Azure AD / Entra ID – Grundlagen
Microsoft Entra ID (ehemals Azure AD) ist der cloudbasierte Identitätsdienst fuer M365. Grundlagen, Konzepte, Hybrid-Szenarien und Conditional Access fuer KMU.
Was ist Microsoft Entra ID?
Microsoft Entra ID – bis Juli 2023 unter dem Namen Azure Active Directory (Azure AD) bekannt – ist Microsofts cloudbasierter Identitaets- und Zugriffsverwaltungsdienst. Einfach gesagt: Es ist das Verzeichnis, das weiss, wer du bist, und entscheidet, worauf du zugreifen darfst.
Wenn du dich bei Outlook, Teams oder SharePoint anmeldest, laeuft die Authentifizierung im Hintergrund immer ueber Entra ID. Kein Entra ID, kein M365.
Entra ID ist nicht dasselbe wie das klassische On-Premise Active Directory (AD DS), das du vielleicht aus deiner Serverumgebung kennst. Die beiden koennen aber zusammenarbeiten – mehr dazu im Abschnitt Hybrid-Szenarien.
On-Premise AD vs. Entra ID – der Vergleich
Das ist die Frage, die am haeufigsten fuer Verwirrung sorgt. Hier die Unterschiede auf einen Blick:
| Merkmal | On-Premise AD (AD DS) | Microsoft Entra ID |
|---|---|---|
| Betrieb | Eigener Windows Server | Microsoft Cloud (SaaS) |
| Protokoll | Kerberos, NTLM, LDAP | OAuth 2.0, SAML, OpenID Connect |
| Geraeteverwaltung | Domaenenbeitritt (Domain Join) | Entra Join / Entra Registrierung |
| VPN fuer Remote? | Ja, typischerweise | Nein, cloud-nativ |
| Gruppenrichtlinien (GPOs) | Ja | Nein – Intune stattdessen |
| Kosten | Eigene Server + Lizenzen | Im M365-Abo enthalten |
| Skalierung | Manuell | Automatisch durch Microsoft |
| Ausfallsicherheit | Selbst verantwortlich | 99,99% SLA durch Microsoft |
Kurze Faustregel:
- Hast du nur M365 und keine eigenen Server? Dann lebst du rein in Entra ID (Cloud-only).
- Hast du einen Windows Server mit Active Directory? Dann kannst du beides verbinden: Hybrid.
- Grosse Unternehmen haben oft Hybrid, KMU wechseln zunehmend zu Cloud-only.
Die Entra ID Lizenz-Stufen
Entra ID gibt es in drei Stufen – je nach M365-Abo ist eine davon bereits enthalten:
| Stufe | Enthalten in | Wichtigste Features |
|---|---|---|
| Free | Alle M365-Abos | Basisverwaltung, SSO fuer bis zu 10 Apps, MFA per Security Defaults |
| P1 | M365 Business Premium, E3 | Conditional Access, Self-Service Password Reset, Hybrid-Join |
| P2 | M365 E5 | Identity Protection, Privileged Identity Management (PIM), Access Reviews |
Wichtige Konzepte im Alltag
Benutzer und Gruppen
Benutzer in Entra ID entsprechen den User-Accounts, die du aus dem On-Premise AD kennst. Gruppen funktionieren gleich – mit einem Unterschied: Es gibt dynamische Gruppen, die sich automatisch befuellen, basierend auf User-Attributen (z.B. alle User mit department = Buchhaltung).
Im Entra Admin Center: entra.microsoft.com → Identitaet → Benutzer
Per PowerShell (Microsoft Graph Modul):
# Modul installieren (einmalig)
Install-Module Microsoft.Graph -Scope CurrentUser
# Anmelden
Connect-MgGraph -Scopes "User.Read.All", "Group.Read.All"
# Alle Benutzer auflisten
Get-MgUser -All | Select DisplayName, UserPrincipalName, AccountEnabled
# Gesperrte Accounts finden
Get-MgUser -Filter "accountEnabled eq false" | Select DisplayName, UserPrincipalName
# Einen User deaktivieren
Update-MgUser -UserId "max.muster@firma.ch" -AccountEnabled:$false
# Benutzer einer Gruppe hinzufuegen
$user = Get-MgUser -UserId "max.muster@firma.ch"
$group = Get-MgGroup -Filter "displayName eq 'IT-Team'"
New-MgGroupMember -GroupId $group.Id -DirectoryObjectId $user.Id
Entra ID Rollen
Rollen steuern, wer was im Admin Center darf. Das Prinzip “Least Privilege” gilt hier besonders – niemand sollte Globaler Administrator sein, der es nicht wirklich braucht.
