Microsoft Entra Private Access: ZTNA als VPN-Ersatz für kleine Unternehmen in Berlin
Traditionelle VPNs wurden fuer eine Aera entwickelt, in der alle Ressourcen hinter einem korporativen Perimeter lagen und alle Nutzer im Buero sassen. Diese Aera ist vorbei. Berliner Kleinunternehmen haben heute Mitarbeiter im Homeoffice, in Coworking-Spaces und bei Kunden – und greifen über einen einzigen VPN-Tunnel auf Cloud-Anwendungen, Azure-Ressourcen und lokale Systeme zu. Wird dieser Tunnel kompromittiert, erhält der Angreifer Zugang zum gesamten Netzwerk. Microsoft Entra Private Access ersetzt dieses Modell durch Zero Trust Network Access (ZTNA): anwendungsbezogene Zugriffsrichtlinien, die auf der Identitätsebene durchgesetzt werden, ohne implizites Netzwerkvertrauen für verbundene Geräte.
Dieser Leitfaden erklärt, wie Entra Private Access funktioniert, wie es sich von einem traditionellen VPN unterscheidet, wie es mit Conditional Access und Geräte-Compliance integriert und wie es Berliner Unternehmen ohne Austausch der bestehenden Infrastruktur einsetzen können.
Was ist Entra Private Access?
Microsoft Entra Private Access ist die ZTNA-Komponente von Microsoft Entra Global Secure Access – Microsofts Security Service Edge (SSE)-Plattform. Während ein VPN einen Netzwerktunnel vom Gerät zum Unternehmensnetz aufbaut, erstellt Entra Private Access einen Proxy auf Anwendungsebene: Der Benutzer authentifiziert sich über Entra ID und erhält Zugang zu einer bestimmten Anwendung oder einem Dienst – nicht zum gesamten Netzwerk.
Die Architektur besteht aus drei Komponenten:
- Global Secure Access Client: ein leichtgewichtiger Agent, der auf verwalteten Windows-, macOS-, iOS- und Android-Geräten installiert wird. Er leitet Datenverkehr, der für private Ressourcen bestimmt ist, über den Global Secure Access-Dienst um
- Private Network Connector: ein Connectordienst, der auf einem Windows Server (lokal oder in Azure) installiert wird, der Sichtverbindung zu den veröffentlichten privaten Ressourcen hat. Ähnlich wie Microsoft Entra Application Proxy-Connectoren sind diese nur ausgehend – keine eingehenden Firewallregeln erforderlich
- Entra Private Access-Dienst: Microsofts Cloud-Dienst, der Verbindungen zwischen Client und Connector vermittelt und dabei Conditional Access-Richtlinien bei jeder Zugriffsanfrage durchsetzt
Unterschied zum VPN
| Dimension | Traditionelles VPN | Entra Private Access (ZTNA) |
|---|---|---|
| Zugriffsumfang | Vollständiger Netzwerkzugang nach Authentifizierung | Nur anwendungsbezogener Zugang |
| Implizites Vertrauen | Jedes Gerät im Tunnel kann jede Ressource erreichen | Kein implizites Vertrauen; jede Anfrage wird gegen CA-Richtlinie geprüft |
| Geräte-Compliance | Wird nach Verbindungsaufbau typischerweise nicht erzwungen | Intune-Compliance wird bei jeder Zugriffsanfrage geprüft |
| Benutzeridentität | Benutzername/Kennwort beim Tunnelaufbau | Entra ID MFA + Conditional Access bei jeder Sitzung |
| Seitwegsbewegung | Kompromittiertes Gerät hat vollständigen Netzwerkzugang | Kompromittiertes Gerät kann nur explizit gewährte Apps erreichen |
| Infrastruktur | VPN-Konzentratoren, Firewallregeln, Split-Tunneling-Konfiguration | Connector-Software auf vorhandenem Server; keine Perimeteränderungen |
| Überwachung | Netzwerkdatenverkehrsprotokolle, gerätebezogen | Benutzer- und anwendungsbezogenes Entra-Anmeldeprotokoll mit vollem CA-Kontext |
Die Zeile zur Seitwegsbewegung ist der entscheidende operative Unterschied für Kleinunternehmen. Ein einziger via Phishing kompromittierter Benutzer mit VPN-Zugang kann sich zu jedem Server, jeder Dateifreigabe oder Datenbank im Netzwerk vorarbeiten. Derselbe kompromittierte Benutzer mit Entra Private Access kann nur die spezifischen Anwendungen erreichen, die seine Richtlinien erlauben – der Wirkungsradius einer Kompromittierung wird bereits auf der Richtlinienebene begrenzt, bevor eine Seitwegsbewegung möglich ist.
