Microsoft Entra Permissions Management ist eine Multicloud-Identitäts- und Zugriffsverwaltungssuite, die es ermöglicht, Identitäten und deren Zugriffe zu verwalten. Die Lösung unterstützt Azure, Google Cloud und AWS.
Microsoft Entra Permissions Management überwacht und steuert Berechtigungen in Cloud-Infrastrukturen und erkennt dort automatisch überflüssige und exzessive Berechtigungen.
(Bild: Rawf8 - stock.adobe.com)
Microsoft Entra Permissions Management erlaubt die Ausgabe universell verifizierbarer IDs, die Durchsetzung des Prinzips der minimalen Rechtevergabe und die regelmäßige Durchführung von Audits. Interessant dabei ist Anbindung verschiedener Cloud-Lösungen. Neben Azure und Microsoft 365 lassen sich mit Entra Permissions Management auch GCP und AWS schützen.
Entra Permissions Management überwacht und steuert Berechtigungen
Permissions Management hat seinen Schwerpunkt in der Verwaltung von Berechtigungen in Cloud-Infrastrukturen. Speziell in diesem Bereich ist die Lösung besonders wichtig, da sie automatisch überflüssige und exzessive Berechtigungen erkennt, diese anpasst und kontinuierlich überwacht. Das minimiert das Risiko durch übermäßig berechtigte Nutzer, Administratoren und Anwendungen. Der Einstieg in Permissions Management erfolgt über das Entra Admin Center, das mit entra.microsoft.com zur Verfügung steht. Nach dem Login ist das Dashboard zu sehen, das unter anderem den sogenannten Permission Creep Index (PCI) enthält. Dieser Index bewertet das Risiko basierend auf der Anzahl der Identitäten mit Zugriff auf risikoreiche Aktionen und Ressourcen.
Das Dashboard bietet eine detaillierte Übersicht der Berechtigungen und deren Nutzung an. Zum Beispiel kann ein Nutzer, der nur fünf Berechtigungen aktiv nutzt, jedoch über 13.000 Berechtigungen verfügt, als übermäßig berechtigt eingestuft werden. Diese Informationen sind im detailliert aufgelistet, wo auch spezifische Aktionen und Ressourcen, auf die der Nutzer Zugriff hat, analysiert werden können.
Rollenverwaltung und Bereinigung
Um die exzessiven Berechtigungen zu reduzieren, können Admins neue Rollen erstellen, die auf der tatsächlichen Aktivität der Nutzer basieren. Diese Rollen können spezifisch auf die in den letzten 90 Tagen durchgeführten Aktionen abgestimmt werden. Nach der Erstellung einer neuen Rolle, zum Beispiel für Security Operations Center (SOC) Analysten, können Admins die Nutzer dieser Rolle zuweisen und gleichzeitig aus übergeordneten Rollen mit zu weitreichenden Berechtigungen entfernen.
Permissions Management bietet zudem automatisierte Bereinigungsoptionen. Über die Autopilot-Funktion können Admins Regeln erstellen, die ungenutzte Berechtigungen nach einem bestimmten Zeitraum automatisch entfernen. Zusätzlich lassen sich verschiedene Arten von Alerts konfigurieren, um auf ungewöhnliche oder risikoreiche Aktionen aufmerksam zu machen. Diese Alerts können Admins basierend auf spezifischen Kriterien wie der Löschung einer virtuellen Maschine in Azure, Google Cloud oder AWS erstellen.
Neben der Überwachung der Berechtigungen bietet Permissions Management auch die Möglichkeit, statistische Anomalien zu erkennen. Zum Beispiel lassen sich Alerts konfigurieren, die das System auslöst, wenn eine ungewöhnlich hohe Anzahl an Aufgaben in einem bestimmten Zeitraum durchgeführt wird. Dies hilft, potenziell schädliches Verhalten frühzeitig zu erkennen und zu mitigieren.
Das Prinzip der minimalen Berechtigungen für Anwender umsetzen
Die Implementierung des Prinzips der minimalen Rechtevergabe mit Entra Permissions Management bietet umfassende Strategien zur Verwaltung von Berechtigungen und zur Reduzierung von Sicherheitsrisiken in der Cloud. Entra Permissions Management ist darauf ausgelegt, Berechtigungen nur so weit zu vergeben, wie es für die Erfüllung der Aufgaben erforderlich ist, um so das Risiko unautorisierter Zugriffe zu minimieren. In der ersten Phase der Implementierung liegt der Fokus auf der Definition einer klaren Struktur und Zuständigkeiten. Es werden Berechtigungen definiert und entsprechende Rollen zugewiesen, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf kritische Ressourcen haben. Hierzu gehört auch die Erstellung von Sicherheitsgruppen in Entra ID, um den Zugriff auf die notwendigen Ressourcen zu delegieren.
Die zweite Phase umfasst die eigentliche Reduzierung der Berechtigungen. Hier werden Berechtigungen überprüft und angepasst, um sicherzustellen, dass nur die minimal notwendigen Rechte vergeben werden. Ein besonderes Augenmerk liegt auf der Verwaltung inaktiver Benutzerkonten und der Anpassung der Berechtigungen für Service-Accounts und Applikationen. Dabei werden die Ergebnisse kontinuierlich überwacht und die Auswirkungen der vorgenommenen Änderungen analysiert, um sicherzustellen, dass die Sicherheitsmaßnahmen wirksam sind.
