Microsoft Entra ID: Was Sicherheitsteams wissen müssen

Microsoft Entra ID, früher Azure Active Directory (Azure AD), ist der Identitäts- und Zugriffsverwaltungsdienst hinter Microsoft 365, Azure und Tausenden von verbundenen SaaS-Anwendungen. Wenn Ihre Organisation Microsoft-Produkte verwendet, ist Entra ID mit hoher Wahrscheinlichkeit das System, das entscheidet, wer sich anmelden kann und auf was sie zugreifen können.

Diese zentrale Rolle macht es zu einem der wichtigsten und am häufigsten angegriffenen Teile jeder Microsoft-Umgebung. Angreifer nutzen routinemäßig kompromittierte Anmeldeinformationen, Missbrauch von OAuth-Zustimmungen und Sitzungsübernahmen, um sich durch Entra ID zu bewegen, was bedeutet, dass die richtige Konfiguration genauso wichtig ist wie deren Vorhandensein.

Dieser Leitfaden behandelt, was Entra ID ist, wie es funktioniert, sechs grundlegende Sicherheitsfunktionen, acht Härtungsprioritäten und wo native Tools in hybriden Umgebungen versagen.

Was ist Microsoft Entra ID?

Microsoft Entra ID ist die Cloud-Lösung von Microsoft Identitäts- und Zugriffsmanagement (IAM) Dienst. Es ist das System, das kontrolliert, wer sich in die Microsoft 365-Umgebung Ihrer Organisation, Azure-Ressourcen und verbundene Drittanbieteranwendungen anmelden kann und was ihnen erlaubt ist, sobald sie eingeloggt sind.

Die Plattform verwaltet die einmalige Anmeldung (SSO), die multifaktorielle Authentifizierung (MFA), den bedingten Zugriff, das Lebenszyklusmanagement und den Identitätsschutz für Benutzer, Geräte und Anwendungen. Organisationen verbinden sie über OAuth, SAML und OpenID Connect mit Tausenden von SaaS-Anwendungen.

Microsoft hat Azure AD im Rahmen einer umfassenderen Erweiterung seines Identitätsportfolios in Microsoft Entra ID umbenannt. Der Name hat sich geändert, aber der Kernservice bleibt derselbe. Wenn Sie Azure AD verwaltet haben, arbeiten Sie bereits in Entra ID.

Hinweis: Entra ID hat den Namen von Azure AD ersetzt, nicht das lokale Active Directory. Die beiden sind separate Produkte, und die meisten Microsoft-Umgebungen führen beide aus, wobei Microsoft Entra Connect Identitäten zwischen ihnen synchronisiert. Diese hybride Konfiguration bedeutet, dass Sicherheitsteams zwei miteinander verbundene Systeme mit unterschiedlichen Architekturen und unterschiedlichen Angriffsflächen schützen.

Wie funktioniert Microsoft Entra ID?

Auf hoher Ebene befindet sich Entra ID zwischen Ihren Benutzern und den Anwendungen, auf die sie zugreifen müssen. Wenn jemand versucht, sich bei Microsoft 365, einer Azure-Ressource oder einer verbundenen SaaS-Anwendung anzumelden, übernimmt Entra ID die Entscheidungen zur Authentifizierung und Autorisierung.

Jedes Mal, wenn ein Benutzer Zugriff anfordert, überprüft Entra ID seine Identität (über Passwörter, MFA oder passwortlose Methoden wie FIDO2-Passkeys). Anschließend bewertet es die Richtlinien für bedingten Zugriff, bevor es den Zugriff gewährt oder blockiert.

Diese Richtlinien können die Gerätekonformität, den Standort, die Anwendungsempfindlichkeit und Echtzeitrisikosignale von Identity Protection berücksichtigen.

Für Organisationen, die Active Directory vor Ort zusammen mit Entra ID verwenden, synchronisiert Microsoft Entra Connect Benutzeridentitäten, Gruppenmitgliedschaften und Anmeldeinformationen zwischen den beiden Umgebungen. Das bedeutet, dass ein in AD vor Ort bereitgestellter Benutzer sich über Entra ID bei Cloud-Ressourcen authentifizieren kann, ohne eine separate Cloud-Identität zu pflegen.

