Microsoft 365,  Microsoft Azure

Microsoft Entra Private Access: sicherer Zugriff auf interne Ressourcen und Cloud-Dienste ohne VPN

8. November 2023 /

Letzte Aktualisierung am 14. Februar 2026

Microsoft Entra Private Access ermöglicht identitätsbasierten Zugriff auf private Unternehmensanwendungen und Ressourcen im lokalen Netzwerk sowie in der Cloud, ohne klassische VPN-Verbindungen. Die Zugriffssteuerung übernimmt Microsoft Entra ID und setzt Zero-Trust-Prinzipien kontextabhängig durch.

Als Bestandteil von Microsoft Entra Global Secure Access ermöglicht der Dienst einen standortunabhängigen Netzwerkzugriff. Microsoft Entra ID wertet dabei Identität, Gerätestatus und Richtlinien aus.

Der Beitrag beschreibt die Konfiguration von Microsoft Entra Private Access von der Aktivierung über die Einrichtung des Schnellzugriffs bis zur Installation des Global Secure Access Clients. Die Funktionskontrolle erfolgt anhand der Namensauflösung und einer Remotedesktopverbindung auf eine interne Ressource.

Inhaltsverzeichnis verbergen
1 Voraussetzungen und Lizenzierung
1.1 Lizenzen
1.2 Rollen
1.3 Geräte
2 Einrichtung Microsoft Entra Private Access
2.1 Aktivierung Microsoft Entra Private Access
2.2 Installation Connector für private Netzwerke
3 Konfiguration Schnellzugriff (Quick Access)
3.1 Schnellzugriff für Remote Desktop Session Host (RDSH)
4 Installation Global Secure Access Client
5 Funktionskontrolle
5.1 Namensauflösung (FQDN, nslookup)
5.2 Remote Desktop Session Host (RDSH)
6 Fehlersuche und Fehlerbehebung
7 Gut zu wissen
7.1 Connector für private Netzwerke
8 Fazit

Voraussetzungen und Lizenzierung

Lizenzen

Für Microsoft Entra Private Access ist pro Benutzer eine der folgenden Lizenzen notwendig:

  • Microsoft Entra Suite
  • Microsoft Entra Private Access

Detaillierte Informationen und Preisgestaltung zu den verschiedenen Plänen sind übersichtlich auf der Microsoft Produktwebseite: Microsoft Entra Plans and Pricing | Microsoft Security

Rollen

Für Microsoft Entra Private Access sind folgende Rollen nach dem Prinzip der geringsten Berechtigungen geeignet:

RolleBerechtigung
Global Secure Access-AdministratorEinrichten und Verwalten von Global Secure Access
Administrator für den bedingten ZugriffKonfiguration und Verwaltung der bedingten Microsoft Entra-Zugriffsrichtlinien
AnwendungsadministratorErstellen und Konfigurieren von Unternehmensanwendungen und Schnellzugriff (Quick Access), Registrierung des Connectors für private Netzwerke

Geräte

Folgende Voraussetzungen gelten für die Geräte:

  • Windows 10, Windows 11 und Windows on Arm: Gerät muss Microsoft Entra joined oder Microsoft Entra hybrid joined sein.
    Microsoft Entra registered Geräte werden in Public Preview unterstützt, siehe: Microsoft Entra Private Access BYOD: Zugriff auf interne Ressourcen mit Entra Registered Geräten – cloudkaffee.ch.
  • macOS: ab macOS 13, Gerät muss über das Unternehmensportal (Company Portal) in Microsoft Entra registriert sein, zusätzlich ist das Microsoft Enterprise SSO Plug-In erforderlich.
  • Android: ab Android 10, Android Go wird nicht unterstützt.
  • iOS/iPadOS: als Preview verfügbar, ab iOS 15.0.

Einrichtung Microsoft Entra Private Access

Aktivierung Microsoft Entra Private Access

Die Aktivierung Microsoft Entra Private Access erfolgt über die Datenverkehrsweiterleitungen im Microsoft Entra Admin Center (https://entra.microsoft.com).

Unter Global Secure Access > Verbinden > Datenverkehrsweiterleitung das Profil für privaten Zugriff aktivieren.

Microsoft Entra admin center showing traffic forwarding profiles with the Private Access profile enabled

Benutzer- und Gruppenzuweisungen vornehmen.
Es können alle Benutzer (1)einzelne Benutzer oder Gruppen (2) ausgewählt werden. Die Aktion setzt die Rolle Global Secure Access Administrator und Anwendungsadministrator gleichzeitig voraus.

