ArtikelRahmenThumnail V4 MS365 Allg

MS365 | Microsoft 365 Tenant anlegen

28. Oktober 2023 masterPhin MS365 Kommentare deaktiviert für MS365 | Microsoft 365 Tenant anlegen

Technisch gesehen ist ein neuer Microsoft 365 Tenant in wenigen Minuten einsatzbereit – doch das ist erst der Anfang. Microsoft optimiert die Standardeinstellungen („Defaults“) primär für eine schnelle und unkomplizierte Inbetriebnahme durch Endanwender (Convenience).

Das bedeutet jedoch nicht automatisch, dass diese Konfigurationen auch den Sicherheits- und Governance-Anforderungen deiner Organisation entsprechen.

Daher ist es entscheidend, grundlegende Einstellungen anzupassen, bevor produktive Daten in die Cloud wandern. Diese initialen Konfigurationen setzen die notwendigen Leitplanken und bilden das Fundament für einen sicheren und regelkonformen Betrieb der Microsoft 365 Umgebung.

Dieser Leitfaden konzentriert sich ausschließlich auf die optimale Konfiguration des Tenants. Themen wie Netzwerk-Assessment, Firewall-Planung, User Adoption oder komplexe Migrationsprojekte werden hier bewusst ausgeklammert.

Wichtiger Hinweis: Bestimmte Konfigurationsmöglichkeiten stehen nur zur Verfügung, wenn die entsprechenden Lizenzen im Tenant aktiviert sind (z. B. Azure AD Premium P1/P2 für Conditional Access).

Vorbereitung und Grundlagen

Bevor du direkt über das öffentliche Portal einen neuen Microsoft 365 Tenant anlegst, lohnt sich oft der kurze Weg über deinen Microsoft-Partner oder Lizenzvertrieb. Diese können häufig erweiterte Testlizenzen bereitstellen oder spezielle Konditionen anbieten.

Wichtig: Prüfe vorab intern, ob in deiner Organisation bereits „Schatten-Tenants“ existieren (z. B. durch Nutzer, die Teams Exploratory oder Power BI Testlizenzen aktiviert haben). So vermeidest du doppelte Instanzen und unnötige Komplikationen bei der späteren Domänen-Verifizierung.

Pro-Tipp: Nutze für den Registrierungsprozess ein privates Browser-Fenster (Incognito-Modus) oder ein sauberes Browser-Profil. Das verhindert Login-Schleifen oder Konflikte mit bereits im Cache gespeicherten Microsoft-Accounts.

Microsoft 365 Site Register Step 2
Microsoft 365 Site Register Step 1
Microsoft 365 Site Register Step 3

Kurzanleitung: Tenant anlegen

  • Abonnement wählen: Besuche die offizielle Microsoft 365-Webseite und wähle das Plan-Modell, das zu deinen Zielen passt (z. B. Business Premium oder Enterprise E3/E5).
  • Unternehmensdaten: Gib die erforderlichen Kontakt- und Unternehmensinformationen an.
  • Domain/Tenant: Lege die initiale onmicrosoft.com-Adresse fest (mehr dazu im nächsten Abschnitt).
  • Wizard: Folge den Schritt-für-Schritt-Anweisungen, um die Erstellung abzuschließen.

Fachliche Anmerkung: Zwar fragt der Wizard oft schon nach der eigenen Domain, aber best practice ist es meist, erst den Tenant sauber mit der onmicrosoft-Adresse anzulegen und die Custom Domain (z.B. firma.de) danach in Ruhe über das Admin Center zu verifizieren (wie später im Artikel beschrieben).

Wahl des Tenant-Namens

Die Entscheidung für den passenden Tenant-Namen sollte wohlüberlegt sein. Zwar gibt es mittlerweile Möglichkeiten für Umbenennungen (siehe unten), aber der initiale Name (tenantname.onmicrosoft.com) bleibt im Hintergrund tief verwurzelt.

Der Name hat weitreichende Auswirkungen auf die Sichtbarkeit und Technik deiner Umgebung. Er erscheint als primäres UPN-Suffix (bevor die eigene Domain verifiziert ist) und – was oft vergessen wird – er definiert dauerhaft die URLs deiner SharePoint- und OneDrive-Struktur (z. B. https://tenantname.sharepoint.com).

