Zum Inhalt springen
sw
en

Tippe um zu suchen

Microsoft 365

Azure AD / Entra ID – Grundlagen

Microsoft Entra ID (ehemals Azure AD) ist der cloudbasierte Identitätsdienst fuer M365. Grundlagen, Konzepte, Hybrid-Szenarien und Conditional Access fuer KMU.

9 Min Lesezeit Fortgeschritten Zuletzt aktualisiert:

Was ist Microsoft Entra ID?

Microsoft Entra ID – bis Juli 2023 unter dem Namen Azure Active Directory (Azure AD) bekannt – ist Microsofts cloudbasierter Identitaets- und Zugriffsverwaltungsdienst. Einfach gesagt: Es ist das Verzeichnis, das weiss, wer du bist, und entscheidet, worauf du zugreifen darfst.

Wenn du dich bei Outlook, Teams oder SharePoint anmeldest, laeuft die Authentifizierung im Hintergrund immer ueber Entra ID. Kein Entra ID, kein M365.

Entra ID ist nicht dasselbe wie das klassische On-Premise Active Directory (AD DS), das du vielleicht aus deiner Serverumgebung kennst. Die beiden koennen aber zusammenarbeiten – mehr dazu im Abschnitt Hybrid-Szenarien.


On-Premise AD vs. Entra ID – der Vergleich

Das ist die Frage, die am haeufigsten fuer Verwirrung sorgt. Hier die Unterschiede auf einen Blick:

MerkmalOn-Premise AD (AD DS)Microsoft Entra ID
BetriebEigener Windows ServerMicrosoft Cloud (SaaS)
ProtokollKerberos, NTLM, LDAPOAuth 2.0, SAML, OpenID Connect
GeraeteverwaltungDomaenenbeitritt (Domain Join)Entra Join / Entra Registrierung
VPN fuer Remote?Ja, typischerweiseNein, cloud-nativ
Gruppenrichtlinien (GPOs)JaNein – Intune stattdessen
KostenEigene Server + LizenzenIm M365-Abo enthalten
SkalierungManuellAutomatisch durch Microsoft
AusfallsicherheitSelbst verantwortlich99,99% SLA durch Microsoft

Kurze Faustregel:

  • Hast du nur M365 und keine eigenen Server? Dann lebst du rein in Entra ID (Cloud-only).
  • Hast du einen Windows Server mit Active Directory? Dann kannst du beides verbinden: Hybrid.
  • Grosse Unternehmen haben oft Hybrid, KMU wechseln zunehmend zu Cloud-only.

Die Entra ID Lizenz-Stufen

Entra ID gibt es in drei Stufen – je nach M365-Abo ist eine davon bereits enthalten:

StufeEnthalten inWichtigste Features
FreeAlle M365-AbosBasisverwaltung, SSO fuer bis zu 10 Apps, MFA per Security Defaults
P1M365 Business Premium, E3Conditional Access, Self-Service Password Reset, Hybrid-Join
P2M365 E5Identity Protection, Privileged Identity Management (PIM), Access Reviews

Wichtige Konzepte im Alltag

Benutzer und Gruppen

Benutzer in Entra ID entsprechen den User-Accounts, die du aus dem On-Premise AD kennst. Gruppen funktionieren gleich – mit einem Unterschied: Es gibt dynamische Gruppen, die sich automatisch befuellen, basierend auf User-Attributen (z.B. alle User mit department = Buchhaltung).

Im Entra Admin Center: entra.microsoft.com → Identitaet → Benutzer

Per PowerShell (Microsoft Graph Modul):

# Modul installieren (einmalig)
Install-Module Microsoft.Graph -Scope CurrentUser

# Anmelden
Connect-MgGraph -Scopes "User.Read.All", "Group.Read.All"

# Alle Benutzer auflisten
Get-MgUser -All | Select DisplayName, UserPrincipalName, AccountEnabled

# Gesperrte Accounts finden
Get-MgUser -Filter "accountEnabled eq false" | Select DisplayName, UserPrincipalName

# Einen User deaktivieren
Update-MgUser -UserId "max.muster@firma.ch" -AccountEnabled:$false

# Benutzer einer Gruppe hinzufuegen
$user = Get-MgUser -UserId "max.muster@firma.ch"
$group = Get-MgGroup -Filter "displayName eq 'IT-Team'"
New-MgGroupMember -GroupId $group.Id -DirectoryObjectId $user.Id

Entra ID Rollen

Rollen steuern, wer was im Admin Center darf. Das Prinzip “Least Privilege” gilt hier besonders – niemand sollte Globaler Administrator sein, der es nicht wirklich braucht.

