Was ist Microsoft Entra (ehem. Azure)?

Unter dem Begriff Entra fasst Microsoft alle Produkte zusammen, die sich mit Identitäts- und Zugriffsfunktionen befassen. Darin wird auch Azure Active Directory (ADD) integriert, das nun unter der Bezeichnung Microsoft Entra ID läuft.

Warum diese Produktfamilie im Hinblick auf IT Sicherheit und Pentesting interessant ist, liegt auf der Hand: Entra ID (ehem. AAD) ist weit verbreitet und damit ein idealer Angriffsvektor für Hacker, um sich unberechtigt Zugriff zu Informationen und Funktionen zu verschaffen. Darum klären wir in diesem Beitrag zunächst grundlegend die Frage „Was ist Microsoft Entra (ehem. Azure)?“ und werden in weiterführenden Artikeln potenzielle Angriffe und Schutzmöglichkeiten besprechen.

Hier geht es direkt zu den anderen Beiträgen unserer Entra-Serie:

(Letztes Update: 24.01.2024)

Inhaltsverzeichnis

Was ist Microsoft Entra (ehem. Azure AD)?

Microsoft Entra umfasst neben Entra ID (ehem. AAD), welches die bekannteste Komponente ist, viele weitere Dienste zur Erstellung ganzer Infrastrukturen auf Cloud-Basis.

Nutzt dein Unternehmen bereits eine Microsoft Lösung über O365/M365? Dann hast du automatisch auch Microsoft Entra ID. Hier läuft das Identity Management für diese Lösungen. Solltest du schon ein Active Directory in deiner Firma nutzen, kannst du dieses über Azure AD Connect mit deinem Identity Management in Entra verbinden. Durch Azure AD Connect werden die Zugangsdaten deiner Nutzer automatisch in die Cloud synchronisiert.

Was ist Microsoft Entra? Admin Center
Microsoft Entra Admin Center
Du willst Dir die Folgen eines erfolgreichen Hackerangriffs auf
Dein IT-System ersparen?
Teste jetzt deine IT durch einen professionellen Penetrationstest!
Zum Penetrationstest

Was ist ein Microsoft Entra ID (ehem. AAD) Tenant?

Tenant bedeutet grob übersetzt Mandant und stellt in Entra ID und O365/M365 eine Identität dar. Im On Premise Active Directory wäre es gleichzusetzten mit der Domain des Kunden, wobei Entra mehrere verknüpfte Domains zulässt. (Ein Wechsel zwischen den Domains ist möglich und ebenso die Übernahme von Richtlinien.)

Entra ID Tenants sind dedizierte, einzigartige und voneinander abgetrennte Instanzen innerhalb von Entra ID. Der Tenant wird automatisch erstellt, sobald man einen der Microsoft Cloud-Dienste abonniert, wie zum Beispiel M365. Ein Entra ID Tenant spiegelt eine einzelne Person oder Organisation wider und lässt sich am ehesten mit dem klassischen On Premise Active Directory vergleichen.

Wie steht O365/M365 zu Microsoft Entra ID?

O365/M365 ist ein eigenständiges Produkt von Microsoftanwendungen. Die bekanntesten Anwendungen sind Outlook, Teams, Word und Excel. Zusätzlich erhält man Zugriff auf Entra ID (ehem. Azure AD), welche als grundlegende IAM-Plattform Authentisierung, Authentifizierung und Autorisierung übernimmt und Administratoren die Verwaltung ermöglicht.

Aufgrund der Benutzersteuerung, welche hier geboten wird, kann einfach ein Bezug zu Entra erfolgen. Bei Anlage der Entra ID werden Gruppen und User automatisch aus dem M365 übernommen inkl. Lizenzstatus und User Informationen.

Informationen aus Entra ID werden ebenso in das O365/M365 übergeben, sodass die Daten in beiden Bereichen synchron sind. Darüber hinaus kann durch diese Kombination die Multifaktorauthentifizierung sehr sauber in ein Unternehmen integriert werden.

Was ist Microsoft Entra ID (ehem. AAD)?