Quick Access vs. Anwendungssegmente
Entra Private Access bietet zwei Zugriffsmodi:
Quick Access ist der Migrationsmodus. Sie definieren die IP-Subnetze und FQDN-Muster, die Ihr privates Netzwerk repräsentieren, und der Global Secure Access Client leitet den gesamten Datenverkehr, der diesen Mustern entspricht, über den Entra Private Access-Broker um. Dies repliziert das VPN-Verhalten, fügt aber Entra ID-Authentifizierung und Conditional Access-Durchsetzung hinzu. Quick Access ist der schnellste Weg zur Bereitstellung von Entra Private Access – er funktioniert mit bestehender Netzwerksegmentierung ohne anwendungsbezogene Konfiguration.
Anwendungssegmente sind der ZTNA-Zielzustand. Jede private Anwendung (ein RDP-Host, eine interne Webanwendung, eine SMB-Dateifreigabe, ein spezifischer SQL Server) wird als Global Secure Access-Anwendung mit eigener Conditional Access-Richtlinie definiert. Verschiedene Anwendungen können unterschiedliche Zugriffsanforderungen haben: Das HR-System erfordert möglicherweise ein Intune-kompatibles Gerät plus Phishing-resistente MFA, während ein internes Wiki nur Standard-MFA benötigt. Benutzer befinden sich nie in einem “Netzwerk” – sie haben Zugang zu benannten Anwendungen mit explizit definierten Richtlinien.
Conditional Access-Integration
Jede Verbindung über Entra Private Access wird durch eine Conditional Access-Richtlinie gesteuert. Dieselbe CA-Engine, die den Zugang zu Microsoft 365, dem Azure-Portal und SAML-Anwendungen von Drittanbietern steuert, kontrolliert auch den Zugang zu lokalem RDP, internen Webanwendungen und Dateiserver-Freigaben. Dies ist der architektonische Vorteil gegenüber VPN: Die Zugriffsrichtlinie ist in einem einzigen Bereich im Entra ID Conditional Access-Blatt sichtbar – keine Kombination aus VPN-ACLs, Firewallregeln und AD-Gruppenmitgliedschaften.
Nützliche Conditional Access-Richtlinien für Entra Private Access:
- Intune-kompatibles Gerät für alle privaten Anwendungszugriffe erforderlich (blockiert BYOD-Geräte vom Zugriff auf Unternehmensressourcen)
- Phishing-resistente MFA (FIDO2 oder Windows Hello for Business) für privilegierte Verwaltungsanwendungen wie Domain Controller RDP
- Zugang von außerhalb Deutschlands für Anwendungen blockieren, die DSGVO-geschützte personenbezogene Daten verarbeiten
- Erneute Authentifizierung alle 4 Stunden für hochwertige Anwendungen erforderlich (verhindert Sitzungspersistenz nach Gerätekompromittierung)
Bereitstellung des Private Network Connectors
Der Private Network Connector ist ein leichtgewichtiger Windows-Dienst, der als ausgehende Brücke von Ihrem Netzwerk zum Global Secure Access-Dienst fungiert. Wesentliche Bereitstellungsmerkmale:
- Nur ausgehend: Connectoren initiieren ausgehende HTTPS-Verbindungen zum Global Secure Access-Dienst von Microsoft. Keine eingehenden Firewallregeln erforderlich, und der Connector exponiert keinen Port ins Internet
- Hochverfügbarkeit: Stellen Sie zwei oder mehr Connectoren pro Connectorgruppe bereit; der Dienst verteilt die Last auf verfügbare Connectoren. Fällt einer aus, übernehmen die verbleibenden automatisch
- Platzierung: Installieren auf einem Windows Server mit Netzwerkzugang zu den zu veröffentlichenden Ressourcen. Für Azure-gehostete Ressourcen ist ein Connector im gleichen VNet optimal; für lokale Ressourcen wird ein Connector im gleichen Rechenzentrum oder LAN-Segment bevorzugt
- Connector-Datenverkehr: Jeder Connector leitet nur den Datenverkehr autorisierter Benutzersitzungen weiter – standardmäßig kein Datenverkehr. Nur Sitzungen, die einer veröffentlichten Anwendung oder Quick Access-Konfiguration entsprechen, werden weitergeleitet
Entra Internet Access: Der Partnerdienst
Entra Private Access (ZTNA für private Ressourcen) ist mit Entra Internet Access (Secure Web Gateway für Internetdatenverkehr) auf der Global Secure Access-Plattform gepaart. Zusammen bieten sie ein vollständiges Security Service Edge: privater Ressourcenzugang über ZTNA, Internetzugang über ein SWG mit Webinhaltsfilterung, TLS-Inspektion und Microsoft 365-Datenverkehrsoptimierung.
