Multi-Mandanten-Verwaltung mit Entra-Mandantengovernance - wird jetzt alles gut?
Krähe mit HutDie Administration einer Microsoft Cloud-Umgebung kann recht aufwändig werden. Und wenn es dann auch noch mehrere werden - bspw. durch Zukäufe oder Aufteilungen - dann erhöht sich die Komplexität entsprechend.
Microsoft hat hierfür keine integrierte Lösung, die eine vollumfängliche oder zentrale Administration mehrerer Cloud-Umgebungen ermöglicht - bis jetzt?
Seit März 2026 gibt es die neue Funktion "Entra-Mandantengovernance". Diese ist ein erster Schritt zu einer zentralen Verwaltung von Microsoft Cloud-Umgebungen.
Überblick
Die Entra-Mandantengovernance ist die neueste Ergänzung im Funktions-Portfolio von Entra ID. Wie der Name schon andeutet, geht die Funktion über reine Administration hinaus:
- Automatische Erkennung von weiteren Mandanten, die mit dem eigenen Mandanten in irgendeiner Weise verbunden sind (bspw. über gemeinsam genutzte Unternehmensanwendungen und/oder B2B-Beziehungen)
- Zentrale Bereitstellung von Governance-Funktionen wie Einladungs-, Anfrage- und Genehmigungs-Workflows für Zugriffe
- Zentrale Bereitstellung und Erzwingung von Konfigurationsleitlinien für alle Mandanten
- Zentrale Erstellung neuer Mandanten unter Berücksichtigung von Richtlinien und Governance-Vorgaben
- Administrativer Zugriff auf weitere Mandanten über eine Abwandlung des GDAP-Modells für Microsoft-Partner
Besonders nützlich ist die Funktion, um administrative Zugriffe auf einen Mandanten wiederherzustellen, bspw. wenn die Zugangsdaten für administrative Konten nicht (mehr) bekannt sind oder der Mandant kompromittiert wurde.
Lizenzierung
Microsoft unterscheidet bei der Lizenzierung zwischen Basis- und Premium-Funktionen. Allerdings ist hierbei noch nicht klar, ob diese Benennung auf eigene Addons hindeutet, die mit der generellen Verfügbarkeit eingeführt werden. Derzeit sind die Funktionen auf die vorhandenen Entra-Lizenzprodukte aufgeteilt, wobei lediglich die zentrale Erstellung eines neuen Mandanten kostenlos ist.
In der Praxis wird für eine volle Funktionsfähigkeit jedoch Entra ID Governance benötigt, da die Funktionen zum Hinzufügen anderer Mandanten ohne Entra ID Governance nicht verfügbar ist. Grundsätzlich sind einige Funktionen jedoch auch in Entra ID P1 und P2 verfügbar. Der offizielle Artikel liefert eine vollständige Übersicht, welche Funktion in welcher Lizenz verfügbar ist:
Microsoft Entra-Lizenzierung - Microsoft Entra | Microsoft Learn
Funktionen
Die folgenden Kapitel geben einen Überblick über die derzeit verfügbaren Optionen und beschreiben die jeweilige Einrichtung.
Hinweis: Dieser Bereich befindet sich noch im Aufbau. Daher können einzelne Funktionen noch fehlen, die ich bislang noch nicht ausreichend testen konnte.
Einrichtung einer Administrationsbeziehung
Grundlagen
Eine der zentralen Funktionen der Mandantengovernance ist die Möglichkeit zur Einrichtung von Administrationsbeziehungen. Über diese kann ein Mitarbeitender mit einem im eigenen Mandanten gepflegten Benutzerkonto auf diverse Admin-Portale des zu verwaltenden Mandanten zugreifen und administrative Tätigkeiten durchführen. Die Bereitstellung eines nativen Benutzerkontos innerhalb der Umgebung entfällt somit.
Basis dieser Funktionalität ist das sogenannte GDAP-Modell (Granular Delegated Administrator Permissions), welches Microsoft-Partner schon seit einigen Jahren für den gleichen Zweck verwenden können. Allerdings unterscheiden sich die Funktionen in der Mandantengovernance ziemlich davon, bzw. sind noch nicht so ausgeprägt . Daher stelle ich am Schluss dieses Kapitels einmal das GDAP-Modell und die Administrationsbeziehung in Entra-Mandantengovernance einander gegenüber.
