Microsoft Entra Verified ID für kleine Unternehmen in Berlin
Herkömmliche Identitätsverifizierung basiert auf Anmeldeinformationen — Passwörter, Token, Zertifikate — die gestohlen, gefälscht oder missbraucht werden können. Microsoft Entra Verified ID verfolgt einen grundlegend anderen Ansatz: dezentrale, kryptografisch überprüfbare Identitätsnachweise, die Nutzer selbst besitzen und kontrollieren. Für kleine Unternehmen in Berlin ermöglicht Verified ID vertrauenswürdige digitale Interaktionen mit Mitarbeitern, Partnern und Kunden — ohne sensible Identitätsdaten zentral zu speichern.
Basierend auf dem W3C Verifiable Credentials-Standard und Microsofts dezentraler Identitätsinfrastruktur ist Entra Verified ID die Enterprise-Implementierung eines Konzepts, das die Art und Weise, wie digitale Identität etabliert wird, grundlegend verändern wird — von Mitarbeiter-Hintergrundprüfungen bis zum Kunden-Onboarding.
Was ist Entra Verified ID?
Entra Verified ID ist ein dezentraler Identitätsdienst, der auf offenen Standards basiert (W3C Verifiable Credentials, DID — Decentralized Identifiers). Statt einer zentralen Identitätsbehörde, die alle Verifizierungsdaten hält, funktioniert das System nach folgendem Prinzip:
- Aussteller (Issuer): Eine Organisation (z. B. Ihre Personalabteilung, eine Universität, eine Behörde) stellt einem Nutzer einen digital signierten Nachweis aus.
- Inhaber (Holder): Der Nutzer speichert den Nachweis in seiner Microsoft Authenticator-Wallet.
- Prüfer (Verifier): Eine andere Organisation fordert den Nachweis an — der Nutzer präsentiert ihn, und der Prüfer bestätigt seine Echtheit kryptografisch, ohne den Aussteller zu kontaktieren.
Es werden keine Daten zentral gespeichert — der Nachweis lebt in der Wallet des Nutzers. Der Prüfer sieht nur, was der Nutzer teilen möchte, und kann die Authentizität bestätigen, ohne den Aussteller zu kontaktieren. Dies ist der zentrale Datenschutzvorteil dezentraler Identität.
Wichtigste Anwendungsfälle für KMU
Mitarbeiterausweis ausstellen
Stellen Sie Ihren Mitarbeitern verifizierbare Mitarbeiterausweise aus — einen digital signierten Nachweis, dass diese Person bei Ihrer Organisation beschäftigt ist, eine bestimmte Rolle innehat oder ein Sicherheitstraining absolviert hat. Externe Partner und Lieferanten können den Mitarbeiterstatus verifizieren, ohne Ihre Personalabteilung anzurufen. Wenn ein Mitarbeiter das Unternehmen verlässt, widerrufen Sie den Nachweis — er wird sofort bei allen Prüfern ungültig.
Partner- und Lieferantenverifizierung
Beim Onboarding von Auftragnehmern oder Partnern fordern Sie einen Verified ID-Nachweis von deren Heimatorganisation an. Sie verifizieren Anstellungsstatus und Rolle, ohne sensible Personaldaten auszutauschen. Besonders wertvoll für die Lieferkettensicherheit und NIS2-Anforderungen zum Drittparteirisikomanagement.
Face Check (biometrische Identitätsverifizierung)
Microsofts Face Check-Funktion ergänzt Verified ID um biometrische Liveness-Erkennung — sie bestätigt, dass die Person, die den Nachweis präsentiert, mit dem gespeicherten Foto übereinstimmt. Dies ist das höchste Sicherheitsniveau für die Remote-Identitätsverifizierung, geeignet für die Kontowiederherstellung mit hohem Sicherheitsanspruch, die Autorisierung von Finanztransaktionen oder privilegierte Zugriffsanfragen.
Self-Service-Kontowiederherstellung
Herkömmliche Kontowidherherstellung ist ein hochriskanter Angriffsvektor — Social Engineering von Help Desks macht einen erheblichen Anteil identitätsbezogener Einbrüche aus. Verified ID mit Face Check bietet kryptografische Identitätssicherheit bei der Wiederherstellung und ersetzt die typische “Wie lautet der Mädchenname Ihrer Mutter?”-Helpdesk-Interaktion.
Technische Funktionsweise
Der technische Ablauf umfasst drei Komponenten:
- Microsoft Entra Verified ID-Dienst: Hostet die Ausstellerkonfiguration, das Widerrufsregister und die Verifizierungsendpunkte.