RolleWas sie darf
Globaler AdministratorAlles – so wenig wie moeglich vergeben!
BenutzeradministratorUser und Gruppen erstellen/bearbeiten/loeschen
Helpdesk-AdministratorPasswoerter zuruecksetzen, Sessions widerrufen
SicherheitsleseberechtigterSecurity-Reports lesen, keine Aenderungen
LizenzadministratorLizenzen zuweisen und entfernen
Exchange-AdministratorExchange Online verwalten
Intune-AdministratorGeraete und MDM-Richtlinien verwalten
# Aktuelle Rollenzuweisungen anzeigen
Connect-MgGraph -Scopes "RoleManagement.Read.Directory"
Get-MgRoleManagementDirectoryRoleAssignment -All |
  Select PrincipalId, RoleDefinitionId |
  ForEach-Object {
    $user = Get-MgUser -UserId $_.PrincipalId -ErrorAction SilentlyContinue
    $role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId $_.RoleDefinitionId
    [PSCustomObject]@{ User = $user.DisplayName; Role = $role.DisplayName }
  }

Hybrid-Szenarien

Viele KMU haben noch einen lokalen Windows Server mit Active Directory. Entra ID kann damit verbunden werden – das nennt sich Hybrid Identity.

Azure AD Connect / Entra Connect

Das Kernstueck jeder Hybrid-Umgebung ist Microsoft Entra Connect (frueherer Name: Azure AD Connect). Es ist ein Dienst, der auf einem Windows Server laeuft und User, Gruppen und Passwoerter von On-Premise AD nach Entra ID synchronisiert.

So laeuft die Synchronisation:

  1. User wird in On-Premise AD angelegt
  2. Entra Connect synchronisiert ihn alle 30 Minuten nach Entra ID
  3. Der User kann sich jetzt mit demselben Account bei M365 anmelden
  4. Single Sign-On: Login am Windows-PC reicht, kein zweites Passwort noetig

Synchronisations-Methoden im Vergleich:

MethodeErklaerungEmpfehlung
Password Hash Sync (PHS)Passwort-Hash wird mit Entra ID synchronisiertEmpfohlen fuer die meisten KMU
Pass-Through Authentication (PTA)Passwort-Validierung laeuft immer On-PremiseWenn Passwoerter nie die eigene Infra verlassen sollen
Federation (ADFS)Eigener Federation-Server, max. KontrolleNur fuer sehr spezifische Anforderungen, wartungsintensiv

Sync-Status pruefen:

# Auf dem Entra Connect Server
Import-Module ADSync
Get-ADSyncScheduler          # Zeigt Sync-Intervall und letzten Lauf
Start-ADSyncSyncCycle -PolicyType Delta   # Manuelle Delta-Synchronisation starten
Start-ADSyncSyncCycle -PolicyType Initial # Vollstaendige Synchronisation (selten noetig)

Geraete-Szenarien

SzenarioErklaerungTypischer Einsatz
Entra ID JoinedGeraet ist nur in Entra ID (kein On-Premise AD)Neue Geraete, Cloud-only KMU
Hybrid Entra ID JoinedGeraet ist in On-Premise AD und Entra IDBestehende AD-Umgebungen
Entra ID RegisteredBYOD – Geraet ist registriert, aber nicht “gejoined”Private Handys, privat genutzte PCs

Conditional Access – das Herzstueck der Sicherheit

Conditional Access (Bedingter Zugriff) ist das wichtigste Sicherheitsfeature von Entra ID P1. Die Grundidee: Zugriff wird nicht pauschal erlaubt, sondern nur unter bestimmten Bedingungen.

Die Logik ist simpel: WENN [Bedingung] → DANN [Steuerung]

Typische Bedingungen (WENN):

  • User gehoert zu Gruppe X
  • Zugriff von einem unbekannten Geraet (nicht compliant)
  • Anmeldung aus einem riskanten Land (z.B. Nigeria, Russland)
  • Anmeldung ausserhalb der Geschaeftszeiten
  • Zugriff auf eine bestimmte App (z.B. Azure Portal)

Moegliche Steuerungen (DANN):

  • MFA verlangen
  • Zugriff blockieren
  • Nur von compliant-Geraeten erlauben
  • Passwort-Aenderung erzwingen

Typische Conditional Access Policies fuer ein KMU:

Policy 1: MFA fuer alle externen Zugriffe
  WENN:  Anmeldung von ausserhalb des Firmennetzwerks
  DANN:  MFA verlangen

Policy 2: Adminzugriff immer MFA
  WENN:  User hat eine Admin-Rolle
  DANN:  MFA verlangen (egal wo)

Policy 3: Blockierung aus Hochrisiko-Laendern
  WENN:  Anmeldung aus Land-Liste (z.B. alle ausser CH/DE/AT)
  DANN:  Zugriff blockieren

Policy 4: Nur compliant-Geraete fuer Exchange
  WENN:  Zugriff auf Exchange Online
  DANN:  Entra ID Joined oder Compliant Device verlangen

Konfiguriert im Entra Admin Center unter: Schutz → Bedingter Zugriff → Richtlinien → + Neue Richtlinie


Multi-Faktor-Authentifizierung (MFA)

MFA ist die effektivste Einzelmassnahme gegen Account-Kompromittierung. Gestohlene Passwoerter nuetzen einem Angreifer nichts, wenn er keinen Zugriff auf den zweiten Faktor hat.

