Alle Verbindungen bei Entra Global Secure Access laufen über einen sicheren Clouddienst, der in Azure positioniert ist. Microsoft möchte damit ein weltweites Netzwerk schaffen, das den Teilnehmern einen sicheren und schnellen Zugriff auf alle benötigten Ressourcen ermöglicht, auch zu internen Rechenzentren. Dabei soll es für den Mitarbeiter keine Rolle spielen, von wo aus er sich in das Netzwerk einwählt. Dabei kommen die verschiedenen Sicherheitsfunktionen zum Einsatz, wie Multifaktor-Authentifizierung (MFA) oder auch Conditional Access.

Das herausragende Feature von Global Secure Access ist sicherlich die Möglichkeit für Benutzer, von überall sicher auf interne Ressourcen im lokalen Unternehmensnetzwerk zuzugreifen, ohne einen VPN-Tunnel zu benötigen. Möglich macht dies Entra Private Access. Gleichzeitig sichert Entra Internet Access den Zugriff auf Clouddienste wie Azure oder Microsoft 365. Im Zusammenspiel lässt sich so ein sicheres Netzwerk aufbauen, das Anwendern von überall einen sicheren Zugriff auf alle Unternehmensressourcen ermöglicht, abgesichert durch moderne Sicherheitsansätze wie MFA, Zero-Trust und Conditional Access. Die Einrichtung ist jedoch alles andere als trivial und erfordert grundlegende Kenntnisse der Netzwerkverwaltung in Azure und der Anbindung lokaler Netzwerke.

Entra Global Secure Access bietet Admins also eine Plattform zur Verwaltung des Zugriffs auf Anwendungen und Dienste, die sowohl in Cloudumgebungen als auch vor Ort gehostet sind. Das Produkt zielt darauf ab, die Zugriffskontrolle durch ein Zero-Trust-Sicherheitsmodell zu vereinheitlichen, das auf der kontinuierlichen Überprüfung der Identität, des Gerätestatus und des Kontexts von Zugriffsanfragen basiert. Die Unterstützung von MFA und Conditional Access sind zentrale Elemente, um die Sicherheitsanforderungen zu erhöhen, indem mehrere Authentifizierungsnachweise für den Zugriff auf sensible Ressourcen erforderlich sind. Die Entra-Global-Secure-Access-Plattform ermöglicht das zentrale Verwalten von Zugriffsrichtlinien, sodass Sie einheitliche Richtlinien für den Zugriff auf verschiedene Anwendungen und Dienste unabhängig vom Standort definieren können.

Darüber hinaus bietet Entra Global Secure Access detaillierte Berichts- und Analysefunktionen, die Einblicke in Zugriffsereignisse und -aktivitäten geben, um die Erkennung und Reaktion auf Sicherheitsvorfälle zu unterstützen. Bei der Implementierung ist eine sorgfältige Analyse der aktuellen Anforderungen an die Zugriffskontrolle zu empfehlen, um eine effektive Integration und Nutzung der Plattform zu gewährleisten. Die Planung ist ein wichtiger und nicht zu unterschätzender Faktor bei der Implementierung von Entra Global Secure Access.

Vereinfacht gesagt verlagert der neue Dienst das VPN in die Cloud, ohne dass Sie ein eigenes VPN konfigurieren, verwalten und absichern. Unternehmen müssen nur ihre Ressourcen verbinden. In der Dokumentation des Diensts finden sich umfangreiche Hilfestellungen zu dessen Einrichtung [1]. Das Anbinden der Benutzer erfolgt über den Global-Secure-Access-Client [2], den Microsoft zum Download zur Verfügung stellt. Dieser ist einfach zu konfigurieren und schnell einsatzbereit. Nach der Installation muss sich der Benutzer lediglich mit seinem Entra-ID-Benutzerkonto anmelden. Der Client stellt dann die Verbindung her und wendet die hinterlegten Regeln an. Diese sind natürlich im Vorfeld von den Administratoren der Umgebung zu definieren. Der Client unterstützt darüber hinaus Single Sign-on (SSO). Ist ein Benutzer an seinem PC bereits an Entra ID angemeldet, übernimmt der Global-Secure-Access-Client die Anmeldung, sodass der Nutzer sofort Zugriff auf die ihm zugewiesenen Ressourcen hat – Clouddienste, Services in Microsoft 365 oder interne Anwendungen im Rechenzentrum wie Dateiserver oder Datenbanken.