Beachte folgende Hinweise für die Namenswahl:

  • Zeichenbeschränkung & Format: Der Name darf nur Buchstaben und Zahlen enthalten (keine Bindestriche oder Sonderzeichen) und sollte maximal 25 Zeichen lang sein. Tipp: Wähle ihn so kurz wie möglich, um lange URLs zu vermeiden.
  • Vorsicht bei Schnell-Setups (Trials): Achte darauf, den Tenant nicht über automatisierte „Schnell-Start“-Wizards anzulegen, die den Namen automatisch aus deiner E-Mail-Adresse generieren. So vermeidest du unschöne Konstrukte wie firma-gmbhde.onmicrosoft.com. Nutze den regulären Registrierungsprozess, bei dem du den Namen explizit selbst eingeben kannst.
  • Zukunftsfähigkeit: Berücksichtige mögliche Umfirmierungen, Ausgründungen oder Holding-Strukturen. Ein neutraler Name ist oft besser als einer, der zu spezifisch auf eine aktuelle Rechtsform (z. B. „GmbH“) eingeht.
  • Namenssicherung: Da Tenant-Namen global einzigartig sein müssen, kann es sinnvoll sein, den Wunschnamen frühzeitig zu registrieren („reservieren“), indem du den Tenant anlegst, selbst wenn die produktive Nutzung erst später geplant ist.

Wichtiges zu SharePoint-Domains: Seit 2023 bietet Microsoft ein Feature an, um die SharePoint-Domain nachträglich umzubenennen. Dies ist jedoch ein technisch komplexer Eingriff, der gut geplant sein muss. Es bleibt daher Best Practice, von Anfang an einen passenden Namen zu wählen, um diesen Prozess zu vermeiden.

Eine sorgfältige Wahl bildet das Fundament für eine professionelle Außenwirkung und eine konsistente technische Basis.

Sprache, Region und Datenstandort

Bei der Erstellung des Tenants musst du zwingend das Land bzw. die Region (oft als „Rechnungsland“ bezeichnet) festlegen.

Wähle hier mit Bedacht: Diese Entscheidung ist endgültig und kann für diesen Tenant nachträglich nicht mehr geändert werden. Sie bestimmt deine primäre Data Residency, also die geografische Region, in der deine Core-Daten (Exchange Postfächer, SharePoint Sites, OneDrive, Teams Chats) physikalisch gespeichert werden (z. B. „Germany West Central“ oder „European Union“).

Wichtige Details zur Datenhaltung

  • Verteilte Dienste: Auch wenn die primäre Region festgelegt ist, liegen technisch gesehen nicht immer alle Microservices am selben physischen Standort. Insbesondere bei älteren Tenants oder globalen Diensten (wie dem Azure AD / Entra ID Verzeichnis selbst) können Daten über verschiedene Rechenzentren innerhalb der geopolitischen Grenze (z. B. EU) verteilt sein.
  • Historische Daten: Einmal bereitgestellte Daten werden von Microsoft standardmäßig nicht automatisch verschoben, nur weil neue Rechenzentren in einer Region eröffnet werden. Das führt bei langjährigen Tenants oft dazu, dass Exchange-Daten noch in Dublin/Amsterdam liegen, während neuere Dienste vielleicht schon in Frankfurt gehostet werden.

Option für strenge Compliance: Für Unternehmen mit strikten Anforderungen an die Datenhaltung (z. B. KRITIS oder strenge DSGVO-Vorgaben) bietet Microsoft das Add-on „Advanced Data Residency“ (ADR) an. Damit lassen sich Datenmigrationen in die lokale Region (z. B. Deutschland) erzwingen und erweiterte Garantien für den Speicherort vereinbaren.

Sicherheit und Zugang

Absicherung der Administrator-Konten

Der erste Benutzer, der während der Tenant-Erstellung angelegt wird, ist automatisch Globaler Administrator. Für diesen Account ist eine Telefonnummer zur Verifizierung (SMS/Anruf) zwingend erforderlich. Achte zudem darauf, eine externe E-Mail-Adresse (Backup-Adresse) zu hinterlegen, die nicht im neuen Tenant liegt – sie ist dein Rettungsanker, falls du den Zugriff verlierst und einen Passwort-Reset-Link benötigst.

