Entra Architektur, Bereitstellung & Betrieb Entra Architecture, Deployment & Operations

Level-500-Referenz zu Architektur, Rollout, Security Operations, operativer Exzellenz, Resilienz, Skalierung und Automatisierung für Microsoft Entra. Level 500 reference for architecture, rollout, security operations, operational excellence, resilience, scale, and automation for Microsoft Entra.

ℹ️ Orientierung ℹ️ Orientation

Diese Seite verdichtet die wichtigsten Microsoft-Learn-Leitlinien für Zielbild, Bereitstellung, Betrieb und Störfallmanagement in einem praxisnahen Referenzdokument. This page condenses the most important Microsoft Learn guidance for target architecture, deployment, operations, and incident handling into one practical reference document.

Kernarchitektur Core architecture

Tenant-Modelle, interne Dienste, globale Infrastruktur, Datenresidenz und SLA. Tenant models, internal services, global infrastructure, data residency, and SLA.

Bereitstellungsphasen Deployment phases

Foundation, Authentication, Apps, Governance und Security in Rollout-Wellen. Foundation, authentication, apps, governance, and security in rollout waves.

SecOps SecOps

Monitoring-Strategie, Baselines, Sentinel und KQL für Identitätsereignisse. Monitoring strategy, baselines, Sentinel, and KQL for identity events.

Operations Operations

Day-2-Betrieb für Tenant, Identitäten, Auth, Apps und Governance. Day-2 operations for tenant, identities, auth, apps, and governance.

Resilienz Resilience

Notfallzugang, Wiederanlauf, degradierte Modi und Mehrregionenbetrieb. Emergency access, recovery, degraded modes, and multiregion operation.

Automatisierung Automation

PowerShell- und Graph-Beispiele für Konfiguration, Health Checks und Reporting. PowerShell and Graph examples for configuration, health checks, and reporting.

Microsoft Entra Architektur Microsoft Entra architecture

Microsoft Entra ist ein global verteilter Identitätskontrollpunkt. Architekturentscheidungen betreffen Authentifizierung, Mandantengrenzen, Datenresidenz, Hybridabhängigkeiten, Integrationsmuster und das spätere Betriebsmodell. Microsoft Entra is a globally distributed identity control plane. Architecture decisions affect authentication, tenant boundaries, data residency, hybrid dependencies, integration patterns, and the future operating model.

💡 Plattformdenken 💡 Platform thinking

Plane Entra als Plattform mit Zielbild, Betriebsmetriken, Notfallpfaden und Governance-Regeln. Plan Entra as a platform with a target architecture, operating metrics, emergency paths, and governance rules.

Tenant-Architektur: Single Tenant vs. Multi-Tenant Tenant architecture: single tenant vs multi-tenant

Ein Single-Tenant-Modell minimiert Richtlinien-Drift. Mehrere Tenants sind sinnvoll bei rechtlicher Trennung, souveräner Datenhaltung, M&A oder dediziertem Customer-Identity-Betrieb. A single-tenant model minimizes policy drift. Multiple tenants make sense for legal separation, sovereign data residency, M&A, or dedicated customer identity.

Modell Model	Vorteil Advantage	Trade-off Trade-off	Typischer Einsatz Typical use
Single Tenant Single tenant	Einfachere Governance Simpler governance	Größerer Blast Radius Larger blast radius	Zentralisierte Unternehmen Centralized enterprises
Mehrere Workforce-Tenants Multiple workforce tenants	Regionale oder rechtliche Isolation Regional or legal isolation	Mehr Betriebsaufwand More operational overhead	Holding, M&A, Sovereignty Holding, M&A, sovereignty
External-ID-Tenant External ID tenant	Saubere Trennung von Kunden- und Workforce-Identitäten Clean separation of customer and workforce identities	Mehr Integrationsaufwand More integration effort	Portale und CIAM Portals and CIAM

Interne Komponenten: Authentication Service, Directory Service und Graph Internal components: authentication service, directory service, and Graph