In der dritten Phase werden Überwachungs- und Alarmierungsmechanismen eingerichtet, um sicherzustellen, dass alle Änderungen und potenziellen Sicherheitsvorfälle erkannt und behandelt werden können. Dies beinhaltet die regelmäßige Erstellung von Berichten und das Setzen von Alarmschwellen für kritische Berechtigungen. So können Administratoren schnell auf Abweichungen reagieren und notwendige Maßnahmen ergreifen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Entra Permissions Management in der Praxis
Im Entra Admin Center steht Entra Permissions Management über den Menüpunkt „Berechtigungsverwaltung“ zur Verfügung. Mit „Kostenlos testen“ kann die Umgebung 45 Tage lang genutzt werden. Dazu stellt Microsoft 100 kostenlose Lizenzen für 45 Tage zur Verfügung. Danach lässt sich das Startportal aufrufen. Der Permissions Creep Index (PCI) in Entra Permissions Management stellt ein zentrales Instrument zur Überwachung und Minimierung von Berechtigungsansammlungen in IT-Systemen dar. Dieser Index analysiert die Vergabe und Nutzung von Berechtigungen innerhalb eines Unternehmens und identifiziert dabei Rollen und Nutzer, deren Rechte über den tatsächlich benötigten Umfang hinausgehen. Durch die kontinuierliche Überwachung und Bewertung der Berechtigungen wird verhindert, dass sich übermäßige Rechte ansammeln, die ein erhöhtes Sicherheitsrisiko darstellen könnten.
Ein hoher PCI weist auf eine erhebliche Diskrepanz zwischen den zugewiesenen und den genutzten Berechtigungen hin, was auf ein erhöhtes Potenzial für Missbrauch oder unbefugten Zugriff hindeutet. Durch die regelmäßige Anpassung und Optimierung der Berechtigungen, basierend auf den PCI-Analysen, können Unternehmen ihre Sicherheitsstandards verbessern und das Risiko von Datenschutzverletzungen und internen Bedrohungen erheblich reduzieren. Oben links können Administratoren zwischen den verschiedenen Cloud-Anbietern umschalten, die an Entra Permissions Management angebunden. Durch das Überfahren der Informationen zeigt Entra Permissions Management ausführlichere Informationen an. Durch einen Klick auf eine Informations-Blase zeigt die Oberfläche weiterführende Informationen an.
In der Verwaltung der Benutzer zeigt das Dashboard in Entra Permissions Management den Wert der verwendeten Rechte im Vergleich zu den erlaubten Rechten für den Benutzer an. Dadurch ist schnell ersichtlich, wenn ein Benutzer zu viele Rechte hat. Durch einen Klick auf einen Benutzer ist schnell zu sehen, welche Rollen er hat und welche Rollen er braucht. Hier ist auch zu sehen, welche Rechte ein Benutzer in der letzten Zeit verwendet hat. Dadurch ist schnell erkennbar, welche Rechte er nicht mehr braucht.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/fd/34fdef54803731e87c26c895abe5f9f0/0128873273v1.jpeg "Wenngleich Quantencomputer aktuell noch sehr teuer sind und deren allgemeine Verfügbarkeit derzeit noch Zukunftsmusik ist, wappnet sich das BSI bereits jetzt gegen die Cyberangriffe von morgen. (ec0de - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/f9/7af9bb48ac1b02e6dd9f656a3764eafa/0129089298v1.jpeg "Warum klassische MES-Systeme an Grenzen stoßen und wie Cloud-native MOM-Plattformen für mehr Flexibilität und Effizienz sorgen, zeigt der Gastbeitrag. (Bild: © panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c4/9bc4fe1cc8c3e949b56c9ecd2fcd2c66/0129143613v1.jpeg "IBM Sovereign Core soll Flexibilität, Konsistenz und Sicherheit für das Hosten und Verwalten traditioneller und KI-Anwendungen bieten. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/76/81/76812065c69a1cc1f733a5487134e748/0120152719v2.jpeg "Aufrufen von Entra Permissions Management im Entra Admin Center.(Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/da/0b/da0b847b5cce7ee00a1e0f1b4052ad77/0120152720v2.jpeg "Anzeigen des PCI für eine Umgebung, die mit Entra Permissions Management abgesichert wird.(Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/10/39/1039d0c7b7d8a1d053f5e6d5ec28d785/0120152717v2.jpeg "Anzeigen ausführlicherer Informationen zum PCI in Entra Permissions Management.(Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/a8/36/a8364325a647b3385df931515c12871f/0120152725v2.jpeg "In Entra Permissions Management lassen sich auch detaillierte Informationen zu den Nutzern anzeigen.(Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/19/fc/19fcfc047a3202edec7768f7453344cc/0125660820v1.jpeg "Erfahren Sie, wie AWS IAM zur Cloud-Sicherheit beiträgt – mit Best Practices für Zugriffskontrolle, RBAC und Schutz vor Fehlkonfigurationen. (Bild: © geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/ab/8dab258e0eb14a71b53298faffd4aaba/0128585584v2.jpeg "Windows Backup for Organizations sichert Einstellungen und Store-Apps cloudbasiert und bietet die Wiederherstellung bereits im OOBE an. Es ersetzt jedoch kein klassisches Backup. (Bild: © Miha Creative - stock.adobe.com)")