Was ist Microsoft Entra ID?
Microsoft Entra ID (seit 2023 Umbenennung von Azure Active Directory) ist Microsofts cloudbasierte Identitäts- und Zugriffsverwaltungsplattform. Für Unternehmen die Microsoft 365 nutzen, ist Entra ID das zentrale Identity-System:
- Benutzerauthentifizierung für alle Microsoft 365-Dienste
- Single Sign-On (SSO) für tausende SaaS-Anwendungen
- Multi-Faktor-Authentifizierung (MFA)
- Conditional Access für kontextbasiertes Zugriffs-Management
- Device Management (zusammen mit Intune)
- Privileged Identity Management (PIM)
Entra ID unterscheidet sich grundlegend von On-Premises Active Directory (AD DS): Es ist ein Cloud-Dienst ohne LDAP, kein Domänencontroller, keine Gruppenrichtlinien.
Entra ID Admin Center aufrufen
entra.microsoft.com – Direkter Zugang zum Entra-Portal
Alternativ: admin.microsoft.com → Admin Center → Azure Active Directory
Login: Mit Ihrem Microsoft 365 Global Admin Account.
Benutzer verwalten
Neuen Benutzer anlegen
Entra ID → Benutzer → Neuer Benutzer → Benutzer erstellen:
- Benutzerprinzipalname:
[email protected] - Anzeigename: Max Mustermann
- Vorname/Nachname: ausfüllen
- Jobbezeichnung: z. B. IT-Administrator
- Abteilung: IT
- Passwort: Automatisch generieren oder manuelles Setzen
- Konto aktiviert: ✓
Tipp: Aktivieren Sie "Passwort beim ersten Login ändern" für neue Benutzer.
Benutzer per PowerShell anlegen (Massenimport)
Für viele Benutzer gleichzeitig:
`Connect-MgGraph -Scopes "User.ReadWrite.All"
$users = Import-Csv "C:\benutzer.csv"
foreach ($user in $users) {
New-MgUser -DisplayName $user.Name -UserPrincipalName $user.UPN -AccountEnabled:$true -PasswordProfile @{Password = "TempPass2025!"; ForceChangePasswordNextSignIn = $true}
}`
CSV-Format: Name, UPN, Department, Title
Benutzer-Eigenschaften und Profilfoto
Benutzer auswählen → Bearbeiten:
- Profilfoto hochladen (erscheint in Teams, Outlook)
- Kontaktinformationen ergänzen
- Nutzungsstandort setzen (wichtig für Lizenzzuweisung!)
Gruppen verwalten
Gruppentypen in Entra ID
| Typ | Mitgliedschaft | Zweck |
|---|---|---|
| Sicherheitsgruppe | Manuell oder Dynamisch | App-Zugang, Berechtigungen |
| Microsoft 365 Gruppe | Manuell | Teams, SharePoint, Mailbox |
| Verteilergruppe | Manuell | E-Mail-Verteilung |
Neue Sicherheitsgruppe erstellen
Entra ID → Gruppen → Neue Gruppe:
- Gruppentyp: Sicherheit
- Gruppenname: z. B.
SG-VPN-BenutzeroderSG-Buchhaltung - Mitgliedschaftstyp:
- Zugewiesen: Manuelle Mitgliedschaft
- Dynamischer Benutzer: Automatisch nach Attributen (Abteilung, Jobbezeichnung)
Dynamische Gruppen (sehr nützlich!)
Automatische Mitgliedschaft anhand von Benutzerattributen:
Beispiel: Alle Benutzer der Abteilung "IT" automatisch in Gruppe "SG-IT":
Mitgliedschaftstyp: Dynamischer Benutzer
Dynamische Abfrageregel:user.department -eq "IT"
Weitere Beispiele:user.jobTitle -contains "Manager"user.userPrincipalName -endsWith "@ihrefirma.de"user.accountEnabled -eq true
Rollen zuweisen
Entra-Rollen (für Entra ID-Verwaltung)
Benutzer → Zugewiesene Rollen → Zuweisung hinzufügen:
Wichtige Rollen:
- Global Administrator: Vollzugriff auf alles (nur 2–3 Personen!)
