Mandantenübergreifende Wiederherstellung für Entra ID: Keepit bietet neue Testoption für Identitätsdaten

Fällt die Identitätsverwaltung aus, steht der Zugriff auf alle abhängigen Systeme still. Mit einer neuen Funktion in seiner Entra ID-Lösung erlaubt Keepit die Wiederherstellung von Verzeichnisobjekten in einem separaten Microsoft-Mandanten – ohne Eingriff in die Produktionsumgebung. Damit adressiert der Anbieter eine Lücke, die viele Unternehmen erst dann bemerken, wenn sie eine Wiederherstellung tatsächlich benötigen.

Entra ID ist das zentrale Identitäts- und Zugriffsmanagement-System (IAM) für Microsoft 365 und angebundene Anwendungen. Die Plattform regelt, wer sich authentifizieren darf und auf welche Ressourcen zugegriffen werden kann. Ist dieser Dienst nicht verfügbar oder nicht vertrauenswürdig, können Anmeldungen scheitern und Zusammenarbeit sowie Zugriff im gesamten Unternehmen zum Erliegen kommen.

Für viele Organisationen beschränkt sich Geschäftskontinuität deshalb nicht allein auf die Wiederherstellung von Dateien oder Inhalten – sie beginnt auf der Identitätsebene, die den Zugang zu allem anderen erst ermöglicht. Entra ID enthält dabei ausschließlich cloudbasierte Objekte und Konfigurationen, die von On-Premise-Ansätzen nicht vollständig abgedeckt werden. Die native Wiederherstellbarkeit der Plattform ist zudem nicht als umfassende Backup-Strategie ausgelegt.

Vor diesem Hintergrund hat Keepit sein Entra ID-Angebot um eine mandantenübergreifende Wiederherstellungsfunktion ergänzt. Sie erlaubt es, Entra ID-Objekte nicht nur in den ursprünglichen Produktionsmandanten zurückzuspielen, sondern gezielt in einen separaten Microsoft-Mandanten zu übertragen – etwa einen dedizierten Testmandanten oder eine saubere Ersatzumgebung.

Was die Funktion leistet

Im Mittelpunkt steht die Möglichkeit, Verzeichnisobjekte und Konfigurationen in einem isolierten Mandanten neu aufzubauen, ohne die laufende Produktionsumgebung zu beeinflussen. Unterstützt werden dabei folgende Entra ID-Objekte:

• Benutzer
• Gruppen
• Verwaltungseinheiten
• Rollen
• Richtlinien
• App-Registrierungen
• Dienstprinzipale

Der Wiederherstellungsprozess ist in überschaubare Schritte gegliedert: Zunächst wird festgelegt, ob die Wiederherstellung innerhalb desselben Mandanten oder mandantenübergreifend erfolgen soll. Anschließend werden Zieldomäne, gewünschter Snapshot sowie die wiederherzustellenden Datenbereiche ausgewählt. Bevor die Ausführung gestartet wird, zeigt eine detaillierte Zusammenfassung Anzahl und Umfang der betroffenen Objekte – eine Vorschaufunktion, die ungewollte Änderungen vermeiden helfen soll.

Drei Anwendungsszenarien im Überblick

1. Validierung des Backup- und Wiederherstellungsprozesses

Ein Backup entfaltet seinen Wert erst dann vollständig, wenn seine Wiederherstellbarkeit auch nachgewiesen ist. In der Praxis stellt genau das viele Teams vor ein Problem: Ohne einen separaten Testmandanten bleibt die Produktionsumgebung oft der einzige Ort, an dem eine Wiederherstellung überhaupt durchgeführt werden kann – mit entsprechendem Risiko.

Die mandantenübergreifende Wiederherstellung schafft hier Abhilfe. Sie ermöglicht es, Wiederherstellungen vollständig außerhalb der Produktionsumgebung durchzuführen und dabei dokumentiert zu belegen, dass Identitätsobjekte und Konfigurationen tatsächlich reproduzierbar sind. Das liefert IT-Teams einen konkreten Nachweis über die Funktionsfähigkeit des Prozesses – und trägt dazu bei, Vertrauen in die Plattform und die eigenen Abläufe aufzubauen.