- Microsoft Authenticator: Die Credential-Wallet des Nutzers auf dem Mobilgerät. Speichert ausgestellte Nachweise und präsentiert sie auf Anfrage.
- Request Service API: Ihre Anwendung ruft diese API auf, um Ausstellungs- oder Verifizierungsabläufe einzuleiten und QR-Codes oder Deep Links zu generieren.
Einrichtung: Konfigurationsschritte
Schritt 1: Verified ID im Entra Admin Center aktivieren
Entra Admin Center → Verified ID → Setup. Konfigurieren Sie die DID Ihrer Organisation, richten Sie Azure Key Vault für das Schlüsselmanagement ein und konfigurieren Sie den Speicher (Azure Blob Storage für Nachweismetadaten). Der Setup-Assistent führt Sie durch jede Abhängigkeit.
Schritt 2: Nachweistyp erstellen
Definieren Sie, welche Claims Ihr Nachweis enthalten soll — z. B. Mitarbeiter-ID, Anzeigename, Berufsbezeichnung, Abteilung. Nachweise werden als JSON-Schemas definiert. Microsoft stellt vordefinierte Nachweistypen für gängige Szenarien (VerifiedEmployee, VerifiedUser) bereit, die die Bereitstellung beschleunigen.
Schritt 3: Ausstellung konfigurieren
Richten Sie den Ausstellungsablauf ein — entweder Self-Service (Mitarbeiter fordern ihren eigenen Nachweis über ein Portal an) oder automatisiert (integriert mit Ihrem HR-System oder Entra ID-Benutzerattributen). Der Request Service API-Aufruf gibt einen QR-Code zurück, den der Mitarbeiter mit dem Authenticator scannt.
Schritt 4: Verifizierungsablauf einrichten
Auf der Seite der vertrauenden Partei rufen Sie die Request Service API auf, um eine Präsentationsanforderung zu generieren. Der Nutzer scannt den QR-Code mit dem Authenticator, der zeigt, welche Claims geteilt werden, und fordert die Zustimmung an. Die verifizierte Präsentation wird an Ihre Anwendung zurückgegeben.
Verified ID und DSGVO/NIS2-Compliance
NIS2 verlangt von Organisationen das Management von Lieferkettensicherheitsrisiken — einschließlich der Identitätssicherheit für Drittpartei-Zugänge. Verified ID bietet einen dokumentierten, kryptografischen Verifizierungsmechanismus für Auftragnehmer- und Partneridentitäten, der den Anforderungen von NIS2 Artikel 21 zur Lieferkettensicherheit entspricht. Jede Verifizierung erstellt einen Audit-Datensatz — ein Nachweis der gebührenden Identitätssorgfalt.
Lizenzierung und Kosten
Entra Verified ID ist in allen Microsoft Entra ID-Plänen (einschließlich Free) ohne Aufpreis enthalten. Face Check wird pro Verifizierung berechnet — Microsoft erhebt pro Face Check-Transaktion eine Gebühr, was es für Hochsicherheits-Szenarien ohne laufende Abonnementkosten praktikabel macht. Die aktuellen Preise finden Sie auf der Microsoft-Preisseite.
Fazit: Nachweise, denen Ihre Partner vertrauen können
Microsoft Entra Verified ID repräsentiert die nächste Generation der Unternehmens-Identitätsverifizierung — vom “Vertrauen auf Zuruf” zur kryptografischen Überprüfung. Für Berliner KMU, die in B2B-Lieferketten tätig sind, sensiblen Partnerzugang verwalten oder die Kontowiederherstellung gegen Social Engineering absichern möchten, bietet Verified ID eine standardbasierte, datenschutzfreundliche Lösung.
IT Experts Berlin unterstützt Sie beim Design und der Implementierung von Verified ID-Ausstellungs- und Verifizierungsabläufen. Kontaktieren Sie uns für eine Beratung.
Weiterfuehrende Artikel
- Conditional Access: Entra Verified ID-Nachweise in Conditional-Access-Richtlinien integrieren – pruefbare Identitätsnachweise als zusätzliche Zugriffsbedingung nutzen und Zero-Trust-Verifikation für sensible Ressourcen erzwingen
- Microsoft Entra ID Governance: Verified ID ergänzt die Entra-Governance-Strategie – pruefbare Benutzeranmeldeinformationen für Zugriffsreviews und Berechtigungsmanagement nutzen, digitale Identitätsnachweise revisionssicher in Governance-Workflows einbinden
- Microsoft Entra External ID (B2B): Verified ID für externe Partner und Lieferanten ohne vollständige Gastkonten einsetzen – prüfbare Unternehmenszugehörigkeit und Rollennachweise für B2B-Szenarien ohne dauerhafte Verzeichniseinträge