Mandanten- & Mehrmandantenverwaltung Tenant & Multi-Tenant Management

Tenant-Fundament, Domains, Cross-Tenant-Zugriff, Synchronisierung, Tenant Restrictions v2, B2B Direct Connect, Löschung/Wiederherstellung und Break-Glass. Tenant foundation, domains, cross-tenant access, synchronization, tenant restrictions v2, B2B direct connect, delete/recover, and break-glass.

Tenant-Fundament Tenant foundation

Domänen, Standardregion, Ländercode, Kontakte und Governance-Einstellungen prägen jede spätere Entra-Architektur. Domains, default region, country code, contacts, and governance settings shape every later Entra architecture.

Cross-Tenant als Plattform Cross-tenant as a platform

Cross-tenant access, Synchronisierung und Multi-Tenant-Organisationen definieren die Zusammenarbeit zwischen verbundenen Mandanten. Cross-tenant access, synchronization, and multi-tenant organizations define collaboration between connected tenants.

Tenant Restrictions v2 Tenant Restrictions v2

Die Authentifizierungs- und Datenebene lässt sich tenantbewusst steuern, um Shadow IT und Datenabfluss zu reduzieren. Authentication and data planes can be controlled with tenant awareness to reduce shadow IT and data exfiltration.

Break-Glass Break-glass

Notfallkonten, Recovery-Pfade und eine dokumentierte Lösch-/Wiederherstellungsstrategie sind Pflicht für resiliente Tenants. Emergency accounts, recovery paths, and a documented delete/recover strategy are mandatory for resilient tenants.

Tenant-Grundlagen, Domains und Federation Tenant fundamentals, domains, and federation

Element Element	Beschreibung Description	Hinweis Note
Initiale Domäne Initial domain	Der Tenant startet mit einer .onmicrosoft.com-Domäne. The tenant starts with an .onmicrosoft.com domain.	Sie bleibt dauerhaft bestehen, auch wenn Custom Domains dominieren. It remains permanently even when custom domains dominate.
Custom Domains Custom domains	Eigene DNS-Namensräume werden über TXT- oder MX-Nachweis verifiziert. Custom DNS namespaces are verified through TXT or MX proof.	Domänenstrategie früh mit E-Mail, UPN und Branding abstimmen. Align domain strategy early with email, UPN, and branding.
Federation Federation	Domänen können für bestimmte Szenarien mit externen IdPs oder ADFS föderiert werden. Domains can be federated with external IdPs or ADFS for specific scenarios.	Cloud Authentication ist das bevorzugte Zielbild; Federation nur bei begründetem Bedarf. Cloud authentication is the preferred target model; use federation only when justified.
Tenant Properties Tenant properties	Name, Land/Region, Sprache, Kontakte und Privacy-URLs wirken auf Portal und Endbenutzererfahrung. Name, country/region, language, contacts, and privacy URLs influence portal and end-user experience.	Organisationsdaten mit rechtlichen Vorgaben abstimmen. Align organizational data with legal requirements.
Tenant Rename Tenant rename	Der Anzeigename kann geändert werden; die ursprüngliche onmicrosoft-Domäne nicht. The display name can be changed; the original onmicrosoft domain cannot.	Auswirkung auf Branding ja, auf technische IDs nein. Affects branding, not technical IDs.

Domänenschritt Domain step	Aktion Action	Ergebnis Outcome
Hinzufügen Add	POST /domains oder Portal-Assistent. POST /domains or portal wizard.	Domänenobjekt im Tenant angelegt. Domain object created in the tenant.
Verifizieren Verify	TXT-/MX-Record im öffentlichen DNS setzen. Set TXT/MX record in public DNS.	Domäne wird für UPN, E-Mail und Dienste nutzbar. Domain becomes usable for UPN, email, and services.
Standardisieren Make default	Optional Standarddomäne für neue Benutzer und Gruppen setzen. Optionally set as default domain for new users and groups.	Reduziert Inkonsistenz bei Provisioning. Reduces provisioning inconsistency.
Föderieren Federate	Domäneneinstellungen auf externen IdP umstellen. Switch domain settings to an external IdP.	Cloud-Sign-in-Flow ändert sich tenantweit für diese Domäne. Cloud sign-in flow changes tenant-wide for that domain.

