ArtikelRahmenThumnail V4 MSEntraID

Was ist Microsoft Entra ID? Ein Überblick

17. Januar 2025 MS365-EntraID, MS365

In der modernen IT-Landschaft hat sich der Sicherheitsfokus verschoben: Identitäts- und Zugriffsmanagement (IAM) ist nicht mehr nur Verwaltung, sondern der neue Sicherheits-Perimeter für Unternehmen.

Microsoft Entra ID, vielen noch als Azure Active Directory (Azure AD) bekannt, hat sich hierbei als der De-Facto-Standard für Cloud-Identitäten etabliert. Dieser Artikel liefert dir einen detaillierten Einblick in die Evolution, die technischen Grundlagen und die Funktionsweise von Microsoft Entra ID sowie dessen nahtlose Integration in moderne IT-Infrastrukturen.

Microsoft Entra ID im Zeitraffer: Features & Incidents

Die Geschichte von Entra ID ist nicht nur eine Abfolge neuer Funktionen, sondern auch eine Reaktion auf die sich verändernde Bedrohungslage.

Hier sind die wichtigsten Meilensteine und sicherheitsrelevanten Wendepunkte, die Administratoren kennen sollten:

JahrBedeutung für Admins
2012Microsoft veröffentlicht Azure AD als Identity-Backbone für Office 365. Zu Beginn primär ein „Verzeichnis in der Cloud“ ohne tiefe Security-Features.
2015Einführung von echtem Single Sign-On (SSO) für SaaS-Apps und native Multi-Faktor-Authentifizierung (MFA). Der erste Schritt weg vom reinen Passwort.
2017/18Gamechanger: Der Zugriff wird nicht mehr statisch erlaubt, sondern dynamisch basierend auf Signalen (Standort, Geräte-Status, Risiko) gesteuert. Das „Wenn-Dann-Prinzip“ für Sicherheit.
2019Microsoft führt „Sicherheitsstandards“ ein, um MFA auch in kleinen Tenants ohne Premium-Lizenzierung durchzusetzen.
2020Sicherheits-Wendepunkt: Angreifer kompromittierten lokale AD FS Server („Golden SAML“ Attacke), um Cloud-Zugriff zu erlangen. Lektion: Die lokale Umgebung (On-Prem) ist oft das Sicherheitsrisiko für die Cloud („Tier 0“ Konzept).
2021FIDO2-Schlüssel und die Microsoft Authenticator App ermöglichen die Anmeldung ganz ohne Passwort.
2022Microsoft beginnt, veraltete Protokolle (POP3, IMAP, Basic Auth) in Exchange Online hart abzuschalten. Administratoren müssen auf Modern Auth (OAuth) migrieren.
2023Sicherheitslücke: Ein gestohlener Microsoft-Signierschlüssel ermöglichte chinesischen Angreifern das Fälschen von Zugriffstoken. Folge: Microsoft stellte daraufhin wichtige Sicherheits-Logs für alle Lizenzstufen kostenlos zur Verfügung.
2023Einführung von Microsoft Entra Internet Access und Private Access (Security Service Edge) als Konkurrenz zu klassischen VPNs.
2024Aus Azure AD wird Microsoft Entra ID, um die Zugehörigkeit zur umfassenden Security-Familie (neben Permissions Management und Verified ID) zu verdeutlichen.
2024Russische Hacker greifen Microsoft über einen vergessenen Test-Tenant ohne MFA an. Lektion: Auch Test- und Entwicklungs-Tenants müssen wie Produktionsumgebungen geschützt werden.
2025Fokus auf KI-gestützte Abwehr in Maschinengeschwindigkeit (z. B. automatisches Token-Revocation bei Diebstahl) und Vorbereitung auf Post-Quantum-Kryptografie.

