Zurück zur Übersicht
Autor

Tobias Linden

CEO

Teilen
In diesem Artikel
Example H2
Example H3
Example H4
Example H5
Example H6

Entra ID: Definition, Lizenzen und Conditional Access erklärt

Microsoft Entra ID ist der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft, der früher unter dem Namen Azure Active Directory bekannt war. Mit Entra ID verwalten Unternehmen sämtliche Benutzeridentitäten zentral und steuern den Zugriff auf Cloud-Anwendungen, lokale Ressourcen und externe Dienste. Für kleine und mittlere Unternehmen ist Entra ID das Fundament einer modernen IT-Sicherheitsstrategie: Es ermöglicht Single Sign-On für alle Anwendungen, schützt Zugänge durch Multi-Faktor-Authentifizierung und setzt Sicherheitsrichtlinien automatisch durch. In diesem Artikel erfahren Sie, was Entra ID genau ist, welche Lizenzmodelle es gibt und wie Sie den Dienst optimal für Ihr Unternehmen einsetzen.

Was ist Microsoft Entra ID? Die Definition

Microsoft Entra ID ist ein cloudbasierter Verzeichnis- und Identitätsverwaltungsdienst. Er bildet das zentrale Nervensystem für die Authentifizierung und Autorisierung in modernen IT-Umgebungen. Konkret bedeutet das: Entra ID speichert Benutzerkonten, Gruppenzugehörigkeiten und Anwendungsberechtigungen in der Cloud und stellt sicher, dass nur berechtigte Personen auf die richtigen Ressourcen zugreifen können.

Die Umbenennung von Azure AD zu Entra ID

Im Juli 2023 hat Microsoft Azure Active Directory in Microsoft Entra ID umbenannt. Diese Umbenennung war mehr als eine kosmetische Änderung: Microsoft positioniert Entra ID als Teil einer umfassenderen Produktfamilie für Identitäts- und Netzwerkzugriffsverwaltung. Die Funktionalität selbst blieb jedoch identisch. Für Unternehmen, die bereits Azure AD nutzen, änderte sich technisch zunächst nichts. Die alten Bezeichnungen wie Azure AD, AAD oder Azure Active Directory werden in vielen Systemen und Dokumentationen noch verwendet, verweisen aber auf denselben Dienst.

Abgrenzung zu verwandten Begriffen

Microsoft Entra ID wird oft mit ähnlichen Begriffen verwechselt. Zur Klarstellung:

Begriff Beschreibung Unterschied zu Entra ID
Active Directory (AD) Lokaler Verzeichnisdienst für Windows-Netzwerke Läuft on-premises, Entra ID ist cloudbasiert
Active Directory Domain Services (AD DS) Kernkomponente von AD für Domänenverwaltung Keine direkte Cloud-Integration ohne Hybrid-Setup
Microsoft Entra Produktfamilie mit mehreren Identitätslösungen Entra ID ist das Kernprodukt dieser Familie
Azure AD B2C Identitätslösung für Endkunden-Anwendungen Fokussiert auf externe Nutzer, nicht auf Mitarbeitende

Die Kernfunktionen von Entra ID

Entra ID erfüllt vier zentrale Aufgaben für Unternehmen:

Identitätsverwaltung: Sämtliche Benutzerkonten werden zentral angelegt, verwaltet und bei Bedarf deaktiviert. Das umfasst Mitarbeitende, externe Partner und Dienstkonten. Über Gruppen lassen sich Berechtigungen effizient zuweisen und verwalten.

Authentifizierung: Entra ID prüft bei jeder Anmeldung, ob der Benutzer wirklich derjenige ist, der er vorgibt zu sein. Dafür stehen verschiedene Methoden zur Verfügung: klassische Kennwörter, Multi-Faktor-Authentifizierung, biometrische Verfahren und passwortlose Anmeldung über die Microsoft Authenticator App.

Single Sign-On (SSO): Nach einer einmaligen Anmeldung können Benutzer auf alle verbundenen Anwendungen zugreifen, ohne sich erneut authentifizieren zu müssen. Entra ID unterstützt Tausende von SaaS-Anwendungen wie Salesforce, ServiceNow oder Dropbox sowie alle Microsoft 365 Dienste.

