Entra Diagnostiker
Dein Entra-ID-Tenant in 14 Modulen — lokal, DSGVO-konform, mit NIS2-MappingDein Entra-ID-Tenant in 14 Modulen — lokal, DSGVO-konform, mit NIS2-Mapping
Microsoft 365 ist in den meisten Unternehmen mittlerweile so tief verankert, dass der Entra-ID-Tenant zur kritischsten Infrastruktur gehört, die das Unternehmen besitzt. Trotzdem weiß kaum jemand wirklich, was darin konfiguriert ist. Conditional Access wurde irgendwann mal aktiviert, dann erweitert, dann teilweise wieder zurückgenommen. App Registrations wurden angelegt — von wem, wofür, mit welchen Berechtigungen? Keine Ahnung. Globale Administratoren? Vermutlich zu viele. Identity Protection? Lizenziert, aber niemand sieht je hin.
Genau hier setzt der Entra Diagnostiker an. Ein kompaktes Windows-Werkzeug, das aus dem Beratungsalltag heraus entstanden ist und in inzwischen weit über hundert Tenants im Einsatz war. Es liest deinen Tenant strukturiert aus, analysiert 14 thematische Bereiche, priorisiert die Befunde und liefert dir einen konkreten Aktionsplan — als Word-Dokument zum Weiterarbeiten. Alles lokal auf deinem Rechner. Keine Cloud, keine Drittverarbeitung, keine Telemetrie.
|
FÜR WEN DAS WERKZEUG GEMACHT IST
|
|---|
01 Architektur — lokal, transparent, ohne Cloud-Funk
Das wichtigste Architektur-Merkmal des Diagnostikers ist auch sein größtes Verkaufsargument: der Tool läuft komplett lokal. Dein Tenant wird über die offizielle Microsoft Graph API ausgelesen, alle Daten landen in einer lokalen SQLite-Datenbank auf deinem Rechner. Es gibt kein Cloud-Backend, keine Anbieter-Server, keine externe Auswertung. Nicht aus Marketing-Gründen — sondern weil das für viele Tenants schlicht die einzig akzeptable Architektur ist.
Abbildung 1 Architektur-Übersicht. Das Tool kommuniziert ausschließlich mit dem Graph-API-Endpunkt deines Tenants. Alle Auswertungen passieren lokal, alle Daten bleiben lokal.
|
WARUM DAS WICHTIG IST Cloud-Audit-Tools sind bequem, aber bringen ein grundlegendes Problem mit: dein Tenant-Inhalt liegt anschließend bei einem Drittanbieter. Das macht jedes Auditing-Projekt zu einer Auftragsverarbeitungs-Vereinbarung mit eigenem Vertrag, eigener Risikoanalyse und eigener Genehmigungsschleife. Bei manchen Branchen (Steuerberatung, Wirtschaftsprüfung, Energieversorger, kritische Infrastruktur) ist das schlicht nicht durchsetzbar. Der Diagnostiker umgeht das komplett — was lokal bleibt, muss niemandem datenschutz-rechtlich gemeldet werden. |
|---|
02 Die 14 Module
Vierzehn dedizierte Analyse-Module, organisiert in vier Themenblöcken. Jedes Modul kann einzeln oder als Teil der Gesamt-Analyse laufen — je nachdem, wie tief du gehen willst und wie viel Zeit du investieren möchtest.
Abbildung 2 Die 14 Module in vier thematischen Blöcken. Blau: Identität und Konten. Orange: Authentifizierung und Zugriff. Grün: Schutz und Governance. Violett: Compliance und Wirtschaftlichkeit.
