Was ist Microsoft Entra?

Microsoft Entra ist heute weit mehr als ein klassisches Verzeichnis für Benutzerkonten. Die Plattform bündelt Identitäts-, Zugriffs- und Governance-Funktionen für Mitarbeitende, externe Nutzer, Workloads und private Anwendungen und bildet damit einen zentralen Baustein moderner Zero-Trust-Architekturen. Für Unternehmen, Behörden und regulierte Umgebungen ist Microsoft Entra deshalb nicht nur ein IAM-Werkzeug, sondern eine strategische Sicherheits- und Betriebsplattform.

Begriffserklärung: Was ist Microsoft Entra?

Microsoft Entra ist die Produktfamilie von Microsoft für Identity and Access Management sowie angrenzende Netzwerkzugriffslösungen. Zum Portfolio gehören unter anderem Microsoft Entra ID als cloudbasierter Identitätsdienst, External ID für externe Identitäten, Workload ID für Anwendungs- und Dienstidentitäten, Verified ID für verifizierbare Nachweise sowie Internet Access und Private Access, die heute im Entra Admin Center unter Global Secure Access zusammengeführt werden.

Im IT-Umfeld ist das relevant, weil Zugriffe längst nicht mehr nur aus dem internen LAN erfolgen. Hybride Arbeit, SaaS, Multi-Cloud, APIs, Container und Partnerzugriffe erfordern eine Plattform, die Authentifizierung, Autorisierung, Governance und risikobasierte Entscheidungen zentral steuert. Genau hier setzt Microsoft Entra mit Zero-Trust-Prinzipien, Conditional Access und rollenbasierter Verwaltung an.

Funktionsweise & technische Hintergründe

Im Kern verwaltet Microsoft Entra Identitäten, Gruppen, Anwendungen, Rollen und Richtlinien in einem Tenant. Benutzer oder Workloads authentifizieren sich über moderne Protokolle und Token-basierte Verfahren; anschließend bewertet Entra Kontexte wie Benutzerrolle, Gerät, Standort, Risiko und Authentifizierungsstärke. Auf dieser Basis erzwingt Conditional Access Richtlinien wie MFA, passwortlose Anmeldung mit Passkeys oder die Blockierung riskanter Sign-ins.

Technisch lässt sich das wie eine Policy-Engine vor dem Ressourcenzugriff verstehen: Identität plus Kontext ergibt Zugriffsentscheidung. Für Anwendungen und Automatisierungen adressiert Workload ID die Absicherung nicht-menschlicher Identitäten. Governance-Funktionen wie Entitlement Management, Access Reviews und Lifecycle Workflows automatisieren außerdem den kompletten Berechtigungslebenszyklus von Eintritt bis Austritt.

# Beispiel: Benutzer zu einer Gruppe zuweisen und Governance vorbereiten
Connect-MgGraph -Scopes "Group.ReadWrite.All","User.Read.All"
$group = Get-MgGroup -Filter "displayName eq 'Finance-App-Users'"
$user  = Get-MgUser -Filter "userPrincipalName eq 'max.mustermann@firma.de'"
New-MgGroupMember -GroupId $group.Id -DirectoryObjectId $user.Id

Anwendungsbeispiele in der Praxis

In Enterprise-Umgebungen wird Microsoft Entra häufig als zentrale Anmeldung für Microsoft 365, Azure, Fachverfahren und Drittanbieter-SaaS genutzt. Behörden und KRITIS-nahe Organisationen profitieren von Conditional Access, um nur verwalteten Geräten oder erhöht abgesicherten Anmeldemethoden Zugriff auf sensible Daten zu geben. Externe Partner lassen sich über External ID kontrolliert einbinden, ohne klassische Schattenkonten manuell zu pflegen.

Ein weiteres Szenario ist die Ablösung klassischer VPN-Konzepte: Private Access stellt identitätszentrierten Zugriff auf interne Anwendungen bereit, während Internet Access den Weg zu SaaS- und Webzielen absichert. Beide Dienste sind unter Global Secure Access zusammengeführt. Für DevOps- und Plattform-Teams ist zudem Workload ID relevant, etwa in Kubernetes- oder Cloud-Native-Umgebungen, damit Anwendungen sicher auf Ressourcen zugreifen können, ohne statische Geheimnisse dauerhaft zu hinterlegen.

Nutzen und Herausforderungen

Zu den wichtigsten Vorteilen gehören bessere Sicherheit durch risikobasierte Richtlinien, hohe Skalierbarkeit für Cloud- und Hybrid-Szenarien, zentrale Administration sowie stärkere Compliance-Unterstützung durch Governance- und Review-Funktionen. Passwortlose Verfahren und rollenbasierte Delegation verbessern zusätzlich Bedienbarkeit und Betriebsstabilität.

