Microsoft Entra Internet Access (Global Secure Access) für kleine Unternehmen Berlin

Kleine Unternehmen in Berlin sind zunehmend auf Cloud-Dienste, SaaS-Anwendungen und Remote-Arbeit angewiesen. Traditionelle Netzwerksicherheit — eine Perimeter-Firewall, ein VPN-Konzentrator und ein lokaler Proxy — wurde für eine Welt entwickelt, in der Benutzer in einem Büro arbeiteten und Daten auf lokalen Servern lagen. Microsoft Entra Internet Access erweitert Ihre Conditional-Access-Richtlinien auf den Internet-gebundenen Datenverkehr von jedem Gerät, überall, ohne VPN oder Hardware-Appliance.

Was Global Secure Access ist

Global Secure Access ist Microsofts Security Service Edge (SSE)-Angebot, das in Entra ID integriert ist. Es besteht aus zwei Komponenten: Entra Internet Access, das den gesamten Internet-gebundenen Datenverkehr von verwalteten Geräten absichert, und Entra Private Access, das VPN für den Zugriff auf lokale Ressourcen ersetzt. Zusammen liefern sie eine Cloud-native SASE-Architektur (Secure Access Service Edge), die vollständig über Microsofts globales Edge-Netzwerk betrieben wird — keine Rechenzentrumsadapter-Hardware erforderlich.

Entra Internet Access funktioniert über einen leichtgewichtigen Client, der auf Windows-, macOS-, Android- und iOS-Geräten installiert wird, die von Intune verwaltet werden. Der Client tunnelt den Internet-gebundenen Datenverkehr durch Microsofts Edge-Netzwerk, wo er inspiziert, gefiltert und Ihren Conditional-Access-Richtlinien unterzogen wird, bevor er an sein Ziel weitergeleitet wird. Der wesentliche Unterschied zu einem traditionellen Proxy besteht darin, dass die Filterentscheidungen identitätsbewusst sind — Richtlinien gelten basierend darauf, wer der Benutzer ist und auf welchem Gerät er sich befindet, nicht nur auf Basis der Quell-IP-Adresse.

Webinhaltsfilterung

Die Webinhaltsfilterung ermöglicht es Ihnen, den Zugriff auf bestimmte Kategorien von Websites in Ihrer gesamten Organisation zu blockieren. Kategorien umfassen bösartige Domänen, Phishing-Sites, Command-and-Control-Infrastruktur, Glücksspiel, Inhalte für Erwachsene und Peer-to-Peer-Dateitausch. Sie können Basis-Filterrichtlinien konfigurieren, die für alle Benutzer gelten, sowie Override-Richtlinien für bestimmte Benutzergruppen — zum Beispiel, um dem Sicherheitsteam Zugriff auf Threat-Intelligence-Sites zu gewähren, die für allgemeine Mitarbeiter blockiert sind.

Im Gegensatz zur DNS-basierten Filterung gilt die Entra Internet Access-Filterung für HTTPS-Datenverkehr und wertet den vollständigen URL-Pfad aus, nicht nur die Domäne. Das bedeutet, dass Sie spezifische Pfade auf einer ansonsten erlaubten Domäne blockieren können — z.B. Datei-Upload-Pfade auf Cloud-Storage-Diensten blockieren, während Lesezugriff erlaubt bleibt. Alle Filterentscheidungen werden im Microsoft Entra Admin Center mit vollständigem Benutzer- und Gerätekontext protokolliert, was einen Prüfpfad für Compliance-Zwecke liefert.

Conditional Access für Internet-Datenverkehr

Die leistungsstärkste Fähigkeit von Entra Internet Access ist die Möglichkeit, Conditional-Access-Richtlinien auf Internet-gebundenen Datenverkehr anzuwenden. Das bedeutet, dass Sie verlangen können, dass Benutzer, die auf bestimmte Site-Kategorien zugreifen — Finanzdienstleistungen, Cloud-Storage, Code-Repositories — auf einem konformen Gerät sein und MFA in der letzten Stunde abgeschlossen haben müssen. Schlägt die Conditional-Access-Bewertung fehl, wird der Datenverkehr am Edge blockiert, bevor er das Ziel erreicht.

Dieses Modell erweitert das Zero-Trust-Prinzip — explizit verifizieren, geringstmögliche Privilegien verwenden, Verletzung annehmen — über Microsoft 365 hinaus auf das gesamte Internet. Ein Benutzer auf einem persönlichen, nicht verwalteten Gerät kann Richtlinien nicht umgehen, indem er einen Browser außerhalb von Microsoft 365-Anwendungen verwendet. Internet-gebundener Datenverkehr von diesem Gerät wird auf der Netzwerkschicht blockiert oder eingeschränkt, nicht nur auf der Anwendungsschicht.

Universal Tenant Restrictions

Tenant Restrictions v2, erzwungen über Entra Internet Access, verhindert, dass Benutzer sich von unternehmenseigenen Geräten in persönliche oder nicht autorisierte Microsoft-Konten (Consumer Office 365, Mandanten von Wettbewerbern) anmelden. Dies adressiert direkt einen der häufigsten Datenexfiltrationsvektoren: Ein Benutzer, der Dateien in sein persönliches OneDrive kopiert oder sich auf einem Unternehmensnotebook in den Microsoft 365-Mandanten eines Wettbewerbers anmeldet.

Mit aktivierten Universal Tenant Restrictions läuft jede Microsoft 365-Authentifizierungsanfrage von einem verwalteten Gerät über Ihren Global Secure Access-Mandanten, wo Entra ID einen benutzerdefinierten Header einfügt, der die Anmeldung auf Ihren Unternehmensmandanten beschränkt. Benutzern wird eine Fehlermeldung angezeigt, wenn sie versuchen, sich bei einem anderen Microsoft 365-Mandanten zu authentifizieren — auch wenn sie ein Inkognito-Browserfenster verwenden oder den Browser-Cache leeren.

Bereitstellung mit Intune

Der Global Secure Access-Client wird über Intune als verwaltete Anwendung bereitgestellt, mit Konfigurationsprofilen, die die spezifischen Datenverkehrs-Weiterleitungsprofile aktivieren, die Sie möchten — Internet-Zugriff, Microsoft 365-Datenverkehrsoptimierung oder privater Zugriff. Die Bereitstellung dauert 15-20 Minuten pro Gerät und erfordert nach der ersten Anmeldung keine Benutzerinteraktion. Der Client verbindet sich nach Netzwerkänderungen, Geräte-Sleep oder Neustarts automatisch wieder, ohne VPN-Verbindungsdialoge, die Benutzer verwalten müssen.

Für Berliner KMU mit 20-150 Mitarbeitern, die von mehreren Standorten, Heimbüros und Kundensites aus arbeiten, ersetzt Entra Internet Access drei separate lokale Systeme: den VPN-Konzentrator, den Web-Proxy und die DNS-Filterungs-Appliance. Die monatlichen Kosten sind in der Microsoft Entra ID P1-Lizenz enthalten, die die meisten Microsoft 365 Business Premium-Kunden bereits besitzen. Der Betriebsaufwand ist minimal — keine Hardware zum Racken, Patchen oder Ersetzen, keine Proxy-PAC-Dateien zu pflegen, keine VPN-Profilaktualisierungen auszurollen.