Microsoft Entra ID (Azure AD) Implementierung für Schweizer Unternehmen: Conditional Access, MFA, Zero Trust und Identity Governance. CNEXT – Bern.
Microsoft Entra ID (vormals Azure Active Directory) ist die Cloud-basierte Identity- und Access-Management-Plattform von Microsoft. Als Herzstück des Zero-Trust-Sicherheitsmodells steuert Entra ID, wer auf welche Ressourcen zugreifen darf – auf Basis von Identität, Gerät, Standort und Risikosignalen. Entra ID Dienste: Single Sign-On (SSO) für alle Microsoft und Drittanbieter-Apps. Multi-Faktor-Authentifizierung (MFA) für alle Nutzer. Conditional Access für kontextbasierte Zugriffssteuerung. Privileged Identity Management (PIM) für Admin-Rechte. Identity Protection für risikobasierte Zugriffssteuerung. CNEXT Entra ID Services: Entra ID P1/P2-Implementierung. Conditional Access Policy Design. MFA-Rollout und Benutzerakzeptanz. Privileged Identity Management (PIM). Identity Governance (Zugriffsüberprüfungen). Integration mit On-Premises Active Directory (Hybrid).Microsoft Entra ID ist der neue Name für Azure Active Directory (umbenannt 2023). Es ist Microsofts Cloud-basierter Identity-Dienst: Anmeldung, Multi-Faktor-Authentifizierung, Single Sign-On, Conditional Access und Identitätsschutz für alle Microsoft 365 und tausende Drittanbieter-Apps.
Entra ID Free (in M365 enthalten): Basis-MFA, SSO. Entra ID P1 (ca. CHF 6/Nutzer/Monat): Conditional Access, Self-Service Password Reset, Hybrid-Join. Entra ID P2 (ca. CHF 9/Nutzer/Monat): Identity Protection, PIM, Zugriffsüberprüfungen. CNEXT empfiehlt P1 als Minimum für Schweizer Unternehmen mit Sicherheitsanforderungen.
Conditional Access ist eine Policy-Engine, die Zugriff auf Basis von Signalen erlaubt oder blockiert: Benutzeridentität, Gerätekonformität, Standort (Land, IP), Risikosignale und App-Typ. Beispiel: Outlook-Zugriff aus der Schweiz erlaubt, aus Hochrisikoländern blockiert, ausser mit MFA und konformem Gerät.
Eine pragmatische Conditional Access Basis-Implementierung (5–8 Policies inkl. MFA, Legacy-Auth-Block, Admin-Schutz) kostet bei CNEXT CHF 3'500–6'000. Vollständige Zero-Trust-Implementierung mit PIM, Identity Governance und Hybrid-Join: CHF 10'000–25'000 je nach Komplexität.
Microsoft Entra Connect (ehemals Azure AD Connect) synchronisiert On-Premises AD Identitäten in Entra ID (Hybrid Identity). Nutzer verwenden dieselben Anmeldeinformationen für On-Premises und Cloud-Ressourcen. CNEXT implementiert Entra Connect inkl. Password Hash Sync, Pass-through Authentication oder ADFS-Migration.
PIM stellt sicher, dass Admin-Rechte (Global Admin, SharePoint Admin etc.) nicht dauerhaft zugewiesen sind, sondern nur bei Bedarf aktiviert werden (Just-in-Time). Bei Aktivierung ist MFA und Begründung erforderlich. PIM reduziert das Risiko kompromittierter Admin-Konten massiv. CNEXT empfiehlt PIM für alle Kunden mit P2-Lizenz.
Microsoft Entra ID Protection analysiert Milliarden von Anmeldungen täglich und erkennt Anomalien: Anmeldungen aus ungewöhnlichen Ländern, Passwort-Spray-Angriffe, Credential-Stuffing. Bei erhöhtem Risiko wird automatisch MFA erzwungen oder der Zugriff blockiert. CNEXT konfiguriert Risk-based Conditional Access Policies.
Access Reviews sind automatisierte Prozesse, bei denen Manager oder Ressourcen-Eigentümer regelmässig bestätigen müssen, ob Zugriffsrechte noch benötigt werden. Nicht bestätigte Rechte werden automatisch entzogen. CNEXT implementiert Access Reviews für Gruppen, Rollen und externe Gäste.
Ja. Microsoft Entra ID läuft auf Azure in Schweizer Rechenzentren. Mit korrekter Konfiguration (Conditional Access, MFA-Enforcement, Privileged Access) erfüllt Entra ID die nDSG-Anforderungen für Authentifizierung und Zugriffssteuerung. CNEXT dokumentiert alle Entra-Konfigurationen für Compliance-Nachweise.
Entra ID mit FIDO2-Sicherheitsschlüsseln oder Microsoft Authenticator Passkeys ist Phishing-resistent – keine Passwörter mehr übertragbar. Conditional Access kann zudem Token-Binding erzwingen und Anmeldungen von unbekannten Geräten blockieren. CNEXT implementiert Phishing-resistente Authentifizierungsmethoden.