Entra ID (ehem. Azure AD oder AAD) ist der Cloud-basierte Identitäts- und Zugangsverwaltungsdienst (Identity and Access Management, kurz IAM) unter Entra. Hierdurch greift man auf die in Azure bereitgestellten virtuellen Maschinen, das Entra-Portal, seine SaaS-Anwendungen wie zum Beispiel Microsoft 365 (aka O365), aber auch auf interne Ressourcen in der OnPrem-Umgebung zu. Microsoft selbst bezeichnet Entra ID als Identity as a Service – Lösung (IDaaS) für Applikationen und Dienste in der Cloud sowie für OnPrem-Lösungen.

Was ist Microsoft Entra? Übersicht
Microsoft Entra Admin Center – Identität anzeigen

Worin unterscheidet sich Entra ID von einem klassischen AD?

Das klassische Active Directory ist lokal bei dir im Unternehmen und erfordert regelmäßige Wartung und Aktualisierung.

Bei der Microsoft Cloud Variante sind zum einen das Update und die Upgrade-Möglichkeit viel tiefer verwurzelt, wodurch du diese schneller ausführen kannst. Zum anderen werden Handlungsempfehlungen über das interne Monitoring sowie weitere Security Dienste wie Intune angeraten.

Was die beiden Lösungen aber unterscheidet, sind die Protokolle. Während man beim Active Directory viel mit LDAP, SMB und RPC arbeitet, setzt Entra ID aufgrund seiner webbasierten Herkunft auf andere Protokolle.

Active DirectoryEntra ID
LDAPREST API‘s
NTLM/KerberosOAuth/SAML/OpenID

Der nächste große Unterschied zwischen den beiden Lösungen ist die Organisation von Objekten. Während man beim Active Directory seine Objekte strukturiert in OU’s (Organizational Units) anordnen konnte, ist die Struktur in Entra ID sehr flach. Hier werden Berechtigungen über vordefinierte Rollen vergeben. Laut Microsoft Docs existieren zum Zeitpunkt des Beitrags 83 Rollen. Hier bedarf es einiger Recherche, um nicht „aus Versehen“ eine Rolle zuzuweisen, die zu viele Berechtigungen mitbringt.

Benutzer-Liste im Entra Admin Center – per Default können normale Nutzer die Liste aller Nutzer einsehen.
Microsoft Entra Admin Center – mit Default-Einstellungen kann sich jeder alle Benutzer anzeigen lassen.

Wir sehen bei Kunden immer noch Entra ID (Azure AD) Umgebungen, die über Microsoft Default Einstellungen verfügen, die Angriffspotentiale bieten. Viele unserer Kunden kennen diese Einstellungsmöglichkeiten im Active Directory noch nicht.

Im Active Directory ändern sich grundlegende Dinge nur, wenn man ein neues Domänenfunktionslevel einführt, über eine neue Windows Version nutzt. Entra ID (Azure AD) ist im Vergleich dazu noch sehr „neu“ und Neuerungen können fast täglich stattfinden. Somit können Einstellungen, die du gestern gesetzt hast, schon am nächsten Tag nicht mehr existieren oder anders funktionieren. Um zu verstehen, wie das Konstrukt Entra ID funktioniert, bedarf es einiger Recherche in den Microsoft Docs, die in gewissen Fällen aber auch nicht immer die ganze Wahrheit offenbaren.

Sind die Berechtigungen in deinem Netzwerk sinnvoll verteilt?
Mach den Praxischeck mit einem realistischen Pentest!
Jetzt kontaktieren

Was gibt es noch neben Entra ID und M365/O365 SaaS?

Über Entra Subscriptions, also ein Abonnement, kann man mehrere Dinge abbilden. Von Virtuellen Maschinen, Virtuellen Netzen zu Datenbanken etc. ist hier alles möglich.

Es ist hier euch möglich, die in der Cloud gehosteten Server in die Infrastruktur On Prem einzubinden, sodass es aussieht, als befände sich der Server im selben Netz wie die anderen On Prem Geräte.

Fazit

Über Entra Subscriptions, also ein Abonnement, kann man mehrere Dinge abbilden. Von Virtuellen Maschinen, Virtuellen Netzen zu Datenbanken etc. ist hier alles möglich.

Es ist hier euch möglich, die in der Cloud gehosteten Server in die Infrastruktur On Prem einzubinden, sodass es aussieht, als befände sich der Server im selben Netz wie die anderen On Prem Geräte.

ANDERE BEITRÄGE

Inhaltsverzeichnis

Hast du Fragen oder Ergänzungen? Immer her damit!
Schreibe einen Kommentar und wir antworten so bald wie möglich!

Dein E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.