Dem stehen typische Herausforderungen gegenüber: Die Plattform ist funktional breit und damit konzeptionell anspruchsvoll. Lizenzmodelle und Feature-Abgrenzungen müssen sauber geplant werden. Hinzu kommen Einführungsaufwand, Richtlinien-Design, Altlasten aus On-Prem-AD-Strukturen und einzelne Produktgrenzen, etwa bekannte Einschränkungen bei Global Secure Access.

Alternative Lösungen

Fazit

Microsoft Entra ist eine moderne Plattform für Identitäten, Zugriffe und Governance, die klassische Verzeichnisdienste deutlich erweitert. Besonders stark ist Microsoft Entra dort, wo Zero Trust, Hybrid Work, externe Zugriffe und automatisierte Berechtigungsprozesse zusammenkommen. Wer die Plattform strategisch einführt, gewinnt an Sicherheit, Transparenz und Skalierbarkeit; wer nur Einzelteile aktiviert, schöpft das Potenzial oft nicht aus.

FAQs

Ist Microsoft Entra nur der neue Name für Azure AD?

Nein. Microsoft Entra ID ist der Nachfolger von Azure Active Directory, Microsoft Entra umfasst aber zusätzlich weitere Identitäts-, Governance- und Netzwerkzugriffsdienste.

Wofür ist Conditional Access besonders wichtig?

Conditional Access ist die Zero-Trust-Policy-Engine von Entra. Sie steuert Zugriffe anhand von Signalen wie Risiko, Gerät, Standort oder Authentifizierungsmethode.

Kann Microsoft Entra ein klassisches VPN ersetzen?

Teilweise ja. Für viele private Anwendungen kann Entra Private Access einen identitätszentrierten ZTNA-Ansatz bereitstellen; ob ein vollständiger Ersatz möglich ist, hängt aber von Architektur und bekannten Produktgrenzen ab.

Wichtige Komponenten von Microsoft Entra

Die Microsoft Entra-Familie besteht aus mehreren Produkten und Technologien, die sich auf unterschiedliche Aspekte des Identitätsmanagements konzentrieren:

Microsoft Entra ID (ehemals Azure Active Directory):

Azure AD wurde im Rahmen von Entra in Microsoft Entra ID umbenannt und bleibt das zentrale Werkzeug für Identitäts- und Zugriffsverwaltung. Es bietet Funktionen wie Single Sign-On (SSO), Multi-Faktor-Authentifizierung (MFA), rollenbasierte Zugriffskontrolle (RBAC) und bedingten Zugriff.
Unternehmen können Benutzeridentitäten und Berechtigungen verwalten und so Zugriffe auf Anwendungen und Daten absichern, sowohl in der Cloud als auch on-premises.

Microsoft Entra Permissions Management:

Dieses Tool dient der Verwaltung und Überwachung von Berechtigungen in Multi-Cloud-Umgebungen wie Azure, AWS und Google Cloud Platform (GCP).
Es ermöglicht die Erkennung und Minimierung von übermäßigen Berechtigungen (over-permissioning) und stellt sicher, dass nur die richtigen Benutzer Zugriff auf Ressourcen haben.

Microsoft Entra Verified ID:

Entra Verified ID ist eine Lösung zur Verwaltung von digitalen Identitäten basierend auf verifizierten Anmeldeinformationen.
Unternehmen können Identitäten und Berechtigungen digital und sicher verifizieren, etwa für den Zugriff auf spezielle Anwendungen oder Netzwerke, was die Verwaltung externer Partner und die Freigabe sensibler Daten vereinfacht.

Microsoft Entra Workload Identities:

Diese Komponente dient der Verwaltung von Identitäten für Anwendungen und Services, die ohne Benutzerinteraktion laufen, wie etwa APIs, Microservices und Automatisierungsskripte.
Mit Workload Identities können Unternehmen Sicherheitsrisiken reduzieren, indem sie Berechtigungen für nicht-menschliche Identitäten präzise kontrollieren und überwachen.

Microsoft Entra Identity Governance:

Identity Governance ermöglicht eine umfassende Verwaltung von Identitäten und Zugriffsrechten innerhalb von Entra ID, um Sicherheitsrichtlinien einzuhalten und Zugriffskontrollen zu automatisieren.
Diese Funktion hilft, Compliance-Anforderungen zu erfüllen und sicherzustellen, dass der Zugriff auf Ressourcen im Unternehmen effizient und konform geregelt ist.

Autor

Florian Deinhard

Artikel erstellt: 15.11.2024
Artikel aktualisiert: 08.04.2026

zurück zur Übersicht