Start Aktuelles Azure Entra ID
Alle Artikel
Cloud & Workplace 29. April 2026 10 Min. Lesezeit

Azure Active Directory: Identity Management in der Cloud

Microsoft Entra ID (ehemals Azure AD) ist das Rueckgrat moderner Cloud-Sicherheit. Wir erklären Conditional Access, Zero Trust und die wichtigsten Konfigurationen.

Identität ist der neue Perimeter. In einer Welt, in der Mitarbeiter von überall arbeiten, Daten in der Cloud liegen und klassische Netzwerkgrenzen verschwimmen, wird die Identität zum zentralen Sicherheitsanker. Microsoft Entra ID - bis 2023 als Azure Active Directory bekannt - ist Microsofts Antwort auf diese Herausforderung.

Entra ID ist weit mehr als ein Verzeichnisdienst in der Cloud. Es ist eine umfassende Plattform für Identity and Access Management (IAM), die Authentifizierung, Autorisierung, Single Sign-On und Sicherheitsfunktionen vereint. Für Unternehmen mit Microsoft 365 oder Azure-Diensten ist Entra ID unverzichtbar - und richtig konfiguriert ein maechtige Schutzschild gegen Cyber-Angriffe.

Von Azure AD zu Microsoft Entra ID

Im Juli 2023 hat Microsoft Azure Active Directory in Microsoft Entra ID umbenannt. Die Namensänderung spiegelt die erweiterte Produktfamilie wider: Microsoft Entra umfasst neben Entra ID auch Entra Permissions Management, Entra Verified ID und weitere Identitäts-Lösungen.

Was ist Entra ID?

Entra ID ist ein cloudbasierter Identitäts- und Zugriffsverwaltungsdienst. Er speichert Benutzer- und Gruppeninformationen, authentifiziert Anmeldungen und steuert den Zugriff auf Anwendungen. Im Unterschied zum klassischen On-Premise Active Directory ist Entra ID mandantenfähig, global verfügbar und für Cloud-Szenarien optimiert.

Identität als Perimeter

In der Cloud-Welt ersetzt die Identität den klassischen Netzwerk-Perimeter. Jeder Zugriff wird anhand der Identität geprüft - unabhängig vom Standort oder Netzwerk des Benutzers.

Entra ID vs. On-Premise AD

Entra ID ist kein direkter Ersatz für das On-Premise Active Directory, sondern eine Ergaenzung. Während das klassische AD für die Verwaltung von Windows-Domaeinen, Gruppenrichtlinien und lokalen Ressourcen konzipiert ist, fokussiert Entra ID auf Cloud-Anwendungen, SaaS-Dienste und moderne Authentifizierung.

  • Protokolle: On-Premise AD nutzt Kerberos und LDAP, Entra ID setzt auf OAuth 2.0, SAML und OpenID Connect
  • Struktur: AD arbeitet mit Domaenen und Forests, Entra ID mit flachen Mandanten
  • Gruppenrichtlinien: GPOs gibt es nur On-Premise, in der Cloud nutzt man Intune und Conditional Access
  • Synchronisation: Azure AD Connect synchronisiert Identitäten zwischen beiden Welten

Zero Trust und Entra ID

Zero Trust ist kein Produkt, sondern ein Sicherheitsmodell. Der Grundsatz: "Vertraue niemandem, verifiziere alles." Jeder Zugriff wird geprüft, unabhängig davon, ob er aus dem internen Netzwerk oder von extern kommt. Entra ID ist die technische Grundlage für die Umsetzung von Zero Trust in Microsoft-Umgebungen.

Die drei Säulen von Zero Trust

1. Explizite Verifizierung

Authentifiziere und autorisiere jeden Zugriff basierend auf allen verfügbaren Signalen: Identität, Standort, Gerät, Anwendung, Risikostufe und mehr.

2. Least Privilege Access

Gewähre nur die minimal notwendigen Rechte. Nutze Just-in-Time und Just-Enough-Access Prinzipien, um die Angriffsfläche zu minimieren.

3. Assume Breach

Gehe davon aus, dass ein Angriff bereits stattgefunden hat. Segmentiere Zugriffe, verschlüssele Daten und überwache kontinuierlich auf Anomalien.

Zero Trust ist eine Reise: Die Umsetzung von Zero Trust geschieht schrittweise. Beginnen Sie mit den wichtigsten Maßnahmen - MFA und Conditional Access - und bauen Sie von dort aus weiter aus.

Conditional Access: Intelligente Zugriffssteuerung

Conditional Access ist das Herzszueck der Entra ID Sicherheit. Es ermöglicht kontextabhängige Zugriffsrichtlinien: Wer darf von wo mit welchem Gerät auf welche Anwendung zugreifen - und unter welchen Bedingungen?

Wie Conditional Access funktioniert

Conditional Access Policies bestehen aus Signalen, Bedingungen und Zugriffskontrollen. Bei jeder Anmeldung werden die Signale ausgewertet und mit den definierten Policies abgeglichen. Das Ergebnis: Zugriff erlaubt, Zugriff mit Bedingungen (z.B. MFA erforderlich) oder Zugriff blockiert.

