Entra

Die Löschung eines alten, nicht mehr benötigten Microsoft 365-Tenants war lange Zeit nur über den Support möglich. Dies kann mittlerweile eigenständig durch einen Global Administrator erfolgen. Erfahrungsgemäß ist die Löschung eines Tenants insbesondere bei Tenant-2-Tenant-Migrationen relevant, da letztlich nur ein Tenant in so einem Szenario überbleibt. Zusätzlich gibt es das Szenario eines Schatten-Tenants, welcher ohne Wissen der IT durch User in der Vergangenheit angelegt wurde und nicht verwaltet wird. Vorbereitungen zur Löschung des Tenants Ein Microsoft 365-Tenant kann nicht einfach so gelöscht werden, sondern muss entsprechend vorbereitet werden. Dazu gehören nachfolgende Aufgaben: ...

Microsoft stellt die sogenannten Passkey Profile nach der Vorschau-Phase der Allgemeinheit zur Verfügung und ermöglicht damit eine granulare Konfiguration je Zielgruppe. Was sind Passkeys überhaupt? Passkeys sind eine passwortlose Anmelde-Methode, welche mehrere Probleme angehen: Kein Phishing: Es gibt kein Passwort, das man auf einer Fake-Seite eingeben könnte. Keine Wiederverwendung: Jeder Passkey ist eindeutig an einen Dienst gebunden. Kein MFA-Spam: Push-Bombing oder Code-Abfragen funktionieren hier nicht. Kein Shared Secret: Server speichern nur öffentliche Schlüssel, keine sensiblen Anmeldedaten. Aus technischer Sicht wird ein einmaliges Schlüsselpaar erzeugt, welches das klassische Passwort ersetzt oder ergänzt. Für die Nutzung ist meist nur ein Smartphone notwendig. ...

Nachdem es bereits Hinweise auf das Verlagern der Source of Authority für User-Accounts gab, ist dieses Feature nun in der Public Preview. Warum User SoA sinnvoll ist User SoA unterstützt in hybriden Szenarien die Möglichkeit, einzelne hybride Accounts in cloudverwaltete Accounts zu konvertieren. In der Vergangenheit war es hierzu immer notwendig, einen User-Account aus dem Sync zu nehmen, und anschließend den in der Cloud gelöschten Account wiederherzustellen. Durch die neue Möglichkeit zum Verlagern der SoA kann dieser Schritt nun ohne Unterbrechung erfolgen. ...

Neben Group SoA und Cloud-Managed Remote Mailboxes gibt es nun Hinweise darauf, dass dies in Zukunft auch für User-Accounts möglich ist. Im Pull Request #3407 fügt im Microsoft Graph PowerShell SDK (Beta) den Graph-Pfad /users/{id}/onPremisesSyncBehavior hinzu. Damit wird (in Beta) auch per PowerShell sichtbar, was die Graph-Dokus gerade einführen: ein Ressourcentyp onPremisesSyncBehavior für Groups, Users und orgContacts mit der Eigenschaft isCloudManaged. Setzt man diese auf true, werden Änderungen aus dem On-Prem AD in der Cloud blockiert - faktisch eine Umstellung auf „cloud-managed“. ...

Microsoft ermöglicht es jetzt, die “Source of Authority” (SoA) von Gruppen aus dem lokalen Active Directory (AD DS) in die Microsoft Entra ID (Cloud) zu verschieben – ein zentraler Schritt zur Minimierung der On-Prem-Infrastruktur. Warum das Ganze? Viele Organisationen wollen ihre Identitäts- und Zugriffsverwaltung in die Cloud verlagern. Mit der neuen Vorschau-Funktion Group SoA kannst du: On-Prem-Gruppen in Cloud-Objekte umwandeln Die Gruppen anschließend direkt in Microsoft Entra ID verwalten Unnötige AD DS Gruppen löschen oder auf das Nötigste reduzieren Gruppen bei Bedarf aus der Cloud zurück nach AD DS provisionieren (z. B. für Legacy-Anwendungen) Was passiert bei der Umstellung? Gruppen, die per Entra Connect synchronisiert wurden, können in Cloud-managed Gruppen umgewandelt werden. Nach der Umstellung endet die AD-Synchronisierung für diese Gruppen. Änderungen, wie z. B. Mitgliederverwaltung, erfolgen ausschließlich in der Cloud. Die Migration ist reversibel, falls erforderlich. Voraussetzungen Microsoft Entra Connect Sync Version 2.5.76.0 oder neuer (veröffentlicht am 31. Juli 2025), enthält die neue SoA-Konvertierungsfunktion ...

Viele Unternehmen erleben derzeit unerwartete Authentifizierungsprobleme in ihren WLAN- oder VPN-Netzen: Nach dem Entra Hybrid Join funktioniert die Anmeldung über 802.1x RADIUS mit MSCHAPv2 nicht mehr wie gewohnt. Besonders betroffen sind Windows‑11‑Geräte mit aktiviertem Windows Defender Credential Guard Das Problem In klassischen 802.1x-Setups wird oft PEAP mit MSCHAPv2 verwendet, um sich gegenüber dem RADIUS-Server zu authentifizieren. Doch bei hybrid-joined Windows‑11 Geräten funktioniert das plötzlich nicht mehr: SSO schlägt fehl Benutzer werden erneut zur Eingabe ihrer Anmeldedaten aufgefordert RADIUS lehnt Verbindungen ab Besonders bei maschinen- oder benutzerbasierten WLAN-Policies kommt es zu Verbindungsproblemen Grund dafür ist Windows Defender Credential Guard, das gespeicherte NTLM-Hashes vor Zugriff schützt – was allerdings für MSCHAPv2 erforderlich ist. ...

Neuer Intune-Connector für Entra-Hybrid-Join per Windows Autopilot Hintergrund und Ziel der Änderung Im Rahmen der Secure Future Initiative von Microsoft wurde der bisherige Intune Connector, der mit dem lokalen SYSTEM-Konto ausgeführt wurde, überarbeitet. Stattdessen nutzt der neue Connector künftig ein Managed Service Account (MSA). Ziel dieser Umstellung ist es, das Prinzip der minimalen Rechtevergabe konsequent umzusetzen und die Angriffsfläche zu reduzieren. Ein eigens eingerichtetes MSA erhält nur jene Berechtigungen, die für den Hybrid-Join-Prozess benötigt werden – weit weniger als das generelle SYSTEM-Konto. ...

Entra ID Connect Upgrade Durch die Einstellung der MSOnline PowerShell in diesem Monat ergibt sich ein kurzfristiger Handlungsbedarf zur Versionsaktualisierung der Entra ID Connect-Instanz. Betroffen hiervon sind alle Entra ID Connect-Versionen unter der Version 2.4.18.0. Sofern kein Upgrade durchgeführt wird, ist die zukünftige Verwaltung von Entra ID Connect eingeschränkt: Wir empfehlen in diesem Zuge auf die neueste Version (aktuell: 2.4.131.0) von Entra ID Connect zu aktualisieren. Versionsprüfung Die aktuell eingesetzte Version kann über zwei Wege geprüft werden: ...