Was die einzelnen Module konkret analysieren
|
Modul |
Name |
Was es analysiert |
|---|---|---|
|
01 |
Tenant-Basis |
Basis-Konfiguration des Tenants — Custom Domains, Branding, Globale Settings, Self-Service-Optionen, Default User Permissions. |
|
02 |
Konten & Rollen |
Inventar aller Konten, Rollen-Zuweisungen, Globale Admins, Notfallkonten, Pre-aged Accounts, deaktivierte Konten ohne MFA-Konfiguration. |
|
03 |
Service Principals |
Service Principals und Workload Identities, Berechtigungs-Profile, Federated Credentials, Managed-Identity-Verteilung, Owner-Zuordnung. |
|
04 |
App Registrations |
App Registrations mit gefährlichen Permissions, Secrets-Ablauf, ungenutzte Apps, Apps ohne Owner, Multi-Tenant-Konfigurationen. |
|
05 |
Auth Methods |
Welche Authentifizierungs-Methoden sind im Tenant zugelassen? Veraltete Methoden (SMS, Voice), Methoden-Verteilung pro Benutzer. |
|
06 |
MFA-Abdeckung |
Wer hat MFA, wer nicht? Methoden-Stärke, Nutzer ohne registrierte MFA-Methode, Auth-Strength-Konfiguration. |
|
07 |
Conditional Access |
Alle CA-Policies, Konflikt-Analyse, Lücken-Erkennung, Legacy-Auth-Status, Report-only-Tracking, Break-Glass-Ausnahmen. |
|
08 |
Named Locations |
Definierte Standorte, Trusted IPs, MFA-Trusted-IPs, Country-Blocks, IP-basierte Risiko-Bewertung. |
|
09 |
PIM |
Privileged Identity Management — eligible vs. active Rollen, Approval-Konfiguration, MFA-Pflicht, Aktivierungs-Historie. |
|
10 |
Identity Protection |
Risk Detections (User Risk, Sign-in Risk), Risk-based Policies, unbearbeitete Compromise-Fälle, Sign-in-Anomalien. |
|
11 |
Logs-Auswertung |
Konfiguration der Audit- und Sign-in-Logs, Diagnostic Settings, Retention, Export nach Log Analytics oder Sentinel. |
|
12 |
Guest & External ID |
B2B-Gäste, Einladung-Konfiguration, Cross-Tenant-Settings, ungenutzte Gäste, External-ID-Tenants, Provisioning-Status. |
|
13 |
Lizenz-Auslastung |
Tatsächliche Nutzung der lizenzierten Features (P1, P2, Governance), nicht-genutzte Lizenzen, mögliche Lizenz-Optimierung. |
|
14 |
NIS2 / DORA-Mapping |
Mapping aller Befunde gegen NIS2 Art. 21 Abs. 2 und DORA Art. 9, ISO-27001-Anhang-A-Querverweis, Audit-fertiger Compliance-Report. |
|
MODUL-TIEFE Jedes Modul liefert nicht nur einzelne Befunde, sondern auch Kontext: Wie steht dein Tenant im Vergleich zu Microsoft-Empfehlungen? Was hat sich seit dem letzten Scan verändert? Welche Befunde sind Audit-relevant, welche nur Kosmetik? Die Trennung zwischen „muss sofort“ und „wäre schön“ ist eingebaut — damit Aufräum-Aktionen priorisierbar werden. |
|---|
03 So läuft ein Analyse-Lauf
Eine vollständige Analyse aller 14 Module dauert bei einem mittelständischen Tenant typischerweise 30 bis 90 Minuten. Der größte Teil davon läuft autonom — das Tool macht die Graph-API-Calls, sammelt Daten ein, schreibt in die lokale Datenbank, du kannst in der Zwischenzeit etwas anderes machen.
Abbildung 3 Der Analyse-Workflow in fünf Phasen. Die initiale Tenant-Verbindung muss einmalig pro Tenant eingerichtet werden, danach läuft jeder weitere Scan in unter einer Minute Konfiguration.
|
RE-SCANS UND VERLAUFS-VERGLEICHE Eine der häufigsten Nutzungs-Arten: monatlicher oder quartalsweiser Re-Scan, jeweils mit Vergleich zum letzten Stand. Das Tool zeigt explizit an, was sich geändert hat — neue Befunde, gelöste Befunde, Befunde mit verschlechtertem Status. So wird der Diagnostiker zum kontinuierlichen Wächter des Tenants, nicht nur zur einmaligen Bestandsaufnahme. |
|---|
04 Beispiel-Output — so sehen die Ergebnisse aus
Damit du eine Vorstellung bekommst, was am Ende rauskommt: ein anonymisierter Auszug aus einer echten Health-Check-Auswertung. Mittelständischer Tenant, 850 Benutzer, M365 E3 mit P2-Zusatz, einigen typischen Konfigurations-Themen.
Abbildung 4 Dashboard-Ansicht des Tools. Health-Score (0–100), Befund-Verteilung nach Schweregrad, Top-Befunde mit Modul-Zuordnung. Die Detail-Ansicht jedes einzelnen Befunds enthält Hintergrund, Risikobewertung und einen konkreten Click-by-Click-Aktionsplan.