MFA-Methoden in Entra ID (von sicher zu weniger sicher):

MethodeSicherheitBenutzerfreundlichkeit
FIDO2-Sicherheitsschluessel (z.B. YubiKey)Sehr hochMittel
Microsoft Authenticator App (Push)HochHoch
Authenticator App (TOTP Code)HochMittel
SMS-CodeMittel (SIM-Swapping moeglich)Hoch
AnrufNiedrigNiedrig

Per-User MFA vs. Conditional Access MFA:

  • Per-User MFA: Alte Methode, MFA wird pauschal fuer einzelne User aktiviert. Unflexibel, nicht empfohlen.
  • Security Defaults: Kostenlos, MFA fuer alle – aber keine Ausnahmen moeglich. Gut fuer sehr kleine Teams ohne P1.
  • Conditional Access: Empfohlen ab P1. Flexibel, steuerbar, kombinierbar mit anderen Bedingungen.

Self-Service Password Reset (SSPR)

SSPR erlaubt es Usern, ihr eigenes Passwort zurueckzusetzen – ohne beim IT-Helpdesk anzurufen. Spart enorm viel Zeit.

Einrichten: Entra Admin Center → Schutz → Passwortzuruecksetzung

Konfigurationspunkte:

  • Wer darf SSPR nutzen? (alle User oder bestimmte Gruppen)
  • Wie viele Methoden zur Verifikation? (empfohlen: 2)
  • Erlaubte Methoden: Authenticator App, E-Mail, Mobilnummer, Sicherheitsfragen
# SSPR-Status fuer alle User pruefen
Connect-MgGraph -Scopes "UserAuthenticationMethod.Read.All"
Get-MgUser -All | ForEach-Object {
  $methods = Get-MgUserAuthenticationMethod -UserId $_.Id
  [PSCustomObject]@{
    User    = $_.DisplayName
    UPN     = $_.UserPrincipalName
    Methods = ($methods.AdditionalProperties.Values | Where-Object { $_ -is [string] }) -join ", "
  }
} | Export-Csv C:\mfa-status.csv -NoTypeInformation

Troubleshooting – haeufige Probleme

User kann sich nicht anmelden

Checkliste:

  1. Account gesperrt? → Entra Admin Center → Benutzer → Anmeldungen pruefen
  2. Conditional Access blockiert? → Entra → Ueberwachung → Anmeldungen → Filter auf “Fehler”
  3. MFA nicht eingerichtet? → User muss unter aka.ms/mfasetup MFA konfigurieren
  4. Lizenz fehlt? → Benutzer → Lizenzen pruefen
  5. Account deaktiviert? → Kontostatus pruefen
# Anmeldefehler eines Users der letzten 24h anzeigen (Graph)
Connect-MgGraph -Scopes "AuditLog.Read.All"
$since = (Get-Date).AddHours(-24).ToString("yyyy-MM-ddTHH:mm:ssZ")
Get-MgAuditLogSignIn -Filter "userPrincipalName eq 'max.muster@firma.ch' and createdDateTime ge $since and status/errorCode ne 0" |
  Select CreatedDateTime, AppDisplayName, IpAddress, @{N="Error";E={$_.Status.FailureReason}}

Entra Connect Sync-Fehler

# Auf dem Entra Connect Server: Sync-Fehler anzeigen
Get-ADSyncConnectorRunStatus
Get-EventLog -LogName Application -Source "ADSync" -EntryType Error -Newest 20

Haeufige Ursachen:

  • Duplicate Attribute: Zwei User haben dieselbe proxyAddresses oder userPrincipalName im On-Premise AD
  • Export Errors: Entra ID lehnt ein Objekt ab (oft fehlende Pflichfattribute)
  • Connectivity: Der Entra Connect Server hat keinen Internetzugang auf die Entra ID Endpunkte

MFA funktioniert nicht

  • Authenticator App sendet keinen Push: App oeffnen und Code manuell eingeben. Danach App und Konto neu konfigurieren.
  • User hat neues Handy: Altes Geraet entfernen und MFA neu registrieren unter Entra → Benutzer → [User] → Authentifizierungsmethoden
  • Passwort vergessen + MFA-Geraet weg: Admin kann unter Benutzer → Authentifizierungsmethoden alle MFA-Methoden zuruecksetzen, dann SSPR oder manuelles Reset

Weiterlernen


Verwandte Seiten: Active Directory Grundlagen · AD Benutzer und Gruppen · Intune Grundlagen · M365 Benutzer und Lizenzen · IT-Security Grundlagen KMU · IT Onboarding & Offboarding

Videos

YouTube
Entra ID: Azure AD Umbenennung und was dahinter steckt!
YouTube
Microsoft Entra ID Beginner's Tutorial (Azure Active Directory)

Kommentare

Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.

  • Lade Kommentare …
Kommentar schreiben