Zum Inhalt springen
sw
en

Tippe um zu suchen

Microsoft 365

Azure – Grundlagen für IT-Allrounder

Microsoft Azure von Grund auf verstehen: Subscription, Resource Groups, VNet, VMs, Storage, Backup und CLI – kompakt für den KMU-IT-Alltag.

10 Min Lesezeit Fortgeschritten Zuletzt aktualisiert:

Was ist Azure – und warum solltest du das wissen?

Microsoft Azure ist die Cloud-Plattform von Microsoft und mit Abstand der wichtigste Partner, wenn du eine M365-Umgebung betreust. Entra ID (früher Azure AD), Exchange Online, SharePoint – alles läuft auf Azure-Infrastruktur. In vielen KMU kommen dazu noch eigene Azure-Dienste: eine VM als Applikationsserver, Azure Backup für den lokalen Windows Server, oder ein VPN-Gateway, das das On-Premise-Netz mit der Cloud verbindet.

Dieses Kapitel erklärt dir die Grundkonzepte, zeigt dir die wichtigsten Dienste und gibt dir konkrete Befehle an die Hand, damit du nicht beim ersten Mal ins Leere starrst, wenn du das Azure Portal öffnest.


Kernkonzepte: So ist Azure aufgebaut

Bevor du in Azure irgendetwas machst, musst du diese Begriffe kennen – alles andere baut darauf auf.

BegriffBedeutung
TenantDeine Organisation in Entra ID. Jede Firma hat einen Tenant (z.B. firma.onmicrosoft.com).
SubscriptionAbrechnungseinheit. Alle Azure-Ressourcen laufen in einer Subscription. Eine Firma hat oft eine oder wenige.
Resource GroupLogischer Container für zusammengehörige Ressourcen (z.B. alle VMs + Storage für Produktion).
RegionPhysischer Standort des Rechenzentrums. Für Schweizer KMU: Switzerland North (Zürich) oder Switzerland West (Genf).
RessourceAlles, was du in Azure erstellst: VM, Storage Account, VNet, Key Vault etc.
Azure PortalDie Web-GUI unter portal.azure.com.
Azure CLIKommandozeilenwerkzeug (az-Befehle), für Automatisierung und Scripting.
ARM Template / BicepInfrastruktur als Code – beschreibt Ressourcen deklarativ in JSON oder Bicep.

Hierarchie verstehen

Die Hierarchie sieht so aus:

Tenant (Entra ID)
└── Management Group (optional, für grosse Organisationen)
    └── Subscription (z.B. "Firma AG Produktion")
        └── Resource Group (z.B. "RG-Server-Prod")
            └── Ressourcen (VM, Storage, VNet ...)

Für ein KMU reicht meistens: ein Tenant → eine Subscription → zwei bis drei Resource Groups (z.B. nach Umgebung: Produktion, Test, Backup).


Das Azure Portal kennenlernen

Öffne portal.azure.com und melde dich mit deinem Firmen-Account an. Die wichtigsten Bereiche:

  • Home / Dashboard: Anpassbare Startseite mit deinen Lieblingsressourcen
  • Alle Ressourcen: Globale Suche über alle Ressourcen aller Resource Groups
  • Resource Groups: Einstiegspunkt für die Verwaltung
  • Kosten + Abrechnung: Hier siehst du, was die Dienste kosten (wichtig!)
  • Microsoft Entra ID: Direkt aus dem Portal verwaltbar
  • Monitor: Logs, Metriken, Alerts für alle Dienste

Die Suchleiste oben ist dein bester Freund: Tippe vm, storage oder key vault ein und du landest direkt beim richtigen Dienst.


Wichtige Azure-Dienste für KMU

Azure Virtual Machines (VMs)

IaaS – du mietest einen virtuellen Server in der Cloud. Microsoft verwaltet die Hardware, du verwaltest Betriebssystem und alles darüber. Typische Einsatzfälle im KMU:

  • Applikationsserver (ERP, Spezialsoftware), die nicht lokal laufen soll
  • Testserver, der nur zeitweise läuft (du zahlst nur für Laufzeit)
  • Terminal Server / RDS im Hybrid-Betrieb

VM-Grössen (vereinfacht):

SerieTypischer Einsatz
B-Serie (B2s, B4ms)Günstig, für Workloads mit variabler Last (Burstable)
D-Serie (D2s_v5)Standard Workloads, ausgewogenes Verhältnis CPU/RAM
E-SerieRAM-lastige Workloads (Datenbanken)
F-SerieCPU-lastige Workloads

Azure Virtual Network (VNet)

Ein VNet ist dein privates Netzwerk in Azure. VMs, Datenbanken und andere Dienste kommunizieren darin. Du definierst selbst den IP-Adressbereich (z.B. 10.10.0.0/16), teilst ihn in Subnetze auf und steuerst mit Network Security Groups (NSG), was rein- und rauskommt.