Schritt 1: Erstellung von Benutzern und Gruppen
Für den Zugriff auf den/die zu verwaltenden Mandanten werden zusätzliche Objekte in Entra ID benötigt:
| Objekttyp | Begründung |
|---|---|
| Benutzerkonto | Die Administration der anderen Mandanten sollte aus Sicherheitsgründen nicht mit einem Konto durchgeführt werden, das bereits für andere (produktive oder administrative) Zwecke genutzt wird. |
| Sicherheitsgruppe (rollen-zuweisbar) | Für die in Entra-Mandantengovernance zu erstellenden Richtlinienvorlagen werden Sicherheitsgruppen benötigt, um darüber den Zugriff auf den/die anderen Mandanten zuweisen zu können. Diese Gruppen müssen rollen-zuweisbar erstellt werden, da normale Sicherheitsgruppen nicht auswählbar sind. |
Für alle Objekttypen sollte ein sprechendes Benennungsschema verwendet bzw. das vorhandene Schema ggf. ergänzt werden. Dies erleichtert die Nachvollziehbarkeit der Verwendung dieser Objekte (z.B. Verwendung des Kürzels "ETG" für "Entra Tenant Governance").
Die Sicherheitsgruppe(n) sollte(n) zusätzlich in Entra Privileged Identity Management eingebunden werden, so dass die Zugriffsrechte auf die anderen Mandanten nicht dauerhaft, sondern nur bei Bedarf angefordert und aktiviert werden. Es ist empfehlenswert, pro Mandant eine eigene Verwaltungsgruppe anzulegen.
Wichtig: es kann pro Beziehung nur eine Gruppe zugewiesen werden, der dann alle ausgewählten Rollen gemäß Richtlinienvorlage zur Verfügung stehen. Falls die Berechtigungen granular gesteuert werden sollen (d.h. es werden nicht mehrere Rollen gleichzeitig vergeben), so muss pro Rolle eine Gruppe, eine Richtlinienvorlage und eine Beziehung eingerichtet werden.
Schritt 2: Aktivierung der Ermittlung zugehöriger Mandanten
Bevor Beziehungen zu anderen Mandanten aufgebaut werden können, muss zunächst die automatische Ermittlung wie folgt aktiviert werden:
- Entra-Mandantengovernance aufrufen: Mandantenverwaltung - Microsoft Entra Admin Center
- "Ermittlung starten" anklicken
Nun startet die automatische Ermittlung verbundener Mandanten. Dies kann bis zu 48 Stunden dauern.
Schritt 3: Einladungen im Haupt-Mandanten erlauben
Damit die zu verwaltenden Mandanten eine Einladung an den zentralen Mandanten senden dürfen, muss dies explizit im Haupt-Mandanten wie folgt erlaubt werden:
- Einstellungen für Mandantengovernance aufrufen: Mandantenverwaltung - Microsoft Entra Admin Center
- Im Auswahlmenü die Option "Aktiviert" auswählen und unten "Speichern" anklicken
Schritt 4: Richtlinienvorlagen erstellen
Um zu definieren, welche Rollen für den zu verwaltenden Mandanten verfügbar sein sollen, muss eine Richtlinienvorlage wie folgt erstellt werden:
- Richtlinienvorlagen aufrufen: Mandantenverwaltung - Microsoft Entra Admin Center
- "+ Neue Vorlage" anklicken
- Sprechenden Namen und Beschreibung vergeben, "Weiter"
- "+ Zuweisung hinzufügen" anklicken
- Im Flyout-Menü "Rollen auswählen" anklicken und die Rolle auswählen, die der Gruppe zugewiesen werden soll
- Danach "Gruppe auswählen" anklicken und die zuvor für den Mandanten erstellte Gruppe auswählen
- "Weiter"
- Konfiguration für Anwendungen überspringen
- "Erstellen"
Diese Schritte sind pro Rolle und Mandant zu wiederholen. Die Richtlinienvorlage wird dann im nächsten Schritt beim Aufbau der Governance-Beziehung ausgewählt und zugewiesen.
Schritt 5: Governance-Beziehung einrichten
Die Verknüpfung der Mandanten für die zentrale Administration passiert anders als beim Vorbild GDAP aus dem zu verwaltenden Mandanten heraus. Dies bedeutet, dass der zu verwaltende Mandant eine Einladung an den Haupt-Mandanten schicken muss:
- Einladungsbereich aufrufen: Mandantenverwaltung - Microsoft Entra Admin Center
- Unten auf "Neue Einladung senden" klicken und im Flyout-Menü die Mandanten-ID oder die MOERA-Domäne des Haupt-Mandanten eingeben, dann "Einladung senden" anklicken
Dies ist nur einmal erforderlich, um die Verbindung herzustellen. Anschließend kann im Haupt-Mandanten eine Governanceanforderung gestartet werden:
- Empfangene Einladungen aufrufen: Mandantenverwaltung - Microsoft Entra Admin Center
- Neben der empfangenen Einladung auf "Governanceanforderung starten" klicken
- Zuvor erstellte Richtlinienvorlage auswählen, "Weiter"
- "Erstellen"
Als letzter Schritt muss im zu verwaltenden Mandanten die Anforderung bestätigt werden:
- Empfangene Anforderungen aufrufen: Mandantenverwaltung - Microsoft Entra Admin Center
- Auf die Anforderungs-ID klicken und im Flyout-Menü "Annehmen" anklicken
Die Erstellung der Governanceanforderung und deren Bestätigung sind pro Rolle und Mandant zu wiederholen. Nun ist ein administrativer Zugriff auf den/die zu verwaltenden Mandanten möglich.
