M365 Tenant verstehen: Was technisch entsteht
Ein Microsoft 365 Tenant ist keine einzelne Cloud-Anwendung und auch kein virtueller Server, den Microsoft als geschlossene Instanz für dein Unternehmen bereitstellt. Mit der Registrierung entsteht zuerst eine dedizierte Instanz von Microsoft Entra ID. Dieses Verzeichnis bildet die Identitäts-, Zugriffs- und Verwaltungsgrenze deiner Organisation innerhalb der Microsoft Cloud.
Innerhalb dieser Grenze verwaltest du Benutzer, Gruppen, Geräte, Anwendungen, Administratorrollen, Authentifizierungsmethoden und Zugriffsrichtlinien. Microsoft 365 Dienste wie Exchange Online, SharePoint Online, Teams, Intune, Defender und Purview verwenden diese gemeinsame Identitätsebene. Die Dienste besitzen trotzdem eigene Datenbestände, Richtlinien und Verwaltungsobjekte.
Diese Trennung ist wichtig, weil der Begriff „Microsoft 365 Tenant“ häufig den Eindruck erweckt, alle Komponenten würden als ein einheitliches System bereitgestellt. Technisch besteht der Tenant aus einem zentralen Entra-Verzeichnis und mehreren angebundenen Workloads, die abhängig von Abonnement, Lizenzierung und Aktivierung provisioniert werden.
Der Tenant als Identitäts- und Vertrauensgrenze
Microsoft beschreibt einen Tenant als dedizierte Instanz von Microsoft Entra ID. Jeder Tenant ist von anderen Tenants getrennt und besitzt eigene Identitäten, App-Registrierungen, Richtlinien und Konfigurationen. Aus Sicht von Microsoft Entra bildet er eine Identity-and-Access-Management-Grenze. Aus Sicht von Microsoft 365 ist er zugleich die übliche Kollaborations- und Lizenzgrenze.
Innerhalb des Verzeichnisses verwaltest du unter anderem:
- Benutzer und Gastbenutzer
- Sicherheitsgruppen und Microsoft 365 Gruppen
- Administrative Einheiten
- Geräteobjekte
- App-Registrierungen
- Enterprise Applications
- Service Principals
- Administratorrollen
- Authentifizierungsmethoden
- Conditional-Access-Richtlinien
- Externe Identitäten
- Mandantenweite Sicherheitsrichtlinien
Ein interner Benutzer kann andere Benutzer derselben Organisation über Outlook, Teams oder weitere Microsoft 365 Dienste finden. Ein Konto aus einem fremden Tenant gehört dagegen nicht automatisch zu dieser Vertrauensgrenze. Der Zugriff muss über Funktionen wie B2B Collaboration, Cross-Tenant Access oder andere externe Identitätsmodelle hergestellt werden.
Der Tenant enthält damit nicht nur Benutzerkonten. Er bildet die technische Grundlage für Authentifizierung, Autorisierung und die Zuordnung von Anwendungen zu deiner Organisation.





Diese Kernobjekte werden bei der Registrierung angelegt
Bei der Erstellung eines Microsoft 365 Tenants entstehen beziehungsweise beginnen folgende Strukturen:
- Ein Microsoft Entra ID Verzeichnis
- Eine weltweit eindeutige Tenant-ID
- Ein Organisationsobjekt in Microsoft Graph
- Eine initiale
onmicrosoft.com-Domäne - Ein erstes administratives Benutzerkonto
- Mandantenweite Identitäts- und Sicherheitseinstellungen
- Organisations- und Kontaktinformationen
- Vertrags- und Abonnementbeziehungen
- Regionale Zuordnungen
- Workload-spezifische Dienstinstanzen
Nicht jede Komponente steht in derselben Sekunde vollständig zur Verfügung. Microsoft Entra ID ist unmittelbar nach der Tenant-Erstellung vorhanden. Andere Dienste werden abhängig vom erworbenen Produkt und der technischen Aktivierung eingerichtet.
Nach einer neuen Registrierung kann es deshalb vorkommen, dass ein Adminportal bereits erreichbar ist, bestimmte Funktionen aber noch fehlen. Auch eine zugewiesene Lizenz führt nicht immer dazu, dass alle zugehörigen Dienste sofort nutzbar sind.
Exchange Online muss beispielsweise eine Exchange-Organisation und anschließend Postfächer provisionieren. SharePoint Online benötigt einen eigenen Tenant-Namensraum. OneDrive wird für einzelne Benutzer häufig erst bei der ersten Nutzung vollständig angelegt.
Der ursprüngliche Abschnitt nennt diese Strukturen bereits korrekt und unterscheidet zwischen unmittelbar vorhandenen Entra-Objekten und später bereitgestellten Workloads.
Entra und Microsoft 365 sind keine getrennten Verzeichnisse
Die Begriffe Microsoft Entra Tenant und Microsoft 365 Tenant werden oft verwendet, als handele es sich um zwei eigenständige Verzeichnisse. Das ist technisch missverständlich.
Microsoft 365 verwendet dieselbe Microsoft Entra ID Instanz für Benutzer, Gruppen, Geräte, Anwendungen und Zugriffstoken. Erstellst du im Microsoft 365 Admin Center einen Benutzer, wird das zugehörige Benutzerobjekt im Microsoft Entra Verzeichnis angelegt.
Eine Lizenzzuweisung ergänzt dieses Identitätsobjekt um Nutzungsrechte für bestimmte Dienste. Enthält die Lizenz Exchange Online, kann auf Grundlage des Benutzerobjekts ein Postfach provisioniert werden. Enthält sie SharePoint Online, erhält der Benutzer Zugriff auf SharePoint und OneDrive. Enthält sie Intune, kann er abhängig von den übrigen Einstellungen Geräte registrieren und verwalten.
Das Verhältnis lässt sich vereinfacht darstellen:
Microsoft Entra ID
Benutzer und Gruppen
Geräteobjekte
Rollen
Anwendungen
Authentifizierung
Zugriffsrichtlinien
Microsoft 365 Workloads
Exchange Online
SharePoint Online
OneDrive
Microsoft Teams
Microsoft Intune
Microsoft Defender
Microsoft Purview
Microsoft FabricEntra ID bildet die gemeinsame Identitäts- und Zugriffsebene. Die Workloads verwenden diese Identitäten, speichern ihre Fachdaten aber in eigenen Systemen.
Ein Benutzerobjekt liegt in Microsoft Entra ID. Das Postfach liegt in Exchange Online. Die Dateien des Benutzers liegen in OneDrive auf Basis von SharePoint Online. Teams verwendet für Chats, Besprechungen, Dateien und Gruppen mehrere Microsoft 365 Backends.
Die Tenant-ID ist die technische Hauptkennung
Jeder Microsoft Entra Tenant besitzt eine weltweit eindeutige Tenant-ID. Je nach Portal oder Dokumentation wird sie auch als Directory ID, Microsoft Entra Tenant ID, Mandanten-ID oder Verzeichnis-ID bezeichnet.
Es handelt sich immer um eine GUID:
1a234567-89ab-4cde-8012-3456789abcdeDie Tenant-ID ist nicht mit dem Anzeigenamen des Unternehmens, der initialen Domain oder einer später hinzugefügten Unternehmensdomain identisch.
Beispiel:
Anzeigename:
PhinIT
Initiale Domain:
phinit.onmicrosoft.com
Verifizierte Domain:
phinit.de
Tenant-ID:
1a234567-89ab-4cde-8012-3456789abcdeDer Anzeigename kann geändert werden. Unternehmensdomains lassen sich hinzufügen und unter bestimmten Bedingungen wieder entfernen. Microsoft erlaubt unter definierten Voraussetzungen sogar eine Umbenennung der SharePoint- und OneDrive-Domain.
Die Tenant-ID bleibt dagegen die stabile technische Kennung des Verzeichnisses.
Sie wird unter anderem verwendet bei:
- App-Registrierungen
- Enterprise Applications
- OAuth 2.0
- OpenID Connect
- Microsoft Graph
- Microsoft Graph PowerShell
- Azure PowerShell
- Azure CLI
- Azure-Abonnements
- Partnerbeziehungen
- GDAP
- B2B Collaboration
- Cross-Tenant Access
- Workload Identity Federation
- Protokollen und Auditdaten
- Supportfällen
- Automatisierungen
Ein mandantenspezifischer OAuth-Endpunkt kann die Tenant-ID direkt enthalten:
https://login.microsoftonline.com/1a234567-89ab-4cde-8012-3456789abcde/Domänen können ebenfalls zur Auswahl eines Tenants verwendet werden. Für Skripte, API-Konfigurationen und technische Dokumentationen ist die Tenant-ID meist eindeutiger, weil sie sich nicht verändert.
