Chancen und Grenzen von Entra ID im IAM

Microsoft Entra ID bildet das zentrale Rückgrat für Identitäts- und Zugriffsmanagement in Microsoft-365-Umgebungen. Der cloudbasierte Dienst sorgt dafür, dass Benutzer sicher auf Anwendungen zugreifen können – von Microsoft-Diensten bis zu Drittanbieter-Apps.

Doch wie gut erfüllt Entra ID die Anforderungen moderner Unternehmen wirklich? In diesem Beitrag prüfen wir die Chancen, Grenzen und Praxistauglichkeit von Entra ID, betrachten innovative Funktionen und zeigen auf, wo Anpassungen oder Ergänzungen nötig sind, um Sicherheits- und Compliance-Anforderungen zu erfüllen.

Wer Microsoft 365-Dienste wie Teams, Exchange Online oder SharePoint Online nutzt, kommt an Microsoft Entra ID nicht vorbei. Der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst – früher bekannt als Azure Active Directory – bildet die Grundlage für Authentifizierung und Autorisierung in der Microsoft-Welt.

Entra ID sorgt dafür, dass sich Benutzer sicher anmelden und nur auf jene Ressourcen zugreifen können, die für sie freigegeben sind. Dabei beschränkt sich die Integration nicht nur auf Microsoft-Produkte: Auch mehrere hundert Drittanbieter wie JIRA, SAP oder ServiceNow lassen sich problemlos an Entra ID anbinden.

Für Unternehmen, die Cloud-Dienste von Microsoft einsetzen, ist Entra ID somit ein zentrales Element der IT-Infrastruktur. In Microsoft 365 Enterprise Plänen ist grundsätzlich eine Entra ID P1 Lizenz enthalten, welche grundlegende Funktionalitäten wie Single Sing-On (SSO) & Provisionierung via SCIM bietet. Abhängig von der Lizenzierung stehen zudem erweiterte Sicherheits- und Verwaltungsfunktionen zur Verfügung.

Microsoft Entra ID bildet also die Basis für alle Microsoft Cloud-Produkte. Doch die Entra-Suite ist inzwischen deutlich umfangreicher geworden und besteht aus mehreren modularen Services – die teils separat lizenziert werden müssen.

Besonders relevant für den Bereich Identity & Access Management (IAM) sind:

• Microsoft Entra ID (vormals Azure AD) als Basiskomponente
• Microsoft Entra ID Governance zur erweiterten Rechte- und Zugriffsverwaltung

Letzteres erweitert Entra ID um Funktionalitäten, die wir bereits aus etablierten Enterprise-IAM-Lösungen kennen, also z. B. Berechtigungs- und Rollenmanagement, Attestierungen oder automatisierte Workflows für Joiner-, Mover- und Leaver-Prozesse.

Die nachfolgende Tabelle zeigt die Aufteilung der beiden Services. Wir als IPG unterstützen Sie gerne bei der Einordnung:

Als IPG beobachten wir die Entwicklungen im IAM-Markt kontinuierlich – dazu zählt selbstverständlich auch Microsofts Cloud-Angebot rund um Entra ID Governance. Wir haben den Dienst genauer unter die Lupe genommen, um herauszufinden, was sich damit heute wirklich abbilden lässt – und wo die Grenzen im Vergleich zu etablierten Enterprise-IAM-Systemen liegen.

Microsoft ist im IAM-Bereich kein Neuling: Mit dem Microsoft Identity Manager (MIM) ist schon lange ein On-Premises-Produkt auf dem Markt, welches viele Anforderungen erfüllt. Die strategische Richtung ist jedoch klar: Microsoft setzt auf Cloud First – wie bereits bei vielen anderen Produkten. Auch wenn es aktuell vereinzelte Kurskorrekturen gibt, bleibt der Fokus auf cloudbasierten Lösungen bestehen.