Für Berliner Unternehmen, die derzeit einen Proxy oder eine Firewall für Webfilterung verwenden, kann Entra Internet Access diese Infrastruktur für verwaltete Geräte ersetzen – mit mandantenbezogener Webkategoriefilterung, Blockierung bösartiger URLs und detaillierten benutzerbezogenen Datenverkehrsprotokollen im Entra Admin Center.
DSGVO-Erwägungen
Entra Private Access-Anmeldeprotokolle – die Benutzeridentität, Gerät, IP-Adresse, aufgerufene Anwendung und CA-Richtlinienergebnis umfassen – werden in Entra ID-Auditprotokollen mit EU-Datenspeicherort gespeichert, wenn der Entra ID-Datenspeicherort des Mandanten auf Deutschland gesetzt ist. Diese Protokolle enthalten personenbezogene Daten (Benutzeridentität und IP-Adresse) und sind gemäß DSGVO Artikel 5 Datensparsamkeit entsprechend zu behandeln: Konfigurieren Sie Aufbewahrungsrichtlinien so, dass nur so lange wie betrieblich notwendig aufbewahrt wird – typischerweise 90–180 Tage für Sicherheitsüberwachungszwecke.
Einrichtungsschritte für Berliner Kleinunternehmen
- Entra Admin Center → Global Secure Access → Erste Schritte → Global Secure Access aktivieren (erfordert Entra ID P1 oder höher)
- Ersten Private Network Connector installieren: Global Secure Access → Verbinden → Connectoren → Connector herunterladen → auf einem Windows Server mit Netzwerkzugang zu Ihren privaten Ressourcen installieren
- Quick Access konfigurieren: Global Secure Access → Anwendungen → Quick Access → IP-Subnetze und FQDNs Ihres privaten Netzwerks hinzufügen
- Conditional Access-Richtlinie erstellen: Entra Admin Center → CA → Neue Richtlinie → Allen Benutzern zuweisen → Zielressource: Global Secure Access (gesamter privater Zugriffsdatenverkehr) → Gewähren: MFA + kompatibles Gerät erforderlich
- Global Secure Access Client über Intune auf verwalteten Geräten bereitstellen: Apps → Windows-Apps → MSI hinzufügen → auf allen Geräten oder einer Pilotgruppe bereitstellen
- Konnektivität verifizieren: Von einem verwalteten Gerät auf eine private Ressource zugreifen und bestätigen, dass die Verbindung über den Global Secure Access-Dienst geleitet wird (sichtbar im Infobereich-Client)
- Schrittweise von Quick Access zu Anwendungssegmenten migrieren: individuelle Anwendungsdefinitionen mit maßgeschneiderten CA-Richtlinien für jede Ressource erstellen
Entra Private Access ist die Netzwerkzugriffs-Durchsetzungsebene in einer Zero-Trust-Architektur, die implizites Vertrauen von der Netzwerkebene entfernt und durch explizite, identitätsgesteuerte, anwendungsbezogene Richtlinien ersetzt. Für Unternehmen, die bereits Conditional Access für Cloud-Anwendungen nutzen, schafft die Erweiterung dieser Richtlinien auf lokale Ressourcen über Entra Private Access eine konsistente Zugriffskontrollposition über das gesamte Anwendungsportfolio.
Weiterfuehrende Artikel
- Zero Trust: Entra Private Access als ZTNA-Netzwerkzugangsschicht im Zero-Trust-Sicherheitsmodell
- Conditional Access: Dieselbe CA-Engine, die Microsoft 365 schützt, auf private On-Premises-Anwendungen via ZTNA ausweiten
- Microsoft Sentinel: Entra Private Access-Anmeldeprotokolle über den Entra ID-Konnektor für einheitliche Zugriffsprotokollierung aufnehmen