GFN Kurs · AB-900 · Microsoft 365 Identität

Identitäts- & Rechte­verwaltung
interaktiv erklärt

Vier Module — RBAC, Adminrollen, Tenant-Modelle und Admin Centers — mit Aufgaben, Quizfragen und animierten Diagrammen aufbereitet.

Modul 1

RBAC

Modul 2

Admin Centers

Modul 3

Tenant-Modelle

Modul 4

Adminrollen

Modul 5

PIM

Modul 6

Überwachung

Modul 7

Copilot & Agenten

Quellen: Aufgabenstellungen aus dem GFN-Kurs AB-900 · Sabrina Wrobel

Modul 1 · RBAC

Role Based Access Control

Wie Microsoft Berechtigungen über Rollen statt einzelner Rechte vergibt — und warum das sicherer ist.

1

Aufgabe 1 — In eigenen Worten erklärt

Was bedeutet RBAC?

RBAC = Role Based Access Control. Berechtigungen werden nicht direkt an einzelne Personen vergeben, sondern an Rollen. Benutzer bekommen Rollen zugewiesen — und „erben" dadurch alle Berechtigungen dieser Rolle.

Warum Rollen statt Einzelrechte?

Skalierbar & konsistent. Ein neuer Helpdesk-Mitarbeiter bekommt einfach die Rolle „Helpdesk-Administrator" — statt dass jemand für ihn 30 Einzelrechte zusammenklicken muss. Weniger Fehler, einheitliche Profile, einfachere Wartung.

Vorteil für Sicherheit

Least Privilege wird einfacher: Rollen sind klar umrissen, Audits werden nachvollziehbar („Wer hat welche Rolle?"), und beim Verlassen einer Position entzieht man eine Rolle — nicht zig Einzelrechte. Weniger vergessen = weniger Risiko.

2

Aufgabe 2 — Das RBAC-Modell visualisiert

Benutzer R Rolle Berechtigungen Ressource hat enthält wirken auf Das RBAC-Prinzip — vier verkettete Bausteine Hover über die Knoten für Details

Benutzer bekommt eine Rolle, die ein Bündel von Berechtigungen enthält — und diese wirken auf Ressourcen.

3

Aufgabe 3 — Welche Rolle für welches Profil?

Gruppe 1

E-Mails verwalten

Ein Mitarbeiter soll nur E-Mails verwalten — also Postfächer, Mailflow, Verteiler.

Sinnvolle Rolle

Exchange Administrator

Was sie darf: Postfächer anlegen, Mailflow-Regeln, Connectors, Verteiler. Was sie nicht darf: Mailinhalte lesen, andere Dienste verwalten.

Sicher, weil: Scope ist auf Exchange begrenzt — kein Zugriff auf SharePoint, Teams, Benutzerkonten oder Sicherheits-Policies.

Gruppe 2

Teams-Richtlinien ändern

Ein Kollege soll Teams-Richtlinien verwalten — Meetings, Apps, Messaging.

Sinnvolle Rolle

Teams Administrator

Was er darf: Meeting-, Messaging- und App-Setup-Policies, Teams-Lifecycle, Telefonie. Was er nicht darf: Mails verwalten, Benutzer anlegen.

Sicher, weil: Klare Begrenzung auf den Teams-Dienst — keine Cross-Service-Risiken.

Gruppe 3

Benutzer anlegen

Eine Person soll neue Benutzer anlegen und Konten pflegen.

Sinnvolle Rolle

User Administrator

Was sie darf: Benutzer anlegen / löschen / bearbeiten, Lizenzen zuweisen, Passwörter zurücksetzen (für Standardnutzer). Was sie nicht darf: Andere Adminrollen vergeben, Tenant-weite Sicherheits-Settings ändern.

Sicher, weil: Identitätsverwaltung ist klar von Sicherheit und Diensten getrennt.

Gruppe 4

Azubi — nur lesen

Ein Azubi soll Verwaltungsoberflächen nur ansehen dürfen — zum Lernen.

Sinnvolle Rolle

Global Reader (alternativ: Reports Reader)

Was er darf: Alle Admin-Portale lesen, Konfigurationen ansehen, Reports einsehen. Was er nicht darf: Irgendetwas ändern.