Für Hybrid-Szenarien (On-Premise + Azure) verbindest du dein lokales Netz via VPN Gateway oder Azure ExpressRoute mit dem VNet – mehr dazu bei VPN – Grundlagen.

Azure Storage

TypVerwendung
Blob StorageDateien, Images, Backups (unstrukturiert)
File StorageSMB-Freigaben in der Cloud (wie ein Netzwerklaufwerk)
Table StorageEinfache NoSQL-Tabellen
Queue StorageNachrichtenwarteschlangen für Applikationen

Für IT-Allrounder in KMU ist Blob Storage am relevantesten – dort landen Azure-Backups, Log-Archive und grosse Dateien.

Azure Backup

Einer der wichtigsten Azure-Dienste für KMU: Backups für lokale Windows Server und Azure VMs. Du erstellst einen Recovery Services Vault (einen Tresor), konfigurierst dort Backup-Richtlinien und kannst direkt aus dem Portal wiederherstellen. Mehr Details weiter unten im Praxisteil.

Azure Key Vault

Sichere Speicherung von Secrets (Passwörter, API-Keys), Zertifikaten und kryptografischen Schlüsseln. Applikationen holen sich Secrets aus dem Key Vault, statt sie hardcoded im Code zu haben. Auch für IT-Admins relevant: Zertifikate für VMs oder VPN-Gateways zentral verwalten.

Azure Monitor

Zentrale Stelle für Logs, Metriken und Alerts. Du kannst Alert-Regeln erstellen: z.B. “wenn die CPU einer VM über 5 Minuten über 90% liegt, sende mir eine E-Mail.” Für KMU-Umgebungen ist das ein günstiges Monitoring. Mehr dazu bei Monitoring – Grundlagen.


Azure CLI – Die Kommandozeile

Die Azure CLI (Befehl: az) ist in PowerShell, Bash und cmd verwendbar. Installiere sie einmalig, dann kannst du alles skripten.

Installation unter Windows:

# Via winget (empfohlen)
winget install Microsoft.AzureCLI

# Prüfen ob installiert
az version

Login und Subscription auswählen:

# Interaktiver Browser-Login
az login

# Alle Subscriptions anzeigen
az account list --output table

# Aktive Subscription setzen
az account set --subscription "Firma AG Produktion"

# Aktuelle Subscription anzeigen
az account show --output table

Resource Groups verwalten:

# Alle Resource Groups anzeigen
az group list --output table

# Resource Group erstellen
az group create --name "RG-Test" --location "switzerlandnorth"

# Resource Group löschen (Vorsicht: alle Ressourcen darin werden gelöscht)
az group delete --name "RG-Test" --yes

VMs verwalten:

# Alle VMs anzeigen
az vm list --output table

# VM starten
az vm start --resource-group "RG-Prod" --name "VM-AppServer01"

# VM stoppen (deallocate = keine Kosten mehr)
az vm deallocate --resource-group "RG-Prod" --name "VM-AppServer01"

# VM neu starten
az vm restart --resource-group "RG-Prod" --name "VM-AppServer01"

# VM-Status prüfen
az vm get-instance-view --resource-group "RG-Prod" --name "VM-AppServer01" \
  --query "instanceView.statuses[1].displayStatus" --output tsv

Storage Accounts:

# Alle Storage Accounts anzeigen
az storage account list --output table

# Neuen Storage Account erstellen
az storage account create \
  --name "firmabkp2026" \
  --resource-group "RG-Backup" \
  --location "switzerlandnorth" \
  --sku "Standard_LRS"

Azure Backup – Praxisanleitung

On-Premise Windows Server sichern

So sicherst du einen lokalen Windows Server nach Azure – ohne teure Backup-Appliance:

Schritt 1: Recovery Services Vault erstellen

# Via Azure CLI
az backup vault create \
  --resource-group "RG-Backup" \
  --name "vault-firma-backup" \
  --location "switzerlandnorth"

Oder im Portal: Alle Dienste > Backup Center > Recovery Services Vaults > + Erstellen

Schritt 2: MARS Agent herunterladen und installieren

Im Portal: Recovery Services Vault > Backup > “On-Premises” auswählen > “Files and folders” > Agent herunterladen. Lade auch die Vault-Credentials-Datei herunter (gilt 10 Tage).

Führe das Setup auf dem Server aus. Bei der Registrierung gibst du die Vault-Credentials-Datei an.

Schritt 3: Backup-Zeitplan konfigurieren

Im MARS Agent auf dem Server: “Backup planen” > Ordner/Laufwerke auswählen > Zeitplan festlegen (z.B. täglich 23:00 Uhr) > Aufbewahrungsdauer (z.B. 30 Tage täglich, 12 Monate monatlich).

Schritt 4: Wiederherstellung

Im MARS Agent: “Daten wiederherstellen” > Datum auswählen > Dateien auswählen > Zielordner angeben.