Strategie für administrative Konten

Ein häufiger Fehler ist die Nutzung von synchronisierten Benutzern (aus dem lokalen AD) für administrative Aufgaben. Best Practice: Verwende für Administrator-Rollen ausschließlich Cloud-Only-Konten. Warum? Sollte dein lokales Active Directory kompromittiert werden, bleibt der Tenant geschützt, da Cloud-Only-Konten nicht vom On-Premises AD aus manipuliert werden können.

Empfohlene Sicherheitsmaßnahmen:

  • Trennung von Funktionen: Vermeide es, deinen regulären Benutzer-Account (mit dem du E-Mails schreibst und in Teams arbeitest) zum Administrator zu machen. Nutze separate Admin-Konten (z. B. admin.name@tenant.onmicrosoft.com).
  • Redundanz: Verlasse dich nicht auf einen einzigen Global Admin. Richte mindestens einen zweiten Account ein, um dich nicht auszusperren. (Faustregel: 2 bis maximal 4 Global Admins).
  • Multi-Faktor-Authentifizierung (MFA): MFA ist für alle administrativen Konten Pflicht. Ohne Ausnahme.
  • Privileged Identity Management (PIM): Sofern du über entsprechende Lizenzen (Azure AD Premium P2 / Entra ID P2) verfügst, nutze PIM, um Admin-Rechte nur temporär („Just-in-Time“) zu vergeben, anstatt dauerhafte Rechte zuzuweisen.

Das „Break Glass“-Konto (Notfall-Admin)

Richte einen speziellen Notfall-Administrator ein, der genutzt wird, wenn alle anderen Authentifizierungsdienste (z. B. MFA-Service oder Federated Login) ausfallen sollten.

  • Konfiguration: Wähle einen unauffälligen Benutzernamen und ein extrem komplexes, langes Kennwort.
  • MFA-Handling: Dieser Account muss so konfiguriert sein, dass er im Notfall funktioniert (z. B. Ausschluss aus Conditional Access Richtlinien oder Nutzung eines FIDO2 Security Keys).
  • Lagerung: Die Zugangsdaten gehören in einen physischen Tresor oder einen strikt gesicherten Passwort-Manager.

Tipp für das Monitoring: Konfiguriere die Benachrichtigungseinstellungen so, dass bei einer Kennwortrücksetzung eines Administrators alle anderen Administratoren automatisch per E-Mail informiert werden. Dies dient als effektives Frühwarnsystem bei potenziellen Angriffen oder unautorisierten Zugriffen.

Multi-Faktor-Authentifizierung für Benutzer

Passwörter allein reichen heute nicht mehr aus. Um Benutzerkonten wirkungsvoll zu schützen, ist die Aktivierung der Multi-Faktor-Authentifizierung (MFA) der wichtigste Schritt. Sie stellt sicher, dass neben dem Kennwort ein zweiter Faktor (z. B. App-Bestätigung oder Token) notwendig ist, was das Risiko durch Phishing oder Passwort-Leaks drastisch senkt.

Der Einstieg – EntraID Free | Security Defaults

Bei neuen Tenants aktiviert Microsoft standardmäßig die sogenannten Security Defaults. Das ist ein „Alles-oder-Nichts“-Sicherheitsfeature, das eine solide Grundabsicherung bietet:

  • MFA wird für alle Benutzer erzwungen (Registrierungspflicht binnen 14 Tagen).
  • Administratoren müssen immer MFA nutzen.
  • Legacy Authentication (alte Protokolle wie POP3/IMAP/SMTP) wird blockiert.

Wann du Security Defaults nutzen solltest: Wenn du keine Azure AD Premium Lizenzen besitzt und eine schnelle, unkomplizierte Basis-Absicherung suchst.

Der Profi-Weg: Conditional Access

Sobald du Azure AD Premium P1 (Teil von Business Premium oder E3) nutzt, solltest du die Security Defaults deaktivieren und stattdessen auf Conditional Access (Bedingter Zugriff) wechseln.

Warum wechseln? Security Defaults und Conditional Access sind nicht kompatibel. Der bedingte Zugriff erlaubt dir eine viel feinere Steuerung nach dem „Wenn-Dann“-Prinzip:

  • Beispiel: „Wenn der Benutzer im Büro (bekannte IP) ist, verlange kein MFA. Wenn er im Homeoffice ist, verlange MFA.“
  • Beispiel: „Blockiere Zugriff aus bestimmten Ländern komplett.“

Wichtiger Hinweis zu SMTP AUTH: Security Defaults blockieren Protokolle wie SMTP AUTH (oft genutzt von Scannern oder ERP-Systemen). Wenn du diese Protokolle zwingend benötigst, musst du auf Conditional Access umsteigen, um gezielte Ausnahmen für bestimmte Service-Accounts zu definieren, während der Rest des Unternehmens geschützt bleibt.

Azure AD Password Protection

Zusätzlich zur MFA solltest du einen Blick auf den Passwortschutz (Password Protection) im Entra ID (Azure AD) Portal werfen. Hier kannst du Listen mit verbotenen Passwörtern definieren, die über die Standard-Liste von Microsoft hinausgehen.

Du hast dabei zwei Modi zur Wahl:

  • Audit-Modus: Das System protokolliert nur, wenn Benutzer schwache Passwörter wählen, blockiert sie aber nicht. Ideal für die Analysephase.
  • Enforce-Modus: Die Richtlinien werden hart durchgesetzt. Benutzer können keine Passwörter setzen, die auf der Verbotsliste stehen oder zu schwach sind.

Domains einrichten

Im produktiven Betrieb ist die Standardadresse tenantname.onmicrosoft.com keine Dauerlösung. Ziel sollte es sein, alle relevanten Unternehmensdomains in den Tenant zu integrieren, um sie für UPN (User Principal Name), E-Mail (SMTP) und SIP-Adressen nutzen zu können.

Der Prozess erfordert eine Bestätigung, dass du Eigentümer der Domain bist. Dies geschieht über einen TXT-Eintrag im DNS bei deinem Provider.

Wichtige DNS-Einträge und Dienste

Microsoft 365 führt dich mit einem Wizard durch die Einrichtung und prüft die notwendigen DNS-Records. Dazu gehören:

  • MX-Record: Für den E-Mail-Empfang.
  • Autodiscover (CNAME): Für die automatische Einrichtung von Outlook und Mobile Clients.
  • SPF (TXT): Zur Verhinderung von E-Mail-Spoofing.
  • SRV/CNAME für Kommunikation: Auch wenn du heute nur noch Microsoft Teams nutzt und kein Skype for Business mehr im Einsatz hast, solltest du die DNS-Einträge für Skype for Business (SIP) zwingend setzen. Diese sind im Hintergrund weiterhin essenziell für Federation-Szenarien (Chat mit externen Organisationen).

Schutz vor „Viralen Tenants“ (Shadow IT)

Füge alle Domains hinzu, die deiner Organisation gehören, auch wenn du sie (noch) nicht aktiv für E-Mail nutzt. Der Grund: Wenn Benutzer sich eigenständig mit ihrer E-Mail-Adresse für Testdienste (wie Power BI Free) registrieren und die Domain im Haupt-Tenant nicht verifiziert ist, erstellt Microsoft im Hintergrund einen sogenannten „Unmanaged“ oder „Viral Tenant“. Das erschwert die spätere Verwaltung massiv („Admin Takeover“ wird nötig). Durch das präventive Hinzufügen der Domains behältst du die Kontrolle.

Hinweise zur Konfiguration

  • Manuelle DNS-Verwaltung: Der Einrichtungsassistent schlägt oft vor, die Nameserver (NS-Records) komplett zu Microsoft zu delegieren. Für die meisten Administratoren ist es jedoch besser, die DNS-Zone beim bisherigen Provider zu belassen und die TXT-, CNAME- und MX-Records manuell hinzuzufügen. Das gibt dir mehr Kontrolle und verhindert Probleme mit bestehenden Webseiten oder Subdomains.
  • Limitationen: Pro Tenant können bis zu 5.000 Domains verwaltet werden – in der Regel mehr als ausreichend.

Exchange Online Konfiguration

Sobald du deine Domäne verifiziert und die Lizenzen zugewiesen hast, ist dein Exchange Online technisch sofort einsatzbereit. Deine Benutzer können E-Mails senden und empfangen.

Doch Vorsicht: Die Standardkonfiguration von Microsoft („Secure by Default“) ist primär auf maximale Kompatibilität ausgelegt, nicht auf maximale Sicherheit. Viele Schutzfunktionen, die für den modernen Geschäftsverkehr essenziell sind (wie strenger Phishing-Schutz oder die Verhinderung von Datenabfluss), sind ab Werk deaktiviert oder zu tolerant eingestellt.

Ein frisch aufgesetzter Tenant ist anfällig für Spam, Spoofing (Identitätsdiebstahl) und unbemerkte Weiterleitungen an private Konten.