Zugriffskontrolle: Durch Conditional Access Richtlinien entscheidet Entra ID in Echtzeit, ob ein Zugriff erlaubt, verweigert oder mit zusätzlichen Sicherheitsmaßnahmen verbunden wird.

Die Lizenzmodelle von Microsoft Entra ID

Microsoft bietet Entra ID in vier Lizenzierungsstufen an. Die Wahl der richtigen Edition hängt von den Sicherheitsanforderungen und dem Funktionsumfang ab, den Ihr Unternehmen benötigt.

Entra ID Free

Die kostenlose Version ist in allen Microsoft 365 und Azure Abonnements enthalten. Sie bietet grundlegende Funktionen für die Benutzer- und Gruppenverwaltung, Single Sign-On für eine unbegrenzte Anzahl von Anwendungen und die Synchronisation mit dem lokalen Active Directory über Entra Connect. Multi-Faktor-Authentifizierung ist nur über vordefinierte Sicherheitsstandards möglich, die MFA pauschal für alle Benutzer aktivieren.

Geeignet für: Unternehmen mit grundlegenden Anforderungen, die Microsoft 365 nutzen und keine erweiterten Sicherheitsfunktionen benötigen.

Entra ID P1

Entra ID P1 erweitert die kostenlose Version um Funktionen für anspruchsvollere Umgebungen. Die wichtigsten Zusatzfunktionen sind:

Conditional Access: Zugriffsrichtlinien basierend auf Benutzer, Standort, Gerät und Anwendung. Sie können beispielsweise festlegen, dass Zugriffe von unbekannten Standorten zusätzliche Authentifizierung erfordern.

Self-Service-Kennwortzurücksetzung: Benutzer können ihre Kennwörter eigenständig zurücksetzen, ohne den Helpdesk kontaktieren zu müssen.

Microsoft Entra Application Proxy: Ermöglicht den sicheren Zugriff auf lokale Webanwendungen ohne VPN.

Dynamische Gruppen: Gruppenmitgliedschaften werden automatisch basierend auf Benutzerattributen zugewiesen.

Kosten: Etwa 5,60 Euro pro Benutzer und Monat. P1 ist außerdem in Microsoft 365 E3 und Microsoft 365 Business Premium enthalten.

Entra ID P2

P2 richtet sich an Unternehmen mit erhöhten Sicherheits- und Compliance-Anforderungen. Zusätzlich zu allen P1-Funktionen bietet P2:

Identity Protection: Maschinelles Lernen erkennt riskante Anmeldeversuche und kompromittierte Konten automatisch. Sie können Richtlinien definieren, die bei verdächtigem Verhalten automatisch eingreifen.

Privileged Identity Management (PIM): Zeitlich begrenzte und genehmigungspflichtige Administratorrechte. Administratoren erhalten ihre erhöhten Berechtigungen nur bei Bedarf und für einen definierten Zeitraum.

Access Reviews: Regelmäßige Überprüfung von Berechtigungen, um sicherzustellen, dass nur berechtigte Benutzer Zugriff haben.

Kosten: Etwa 8,40 Euro pro Benutzer und Monat. P2 ist in Microsoft 365 E5 enthalten.

Microsoft Entra Suite

Die Microsoft Entra Suite bündelt mehrere Produkte für umfassende Identitäts- und Netzwerksicherheit. Sie enthält neben Entra ID P2:

  • Entra Private Access: Zero Trust Netzwerkzugriff für lokale Anwendungen
  • Entra Internet Access: Sicherer Internetzugang mit Identitätskontext
  • Entra ID Governance: Erweiterte Funktionen für Lifecycle-Management und Zugriffssteuerung
  • Entra Verified ID: Dezentrale digitale Identitäten
  • Entra Permissions Management: Berechtigungsverwaltung für Multi-Cloud-Umgebungen

Die Suite erfordert eine bestehende P1-Lizenz und kostet zusätzlich etwa 12 Euro pro Benutzer und Monat.