Grundlagen & Architektur: Mehr als nur ein AD in der Cloud

Microsoft Entra ID ist eine vollständige Identity-as-a-Service (IDaaS) Lösung. Es dient als zentrale „Control Plane“ für deine gesamte IT-Umgebung – egal ob Cloud-Dienste, lokale Anwendungen oder Drittanbieter-Tools.

Um Entra ID effektiv zu verwalten, musst du verstehen, wie es sich technisch von einem klassischen Windows Server Active Directory (AD DS) unterscheidet:

1. Moderne Protokolle statt Kerberos

Während dein lokales AD primär LDAP (Verzeichnisabfrage) und Kerberos/NTLM (Authentifizierung) nutzt, spricht Entra ID die Sprache des Webs:

  • Authentifizierung: OIDC (OpenID Connect), OAuth 2.0 und SAML.
  • Management: Alles basiert auf REST-APIs (Microsoft Graph API).
  • Konsequenz: Entra ID funktioniert über Internetgrenzen hinweg und ist firewall-freundlich (Port 443), während AD DS ein geschlossenes Netzwerk (VPN/LAN) benötigt.

2. Flache Hierarchie statt OUs

Ein Kulturschock für viele Admins: In Entra ID gibt es keine Organizational Units (OUs) und keine Gruppenrichtlinien (GPOs) im herkömmlichen Sinne.

  • Struktur: Das Verzeichnis ist flach.
  • Delegierung: Anstatt Berechtigungen auf OUs zu setzen, nutzt du Administrative Units (AUs), um Rechte für bestimmte Benutzergruppen oder Regionen zu delegieren.
  • Geräte-Management: GPOs werden durch MDM-Richtlinien (via Microsoft Intune) ersetzt.

3. Die zentrale Steuerungsebene

Entra ID verbindet drei Welten:

  • Workforce: Deine Mitarbeiter (synchronisiert aus dem lokalen AD oder Cloud-Only).
  • Workload Identities: Anwendungen, Skripte und Dienste, die Zugriff benötigen (Service Principals & Managed Identities).
  • External Identities (B2B/B2C): Partner und Kunden, die auf deine Ressourcen zugreifen, ohne dass du deren Passwörter verwalten musst.

Sicherheit: Zero Trust als DNA

In der Cloud gibt es keinen physischen Burggraben mehr. Identität ist die neue Firewall. Entra ID setzt daher konsequent auf das Zero Trust-Prinzip: „Vertraue keiner Anfrage implizit, sondern verifiziere jeden Zugriff neu.“

Hier sind die vier zentralen Sicherheitsmechanismen, die du beherrschen musst:

1. Modern Strong Authentication (MFA & Passwordless)

Passwörter sind das schwächste Glied. Entra ID setzt auf starke Authentifizierung.

  • Wichtig: Vermeide veraltete Faktoren wie SMS oder Sprachanrufe (anfällig für SIM-Swapping und Phishing).
  • Best Practice: Nutze die Microsoft Authenticator App (mit Number Matching gegen MFA-Fatigue) oder phishing-resistente Methoden wie FIDO2-Security Keys und Passkeys.

2. Conditional Access (Die Entscheidungs-Engine)

Dies ist das mächtigste Werkzeug in deinem Arsenal. Anstatt Zugriff statisch zu erlauben, wertet Conditional Access bei jeder Anmeldung Hunderte von Signalen aus:

  • Benutzer: Ist das Konto auffällig? (Risk Level)
  • Gerät: Ist der Laptop Intune-konform und virenfrei? (Compliance)
  • Standort: Kommt der Zugriff aus einem unerwarteten Land?
  • App: Wird auf hochsensible Daten zugegriffen?
  • Ergebnis: Der Zugriff wird gewährt, blockiert oder an Bedingungen geknüpft (z. B. „MFA erzwingen“ oder „Passwort ändern“).

