März 14, 2024
Leadership vs. Management, wo genau liegen da die Unterschiede? Und was braucht es in beiden Bereichen, um den aktuellen Herausforderungen
Unter dem Begriff Entra fasst Microsoft alle Produkte zusammen, die sich mit Identitäts- und Zugriffsfunktionen befassen. Darin wird auch Azure Active Directory (ADD) integriert, das nun unter der Bezeichnung Microsoft Entra ID läuft.
Warum diese Produktfamilie im Hinblick auf IT Sicherheit und Pentesting interessant ist, liegt auf der Hand: Entra ID (ehem. AAD) ist weit verbreitet und damit ein idealer Angriffsvektor für Hacker, um sich unberechtigt Zugriff zu Informationen und Funktionen zu verschaffen. Darum klären wir in diesem Beitrag zunächst grundlegend die Frage „Was ist Microsoft Entra (ehem. Azure)?“ und werden in weiterführenden Artikeln potenzielle Angriffe und Schutzmöglichkeiten besprechen.
Hier geht es direkt zu den anderen Beiträgen unserer Entra-Serie:
(Letztes Update: 24.01.2024)
Microsoft Entra umfasst neben Entra ID (ehem. AAD), welches die bekannteste Komponente ist, viele weitere Dienste zur Erstellung ganzer Infrastrukturen auf Cloud-Basis.
Nutzt dein Unternehmen bereits eine Microsoft Lösung über O365/M365? Dann hast du automatisch auch Microsoft Entra ID. Hier läuft das Identity Management für diese Lösungen. Solltest du schon ein Active Directory in deiner Firma nutzen, kannst du dieses über Azure AD Connect mit deinem Identity Management in Entra verbinden. Durch Azure AD Connect werden die Zugangsdaten deiner Nutzer automatisch in die Cloud synchronisiert.
Tenant bedeutet grob übersetzt Mandant und stellt in Entra ID und O365/M365 eine Identität dar. Im On Premise Active Directory wäre es gleichzusetzten mit der Domain des Kunden, wobei Entra mehrere verknüpfte Domains zulässt. (Ein Wechsel zwischen den Domains ist möglich und ebenso die Übernahme von Richtlinien.)
Entra ID Tenants sind dedizierte, einzigartige und voneinander abgetrennte Instanzen innerhalb von Entra ID. Der Tenant wird automatisch erstellt, sobald man einen der Microsoft Cloud-Dienste abonniert, wie zum Beispiel M365. Ein Entra ID Tenant spiegelt eine einzelne Person oder Organisation wider und lässt sich am ehesten mit dem klassischen On Premise Active Directory vergleichen.
O365/M365 ist ein eigenständiges Produkt von Microsoftanwendungen. Die bekanntesten Anwendungen sind Outlook, Teams, Word und Excel. Zusätzlich erhält man Zugriff auf Entra ID (ehem. Azure AD), welche als grundlegende IAM-Plattform Authentisierung, Authentifizierung und Autorisierung übernimmt und Administratoren die Verwaltung ermöglicht.
Aufgrund der Benutzersteuerung, welche hier geboten wird, kann einfach ein Bezug zu Entra erfolgen. Bei Anlage der Entra ID werden Gruppen und User automatisch aus dem M365 übernommen inkl. Lizenzstatus und User Informationen.
Informationen aus Entra ID werden ebenso in das O365/M365 übergeben, sodass die Daten in beiden Bereichen synchron sind. Darüber hinaus kann durch diese Kombination die Multifaktorauthentifizierung sehr sauber in ein Unternehmen integriert werden.
Entra ID (ehem. Azure AD oder AAD) ist der Cloud-basierte Identitäts- und Zugangsverwaltungsdienst (Identity and Access Management, kurz IAM) unter Entra. Hierdurch greift man auf die in Azure bereitgestellten virtuellen Maschinen, das Entra-Portal, seine SaaS-Anwendungen wie zum Beispiel Microsoft 365 (aka O365), aber auch auf interne Ressourcen in der OnPrem-Umgebung zu. Microsoft selbst bezeichnet Entra ID als Identity as a Service – Lösung (IDaaS) für Applikationen und Dienste in der Cloud sowie für OnPrem-Lösungen.