Lizenzvergleich auf einen Blick

Funktion Free P1 P2
Benutzer- und Gruppenverwaltung
Single Sign-On (unbegrenzt)
MFA über Security Defaults
Conditional Access
Self-Service-Kennwortzurücksetzung
Application Proxy
Identity Protection
Privileged Identity Management
Access Reviews
Kosten pro Nutzer/Monat 0 € ~5,60 € ~8,40 €

Hinweis: Kein Gewähr für die Aktualität und Genauigkeit der aufgeführten Preise. Die aktuellen Preise entnehmen Sie bitte der offiziellen Microsoft Dokumentation oder erfragen diese bei Ihrem Microsoft Cloud Solution Provider (CSP).

Conditional Access: Das Herzstück der Zugriffskontrolle

Conditional Access ist die Zero-Trust-Policy-Engine von Microsoft Entra ID. Sie analysiert bei jedem Zugriffsversuch in Echtzeit verschiedene Signale und trifft darauf basierend Entscheidungen. Das Prinzip lässt sich auf eine einfache Formel bringen: Wenn ein Benutzer auf eine Ressource zugreifen möchte, dann muss er bestimmte Bedingungen erfüllen.

So funktioniert Conditional Access

Bei jedem Anmeldeversuch sammelt Conditional Access Informationen aus verschiedenen Quellen:

Benutzersignale: Wer meldet sich an? Zu welchen Gruppen gehört die Person? Welche Rolle hat sie im Unternehmen?

Gerätesignale: Ist das Gerät im Unternehmen registriert? Erfüllt es die Compliance-Anforderungen von Intune? Handelt es sich um ein privates oder ein firmeneigenes Gerät?

Standortsignale: Von welcher IP-Adresse erfolgt der Zugriff? Befindet sich der Benutzer im Firmennetzwerk oder an einem unbekannten Standort?

Anwendungssignale: Auf welche Anwendung wird zugegriffen? Handelt es sich um sensible Unternehmensdaten oder eine unkritische Anwendung?

Risikosignale: Hat Identity Protection verdächtige Aktivitäten erkannt? Gibt es Hinweise auf kompromittierte Anmeldedaten?

Basierend auf diesen Signalen entscheidet Conditional Access über den Zugriff:

  • Zugriff gewähren: Der Benutzer kann sich ohne weitere Maßnahmen anmelden.
  • Zusätzliche Verifizierung fordern: Der Benutzer muss MFA durchführen, bevor er Zugriff erhält.
  • Zugriff blockieren: Die Anmeldung wird verweigert.
  • Sitzung einschränken: Der Zugriff wird gewährt, aber mit Einschränkungen wie zeitlicher Begrenzung oder eingeschränkter Funktionalität.

Praxisbeispiele für Conditional Access Richtlinien

MFA für externe Zugriffe: Mitarbeitende im Firmennetzwerk können sich normal anmelden. Zugriffe von externen Standorten erfordern zusätzlich MFA.

Gerätecompliance: Nur verwaltete Geräte mit aktuellen Sicherheitsupdates dürfen auf sensible SharePoint-Bibliotheken zugreifen.

Risikoadaptive Authentifizierung: Bei erkanntem mittlerem oder hohem Anmelderisiko wird automatisch MFA gefordert oder der Zugriff blockiert.

Administratorschutz: Alle administrativen Zugriffe auf Azure oder Microsoft 365 erfordern MFA und ein konformes Gerät.

Praktische Beispiele: Entra ID im Unternehmensalltag

Beispiel 1: Steuerberatungskanzlei mit 25 Mitarbeitenden

Eine mittelständische Steuerberatungskanzlei nutzt Microsoft 365 Business Premium, das Entra ID P1 enthält. Die Kanzlei hat Conditional Access Richtlinien konfiguriert, die MFA für alle Zugriffe auf mandantensensible Daten erfordern. Zugriffe von außerhalb Deutschlands werden komplett blockiert. Die Self-Service-Kennwortzurücksetzung hat die Helpdesk-Anfragen um etwa 40 Prozent reduziert.