3. Identity Protection (KI-gestützte Abwehr)

Dieses Feature (ab P2-Lizenz) nutzt Machine Learning, um Bedrohungen in Echtzeit zu erkennen. Es unterscheidet zwei Risiko-Arten:

  • Sign-in Risk: Ist diese konkrete Anmeldung verdächtig? (z. B. Zugriff über Tor-Browser oder unmögliche Reisezeit).
  • User Risk: Ist die Identität kompromittiert? (z. B. wurden die Zugangsdaten im Darknet gefunden – „Leaked Credentials“).

4. Least Privilege & PIM

Verabschiede dich von dauerhaften Admin-Rechten („Standing Access“).

  • RBAC (Role Based Access Control): Gib Nutzern nur die Entra-Rolle, die sie wirklich brauchen (z. B. „User Admin“ statt „Global Admin“).
  • PIM (Privileged Identity Management): Administratoren aktivieren ihre Rechte nur „Just-in-Time“ für ein begrenztes Zeitfenster (z. B. 4 Stunden) und müssen dies begründen oder per MFA bestätigen. Das minimiert die Angriffsfläche bei Account-Diebstahl massiv.

Die Architektur: Kernkomponenten und Objekte

Microsoft Entra ID ist weit mehr als eine einfache Benutzerdatenbank. Technisch gesehen fungiert es als Security Token Service (STS) und globaler Identity Provider.

Um die Plattform effektiv zu verwalten, solltest du die vier zentralen Bausteine kennen:

1. Der Identity Store (Verzeichnisdienst)

Hier liegen die Stammdaten. Anders als im AD (wo alles ein Objekt in einer OU ist), unterscheidet Entra ID strikt zwischen Objekttypen:

  • Benutzer: Cloud-Only, synchronisiert (Hybrid) oder Gast-Benutzer (B2B).
  • Gruppen:
    • Security Groups: Zur Berechtigungssteuerung (ähnlich AD-Sicherheitsgruppen).
    • Microsoft 365 Groups: Für Kollaboration (Teams, SharePoint, Exchange).
  • Geräte: Registrierte (BYOD), eingebundene (Entra Joined) oder hybride Geräte.

2. Workload Identities (Nicht-menschliche Identitäten)

Ein Bereich, der oft unterschätzt wird. Anwendungen und Skripte benötigen ebenfalls Identitäten, um sich anzumelden. Entra ID nutzt hierfür keine „Service Accounts“ (User mit Passwort), sondern:

  • App Registrations & Service Principals: Die Repräsentation einer Anwendung im Tenant.
  • Managed Identities: Automatisch verwaltete Identitäten für Azure-Ressourcen, bei denen du nie wieder Passwörter rotieren musst.

3. Authentication Services (Der „Pförtner“)

Dieser Dienst prüft Anmeldeinformationen und stellt Security Tokens (Access Token, Refresh Token, ID Token) aus. Er ist die Instanz, die SSO ermöglicht: Hat ein Benutzer ein gültiges Token (PRT) auf dem Gerät, gewährt der Dienst Zugriff auf weitere Apps (Teams, Outlook, Salesforce), ohne erneut nach dem Passwort zu fragen.

4. Monitoring & Governance

Entra ID liefert detaillierte Logs, die du idealerweise in ein SIEM (wie Microsoft Sentinel) exportieren solltest:

  • Sign-in Logs: Wer hat sich wann, von wo und wie (MFA?) angemeldet?
  • Audit Logs: Welche Änderungen wurden am Tenant vorgenommen (z. B. „User erstellt“, „Gruppe geändert“)?

Die Stärke von Entra ID liegt in der Modularität: Du kannst es als reinen Login-Dienst für Office 365 nutzen oder zur zentralen Schaltzentrale ausbauen, die auch Zugriff auf deine Firewall, dein VPN und deine HR-App steuert.

Datenhaltung & Speicherorte: Wo liegen meine Identitäten?

Ein häufiger Diskussionspunkt mit dem Datenschutzbeauftragten: Wo genau liegen die Benutzerdaten? Hier muss man technisch zwischen dem globalen Dienst und dem physischen Speicherort unterscheiden.