Tenant-ID und Azure Subscription-ID unterscheiden
Die Tenant-ID bezeichnet das Microsoft Entra Verzeichnis. Eine Subscription-ID bezeichnet ein bestimmtes Azure-Abonnement.
Ein Tenant kann mit mehreren Azure-Abonnements verbunden sein:
Microsoft Entra Tenant
Tenant-ID:
1a234567-89ab-4cde-8012-3456789abcde
Azure Subscription Produktion
Subscription-ID:
11111111-2222-3333-4444-555555555555
Azure Subscription Entwicklung
Subscription-ID:
66666666-7777-8888-9999-000000000000Die Azure-Abonnements verwenden den zugeordneten Microsoft Entra Tenant für die Authentifizierung von Benutzern, Service Principals und Managed Identities.
Microsoft 365 Abonnements besitzen ebenfalls eigene Produkt-, Vertrags- und Abrechnungsbeziehungen. Sie erzeugen aber kein separates Identitätsverzeichnis für jeden Lizenzvertrag. Die Produkte und verfügbaren Lizenzmengen werden dem vorhandenen Tenant zugeordnet.
Diese Unterscheidung ist bei PowerShell und Azure CLI relevant. Eine Anmeldung kann im richtigen Tenant erfolgen, während gleichzeitig das falsche Azure-Abonnement ausgewählt ist.
Das Organisationsobjekt in Microsoft Graph
Microsoft Graph stellt zentrale Tenant-Informationen über eine Ressource vom Typ organization bereit. In einem normalen Microsoft Entra Tenant existiert ein Organisationsobjekt.
Dieses Objekt enthält abhängig von Berechtigungen und Konfiguration unter anderem:
- Tenant-ID
- Anzeigename
- Erstellungszeitpunkt
- Tenant-Typ
- Verifizierte Domains
- Technische Kontakte
- Geschäftliche Kontaktdaten
- Datenschutzkontakte
- Synchronisationsinformationen
- Brandinginformationen
Die Eigenschaft Id entspricht der Tenant-ID.
Du kannst das Organisationsobjekt über Microsoft Graph PowerShell auslesen:
Connect-MgGraph `
-Scopes 'Organization.Read.All' `
-ContextScope Process
$Organization = Get-MgOrganization
$Organization |
Select-Object `
Id,
DisplayName,
TenantType,
CreatedDateTimeDie verifizierten Domains sind verschachtelte Objekte. Für eine besser lesbare Ausgabe bereitest du sie separat auf:
$Organization.VerifiedDomains |
Select-Object `
Name,
Type,
IsDefault,
IsInitial,
CapabilitiesEine zusammengefasste Übersicht kannst du als eigenes Objekt erzeugen:
Connect-MgGraph `
-Scopes 'Organization.Read.All' `
-ContextScope Process
$Organization = Get-MgOrganization
[PSCustomObject]@{
TenantId = $Organization.Id
DisplayName = $Organization.DisplayName
TenantType = $Organization.TenantType
CreatedDateTime = $Organization.CreatedDateTime
InitialDomain = (
$Organization.VerifiedDomains |
Where-Object IsInitial -eq $true |
Select-Object -ExpandProperty Name
)
DefaultDomain = (
$Organization.VerifiedDomains |
Where-Object IsDefault -eq $true |
Select-Object -ExpandProperty Name
)
VerifiedDomains = (
$Organization.VerifiedDomains.Name -join ', '
)
}Organization.Read.All erteilt den vorgesehenen Lesezugriff auf die Organisationsinformationen. Ohne ausreichende Berechtigung können einzelne Eigenschaften fehlen oder mit null zurückgegeben werden.
Die initiale onmicrosoft.com-Domäne bleibt bestehen
Während der Tenant-Erstellung legst du eine initiale Domain fest:
tenantname.onmicrosoft.comMicrosoft dokumentiert, dass diese initiale Domain später weder bearbeitet noch gelöscht werden kann. Du kannst eine eigene Unternehmensdomain hinzufügen und als primäre Domain setzen. Die ursprüngliche onmicrosoft.com-Domain bleibt trotzdem Bestandteil des Tenants.
Sie wird anfangs verwendet für:
- Das erste Administratorkonto
- Benutzerobjekte vor der Domainverifizierung
- Cloud-only-Administratorkonten
- Fallback-Szenarien
- Technische Referenzen
- Bestimmte Routing- und Dienstfunktionen
Beispiel:
admin@phinit.onmicrosoft.comFür administrative Cloud-only-Konten ist diese Domain häufig sinnvoll. Das Konto bleibt dadurch unabhängig von einer späteren Änderung der Unternehmensdomain oder von der Synchronisation mit einem lokalen Active Directory.