Komponente Component	Rolle Role	Architekturhinweis Architecture note
Authentication Service Authentication service	Anmeldungen, Policy, Tokenausstellung Sign-ins, policy, token issuance	Abhängigkeiten zu MFA, Federation und Named Locations reduzieren Reduce dependencies on MFA, federation, and named locations
Directory Service Directory service	Benutzer, Gruppen, Geräte, Rollen, Apps Users, groups, devices, roles, apps	Objekthygiene und Änderungsrate bestimmen Komplexität Object hygiene and change rate determine complexity
Microsoft Graph Microsoft Graph	APIs für Verwaltung und Entwicklung APIs for management and development	Retry-After, Delta und Paging einplanen Plan for Retry-After, delta, and paging
Risk & Reporting Risk and reporting	Anmelde-, Audit- und Risikodaten Sign-in, audit, and risk data	Zentral in SIEM oder Log Analytics führen Centralize in SIEM or Log Analytics

Globale Infrastruktur, primäre und Backup-Datacenter Global infrastructure, primary and backup datacenters

Kundenrelevante Ausfälle entstehen oft nicht im Cloud-Service selbst, sondern in lokalen Abhängigkeiten wie PTA-Agenten, ADFS-Farmen, Reverse Proxies, DNS oder Zertifikatsprüfungen. Customer-facing outages often originate not in the cloud service itself but in local dependencies such as PTA agents, AD FS farms, reverse proxies, DNS, or certificate validation.

Ebene Layer	Modus Mode	Kundenrelevanz Customer relevance
Cloud-Authentifizierung Cloud authentication	Global verteilt Globally distributed	Bevorzugtes Zielbild für Resilienz Preferred target for resilience
Verzeichnisdaten Directory data	Replizierte Dienstarchitektur Replicated service architecture	Provisioning- und Replikationsverhalten verstehen Understand provisioning and replication behavior
Hybridagenten Hybrid agents	Kundenverantwortung Customer responsibility	N+1-Agenten und Health Checks nötig N+1 agents and health checks are required
Administration Administration	Portal und APIs Portal and APIs	Emergency Access muss ohne lokale Kette funktionieren Emergency access must work without local chains

⚠️ Häufige Fehlannahme ⚠️ Common false assumption

Viele scheinbare Entra-Ausfälle sind in Wahrheit Abhängigkeitsausfälle auf Kundenseite. Many apparent Entra outages are actually customer-side dependency outages.

Datenresidenz, Souveränität und SLA Data residency, sovereignty, and SLA

Thema Topic	Orientierung Reference	Architekturauswirkung Architecture impact
Datenresidenz Data residency	Datenart und Feature getrennt betrachten Assess per data type and feature	Region und Compliance früh festlegen Decide region and compliance early
Uptime Uptime	99,99 Prozent SLA 99.99 percent SLA	Notfallkonten und degradierte Modi trotzdem einplanen Still plan emergency accounts and degraded modes
Objektlimit Object limit	Standardmäßig bis 50 Millionen Objekte Up to 50 million objects by default	Objekthygiene und Gruppenstrategie werden Pflicht Object hygiene and group strategy become mandatory
Gruppenclaims Group claims	Token-Overage bei vielen Gruppen Token overage with many groups	App-Rollen oder Graph-Lookups bevorzugen Prefer app roles or Graph lookups

Deployment-Pläne Deployment plans

Ein belastbarer Rollout folgt einer Sequenz: Fundament schaffen, Authentifizierung modernisieren, Anwendungen integrieren, Governance aktivieren und Security-Kontrollen stufenweise erzwingen. A resilient rollout follows a sequence: establish the foundation, modernize authentication, integrate applications, activate governance, and enforce security controls in stages.

Phase 1 – Foundation Phase 1 – foundation

Break-Glass außerhalb von Synchronisation und Federation halten. Keep break-glass outside synchronization and federation.
Notfallzugang mit dokumentiertem Testprotokoll prüfen. Validate emergency access with a documented test record.
Initiale Hardening-Checkliste für Einladungen, Consent und Rollen definieren. Define an initial hardening checklist for invitations, consent, and roles.

