Die Wahl des falschen Gruppentyps in Microsoft 365 ist vergleichbar mit einem Fundamentfehler beim Hausbau: Man bemerkt ihn erst, wenn die Wände stehen und Risse bekommen. Was als schnelle Lösung für „Wir brauchen eine E-Mail-Adresse“ beginnt, endet oft in redundanten Objekten, unklaren Berechtigungsstrukturen und einem administrativen Albtraum.
Eine saubere Identity-Architektur unterscheidet strikt zwischen Kommunikation (Verteiler), Kollaboration (M365 Gruppen) und Autorisierung (Sicherheitsgruppen). Wer diese Grenzen verwischt, baut technische Schulden auf.
Microsoft 365 Gruppen
Microsoft 365 Gruppen sind technisch gesehen keine einzelne Entität, sondern ein Container-Objekt. Wenn du eine M365 Gruppe erstellst, provisioniert das Backend automatisch eine ganze Infrastruktur:
- Ein Exchange-Postfach (für Mails und Kalender).
- Eine SharePoint Team Site (für Dateien).
- Ein OneNote-Notizbuch.
- (Optional) Ein Microsoft Team.
Warum du sie nutzt: Dies ist der Standard für jede Form von Teamarbeit. Anstatt Berechtigungen für SharePoint, Exchange und Planner einzeln zu pflegen, steuert die Mitgliedschaft in der Gruppe den Zugriff auf alle diese Ressourcen synchron.
Architect-Note: M365 Gruppen unterstützen dynamische Mitgliedschaften via Entra ID (ehemals Azure AD). Das bedeutet, du kannst Regeln definieren (z.B. user.department -eq „Sales“), wodurch User beim Onboarding automatisch Zugriff auf alle Team-Ressourcen erhalten. Das eliminiert manuelle Tickets.
Verteilerlisten (Distribution Lists)
Verteilerlisten (DLs) sind flache Objekte ohne eigenen Datenspeicher. Sie dienen ausschließlich dem E-Mail-Routing an eine definierte Menge von Empfängern.
Warum du sie nutzt: Wenn keine gemeinsame Dateiablage oder Chat-Historie benötigt wird. Ein klassisches Szenario sind externe Ankündigungen oder Newsletter. Ein entscheidender Vorteil gegenüber M365 Gruppen ist die Verschachtelung (Nesting): Du kannst Verteilerlisten in andere Verteilerlisten aufnehmen, um granulare Hierarchien abzubilden (z.B. „Alle Mitarbeiter“ enthält „Alle Vertriebler“). M365 Gruppen unterstützen kein Nesting.
Mail-aktivierte Sicherheitsgruppen
Dieser Typ versucht, zwei Welten zu vereinen: Zugriffsteuerung (wie eine Sicherheitsgruppe) und Erreichbarkeit per Mail (wie eine DL).
Warum du sie (selten) nutzt: In reinen Cloud-Umgebungen wirkt dieser Typ oft wie ein Relikt. Er ist sinnvoll, wenn eine Gruppe von Personen Zugriff auf ein System benötigt und gleichzeitig über Änderungen an diesem System informiert werden muss (z.B. „IT-Admins“, die Zugriff auf Server haben und Alerts erhalten).
Nachteil: Sie unterstützen in der Regel keine dynamischen Mitgliedschaften in Entra ID auf demselben Level wie reine Sicherheitsgruppen oder M365 Gruppen.
Dynamische Verteilerlisten
Im Gegensatz zu statischen Verteilern wird hier die Mitgliedschaft erst im Moment des Mail-Versands berechnet.
Warum du sie nutzt: Für organisationsweite Kommunikation („Alle Mitarbeiter in Berlin“). Da die Abfrage („Query“) zur Laufzeit geschieht, ist die Liste immer aktuell, ohne dass ein Admin eingreifen muss.
Unterschied zu dynamischen M365 Gruppen: Die Logik liegt hier im Exchange Online, nicht im Entra ID. Sie sind daher nur für E-Mail relevant und können nicht für Teams-Zugriffe genutzt werden.
Sicherheitsgruppen
Sicherheitsgruppen sind das Rückgrat deiner Zero-Trust-Strategie. Sie haben keinerlei E-Mail-Funktionalität und keinen Kalender. Ihr einziger Zweck ist die Bündelung von Identitäten (User oder Geräte) zur Vergabe von Berechtigungen auf Ressourcen.