Das erste Administratorkonto
Bei einer klassischen Tenant-Erstellung erhält der Benutzer, der das Verzeichnis erstellt, standardmäßig die Rolle Global Administrator. Microsoft nennt ihn zugleich als technischen Kontakt des neuen Tenants.
Dieses Konto ermöglicht die weitere Konfiguration von Domains, Benutzern, Lizenzen und Sicherheitseinstellungen.
Nach der Basiseinrichtung solltest du prüfen:
- Ist das Konto einer Person zugeordnet?
- Wird es für normale Büroarbeit verwendet?
- Ist phishing-resistente Authentifizierung eingerichtet?
- Muss die Global-Administrator-Rolle dauerhaft aktiv bleiben?
- Sind spezialisierte Administratorkonten vorhanden?
- Existieren zwei Notfallkonten?
- Wird jede Anmeldung überwacht?
- Sind Wiederherstellungsinformationen dokumentiert?
Das Registrierungskonto sollte nicht ungeprüft zum dauerhaften Standardkonto für alle administrativen Aufgaben werden.
SharePoint und OneDrive erhalten eigene Namensräume
Die ursprüngliche onmicrosoft.com-Domain wird bei der Bereitstellung von SharePoint Online für die SharePoint- und OneDrive-URLs verwendet.
Beispiel:
Initiale Domain:
phinit.onmicrosoft.com
SharePoint:
https://phinit.sharepoint.com
SharePoint Admin Center:
https://phinit-admin.sharepoint.com
OneDrive:
https://phinit-my.sharepoint.com
OneDrive for Business verwendet die SharePoint-Online-Plattform. Deshalb teilen sich beide Dienste denselben Tenant-Namensraum.
Eine später hinzugefügte Domain ändert diese URLs nicht:
Benutzeranmeldung:
andreas.hepp@phinit.de
SharePoint:
https://phinit.sharepoint.com
Microsoft unterstützt eine nachträgliche Domainumbenennung für SharePoint und OneDrive. Dabei werden alle betroffenen Sites einzeln umbenannt und können während der Verarbeitung vorübergehend nicht erreichbar sein. Die Standardfunktion ist aktuell für Tenants mit höchstens 10.000 Sites, OneDrive-Konten und SharePoint-Embedded-Containern vorgesehen. Größere Umgebungen benötigen Advanced Tenant Rename und passende SharePoint-Advanced-Management-Lizenzen.
Die Namenswahl bei der Registrierung bleibt deshalb eine Architekturentscheidung und keine reine kosmetische Eingabe.
Workloads besitzen eigene technische Strukturen
Die einzelnen Microsoft 365 Dienste sind keine bloßen Ansichten auf dasselbe Verzeichnis.
| Workload | Typische Strukturen |
| Exchange Online | Exchange-Organisation, Accepted Domains, Transportkonfiguration, Postfächer |
| SharePoint Online | SharePoint-Tenant, Sites, Admin-Namensraum |
| OneDrive | Persönliche SharePoint-Sites |
| Microsoft Teams | Teams, Richtlinien, Meetings und Chatstrukturen |
| Microsoft Intune | Enrollment-, Compliance- und Konfigurationsrichtlinien |
| Microsoft Defender | Incidents, Alerts und Sicherheitsrichtlinien |
| Microsoft Purview | Audit, DLP, Aufbewahrung und eDiscovery |
| Microsoft Fabric | Workspaces, Kapazitäten und Tenant-Einstellungen |
Microsoft Entra ID speichert die Identitätsobjekte und stellt Zugriffstoken bereit. Die fachlichen Daten liegen in den jeweiligen Workloads.
Diese Architektur erklärt, warum eine Rolle oder Lizenz nicht automatisch alle Dienste unmittelbar nutzbar macht. Jeder Workload besitzt eigene Provisionierungsprozesse, Rollenmodelle und teilweise zusätzliche Lizenzprüfungen.
Lizenzen aktivieren Dienste, erzeugen aber nicht den Tenant
Ein Microsoft Entra Tenant kann ohne vollständige Microsoft 365 Benutzerlizenz existieren. Der Tenant bildet zuerst die Identitäts- und Organisationsgrenze.
Abonnements stellen Produkte und Lizenzmengen bereit. Die Zuweisung einer Lizenz an einen Benutzer aktiviert die enthaltenen Servicepläne und startet bei Bedarf die Provisionierung benutzerbezogener Dienste.
Lizenz im Tenant verfügbar
↓
Lizenz wird Benutzer zugewiesen
↓
Servicepläne werden ausgewertet
↓
Exchange-Postfach wird provisioniert
↓
OneDrive wird bei Bedarf erstellt
↓
Weitere Dienste werden freigeschaltetNicht jeder Dienst erzeugt sofort ein sichtbares Objekt. OneDrive wird beispielsweise häufig erst bei der ersten Nutzung oder durch einen administrativen Provisionierungsprozess eingerichtet.
Eine kurze Verzögerung nach der Lizenzzuweisung ist deshalb kein Beweis für eine Fehlkonfiguration.
Tenant-ID im Portal und per PowerShell ermitteln
Du findest die Tenant-ID im Microsoft Entra Admin Center unter:

Microsoft nennt den Bereich Entra ID > Übersicht > Eigenschaften als offiziellen Navigationspfad.
Nur die Tenant-ID liest du per Microsoft Graph PowerShell so aus:
Connect-MgGraph `
-Scopes 'Organization.Read.All' `
-ContextScope Process
$TenantId = (Get-MgOrganization).Id
$TenantIdDer aktuelle Graph-Kontext zeigt ebenfalls eine Tenant-ID:
Get-MgContext |
Select-Object `
Account,
TenantId,
AuthType,
ScopesBeide Cmdlets beantworten unterschiedliche Fragen:
Get-MgOrganizationliest das Organisationsobjekt aus Microsoft Graph.Get-MgContextzeigt den Tenant der aktuellen Graph-Sitzung.
Gerade bei mehreren Kunden- oder Testtenants solltest du den Kontext vor jeder Änderung prüfen:
$Context = Get-MgContext
if (-not $Context) {
throw 'Es besteht keine Verbindung zu Microsoft Graph.'
}
Write-Host "Angemeldetes Konto: $($Context.Account)"
Write-Host "Aktueller Tenant: $($Context.TenantId)"Diese Kontrolle reduziert das Risiko, administrative Befehle im falschen Tenant auszuführen.
Fazit
Bei der Erstellung eines Microsoft 365 Tenants entsteht zuerst eine eigenständige Microsoft Entra ID Instanz. Sie bildet die Identitäts-, Zugriffs- und Verwaltungsgrenze deiner Organisation. Benutzer, Gruppen, Geräte, Apps, Rollen und Sicherheitsrichtlinien werden innerhalb dieses Verzeichnisses verwaltet.
Die weltweit eindeutige Tenant-ID ist die dauerhaft wichtigste technische Kennung. Anzeigename, Unternehmensdomains und unter bestimmten Bedingungen sogar SharePoint-URLs können geändert werden. Die Tenant-ID bleibt bestehen und verbindet Identitäten, Anwendungen, Partnerbeziehungen, APIs, Protokolle und Automatisierungen mit der richtigen Organisation.
Microsoft 365 Dienste verwenden dasselbe Entra-Verzeichnis, bleiben aber eigenständige Workloads. Exchange Online, SharePoint, Teams, Intune und Purview besitzen eigene Datenbestände, Richtlinien und Provisionierungsprozesse. Lizenzen schalten diese Dienste frei und erzeugen benutzerbezogene Objekte. Sie erzeugen nicht das zugrunde liegende Verzeichnis.
Die initiale onmicrosoft.com-Domain verdient besondere Aufmerksamkeit. Sie bleibt dauerhaft im Tenant und beeinflusst später den SharePoint- und OneDrive-Namensraum. Eine Umbenennung ist möglich, aber mit technischen Auswirkungen verbunden.
Dokumentiere deshalb unmittelbar nach der Erstellung mindestens Tenant-ID, initiale Domain, SharePoint-Namensraum, Organisationseigenschaften und administrative Konten. Prüfe bei PowerShell-Arbeiten zusätzlich den aktuellen Graph-Kontext. Der Tenant ist nach wenigen Minuten vorhanden. Seine technische Struktur bestimmt aber über Jahre, wie Identitäten, Dienste und Automatisierungen zusammenarbeiten.
Sei der Erste und starte die Diskussion mit einem hilfreichen Beitrag.
Kommentar hinterlassen
Dein Beitrag wird vor der Veröffentlichung kurz geprüft — fachlich, respektvoll und auf den Punkt ist hier genau richtig.