Kontrolle Control	Mindeststandard Minimum standard	Monitoring Monitoring
Tenant-Grunddaten Tenant fundamentals	Domains, Branding, Kontakte, Supportpfad Domains, branding, contacts, support path	Monatliche Drift-Prüfung Monthly drift review
Admin-Konten Admin accounts	Getrennte Identitäten und Least Privilege Separate identities and least privilege	Privilegierte Anmeldungen täglich Daily privileged sign-in review
Break-Glass Break-glass	Mindestens zwei cloud-only Notfallkonten At least two cloud-only emergency accounts	Anmeldetest quartalsweise Quarterly sign-in test
Initiales Hardening Initial hardening	Consent, Gastregeln, Legacy-Risiken Consent, guest rules, legacy risks	Baseline-Drift monatlich Monthly baseline drift

Phase 2 – Authentication Phase 2 – authentication

MFA mit privilegierten Rollen und IT-Support beginnen. Start MFA with privileged roles and IT support.
Passwordless nach Plattformreife und Persona einführen. Introduce passwordless by platform maturity and persona.
SSPR erst aktivieren, wenn Helpdesk- und Writeback-Pfade geklärt sind. Enable SSPR only after help desk and writeback paths are defined.

Option Option	Wann bevorzugen When to prefer	Operativer Preis Operational cost
PHS PHS	Standardzielbild mit hoher Cloud-Resilienz Default target with high cloud resilience	Niedrige Komplexität Low complexity
PTA PTA	Lokale Kennwortvalidierung nötig, aber ADFS vermeiden On-prem password validation needed, avoid AD FS	Agenten- und Egress-Abhängigkeit Agent and egress dependency
Federation Federation	Nur bei zwingendem Protokollzwang Only with mandatory protocol dependency	Höchste DR- und Betriebs-Komplexität Highest DR and operational complexity

PowerShell PowerShell


Connect-MgGraph -Scopes "Directory.Read.All","Policy.Read.All","UserAuthenticationMethod.Read.All"
Get-MgDomain | Select-Object Id, IsDefault, AuthenticationType
Get-MgPolicyAuthenticationMethodPolicy | Format-List *
Get-MgPolicyAuthorizationPolicy | Select-Object AllowEmailVerifiedUsersToJoinOrganization, DefaultUserRolePermissions

Phase 3 – Application Integration Phase 3 – application integration

Welle Wave	Quellmuster Source pattern	Zielbild Target pattern
1 1	SaaS-Galerie-App SaaS gallery app	SSO, SCIM, gruppenbasierte Zuweisung SSO, SCIM, group-based assignment
2 2	Interne Web-App Internal web app	Application Proxy mit redundanten Connectoren Application Proxy with redundant connectors
3 3	AD FS-App AD FS app	Entra SAML/OIDC mit Claim-Tests Entra SAML/OIDC with claim tests
4 4	Legacy-/Basic-Auth Legacy/basic auth	Ersatz, Segmentierung oder Risikobewertung Replacement, segmentation, or risk assessment

Phase 4 – Governance Phase 4 – governance

Funktion Capability	Erster Fokus First focus	Messgröße Metric
Access Reviews Access reviews	Gäste, privilegierte Gruppen, sensible Apps Guests, privileged groups, sensitive apps	Entfernung veralteter Zugriffe Removal of stale access
PIM PIM	Kernrollen und Ausnahmen Core roles and exceptions	Permanent vs. eligible Permanent vs eligible
Entitlement Management Entitlement management	Business-Pakete und Partnerzugriff Business packages and partner access	Genehmigungsdauer und Ablaufquote Approval time and expiry rate
Lifecycle Workflows Lifecycle workflows	Joiner/Mover/Leaver Joiner/mover/leaver	Erfolgsquote und Nacharbeit Success rate and rework

Phase 5 – Security Phase 5 – security

Kontrollring Control ring	Inhalt Content	Exit-Kriterium Exit criterion
Report-Only Report only	CA und Risk Policies ohne Block CA and risk policies without block	Keine offenen False Positives No unresolved false positives
Pilot Pilot	IT, Security Champions, kleine Bereiche IT, security champions, small groups	Supportaufkommen beherrschbar Support volume manageable
Broad Broad	Rollout nach Persona und Kritikalität Rollout by persona and criticality	Legacy-Nutzung sinkt Legacy use declines
Optimize Optimize	Ausnahmen reduzieren und Authentication Strengths schärfen Reduce exceptions and refine authentication strengths	Portfolio bleibt wartbar Portfolio remains maintainable

Externe Identitätsarchitekturen External identity deployment architectures

B2B-Kollaborationsarchitektur B2B collaboration architecture

B2B Collaboration ist das Standardmuster für Partner und Lieferanten. Gastobjekte leben im Ressourcentenant, die Primäridentität verbleibt im Heimatsystem. B2B collaboration is the standard pattern for partners and suppliers. Guest objects live in the resource tenant while the primary identity remains in the home system.