Entra ID unterstützt auch die Anwendungsintegration in großem Maßstab. Drittanbieter-SaaS-Anwendungen registrieren sich beim Mandanten und verwenden Protokolle wie OAuth 2.0 und SAML 2.0 für die föderierte Authentifizierung, was bedeutet, dass eine Single-Sign-On-Erfahrung über Hunderte von Apps hinweg funktioniert, ohne dass jede einzelne ihre eigene Benutzerdatenbank verwalten muss.

Kern-Sicherheits- und IAM-Funktionen in Microsoft Entra ID

Sicherheitsteams müssen nicht jede Funktion in Entra ID kennen. Aber sechs Fähigkeitsbereiche beeinflussen direkt Ihre Sicherheitslage.

• Authentifizierung und MFA: Entra ID unterstützt SSO, passwortbasierte Authentifizierung und passwortlose Optionen, einschließlich FIDO2-Passkeys, Windows Hello for Business und zertifikatsbasierter Authentifizierung. MFA wird über bedingte Zugriffsrichtlinien durchgesetzt, anstatt über veraltete benutzerspezifische Einstellungen. Phishing-resistente Methoden (Passkeys und FIDO2-Schlüssel) sollten für privilegierte Konten Priorität haben.
• Bedingter Zugriff: Dies ist die Richtlinien-Engine im Zentrum der Zugriffsarchitektur von Entra ID. Sie bewertet die Benutzeridentität, die Gerätekonformität, den Standort, die Anwendungsanforderungen und Echtzeit-Risikosignale, bevor sie Zugriffsrechte gewährt, blockiert oder zusätzliche Kontrollen anfordert.
• Identitätsschutz:Der Identitätsschutz verwendet Microsoft-Signale, um riskante Anmeldungen und riskante Benutzer zu erkennen, und kann diese Signale in den Bedingten Zugriff für automatisierte Antworten einspeisen.
• Privileged Identity Management (PIM):PIM bietet eine Just-in-Time-Aktivierung für privilegierte Rollen, Genehmigungsworkflows, zeitlich begrenzte Zuweisungen und eine zwingende Rechtfertigung für die Eskalation von Rechten. Ziel ist es, den dauerhaften Administratorzugang zu entfernen, damit privilegierte Konten nicht ungenutzt bleiben und darauf warten, kompromittiert zu werden.
• Microsoft Entra ID Governance: Diese Identitätsgovernance-Lösung verwaltet Zugriffslebenszyklen durch automatisierte Joiner-Mover-Leaver-Workflows, Zugriffspakete mit konfigurierbarer Ablaufzeit und regelmäßige Zugriffszertifizierungskampagnen, wodurch verwaiste Konten und Privilegienansammlungen minimiert werden.
• Überwachung und Integrationen: Entra ID streamt Audit-Protokolle, Anmeldeprotokolle und Risikodaten an Microsoft Sentinel, Microsoft Defender für erweiterte Erkennung und Reaktion (XDR) und Drittanbieter-Sicherheitsinformations- und Ereignismanagement (SIEM)-Plattformen über APIs.

Viele dieser Funktionen erfordern Entra ID P2- oder Entra ID Governance-Lizenzen. Organisationen, die über Basis- oder P1-Lizenzen verfügen, haben keinen Zugang zu Identitätsschutz und PIM, was die Sicherheitslage der Identität erheblich einschränkt.

8 bewährte Praktiken für Microsoft Entra ID für Sicherheitsteams

Hier sind acht Praktiken, die Sicherheitsteams priorisieren sollten.

1. Durchsetzen einer phishing-resistenten Authentifizierung

Standard MFA reicht nicht mehr aus. Passwort-Sprühkampagnen setzen weiterhin Konten in großem Umfang in Gefahr, und adversary-in-the-middle (AiTM) Phishing-Kits können legitime SSO-Flows kapern, um Sitzungstoken zu stehlen und MFA vollständig zu umgehen.