Das klassische Active Directory ist lokal bei dir im Unternehmen und erfordert regelmäßige Wartung und Aktualisierung.
Bei der Microsoft Cloud Variante sind zum einen das Update und die Upgrade-Möglichkeit viel tiefer verwurzelt, wodurch du diese schneller ausführen kannst. Zum anderen werden Handlungsempfehlungen über das interne Monitoring sowie weitere Security Dienste wie Intune angeraten.
Was die beiden Lösungen aber unterscheidet, sind die Protokolle. Während man beim Active Directory viel mit LDAP, SMB und RPC arbeitet, setzt Entra ID aufgrund seiner webbasierten Herkunft auf andere Protokolle.
| Active Directory | Entra ID |
| LDAP | REST API‘s |
| NTLM/Kerberos | OAuth/SAML/OpenID |
Der nächste große Unterschied zwischen den beiden Lösungen ist die Organisation von Objekten. Während man beim Active Directory seine Objekte strukturiert in OU’s (Organizational Units) anordnen konnte, ist die Struktur in Entra ID sehr flach. Hier werden Berechtigungen über vordefinierte Rollen vergeben. Laut Microsoft Docs existieren zum Zeitpunkt des Beitrags 83 Rollen. Hier bedarf es einiger Recherche, um nicht „aus Versehen“ eine Rolle zuzuweisen, die zu viele Berechtigungen mitbringt.
Wir sehen bei Kunden immer noch Entra ID (Azure AD) Umgebungen, die über Microsoft Default Einstellungen verfügen, die Angriffspotentiale bieten. Viele unserer Kunden kennen diese Einstellungsmöglichkeiten im Active Directory noch nicht.
Im Active Directory ändern sich grundlegende Dinge nur, wenn man ein neues Domänenfunktionslevel einführt, über eine neue Windows Version nutzt. Entra ID (Azure AD) ist im Vergleich dazu noch sehr „neu“ und Neuerungen können fast täglich stattfinden. Somit können Einstellungen, die du gestern gesetzt hast, schon am nächsten Tag nicht mehr existieren oder anders funktionieren. Um zu verstehen, wie das Konstrukt Entra ID funktioniert, bedarf es einiger Recherche in den Microsoft Docs, die in gewissen Fällen aber auch nicht immer die ganze Wahrheit offenbaren.
Über Entra Subscriptions, also ein Abonnement, kann man mehrere Dinge abbilden. Von Virtuellen Maschinen, Virtuellen Netzen zu Datenbanken etc. ist hier alles möglich.
Es ist hier euch möglich, die in der Cloud gehosteten Server in die Infrastruktur On Prem einzubinden, sodass es aussieht, als befände sich der Server im selben Netz wie die anderen On Prem Geräte.
Über Entra Subscriptions, also ein Abonnement, kann man mehrere Dinge abbilden. Von Virtuellen Maschinen, Virtuellen Netzen zu Datenbanken etc. ist hier alles möglich.
Es ist hier euch möglich, die in der Cloud gehosteten Server in die Infrastruktur On Prem einzubinden, sodass es aussieht, als befände sich der Server im selben Netz wie die anderen On Prem Geräte.
Leadership vs. Management, wo genau liegen da die Unterschiede? Und was braucht es in beiden Bereichen, um den aktuellen Herausforderungen
Sollten Standard-Nutzer in deinem Tenant eine Azure App Registration durchführen dürfen? Die Antwort ist ganz klar “Nein” und dieser Artikel
Die schlechte Nachricht vorweg: In Deutschland gibt es keine zentrale landesweite Notrufnummer für gehackte Unternehmen oder Behörden. Darum ist es