Was ein typischer Befund enthält
|
BEISPIEL-BEFUND: „12 GLOBALE ADMINISTRATOREN“ Schweregrad: kritisch Modul: 02 — Konten & Rollen Befund: Dein Tenant hat 12 Konten mit Globalem Administrator. Microsoft empfiehlt 2–4 Konten in dieser Rolle. Risiko: Jedes Globale-Admin-Konto ist ein vollständiger Schlüssel zum Tenant. Mehr Konten als nötig vergrößern die Angriffsfläche dramatisch — speziell, weil 4 der 12 Konten in den letzten 90 Tagen nicht eingeloggt waren. Empfehlung: Privileged Identity Management aktivieren, Globalen Admin als eligible Rolle konfigurieren (max. 2 permanent), die restlichen Konten in spezifischere Rollen herabstufen. NIS2-Bezug: Art. 21 Abs. 2 lit. i (Zugriffskontrolle und Asset-Management) |
|---|
|
BEISPIEL-BEFUND: „RISK DETECTIONS SEIT 8 WOCHEN UNBEARBEITET“ Schweregrad: kritisch Modul: 10 — Identity Protection Befund: 17 Risk Detections (Stand „mittel“ oder höher) sind seit über 8 Wochen im Status „aktiv“. Die ältesten stammen aus dem März 2026. Risiko: Risk Detections werden vom Identity-Protection-System nicht zufällig generiert. Unbearbeitete Detections bedeuten: kompromittierte Konten könnten aktiv sein, Brute-Force-Versuche werden nicht eingedämmt, anomale Sign-ins werden ignoriert. Empfehlung: Erste Aufräum-Welle: die 17 aktiven Detections durchgehen, jeweils mit Risk-Status quittieren oder Untersuchung einleiten. Mittelfristig: Risk-based Conditional-Access-Policy aktivieren, damit zukünftige mittlere Risks automatisch MFA erzwingen. NIS2-Bezug: Art. 21 Abs. 2 lit. b (Vorfalls-Behandlung) |
05 NIS2- und DORA-Mapping als dediziertes Modul
Ein Punkt, der den Diagnostiker von typischen Audit-Tools unterscheidet: das eingebaute Compliance-Mapping. Modul 14 mappt alle Befunde aus den anderen 13 Modulen gegen NIS2 Art. 21 Abs. 2 und DORA Art. 9. Das Ergebnis ist ein zusätzlicher Audit-Bericht, der für jedes der gesetzlich geforderten Maßnahmen-Felder zeigt:
- Was ist gefordert (Originaltext der Maßnahme, mit Verweis auf den entsprechenden Paragraph)
- Was kann Entra ID dazu beitragen (welche Features adressieren die Anforderung)
- Wie ist der aktuelle Stand im Tenant (konfiguriert, teilweise konfiguriert, fehlt)
- Was muss konkret getan werden (Click-by-Click-Maßnahmen aus den jeweiligen Modulen)
|
AUDIT-FERTIG Der NIS2-/DORA-Bericht ist explizit als Vorlage für Compliance-Audits konzipiert. Layout, Verweise und Argumentations-Struktur folgen dem typischen Aufbau, den BSI-Audits und externe Wirtschaftsprüfer erwarten. Das spart bei einem ernsthaften Audit Tage an Vorbereitung — und macht den Unterschied zwischen einem Audit, das man besteht, und einem, das man knapp übersteht. |
|---|
06 Lizenzmodell und Preise
Drei Editionen, jeweils mit klar definiertem Leistungsumfang. Einmalkauf, mit Update-Abo. Kein Mietzwang, keine versteckten Kosten.
|
Feature |
Standard |
Premium |
Enterprise |
|---|---|---|---|
|
Anzahl Tenants |
1 |
bis 5 |
unbegrenzt |
|
Alle 14 Analyse-Module |
ja |
ja |
ja |
|
DOCX-/PDF-/XLSX-Export |
ja |
ja |
ja |
|
NIS2-/DORA-Compliance-Modul |
ja |
ja |
ja |
|
Re-Scan / Vorher-Nachher |
ja |
ja |
ja |
|
Updates inklusive |
1 Jahr |
2 Jahre |
3 Jahre |
|
Eigenes Branding im Bericht |
nein |
ja |
ja |
|
Multi-Tenant-Vergleich |
nein |
ja |
ja |
|
Priority-Support |
nein |
nein |
ja, < 24 h |
|
Schulung enthalten |
nein |
halber Tag remote |
1 Tag, optional vor Ort |
|
Preis (netto, einmalig) |
2.990 € |
4.990 € |
9.990 € |
|
WELCHE EDITION FÜR WEN
|
|---|
|
PREISE: VORBEHALT Die genannten Preise sind die aktuell gültigen Listenpreise und können sich bei größeren Lizenz-Anfragen oder Bundle-Deals mit Beratung anpassen. Sprich mich gerne an — bei Beratungs-Projekten ist der Diagnostiker oft Teil des Pakets, ohne dass extra dafür eine Lizenz nötig wird. |
07 Technische Voraussetzungen
Was du brauchst, damit der Diagnostiker bei dir läuft. Wenig — bewusst wenig.