| Rolle | Was sie darf |
|---|---|
| Globaler Administrator | Alles – so wenig wie moeglich vergeben! |
| Benutzeradministrator | User und Gruppen erstellen/bearbeiten/loeschen |
| Helpdesk-Administrator | Passwoerter zuruecksetzen, Sessions widerrufen |
| Sicherheitsleseberechtigter | Security-Reports lesen, keine Aenderungen |
| Lizenzadministrator | Lizenzen zuweisen und entfernen |
| Exchange-Administrator | Exchange Online verwalten |
| Intune-Administrator | Geraete und MDM-Richtlinien verwalten |
# Aktuelle Rollenzuweisungen anzeigen
Connect-MgGraph -Scopes "RoleManagement.Read.Directory"
Get-MgRoleManagementDirectoryRoleAssignment -All |
Select PrincipalId, RoleDefinitionId |
ForEach-Object {
$user = Get-MgUser -UserId $_.PrincipalId -ErrorAction SilentlyContinue
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId $_.RoleDefinitionId
[PSCustomObject]@{ User = $user.DisplayName; Role = $role.DisplayName }
}
Hybrid-Szenarien
Viele KMU haben noch einen lokalen Windows Server mit Active Directory. Entra ID kann damit verbunden werden – das nennt sich Hybrid Identity.
Azure AD Connect / Entra Connect
Das Kernstueck jeder Hybrid-Umgebung ist Microsoft Entra Connect (frueherer Name: Azure AD Connect). Es ist ein Dienst, der auf einem Windows Server laeuft und User, Gruppen und Passwoerter von On-Premise AD nach Entra ID synchronisiert.
So laeuft die Synchronisation:
- User wird in On-Premise AD angelegt
- Entra Connect synchronisiert ihn alle 30 Minuten nach Entra ID
- Der User kann sich jetzt mit demselben Account bei M365 anmelden
- Single Sign-On: Login am Windows-PC reicht, kein zweites Passwort noetig
Synchronisations-Methoden im Vergleich:
| Methode | Erklaerung | Empfehlung |
|---|---|---|
| Password Hash Sync (PHS) | Passwort-Hash wird mit Entra ID synchronisiert | Empfohlen fuer die meisten KMU |
| Pass-Through Authentication (PTA) | Passwort-Validierung laeuft immer On-Premise | Wenn Passwoerter nie die eigene Infra verlassen sollen |
| Federation (ADFS) | Eigener Federation-Server, max. Kontrolle | Nur fuer sehr spezifische Anforderungen, wartungsintensiv |
Sync-Status pruefen:
# Auf dem Entra Connect Server
Import-Module ADSync
Get-ADSyncScheduler # Zeigt Sync-Intervall und letzten Lauf
Start-ADSyncSyncCycle -PolicyType Delta # Manuelle Delta-Synchronisation starten
Start-ADSyncSyncCycle -PolicyType Initial # Vollstaendige Synchronisation (selten noetig)
Geraete-Szenarien
| Szenario | Erklaerung | Typischer Einsatz |
|---|---|---|
| Entra ID Joined | Geraet ist nur in Entra ID (kein On-Premise AD) | Neue Geraete, Cloud-only KMU |
| Hybrid Entra ID Joined | Geraet ist in On-Premise AD und Entra ID | Bestehende AD-Umgebungen |
| Entra ID Registered | BYOD – Geraet ist registriert, aber nicht “gejoined” | Private Handys, privat genutzte PCs |
Conditional Access – das Herzstueck der Sicherheit
Conditional Access (Bedingter Zugriff) ist das wichtigste Sicherheitsfeature von Entra ID P1. Die Grundidee: Zugriff wird nicht pauschal erlaubt, sondern nur unter bestimmten Bedingungen.
Die Logik ist simpel: WENN [Bedingung] → DANN [Steuerung]
Typische Bedingungen (WENN):
- User gehoert zu Gruppe X
- Zugriff von einem unbekannten Geraet (nicht compliant)
- Anmeldung aus einem riskanten Land (z.B. Nigeria, Russland)
- Anmeldung ausserhalb der Geschaeftszeiten
- Zugriff auf eine bestimmte App (z.B. Azure Portal)
Moegliche Steuerungen (DANN):
- MFA verlangen
- Zugriff blockieren
- Nur von compliant-Geraeten erlauben
- Passwort-Aenderung erzwingen
Typische Conditional Access Policies fuer ein KMU:
Policy 1: MFA fuer alle externen Zugriffe
WENN: Anmeldung von ausserhalb des Firmennetzwerks
DANN: MFA verlangen
Policy 2: Adminzugriff immer MFA
WENN: User hat eine Admin-Rolle
DANN: MFA verlangen (egal wo)
Policy 3: Blockierung aus Hochrisiko-Laendern
WENN: Anmeldung aus Land-Liste (z.B. alle ausser CH/DE/AT)
DANN: Zugriff blockieren
Policy 4: Nur compliant-Geraete fuer Exchange
WENN: Zugriff auf Exchange Online
DANN: Entra ID Joined oder Compliant Device verlangen
Konfiguriert im Entra Admin Center unter:
Schutz → Bedingter Zugriff → Richtlinien → + Neue Richtlinie
Multi-Faktor-Authentifizierung (MFA)
MFA ist die effektivste Einzelmassnahme gegen Account-Kompromittierung. Gestohlene Passwoerter nuetzen einem Angreifer nichts, wenn er keinen Zugriff auf den zweiten Faktor hat.