Microsoft Entra admin center showing traffic forwarding configuration with Private Access profile and user and group assignments

Installation Connector für private Netzwerke

Microsoft Entra Private Access erfordert die Installation eines Connectors für private Netzwerke auf einem lokalen Windows Server. Der Connector stellt eine ausgehende Verbindung vom internen Netzwerk zu Microsoft Entra her und ermöglicht den Zugriff auf private Ressourcen.

Der Download des Connectors erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Global Secure Access > Verbinden > Connectors und Sensoren > Connector für private Netzwerke > Connectordienst herunterladen. Nach Akzeptieren der Nutzungsbedingungen wird der Connector für private Netzwerke heruntergeladen.

Microsoft Entra admin center showing the download of the Private Network Connector for Entra Private Access

Die heruntergeladene Installationsdatei MicrosoftEntraPrivateNetworkConnectorInstaller.exe wird nun auf einen Windows Server ab Version 2016 kopiert und installiert. Microsoft Entra Private Access setzt einen Connector für private Netzwerke auf einem Server voraus, der Zugriff auf die internen Zielressourcen besitzt.

Installation mit Install starten.

Microsoft Entra Private Network Connector setup showing license terms and installation prompt

Die Installation wird durchgeführt.

Microsoft Entra Private Network Connector installation progress during setup

Für die Registrierung des Connectors für private Netzwerke ist ein Konto erforderlich, dem die Entra Rolle Anwendungsadministrator zugewiesen ist.

Microsoft Entra Private Network Connector sign in during connector registration

Der Connector für private Netzwerke ist installiert, ein Neustart des Servers ist erforderlich.

Microsoft Entra Private Network Connector installation completed successfully

Der Connector für private Netzwerke stellt die ausgehende Verbindung zu Microsoft Entra Global Secure Access her und zeigt den Status Aktiv im Entra Admin Center an.

Microsoft Entra admin center showing an active Private Network Connector

Konfiguration Schnellzugriff (Quick Access)

Der Schnellzugriff (Quick Access) definiert die Zielressourcen, die über Microsoft Entra Private Access erreichbar gemacht werden. Über Namensauflösungen (FQDN) oder IP-Adressbereiche und Portdefinitionen wird festgelegt, welcher Datenverkehr über Microsoft Entra Private Access geführt wird.

Der Abschnitt beschreibt die Konfiguration des Schnellzugriffs für den Zugriff auf einen Remote Desktop Session Host (RDSH).

Schnellzugriff für Remote Desktop Session Host (RDSH)

Schnellzugriff im Microsoft Entra Admin Center (https://entra.microsoft.com) > Global Secure Access > Anwendungen aufrufen.

  1. Name für den Schnellzugriff vergeben, z.B. int.cloudcoffee.ch
  2. Connectorgruppe auswählen, in die der Connector für private Netzwerke Zugriff auf die Ressourcen erhält
  3. Speichern klicken
Microsoft Entra admin center showing Quick Access network access properties for Entra Private Access

Im nächsten Schritt werden die Anwendungssegmente konfiguriert. Die folgende Konfiguration beschreibt den Zugriff auf einen Remote Desktop Session Host über den vollqualifizierten Domänennamen.

Das Anwendungssegment wird unter Application segments > Schnellzugriffsanwendungssegment hinzufügen erstellt.

  1. Zieltyp vollqualifizierter Domänenname auswählen
  2. Vollqualifizierter Domänenname (FQDN) eingeben, z.B. cclvsrts001.int.cloudcoffee.ch
  3. Ports 3389 (RDP)
  4. Protokoll TCP

Die Konfiguration mit Anwenden speichern.

Microsoft Entra admin center showing Quick Access application segment configuration for Remote Desktop access

Die Konfiguration wird über Speichern übernommen.

Microsoft Entra admin center showing a saved Quick Access application segment for Remote Desktop access

Unter Benutzer und Gruppen werden Microsoft Entra Benutzer oder Gruppen zugewiesen, die Zugriff auf die konfigurierten Anwendungssegmente erhalten.

Microsoft Entra admin center showing user and group assignment for Quick Access

Optional kann eine bedingte Microsoft Entra Zugriffsrichtlinie für den Schnellzugriff konfiguriert werden, um die Sicherheit weiter zu erhöhen.

Microsoft Entra admin center showing Conditional Access policies applied to Quick Access

Der Schnellzugriff (Quick Access) auf einen Remote Desktop Session Host (RDSH) ist eingerichtet. Weitere Dienste, wie zum Beispiel SMB Dateifreigaben, können nach dem gleichen Vorgehen konfiguriert werden.