1. Die Wahl der Region (Tenant Creation)

Wenn du einen neuen Tenant erstellst, wählst du ein „Land oder Region“ (das Rechnungsland). Diese Wahl ist entscheidend und – wichtig zu wissen – nachträglich nicht änderbar. Basierend auf dieser Auswahl weist Microsoft den Tenant einer Geografie (Geo) zu (z. B. European Union oder Germany).

2. Data-at-Rest vs. Global Service

  • Core Data (Ruhende Daten): Die eigentlichen Verzeichnisdaten (Benutzerobjekte, Gruppen, Attribute, Hashes) werden ausschließlich in Rechenzentren innerhalb deiner zugewiesenen Geografie gespeichert und repliziert. Für europäische Kunden greift hier die EU Data Boundary, die sicherstellt, dass diese Daten die EU nicht verlassen.
  • Authentifizierung (Global): Damit sich ein Mitarbeiter auf Geschäftsreise in den USA schnell anmelden kann, ohne dass jedes Paket über den Atlantik muss, betreibt Microsoft globale „Front Doors“. Minimale Informationen, die für den Handshake notwendig sind, werden global zwischengespeichert, um Latenzen zu minimieren.

3. Verfügbarkeit & Replikation

Innerhalb deiner Region werden Daten automatisch und transparent repliziert (mindestens 3-fach), um Ausfälle einzelner Racks oder ganzer Rechenzentren abzufedern. Du musst (und kannst) dich nicht um Backup-Tapes oder Replikations-Topologien kümmern – das übernimmt die Azure Service Fabric im Hintergrund.

4. Verschlüsselung

Sicherheit ist Standard:

  • Data in Transit: Jede Kommunikation läuft über TLS 1.2+ (HTTPS).
  • Data at Rest: Alle Daten auf den Festplatten der Microsoft-Server sind transparent verschlüsselt (z. B. via BitLocker und Service-Managed Keys).

Hinweis für strikte Compliance: Für Unternehmen mit extremen Anforderungen (z. B. KRITIS) gibt es das kostenpflichtige Add-on „Advanced Data Residency“ (ADR). Damit lässt sich die Migration von Core-Daten in spezifische lokale Regionen (z. B. nur Deutschland statt EU) erzwingen und priorisieren.

Multi-Tenant Szenarien & Cross-Tenant Sync

Ein Entra ID Tenant ist per Design eine strikte Isolationsgrenze. Anders als im lokalen Active Directory, wo man Vertrauensstellungen (Trusts) zwischen Gesamtstrukturen einrichten kann, vertrauen sich zwei Tenants standardmäßig nicht. Es gibt keine automatische „Replikation“ im Sinne einer Datenspiegelung oder Ausfallsicherung.

Dennoch stehen Konzerne oft vor der Herausforderung, mehrere Tenants (z. B. durch Zukäufe oder Tochtergesellschaften) verwalten zu müssen. Hierfür bietet Entra ID spezifische Werkzeuge:

1. Cross-Tenant Synchronization (M&A Feature)

Früher mussten Gast-Benutzer manuell eingeladen werden. Mit der mandantenübergreifenden Synchronisierung (Cross-Tenant Sync) kannst du diesen Prozess automatisieren.

  • Funktionsweise: Du definierst Regeln, welche Benutzer aus „Tenant A“ automatisch in „Tenant B“ bereitgestellt werden sollen.
  • Ergebnis: Die Benutzer erscheinen in Tenant B als B2B-Collaboration-User (Gäste), können aber so wirken, als wären sie interne Mitarbeiter (z. B. im Adressbuch).
  • Vorteil: Verlässt ein Mitarbeiter Tenant A, wird ihm der Zugriff in Tenant B automatisch entzogen.

2. Multitenant Organization (MTO)

Ein neueres Feature, das auf dem Cross-Tenant Sync aufbaut. Es erlaubt eine nahtlosere User Experience („People Search“ über Tenant-Grenzen hinweg) und ein besseres Verhalten in Microsoft Teams, sodass Benutzer nicht ständig den Tenant im Client umschalten müssen.