Investition: In Microsoft 365 Business Premium enthalten Ergebnis: Erhöhte Sicherheit bei gleichzeitig reduziertem Administrationsaufwand

Beispiel 2: Produktionsunternehmen mit 150 Mitarbeitenden

Ein Maschinenbauunternehmen hat auf Microsoft 365 E5 umgestellt und nutzt die enthaltenen Entra ID P2 Funktionen. Identity Protection erkennt automatisch Anmeldeversuche von ungewöhnlichen Standorten und blockiert diese oder fordert zusätzliche Verifizierung. Privileged Identity Management stellt sicher, dass IT-Administratoren ihre erhöhten Rechte nur bei Bedarf aktivieren und nach Abschluss ihrer Aufgaben automatisch wieder verlieren.

Investition: Bestandteil von Microsoft 365 E5 (ca. 57 € pro Nutzer/Monat)Ergebnis: Drei blockierte Phishing-Angriffe in den ersten sechs Monaten erkannt

Beispiel 3: IT-Dienstleister mit Hybrid-Umgebung

Ein IT-Systemhaus mit 80 Mitarbeitenden betreibt eine hybride Umgebung mit lokalem Active Directory und Microsoft 365. Über Entra Connect werden Benutzerkonten automatisch synchronisiert. Der Application Proxy ermöglicht Außendienstmitarbeitenden den sicheren Zugriff auf das interne Ticketsystem, ohne dass eine VPN-Verbindung notwendig ist.

Investition: Entra ID P1 Standalone (ca. 5,60 € pro Nutzer/Monat) Ergebnis: VPN-Last um 60 Prozent reduziert, Benutzerzufriedenheit deutlich gestiegen

Beispiel 4: Gemeinnütziger Verein mit Ehrenamtlichen

Ein Verein mit 12 Hauptamtlichen und 80 Ehrenamtlichen nutzt Microsoft 365 für Nonprofit. Die kostenlose Entra ID Version reicht für die grundlegende Benutzerverwaltung aus. Über Security Defaults ist MFA für alle Konten aktiviert. Gastkonten ermöglichen Ehrenamtlichen den Zugriff auf ausgewählte SharePoint-Bereiche, ohne dass vollwertige Lizenzen erforderlich sind.

Investition: Kostenlos im Rahmen von Microsoft 365 Nonprofit Ergebnis: Sichere Zusammenarbeit zwischen Haupt- und Ehrenamtlichen

Best Practices für die Entra ID Nutzung

Die folgenden Empfehlungen haben sich in der Praxis bewährt und helfen Ihnen, Entra ID sicher und effizient einzusetzen.

  1. Multi-Faktor-Authentifizierung flächendeckend aktivieren MFA ist der effektivste Schutz gegen Kontokompromittierung. Aktivieren Sie MFA mindestens für alle Administratoren und erwägen Sie einen vollständigen Rollout für alle Benutzer. Die Microsoft Authenticator App bietet dabei die beste Balance aus Sicherheit und Benutzerfreundlichkeit.
  2. Conditional Access Richtlinien schrittweise einführen Beginnen Sie mit Richtlinien im Report-Only Modus. So sehen Sie, welche Auswirkungen eine Richtlinie hätte, ohne Benutzer tatsächlich zu blockieren. Erst nach Auswertung der Berichte sollten Sie Richtlinien scharf schalten.
  3. Notfallkonten einrichten und schützen Erstellen Sie mindestens zwei Break-Glass-Konten für Notfallszenarien. Diese Konten sollten von Conditional Access Richtlinien ausgenommen sein, starke Kennwörter besitzen und regelmäßig überwacht werden.
  4. Dynamische Gruppen für effiziente Verwaltung nutzen Statt Benutzer manuell zu Gruppen hinzuzufügen, definieren Sie Regeln basierend auf Attributen wie Abteilung oder Standort. So werden Gruppenmitgliedschaften automatisch aktualisiert.
  5. Regelmäßige Access Reviews durchführen Überprüfen Sie mindestens quartalsweise, ob alle Benutzer noch die richtigen Berechtigungen haben. P2-Lizenzen automatisieren diesen Prozess durch integrierte Access Reviews.
  6. Legacy-Authentifizierung blockieren Ältere Protokolle wie IMAP, POP3 und SMTP Basic Authentication unterstützen kein MFA und sind bevorzugte Angriffsziele. Blockieren Sie diese Protokolle über Conditional Access.
  7. Anmeldeprotokolle aktiv überwachen Entra ID protokolliert sämtliche Anmeldeaktivitäten. Richten Sie Benachrichtigungen für verdächtige Ereignisse ein und analysieren Sie regelmäßig die Protokolle.