Mit Entra ID Governance sind einige der grundlegenden IAM-Funktionalitäten abgedeckt. Dazu gehört unter anderem die Möglichkeit für Endanwender, sogenannte Access Packages (vergleichbar mit Rollen) in einem Self-Service-Portal zu bestellen. In Access Packages lassen sich mehrere Berechtigungen bündeln und Genehmigungen können hinterlegt werden. Mittels Lifecycle Workflows lassen sich einfache Joiner-, Mover-, Leaver-Prozesse abbilden. Microsoft geht dabei in einigen Bereichen sogar neue Wege und bringt Features, die so bei klassischen IAM-Lösungen noch nicht zu finden sind. Dazu zählt insbesondere die Kollaboration über Unternehmensgrenzen (B2B) hinweg. So lassen sich die oben genannten Access Packages auch für Gäste bestellen. Außerdem wird aktuell die Integration von AI vorangetrieben. Der B2C Tenant wurde zugunsten von Entra External ID abgekündigt.

Doch wie so oft liegen die Tücken im Detail – insbesondere, wenn es um starkes Customizing, Flexibilität und Nachvollziehbarkeit geht. Oft haben Kunden eine klare Vorstellung, wie ein automatisiert versendetes Mail auszusehen hat – leider gibt es hier beim Customizing Grenzen. Auch kann es z.B. während einem externen Audit schwierig sein, rasch die richtigen Informationen aus den Entra ID Governance Logs zu ziehen oder sie sind im Standard nicht länger als ein Jahr verfügbar. Auditoren versuchen mit Fragen wie „Warum hat dieser User diese Berechtigung?“ den Systemen & Prozessen auf den Zahn zu fühlen.

Die folgende Tabelle zeigt einige typische Anforderungen an IAM-Systeme und wie gut sie sich mit Entra ID Governance abbilden lassen:

Einige der in der Tabelle aufgezeigten Einschränkungen lassen sich durch Workloads und Automatisierungen in Azure teilweise kompensieren. Dennoch wäre eine Out-of-the-Box-Unterstützung dieser Funktionen aus Sicht vieler Unternehmen deutlich wünschenswerter.

Gleichzeitig ist davon auszugehen, dass Microsoft die Produktlinie Entra ID Governance kontinuierlich weiterentwickeln wird.

Microsoft Entra ID übernimmt in modernen IAM-Architekturen häufig die Rolle der zentralen Identitäts- und Authentifizierungsplattform. Über Funktionen wie Single Sign-on (SSO), Multi-Faktor-Authentifizierung und Conditional Access schafft die Lösung die Grundlage für sichere digitale Zugriffe. Gleichzeitig benötigen viele Unternehmen zusätzliche IAM-Komponenten, um Rollenmodelle, Governance-Prozesse oder Berechtigungen über verschiedene Fachanwendungen hinweg zu steuern. Entra ID entfaltet seinen größten Nutzen daher meist als strategischer Baustein innerhalb einer umfassenden IAM-Architektur und nicht als isolierte Einzellösung.

Microsoft Entra ID unterstützt Unternehmen bei der Umsetzung wichtiger Compliance-Anforderungen durch Funktionen wie Multi-Faktor-Authentifizierung, Conditional Access, Access Reviews (Rezertifizierung) und Privileged Identity Management. Für viele mittelständische Unternehmen lassen sich damit grundlegende Anforderungen aus Standards wie ISO 27001 oder regulatorischen Vorgaben wie NIS2 bereits teilweise adressieren. Besonders dort, wo die Identitäts- und Applikationslandschaft nur von Microsoft-Technologien geprägt ist, bietet Entra ID eine solide Basis für sichere und nachvollziehbare Zugriffsprozesse. Steigen jedoch die Anforderungen an Governance, Rollenmodelle oder revisionssichere Berechtigungsnachweise über zahlreiche Fachanwendungen hinweg, werden die nativen Funktionen häufig durch spezialisierte IAM- oder IGA-Lösungen ergänzt.

