Microsoft 365 Entra ID: Gruppeneinstellungen absichern
Eine Gruppe ist selten nur eine Liste von Namen. Dahinter hängen oft ein Team, eine SharePoint-Seite und ganze Dateiablagen. Ohne Pflege entstehen genau hier Datenschutzrisiken durch Schatten-IT und verwaiste Daten.
Drei Stellschrauben bringen Ordnung: die Erstellung (wer darf?), das Ende (wann wird gelöscht?) und die Benennung (welche Namen sind tabu?).
1. Allgemein | Den Wildwuchs an der Wurzel packen
Der erste Schritt zur sauberen Umgebung ist die Kontrolle der Quelle. Standardmäßig darf jeder User Gruppen erstellen. Das änderst du, damit Gruppen nur kontrolliert und mit klarem Zweck entstehen.
Pfad: Identität > Gruppen > Alle Gruppen > Allgemein
Hier sitzen die entscheidenden Schalter:
- Sicherheitsgruppen: "Benutzer können Sicherheitsgruppen in Azure-Portalen, API oder PowerShell erstellen": Nein
- Microsoft 365-Gruppen: "Benutzer können Microsoft 365-Gruppen in Azure-Portalen, API oder PowerShell erstellen": Nein
Warum ist das wichtig? Lässt du diese Einstellungen auf "Ja", können Benutzer eigene Access Control Lists bauen oder neue SharePoint-Seiten erzeugen, ohne dass die IT davon weiß. Mit "Nein" zwingst du die Organisation in einen geordneten Prozess.
Im oberen Bereich dieses Menüs steuerst du zusätzlich, ob Besitzer Mitgliedschaftsanforderungen in "Meine Gruppen" verwalten dürfen. Für strikte Governance schränkst du auch den Zugriff auf die Gruppenfunktionen in "Meine Gruppen" ein, um die Administration zentral zu halten.
2. Ablaufdatum | Das automatische Löschkonzept
Datensparsamkeit und das Recht auf Vergessenwerden aus der DSGVO gelten auch für Teams und Gruppen. Ein Projekt, das seit zwei Jahren beendet ist, sollte keine Daten mehr vorhalten. Dafür bietet Entra ID eine Lebenszyklus-Automatik.
Voraussetzung: Die Ablaufrichtlinie für Microsoft 365-Gruppen setzt Entra ID P1 oder P2 für alle Mitglieder der erfassten Gruppen voraus. Die Lizenzen müssen im Tenant in ausreichender Zahl vorhanden sein, aber nicht zwingend einzeln zugewiesen.
Pfad: Identität > Gruppen > Alle Gruppen > Ablaufdatum
Hier definierst du, wann eine nicht verlängerte Gruppe automatisch gelöscht wird:
- Lebensdauer der Gruppe (in Tagen): 365 oder 180, je nach Richtlinie.
- E-Mail-Kontakt für Gruppen ohne Besitzer: zentraler IT-Verteiler oder Helpdesk.
- Ablauf für diese Microsoft 365-Gruppen aktivieren: Alle, oder "Ausgewählt" für eine Pilotphase.
Der E-Mail-Kontakt ist nicht optional, sondern dein Sicherheitsnetz. Hat der ursprüngliche Ersteller das Unternehmen verlassen, läuft die Ablauf-Benachrichtigung sonst ins Leere, und die Gruppe samt Daten in Outlook, SharePoint, Teams und Power BI wird ungewollt gelöscht. Hinterlege deshalb zwingend eine Fallback-Adresse.
So läuft der Prozess: 30 Tage, 15 Tage und 1 Tag vor dem Ablauf erhalten die Besitzer eine E-Mail, sofern sie über eine Exchange-Lizenz verfügen. Mit einem Klick verlängern sie die Gruppe. Reagiert niemand, wird sie mitsamt allen Inhalten gelöscht. Aktiv genutzte Gruppen verlängert Entra ID anhand der Nutzungssignale (Dateizugriffe, Teams-Kanäle, Gruppen-Postfach) automatisch, sodass die Löschung nur wirklich tote Gruppen trifft.
3. Benennungsrichtlinie | Keine falschen Namen
Namen sind Schall und Rauch? Nicht im Datenschutz. Ein irreführender Gruppenname wie "HR-Vertraulich", angelegt von einem Praktikanten, führt zu fatalen Fehlern beim Filesharing, weil er eine Autorisierung suggeriert, die nicht existiert.
Voraussetzung: Auch die Benennungsrichtlinie für Microsoft 365-Gruppen erfordert Entra ID P1 (oder Entra Basic EDU) für jeden Nutzer, der Mitglied einer M365-Gruppe ist, einschließlich Gäste.
Pfad: Identität > Gruppen > Alle Gruppen > Benennungsrichtlinie
Unter dem Reiter Blockierte Wörter hinterlegst du eine Liste verbotener Begriffe. Lade die CSV-Vorlage herunter, pflege die gesperrten Begriffe ein (etwa "Geschäftsführung", "HR", "Vorstand", "Gehalt" und Schimpfwörter) und lade die Datei wieder hoch. Die Liste fasst maximal 5.000 Wörter.
Damit verhinderst du, dass Benutzer oder Admins versehentlich Namen wählen, die eine falsche Autorisierung suggerieren oder unangemessen sind.
Administrative Kontrolle & Mitgliedschaften
Wenn Benutzer keine Gruppen mehr erstellen dürfen, läuft die Erstellung über dich oder ein Helpdesk-Team (ITIL-Prozess). Das klingt nach mehr Arbeit, zahlt aber direkt auf die DSGVO ein. Du prüfst vor der Anlage, ob eine neue Datensammlung wirklich nötig ist (Datensparsamkeit), und jede Gruppe bekommt einen klaren Besitzer, der für den Inhalt verantwortlich ist.
Damit du die Self-Service-Komfortfunktionen für Teams und Planner nicht komplett verlierst, gibt es einen Mittelweg: Statt die Erstellung von Microsoft 365-Gruppen vollständig zu sperren, erlaubst du sie gezielt einer delegierten Sicherheitsgruppe (per Set-MgGroupSetting). So bleibt kontrollierte Selbstbedienung möglich, ohne den Wildwuchs für alle zu öffnen.
Für sensible Gruppen wie "Geschäftsführung" oder "HR-Daten" reicht das reine Einrichten nicht. Mit Entra ID P2 nutzt du Access Reviews (Zugriffsüberprüfungen) und forderst Gruppenbesitzer automatisch und turnusmäßig auf, zu bestätigen, ob alle Mitglieder noch Zugriff brauchen.
Sei der Erste und starte die Diskussion mit einem hilfreichen Beitrag.
Kommentar hinterlassen
Dein Beitrag wird vor der Veröffentlichung kurz geprüft — fachlich, respektvoll und auf den Punkt ist hier genau richtig.