Mit Microsoft Entra Internet Access zur sicheren Cloud-Strategie
Microsoft Entra Internet Access ist einer von drei Bestandteilen der Global Secure Access Familie und gehört damit zu den Security Service Edge Lösungen. Diese moderne Sicherheitsarchitektur zielt darauf ab, den Zugriff auf Internetressourcen über das Netzwerk zu kontrollieren und gleichzeitig ein hohes Maß an Sicherheit und Compliance in modernen Cloud-Umgebungen sicherzustellen. In diesem Artikel beleuchten wir die wichtigsten Aspekte von Microsoft Entra Internet Access, zeigen den konkreten Nutzen für Unternehmen und erläutern, wie es sich von traditionellen Proxy- oder Firewall-Lösungen unterscheidet. Zudem geben wir einen Überblick über eine mögliche Einführung.
Microsoft Entra Internet Access: Vorteile für Unternehmen
Mit Microsoft Entra Internet Access erhalten Unternehmen eine standortunabhängigen, cloudnativen Sicherheitslösung, die nicht nur den Zugriff auf Internetressourcen absichert, sondern auch gleichzeitig die IT-Administration vereinfacht, Transparenz schafft und den Schutz sensibler Daten erhöht.
Das Modul nutzt den gleichen Global Secure Access Client, wie auch der Private Access, basiert jedoch auf einem anderen Traffic-Profil. Im Mittelpunkt steht der sichere, kontrollierte Zugriff vom Endgerät auf Internetinhalte – unabhängig vom Standort. Dabei gibt es zwei Möglichkeiten: Entweder lassen sich bestimmte Ressourcen nach Web-Kategorien blockieren oder es werden eigene Ziele definiert, die blockiert oder erlaubt werden.
Im Gegensatz zu klassischen Proxy- oder Firewall Lösungen, die im lokalen Rechenzentrum betrieben werden und zur Filterung entweder den angemeldeten Benutzer oder das Gerät selbst nutzen, setzt Microsoft Entra Internet Access auf Conditional Access als zentrale Steuereinheit – bekannt aus anderen Microsoft 365-Modulen. Damit lässt sich das Regelwerk benutzerbasiert aufbauen und flexibel anpassen – etwa durch Reaktion auf kompromittierte Geräte oder Benutzerkonten.
Ein entscheidender Vorteil: Das Endgerät muss sich nicht im Firmennetzwerk befinden und auch keine VPN-Verbindung aufbauen, um Internetzugriffe abzusichern. Das reduziert die Komplexität und steigert die Mobilität der Mitarbeitenden und vereinfacht die sichere Umsetzung moderner Arbeitsmodelle.
Implementierung in 3 Schritten
1. Einrichtung von Web Content Filtering Policies
- Zunächst legt man die Inhalte fest, die blockiert oder zugelassen werden. Es ist möglich, Regeln auf Basis sogenannter Web-Kategorien zu erstellen. Web-Kategorien sind vordefinierte Klassen, die Webseiten nach den Inhalten gruppieren. So ist es möglich beispielsweise Seiten der Kategorien „Waffen“ oder „illegale Software“ pauschal zu sperren, ohne eigene Kategorisierung.
- Eine weitere Möglichkeit besteht darin, gezielte Webseiten anhand des FQDNs (Fully Qualified Domain Name) zu blockieren oder zu erlauben. Mit dem Zulassen von einzelnen Webseiten lassen sich pauschale Kategorisierung umgehen.
Erstellung eines Security Profiles
Die eingerichteten Web Content Filtering Policies lassen sich zu Security Profiles zusammenfassen. Über die Gewichtung dieser Profile können unterschiedliche Benutzergruppen mit maßgeschneiderten Richtlinien erstellt werden.
Integration in Conditional Access
Über Conditional Access wird festgelegt, welches Profil für welche Benutzergruppen gilt. Dazu wird die Zielressource „Alle Internet Ressourcen mit Global Secure Access“ gewählt, und das entsprechende Profil wird in der Session Control zugewiesen.
Priorisierung von Richtlinien
Innerhalb eines Security Profiles lassen sich mehrere Richtlinien hinterlegen. Die Abarbeitungsreihenfolge wird über Prioritätsnummern gesteuert, wobei kleinere Werte (100) eine höhere Priorität besitzen und die höchste Zahl (65000) die niedrigste Priorität. Durch verschiedene Conditional Access Regeln sind auch mehrere Profile pro Benutzer möglich – die Reihenfolge entscheidet über die Anwendung. Das Baseline Profil mit der Priorität 6500 greift als „Catch-All, auch ohne Zuweisung per Conditional Access.
Monitoring für Transparenz und Fehleranalyse
Zentraler Bestandteil des Internet Access ist das Monitoring, das detaillierte Informationen über aufgerufene Webseiten von den verbundenen Global Secure Access Clients liefert, inklusive dem Erlaubnis- oder Blockierung-Status. Das Log zeigt nicht nur, welchen Web-Kategorien die aufgerufenen Seiten zugeordnet sind, sondern listet auch automatisch mitgeladene Inhalte im Hintergrund auf. So lassen sich Stolperstellen bei der Einführung erkennen und im Supportfall gezielt Anpassungen an den Filterregeln vornehmen.
Fazit
Microsoft Global Secure Access mit Entra Internet Access bietet Unternehmen eine moderne, cloudbasierte Lösung für sicheren Internetzugriff. Der kombinierte Einsatz mit Entra Private Access deckt sowohl interne als auch externe Ressourcen ab. Durch Conditional Access lässt sich eine feingranulare Zugriffskontrolle realisieren. Das zentrale Monitoring hilft dabei, Fehler zu vermeiden, Sicherheitsrisiken zu erkennen und Compliance-Anforderungen zu erfüllen. Unternehmen profitieren von einer erhöhten IT-Sicherheit, einer vereinfachten Verwaltung und der Flexibilität, auch mobile Arbeitsplätze ohne Kompromisse abzusichern.
Kostenloser Beratungstermin zu Entra Internet Access
Sie möchten Entra Internet Access testen oder benötigen Unterstützung bei der Einführung? Unsere Experten helfen gerne weiter. Buchen Sie sich jetzt einen kostenfreien Beratungstermin.
Weitere News zu diesem Thema