Der Client lässt sich zwar manuell installieren, eine automatisierte Verteilung über Intune ist jedoch sinnvoll. Überhaupt bietet sich der Einsatz von Global Secure Access vor allem im Zusammenspiel mit Intune an, da Sie so weltweit PCs zentral verwalten, absichern und mit Global Secure Access an die jeweils benötigten Netzwerke anbinden. Findet alles in der Microsoft-Welt statt, gestaltet sich das Einrichten dadurch wesentlich einfacher und die Umgebung ist zentral über Azure und Intune administrierbar. Die einzelnen Mitgliedsrechner können Mitglied in einem AD sein, müssen es aber nicht. Auch die Mitgliedschaft in Entra ID ist sinnvoll, aber nicht zwingend notwendig für die Nutzung von Global Secure Access. Benutzer müssen sich jedoch mit ihrem Benutzerkonto in Entra ID anmelden.

Die Mitgliedschaft der Computer in Entra ID erleichtert natürlich die Authentifizierung und Zuordnung deutlich, was Sie in Ihrer Planung berücksichtigen sollten. Die Mitgliedschaft im Active Directory hingegen bietet keine Vorteile, stört aber auch nicht. Generell ist es in einem solchen Szenario meist besser, wenn die PCs zwar Mitglied in Entra ID sind, aber nicht in einem lokalen AD. Dies erleichtert in der Regel die Verbindung zu Azure und Microsoft 365 sowie Intune.

Nach dem erfolgreichen Anbinden zeigt der Client den Status über ein Icon im Tray-Bereich an. Über das Kontextmenü stehen zudem verschiedene Optionen zur Verfügung, wie das Pausieren und Neustarten des Clients sowie Funktionen zum Überprüfen und Diagnostizieren der Verbindung. Neben Windows ist der Client auch für macOS sowie für iOS und Android im Entra Admin Center verfügbar.

Gleichzeitig lässt sich zentral festlegen, auf welche Ressourcen Benutzer zugreifen dürfen, wenn sie sich mit Global Secure Access anmelden. Beispiele sind das einfache, aber sichere Surfen im Internet, der Zugriff auf Ressourcen in der Cloud wie Azure und Microsoft 365 oder auch das Nutzen lokaler Dienste im Rechenzentrum wie Dateiserver oder Datenbanken. Alles läuft über den Global-Secure-Access-Client, abgesichert durch Richtlinien in Azure.

Global Secure Access ist Teil von Microsoft Entra und über das Entra Admin Center verwaltbar, das unter der Adresse "entra.microsoft.com" erreichbar ist. Dort befindet sich im unteren Bereich der Menüpunkt "Global Secure Access" beziehungsweise "Globaler sicherer Zugriff". An dieser Stelle steuern Sie alle externen Zugriffe von Benutzern auf die Ressourcen des Unternehmens. Nach dem erfolgreiche Verbindungsaufbau des Clients mit dem Global-Secure-Access-Netzwerk können Anwender mit Web-Apps, RDP, SSH, SMB, FTP und vielen weiteren Protokollen wie bei der Nutzung von VPN arbeiten. Der Schutz und die Verschlüsselung der Zugriffe erfolgt über den Global-Secure-Access-Client.

Um Microsoft Entra Global Secure Access effektiv zu nutzen, ist eine stabile und sichere Netzwerkinfrastruktur erforderlich, die den kontinuierlichen Datenaustausch zwischen den beteiligten Systemen unterstützt. Das gilt bei VPN-Verbindungen natürlich genauso. Sie sollten sicherstellen, dass die IT-Umgebung über ausreichende Bandbreite und Netzwerksicherheitsmaßnahmen verfügt. Darüber hinaus ist eine kompatible IT-Infrastruktur notwendig, die sowohl moderne Clouddienste als auch traditionelle On-Premises-Anwendungen unterstützt. Ideal arbeiten an dieser Stelle vor allem Windows-Server im internen Netzwerk. Die MFA-Implementierung erfordert darüber hinaus die Einrichtung und Verwaltung geeigneter Authentifizierungsmethoden und -dienste, idealerweise mit Entra ID. Ein Verständnis der Zero-Trust-Prinzipien und deren Anwendung auf die Zugriffskontrolle ist ebenfalls wichtig, um Sicherheitsrichtlinien und -verfahren entsprechend anzupassen, vor allem für Conditional Access.