Oder direkt im Azure Portal: Vault > Backup Items > Wähle den Server > Restore.

Azure VM sichern

# Backup-Policy erstellen (täglich, 30 Tage Aufbewahrung)
az backup policy create \
  --resource-group "RG-Backup" \
  --vault-name "vault-firma-backup" \
  --name "Policy-Daily30" \
  --policy "$(az backup policy get-default-for-vm \
    --resource-group RG-Backup \
    --vault-name vault-firma-backup)"

# VM in Backup aufnehmen
az backup protection enable-for-vm \
  --resource-group "RG-Prod" \
  --vault-name "vault-firma-backup" \
  --vm "VM-AppServer01" \
  --policy-name "Policy-Daily30"

Network Security Groups (NSG) – Firewall in Azure

Eine NSG ist eine einfache Firewall, die du Subnetzen oder einzelnen VM-Netzwerkkarten zuweisen kannst. Sie enthält Regeln mit Priorität (niedrige Zahl = höhere Priorität), Protokoll, Quell- und Ziel-IP sowie Port.

Typische Regeln für einen Windows Server:

PrioritätNameRichtungPortAktion
100Allow-RDP-MgmtEingehend3389 TCPErlauben (nur von Mgmt-IP)
110Allow-HTTPSEingehend443 TCPErlauben
120Allow-HTTPEingehend80 TCPErlauben
4096Deny-All-InboundEingehendAlleVerweigern
# NSG erstellen
az network nsg create \
  --resource-group "RG-Prod" \
  --name "NSG-AppServer"

# RDP nur von bestimmter IP erlauben
az network nsg rule create \
  --resource-group "RG-Prod" \
  --nsg-name "NSG-AppServer" \
  --name "Allow-RDP-from-Office" \
  --priority 100 \
  --direction Inbound \
  --protocol Tcp \
  --source-address-prefixes "203.0.113.10" \
  --destination-port-ranges 3389 \
  --access Allow

# NSG einem Subnetz zuweisen
az network vnet subnet update \
  --resource-group "RG-Prod" \
  --vnet-name "VNet-Firma" \
  --name "Subnet-Server" \
  --network-security-group "NSG-AppServer"

Azure und M365 – das Zusammenspiel

Als IT-Allrounder, der M365 betreut, begegnest du Azure vor allem in diesen Situationen:

  • Entra ID (Azure AD): Zentrale Benutzerverwaltung für M365 und Azure. Lizenzen, Conditional Access, MFA – alles läuft über Entra ID. Sieh dazu Entra ID – Grundlagen.
  • Hybrid Join / Intune: Wenn Geräte in Entra ID registriert sind, kommen MDM-Richtlinien aus Intune – Azure-basiert. Sieh Intune – Grundlagen.
  • Azure AD Connect / Entra Connect: Synchronisiert On-Premise Active Directory mit Entra ID. Läuft als Dienst auf einem On-Premise Server, Logs und Sync-Status abrufbar im Portal.
  • M365 Conditional Access: Technisch eine Entra-ID-Funktion, aber beeinflusst alle M365-Dienste. Richtlinien definieren, unter welchen Bedingungen ein Login erlaubt ist (Gerät compliant? Standort? MFA?).

Troubleshooting – häufige Probleme

Azure CLI meldet “no subscriptions found”

# Tenant explizit angeben beim Login
az login --tenant "firma.onmicrosoft.com"

# Alle Tenants anzeigen
az account list --all --output table

VM startet nicht / bleibt im “Stopping”-Zustand

  • Im Portal: VM > Übersicht > Boot-Diagnose aktivieren (zeigt Screenshot vom letzten Start)
  • Über CLI: az vm boot-diagnostics get-boot-log --resource-group "RG-Prod" --name "VM-AppServer01"
  • Häufige Ursache: falsche NSG-Regeln blockieren den Startup-Skript, oder ein Dienst crasht beim Start

Backup schlägt fehl mit “UserErrorVmProvisioningStateFailed”

  • VM ist möglicherweise im Deallocated-Zustand
  • Backup-Extension auf der VM prüfen: Im Portal VM > Extensions > “MicrosoftAzureRecoveryServices” muss vorhanden und aktuell sein

Storage Account nicht erreichbar

  • Firewall-Einstellungen des Storage Accounts prüfen (Portal: Storage Account > Sicherheit + Netzwerk > Netzwerk)
  • Private Endpoint vs. Public Endpoint: Wenn Private Endpoint aktiv, muss Zugriff aus VNet kommen

Kosten unerwartet hoch

# Top 10 teuerste Ressourcen der letzten 30 Tage (via Cost Management)
az consumption usage list --top 10 --output table

Einfacher: Im Portal Kostenverwaltung + Abrechnung > Kostenanalyse aufrufen und nach Ressource gruppieren.


Weiterlernen

Kommentare

Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.

  • Lade Kommentare …
Kommentar schreiben