Der nächste Schritt: Härtung der Umgebung Da die Absicherung von Exchange Online ein umfangreiches Thema ist, haben wir hierfür einen detaillierten Guide erstellt. Darin gehen wir Schritt für Schritt die wichtigsten Maßnahmen durch, die du vor dem produktiven Go-Live umsetzen solltest.

Hier geht es zum vollständigen Guide:
👉 Exchange Online Hardening: Best Practices für Sicherheit & Datenschutz

Das erwartet dich im Experten-Guide:

  • DNS-Hygiene: Warum SPF, DKIM & DMARC ab Tag 1 Pflicht sind.
  • Anti-Phishing: Wie du das „External Tagging“ aktivierst und CEO-Fraud erschwerst.
  • Data Loss Prevention: Automatische Weiterleitungen an Gmail/GMX global sperren.
  • Angriffsfläche minimieren: Veraltete Protokolle (Legacy Auth) und SMTP abschalten.
  • Defender: Die Spam- und Malware-Filter jenseits der Standards schärfen.

Empfehlung: Arbeite diesen Guide durch, bevor du die Masse deiner Benutzer migrierst oder produktiv schaltest. Es ist deutlich einfacher, Sicherheitsrichtlinien auf einem leeren Tenant zu etablieren, als sie im laufenden Betrieb nachzuziehen.

Überblick Microsoft 365 Lizenzen

Microsoft bietet eine Vielzahl an Lizenzpaketen. Die Wahl der richtigen Lizenz entscheidet nicht nur über verfügbare Office-Features, sondern maßgeblich über die Sicherheits- und Compliance-Möglichkeiten deines Tenants.

Hinweis zur Unterscheidung:

  • Business-Pläne: Maximal 300 Lizenzen pro Typ. Ideal für KMU.
  • Enterprise-Pläne: Keine Limitierung der Benutzerzahl. Notwendig für große Umgebungen oder spezifische Compliance-Anforderungen.

Hier die wichtigsten Lizenzen im Vergleich:

LizenzWesentliche Funktionen
Business BasicCloud-Only Fokus: Web- und Mobile-Versionen von Word, Excel, PowerPoint. Enthält Exchange Online, OneDrive, SharePoint und Teams.
Keine Desktop-Apps.
Business StandardDesktop Apps: Ergänzt „Basic“ um die lokal installierbaren Desktop-Anwendungen (Office Paket) sowie Webinar-Funktionen.
Standard für klassische Büroarbeitsplätze ohne erweiterten Sicherheitsbedarf.
Business PremiumSecurity & Management: Enthält alles aus „Standard“ plus Intune (Geräteverwaltung) und Defender for Business. Enthalten ist auch Entra ID P1 (für Conditional Access).
Der „Sweetspot“ für sichere IT-Umgebungen unter 300 Usern.

E3		Enterprise Core: Voller Office-Umfang + Windows Enterprise OS-Rechte. Beinhaltet größere Postfächer (100 GB), DLP (Data Loss Prevention) und Compliance-Tools.
Standard für Konzerne.
E5Full Suite: Enthält alles aus E3 plus Telefonie (Teams Phone), Power BI Pro und die komplette Security-Suite (Defender for Identity/Endpoint P2, Cloud Apps) sowie Advanced Compliance (eDiscovery Premium).

Nutzungsregion & Lizenzmanagement

Bevor du einem Benutzer eine Lizenz zuweisen kannst, ist eine Pflichtangabe im Benutzerobjekt erforderlich: die Usage Location (Nutzungsstandort). Microsoft benötigt diese Information aus rechtlichen und steuerlichen Gründen. Ohne gesetzte Usage Location schlägt jede Lizenzzuweisung mit einer Fehlermeldung fehl.

Tipp zur Automatisierung: In hybriden Umgebungen (mit AD Connect) solltest du das Attribut msExchUsageLocation (oder das entsprechende Mapping) direkt im lokalen Active Directory pflegen (z. B. „DE“ für Deutschland), damit es korrekt synchronisiert wird.