B2C/External ID für Kundenidentitäten B2C/External ID for customer identities

Kundenidentitäten sollten in einem dedizierten External-ID-Tenant betrieben werden, damit Workforce-Richtlinien und Kunden-Branding sauber getrennt bleiben. Customer identities should be hosted in a dedicated External ID tenant so workforce policies and customer branding remain cleanly separated.

Föderation mit externen IdPs Federation with external identity providers

OIDC und SAML bevorzugen. Prefer OIDC and SAML.
Zertifikatsrotation und Logout-Semantik prüfen. Review certificate rotation and logout semantics.
Partner-MFA und Notfallverfahren bewerten. Assess partner MFA and emergency procedures.

Direct Connect Architektur Direct connect architecture

Muster Pattern	Objekt im Zieltenant Object in target tenant	Primärnutzen Primary use
B2B Collaboration B2B collaboration	Gastobjekt Guest object	Breiter App-Zugriff Broad app access
B2B Direct Connect B2B direct connect	Kein klassisches Gastobjekt für den Hauptzugriff No classic guest object for the primary experience	Teams Shared Channels Teams shared channels
External ID External ID	Kundenobjekt im External-Tenant Customer object in external tenant	Self-Service-Portale Self-service portals

Security Operations Guide (SecOps) Security operations guide (SecOps)

Ein Entra-SecOps-Programm priorisiert ungewöhnliche Anmeldungen, Missbrauch privilegierter Rollen, App-Änderungen, Consent-Eskalationen, Geräteabweichungen und Hybridwarnungen. An Entra SecOps program prioritizes unusual sign-ins, abuse of privileged roles, application changes, consent escalation, device deviations, and hybrid alerts.

💡 Alarmmüdigkeit vermeiden 💡 Avoid alert fatigue

Trenne Always-On-Warnungen, tägliche Jagdabfragen und wöchentliche Hygieneberichte. Separate always-on alerts, daily hunting queries, and weekly hygiene reports.

Monitoring-Strategie, Baselines und Schwellenwerte Monitoring strategy, baselines, and thresholds

Domäne Domain	Primäre Signale Primary signals	Baseline Baseline
Benutzerkonten User accounts	Ungewöhnliche Sign-ins, Passwort-Resets, MFA-Änderungen Unusual sign-ins, password resets, MFA changes	Normale Länder, Geräteprofile, Helpdesk-Volumen Normal countries, device profiles, help desk volume
Privilegierte Konten Privileged accounts	PIM-Aktivierungen, Rollenwechsel, neue permanente Zuweisungen PIM activations, role changes, new permanent assignments	Erwartete Aktivierungsfenster und Genehmiger Expected activation windows and approvers
Anwendungen Applications	Neue Apps, Credential-Änderungen, Consent New apps, credential changes, consent	Normale Änderungsrate je Team Normal change rate per team
Geräte Devices	Nicht konform, Massenregistrierung, Ownership-Wechsel Noncompliant, mass registration, ownership changes	Registrierungsvolumen und Compliancequote Registration volume and compliance rate
Hybrid Hybrid	Connect Health, Sync-Fehler, PTA-Warnungen Connect Health, sync failures, PTA warnings	Agentenzahl und Export-/Import-Fehler = 0 Agent count and import/export failures = 0

Benutzerkonten überwachen Monitor user accounts

KQL KQL


SigninLogs
| where TimeGenerated > ago(7d)
| where ResultType == 0
| summarize Countries = make_set(LocationDetails.countryOrRegion, 20), Count = count() by UserPrincipalName
| where Count > 5 and array_length(Countries) > 3

