Microsoft Entra ID bildet das zentrale Rückgrat für Identitäts- und Zugriffsmanagement in Microsoft-365-Umgebungen. Der cloudbasierte Dienst sorgt dafür, dass Benutzer sicher auf Anwendungen zugreifen können – von Microsoft-Diensten bis zu Drittanbieter-Apps.
Doch wie gut erfüllt Entra ID die Anforderungen moderner Unternehmen wirklich? In diesem Beitrag prüfen wir die Chancen, Grenzen und Praxistauglichkeit von Entra ID, betrachten innovative Funktionen und zeigen auf, wo Anpassungen oder Ergänzungen nötig sind, um Sicherheits- und Compliance-Anforderungen zu erfüllen.
Was ist Microsoft Entra ID?
Wer Microsoft 365-Dienste wie Teams, Exchange Online oder SharePoint Online nutzt, kommt an Microsoft Entra ID nicht vorbei. Der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst – früher bekannt als Azure Active Directory – bildet die Grundlage für Authentifizierung und Autorisierung in der Microsoft-Welt.
Entra ID sorgt dafür, dass sich Benutzer sicher anmelden und nur auf jene Ressourcen zugreifen können, die für sie freigegeben sind. Dabei beschränkt sich die Integration nicht nur auf Microsoft-Produkte: Auch mehrere hundert Drittanbieter wie JIRA, SAP oder ServiceNow lassen sich problemlos an Entra ID anbinden.
Für Unternehmen, die Cloud-Dienste von Microsoft einsetzen, ist Entra ID somit ein zentrales Element der IT-Infrastruktur. In Microsoft 365 Enterprise Plänen ist grundsätzlich eine Entra ID P1 Lizenz enthalten, welche grundlegende Funktionalitäten wie Single Sing-On (SSO) & Provisionierung via SCIM bietet. Abhängig von der Lizenzierung stehen zudem erweiterte Sicherheits- und Verwaltungsfunktionen zur Verfügung.
Zentrale Funktionen und Einsatzbereiche von Entra ID
Microsoft Entra ID bildet also die Basis für alle Microsoft Cloud-Produkte. Doch die Entra-Suite ist inzwischen deutlich umfangreicher geworden und besteht aus mehreren modularen Services – die teils separat lizenziert werden müssen.
Besonders relevant für den Bereich Identity & Access Management (IAM) sind:
- Microsoft Entra ID (vormals Azure AD) als Basiskomponente
- Microsoft Entra ID Governance zur erweiterten Rechte- und Zugriffsverwaltung
Letzteres erweitert Entra ID um Funktionalitäten, die wir bereits aus etablierten Enterprise-IAM-Lösungen kennen, also z. B. Berechtigungs- und Rollenmanagement, Attestierungen oder automatisierte Workflows für Joiner-, Mover- und Leaver-Prozesse.
Die nachfolgende Tabelle zeigt die Aufteilung der beiden Services. Wir als IPG unterstützen Sie gerne bei der Einordnung:
Microsoft Entra ID auf dem Prüfstand
Als IPG beobachten wir die Entwicklungen im IAM-Markt kontinuierlich – dazu zählt selbstverständlich auch Microsofts Cloud-Angebot rund um Entra ID Governance. Wir haben den Dienst genauer unter die Lupe genommen, um herauszufinden, was sich damit heute wirklich abbilden lässt – und wo die Grenzen im Vergleich zu etablierten Enterprise-IAM-Systemen liegen.
Microsoft ist im IAM-Bereich kein Neuling: Mit dem Microsoft Identity Manager (MIM) ist schon lange ein On-Premises-Produkt auf dem Markt, welches viele Anforderungen erfüllt. Die strategische Richtung ist jedoch klar: Microsoft setzt auf Cloud First – wie bereits bei vielen anderen Produkten. Auch wenn es aktuell vereinzelte Kurskorrekturen gibt, bleibt der Fokus auf cloudbasierten Lösungen bestehen.