Multi-Tenant-Organisation, Cross-Tenant Sync und Zugriffseinstellungen Multi-tenant organization, cross-tenant sync, and access settings

Thema Topic	Kernfunktion Core function	Praxis Practice
Multi-Tenant Organization Multi-tenant organization	Verknüpft Mitgliedstenants in einer übergeordneten Organisationslogik. Links member tenants in a higher-level organizational model.	Relevant für Konzerne, Holding-Strukturen und Shared Services. Relevant for enterprises, holding structures, and shared services.
Cross-Tenant Synchronization Cross-tenant synchronization	Provisioniert Benutzer als B2B Member oder Guest in Zieltenants. Provisions users as B2B members or guests into target tenants.	Nutze Scoping Filter und saubere Attributzuordnung. Use scoping filters and clean attribute mapping.
Cross-Tenant Access Settings Cross-tenant access settings	Steuert eingehenden und ausgehenden B2B-Zugriff, Trust und MFA-Vertrauen. Controls inbound and outbound B2B access, trust, and MFA trust.	Immer pro Partner tenantbewusst dokumentieren. Always document per partner tenant.
B2B Direct Connect B2B direct connect	Direkte Zusammenarbeit für Szenarien wie Teams Shared Channels. Direct collaboration for scenarios like Teams shared channels.	Erfordert gegenseitige Vertrauens- und Richtlinieneinstellung. Requires mutual trust and policy configuration.
Tenant Restrictions v2 Tenant Restrictions v2	Lenkt Browser- und App-Traffic auf erlaubte Tenants. Directs browser and app traffic to allowed tenants.	Wichtig für Managed Devices und egress-kontrollierte Netzwerke. Important for managed devices and egress-controlled networks.

Cross-Tenant Sync Element Cross-tenant sync element	Beschreibung Description	Typische Stolperfalle Typical pitfall
Scoping Filter Scoping filter	Bestimmt, welche Benutzer aus dem Quelltenant synchronisiert werden. Determines which users from the source tenant are synchronized.	Zu breite Filter erzeugen unnötige Gast- oder Memberobjekte. Overly broad filters create unnecessary guest or member objects.
Attribute Mapping Attribute mapping	Ordnet Quellattribute wie mail, department oder employeeId dem Ziel zu. Maps source attributes such as mail, department, or employeeId to target values.	Immutable IDs und eindeutige Anker sauber definieren. Define immutable IDs and anchors carefully.
Provisioning Job Provisioning job	Führt Erstellen, Aktualisieren und Deaktivieren im Ziel aus. Performs create, update, and disable actions in the target.	Monitoring im Provisioning-Log aktiv nutzen. Actively use the provisioning log.
Template Template	Vordefinierte Mappings und Startkonfigurationen. Predefined mappings and starter configurations.	Templates sind Startpunkt, nicht Endzustand. Templates are a starting point, not the final state.

Tenant Restrictions v2, externe Zusammenarbeit und B2B Direct Connect Tenant Restrictions v2, external collaboration, and B2B direct connect

Einstellung Setting	Wirkung Effect	Designhinweis Design note
Authentication plane Authentication plane	Beschränkt, in welchen Tenants Benutzer sich anmelden dürfen. Restricts which tenants users may sign in to.	Browser, Proxy und Netzwerkpfad müssen Header/Signal erhalten. Browser, proxy, and network path must preserve the signal/header.
Data plane Data plane	Begrenzt Datenzugriff auf erlaubte Tenants und Apps. Limits data access to allowed tenants and apps.	Besonders relevant für SharePoint, Exchange und Teams-Datenzugriffe. Especially relevant for SharePoint, Exchange, and Teams data access.
Guest permissions Guest permissions	Definiert, wie sichtbar Mitglieder, Gruppen und Verzeichniselemente für Gäste sind. Defines how visible members, groups, and directory items are to guests.	Zero Trust bevorzugt restriktive Defaults. Zero Trust prefers restrictive defaults.
Invitation restrictions Invitation restrictions	Steuert, wer Gäste einladen darf und welche Domänen erlaubt sind. Controls who may invite guests and which domains are allowed.	Mit allow/block-Listen kombinieren. Combine with allow/block lists.
Trust settings Trust settings	Inbound- oder outbound Trust für MFA, compliant device und Hybrid Join. Inbound or outbound trust for MFA, compliant device, and hybrid join.	Nur aktivieren, wenn Partnerkontrollen bewertet wurden. Enable only after evaluating partner controls.

Abonnements, Löschung/Wiederherstellung und Notfallzugang Subscriptions, delete/recover, and emergency access