KQL KQL


AuditLogs
| where TimeGenerated > ago(3d)
| where OperationName in ("Update user","Reset user password","Update user authentication methods")
| extend Target = tostring(TargetResources[0].userPrincipalName)
| project TimeGenerated, OperationName, Target, InitiatedBy, Result

Privilegierte Konten und Consent Grants Privileged accounts and consent grants

KQL KQL


AuditLogs
| where TimeGenerated > ago(14d)
| where Category =~ "RoleManagement"
| where OperationName has_any ("Add eligible member","Add member to role","Activate eligible role assignment")

KQL KQL


AuditLogs
| where TimeGenerated > ago(14d)
| where OperationName has_any ("Consent to application","Add delegated permission grant","Add app role assignment grant")

Anwendungen, Credentials und Service Principals Applications, credentials, and service principals

KQL KQL


AuditLogs
| where TimeGenerated > ago(30d)
| where OperationName has_any ("Add application","Update application","Add service principal credentials","Add application password")

Geräte und Registrierungsanomalien Devices and registration anomalies

KQL KQL


SigninLogs
| where TimeGenerated > ago(7d)
| where DeviceDetail.isCompliant == false or isempty(DeviceDetail.deviceId)
| summarize Count = count() by UserPrincipalName
| where Count > 3

Hybrid-Infrastruktur und Connect Health Hybrid infrastructure and Connect Health

🚨 Kritische Schwellen 🚨 Critical thresholds

Ein einziger PTA-Agent oder wiederkehrende Sync-Exportfehler sind Architekturprobleme und keine Bagatellen. A single PTA agent or recurring sync export failures are architecture problems, not trivial operations issues.

KQL KQL


SecurityAlert
| where TimeGenerated > ago(7d)
| where ProductName has_any ("Microsoft Entra","Azure AD Connect Health","Microsoft Sentinel")

Log Analytics und Sentinel-Integration Log Analytics and Sentinel integration

Zentralen Security-Workspace mit Retention und Exportstrategie definieren. Define a central security workspace with retention and export strategy.
Analytics Rules für Rollen, ungewöhnliche Länder, Consent und App-Credentials bauen. Create analytics rules for roles, unusual countries, consent, and app credentials.
Workbooks nach Persona bereitstellen: SOC, IAM, Helpdesk, App-Owner. Provide persona-based workbooks: SOC, IAM, help desk, app owners.
Playbooks für Containment und Ticketing koppeln. Link playbooks for containment and ticketing.

Operational Excellence Guide Operational excellence guide

Tenant Operations Tenant operations

Admin-Portal-Konfiguration, Branding, Datenschutzlinks und Kontakte aktuell halten. Keep admin portal configuration, branding, privacy links, and contacts current.
Self-Service-Einstellungen bewusst öffnen oder sperren. Intentionally open or restrict self-service settings.
External Collaboration Settings und Terms of Use regelmäßig prüfen. Review external collaboration settings and terms of use regularly.

Identity Operations Identity operations

Prozess Process	Betriebsfrage Operational question	Cadence Cadence
User Lifecycle User lifecycle	Wie schnell wirkt On-/Offboarding? How fast does on/offboarding take effect?	Täglich Daily
Passwortmanagement Password management	Wie viele Helpdesk-Resets sind vermeidbar? How many help desk resets are avoidable?	Wöchentlich Weekly
Lizenzmanagement License management	Wo liegen Leerlauf- oder Überlizenzierungen? Where is license waste or overassignment?	Monatlich Monthly
Gruppenmanagement Group management	Welche Gruppen haben keinen Owner oder fehlerhafte Regeln? Which groups lack owners or have broken rules?	Wöchentlich Weekly

Authentication Operations Authentication operations

MFA-Health, Registrierungsquoten und Authenticator-Fehler überwachen. Monitor MFA health, registration rates, and Authenticator failures.
CA-Policy-Review mindestens monatlich durchführen. Run a CA policy review at least monthly.
Zertifikate in Federation, SAML und App Proxy zentral nachhalten. Track certificates in federation, SAML, and App Proxy centrally.

