Microsoft 365 EntraID | BENUTZER - Benutzereinstellungen ⏱ 3 Min.

Microsoft 365 EntraID | BENUTZER - Benutzereinstellungen

Microsoft 365

Entra ID: Benutzereinstellungen absichern


Benutzerberechtigungen sind eine Gratwanderung. Gibst du zu viel frei, entstehen Sicherheitslücken. Beschränkst du zu stark, leidet die Produktivität und dein Helpdesk ertrinkt in Tickets.

Drei Bereiche entscheiden über diese Balance: die internen Berechtigungen deiner Standard-Mitarbeiter, die externe Zusammenarbeit mit Gästen und die Benutzerfeatures.

1. Einstellungen für interne Benutzer

Hier definierst du, was deine Standard-Mitarbeiter im Tenant dürfen. Leitlinie ist das Prinzip der geringsten Rechte (Least Privilege).

App-Registrierungen und Test-Mandanten: Standardmäßig dürfen Benutzer oft eigene App-Registrierungen anlegen und sogar neue Azure-Tenants erstellen. Beides solltest du aus Governance-Sicht unterbinden, weil sonst unkontrollierter Datenabfluss und Schatten-IT entstehen. Eine selbst registrierte App kann Berechtigungen auf Tenant-Daten anfordern, und ein selbst erstellter Test-Mandant läuft als Parallel-Struktur komplett außerhalb deiner Überwachung.

  • Empfehlung: Deaktiviere die Registrierung von Apps durch Nutzer. Verbiete zusätzlich das Erstellen von Test-Mandanten, damit keine unüberwachten Parallel-Strukturen entstehen.

Sicherheitsgruppen: Auch die Erstellung von Sicherheitsgruppen sollte nicht jedem erlaubt sein, weil unkontrollierte Gruppen das Verzeichnis unübersichtlich machen und Berechtigungen verschleiern.

  • Empfehlung: Deaktiviere die Erstellung durch Benutzer.

Zugriff auf das Admin-Portal: Ein normaler User hat im Entra Admin Center nichts zu suchen. Ändern kann er dort standardmäßig nichts, aber allein das Auslesen von Konfigurationen (Wer ist Admin? Wie sind die Gruppen aufgebaut?) liefert Angreifern wertvolle Aufklärung (Reconnaissance).

  • Empfehlung: Schalte den Zugriff auf das Entra-Verwaltungsportal für Nicht-Administratoren ab.
  • Wichtig zu wissen: Dieser Schalter blendet nur die Portal-Oberfläche aus. Microsoft stuft ihn ausdrücklich nicht als Sicherheitsmaßnahme ein. Ein Benutzer kann dieselben Verzeichnisdaten weiterhin über Microsoft Graph PowerShell oder den Graph Explorer abfragen. Wenn du Reconnaissance wirklich unterbinden willst, kombinierst du den Schalter mit einer Conditional-Access-Richtlinie, die den Zugriff auf die Microsoft-Admin-Portale und die Graph-Tools auf Administratoren begrenzt.

LinkedIn-Integration: Aus Datenschutzsicht (Datensparsamkeit) ist es ratsam, die automatische Verknüpfung von Geschäftskonten mit sozialen Netzwerken zu unterbinden.

  • Empfehlung: Deaktiviere die LinkedIn-Kontoverbindungen.

2. Einstellungen für externe Zusammenarbeit

Direkt in der Übersicht der Benutzereinstellungen findest du die wichtigste Einstellung für den Lesezugriff von Gästen. Ein Gast sollte niemals das gesamte Verzeichnis durchsuchen können, sonst kann er Mitarbeiterlisten und Gruppenstrukturen abgreifen.

Empfehlung: Wähle die restriktivste Option. Gäste sehen dann nur ihre eigenen Eigenschaften und haben keinen Einblick in andere Benutzerobjekte oder Gruppenmitgliedschaften.

Über den Link "Externe Einstellungen zur Zusammenarbeit verwalten" gelangst du in das Detailmenü. Hier entscheidet sich, wie sicher deine Umgebung bei der Einladung von und Zusammenarbeit mit Partnern ist.

Empfohlene Konfiguration:

  • Gastbenutzerzugriff: restriktivste Einstellung ("...ist auf Eigenschaften und Mitgliedschaften eigener Verzeichnisobjekte beschränkt").
  • Einstellungen für Gasteinladungen: nur Benutzer mit bestimmten Administratorrollen, oder ganz deaktivieren. Das verhindert Wildwuchs, weil nicht jeder Mitarbeiter externe Personen in den Tenant einladen sollte.
  • Self-Service-Registrierung von Gästen: Nein. So behältst du die Kontrolle darüber, wer überhaupt Zugriff erhält.
  • Einstellungen für das Verlassen: Ja. Gäste können sich dann selbst aus dem Tenant entfernen, was die Verzeichnisdatenbank automatisch bereinigt.

Ergänzend gehört zu sauberer Gast-Governance ein regelmäßiges Auditing. Gastkonten, die nach Projektende aktiv bleiben, sind ein häufiger Schwachpunkt. Über Access Reviews prüfst du turnusmäßig, welche Gäste noch benötigt werden, und entfernst inaktive Konten.

3. Benutzerfeatures

Hinter dem Link "Einstellungen für Benutzerfeatures verwalten" verbirgt sich ein oft übersehenes Menü. Hier steuerst du experimentelle Funktionen und Hilfsmittel.

Empfohlene Konfiguration:

  • Benutzer können Vorschaufeatures für "Meine Apps" verwenden: Kein. In produktiven Umgebungen haben Beta-Funktionen nichts verloren, weil sie Stabilität und Sicherheit gefährden.
  • Administratoren können auf "Meine Mitarbeiter" zugreifen: nach Bedarf scopen. "Meine Mitarbeiter" (My Staff) erlaubt es Vorgesetzten, einfache Aufgaben wie Passwort-Resets für ihr Team zu übernehmen, und entlastet so den Helpdesk. Vergib den Zugriff im Sinne der geringsten Rechte gezielt an die Manager, die ihn brauchen, statt pauschal an alle.


Aktualisiert:
Teilen:
Andreas Hepp

Andreas Hepp

Mit über 20 Jahren Erfahrung in der IT verbinde ich technisches Know-how mit strategischem Weitblick.

Unterstützung für dein Business gesucht? Hol dir Experten von "Pierro & Mai IT for Business" an deine Seite!

Dienstleistungen ansehen
0 Kommentare
Noch keine Kommentare

Sei der Erste und starte die Diskussion mit einem hilfreichen Beitrag.

Kommentar hinterlassen

Dein Beitrag wird vor der Veröffentlichung kurz geprüft — fachlich, respektvoll und auf den Punkt ist hier genau richtig.

E-Mail Adresse wird nicht veröffentlicht.