Wichtige Signale

  • Benutzer und Gruppen: Wer versucht sich anzumelden?
  • Cloud-Apps: Auf welche Anwendung wird zugegriffen?
  • Geräteplattform: Windows, macOS, iOS, Android, Linux?
  • Gerätezustand: Ist das Gerät verwaltet und compliant?
  • Standort: Von welcher IP-Adresse oder welchem Land?
  • Risikostufe: Wie riskant ist diese Anmeldung laut Microsoft?
  • Client-App: Browser, Desktop-App oder Legacy-Protokoll?

Empfohlene Policies

Microsoft empfiehlt einen Satz von Baseline-Policies, die jedes Unternehmen implementieren sollte. Diese bilden die Grundlage für eine sichere Entra ID Umgebung.

  • MFA für alle Benutzer: Multi-Faktor-Authentifizierung als Grundschutz
  • MFA für Administratoren: Zusätzlicher Schutz für privilegierte Konten
  • Legacy-Authentifizierung blockieren: Alte Protokolle unterstützen kein MFA
  • Risikobehaftete Anmeldungen absichern: Bei verdächtigen Anmeldungen MFA erzwingen
  • Risikobehaftete Benutzer zur Passwortänderung zwingen: Bei kompromittierten Konten
  • Geräte-Compliance erzwingen: Nur verwaltete Geräte zulassen

Vorsicht: Conditional Access Policies können Benutzer aussperren, wenn sie falsch konfiguriert sind. Testen Sie neue Policies immer im Report-Only-Modus und definieren Sie Break-Glass-Konten für Notfaelle.

Multi-Faktor-Authentifizierung

MFA ist die einzelne wirksamste Maßnahme zum Schutz von Benutzerkonten. Microsoft gibt an, dass MFA 99,9% aller Konto-Kompromittierungen verhindert. Dennoch ist MFA in vielen Unternehmen nicht konsequent ausgerollt.

MFA-Methoden in Entra ID

  • Microsoft Authenticator: Push-Benachrichtigung oder TOTP-Code - die empfohlene Methode
  • FIDO2-Sicherheitsschlüssel: Hardware-Token für höchste Sicherheit
  • Windows Hello for Business: Biometrische Authentifizierung auf Windows-Geräten
  • SMS und Anruf: Fallback-Methoden, aber weniger sicher
  • Passworlose Authentifizierung: Anmeldung ganz ohne Passwort

Passwordless: Die Zukunft der Authentifizierung

Passwörter sind ein Sicherheitsrisiko: Sie werden gestohlen, erraten oder wiederverwendet. Microsoft pusht daher die passwortlose Authentifizierung. Mit Windows Hello, der Authenticator-App oder FIDO2-Keys können sich Benutzer ohne Passwort anmelden - sicherer und komfortabler.

Privileged Identity Management

Administratoren-Konten sind besonders attraktive Ziele für Angreifer. Privileged Identity Management (PIM) in Entra ID ermöglicht Just-in-Time-Zugriff auf privilegierte Rollen: Administratoren aktivieren ihre Rechte nur bei Bedarf und nur für einen begrenzten Zeitraum.

Vorteile von PIM

  • Reduzierte Angriffsfläche durch zeitlich begrenzte Rechte
  • Vollständige Protokollierung aller Aktivierungen
  • Genehmigungsworkflows für kritische Rollen
  • Benachrichtigungen bei Rollenaktivierung
  • Zugriffs-Reviews zur regelmäßigen Überprüfung

Implementierung

Beginnen Sie mit den kritischsten Rollen: Globaler Administrator, Exchange Administrator, SharePoint Administrator. Konfigurieren Sie maximale Aktivierungszeiten, fordern Sie MFA bei der Aktivierung und aktivieren Sie Benachrichtigungen. Führen Sie regelmäßige Access Reviews durch.

Hybride Identität

Die meisten Unternehmen betreiben sowohl On-Premise Active Directory als auch Entra ID. Azure AD Connect synchronisiert Identitäten zwischen beiden Welten und ermöglicht so eine einheitliche Benutzererfahrung.

Synchronisationsoptionen

  • Password Hash Sync: Passwoerthashes werden in die Cloud synchronisiert - einfach und robust
  • Pass-Through Authentication: Authentifizierung erfolgt gegen On-Premise AD - keine Hashes in der Cloud
  • Federation (ADFS): Volle Kontrolle über Authentifizierung - komplex, aber flexibel

Azure AD Connect Cloud Sync

Als Alternative zu Azure AD Connect gibt es Azure AD Connect Cloud Sync. Diese leichtgewichtige Lösung eignet sich besonders für Multi-Forest-Szenarien und bietet hohe Verfügbarkeit durch Cloud-basierte Agenten.

Fazit: Microsoft Entra ID ist das Fundament für sichere Cloud-Identitäten. Mit Conditional Access, MFA und Privileged Identity Management setzen Sie Zero-Trust-Prinzipien um und schützen Ihr Unternehmen effektiv vor Identitäts-basierten Angriffen. Die Investition in eine solide Entra ID Konfiguration zahlt sich vielfach aus.

Passende Leistungen
Cyber Security Cloud-Transformation

Entra ID Security Assessment

Wir prüfen Ihre Entra ID Konfiguration und identifizieren Sicherheitslücken und Optimierungspotenzial.

Assessment anfragen
Weitere Artikel
Security

Microsoft 365 absichern: Best Practices

Die wichtigsten Sicherheitseinstellungen für Ihre Microsoft 365 Umgebung.
Security

Zero-Trust Security: Vertraue niemandem

Das Zero-Trust-Modell revolutioniert die IT-Sicherheit.