fällt bei Audits schnell durch das Raster. Der technische Grund: Entra ID Free speichert Anmeldeprotokolle (Sign-in Logs) standardmäßig nur sieben Tage. Bei einem Sicherheitsvorfall reicht dieser Zeitraum für eine saubere Forensik und die Meldepflichten gegenüber den Behörden kaum aus.

Zudem fehlt Conditional Access. Ohne dieses Werkzeug kannst du Zugriffe nicht granular an Bedingungen wie Firmennetzwerke oder Geräte-Compliance binden. Für eine belastbare, prüfungssichere Architektur benötigst du die Lizenzstufe Entra ID P1 (beispielsweise enthalten in Microsoft 365 Business Premium). Erst hier profitierst du von 30 Tagen Log-Aufbewahrung und den zwingend erforderlichen Richtlinien für eine saubere Zugriffssteuerung.

Diese dynamische Prüfung ermöglicht spezifische Blockaden:

Plan 1 erlaubt es dir, Richtlinien kontextabhängig zu erzwingen. Ohne Conditional Access können Angreifer mit gestohlenen Passwörtern direkt auf den Tenant zugreifen.

Gleichzeitig schützt du administrative Konten durch Phishing-resistente MFA-Methoden wie FIDO2-Keys. Gegen sogenannte MFA-Fatigue-Angriffe, bei denen Angreifer Nutzer mit Push-Anfragen überhäufen, hilft die Aktivierung von Number Matching für die Authenticator App. Die Bestätigung wird an einen sichtbaren Login-Kontext gekoppelt.

Operativ entlastet Plan 1 deine IT-Abteilung durch Self-Service Password Reset (SSPR). SSPR reduziert Helpdesk-Tickets und stellt sicher, dass Passwort-Resets sicher über MFA-verifizierte Kanäle laufen. Ohne SSPR rufen User den Support an, ein Prozess, der extrem anfällig für Social Engineering ist. In hybriden Infrastrukturen schreibt das Password Writeback diese Änderungen direkt in das lokale Active Directory zurück.

Das größte Risiko für die Infrastruktur sind dauerhaft zugewiesene Administratorrechte. Permanente Global-Admin-Zuweisungen vergrößern den potenziellen Schaden bei einer Kompromittierung massiv.

Hier setzt Privileged Identity Management (PIM) aus Plan 2 an. Es reduziert Standing Privilege. Administratoren haben keine permanenten Rechte mehr. Hohe Rechte werden nur zeitweise, nachvollziehbar und mit zusätzlicher Bestätigung freigeschaltet.

Technisch ändert PIM die Rollenzuweisung im Entra ID von "Active" auf "Eligible". Benötigt der Administrator seine Rechte, fordert er die Aktivierung an. Die PIM-Konfiguration definiert, ob MFA bei der Aktivierung erforderlich ist und ob ein Genehmigungsworkflow greift. Nach Ablauf eines definierten Zeitfensters entzieht das System die Rechte automatisch. Das eliminiert Standing Access vollständig.

Zusätzlich verhinderst du durch Access Reviews einen Berechtigungsdrift. Access Reviews automatisieren die Überprüfung, sodass ungenutzte Rollen, die über historische Sonderfälle unkontrolliert bestehen bleiben, regelmäßig entzogen werden.

Während Plan 1 auf von dir definierten Regeln basiert, nutzt Plan 2 die volle Kraft der Microsoft-KI durch Entra ID Protection. Das Risiko wird nicht nur anhand des Passworts bewertet, sondern anhand von Signalen wie IP-Reputation, Leaked Credentials, atypischen Standorten und Verhaltensmustern. Das macht den Identitätsschutz adaptiv statt statisch.

Das System unterscheidet zwei Risikoarten:

Die Integration dieser Signale in das Microsoft Defender XDR Dashboard erlaubt eine erweiterte Erkennung und Reaktion über den gesamten Tenant hinweg.

Ein weiterer Baustein von Plan 2 ist die Kontrolle externer Identitäten. Unkontrollierter Gastzugriff ist eine der häufigsten Schwachstellen in Tenants. Gastkonten leben oft in Gruppen, Teams und Sites weiter, auch wenn die ursprüngliche Zusammenarbeit beendet ist.

Hierbei helfen die Access Reviews aus Plan 2. Sie automatisieren die Überprüfung von Gastkonten. Ohne diese regelmäßigen Reviews sammeln sich Berechtigungen an, die nicht mehr benötigt werden und ein hohes Sicherheitsrisiko darstellen.

Die Identität ist nicht nur durch gestohlene Passwörter gefährdet. Bei OAuth-Consent-Phishing gibt der Benutzer einer scheinbar legitimen Anwendung direkt Zugriff auf Daten. Der Angriff zielt auf die autorisierte Token-Vergabe durch den User selbst.

Entra ID Free erlaubt standardmäßig, dass User Applikationen weitreichende Rechte einräumen. Mit den Kontrollmechanismen der kostenpflichtigen Pläne richtest du einen Admin Consent Workflow ein. Du deaktivierst den User Consent vollständig. Ohne die Deaktivierung des User Consents ist jeder einzelne User ein potenzielles Einfallstor für Angreifer, die sich dauerhafte Persistenz im Tenant verschaffen wollen. Der Workflow leitet Anfragen an Administratoren weiter, die Berechtigungen prüfen und genehmigen oder ablehnen.

Die Implementierung von Plan 1 oder Plan 2 erfordert ein sauberes Architektur-Design. Wenn du Conditional Access Policies baust, musst du sicherstellen, dass Notfallkonten (Break-Glass-Accounts) von den regulären MFA-Sperren ausgenommen sind. Ohne Break-Glass-Accounts kann ein fehlerhafter CA-Regelsatz den gesamten Tenant unzugänglich machen. Diese Emergency Access Accounts müssen Cloud-Only sein, ohne reguläre MFA auskommen und sicher verwahrt sowie monatlich getestet werden.

Zusätzlich müssen Conditional Access Baseline Policies dokumentiert und vor der Aktivierung im Report-only-Modus getestet werden. Der Report-only-Modus zeigt dir, welche Anmeldungen von einer Policy betroffen wären, ohne sie tatsächlich zu blockieren. Ohne diesen Test riskierst du, legitime User auszusperren oder geschäftskritische Workflows zu unterbrechen.

Sobald das Regelwerk steht und greift, müssen die alten Security Defaults im Tenant deaktiviert werden. Security Defaults und Conditional Access können nicht gleichzeitig aktiv sein. Die Reihenfolge ist hierbei kritisch: erst CA aktivieren, dann Defaults deaktivieren.

Der Sprung von Entra ID Free auf Plan 1 bildet dein Fundament für Zero Trust durch harte, kontextbasierte Zugriffsregeln. Der Wechsel auf Plan 2 automatisiert diese Sicherheit durch KI-gestützte Risikoerkennung und dynamisches Privilegien-Management.

Identitätsdiebstahl bleibt der Angriffsvektor Nummer eins. Ein Verzicht auf die Risiko-Erkennung und den privilegierten Schutz von Plan 2 zur Einsparung von Lizenzkosten steht in keinem Verhältnis zum potenziellen finanziellen und operativen Schaden. Du musst deine Umgebung proaktiv härten, um Identitäts-basierte Angriffe auf technischer Ebene im Keim zu ersticken.