Dieser Aspekt gewinnt auch mit Blick auf regulatorische Anforderungen an Bedeutung. Regelwerke wie DORA verlangen dokumentierte und getestete Kontinuitäts- und Wiederherstellungsfähigkeiten. Eine nachweisbare Testwiederherstellung kann dabei als Bestandteil der entsprechenden Nachweise dienen.

2. Sicheres Testen von Konfigurationsänderungen

Anpassungen in Entra ID sind selten isoliert: Änderungen an Richtlinien für den bedingten Zugriff, Rollenzuweisungen oder App-Registrierungen können das Anmelde- und Zugriffsverhalten im gesamten Unternehmen beeinflussen. Werden solche Änderungen direkt in der Produktion vorgenommen, besteht das Risiko unvorhergesehener Auswirkungen – bis hin zu ungewollten Zugangssperren oder Konfigurationsfehlern.

Mit einem separaten Testmandanten, der die Identitätskonfiguration der Produktionsumgebung möglichst genau abbildet, lassen sich geplante Anpassungen vorab in einer kontrollierten Umgebung erproben. Konkret ermöglicht das:

• die Validierung geplanter Konfigurationsänderungen vor dem Rollout
• die Erprobung alternativer Richtlinienvarianten ohne Produktionseinfluss
• die Analyse von Auswirkungsszenarien nach dem „Was-wäre-wenn“-Prinzip
• die Bestätigung erwarteter Ergebnisse, bevor Änderungen produktiv gesetzt werden

Da Entra ID-Lizenzen kostenfrei verfügbar sind, ist das dauerhafte Vorhalten eines sekundären Mandanten für Test- und Verifizierungszwecke ohne nennenswerten finanziellen Zusatzaufwand möglich. Die mandantenübergreifende Wiederherstellung erlaubt es, diesen Mandanten mit den benötigten Identitätsobjekten zu befüllen – auf Basis eines gesicherten Snapshots, nicht manuell zusammengestellt.

3. Geschäftskontinuität bei Ausfall oder Kompromittierung des Primärmandanten

Das dritte Szenario betrifft den Fall, dass der primäre Mandant nicht mehr verfügbar oder nach einem Sicherheitsvorfall in seiner Integrität beeinträchtigt ist. In einer solchen Situation ist es problematisch, die Wiederherstellung in derselben Umgebung durchzuführen, der nicht mehr vertraut werden kann.

Die mandantenübergreifende Wiederherstellung ermöglicht in diesem Fall den Aufbau der Identitätsschicht in einem sauberen, separaten Mandanten. Wesentliche Mitarbeitende können so den Zugang zu zentralen Anwendungen wiedererlangen, während der primäre Mandant bereinigt oder wiederhergestellt wird. Das verschafft Unternehmen Handlungsspielraum in einer Phase, in der jede Stunde zählt.

Keepit stuft dies ausdrücklich als teilweise Notfallwiederherstellung ein. Identitätsobjekte und Konfigurationen werden übertragen – nicht jedoch die vollständige Microsoft 365-Umgebung. Für eine vollständige Funktionalität im Zielmandanten sind weiterhin entsprechende Lizenzen und eine eigenständige Bereitstellung erforderlich. Die Überprüfung der Lizenzsituation im Ziel-Mandanten wird daher ausdrücklich empfohlen.

Verfügbarkeit und Ausblick

Die mandantenübergreifende Wiederherstellung steht als erste Version (V1) im Rahmen des Entra ID-Angebots von Keepit zur Verfügung. Der Anbieter gibt an, Kundenfeedback aktiv einzubeziehen, um Funktionsumfang und -tiefe schrittweise weiterzuentwickeln. Welche Erweiterungen konkret geplant sind, lässt Keepit zum jetzigen Zeitpunkt offen.

Auch interessant:

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk