MS365 | ENTRA ID - Admin Center Übersicht ⏱ 9 Min.

MS365 | ENTRA ID - Admin Center Übersicht

Microsoft Entra ID

Microsoft Entra ID ist die zentrale Plattform, mit der Organisationen ihre Identitäten und Zugriffsrechte verwalten.

Sobald du dich im Entra Admin Center anmeldest, begegnen dir zwei zentrale Ansichten: das persönliche Dashboard (Startseite) und die technische Übersicht des Mandanten. Beide liefern wichtige Informationen, haben aber unterschiedliche Schwerpunkte.

Die Startseite (Dashboard)

Direkt nach dem Login landest du auf dem Dashboard. Diese Seite ist dein persönliches Cockpit. Sie aggregiert den Gesundheitszustand des Mandanten und deinen eigenen administrativen Status.

Entra Admin Center
Entra Admin Center

Die wichtigsten Bereiche hier sind:

  • Schnellzugriff & Status: Oben links siehst du den Mandantennamen und die primäre Domäne. Darunter befinden sich Zähler für Benutzer, Gruppen und Apps, die dich mit einem Klick direkt in die jeweilige Liste führen.
  • Deine Rollen: Rechts oben wird dein eigener Benutzerstatus angezeigt (z. B. Globaler Administrator). Achte auf die Anzeige "Rollenzuweisungen mit hohen Berechtigungen". Wenn du dauerhaft mit höchsten Rechten arbeitest, vergrößerst du die Angriffsfläche unnötig. Mit Privileged Identity Management (PIM) holst du dir diese Rechte stattdessen nur bei Bedarf und zeitlich begrenzt, was das Risiko bei einer Kontokompromittierung deutlich senkt.
  • Mandantenstatus: Hier sticht die Identitätssicherheitsbewertung (Secure Score) hervor (im Beispiel ca. 80 %). Dieser Wert zeigt dir, wie gut dein Mandant im Vergleich zu Best Practices abgesichert ist.
  • Warnungen: Kacheln wie "Benutzer mit hohem Risiko" oder der Status von Microsoft Entra Connect (Synchronisierung) geben dir sofortiges Feedback über potenzielle Sicherheitsvorfälle oder Infrastrukturprobleme.

Die Übersicht (Identity Overview)

Klickst du im Menü links auf Übersicht, gelangst du zu den harten Fakten deines Mandanten. Diese Seite ist der Ausgangspunkt für die technische Verwaltung.

Hier findest du die Stammdaten, die du für Konfigurationen, Support oder Skripte benötigst:

  • Mandanten-ID (Tenant ID): Diese eindeutige GUID ist der Fingerabdruck deiner Umgebung. Du benötigst sie zwingend für PowerShell-Skripte, API-Schnittstellen oder die Einrichtung von Drittanbieter-Anwendungen.
  • Lizenz: Die Anzeige (z. B. Microsoft Entra ID P1 oder P2) ist entscheidend für deine Planung, weil sie festlegt, welche Features technisch überhaupt verfügbar sind. Bedingter Zugriff setzt mindestens P1 voraus, risikobasierte Anmeldungen über Identity Protection benötigen P2.
  • Primäre Domäne: Die Standard-Domäne (z. B. deine-firma.de), die für neue Benutzerkonten verwendet wird.
  • Warnungen und Hinweise: Anders als auf dem Dashboard siehst du hier oft operative Warnungen. Ein typisches Beispiel war die Aufforderung zur Migration veralteter Authentifizierungsmethoden. Die alten Legacy-MFA- und SSPR-Richtlinien hat Microsoft zum 30. September 2025 abgekündigt. Seitdem läuft die gesamte Verwaltung der Authentifizierungsmethoden über die einheitliche Authentication-Methods-Richtlinie. Wenn du an dieser Stelle heute noch eine entsprechende Warnung siehst, hast du echten Nachholbedarf, denn ein automatischer Fallback auf die alten Einstellungen existiert nicht mehr.

Diese beiden Seiten bilden das Fundament. Während die Startseite dir sagt, wie es um die Sicherheit steht, liefert dir die Übersicht die technischen Parameter, um daran zu arbeiten.

Übersicht | Eigenschaften - Die Stammdaten

Ein Klick auf Eigenschaften im Menü führt dich zu den administrativen Stammdaten deines Mandanten. Hier konfigurierst du nicht die Technik, sondern die rechtlichen und organisatorischen Rahmenbedingungen.

Entra Admin Center
Entra Admin Center

Die wichtigsten Konfigurationspunkte sind:

  • Name: Der Anzeigename deiner Organisation, der Benutzern beim Login oder in E-Mails angezeigt wird.
  • Datenspeicherort: Hier siehst du, wo deine Identitätsdaten physisch liegen (z. B. EU Model Clause compliant datacenters / Germany). Diese Information brauchst du zwingend für dein Verarbeitungsverzeichnis und die DSGVO-Compliance.
  • Technische und Datenschutzkontakte: Hinterlege hier unbedingt aktuelle E-Mail-Adressen, am besten Verteiler statt persönlicher Postfächer. Microsoft nutzt diese Kontakte für kritische Benachrichtigungen, etwa bei Sicherheitsvorfällen, die nicht im regulären Message Center landen.

Zugriffsverwaltung für Azure-Ressourcen

Am Ende der Seite findest du einen unscheinbaren, aber folgenreichen Schalter: "Zugriffsverwaltung für Azure-Ressourcen".

Dieser Schalter erlaubt es dir als Globalem Administrator, dir selbst temporär Rechte an allen Azure-Abonnements im Mandanten zu geben, auch an solchen, auf die du normalerweise keinen Zugriff hast.

Stellst du ihn auf Ja, weist Entra deinem Benutzerkonto die Rolle Benutzerzugriffsadministrator (User Access Administrator) auf der Root-Ebene (Root Management Group) zu. Damit kannst du Berechtigungen für alle Subscriptions ändern. Steht der Schalter auf Nein (Standardbetrieb), siehst du nur die Azure-Ressourcen, für die du explizit berechtigt wurdest.

Aktiviere "Ja" nur im Notfall (Break-Glass-Szenario), etwa wenn ein Azure-Abonnement verwaist ist, weil der ursprüngliche Besitzer das Unternehmen verlassen hat. Nach der Reparatur solltest du den Schalter sofort wieder auf Nein stellen, damit du nicht dauerhaft mit dieser weitreichenden Berechtigung läufst.

Übersicht | Empfehlungen

Der Menüpunkt Empfehlungen ist kein statischer Hilfetext. Microsoft Entra ID analysiert einmal täglich die Konfiguration deines Mandanten und gleicht sie mit hinterlegten Sicherheits-Best-Practices und Empfehlungsdaten ab. Trifft eine Empfehlung auf deinen Mandanten zu (abhängig von deiner Lizenz), erscheint sie hier samt Beschreibung, Nutzenbewertung und konkretem Handlungsplan.

Identitätssicherheitsbewertung (Identity Secure Score)

Oben auf der Seite findest du einen Prozentwert (z. B. 80,00 %). Dieser Score gamifiziert deine Sicherheit: Je mehr der bewerteten Empfehlungen du umsetzt, desto höher steigt der Wert. Die einzelnen Secure-Score-Empfehlungen tragen jeweils eigene Punkte bei, die sich zur Gesamtbewertung addieren.

Konkrete Handlungsempfehlungen

Die Liste der Empfehlungen ist nach Wichtigkeit und Status sortiert. Typische Hinweise sind:

  • Notfallzugriff (Hoch): "Mehr als einen globalen Administrator festlegen." Das verhindert, dass ihr euch aus dem eigenen Tenant aussperrt, falls ein Konto kompromittiert wird oder MFA ausfällt.
  • Passwort-Sicherheit (Mittel): "Kennwörter nicht ablaufen lassen." Microsoft empfiehlt, Passwörter nicht mehr regelmäßig zu erzwingen, weil erzwungene Wechsel erfahrungsgemäß zu schwächeren, vorhersehbaren Mustern führen. Stattdessen setzt du auf starke MFA und die Erkennung kompromittierter Credentials. Wenn du den Zwang zum Passwortwechsel streichst, brauchst du als Ausgleich zwei Dinge: Entra ID Password Protection sperrt häufige und organisationsspezifische Passwörter (etwa Firmenname plus Jahr), und Self-Service Password Reset (SSPR) lässt Benutzer ihr Passwort eigenständig zurücksetzen. Koppele SSPR zwingend an die MFA-Registrierung, sonst kann ein Angreifer über eine kompromittierte E-Mail-Adresse selbst das Passwort zurücksetzen.
  • App-Sicherheit (Mittel): "Erlauben Sie Benutzern nicht, unzuverlässigen Anwendungen ihre Einwilligung zu geben." Das schützt vor Consent-Phishing, bei dem Angreifer über eine bösartige App den Zugriff auf Daten erschleichen, statt das Passwort zu stehlen. Wenn du User Consent deaktivierst, brauchen deine Benutzer einen geregelten Weg, legitime Apps anzufordern. Aktiviere dafür den Admin-Consent-Workflow (Entra Admin Center > Identität > Anwendungen > Unternehmensanwendungen > Einwilligung und Berechtigungen). Anfragen landen dann bei den Admins zur Prüfung, statt dass User die Sperre umgehen oder den Helpdesk belasten.
  • Hybrid-Identität: Hinweise wie "Kennwort-Hash-Synchronisierung aktivieren", falls du eine lokale AD-Anbindung nutzt.

Warum ist das wichtig? Die Bedrohungslage ändert sich ständig. Ein Feature, das heute sicher ist, kann morgen als veraltet gelten. Der Blick in die Empfehlungen hilft dir, technische Schulden in der Sicherheitskonfiguration abzubauen, bevor sie zum Einfallstor werden.

Domänennamen

Jeder neue Microsoft-Mandant startet standardmäßig mit einer technischen Domäne (z. B. deine-firma.onmicrosoft.com). Unter Domänennamen verknüpfst du deine tatsächliche Unternehmensidentität (z. B. deine-firma.de) mit dem Mandanten. Das ist die Voraussetzung, damit sich Benutzer mit ihrer gewohnten E-Mail-Adresse anmelden können.

Hier verwaltest du den Lebenszyklus deiner Domänen:

  1. Benutzerdefinierte Domäne hinzufügen: Der erste Schritt, um deine Corporate Identity in die Cloud zu bringen. Du kannst sowohl Stammdomänen als auch Subdomänen hinzufügen.
  2. Verifizierung (DNS-Records): Bevor Microsoft eine Domäne akzeptiert, musst du den Besitz nachweisen. Das geschieht in der Regel über einen TXT-Eintrag (oder MX-Eintrag), den du bei deinem DNS-Provider (z. B. IONOS, Strato, Cloudflare) hinterlegst. Sobald der Eintrag im öffentlichen DNS propagiert ist, wechselt der Status in EntraID von "Nicht verifiziert" auf "Verifiziert".
  3. Primäre Domäne festlegen: Die als "Primär" markierte Domäne wird automatisch als Standard-Suffix für neue Benutzerkonten verwendet. Achtung: Das Ändern der primären Domäne passt die UPNs (User Principal Names) bestehender Benutzer nicht rückwirkend an.
  4. Status prüfen: Sollte es Probleme beim Mail-Empfang (Exchange Online) oder bei der Anmeldung geben, ist das die erste Anlaufstelle. Prüfe, ob der Status auf "Verifiziert" steht und alle erforderlichen DNS-Einträge für die Dienste (M365, Intune etc.) korrekt erkannt wurden.

Wichtig: Du kannst die onmicrosoft.com-Domäne nicht löschen. Sie dient als technischer Fallback (z. B. für initiale Admin-Konten), falls es Probleme mit deiner benutzerdefinierten Domäne gibt.

Benutzerdefinierte URL-Domänen

Neben dem Reiter für die Namen findest du oft den Tab "Benutzerdefinierte URL-Domänen". Viele Admins wundern sich, dass dieser leer ist (Anzeige: "Es wurden keine benutzerdefinierten URL-Domänen gefunden"). Im Standardbetrieb ist das völlig normal.

Diese Funktion gehört primär zu Microsoft Entra External ID (Customer Identity Access Management, CIAM). Wenn du Anwendungen für Kunden bereitstellst, kannst du hier die Anmelde-URL vollständig branden (z. B. login.deine-firma.de statt der Standard-Microsoft-URL). Das stärkt das Vertrauen der Endnutzer, weil sie während des Logins auf deiner Marke bleiben.

Mobilität (MDM und MAM)

Unter dem Menüpunkt Mobilität (MDM und MAM) konfigurierst du die Schnittstelle zwischen deiner Identitätsverwaltung und deiner Device-Management-Lösung. Im Microsoft-Ökosystem ist das fast immer Microsoft Intune.

Dieser Bereich steuert nicht die Richtlinien selbst, sondern den Einstiegspunkt: Werden Geräte automatisch in das Management aufgenommen, wenn sich ein Benutzer anmeldet?

Der Unterschied zwischen MDM und MAM

  • MDM (Mobile Device Management): Hier übernimmt die Organisation die volle Kontrolle über das Gerät (z. B. Windows Autopilot, firmeneigene Smartphones). Sicherheitsrichtlinien gelten für das gesamte Betriebssystem.
  • MAM (Mobile Application Management): Hier kontrollierst du nur die geschäftlichen Apps und Daten (z. B. App Protection Policies für Outlook oder Teams), ohne das private Gerät des Nutzers zu übernehmen. Ideal für BYOD-Szenarien (Bring Your Own Device).

Die Benutzerbereiche konfigurieren

Wenn du auf die Anwendung "Microsoft Intune" klickst, sind die Einstellungen für den MDM-Benutzerbereich und MAM-Benutzerbereich entscheidend:

  • Keine: Die automatische Registrierung ist deaktiviert. Geräte müssen manuell hinzugefügt werden.
  • Einige (Empfohlen für den Start): Du wählst spezifische Gruppen aus (z. B. "Pilot-User" oder "Intune-Lizenziert"). Nur diese Benutzer triggern beim Login die Geräte-Registrierung.
  • Alle: Jeder Benutzer, der sich mit seinem Entra ID-Konto an einem Windows-Gerät anmeldet (auch am privaten PC zu Hause), stößt die Registrierung an.

Sei vorsichtig mit der Einstellung "Alle" im MDM-Bereich, wenn du Benutzern private Windows-Geräte erlaubst. Es passiert schnell, dass Mitarbeiter ihr privates Notebook nur kurz mit dem Geschäftskonto verbinden und versehentlich das komplette Gerät in die Firmenverwaltung enrollen. Starte deshalb mit "Einige" und einer definierten Pilotgruppe, um die Auswirkungen auf die Benutzererfahrung kontrolliert zu testen.

QuelleThemaURL
Microsoft LearnFunktionsweise Entra Recommendations (täglicher Config-Abgleich, keine KI)https://learn.microsoft.com/en-us/entra/identity/monitoring-health/overview-recommendations
Microsoft Q&A / LearnLegacy MFA und SSPR Deprecation zum 30.09.2025https://learn.microsoft.com/en-us/answers/questions/2280936/mfa-and-sspr-policy-settings-to-the-authentication
Microsoft LearnEntra External ID Tenant Configurations (Custom URL Domains / CIAM)https://learn.microsoft.com/en-us/entra/external-id/tenant-configurations
Aktualisiert:
Teilen:
Andreas Hepp

Andreas Hepp

Mit über 20 Jahren Erfahrung in der IT verbinde ich technisches Know-how mit strategischem Weitblick.

Unterstützung für dein Business gesucht? Hol dir Experten von "Pierro & Mai IT for Business" an deine Seite!

Dienstleistungen ansehen
0 Kommentare
Noch keine Kommentare

Sei der Erste und starte die Diskussion mit einem hilfreichen Beitrag.

Kommentar hinterlassen

Dein Beitrag wird vor der Veröffentlichung kurz geprüft — fachlich, respektvoll und auf den Punkt ist hier genau richtig.

E-Mail Adresse wird nicht veröffentlicht.