MFA-Methoden in Entra ID (von sicher zu weniger sicher):
| Methode | Sicherheit | Benutzerfreundlichkeit |
|---|---|---|
| FIDO2-Sicherheitsschluessel (z.B. YubiKey) | Sehr hoch | Mittel |
| Microsoft Authenticator App (Push) | Hoch | Hoch |
| Authenticator App (TOTP Code) | Hoch | Mittel |
| SMS-Code | Mittel (SIM-Swapping moeglich) | Hoch |
| Anruf | Niedrig | Niedrig |
Per-User MFA vs. Conditional Access MFA:
- Per-User MFA: Alte Methode, MFA wird pauschal fuer einzelne User aktiviert. Unflexibel, nicht empfohlen.
- Security Defaults: Kostenlos, MFA fuer alle – aber keine Ausnahmen moeglich. Gut fuer sehr kleine Teams ohne P1.
- Conditional Access: Empfohlen ab P1. Flexibel, steuerbar, kombinierbar mit anderen Bedingungen.
Self-Service Password Reset (SSPR)
SSPR erlaubt es Usern, ihr eigenes Passwort zurueckzusetzen – ohne beim IT-Helpdesk anzurufen. Spart enorm viel Zeit.
Einrichten: Entra Admin Center → Schutz → Passwortzuruecksetzung
Konfigurationspunkte:
- Wer darf SSPR nutzen? (alle User oder bestimmte Gruppen)
- Wie viele Methoden zur Verifikation? (empfohlen: 2)
- Erlaubte Methoden: Authenticator App, E-Mail, Mobilnummer, Sicherheitsfragen
# SSPR-Status fuer alle User pruefen
Connect-MgGraph -Scopes "UserAuthenticationMethod.Read.All"
Get-MgUser -All | ForEach-Object {
$methods = Get-MgUserAuthenticationMethod -UserId $_.Id
[PSCustomObject]@{
User = $_.DisplayName
UPN = $_.UserPrincipalName
Methods = ($methods.AdditionalProperties.Values | Where-Object { $_ -is [string] }) -join ", "
}
} | Export-Csv C:\mfa-status.csv -NoTypeInformation
Troubleshooting – haeufige Probleme
User kann sich nicht anmelden
Checkliste:
- Account gesperrt? → Entra Admin Center → Benutzer → Anmeldungen pruefen
- Conditional Access blockiert? → Entra → Ueberwachung → Anmeldungen → Filter auf “Fehler”
- MFA nicht eingerichtet? → User muss unter aka.ms/mfasetup MFA konfigurieren
- Lizenz fehlt? → Benutzer → Lizenzen pruefen
- Account deaktiviert? → Kontostatus pruefen
# Anmeldefehler eines Users der letzten 24h anzeigen (Graph)
Connect-MgGraph -Scopes "AuditLog.Read.All"
$since = (Get-Date).AddHours(-24).ToString("yyyy-MM-ddTHH:mm:ssZ")
Get-MgAuditLogSignIn -Filter "userPrincipalName eq 'max.muster@firma.ch' and createdDateTime ge $since and status/errorCode ne 0" |
Select CreatedDateTime, AppDisplayName, IpAddress, @{N="Error";E={$_.Status.FailureReason}}
Entra Connect Sync-Fehler
# Auf dem Entra Connect Server: Sync-Fehler anzeigen
Get-ADSyncConnectorRunStatus
Get-EventLog -LogName Application -Source "ADSync" -EntryType Error -Newest 20
Haeufige Ursachen:
- Duplicate Attribute: Zwei User haben dieselbe
proxyAddressesoderuserPrincipalNameim On-Premise AD - Export Errors: Entra ID lehnt ein Objekt ab (oft fehlende Pflichfattribute)
- Connectivity: Der Entra Connect Server hat keinen Internetzugang auf die Entra ID Endpunkte
MFA funktioniert nicht
- Authenticator App sendet keinen Push: App oeffnen und Code manuell eingeben. Danach App und Konto neu konfigurieren.
- User hat neues Handy: Altes Geraet entfernen und MFA neu registrieren unter
Entra → Benutzer → [User] → Authentifizierungsmethoden - Passwort vergessen + MFA-Geraet weg: Admin kann unter
Benutzer → Authentifizierungsmethodenalle MFA-Methoden zuruecksetzen, dann SSPR oder manuelles Reset
Weiterlernen
- Was ist Microsoft Entra ID? – Microsoft Learn
- Conditional Access Dokumentation – Microsoft Learn
- Microsoft Entra Connect (Sync) – Ueberblick
- MFA fuer alle User einrichten – Microsoft Learn
- Security Defaults aktivieren – Microsoft Learn
- Microsoft Graph PowerShell SDK – Einstieg
Verwandte Seiten: Active Directory Grundlagen · AD Benutzer und Gruppen · Intune Grundlagen · M365 Benutzer und Lizenzen · IT-Security Grundlagen KMU · IT Onboarding & Offboarding
Videos
Kommentare
Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.
- Lade Kommentare …