Warum du sie nutzt: Du nutzt sie, um Zugriff auf SharePoint-Seiten, Intune-Konfigurationen oder Azure-Ressourcen zu steuern.
Ein häufiger Architekturfehler ist die Nutzung von M365 Gruppen für reine Berechtigungszwecke. Das ist ineffizient. Wenn du nur steuern willst, wer eine bestimmte PowerApp nutzen darf, erzeuge keinen Overhead durch eine ungenutzte SharePoint-Site und Mailbox. Nutze eine Sicherheitsgruppe.
Spezialfall Intune: Nur Sicherheitsgruppen können Geräte (Devices) enthalten. Wenn du Policies auf alle Windows-Laptops ausrollen willst, ist dies der einzige Weg.
Freigegebene Postfächer (Shared)
Technisch gesehen ist dies ein deaktivierter User mit einem Postfach, auf das andere User per „Vollzugriff“ oder „Senden als“ zugreifen.
Warum du sie nutzt: Für zentrale Eingangskanäle wie info@, support@ oder buchhaltung@.
Ein massiver Vorteil gegenüber M365 Gruppen ist die Ordnerstruktur. In einer Shared Mailbox können User Unterordner anlegen, Mails verschieben und kategorisieren. In einer M365 Gruppe landen alle Mails flach in einem einzigen Ordner.
Zudem verbrauchen Shared Mailboxes (bis 50 GB) keine Lizenz.
Entscheidungsmatrix: Welcher Typ?
Als Admin triffst du die Entscheidung anhand der Anforderung, nicht anhand persönlicher Vorlieben!
| Feature | M365 Gruppe | Verteilerliste | Sicherheitsgruppe | Mail-Sec-Gruppe | Shared Mailbox |
| Kollaboration (Teams/Files) | ✅ Ja (Core) | ❌ Nein | ❌ Nein | ❌ Nein | ❌ Nein |
| E-Mail Empfang | ✅ Ja | ✅ Ja | ❌ Nein | ✅ Ja | ✅ Ja |
| Berechtigungen (Azure/Intune) | ⚠️ Möglich | ❌ Nein | ✅ Ja (Core) | ✅ Ja | ❌ Nein |
| Unterordner in Mailbox | ❌ Nein | N/A | N/A | N/A | ✅ Ja |
| Dynamische Mitglieder (Entra) | ✅ Ja | ❌ Nein | ✅ Ja | ❌ Nein | ❌ Nein |
| Verschachtelung (Nesting) | ❌ Nein | ✅ Ja | ✅ Ja | ✅ Ja | ❌ Nein |
Wo erstellt man was? (Provisioning)
Die Verteilung der Erstellungstools ist historisch gewachsen und oft verwirrend. Hier ist der effiziente Pfad:
- Microsoft 365 Admin Center: Der Generalist. Gut für M365 Gruppen und Shared Mailboxes.
- Exchange Admin Center: Die Pflicht-Anlaufstelle für alles, was tiefes E-Mail-Routing betrifft (Verteilerlisten, Dynamische Verteiler).
- Microsoft Entra Admin Center: Hier gehörst du hin, wenn du Sicherheitsgruppen oder dynamische Regelwerke baust. Nur hier hast du Zugriff auf die Attribut-Logik (Rule Builder).
Fazit
Die Wahl des Gruppentyps bestimmt die Skalierbarkeit deiner Umgebung.
Nutze Microsoft 365 Gruppen für alles, wo Menschen zusammenarbeiten („Project Alpha“). Nutze Sicherheitsgruppen strikt für Berechtigungen („Access-Finance-ReadOnly“). Und greife auf Shared Mailboxes zurück, wenn Mails prozessiert werden müssen („Rechnungseingang“), da die fehlende Ordnerstruktur in M365 Gruppen hier oft Workflow-Killer ist.
Vermeide es, Verteilerlisten für Teams-Zwecke zu „missbrauchen“ oder Sicherheitsgruppen manuell zu pflegen, wo dynamische Regeln Arbeit sparen könnten. Eine saubere Trennung heute spart dir die Migration morgen.
Hinterlasse jetzt einen Kommentar