Application Operations Application operations

App-Registrierungen auf Owner, Scopes, Redirect URIs und Secrets prüfen. Review app registrations for owners, scopes, redirect URIs, and secrets.
Enterprise Apps auf Nutzung, Zuweisung und Consent-Hygiene prüfen. Review enterprise apps for usage, assignment, and consent hygiene.
Token-Konfiguration und Gruppenclaims bei jeder Migration verifizieren. Verify token configuration and group claims on every migration.

Governance Operations Governance operations

Bereich Area	Review-Frage Review question	Frequenz Frequency
Access Reviews Access reviews	Werden veraltete Zugriffe entfernt? Are stale accesses removed?	Monatlich bis quartalsweise Monthly to quarterly
PIM PIM	Welche Rollen sind noch permanent? Which roles remain permanent?	Monatlich Monthly
Entitlement Catalogs Entitlement catalogs	Sind Pakete noch geschäftlich relevant? Are packages still business-relevant?	Quartalsweise Quarterly
Lifecycle Workflows Lifecycle workflows	Wo ist manuelle Nacharbeit nötig? Where is manual rework required?	Monatlich Monthly

Schutz der Cloud vor On-Premises-Angriffen Protecting the cloud from on-premises attacks

Angriffsvektoren Attack vectors

Vektor Vector	Beschreibung Description	Gegenmaßnahme Mitigation
Sync-Server Sync servers	Manipulation von Synchronisierung oder Export Manipulation of synchronization or export	Tier-0-Isolation und Monitoring Tier 0 isolation and monitoring
PTA/ADFS PTA/AD FS	Missbrauch lokaler Auth-Pfade und Zertifikate Abuse of local auth paths and certificates	Cloud Auth bevorzugen, N+1-Agenten Prefer cloud auth, deploy N+1 agents
Servicekonten Service accounts	Breit berechtigte Konten werden ausgenutzt Broadly privileged accounts are abused	Vaulting, Rotation, Workload Identity Vaulting, rotation, workload identity
Connectoren Connectors	Seitwärtsbewegung über Agenten und Proxy-Pfade Lateral movement through agents and proxy paths	Segmentierung und Least Privilege Segmentation and least privilege

Tier-0- und Credential-Isolation Tier 0 and credential isolation

Entra-Admins von Standardkonten trennen. Separate Entra admins from standard accounts.
Privileged Access Workstations oder gleichwertigen Schutz einsetzen. Use privileged access workstations or equivalent protection.
Gespeicherte Kennwörter durch Managed Identities und Federation ersetzen. Replace stored passwords with managed identities and federation.

Servicekonten, Connectoren und Agent-Sicherheit Service accounts, connectors, and agent security

Jeder Agent und jedes Servicekonto braucht Eigentümer, Patchfenster, Minimalrechte, Egress-Regeln und ein Ersetzungsverfahren. Every agent and service account needs owners, patch windows, minimum permissions, egress rules, and a replacement procedure.

Secure Generative AI Secure generative AI

AI-Agenten mit Entra absichern Secure AI agents with Entra

AI-Baustein AI component	Identitätsmuster Identity pattern	Kontrolle Control
Backend-Agent Backend agent	Managed Identity oder Workload Identity Managed identity or workload identity	Rollen minimieren Minimize roles
Copilot-Connector Copilot connector	App Registration mit Admin Consent App registration with admin consent	Nur benötigte Graph-Scopes Only required Graph scopes
RAG-Zugriff RAG access	Delegierter oder gefilterter Servicezugriff Delegated or filtered service access	Labeling und Zugriffspakete Labeling and access packages
Agent-to-Agent Agent to agent	Separater Dienstprinzipal je Funktion Separate service principal per function	Keine geteilten Secrets No shared secrets

Identity-first und Data Access Governance Identity-first and data access governance

Jeder Agent erhält eine explizite Identität und minimalste Rechte. Every agent gets an explicit identity and minimal rights.
Datenlabels, App-Rollen und Compliance-Kontrollen kombinieren. Combine data labels, app roles, and compliance controls.
Owner-Review und Rezertifizierung für AI-bezogene Apps erzwingen. Enforce owner review and recertification for AI-related apps.