Legacy-Protokolle wie SMTP AUTH, POP3 und IMAP4 verschärfen die Situation, indem sie Authentifizierungspfade bereitstellen, die den Bedingten Zugriff vollständig überspringen.

Die Priorität liegt darin, privilegierte Konten zuerst auf phishing-resistente Methoden umzustellen: FIDO2-Passkeys, Windows Hello for Business oder zertifikatsbasierte Authentifizierung.

Verwenden Sie die Kontrollen zur Authentifizierungsstärke des bedingten Zugriffs, um dies durchzusetzen und veraltete Authentifizierungsprotokolle in der gesamten Organisation zu blockieren. Die Standard-MFA für alle verbleibenden Benutzer ist die Basis, nicht das Ziel.

2. Privilegierte Rollen mit PIM und dem Prinzip der geringsten Privilegien absichern

Jedes permanente Global Admin-Konto ist eine ständige Einladung. Wenn eines kompromittiert wird, kann der Angreifer Privilegien eskalieren, Hintertüren erstellen und Sicherheitsrichtlinien ändern, bevor es jemand bemerkt.

Privileged Identity Management (PIM) schließt diese Exposition, indem es den dauerhaften Zugriff durch eine bedarfsorientierte Erhöhung ersetzt. Administratoren beantragen Zugriff, wenn sie ihn benötigen, mit Genehmigungsworkflows, zeitlich begrenzten Sitzungen (acht Stunden maximal ist eine angemessene Obergrenze für Ihre Organisation) und obligatorischer MFA bei der Aktivierung.

Über PIM hinaus, halte den Explosionsradius klein:

• Minimieren Sie die Zuweisungen von Globaladministratoren und verwenden Sie eingeschränkte Rollen, damit Administratoren nur die Berechtigungen erhalten, die für ihre Arbeit erforderlich sind.
• Halten Sie zwei Cloud-only Notfallkonten mit Benachrichtigungen über jede Anmeldeaktivität.
• Überprüfen Sie monatlich die Zuweisungen privilegierter Rollen.

PIM und das Prinzip der minimalen Berechtigung reduzieren, was ein Angreifer erreichen kann. Der nächste Schritt besteht darin, die Bedingungen zu kontrollieren, unter denen jemand, privilegiert oder nicht, überhaupt Zugang erhält.

3. Entwerfen und kontinuierlich anpassen von Bedingten Zugriffsrichtlinien

Bedingter Zugriff ist die Richtlinien-Engine, die alle anderen Sicherheitskontrollen von Entra ID zum Laufen bringt. Wenn Ihre Richtlinien Lücken aufweisen, kompensiert nichts im Nachhinein.

Beginnen Sie mit einer Basisabdeckung:

• MFA für alle Benutzer erforderlich
• Risikobehaftete Anmeldungen blockieren
• Admin-Portale schützen

Fügen Sie dann szenariospezifische Regeln für den Gästezugang, wertvolle Anwendungen und nicht verwaltete Geräte hinzu.

Implementieren Sie neue Richtlinien zunächst im Nur-Bericht-Modus, verwenden Sie das What-If-Tool, um die Auswirkungen vor der Durchsetzung zu simulieren, und verwenden Sie die Anwendungskennzeichnung, um sicherzustellen, dass jede integrierte Anwendung von mindestens einer Richtlinie abgedeckt ist.

Die Abweichung von Richtlinien ist ein größeres Risiko als fehlende Richtlinien. Temporäre Gruppenausschlüsse, Testausnahmen, die nie widerrufen werden, und ad-hoc-Änderungen der Authentifizierungsanforderungen schaffen ungeschützte Zugangswege, die sich stillschweigend ansammeln.

Auditprotokolle sollten auf Richtlinienänderungen durch nicht genehmigte Akteure überwacht werden, und die Abdeckung des Bedingten Zugriffs sollte mindestens vierteljährlich überprüft werden.