Neue Möglichkeiten für Self-Service und B2B-Kollaboration
Mit Entra ID Governance sind einige der grundlegenden IAM-Funktionalitäten abgedeckt. Dazu gehört unter anderem die Möglichkeit für Endanwender, sogenannte Access Packages (vergleichbar mit Rollen) in einem Self-Service-Portal zu bestellen. In Access Packages lassen sich mehrere Berechtigungen bündeln und Genehmigungen können hinterlegt werden. Mittels Lifecycle Workflows lassen sich einfache Joiner-, Mover-, Leaver-Prozesse abbilden. Microsoft geht dabei in einigen Bereichen sogar neue Wege und bringt Features, die so bei klassischen IAM-Lösungen noch nicht zu finden sind. Dazu zählt insbesondere die Kollaboration über Unternehmensgrenzen (B2B) hinweg. So lassen sich die oben genannten Access Packages auch für Gäste bestellen. Außerdem wird aktuell die Integration von AI vorangetrieben.
Herausforderungen im Detail: Customizing & Compliance
Doch wie so oft liegen die Tücken im Detail – insbesondere, wenn es um starkes Customizing, Flexibilität und Nachvollziehbarkeit geht. Oft haben Kunden eine klare Vorstellung, wie ein automatisiert versendetes Mail auszusehen hat – leider gibt es hier beim Customizing Grenzen. Auch kann es z.B. während einem externen Audit schwierig sein, rasch die richtigen Informationen aus den Entra ID Governance Logs zu ziehen oder sie sind im Standard nicht länger als ein Jahr verfügbar. Auditoren versuchen mit Fragen wie „Warum hat dieser User diese Berechtigung?“ den Systemen & Prozessen auf den Zahn zu fühlen.
Die folgende Tabelle zeigt einige typische Anforderungen an IAM-Systeme und wie gut sie sich mit Entra ID Governance abbilden lassen:
Einige der in der Tabelle aufgezeigten Einschränkungen lassen sich durch Workloads und Automatisierungen in Azure teilweise kompensieren. Dennoch wäre eine Out-of-the-Box-Unterstützung dieser Funktionen aus Sicht vieler Unternehmen deutlich wünschenswerter.
Gleichzeitig ist davon auszugehen, dass Microsoft die Produktlinie Entra ID Governance kontinuierlich weiterentwickeln wird.
Fazit
Trotz der aktuell bestehenden Lücken sollte Entra ID Governance bei einer IAM-Evaluation keinesfalls außen vor gelassen werden. Denn Microsoft Entra ID, auch ohne den Governance-Teil, ist heute ein fester Bestandteil vieler IT-Landschaften. Dabei ist wichtig zu beachten: Ein Enterprise IAM und Entra ID stehen nicht in Konkurrenz zueinander, sondern lassen sich in vielen Fällen sinnvoll kombinieren. Nicht jede IAM-Funktion muss zwingend über ein zentrales Enterprise IAM abgebildet werden – Entra ID kann an mehreren Stellen wertvolle Ergänzungen liefern.
Besonders bei der Einbindung cloudbasierter Anwendungen punktet Entra ID mit einem kostengünstigen und effizienten Ansatz – ohne dass teure Schnittstellen oder komplexe Integrationen notwendig sind. Für Unternehmen mit cloud-nativer Ausrichtung und regulatorischen Anforderungen kann auch Entra ID Governance eine passende IAM-Lösung darstellen. Voraussetzung dafür ist, dass die oben genannten Einschränkungen mit den regulatorischen Anforderungen vereinbar sind.
Unabhängig vom Einsatzzweck und dem Reifegrad Ihres Entra-Tenants sollte dessen Bedeutung nicht unterschätzt werden – er ist ein zentraler Bestandteil. Klare Prozesse und eine korrekte Konfiguration sind entscheidend für Sicherheit und Effizienz sind.
Und das Beste daran: Aus den Logs und der bestehenden Konfiguration Ihres Entra-Tenants lassen sich wertvolle Erkenntnisse ableiten – etwa zu Sicherheitslücken oder nicht genutztem Potenzial. Unternehmen sollten sich daher eine zentrale Frage stellen: Haben sie wirklich über alle ihrer Identitäten (Stichwort Gast-Accounts) den Überblick und wissen sie, welche Apps Zugriff auf Kalender ihrer Mitarbeiter:innen haben?
