Entra ID als zentralen Authentifizierungsdienst sicher einrichten und nutzen

Was ist Entra ID (bisher: Azure Active Directory)?

• Verzeichnisdienst für Identitäten in der Azure Cloud ähnlich dem Active Directory Domänendiensten aus der OnPremise-Umegbung

• Entra ID kann hybride Identitäten wie auch Cloud-Only Identitäten vorgehalten.

• Identitäten sind z. B. Benutzer, Gastbenutzer, Kontakte, Gruppen

Was bedeutet hybride Identität?

• Ausgangslage bei den meisten Unternehmen ist der Betrieb eines zentralen Verzeichnisdienstes auf Basis von Microsoft Active Directory-Domänendiensten

• Bei Identitäten welche von einem Verzeichnisdienst nach Entra ID synchronisiert werden, spricht man von hybriden Identitäten. Die Verwaltung solcher Identitäten erfolgt primär über den Quellverzeichnisdienst.

• Technisch handelt es sich um zwei verschiedene Identitäten, eine lokale Active Directory-Identität (z. B. Benutzer) und eine verwaltete Cloud-Identität welche inhaltlich dieselben Informationen vorweist (z. b. Nachname, Vorname, Telefonnummer, Anmeldename, etc.).

Wie verbinde ich meine Identitäten mit Entra ID?

• Microsoft stellt Azure AD Connect als kostenneutrales Tool für die Synchronisierung von Identitäten nach Entra ID zur Verfügung.

• Als Verbindung für die erste Anlage wird i. d. R. sogenannte Userprincipalname genutzt, dieser entspricht syntaktisch einer E-Mail-Adresse ist aber technisch davon unabhängig.

Welchen Mehrwert bietet mir Entra ID?

• Entra ID bietet eine hochverfügbare Umgebung zur Authentifizierung und Autorisierung u. A. auch für Drittanbieter. D. h. Nutzer melden sich einmal mit Entra ID an und können dann Dienste bei anderen Anbietern ohne zusätzliche Authentifizierung nutzen.

Wie nutzen Anwender Ihre hybride Identität?

• Im besten Fall merken Anwender die Übergänge zwischen lokalen und Cloudidentitäten nicht. Für Client im lokalen Netzwerk gibt es Agenten (z. B. Pass Through Authentication), welche die Anmeldung der lokalen Identität nach Entra ID ohne Zutun des Nutzers durchführen. Die Benutzeranmeldung für Entra ID-gestützte Dienste ist im Falle einer klassischen Anmeldung identisch mit der lokalen Anmeldung.

Und wie sichere ich die Identitäten vor Angriffen?

• Bei neuen M365-Tenants erzwingt Microsoft die Nutzung von Multifaktorauthentifizierung (z. B. über die Microsoft Authenticator App). Dieser zusätzliche Faktor wird zur Zeitpunkt der Anmeldung abgefragt und verhindert so einfache Wörterbuchattacken.

• Microsoft arbeitet seit Jahren daran Benutzernamen/Passwort-Authentifizierungen gegen moderne Authentifizierungen abzulösen (siehe auch Das Ende von Legacy Authentication).

• Über den „bedingten Zugriff“ lassen sich weitergehende Regeln definieren um den Zugriff auf Clouddienste einzuschränken. Hier lassen sich Clientkritierien definieren oder Standortbedingungen verknüpfen (siehe auch Conditional Access)