Cloud Security ist ein Kreislauf

Wie Entra und Purview gemeinsam eine moderne Schutzarchitektur bilden

Eine modernen Cloud-Umgebungen ist heutzutage Standard, aber sicher ist es noch lange nicht, denn hierfür muss Identitäten, Applikationen und Daten gleichermaßen geschützt werden. Während sich Infrastruktur und Anwendungen längst flexibel skalieren lassen, bleiben zentrale Sicherheitsfragen oft unbeantwortet: Wer darf was? Wer und wie werden sensible Informationen geschützt und wie bleiben diese geschützt, wenn sich Rollen, Prozesse und Speicherorte ständig ändern?

Viele Organisationen setzen dabei auf Einzellösungen oder reaktive Maßnahmen. Doch Identitätsschutz und Datenschutz lassen sich in modernen Cloud-Umgebungen nicht länger getrennt betrachten. Gefragt ist ein integrierter Architekturansatz, der Benutzeridentitäten und Datenflüsse als Teil eines gemeinsamen Sicherheitskreislaufs versteht.

Genau hier setzen Microsoft Entra (für Identitäts- und Zugriffsmanagement) und Microsoft Purview (für Datenschutz und Compliance) an: Als integriertes Duo ermöglichen sie eine ganzheitliche Sicherheitsarchitektur – von der Authentifizierung über die Datenklassifikation bis hin zur kontrollierten Freigabe.

Cloud-Sicherheit gilt oft als rein technisches Thema – doch in der Praxis entscheidet die Architektur, ob Sicherheitskonzepte auch dauerhaft funktionieren. Wer Benutzeridentitäten nicht sauber steuert, öffnet Angriffsflächen. Wer Daten nicht klassifiziert und kontextsensitiv schützt, riskiert Kontrollverlust. Und wer beides getrennt betrachtet, verliert den strategischen Überblick.

Microsoft bietet mit Entra und Purview zwei spezialisierte Dienste, die gemeinsam das Fundament für eine moderne Sicherheitsarchitektur bilden können:

• Microsoft Entra vereint Identitäts- und Zugriffsmanagement, inklusive rollenbasierter Steuerung, Zugriffskontrollen, Multi-Faktor-Authentifizierung und Conditional Access.
• Microsoft Purview bietet Schutzmechanismen für strukturierte und unstrukturierte Daten – inklusive Klassifikation, Data Loss Prevention (DLP), rollenbasierten Richtlinien und Compliance-Auswertungen.

Richtig kombiniert entstehen daraus durchgängige Sicherheitsflüsse: Wer darf worauf zugreifen? Wie werden Daten klassifiziert? Welche Schutzmaßnahmen greifen, wenn Informationen geteilt oder verschoben werden? Und wie lässt sich das Ganze kontinuierlich überwachen und anpassen?

Warum Sicherheitsarchitektur heute neu gedacht werden muss

Die Anforderungen an IT-Sicherheit haben sich in den letzten Jahren grundlegend verändert. Klassische perimeterbasierte Modelle, also Sicherheitsarchitekturen, die davon ausgehen, dass alles innerhalb des Unternehmensnetzwerks vertrauenswürdig ist - greifen in einer modernen, cloud-basierten Welt nicht mehr.

Gründe dafür gibt es viele: Die digitale Transformation zwingt Unternehmen dazu, schneller, flexibler und vernetzter zu agieren. Mitarbeitende arbeiten mobil, hybrid oder remote. Daten liegen nicht mehr zentral auf eigenen Servern, sondern verteilt in SaaS-Anwendungen, Cloud-Diensten und Collaboration-Plattformen. Gleichzeitig steigen die Anforderungen durch gesetzliche Vorgaben wie die Datenschutz-Grundverordnung (DSGVO), branchenspezifische Compliance-Regularien oder internationale Standards wie ISO 27001 oder NIS2.