Entra ID Governance bietet wichtige Funktionen für Lifecycle Management, Access Reviews und Berechtigungssteuerung. Im Enterprise-IAM reicht das jedoch nicht immer aus, weil viele Unternehmen stark heterogene Applikationslandschaften betreiben. Kritisch wird es bei SAP, ServiceNow, JIRA, Legacy-Systemen oder branchenspezifischen Anwendungen, die nicht vollständig über Standardkonnektoren abbildbar sind. Auch komplexe Rollenmodelle, mehrstufige Freigabeprozesse und Segregation-of-Duties-Kontrollen benötigen häufig zusätzliche IAM-Architektur. Entra ID ist deshalb eher ein zentraler Identity-Provider und Governance-Baustein als eine vollständige IAM-Plattform. Unternehmen sollten genau prüfen, welche Zielsysteme, Prozesse und Compliance-Anforderungen abgedeckt werden müssen. Entscheidend ist nicht nur die technische Integration, sondern auch die Governance-Fähigkeit über den gesamten Identitätslebenszyklus. Für stark regulierte Organisationen bleibt Entra ID meist Teil einer grösseren IAM-Gesamtarchitektur.

Viele Unternehmen nutzen Microsoft Entra, wissen aber nicht genau, wo Sicherheitsrisiken, Optimierungspotenziale oder ungenutzte Funktionen liegen. Das IPG Entra Assessment schafft Transparenz über Architektur, Governance, Berechtigungen und Sicherheitskonfigurationen und zeigt konkrete Handlungsfelder auf.

Sie erhalten eine fundierte Bewertung Ihrer Entra-Umgebung sowie klare Empfehlungen für Sicherheit, Compliance und den zukünftigen Ausbau Ihrer Identity-Strategie.

Mehr erfahren: https://www.ipg-group.com/services/entra-assessment

Trotz der aktuell bestehenden Lücken sollte Entra ID Governance bei einer IAM-Evaluation keinesfalls außen vor gelassen werden. Denn Microsoft Entra ID, auch ohne den Governance-Teil, ist heute ein fester Bestandteil vieler IT-Landschaften. Dabei ist wichtig zu beachten: Ein Enterprise IAM und Entra ID stehen nicht in Konkurrenz zueinander, sondern lassen sich in vielen Fällen sinnvoll kombinieren. Nicht jede IAM-Funktion muss zwingend über ein zentrales Enterprise IAM abgebildet werden – Entra ID kann an mehreren Stellen wertvolle Ergänzungen liefern.

Besonders bei der Einbindung cloudbasierter Anwendungen punktet Entra ID mit einem kostengünstigen und effizienten Ansatz – ohne dass teure Schnittstellen oder komplexe Integrationen notwendig sind. Für Unternehmen mit cloud-nativer Ausrichtung und regulatorischen Anforderungen kann auch Entra ID Governance eine passende IAM-Lösung darstellen. Voraussetzung dafür ist, dass die oben genannten Einschränkungen mit den regulatorischen Anforderungen vereinbar sind.

Unabhängig vom Einsatzzweck und dem Reifegrad Ihres Entra-Tenants sollte dessen Bedeutung nicht unterschätzt werden – er ist ein zentraler Bestandteil. Klare Prozesse und eine korrekte Konfiguration sind entscheidend für Sicherheit und Effizienz sind.

Und das Beste daran: Aus den Logs und der bestehenden Konfiguration Ihres Entra-Tenants lassen sich wertvolle Erkenntnisse ableiten – etwa zu Sicherheitslücken oder nicht genutztem Potenzial. Unternehmen sollten sich daher eine zentrale Frage stellen: Haben sie wirklich über alle ihrer Identitäten (Stichwort Gast-Accounts) den Überblick und wissen sie, welche Apps Zugriff auf Kalender ihrer Mitarbeiter:innen haben?