Wichtige Abgrenzung zur Migration & Failover: Es ist ein weit verbreiteter Irrtum, dass diese Synchronisation als Backup oder Failover dient.

  • Kein Failover: Fällt Tenant A aus, können sich die Benutzer auch in Tenant B nicht anmelden, da die Authentifizierung immer im Heim-Tenant (Home Tenant) stattfindet.
  • Keine Datenmigration: Cross-Tenant Sync repliziert nur Identitäten, keine Daten (E-Mails, SharePoint-Sites, Teams-Chats). Eine Zusammenführung von Tenants (Tenant-to-Tenant Migration) erfordert weiterhin spezialisierte Drittanbieter-Tools.

Gibt es Domain Controller und FSMO-Rollen in der Cloud?

Wenn du aus der On-Premises-Administration kommst, sind Begriffe wie Schema Master, PDC Emulator oder RID Master (die klassischen FSMO-Rollen) dein tägliches Brot. Sie waren notwendig, um Konflikte in der Datenbank-Replikation zu verhindern und eine „Single Source of Truth“ für bestimmte Änderungen zu garantieren.

Die klare Antwort für Entra ID lautet: Nein. Es gibt weder Domain Controller noch FSMO-Rollen.

Warum ist das so?

Entra ID basiert auf einer völlig anderen Architektur als das klassische Active Directory. Es ist kein monolithischer Verzeichnisdienst, der auf Servern läuft, sondern eine geoverteilte, partitionierte Cloud-Anwendung (basierend auf Azure Service Fabric).

  • Active-Active statt Single Master: Das System ist so konzipiert, dass Daten an mehreren Orten gleichzeitig geschrieben und gelesen werden können. Es gibt keinen einzelnen Server, der „Master“ ist.
  • Abstraktion: Die gesamte Infrastruktur (Patching, Skalierung, Replikationstopologie) wird von Microsoft verwaltet.
  • Ausfallsicherheit: Fällt ein Rechenzentrum aus, leitet der Dienst die Anfragen nahtlos an eine andere Instanz um. Du musst keine Rollen verschieben („seize roles“) oder Disaster-Recovery für die Datenbank betreiben.

Dein Vorteil: Deine Aufgabe verschiebt sich von der Verwaltung der Infrastruktur (Domain Controller patchen, Replikation prüfen) hin zur Verwaltung der Identitäten und Richtlinien.

Hybrid Identity: Active Directory und Entra ID synchronisieren

Die Realität in den meisten Unternehmen ist nicht „Cloud Only“, sondern Hybrid. Das bedeutet: Die Identität wird lokal im Windows Server Active Directory erstellt und verwaltet („Source of Authority“), muss aber in der Cloud nutzbar sein.

Um diese Brücke zu schlagen, bietet Microsoft zwei Synchronisations-Tools an:

1. Microsoft Entra Connect Sync (Der Klassiker)

Das Tool (früher Azure AD Connect) ist der Standard für komplexe Umgebungen. Es läuft auf einem Windows Server und synchronisiert Benutzer, Gruppen und Attribute.

  • Vorteil: Unterstützt alle komplexen Szenarien (z. B. Hybrid Exchange, umfangreiche Attribut-Filterung, Device Writeback).
  • Wichtig: Der Sync ist standardmäßig Einbahnstraße (On-Premises -> Cloud). Änderungen in der Cloud werden nicht automatisch lokal übernommen, es sei denn, du aktivierst spezifische Writeback-Funktionen (z. B. für Self-Service Password Reset).

2. Microsoft Entra Cloud Sync (Die Moderne)

Ein schlankerer Ansatz. Anstatt eine schwere Sync-Engine lokal zu betreiben, installierst du nur einen leichten Agenten. Die Konfiguration (Mapping, Regeln) findet im Cloud-Portal statt.