Conditional Access für AI-Services Conditional Access for AI services

AI-Frontends und Administrationsflächen sollten in eigene CA-Scopes aufgenommen werden, damit phishing-resistente MFA, compliant devices und Session Controls gezielt durchgesetzt werden. AI front ends and admin surfaces should have dedicated CA scopes so phishing-resistant MFA, compliant devices, and session controls can be enforced precisely.

Disaster Recovery Disaster recovery

⚠️ DR-Grundsatz ⚠️ DR principle

Disaster Recovery für Identitäten bedeutet vor allem, Abhängigkeiten zu eliminieren. Disaster recovery for identities primarily means eliminating dependencies.

DR-Planung und Wiederanlauf DR planning and recovery

Break-Glass testen und dokumentieren. Test and document break-glass.
Policy-Fehler isolieren oder zurückrollen. Isolate or roll back policy failures.
Hybridpfade prüfen: PTA, Sync, App Proxy, Federation. Validate hybrid paths: PTA, sync, App Proxy, federation.
Helpdesk, SecOps und App-Owner informieren. Inform help desk, SecOps, and app owners.

Authentifizierungsresilienz und Backup-Methoden Authentication resilience and backup methods

Szenario Scenario	Primärer Pfad Primary path	Backup Backup
Federation fällt aus Federation fails	ADFS oder externer IdP AD FS or external IdP	PHS-Fallback und cloud-only Admins PHS fallback and cloud-only admins
MFA-Ausfall MFA outage	Authenticator oder Drittanbieter Authenticator or third party	Reservefaktor und definierte Ausnahmen Reserve factor and defined exceptions
Geräteproblem Device issue	Compliant/Hybrid Joined Device Compliant/hybrid joined device	PAW oder Break-Glass-Device PAW or break-glass device
Netzpfad gestört Network path disrupted	Corporate egress Corporate egress	Verifizierter alternativer Internetpfad Verified alternate internet path

Resilience Defaults und Multi-Region-Pattern Resilience defaults and multiregion patterns

Cloud-Authentifizierung als Zielbild bevorzugen. Prefer cloud authentication as the target state.
Mindestens zwei Emergency-Access-Konten betreiben. Operate at least two emergency access accounts.
Kritische Apps auf degradierte Modi und Token-Caching prüfen. Assess critical apps for degraded modes and token caching.
Hybridagenten N+1 auslegen und Health Checks alarmieren. Design hybrid agents N+1 and alert on health checks.

Performance und Scale Performance and scale

Directory Size Limits, Token-Größe und Group Nesting Directory size limits, token size, and group nesting

Thema Topic	Auswirkung Impact	Empfehlung Recommendation
50M Objekte 50M objects	Große Tenants brauchen Objekthygiene Large tenants need object hygiene	Drift und Dubletten reduzieren Reduce drift and duplicates
Gruppenclaims Group claims	Token können übergroß werden Tokens can become oversized	App-Rollen statt Gruppenclaims bevorzugen Prefer app roles over group claims
Gruppennesting Group nesting	Komplexe Fehlersuche Complex troubleshooting	Direkte Gruppen für App-Zugriff bevorzugen Prefer direct groups for app access
App-Limits App limits	Redirect URIs, Credentials und Policies wachsen schnell Redirect URIs, credentials, and policies grow quickly	Lifecycle und Owner-Review erzwingen Enforce lifecycle and owner review

API-Throttling und Bulk-Strategien API throttling and bulk strategies

Graph- und Entra-APIs erzwingen dynamische Service-Protection-Limits. Bulk-Jobs müssen Paging, Delta-Abfragen, Exponential Backoff und kontrollierte Parallelität verwenden. Graph and Entra APIs enforce dynamic service protection limits. Bulk jobs must use paging, delta queries, exponential backoff, and controlled parallelism.