- User Administrator: Benutzer und Gruppen verwalten
- Password Administrator: Passwörter zurücksetzen
- License Administrator: Lizenzen zuweisen/entziehen
- Security Reader: Sicherheitsberichte lesen (kein Schreiben)
- Helpdesk Administrator: Passwörter zurücksetzen, MFA verwalten
Wichtig: Least Privilege! Weisen Sie nur die nötigsten Rollen zu. Globale Admins sollten MFA und PIM aktiviert haben.
Microsoft 365 Rollen
Im Microsoft 365 Admin Center gibt es zusätzliche Rollen für Dienste wie Exchange, Teams und SharePoint.
Lizenzen zuweisen
Einzelne Lizenz zuweisen
Benutzer → Lizenzen → Zuweisung:
Lizenz-Paket auswählen (z. B. Microsoft 365 Business Premium)
Optionale Dienste aktivieren/deaktivieren.
Gruppenbasierte Lizenzzuweisung
Effizienter für viele Benutzer: Lizenzen an Gruppe zuweisen.
Entra ID → Gruppen → Gruppe auswählen → Lizenzen → Zuweisung:
Lizenz der Gruppe zuweisen → alle Gruppenmitglieder erhalten automatisch die Lizenz.
Self-Service Password Reset (SSPR)
SSPR erlaubt Benutzern ihr Passwort selbst zurückzusetzen – reduziert IT-Support-Anfragen erheblich.
Entra ID → Kennwortzurücksetzung → Eigenschaften:
- SSPR aktiviert für: Ausgewählte (Pilotgruppe) oder Alle
Authentifizierungsmethoden:
- Mobile App-Code ✓
- E-Mail ✓
- Handynummer ✓
- Sicherheitsfragen (optional)
- Anzahl Methoden für SSPR: 2 (Empfehlung)
Registrierungs-Portal: https://aka.ms/ssprsetup
Named Locations und Sign-In Logs
Sign-In-Aktivität überwachen
Entra ID → Anmeldungen:
- Alle Anmeldeversuche (erfolgreich + fehlgeschlagen)
- Geräte, Browser, IP-Adressen
- Filter: Fehlgeschlagene Anmeldungen der letzten 24h
Named Locations
Für Conditional Access: Definieren Sie vertrauenswürdige Standorte.
Entra ID → Sicherheit → Named Locations:
- Name: z. B. "Büro Heidelberg"
- IP-Bereiche: 85.x.x.x/32 (öffentliche IP des Büros)
FAQ
Was ist der Unterschied zwischen Entra ID Free und P1/P2?
- Free: Grundlegende Identitätsverwaltung, SSO für bis zu 10 Apps
- P1 (in M365 Business Premium enthalten): Conditional Access, SSPR, Dynamische Gruppen
- P2: Privileged Identity Management (PIM), Identity Protection (risikobasierter Zugang)
Kann ich Entra ID mit On-Premises Active Directory verbinden?
Ja, über Azure AD Connect (bzw. Entra Connect Sync). Benutzer werden aus dem lokalen AD synchronisiert. Passwort-Hash-Synchronisation ist die einfachste Methode.
Wie migriere ich von On-Premises AD zu Entra ID?
Für KMU: Schritt-für-Schritt über Azure AD Connect, dann schrittweiser Übergang zu Cloud-only. Vollständige Migration dauert typisch 3–12 Monate.
Fazit
Microsoft Entra ID ist das Herzstück jeder modernen Microsoft-365-Umgebung. Eine saubere Benutzer- und Gruppenstruktur legt das Fundament für sichere Conditional-Access-Policies und effizientes Lizenzmanagement.
Als Microsoft-365-Spezialisten in Heidelberg richten wir Entra ID für KMU in Mannheim, Ludwigshafen und der Rhein-Neckar-Region ein. Jetzt M365-Beratung anfragen.