  • Einsatz: Ideal für Fusionen (Sync aus mehreren getrennten AD-Forests in einen Tenant) oder um die Abhängigkeit von einem zentralen Sync-Server zu reduzieren.

Die Wahl der Anmeldemethode

Der Sync sorgt nur dafür, dass der Benutzer in der Cloud existiert. Wie er sich anmeldet, entscheidest du über die Authentifizierungsmethode:

  • Password Hash Sync (PHS) – Empfehlung: Der Hash des Passwort-Hashes wird in die Cloud synchronisiert.
    • Vorteil: Der User kann sich auch anmelden, wenn deine lokale Leitung tot ist. Zudem ermöglicht es Entra ID, „Leaked Credentials“ (gestohlene Passwörter) zu erkennen.
  • Pass-Through Authentication (PTA): Entra ID prüft das Passwort nicht selbst, sondern leitet die Anfrage durch einen Agenten an deinen lokalen Domain Controller weiter.
    • Vorteil: Passwörter verlassen nie (auch nicht als Hash) die lokale Umgebung.
    • Nachteil: Fällt der lokale Agent/Server aus, ist keine Anmeldung an Cloud-Diensten möglich.
  • Federation (AD FS): Die komplexeste Variante. Die Anmeldung wird komplett an einen eigenen Server-Farm (AD FS) umgeleitet.
    • Trend: Wird heute meist durch PHS oder PTA abgelöst, es sei denn, komplexe Smartcard-Szenarien sind zwingend erforderlich.

Das Ökosystem & Fazit: Die Identität als Sicherheitszentrale

Microsoft Entra ID entfaltet seine volle Wirkung nicht als isolierter Verzeichnisdienst, sondern als zentrales Nervensystem deiner IT-Sicherheitsstrategie. Es interagiert nahtlos mit kritischen Plattformen, um eine „Defense-in-Depth“-Architektur zu ermöglichen:

  • Microsoft Intune (Endpoint Manager): Die Symbiose aus Identität und Gerät. Intune liefert den Gesundheitsstatus eines Geräts (Compliance), und Entra ID nutzt diesen Status als Entscheidungsgrundlage für den Bedingten Zugriff (z. B. „Kein Zugriff auf Teams von unverschlüsselten Laptops“).
  • Microsoft Defender XDR: Sicherheit muss ganzheitlich sein. Defender for Identity überwacht deine lokalen Domain Controller auf Angriffe und meldet diese an Entra ID, um kompromittierte Nutzerkonten sofort global zu sperren.
  • Microsoft Teams & SharePoint: Diese Tools nutzen Entra ID nicht nur für den Login, sondern für das gesamte Berechtigungsmanagement (Microsoft 365 Gruppen) im Hintergrund, um sichere Kollaboration zu gewährleisten.
  • Microsoft Power Platform: Ermöglicht es dir, Identitätsmanagement direkt in Geschäftsprozesse zu integrieren und Verwaltungsaufgaben durch Automatisierung zu vereinfachen.

Zusammenfassung und Ausblick

Die Entwicklung von den frühen Tagen des Azure Active Directory hin zur umfassenden Microsoft Entra ID Plattform markiert einen Paradigmenwechsel. Es ist heute weit mehr als nur ein „Verzeichnis in der Cloud“ – es ist die primäre Sicherheitskontrolle für moderne Unternehmen.

Mit seiner robusten Infrastruktur, der Fähigkeit zur Verwaltung komplexer hybrider Umgebungen und der tiefen Integration in den Security-Stack bietet Entra ID eine skalierbare Lösung für die Herausforderungen der Zukunft. Für dich als Administrator bedeutet dies: Der Fokus deiner Arbeit verschiebt sich endgültig von der Verwaltung von Servern und Kabeln hin zur Verwaltung von Identitäten, Signalen und Richtlinien. Die Identität ist der neue Perimeter.

This post is also available in: Deutsch

Ähnliche Artikel