PowerShell PowerShell


foreach ($user in $users) {
    try {
        Update-MgUser -UserId $user.Id -Department $user.Department
    }
    catch {
        if ($_.Exception.ResponseHeaders["Retry-After"]) {
            Start-Sleep -Seconds [int]$_.Exception.ResponseHeaders["Retry-After"]
        } else {
            throw
        }
    }
}

PowerShell & Graph API PowerShell and Graph API

Tenant-Konfiguration Tenant configuration

PowerShell PowerShell


Connect-MgGraph -Scopes "Organization.Read.All","Policy.Read.All","Directory.Read.All"
$org = Get-MgOrganization
$domains = Get-MgDomain
$authz = Get-MgPolicyAuthorizationPolicy
[pscustomobject]@{
    TenantId = $org.Id
    DisplayName = $org.DisplayName
    InitialDomain = ($domains | Where-Object IsInitial).Id
    GuestInviteEnabled = $authz.AllowInvitesFrom
}

Health-Check-Automatisierung Health-check automation

PowerShell PowerShell


Connect-MgGraph -Scopes "Directory.Read.All","AuditLog.Read.All"
$breakGlass = @("breakglass1@contoso.com","breakglass2@contoso.com")
$recent = Get-MgAuditLogSignIn -Filter "createdDateTime ge $(Get-Date).AddDays(-30).ToString('s')Z"
[pscustomobject]@{
    BreakGlassSignIns = ($recent | Where-Object { $breakGlass -contains $_.UserPrincipalName }).Count
    SignInsObserved = ($recent | Measure-Object).Count
}

SecOps-Monitoring und Reporting SecOps monitoring and reporting

PowerShell PowerShell


Connect-MgGraph -Scopes "AuditLog.Read.All","IdentityRiskEvent.Read.All"
$riskyUsers = Get-MgRiskyUser -All
[pscustomobject]@{
    RiskyUsers = $riskyUsers.Count
    Generated = (Get-Date)
} | Export-Csv ".\reports\entra-secops-summary.csv" -NoTypeInformation

Bulk-Operations Bulk operations

PowerShell PowerShell


$users = Import-Csv ".\bulk\department-updates.csv"
foreach ($user in $users) {
    Update-MgUser -UserId $user.UserPrincipalName -Department $user.Department -UsageLocation $user.UsageLocation
}

Wichtige Graph-Endpunkte Key Graph endpoints

HTTP HTTP


GET https://graph.microsoft.com/v1.0/organization
GET https://graph.microsoft.com/v1.0/domains
GET https://graph.microsoft.com/v1.0/policies/authorizationPolicy
GET https://graph.microsoft.com/beta/identity/conditionalAccess/policies
GET https://graph.microsoft.com/v1.0/servicePrincipals?$select=id,displayName,appId

Entscheidungsbäume und Troubleshooting Decision trees and troubleshooting

Entscheidungsbaum: Authentifizierungsmethode Decision tree: authentication method

Braucht das Unternehmen zwingend lokale Kennwortvalidierung? Wenn nein: PHS. Does the organization require on-prem password validation? If no: PHS.
Wenn ja: kann PTA die Anforderung erfüllen? Wenn ja: PTA. If yes: can PTA satisfy the requirement? If yes: PTA.
Nur wenn PTA nicht reicht und ein klarer Zwang existiert: Federation. Only if PTA is insufficient and a clear dependency exists: federation.
Für jedes Nicht-PHS-Modell muss ein dokumentierter Cloud-Fallback existieren. For every non-PHS model, a documented cloud fallback must exist.

Troubleshooting: globale Anmeldeprobleme Troubleshooting: global sign-in failure

Prüfschritt Check step	Frage Question	Nächste Aktion Next action
Service Health Service health	Gibt es einen bekannten Incident? Is there a known incident?	Status prüfen und Änderungen einfrieren Review status and freeze changes
Break-Glass Break-glass	Funktioniert ein cloud-only Notfallkonto? Does a cloud-only emergency account work?	Wenn ja: Richtlinien und Federation prüfen If yes: inspect policy and federation
Hybridpfad Hybrid path	Sind PTA/ADFS/App Proxy gesund? Are PTA/AD FS/App Proxy healthy?	Agenten, Zertifikate und Egress prüfen Inspect agents, certificates, and egress
Policy Policy	Wurde CA/MFA/SSPR geändert? Was CA/MFA/SSPR changed?	Report-Only oder Rückrollpfad nutzen Use report-only or rollback path