Bereich Area	Wichtige Fakten Important facts	Empfehlung Recommendation
Azure Subscriptions Azure subscriptions	Abonnements sind mit dem Tenant verknüpft; Billing und RBAC hängen daran. Subscriptions are linked to the tenant; billing and RBAC depend on them.	Owner- und Billing-Rollen separat dokumentieren. Document owner and billing roles separately.
Tenant Delete Tenant delete	Nur möglich, wenn Abonnements, Apps, Domains und andere Abhängigkeiten bereinigt wurden. Possible only when subscriptions, apps, domains, and other dependencies are removed.	Vor Löschung eine Dependency-Checkliste abarbeiten. Work through a dependency checklist before deletion.
30-Tage Recovery 30-day recovery	Gelöschte Tenants können für begrenzte Zeit wiederhergestellt werden. Deleted tenants can be restored for a limited period.	Recovery Owner und Prozess vorab definieren. Define recovery owner and process in advance.
Emergency Access Accounts Emergency access accounts	Mindestens zwei cloud-only Break-Glass-Konten ohne alltägliche Abhängigkeiten. At least two cloud-only break-glass accounts without everyday dependencies.	Starke Authentifizierung, aber ausfallsicheres Design mit regelmäßigen Tests. Strong authentication but fail-safe design with regular testing.
Technical Contact Technical contact	Tenant-Kontaktdaten beeinflussen Benachrichtigungen und Microsoft-Kommunikation. Tenant contacts influence notifications and Microsoft communication.	Aktuell halten und auf Gruppenpostfach legen. Keep current and use a group mailbox.

PowerShell PowerShell

Connect-MgGraph -Scopes "Organization.Read.All","Domain.ReadWrite.All","Policy.ReadWrite.CrossTenantAccess"
Get-MgOrganization | Select-Object DisplayName, CountryLetterCode, PreferredLanguage
Get-MgDomain | Select-Object Id, IsVerified, IsDefault

JSON JSON

{
  "displayName": "Contoso Europe",
  "marketingNotificationEmails": ["it-ops@contoso.com"],
  "preferredLanguage": "de-DE",
  "privacyProfile": {
    "contactEmail": "privacy@contoso.com",
    "statementUrl": "https://contoso.com/privacy"
  }
}

Graph-API Graph API	Pfad Path	Zweck Purpose
Organisation Organization	/organization /organization	Tenant-Stammdaten lesen und teilweise aktualisieren. Read and partially update tenant master data.
Domains Domains	/domains /domains	Custom Domains anlegen, prüfen und verwalten. Create, verify, and manage custom domains.
Cross-Tenant Access Cross-tenant access	/policies/crossTenantAccessPolicy /policies/crossTenantAccessPolicy	Partnerregeln, Trust und Defaults konfigurieren. Configure partner rules, trust, and defaults.
Provisioning Provisioning	/servicePrincipals/{id}/synchronization /servicePrincipals/{id}/synchronization	Cross-tenant synchronization jobs lesen und steuern. Read and control cross-tenant synchronization jobs.

Betriebscheckliste Operational checklist

Checkpunkt Checkpoint	Erwarteter Zustand Expected state	Bewertung Assessment
Custom Domains verifiziert Custom domains verified	TXT/MX-Nachweise vollständig. TXT/MX proofs completed.	Ja/Nein Yes/No
Break-glass getestet Break-glass tested	Mindestens zwei cloud-only Konten validiert. At least two cloud-only accounts validated.	Ja/Nein Yes/No
Cross-tenant policy dokumentiert Cross-tenant policy documented	Inbound/outbound trust pro Partner sauber beschrieben. Inbound/outbound trust documented per partner.	Ja/Nein Yes/No
Tenant Restrictions v2 entworfen Tenant Restrictions v2 designed	Authentication und Data Plane berücksichtigt. Authentication and data plane considered.	Ja/Nein Yes/No
Deletion blockers inventarisiert Deletion blockers inventoried	Subscriptions, Apps und Domains bekannt. Subscriptions, apps, and domains known.	Ja/Nein Yes/No
Technische Kontakte aktuell Technical contacts current	Benachrichtigungen erreichen die richtigen Teams. Notifications reach the right teams.	Ja/Nein Yes/No
Provisioning Logs überwacht Provisioning logs monitored	Cross-tenant Sync mit Alerting versehen. Cross-tenant sync covered by alerting.	Ja/Nein Yes/No
Branding abgestimmt Branding aligned	Tenant-Name, Sprache und Privacy-Links gepflegt. Tenant name, language, and privacy links maintained.	Ja/Nein Yes/No

Glossar & Schnellreferenz Glossary & quick reference

Begriff Term	Definition Definition
Default Domain Default Domain	Voreingestellte Domäne für neue Objekte. Default domain for new objects.
MTO MTO	Multi-Tenant Organization. Multi-Tenant Organization.
B2B Direct Connect B2B Direct Connect	Direkte Zusammenarbeit über Tenant-Grenzen. Direct collaboration across tenant boundaries.
Cross-Tenant Sync Cross-Tenant Sync	Automatische Provisionierung zwischen Tenants. Automated provisioning between tenants.
Tenant Restrictions v2 Tenant Restrictions v2	Tenantbewusste Zugriffsbeschränkung. Tenant-aware access restriction.
Break-glass Break-glass	Notfallkonto für Zugriffsausfälle. Emergency account for access outages.
Federation Federation	Anmeldung über externen IdP. Sign-in through an external IdP.
Recovery Window Recovery Window	Zeitraum für Tenant-Wiederherstellung. Time window for tenant recovery.