Global Secure Access erfordert ein Abonnement von Microsoft Entra ID P1 [3], das beispielsweise über Microsoft 365 E3 verfügbar ist. Über diesen Weg lässt sich der Dienst auch kostenlos testen. Ideal ist zudem ein Abonnement von Microsoft 365 Business Premium [4]. Der Dienst gehört zu den am besten geeigneten Varianten von Microsoft 365 für Unternehmen, da er zahlreiche Komponenten enthält, die vor allem den Zugriff steuern und die Sicherheit erhöhen. Die Dienste arbeiten mit Entra Global Secure Access zusammen, sind aber keine grundlegende Voraussetzung für dessen Einsatz.

Ein Assistent unterstützt die Einrichtung, die unter "Erste Schritte" startet. Wenn das Abonnement alle Voraussetzungen für Global Secure Access erfüllt, starten Sie den Dienst zunächst über "Activate" im Abonnement. Nun erfolgt das Setup über "Get Started", woraufhin Internet Access und Private Access zur Verfügung stehen. Mit Private Access gewähren Sie den Benutzern Zugriff auf Anwendungen im privaten Netzwerk, also on-premises. Der Zugang lässt sich für alle Anwendungen innerhalb eines bestimmten IP-Bereichs einrichten oder für einzelne IP-Adressen.

Entra Internet Access und Entra Private Access stellen zwei unterschiedliche Ansätze für das Zugriffs- und Identitätsmanagement dar, zugeschnitten auf spezifische Einsatzszenarien. Entra Internet Access konzentriert sich auf die Verwaltung und Sicherung des Zugriffs in Sachen internetbasierte Anwendungen und Dienste. Es ermöglicht das Durchsetzen von Sicherheitsrichtlinien, die den Zugriff von Benutzern auf Cloudanwendungen über das öffentliche Internet regeln, und bietet gleichzeitig Schutzmechanismen wie MFA und bedingten Zugriff. Mit Entra Internet Access sichern Sie beispielsweise den Zugriff auf Microsoft-365-Dienste oder auch zu anderen Clouddiensten wie Amazon Web Services oder Google Cloud Platform ab.

Auf der anderen Seite zielt Microsoft Entra Private Access darauf ab, ein sicheres Arbeiten mit Anwendungen und Diensten zu ermöglichen, die innerhalb des privaten Netzwerks eines Unternehmens liegen, ohne dass ein traditionelles VPN erforderlich ist. Private Access nutzt Zero-Trust-Modelle, um eine feingranulare Zugriffskontrolle auf der Grundlage der Identität des Benutzers, des Gerätestatus und anderer Kontextinformationen zu ermöglichen. Während sich Internet Access auf die Sicherung und Verwaltung des Zugangs zu öffentlichen Ressourcen konzentriert, bietet Private Access ein Werkzeug für den sicheren Fernzugriff auf interne Anwendungen und Daten, die ansonsten nicht über das öffentliche Internet zugänglich sind. Beide Ansätze ergänzen sich im Rahmen einer Identitäts- und Zugriffsmanagementstrategie, wobei der Schwerpunkt jeweils auf der Optimierung von Sicherheit und Benutzerfreundlichkeit für öffentlich zugängliche beziehungsweise private Ressourcen liegt.

Um Workloads und Dienste eines Windows-Servers über Entra Private Access zu verbinden, müssen Sie spezielle Konnektoren installieren und einrichten. Diese fungieren als Brücke zwischen den internen Ressourcen und der Entra-Private-Access-Plattform, indem sie einen sicheren Zugriff ohne VPN ermöglichen. Der Prozess beginnt mit dem Erstellen eines Connectors im Entra Private Access Portal unter "Verbinden / Connectors", wo Sie eine neue Instanz konfigurieren und spezifische Einstellungen wie Namen, Zugriffsrichtlinien und Zielressourcen definieren. Jeder Server im internen Netzwerk erhält dadurch bei Bedarf einen eigenen Connector.