Häufige Fehler bei der Entra ID Konfiguration vermeiden

Bei der Einrichtung und Verwaltung von Entra ID schleichen sich regelmäßig Fehler ein, die die Sicherheit gefährden oder den Betrieb stören.

  1. Zu breit gefasste Conditional Access Richtlinien Ein häufiger Fehler ist die Konfiguration von Richtlinien, die alle Benutzer und alle Anwendungen betreffen, ohne Ausnahmen für Notfallkonten. Das kann dazu führen, dass sich im Ernstfall niemand mehr anmelden kann. Definieren Sie immer Ausnahmen für Break-Glass-Konten.
  2. Risikolevel falsch verstanden In Conditional Access können Sie auf Risikolevel reagieren. Ein häufiges Missverständnis: Die Auswahl von „niedriges Risiko" deckt nicht automatisch mittleres oder hohes Risiko ab. Konfigurieren Sie separate Richtlinien für verschiedene Risikostufen.
  3. MFA-Registrierung nicht erzwungen Wenn Sie MFA aktivieren, ohne die Registrierung zu erzwingen, können Benutzer die Einrichtung hinauszögern. Richten Sie eine Conditional Access Richtlinie ein, die die MFA-Registrierung innerhalb eines definierten Zeitraums vorschreibt.
  4. Gastzugriff nicht ausreichend kontrolliert Externe Benutzer werden oft mit zu weitreichenden Berechtigungen eingeladen oder nach Projektende nicht deaktiviert. Implementieren Sie Governance-Prozesse für den Lebenszyklus von Gastkonten.
  5. Fehlende Dokumentation der Konfiguration Ohne Dokumentation ist es schwierig, Probleme zu analysieren oder Änderungen nachzuvollziehen. Dokumentieren Sie alle Conditional Access Richtlinien, deren Zweck und die verantwortlichen Ansprechpartner.
  6. Security Defaults bei P1/P2 Lizenzen aktiviert lassen Security Defaults und Conditional Access schließen sich gegenseitig aus. Wenn Sie P1 oder P2 Lizenzen haben, deaktivieren Sie Security Defaults und konfigurieren Sie stattdessen granulare Conditional Access Richtlinien.
  7. Synchronisationskonflikte in Hybrid-Umgebungen Bei der Nutzung von Entra Connect können Konflikte entstehen, wenn Benutzerattribute sowohl lokal als auch in der Cloud geändert werden. Definieren Sie klar, welches System als Quelle für welche Attribute dient.

Vorteile von Entra ID für KMU

Sicherheitsvorteile

  • Reduziertes Angriffsrisiko: MFA und Conditional Access machen es Angreifern deutlich schwerer, kompromittierte Anmeldedaten zu nutzen.
  • Automatische Bedrohungserkennung: Identity Protection erkennt verdächtige Aktivitäten ohne manuelles Eingreifen.
  • Zero Trust Implementierung: Jeder Zugriff wird geprüft, unabhängig davon, ob er aus dem Firmennetzwerk erfolgt oder von extern.

Operative Vorteile

  • Vereinfachte Benutzerverwaltung: Zentrale Verwaltung aller Identitäten über eine Oberfläche.
  • Weniger Helpdesk-Anfragen: Self-Service-Funktionen für Kennwortzurücksetzung und Kontowiederherstellung.
  • Nahtlose Integration: Entra ID ist tief in Microsoft 365, Azure und Tausende von Drittanbieter-Anwendungen integriert.

Strategische Vorteile

  • Cloud-Readiness: Entra ID ist die Grundlage für jede Microsoft Cloud-Strategie.
  • Skalierbarkeit: Der Dienst wächst mit Ihrem Unternehmen, ohne dass Infrastrukturinvestitionen notwendig sind.
  • Compliance-Unterstützung: Umfangreiche Protokollierung und Berichtsfunktionen unterstützen Compliance-Anforderungen wie DSGVO oder ISO 27001.