Sicher, weil: Kein Schreibzugriff = kein Schaden möglich. Perfekt zum Einarbeiten.

Modul 2 · Admin Centers

Die vier Admin Centers

Microsoft trennt die Verwaltung nach Diensten — jedes Admin Center hat seinen eigenen Fokus.

Modul 3 · Tenant

Single-Tenant vs. Multi-Tenant

Wer teilt sich die Plattform — und was bedeutet das für Daten, Identitäten und Risiko?

Single-Tenant

Eine Plattform, ein Kunde

Die Infrastruktur wird für genau eine Organisation betrieben. Hardware, Datenbanken und Anwendungen sind exklusiv. Typisch für klassische On-Premise-Installationen.

Maximale Datenisolation

Volle Kontrolle über Hardware & Software

Hohe Kosten & Wartungsaufwand

Skaliert schlecht

Multi-Tenant

Eine Plattform, viele Kunden

Eine geteilte Infrastruktur bedient viele Kunden gleichzeitig. Die Daten der Kunden sind logisch getrennt, aber die Hardware ist geteilt. Das Modell hinter Microsoft 365.

Niedrige Kosten pro Kunde

Skaliert global, schnelle Updates

Logische Trennung muss perfekt funktionieren

Weniger individuelle Anpassung

1

Aufgabe 1 — Sonderformen

Development / Test Tenant

Ein dedizierter Testmandant — eine zweite, vollwertige M365-Umgebung neben dem produktiven Tenant. Er dient dazu, neue Konfigurationen, Lizenzpläne, Apps oder Sicherheits-Policies risikofrei zu testen, bevor sie in Produktion gehen. Beide Tenants sind vollständig getrennt — eigene Domains, eigene Nutzer, eigene Daten.

Cross-Tenant (B2B)

Zusammenarbeit über Tenant-Grenzen hinweg. Externe Personen aus einem fremden Tenant werden als Gäste eingeladen, behalten ihre Identität in ihrem Heimat-Tenant, können aber im Gast-Tenant arbeiten — Teams, SharePoint, Dateien teilen. Microsoft Entra B2B verwaltet diese Gast-Beziehungen.

2

Aufgabe 2 — Vier Steckbriefe

Modul 4 · Adminrollen

Adminrollen vs. Berechtigungen

Wann braucht jemand eine Adminrolle, wann reicht eine Berechtigung?

Adminrolle

Verwaltungsrechte im Tenant

Erlaubt einer Person, Dienste, Identitäten oder globale Einstellungen zu verwalten — meist für viele Nutzer gleichzeitig.

User Administrator
Exchange Administrator
Teams Administrator
Security Administrator

Berechtigung / Zugriff

Zugriff auf konkrete Inhalte

Erlaubt einer Person, auf ein einzelnes Objekt zuzugreifen — eine Datei, ein Postfach, einen Kalender.

Postfach-Vollzugriff
SharePoint-Site-Berechtigung
Kalenderfreigabe
Team-Mitglied / Owner
Aufgabe 1

Klassifikations-Quiz

Klick bei jeder Tätigkeit, ob du sie für eine Adminrolle oder eine Berechtigung hältst. Falsche Karten kannst du erneut versuchen.

Dein Fortschritt

0 / 8 gemeistert · 0 Versuche

Aufgabe 2

Szenarien aus der Praxis

Vier Personen, vier Anforderungsprofile — welche Rolle und/oder welcher Zugriff sind die richtige Wahl?

Big Picture

So greifen Rollen und Berechtigungen ineinander

Hover über die Knoten für Details.

M365 Tenant Entra ID · Verzeichnis User Admin Identitäten Exchange Admin Mail-Konfig Teams Admin Richtlinien Security Admin Sicherheits-Policies Benutzer erhält Rollen + Berechtigungen Postfach Mailinhalte SharePoint Dateien Team / Kalender ADMINROLLEN (Tenant-Scope) BERECHTIGUNGEN (Objekt-Scope)

Adminrollen wirken von oben · Berechtigungen wirken am Objekt

Modul 5 · PIM

Schutz privilegierter Zugriffe

Microsoft Entra Privileged Identity Management (PIM): Adminrechte gibt's nur, wenn man sie wirklich braucht — und nur so lange, wie nötig.