Schritt 6: Zugriff testen
Der Zugriff auf den zu verwaltenden Mandanten sollte anschließend getestet werden. Es wird vorausgesetzt, dass der Benutzer entweder fest der zugehörigen Verwaltungsgruppe zugewiesen ist oder über Entra PIM die Mitgliedschaft in der Gruppe aktiviert hat. Der Zugriff auf den anderen Mandanten funktioniert dann wie folgt:
- Browser starten und URL des aufzurufenden Admin Centers im folgenden Format eingeben: https://<Portal-URL>/<Mandanten-ID des zu verwaltenden Mandanten>
Als Beispiel: https://entra.microsoft.com/05d1781c-ef07-43ad-a5a6-c235684cac16
- Mit Anmeldedaten des separaten Benutzerkontos anmelden und Zugriff überprüfen
Hinweis: Aktuell werden die folgenden Portale unterstützt:
- Azure-Portal
- Entra Admin Center
- Intune Admin Center
- Exchange Online Admin Center
- SharePoint Online Admin Center
- Teams Admin Center
- Microsoft 365 Admin Center (nicht das Apps Admin Center)
Gegenüberstellung von GDAP und der Governance-Beziehung
An diversen Stellen (Blogbeiträge, LinkedIn-Posts, usw.) war bereits davon die Rede, dass Entra-Mandantengovernance das GDAP-Modell für die Berechtigungsvergabe nutzt. Es wird auch im offiziellen Learn-Artikel gesagt, dass es sich um GDAP-Beziehungen handelt. Allerdings
Entra-Mandantengovernance bietet derzeit einen wesentlich geringeren Funktionsumfang als GDAP. Des Weiteren ist die Konfiguration von Beziehungen unter Berücksichtigung einer granularen Rechtevergabe sehr viel umständlicher als bei GDAP. In der folgenden Tabelle stelle ich einmal die beiden Lösungen einander gegenüber:
| Funktion | GDAP | Entra-Mandantengovernance |
|---|---|---|
| Verwaltung | Microsoft Partner Center | Entra Admin Center |
| Initiator der Beziehung | Microsoft-Partner/Haupt-Mandant | Zu verwaltender Mandant |
| Vergabe von Berechtigungen | Granular (Sicherheitsgruppe pro Rolle) | Granular (Sicherheitsgruppe pro Rolle) |
| Besondere Anforderungen an verwendete Sicherheitsgruppen | Keine (auch nicht rollen-zuweisbare Gruppen möglich) | Rollen-zuweisbare Gruppen zwingend erforderlich |
| Komplexität der Beziehungseinrichtung | Mittel (nur eine Beziehung pro Mandant notwendig, Zuweisung der Gruppen innerhalb der Beziehung) | Hoch (eine Beziehung pro Rolle/Gruppe/Mandant notwendig) |
| Unterstützte Portale | Alle Admin-Portale | Nur Azure, Entra, Intune, Exchange, SharePoint, Teams und M365 |
| Zugriff auf Portale | Zentral über Microsoft Partner Center und Kundenbeziehung | Dezentral; manuelle Erstellung des Zugriffs-Links im Browser, Mandanten-ID des zu verwaltenden Mandanten muss bekannt sein |
| Unterstützung für Verwaltung von Azure-Ressourcen | Ja, über spezielle Gruppen-Prinzipale | Nein |
| Maximale Laufzeit | 2 Jahre mit automatischer Verlängerung (ohne "Globaler Administrator") 2 Jahre mit Verlängerung um 6 Monate (mit "Globaler Administrator) | Unbegrenzt (auch mit Auswahl von "Globaler Administrator") |
| Kosten | Kostenlos nutzbar | Erfordert Entra ID Governance für vollen Funktionsumfang |
In einem anderen Artikel (noch in Erstellung) werde ich auf das GDAP-Modell und dessen Eigenheiten und Einschränkungen näher eingehen.
Gefällt Dir der Beitrag? Lass es andere wissen!