Um einen ersten Connector zu erstellen, laden Sie die Installationsdatei für den Azure-Application-Proxy-Connector über "Connectordienst herunterladen" auf den Server, auf den der Zugriff aus dem Internet über Global Secure Access stattfinden soll, und starten diese. In diesem Fall kommt Entra Private Access zum Einsatz; dies gilt für alle Server, die von außen über Private Access erreichbar sein sollen. Die einzelnen Server finden Sie im Entra Admin Center unter "Globaler sicherer Zugriff / Verbinden / Connectors".

Die Installation des Connectors auf dem Windows Server erfordert Administratorrechte und folgt einem standardisierten Installationsprozess. Dieser lässt sich problemlos automatisieren. Während der Installation sind möglicherweise Netzwerkeinstellungen anzupassen, um ausgehenden Datenverkehr zum Entra-Private-Access-Dienst zu ermöglichen. Die Server können dabei Mitglied im AD sein. Für die Authentifizierung an den internen Ressourcen nutzen Anwender entweder ein Konto aus dem AD oder bei Synchronisierung mit Entra ID ihre jeweilige Anmeldung.

Darüber hinaus sind gegebenenfalls bestimmte Sicherheitsausnahmen in der Firewall des Servers nötig, damit der Connector ordnungsgemäß funktioniert – etwa wenn spezielle Konfigurationen vorliegen. Nach der Installation fungiert der Connector als Zugangspunkt für autorisierte Benutzer, die auf die Dienste und Workloads des Windows-Servers zugreifen möchten. Die Verbindungen, die Clients zu den verschiedenen Ressourcen aufbauen dürfen, steuern Sie über den Connector. Hier regeln Sie den Zugriff auf einzelne Anwendungen, Server oder andere Dienste.

Konnektoren sind im Wesentlichen Global-Secure-Access-Agenten, die Sie lokal einrichten und die die ausgehende Verbindung zum Global-Secure-Access-Dienst vereinfachen. Sie müssen diese auf den Windows-Servern installieren, die auf die jeweilige Backend-Anwendung zugreifen dürfen. Konnektoren lassen sich dabei in Gruppen organisieren, wobei jede Gruppe für den Datenverkehr zu bestimmten Anwendungen zuständig ist. So bündeln Sie mehrere Server in einem Rechenzentrum, zum Beispiel alle Dateiserver, die von außen erreichbar sein sollen. Dazu steht unter "Verbinden / Connectors" die Schaltfläche "Neue Connectorgruppe" zur Verfügung. Microsoft beschreibt die Einrichtung der Konnektoren ausführlich in der Dokumentation zu Entra Private Access [5].

Benutzer müssen aus einem lokalen Active Directory synchronisiert oder direkt im Entra ID vorhanden sein. Auf den jeweiligen Servern installieren Sie den Connector für den Application Proxy. Dieser Connector-Server muss sich sowohl mit den Application Proxy Services in Azure als auch mit den lokalen Anwendungen, die Sie veröffentlichen möchten, verbinden. Hier sollten Sie vorab die Dokumentation [6] studieren. Über "Anwendungen / Schnellzugriff" greifen die Benutzer dann schnell und ohne aufwendige Konfiguration auf die einzelnen Anwendungen zu.

Damit sich ein Client mit dem Global Secure Access Netzwerk verbindet, muss der Verbindungsagent installiert sein. Dieser lässt sich manuell einspielen oder über Intune verteilen. Im Entra Admin Center finden Sie die verschiedenen Clients unter "Globaler sicherer Zugriff / Verbinden / Clientdownload". Nach der Installation der Software, zum Beispiel auf einem PC mit Windows 10/11, meldet sich der Benutzer ähnlich wie bei einem VPN mit seiner Entra ID am Global-Secure-Access-Gateway an. Wenn der User auf dem PC bereits mit Entra ID angemeldet ist, erkennt der Client dies und logt den Benutzer mit den gleichen Zugangsdaten in der Organisation ein. Das vereinfacht den Zugriff.

Um Clients den Zugang zu veröffentlichten Servern zu ermöglichen, lässt sich unter "Globaler sicherer Zugriff / Anwendungen / Schnellzugriff" ein einfaches Regelwerk erstellen. In produktiven Umgebungen sollten Sie jedoch zunächst genau planen, in welcher Form und mit welchen Regeln Nutzer mit privaten Ressourcen oder Diensten in der Cloud arbeiten dürfen. Hier sehen Sie unter "Connectorgruppe" die Gruppen, die Sie zuvor unter "Verbinden / Connectors" angelegt haben. Konnektoren, die nicht Mitglied einer bestimmten Connectorgruppe sind, fallen unter die Gruppe "Default". Den Namen der jeweiligen Verbindung können Sie frei wählen.

Über "Schnellzugriffsanwendungssegmente hinzufügen" geben Sie die IP-Adresse oder einen Bereich sowie den Port an, der für die Verbindung zum jeweiligen Connector zum Einsatz kommen soll. Über "Anwendungseinstellungen bearbeiten" legen Sie fest, unter welchen Bedingungen sich Benutzer bei Global Secure Access anmelden dürfen und Zugriff auf den hier verwendeten Connector und damit Server erhalten sollen.Für den Zugriff müssen Sie mindestens ein Benutzerkonto oder eine Gruppe aus Entra ID zuweisen. Dies geschieht über die Kachel "Benutzer und Gruppen zuweisen". In produktiven Umgebungen ist es natürlich sinnvoll, für den Zugriff auf einen Server oder eine Anwendung eine Gruppe zu definieren und die entsprechenden Benutzer in diese Gruppe aufzunehmen.

In diesem Zusammenhang ist es auch sinnvoll, eine Conditional-Access-Policy zu definieren. Hier legen Sie für jede veröffentlichte Anwendung, in diesem Fall ein kompletter interner Dateiserver, fest, unter welchen Bedingungen der Zugriff erlaubt ist. An dieser Stelle lässt sich auch nach Standorten filtern, das Risiko des Endgerätes einstufen, Multifaktor-Authentifizierung aktivieren und vieles mehr. Conditional Access kommt auch in anderen Bereichen von Azure zum Einsatz.

Die Möglichkeiten bei Global Secure Access sind daher entsprechend identisch. Bei "Benutzer" sollten Sie an dieser Stelle mit der gleichen Benutzergruppe arbeiten, die auch Zugriff auf den Connector erhält. Das vereinfacht die Administration. Es ist aber auch möglich, hier mit eigenen Gruppen für den bedingten Zugriff zu arbeiten, zum Beispiel wenn alle Global-Secure-Access-Benutzer in der Umgebung die gleichen Bedingungen für die Verbindung zu den einzelnen Konnektoren/Servern einhalten müssen. An dieser Stelle ist die Planung wichtig. Unter "Zielressourcen" ist bereits die Anwendung ausgewählt, die dem Connector für den Zugriff zugrundeliegt. Über "Bedingungen" können Sie an dieser Stelle die Zugriffsbedingungen festlegen.

Für die Clientnutzung von Ressourcen im Global Secure Access ist es weiterhin notwendig, unter "Globaler sicherer Zugriff / Verbinden / Datenverkehrsweiterleitung" das Verbindungsprofil zu aktivieren, das die Benutzer verwenden sollen. Für den Zugang zu internen Servern, die Sie über Konnektoren zur Verfügung gestellt haben, müssen Sie an dieser Stelle mindestens das "Private Access Profile" aktivieren. Für den Zugriff auf externe Ressourcen ist das "Internet Access Profile" zuständig und für den sicheren Zugriff auf Microsoft 365 muss das "Microsoft 365 Access Profile" am Start sein. Auch hier ist zu erwarten, dass Microsoft die Bezeichnungen in Zukunft noch anpasst.

Ist alles konfiguriert, erhält der Client Zugang zum ersten veröffentlichten Konnektor. Auf diese Weise greifen Benutzer mit Global Secure Access sicher über das Internet auf Dateifreigaben von Servern zu, die sich im internen Netzwerk befinden. Damit dies funktioniert, muss sich der Client im Status "Verbunden" befinden. Über das Kontextmenü des Clients steht zusätzlich "Advanced diagnostics" zur Verfügung. Hier stellen Sie unter "Health check" sicher, dass möglichst alle Bereiche einen grünen Status haben. Unter "Forwarding Profile" sehen Sie die Daten der Verkehrsweiterleitung. Bei "Traffic" lässt sich mit "Start Collecting" der Datenverkehr mitschneiden, was bei der Fehlersuche hilfreich ist.

Obwohl Entra Global Secure Access viele Vorteile bietet, gibt es auch Herausforderungen. Ohne relativ umfangreiche Netzwerk- und Azure-Kenntnisse stehen Sie bei der Definition von Richtlinien schnell vor einer großen Hürde.

Die Komplexität der Einrichtung und Konfiguration von Zugriffsrichtlinien, insbesondere in hybriden oder großen, verteilten Umgebungen, führt mitunter zu einem erheblichen Zeitaufwand und potenziellen Konfigurationsfehlern. Darüber hinaus stellen die Kosten für die Lizenzierung und den Betrieb von Global Secure Access mitunter eine Belastung dar, insbesondere für kleinere Unternehmen oder solche mit begrenzten IT-Budgets. Ein weiterer Nachteil ist die Abhängigkeit von der Internetverbindung. Da der Zugriff auf Anwendungen und Ressourcen über das Internet erfolgt, beeinträchtigen Netzwerklatenzen und -ausfälle möglicherweise die Zugriffsgeschwindigkeit sowie -verfügbarkeit. Schließlich erfordert die kontinuierliche Überwachung und Anpassung von Sicherheitsrichtlinien und -einstellungen einen ständigen Aufwand an Zeit und Ressourcen, um den Schutz vor neuen Bedrohungen aufrechtzuerhalten.

Entra Global Secure Access und Secure Access Service Edge (SASE) lassen sich insofern vergleichen, als dass beide Konzepte darauf abzielen, einen sicheren Zugriff auf Anwendungen und Daten zu gewährleisten – unabhängig davon, wo sich Benutzer oder Ressourcen befinden. Sie weisen jedoch unterschiedliche Ansätze und Schwerpunkte auf. Global Secure Access konzentriert sich speziell auf die Verwaltung und Sicherung des Zugangs zu Anwendungen durch die Implementierung von Zero-Trust-Prinzipien und die Bereitstellung von MFA und bedingten Zugriffsrichtlinien. Es ist eine Lösung, die in erster Linie darauf abzielt, die Arbeit mit Anwendungen und Daten durch Identitäts- und Zugriffsmanagement zu kontrollieren und zu sichern.

Im Gegensatz dazu ist SASE ein umfassenderer Ansatz, der Netzwerksicherheit und WAN-Fähigkeiten in einer einzigen Cloud-nativen Service-Architektur kombiniert. SASE zielt darauf ab, sowohl den sicheren Zugriff auf Anwendungen und Daten zu ermöglichen als auch Netzwerksicherheitsfunktionen wie Firewall-as-a-Service (FWaaS), Secure Web Gateway (SWG), Zero Trust Network Access (ZTNA) und Cloud Access Security Broker (CASB) zu integrieren. Ziel von SASE ist es, eine einheitliche Sicherheits- und Netzwerkarchitektur zu schaffen, die ein flexibles, skalierbares und effizientes Management von Netzwerkzugängen und Sicherheitsrichtlinien ermöglicht.

Entra Global Secure Access hat das Potenzial eines Game Changers im Bereich des externen Zugriffs auf interne und Cloudressourcen. Interessant ist der Dienst natürlich vor allem für Unternehmen, die ohnehin schon auf Azure oder Microsoft 365 setzen, denn hier gewährt der Dienst den sicheren Zugang der Nutzer unabhängig von ihrem Standort. Global Secure Access hat das Potenzial, VPNs in vielen Bereichen vollständig zu ersetzen und einen zentralen Zugangspunkt für interne Ressourcen und Ressourcen in der Cloud zu bieten.

Microsoft Entra Global Secure Access eignet sich besonders für Organisationen, die einen flexiblen, skalierbaren und sicheren Remote Access für den Zugriff auf ihre Netzwerkressourcen und Anwendungen benötigen. Dazu gehören Firmen mit einer hybriden IT-Infrastruktur, die sowohl Clouddienste als auch lokale Anwendungen umfasst, und solche, die das Zero-Trust-Modell implementieren möchten. Unternehmen mit einem hohen Anteil an mobilen oder Remote-Mitarbeitern profitieren ebenfalls, da Global Secure Access einen sicheren Zugriff von jedem Ort und jedem Gerät ermöglicht, ohne die Komplexität und Einschränkungen traditioneller VPN-Produkte.