Lizenzen und Abonnements verwalten

Für ein sauberes Management solltest du folgende Routine etablieren:

  1. Lizenzbeschaffung: Lizenzen werden über das Admin Center (Kauf/Trial) oder über einen CSP-Partner (Cloud Solution Provider) in den Tenant geladen.
  2. Partner of Record: Hinterlege deinen betreueunden IT-Dienstleister als „Partner of Record“. Das erleichtert den Support und die Zuordnung.
  3. Zuweisung: Vermeide nach Möglichkeit die manuelle Zuweisung direkt am Benutzer („Direct Assignment“), da dies bei wachsenden Mitarbeiterzahlen schnell unübersichtlich wird.

Der Königsweg: Gruppenbasierte Lizenzierung

Anstatt Lizenzen jedem User einzeln anzuklicken, empfiehlt sich die Nutzung von Group-Based Licensing (Gruppenbasierte Lizenzierung).

Voraussetzung: Dieses Feature erfordert Azure AD Premium P1 (enthalten in Business Premium oder E3/E5). Hast du nur Business Basic/Standard, steht diese Funktion nicht zur Verfügung und du musst Skripte oder manuelle Zuweisungen nutzen.

So funktioniert es:

  1. Erstelle eine Sicherheitsgruppe im Entra ID (z. B. LIZ_BusinessPremium_Standard).
  2. Weise der Gruppe die gewünschte Lizenz zu.
  3. Füge Benutzer einfach dieser Gruppe hinzu – die Lizenz wird automatisch vererbt und bei Austritt aus der Gruppe wieder entzogen.

Wichtig: Service-Pläne beachten Achte bei der Zuweisung auf die sogenannten „Service Plans“ (Unterdienste).

  • Beispiel: Wenn du einem User eine Lizenz zuweist, der noch ein Postfach On-Premises hat (Hybrid), musst du in der Lizenz-Konfiguration den Unterdienst „Exchange Online“ oft deaktivieren, um Konflikte zu vermeiden.
  • Mit der gruppenbasierten Lizenzierung kannst du solche selektiven Aktivierungen zentral steuern (z. B. „Lizenz zuweisen, aber Yammer deaktivieren“). und eine konsistente Lizenzierung im gesamten Unternehmen gewährleistet ist.

Vorbereitung von Clients und Netzwerk

Selbst die beste Tenant-Konfiguration bringt wenig, wenn das lokale Netzwerk zum Flaschenhals wird oder die Clients falsch konfiguriert sind. Damit deine Benutzer performant arbeiten können, solltest du die folgenden technischen Voraussetzungen schaffen.

1. Office-Anwendungen (Microsoft 365 Apps)

Der „Legacy“-Ansatz (feste Versionen wie Office 2016/2019) wird durch das „Service-Modell“ ersetzt.

  • Aktualität: Stelle sicher, dass Clients die Microsoft 365 Apps for Enterprise nutzen und einem definierten Update-Kanal (z. B. Monthly Enterprise Channel) folgen. Veraltete Office-Versionen unterstützen oft kein Modern Auth (MFA), was zu Anmeldeproblemen führt.
  • Lizenzierung: Prüfe, ob „Shared Computer Activation“ (SCA) notwendig ist (z. B. auf Terminalservern/WVD), damit Lizenzen korrekt roamend genutzt werden können.

2. Netzwerk-Optimierung & Proxy-Bypass

Microsoft 365 erzeugt viele dauerhafte Verbindungen. Herkömmliche Netzwerkarchitekturen (Alles durch den zentralen Proxy/VPN) führen hier oft zu Latenzproblemen.

  • Proxy-Einstellungen (Local Breakout): Microsoft empfiehlt dringend, den Traffic zu M365-Diensten (insbesondere Teams Audio/Video und Exchange) nicht über einen zentralen Proxy-Server zu leiten. Richte stattdessen einen direkten Internetzugriff („Local Breakout“) für die offiziellen Microsoft-IP-Ranges ein.
    • Faustregel: Latenz ist der Feind. Der Weg zum nächsten Microsoft „Front Door“ (Rechenzentrumseingang) sollte so kurz wie möglich sein.
  • PAC-Files: Pflege deine Proxy-Auto-Config (PAC) Dateien so, dass M365-URLs direkt („DIRECT“) angesteuert werden.

3. Firewall & SSL Inspection

Ein häufiger Fehler ist die Aktivierung von Deep Packet Inspection (SSL Inspection) für Microsoft 365-Traffic.