4. Aktivieren Sie den Identitätsschutz und automatisieren Sie die Risikoreaktion

Die Identitätsschutzfunktion erkennt riskante Anmeldungen und riskante Benutzer, aber die Erkennung ohne automatisierte Reaktion ist nur Lärm. Wenn Ihre Identitätsschutzsignale nicht mit bedingtem Zugriffsrichtlinien verbunden sind, die Maßnahmen erzwingen, bleiben kompromittierte Konten aktiv, während sich die Warnungen in einer Warteschlange stapeln, die niemand schnell genug überprüft.

Die Lösung besteht darin, die Signale von Identity Protection direkt mit der Durchsetzung zu verbinden. Konfigurieren Sie den Bedingten Zugriff, um MFA für Anmeldungen mit mittlerem Risiko zu verlangen und sichere Passwortzurücksetzungen für Benutzer mit hohem Risiko zu erzwingen.

Von dort aus streamen Sie Anmeldeprotokolle, Auditprotokolle und Risikoereignisse an Ihr SIEM damit Ihr Sicherheitsoperationsteam (SOC) Erkennungsregeln für unmögliche Reisen, veraltete Authentifizierungsversuche und Privilegieneskalationsmuster erstellen kann. Die Kombination aus automatisierter Durchsetzung und Sichtbarkeit auf SOC-Ebene schließt die Lücke zwischen Erkennung und Reaktion.

5. Steuern Sie App-Registrierungen und OAuth-Zustimmungen

Die OAuth-Zustimmung ist einer der am meisten übersehenen Persistenzmechanismen in Entra ID. Eine Anwendung, die Mail.Read vor Jahren gewährt wurde, behält diesen Zugriff unbegrenzt, es sei denn, jemand widerruft ihn ausdrücklich, und die meisten Organisationen haben keinen regelmäßigen Überprüfungsprozess für Unternehmensanwendungsberechtigungen.

Die Angriffsfläche reicht über veraltete Berechtigungen hinaus. Bedrohungsakteure haben die Autorisierungsflüsse für Gerätecodes ausgenutzt, um Benutzer zu täuschen, damit sie sich im Namen des Angreifers auf legitimen Microsoft-Anmeldeseiten authentifizieren, und gewähren Zugriffstoken, die die MFA umgehen.

Um diese Exposition zu reduzieren, schränken Sie den Selbstbedienungszustimmung ein oder schalten Sie ihn aus, damit Benutzer keine tenantweiten Berechtigungen ohne Genehmigung erteilen können.

Erfordern Sie Arbeitsabläufe für die Zustimmung von Administratoren für jede Anfrage nach hochprivilegierten Berechtigungen, beschränken Sie die App-Registrierungen auf Administratoren und überprüfen Sie monatlich die Dienstprinzipale und die Berechtigungen von Unternehmensanwendungen. Ohne regelmäßige Überprüfung ist jede erteilte Berechtigung ein potenzieller Persistenzmechanismus, den ein Angreifer erben kann.

6. Gäste- und B2B-Zugriff verwalten

Gastkonten sind einfach zu erstellen und leicht zu vergessen, was sie zu einer Governance-Lücke in den meisten Entra ID-Mietern macht. Jeder unregulierte Gast ist eine Identität, die Ihr Sicherheitsteam nicht bereitgestellt hat und möglicherweise nicht weiß, dass sie existiert, mit einem Zugriff, der besteht, bis jemand ihn aktiv entfernt.

Das Verschärfen beginnt damit, einzuschränken, wer Gäste einladen kann, und MFA für alle Gastbenutzer zu verlangen. Jedes Gastkonto sollte einen internen Eigentümer haben, der für die fortlaufende Zugangsrechtfertigung verantwortlich ist.

Cross-Tenant-Zugriffsrichtlinien fügen eine weitere Ebene hinzu, indem sie kontrollieren, auf welche externen Identitäten zugegriffen werden kann, und regelmäßige Zugriffsüberprüfungen erfassen die inaktiven Konten, die sonst unbegrenzt bleiben würden.