Tipp
Beim Schnellzugriff gilt die Zuweisung global: Alle dort zugewiesenen Benutzer und Gruppen haben Zugriff auf sämtliche konfigurierten Anwendungssegmente.

Für eine granulare Zuweisung von Benutzern an einzelne Anwendungen werden Unternehmensanwendungen eingesetzt. Diese erlauben anwendungsspezifische Microsoft Entra Conditional Access Richtlinien und folgen in der Konfiguration dem gleichen Schema wie der Schnellzugriff.

Microsoft Entra admin center showing enterprise applications related to Global Secure Access

Installation Global Secure Access Client

Die Clientsoftware für Windows 10 und Windows 11 wird im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Global Secure Access > Verbinden > Client Download heruntergeladen.

Microsoft Entra admin center showing Global Secure Access client download for Windows 10 and Windows 11

Die Installation der heruntergeladenen Datei GlobalSecureAccessClient.exe wird per Doppelklick gestartet.

Global Secure Access Client installer showing license terms acceptance on Windows

Die Installation wird gestartet.

Global Secure Access Client installation progress on Windows

Die Installation ist abgeschlossen.

Global Secure Access Client installation successfully completed on Windows

Der Global Secure Access Client startet nach der Anmeldung am Gerät automatisch (1) und stellt die Verbindung für den Benutzer her (2).

Global Secure Access Client showing connected status and active channels on Windows

Funktionskontrolle

In den folgenden Beispielen werden die Namensauflösung (FQDN) sowie die Remotedesktopverbindung (RDP) für cclvsrts001.int.cloudcoffee.ch geprüft. Der Server ist Mitglied der Active Directory Domäne int.cloudcoffee.ch und ausschliesslich aus dem internen Netzwerk erreichbar. Der Zugriff erfolgt von einem Client, der sich ausserhalb des Netzwerks int.cloudcoffee.ch befindet.

Namensauflösung (FQDN, nslookup)

Die Namensauflösung für cclvsrts001.int.cloudcoffee.ch liefert die IP-Adresse 6.6.0.71. Diese Adresse stammt aus dem Microsoft Entra Private Access IP-Adressbereich 6.6.0.0/16.

nslookup showing private DNS resolution via Microsoft Entra Private Access

Remote Desktop Session Host (RDSH)

Der Zugriff auf den Remote Desktop Session Host erfolgt über den FQDN cclvsrts001.int.cloudcoffee.ch mit mstsc.exe (Remote Desktop Connection).

Remote Desktop Connection to an internal server via Microsoft Entra Private Access using FQDN
Remote Desktop session successfully established to an internal server via Microsoft Entra Private Access.

Fehlersuche und Fehlerbehebung

Die Log- und Diagnosemöglichkeiten von Global Secure Access sind im Beitrag Microsoft Entra Internet Access – Fehlersuche und Fehlerbehebung beschrieben.

Gut zu wissen

Connector für private Netzwerke

Connectoren für private Netzwerke, die über einen Zeitraum von 10 Tagen keine aktive Verbindung zu Microsoft Entra Global Secure Access aufbauen, werden dort als inaktiv angezeigt und automatisch entfernt. Die lokale Installation des Connectors auf dem Windows Server bleibt dabei unverändert bestehen und wird nicht automatisch deinstalliert.

Fazit

Microsoft Entra Private Access zeigt, dass sicherer Zugriff auf interne Ressourcen ohne klassisches VPN einfach umsetzbar ist. Identität, Gerätestatus und kontextbasierte Richtlinien werden im Sinne des Zero-Trust-Modells konsequent in den Zugriffspfad integriert, ohne zusätzliche Netzwerkkomplexität. Gerade für hybride und moderne Arbeitsmodelle entsteht damit eine echte Alternative zu VPN-basierten Architekturen.

Neue Inhalte, praxisnah erklärt: Wer nichts verpassen möchte, bleibt über LinkedIn und Bluesky stets informiert.

LinkedIn BlueSky

Kein Marketing, kein Lärm, nur Inhalt.
Ein Kaffee bringt frisches Know-how in die Tasse des nächsten Beitrags.

Buy Me a Coffee
  1. Microsoft Entra Privileged Identity Management (PIM) und FIDO2: Erhöhung der Sicherheit privilegierter Rollen
  2. Microsoft Entra Internet Access: Schutz der Benutzer durch leistungsstarke Filterung von Webinhalten
  3. Sichere Notfallzugriffe: Erstellen und Verwalten von Microsoft Entra Notfallzugriffskonten mit YubiKey (FIDO2)
  4. Token-Sicherheit stärken mit Microsoft Entra und Microsoft Intune