Ein Beispiel: In vielen Unternehmen nutzen Mitarbeitende Microsoft 365, Teams, SharePoint und OneDrive oder ähnliche Dienste, bei denen Identität und Daten nicht mehr im klassischen Rechenzentrum verwaltet werden. Gleichzeitig entstehen neue Risiken der Schatten-IT: Wer hat Zugriff auf welche Ordner? Werden sensible Informationen versehentlich extern geteilt? Und wie lässt sich das kontrollieren, wenn Berechtigungen dynamisch vergeben werden, etwa durch Teams-Gruppen, selbstverwaltete Daten-Strukturen oder automatisierte Prozesse?

Diese Entwicklung zeigt: Organisationen brauchen ein dynamisches Sicherheitsmodell, das sich an reale Arbeitsweisen anpasst und Identitäten sowie Daten als gleichwertige Schutzziele begreift. Nur wer beides integriert betrachtet, kann Risiken wirksam minimieren und Compliance-Vorgaben erfüllen.

Microsoft Entra: Identität als erste Verteidigungslinie

Microsoft Entra bildet das Fundament für ein sicheres Identitäts- und Zugriffsmanagement. Mit Funktionen wie Single Sign-On (SSO), Multi-Faktor-Authentifizierung (MFA), Conditional Access und Privileged Identity Management (PIM) lassen sich Risiken frühzeitig eingrenzen. Entra hilft dabei, klar zu definieren, wer auf welche Ressourcen zugreifen darf – und unter welchen Bedingungen.

Microsoft Purview: Datenschutz und Governance im Datenfluss

Purview ergänzt den Schutz von Identitäten um den Schutz von Inhalten. Sensible Informationen können automatisch oder manuell erkannt, klassifiziert und geschützt werden, auch in E-Mails, Dokumenten oder Cloud-Speichern (auch von Drittanbietern). Mithilfe von Data Loss Prevention (DLP), Richtlinien zur Datenklassifikation und Compliance-Berichten wird eine durchgängige Kontrolle ermöglicht. Es gibt dynamische Zugriffsbedingungen auf Informationen und Daten.

Security als Kreislauf: Entra und Purview strategisch integrieren

Wenn Entra mit Purview kombiniert wird, entsteht ein Sicherheitskreislauf. Die Identität entscheidet darüber, ob und wie Daten genutzt werden dürfen. Purview überprüft und schützt die Daten dabei automatisch. So lassen sich Datenströme kontrollieren, ohne dass Arbeitsprozesse behindert werden. Ein solches Modell ist skalierbar, anpassbar und auditierbar und somit ideal für regulierte Branchen.

Aus der Praxis: So setzen Banken und Industrieunternehmen das Konzept um

In regulierten Branchen sind die Anforderungen an Datenschutz, Nachvollziehbarkeit und Zugriffskontrolle besonders hoch. Entsprechend groß ist der Nutzen, wenn Microsoft Entra und Microsoft Purview strategisch miteinander verbunden werden.

Beispiel Finanzsektor

Für vertrauliche Inhalte wie Geschäftsberichte, Prüfungsunterlagen oder interne Planungsdokumente gelten in Banken und Versicherungen strenge Zugriffsregeln. Oft müssen diese Dokumente über Wochen hinweg in geschlossenen Gremien bearbeitet werden, bevor sie veröffentlicht werden dürfen. Mit Microsoft Entra lässt sich sicherstellen, dass nur berechtigte Personen, beispielsweise interne Revisionsmitarbeitende, Vorstandsreferentinnen und -referenten oder einzelne Führungskräfte, temporären Zugriff erhalten. Gleichzeitig überwacht Microsoft Purview automatisch, ob diese Inhalte versehentlich weitergeleitet, kopiert oder unzulässig gespeichert werden.

Ein großer Vorteil dabei ist, dass sich Zugriff und Schutzmaßnahmen dynamisch anpassen. Ändert sich die Rollenverteilung, greifen sofort andere Berechtigungen und DLP-Richtlinien – ganz ohne manuelle Nachjustierung. So entsteht eine Sicherheitslogik, die mit den organisatorischen Prozessen mitwächst.