Die Kombination aus Eigentum, MFA-Anforderungen und regelmäßigen Überprüfungen verhindert, dass der Gästezugang zu einem blinden Fleck wird.

7. Integrieren Sie Entra ID in die Erkennung und Reaktion auf Identitätsbedrohungen (ITDR) und die SOC-Überwachung

Identitätssignale sind viel wertvoller, wenn sie mit anderen Telemetriedaten korreliert sind. Ein verdächtiger Anmeldeversuch allein könnte ein falsch positives Ergebnis sein. Kombinieren Sie diesen Anmeldeversuch mit Endpunktdaten, die laterale Bewegungen zeigen, oder mit Netzwerkprotokollen, die ungewöhnliche Datenübertragungen zeigen, und es wird zu einem hochgradig vertrauenswürdigen Indikator, der es wert ist, untersucht zu werden.

Diese Korrelation erfordert die Einspeisung von Anmeldeprotokollen von Entra ID, Auditprotokollen und Risikosignalen von Identity Protection in Ihre SIEM- oder XDR-Plattform. Identitätsereignisse sollten auch in die Handbücher zur Reaktion auf Vorfälle zusammen mit Endpoint- und Netzwerkdaten aufgenommen werden.

Auf diese Weise hat das SOC, wenn eine identitätsbasierte Warnung ausgelöst wird, den Kontext, um Umfang und Auswirkungen zu bewerten, ohne zwischen getrennten Tools wechseln zu müssen.

8. Bewerten Sie regelmäßig die Sicherheitslage von Entra ID

Regelmäßige Überprüfungen der Sicherheitslage erfassen die Konfigurationsprobleme, die sich zwischen größeren Sicherheitsprojekten ansammeln. Die Konfigurationsabweichung entsteht durch kleine Änderungen, die isoliert harmlos erscheinen. Dies könnte eine Ausschlussregel für den bedingten Zugriff sein, die ihre Rechtfertigung überdauert, eine Testanwendungsregistrierung mit umfangreichen Berechtigungen oder eine privilegierte Rollenzuweisung, die lange nach Abschluss des Projekts aktiv bleibt.

Wenn sie unbeaufsichtigt bleiben, untergraben diese die Haltung, die Sie in den vorherigen sieben Schritten aufgebaut haben. Microsoft Secure Score bietet einen nützlichen kontinuierlichen Indikator, sollte jedoch nicht das einzige Bewertungsinstrument sein.

Ergänzen Sie es mit den Benchmarks des Center for Internet Security (CIS) und regelmäßigen manuellen Überprüfungen und erstellen Sie einen Rhythmus, der dem Risikoprofil jedes Kontrollbereichs entspricht:

• Zuweisungen von privilegierten Rollen und OAuth-Zustimmungserteilungen: monatlich.
• Gastzugang und B2B-Konfigurationen: monatlich oder vierteljährlich, je nach Volumen.
• Bedingte Zugriffsrichtlinien: vierteljährlich, mit ad-hoc-Überprüfungen nach größeren Änderungen des Mandanten.

Diese acht Prioritäten werden Ihre Entra ID-Umgebung erheblich absichern. Aber selbst ein gut konfiguriertes Mandant hat Grenzen, und zu verstehen, wo die nativen Funktionen enden, ist ebenso wichtig wie die richtige Konfiguration.

Was Microsoft Entra ID nicht löst (und wo Sie mehr benötigen)

Entra ID deckt viel ab, wurde jedoch nicht entwickelt, um alles abzudecken. Drei Lücken treten in hybriden Umgebungen konsequent auf:

• On-Premises- und Nicht-Microsoft-Systeme: Entra ID hat keine Sichtbarkeit auf On-Premises-Angriffsvektoren in Active Directory wie DCSync, Golden Ticket oder Kerberos-Missbrauch. Der Schutz des Domänencontrollers, die Sicherheit des hybriden Synchronisierungsservers und die Erkennung der Privilegieneskalation vor Ort liegen alle außerhalb seines Anwendungsbereichs.
• Datensicherheit und Governance: Entra ID verwaltet Identität und Zugriff. Es klassifiziert keine sensiblen Daten, überwacht keine dateibezogenen Zugriffsverhalten und setzt keine Richtlinien zur Verhinderung von Datenverlusten durch, insbesondere nicht über lokale Dateiserver und Nicht-Microsoft-Repositories. Wenn Ihre Compliance-Anforderungen beinhalten, zu wissen, wo sich sensible Daten befinden und wer darauf zugreift, ist das eine separate Fähigkeit.
• Plattformübergreifendes ITDR: Der Identitätsschutz von Entra ID deckt Risiko-Signale zur Authentifizierung innerhalb des Microsoft-Ökosystems ab. Die laterale Bewegung nach der Authentifizierung, On-Prem AD-Angriffsketten und die Korrelation zwischen nicht-Microsoft-Identitätsquellen erfordern spezielle ITDR-Tools.

Für regulierte und hybride Umgebungen ist die praktische Architektur Entra ID als Identitätskontrollebene, ergänzt durch unabhängige Werkzeuge für die Sichtbarkeit, Aufbewahrung und plattformübergreifende Governance, die sie nicht bereitstellt.

Wie Netwrix Microsoft Entra ID ergänzt

Netwrix schließt die Lücken, die die nativen Tools von Entra ID offen lassen, insbesondere in Bezug auf die Sichtbarkeit von lokalem AD, die langfristige Aufbewahrung von Audits und die Verbindung von Identitätsrisiken mit Datenexposition. Diese Lücken können nicht nur durch eine bessere Konfiguration von Entra ID geschlossen werden. Sie erfordern zusätzliche Werkzeuge:

• Sichtbarkeit in lokalem AD neben Entra ID, nicht nur das eine oder das andere
• Auditaufbewahrung, die die nativen Protokollgrenzen überdauert
• Risikokontext, der die Identitätsexposition mit der Datenexposition verbindet
• Nachweis der Konformität, den Auditoren tatsächlich akzeptieren

Das ist die Lücke, die Netwrix schließt, ohne die Komplexität eines bereits überlasteten Sicherheitsteams zu erhöhen.

Netwrix 1Secure bietet Sichtbarkeit in Ihre Microsoft 365- und hybride Identitätsumgebung, ohne dass eine Infrastruktur bereitgestellt werden muss. Für Entra ID verfolgt 1Secure die Anmeldeaktivitäten, hebt Privilegieneskalationen hervor und überwacht Berechtigungsänderungen sowohl in der Cloud als auch in der lokalen Active Directory mit nahezu in Echtzeit synchronisiert.

Risikobewertungs-Dashboards heben übermäßige Berechtigungen, riskante Kontokonfigurationen, inaktive Konten mit anhaltendem Zugriff und Fehlkonfigurationen hervor, die den Explosionsradius während eines Kompromisses erweitern. KI-basierte Empfehlungen zur Behebung helfen Teams, zu priorisieren, was zuerst behoben werden soll.

Netwrix Auditor bietet compliance-orientierte Audits für regulierte Branchen. Mit einer Bereitstellung in 30 Minuten und Berichten, die innerhalb von Stunden verfügbar sind, liefert Auditor Prüfpfade über Entra ID, Active Directory, Dateiserver und Exchange.

Die interaktive Suche in den Prüfprotokollen ermöglicht es Ermittlern, die Frage "Wer hat wann auf was zugegriffen?" in Ihrer gesamten hybriden Umgebung zu beantworten, mit einer langfristigen Prüfprotokollhistorie, die weit über die native Entra ID-Protokollaufbewahrung hinausgeht.

Für privilegierten Zugriff in Ihrer Entra ID- und Microsoft 365-Umgebung, Netwrix Privilege Secure bietet eine bedarfsorientierte Bereitstellung, die dauerhafte Administratorrechte entfernt, mit Sitzungsaufzeichnung für Prüfpfade.

Buchen Sie eine Netwrix-Demo um zu sehen, wie schnell Sie die Sichtbarkeits- und Governance-Lücken schließen können, die Entra ID offen lässt.