Häufige Fragen rund um Entra ID

Was ist der Unterschied zwischen Entra ID und Active Directory?

Active Directory (AD) ist ein lokaler Verzeichnisdienst, der in Windows Server integriert ist und Benutzer, Computer und Ressourcen innerhalb eines Unternehmensnetzwerks verwaltet. Entra ID hingegen ist ein cloudbasierter Dienst, der speziell für die Authentifizierung bei Cloud-Anwendungen und -Diensten konzipiert wurde. Beide können über Entra Connect synchronisiert werden, um hybride Umgebungen zu ermöglichen.

Ist Entra ID in Microsoft 365 enthalten?

Ja, eine grundlegende Version von Entra ID ist in allen Microsoft 365 und Azure Abonnements enthalten. Diese kostenlose Version bietet Benutzerverwaltung, Single Sign-On und grundlegende MFA-Funktionen. Erweiterte Funktionen wie Conditional Access, Identity Protection oder Privileged Identity Management erfordern die kostenpflichtigen Lizenzen P1 oder P2.

Wie lange dauert die Umstellung auf Entra ID?

Für Unternehmen, die bereits Microsoft 365 nutzen, ist Entra ID bereits aktiv. Die Optimierung durch Conditional Access Richtlinien und MFA-Rollout dauert typischerweise zwei bis vier Wochen. Bei einer Migration von einem lokalen Active Directory in eine Hybrid-Umgebung sollten Sie vier bis acht Wochen einplanen.

Brauchen kleine Unternehmen Entra ID P1 oder P2?

Für viele kleine Unternehmen reicht die kostenlose Version aus, insbesondere wenn sie Microsoft 365 Business Basic oder Standard nutzen. P1 lohnt sich, wenn Sie granulare Zugriffsrichtlinien benötigen oder Self-Service-Funktionen wünschen. P2 ist vor allem für Unternehmen mit erhöhten Sicherheitsanforderungen oder regulatorischen Vorgaben relevant.

Was passiert mit Azure AD?

Azure Active Directory wurde im Juli 2023 in Microsoft Entra ID umbenannt. Es handelt sich um denselben Dienst mit identischer Funktionalität. Die alten Bezeichnungen werden in vielen Oberflächen und Dokumentationen noch angezeigt, verweisen aber auf das gleiche Produkt.

Fazit: Entra ID als Fundament moderner IT-Sicherheit

Microsoft Entra ID ist weit mehr als ein einfacher Verzeichnisdienst. Es ist das zentrale Element für Identitäts- und Zugriffsverwaltung in der Microsoft Cloud und bildet die Grundlage für eine Zero-Trust-Sicherheitsstrategie. Für kleine und mittlere Unternehmen bietet Entra ID die Möglichkeit, Enterprise-Sicherheitsfunktionen zu nutzen, ohne eigene Infrastruktur betreiben zu müssen.

Die kostenlose Version deckt bereits grundlegende Anforderungen ab. Mit den Premium-Editionen P1 und P2 können Unternehmen ihre Sicherheit gezielt erhöhen und Compliance-Anforderungen erfüllen. Der Schlüssel zum Erfolg liegt in einer durchdachten Konfiguration: Conditional Access Richtlinien, die schrittweise eingeführt werden, MFA für alle Benutzer und regelmäßige Überprüfung der Berechtigungen.

computech unterstützt Sie bei der Einrichtung, Optimierung und Verwaltung von Microsoft Entra ID. Als Microsoft Partner mit langjähriger Erfahrung in der Betreuung von KMU kennen wir die typischen Herausforderungen und helfen Ihnen, Entra ID optimal für Ihre Anforderungen zu konfigurieren.

Bereit für die digitale Zukunft in Ihrem Unternehmen?Dann kontaktieren Sie uns gerne für eine unverbindliche IT-Beratung!

Jetzt Beratungtermin buchen
mit Tobias Linden, Geschäftsführer
Portrait von Tobias Linden