Beispiel produzierende Industrie

In Unternehmen mit eigener Produktentwicklung geht es häufig darum, vertrauliche Designs, Quellcodes oder technische Dokumentationen zu schützen – insbesondere bei der Zusammenarbeit mit Partnerfirmen oder externen Entwickler:innen. Microsoft Entra sorgt hier für eine saubere Rollentrennung: Interne Teams erhalten vollen Zugriff, während externe Dienstleister:innen nur auf klar definierte Bereiche zugreifen können. Microsoft Purview klassifiziert die relevanten Inhalte automatisch (zum Beispiel als „vertraulich“ oder „intern“) und verhindert mithilfe von DLP-Richtlinien, dass diese versehentlich über Cloud-Share oder E-Mail das Unternehmen verlassen.

Gerade in Projekten mit hoher Time-to-Market-Relevanz – etwa bei neuen Produktreleases – verhindert dieser Schutz, dass Informationen vorzeitig nach außen dringen. Zudem ist die Nachvollziehbarkeit gegenüber dem Management oder der Rechtsabteilung gegeben, da sämtliche Zugriffspfade und Richtlinienänderungen revisionssicher dokumentiert werden.

Beide Beispiele zeigen: Die Kombination aus Entra und Purview bietet weit mehr als nur Sicherheitsfunktionen – sie schafft Vertrauen in Prozesse, reduziert operative Risiken und erleichtert die Umsetzung von Compliance-Vorgaben. Unternehmen erhalten somit ein Sicherheitsmodell, das nicht als starres Korsett, sondern als lebendiger Teil der digitalen Wertschöpfung verstanden wird.

Best Practices für eure Organisation

Eine ganzheitliche Sicherheitsarchitektur mit Microsoft Entra und Purview entsteht nicht über Nacht – sie entwickelt sich schrittweise. Um den Einstieg zu meistern und den Betrieb langfristig robust zu gestalten, sind folgende Best Practices hilfreich:

• Identitäts- und Datenschutzthemen gemeinsam betrachten – nicht isoliert:Wer nur auf Identitäten oder nur auf Daten schaut, übersieht zentrale Risiken. Erst im Zusammenspiel beider Aspekte ergibt sich ein vollständiges Bild der Sicherheitslage, beispielsweise wenn vertrauliche Daten nur für klar definierte Rollen sichtbar sind.
• Sicherheitsarchitektur als kontinuierlichen Prozess verstehen:Rollen ändern sich, es kommen neue Tools hinzu und gesetzliche Vorgaben wandeln sich – all das muss eure Sicherheitsarchitektur berücksichtigen. Plant deshalb regelmäßige Reviews ein und passt eure Schutzmaßnahmen dynamisch an.
• Frühzeitig Governance-Modelle und Schutzflüsse definieren:Legt von Beginn an fest, wie Daten klassifiziert werden, wer sie bearbeiten darf und wie sie zu schützen sind. Nutzt Microsoft Purview, um diese Modelle in Richtlinien umzuwandeln, die technisch durchgesetzt werden können. Wo liegen welche Daten und wer benutzt sie?
• Automatisierung nutzen, um manuelle Fehlerquellen zu minimieren:Manuelle Berechtigungsverwaltung oder Ad-hoc-Entscheidungen sind fehleranfällig. Nutzt Entra-Funktionen wie dynamische Gruppen, Zugriffsbewilligungen mit Ablaufdatum oder automatisierte Workflows, um Risiken zu reduzieren.
• Entra und Purview gezielt kombinieren und schrittweise ausbauen:Startet mit einem definierten Bereich – etwa dem Schutz sensibler Finanzdaten oder der Absicherung externer Projektarbeit. Baut dann modular weiter aus, etwa durch zusätzliche DLP-Regeln, Conditional Access Policies oder Klassifizierungsmodelle.

Diese fünf Prinzipien helfen euch dabei, eine Sicherheitsarchitektur aufzubauen, die nicht nur heute funktioniert, sondern auch morgen noch skalierbar, regelkonform und nachvollziehbar bleibt.

Fazit

Cloud-Sicherheit endet nicht bei der Technik, Sie beginnt mit einem durchdachten Architekturverständnis. Microsoft Entra und Microsoft Purview bieten als nativ integrierte Lösung dafür die zentralen Bausteine: Schutz von Identitäten, Schutz von Daten - integriert, skalierbar und praxistauglich.