  • Problem: Da der Traffic ohnehin verschlüsselt ist und Microsoft „Certificate Pinning“ nutzt, führt das Aufbrechen der SSL-Verbindung durch die Firewall oft zu Zertifikatsfehlern und massiven Performance-Einbußen.
  • Lösung: Definiere Ausnahmen für die Microsoft 365-Domains und IP-Adressen, um SSL-Inspection für diesen vertrauenswürdigen Traffic zu deaktivieren.

4. Konnektivitäts-Check

Verlasse dich nicht auf Vermutungen. Nutze das offizielle Tool Microsoft 365 Network Connectivity Test (https://connectivity.office.com), um zu prüfen, ob dein Standort optimal angebunden ist. Das Tool zeigt dir genau, ob Ports blockiert sind oder ob der Weg ins Microsoft-Netzwerk unnötige Umwege nimmt.

5. Checkliste für den Rollout

Um diese Maßnahmen strukturiert umzusetzen, empfiehlt es sich, eine dedizierte Checkliste für „Client & Network Readiness“ zu erstellen, die von der Netzwerkatteilung abgezeichnet wird, bevor der Massen-Rollout startet.

Fazit: Ein stabiles Fundament für die Zukunft

Die technische Einrichtung des Tenants ist weit mehr als das Abarbeiten einer Checkliste – sie ist das Fundament deiner digitalen Arbeitsumgebung. Die hier beschriebenen Konfigurationen sorgen dafür, dass du nicht auf wackeligen Standardeinstellungen aufbaust, sondern mit einer kontrollierten und sicheren Basis startest.

Die 5 Säulen für den dauerhaften Betrieb

Damit dein Tenant auch langfristig sicher bleibt, solltest du dich an folgenden Prinzipien orientieren:

  1. Security by Default: Starte restriktiv. Es ist einfacher, Funktionen bei Bedarf freizugeben („Allow-List“), als nachträglich Sicherheitslücken zu stopfen, weil alles offen war.
  2. Least Privilege: Gib Administratoren und Nutzern nur die Rechte, die sie wirklich brauchen. Ein „Global Admin“ sollte die absolute Ausnahme sein – nutze stattdessen spezifische Rollen wie Exchange Administrator oder User Administrator.
  3. Defense in Depth: Verlasse dich nie auf eine einzelne Schutzmaßnahme. Kombiniere Identitätsschutz (MFA), Gerätesicherheit (Intune), E-Mail-Filter (Defender) und Datenschicht-Schutz (Encryption), um eine robuste Verteidigungslinie aufzubauen.
  4. Continuous Monitoring: Sicherheit ist kein Zustand, sondern ein Prozess. Nutze die Berichte im Security Center und die Audit-Logs, um Anomalien frühzeitig zu erkennen.
  5. Change Management (Evergreen IT): Die Cloud schläft nie. Microsoft rollt ständig neue Features aus. Prüfe regelmäßig das Message Center im Admin-Portal, um von Änderungen nicht überrascht zu werden.

Nächste Schritte

Nach Abschluss dieser Grundkonfiguration beginnt die eigentliche Arbeit mit der neuen Plattform:

  • User Adoption: Bereite deine Anwender auf die neuen Tools vor. Technik ist einfach, Menschen zu ändern ist schwer.
  • Datenmigration: Plane den Umzug von Fileservern und alten Mail-Systemen.
  • Advanced Security: Sobald die Basis steht, solltest du dich Themen wie Conditional Access, Information Protection (Datenklassifizierung) und Compliance-Richtlinien widmen, um das Sicherheitsniveau weiter anzuheben.
MS365 Intune Admin Center Endpunktsicherheit Uebersicht
MS365 Intune Admin Center Dashboard
MS365 Intune Admin Center Berichte
MS365 Intune Admin Center Alle Geraete
MS365 Intune Admin Center Alle Dienste
MS365 Intune Admin Center Alle Apps

weitere Links

Offizielle Microsoft 365 Website (Pläne & Preise)https://www.microsoft.com/de-de/microsoft-365
Domain in Microsoft 365 einrichtenhttps://learn.microsoft.com/de-de/microsoft-365/admin/setup/add-domain
MFA in Microsoft 365 aktivierenhttps://learn.microsoft.com/de-de/azure/active-directory/authentication/concept-mfa-howitworks
Microsoft 365 Admin Centerhttps://admin.microsoft.com/
Sicherheitsaspekte in Microsoft 365https://learn.microsoft.com/de-de/microsoft-365/security/

This post is also available in: Deutsch

Ähnliche Artikel