Der PIM-Lebenszyklus

Just-in-Time Access — Rechte nur dann, wenn sie gebraucht werden.

1 Eligible berechtigt — aber inaktiv 2 Aktivieren Anfrage + Begründung + MFA 3 Aktiv (begrenzt) z.B. 4–8 Stunden 4 Abgelaufen Rechte automatisch entzogen Just-in-Time Access mit PIM Eligible Assignment statt Active Assignment — Rechte werden temporär „eingeschaltet"

Zeitlich begrenzt

Rechte gelten nur für die Aktivierungsdauer.

MFA + Genehmigung

Aktivierung erfordert MFA, optional Genehmiger.

Vollständig auditiert

Jede Aktivierung wird mit Begründung protokolliert.

1

Aufgabe 1 — Zehn Adminrollen mit PIM-Empfehlung

Sortiert nach Sensitivität — von Kritisch (★★★★★) über Sehr hoch und Hoch bis Mittel und Niedrig (★).

2

Aufgabe 2 — Identitäten analysieren & zuordnen

Identität Kategorie Typisches Risiko Schutzmaßnahme
3

Aufgabe 3 — PIM-Entscheidungen in der Praxis

Modul 6 · Überwachung

Überwachung, Analyse & Reaktion

Sicherheits­vorfälle laufen in einer 6-Schritte-Zugriffskette ab — von der Erfassung bis zur Nachverfolgung.

Das Modell der Zugriffskette

!

Vier Sicherheitsvorfälle — durch die Zugriffskette analysiert

Wähle ein Szenario — die 6 Schritte werden für jeden Fall konkret durchgespielt.

Modul 7 · Copilot & Agenten

Copilot vs. Agenten

Der Generalist und seine spezialisierten Helfer — wo liegen die Unterschiede, und wann nehme ich was?

Copilot vs. Agenten — visueller Vergleich der Benutzerschnittstelle, Datenquellen, Anpassbarkeit und Rolle
Visueller Überblick: Copilot (zentral, vielseitig) vs. Agenten (spezialisiert, mit definierten Datenquellen und tiefer Anpassbarkeit)

Der Generalist

Microsoft 365 Copilot

Ein universeller KI-Assistent direkt in Word, Excel, PowerPoint, Outlook, Teams und im Web. Bekommt seinen Kontext aus dem Microsoft Graph — alles, was der jeweilige User selbst sehen darf.

Eine Lösung für alle

In jeder M365-App vorhanden

Von Microsoft entwickelt & gepflegt

Kaum anpassbar

Die Spezialisten

Copilot Agenten

Maßgeschneiderte KI-Assistenten für einen klaren Anwendungsfall — gebaut mit Microsoft Copilot Studio. Jeder Agent kennt seine eigene Wissens­basis, hat eigene Aktionen und gehört einem Team.

Beliebig viele pro Tenant

Spezifischer Fachzweck

Vom Fachbereich gebaut

Stark anpassbar

1

Aufgabe 1 — Fünf Leitfragen

2

Aufgabe 2 — Vergleichstabelle

Gefordert waren mindestens 5 Kriterien — hier sind 11, damit der Vergleich rund wird.

Kriterium
Microsoft 365 Copilot
Copilot Agenten
Bonus

9 Agent-Beispiele aus der Praxis

Wie sehen Copilot-Agenten in echt aus? Neun typische Anwendungsfälle aus unterschiedlichen Abteilungen.

3

Aufgabe 3 — Warum ist die Abgrenzung wichtig?

Sechs konkrete Risiken, die ohne saubere Trennung zwischen Copilot und Agent entstehen — und wie man sie adressiert.

Least Privilege Prinzip

Drei Regeln für alles

Egal ob RBAC, Adminrolle, Tenant-Modell oder Admin Center — diese drei Leitplanken gelten überall.

Nur so viele Rechte wie nötig

Vergib keine Global-Admin-Rechte, wenn eine Helpdesk-Rolle reicht. Jede Rolle bringt ein Risiko mit.

Verwaltung ≠ Inhaltszugriff

Ein Exchange-Admin verwaltet Postfächer — er liest sie nicht. Inhaltszugriff ist eine separate Berechtigung.

Externe nie als Admin

Gastnutzer und externe Mitarbeiter erhalten nur projektspezifische Berechtigungen — keine Adminrollen.