|
Betriebssystem |
Windows 10 oder 11 (x64), Windows Server 2019 / 2022 / 2025 |
|
.NET-Laufzeit |
.NET 10 Desktop Runtime (Download bei Bedarf automatisch) |
|
Tenant-Berechtigung |
App Registration im Ziel-Tenant, App-Permissions Directory.Read.All und einige weniger gefährliche Read-Permissions |
|
Lizenz im Tenant |
Entra ID Free reicht für Basis-Analyse, P1/P2-Module setzen entsprechende Lizenzen voraus |
|
Hardware |
8 GB RAM, ca. 500 MB freier Speicher für Datenbank und Berichte |
|
Netzwerk |
ausgehende HTTPS-Verbindung zu graph.microsoft.com — sonst keine externen Verbindungen |
|
Installation |
MSI-Installer mit Code-Signatur, läuft auch ohne lokale Admin-Rechte |
|
WAS DU NICHT BRAUCHST
|
|---|
08 Vergleich zu Cloud-Audit-Tools
Es gibt am Markt verschiedene Cloud-basierte Audit-Tools für Microsoft 365 / Entra ID. Die haben ihre Berechtigung, vor allem für Multi-Tenant-Service-Provider, die kontinuierliche Überwachung über viele Kundenumgebungen brauchen. Wenn du aber einen sauberen, lokalen Werkzeug-Ansatz suchst, ist der Diagnostiker deutlich anders aufgestellt:
|
Kriterium |
Entra Diagnostiker |
Typische Cloud-Audit-Tools |
|---|---|---|
|
Wo laufen die Daten? |
lokal, dein Windows-PC |
Cloud-Backend des Anbieters |
|
Datenschutz-/DSGVO-Aufwand |
minimal, AVV unnötig |
AVV mit jedem Anbieter nötig |
|
Cloud-Vendor-Lock-in |
kein Lock-in |
ja, oft mit Subscription gebunden |
|
Setup-Aufwand |
App Registration, fertig |
Tenant-weite Berechtigungen |
|
Tiefe Analyse-Module |
14 Module, alle inklusive |
oft fragmentiert über Add-ons |
|
Bericht-Format |
DOCX (anpassbar) |
meist nur Online-Dashboard |
|
Wiederholung Re-Scan |
jederzeit, lokal vergleichbar |
im Abo, oft mit Limit |
|
NIS2-/DORA-Mapping |
explizit eingebaut |
selten dediziert |
|
Kosten-Modell |
Einmalkauf + Update-Abo |
monatliches Abo, pro User skaliert |
|
WANN DER DIAGNOSTIKER NICHT DAS RICHTIGE WERKZEUG IST
|
|---|
09 Demo, Pilot, Kauf
Du kannst den Diagnostiker auf drei Wegen kennenlernen:
|
LIVE-DEMO Persönliche Demo per Teams, ca. 45 Minuten. Ich verbinde mich mit meinem Demo-Tenant, zeige dir alle 14 Module live, du kannst Fragen stellen, eigene Szenarien durchspielen. Kostenfrei, keine Verpflichtung. |
|---|
|
PILOT-LIZENZ Du bekommst eine zeitlich befristete Pilot-Lizenz (typischerweise 30 Tage), mit der du den Diagnostiker an deinem eigenen Tenant ausprobierst. Inklusive eines Walkthrough-Termins, wenn der erste Scan durchgelaufen ist. Diese Variante ist die häufigste vor einem Standard- oder Premium-Kauf. |
|
DIREKT KAUFEN Wenn du das Werkzeug schon kennst (z. B. aus einem Health-Check-Projekt oder einer Demo bei einer Konferenz), kannst du direkt eine Lizenz erwerben. Rechnung mit Banküberweisung oder Kreditkarte, Lizenzschlüssel innerhalb 24 Stunden. |
|
BUNDLE MIT BERATUNG Wer den Diagnostiker im Rahmen eines Beratungs-Auftrags nutzen will, braucht oft keine eigene Lizenz: der Health Check und die strategische Begleitung enthalten den Tool-Einsatz bereits. Wenn du Health-Check und Lizenz kombinieren willst, gibt es einen Bundle-Preis, der spürbar günstiger ist als beide Posten getrennt. |
|---|
10 Häufige Fragen
|
WELCHE MICROSOFT-LIZENZEN BRAUCHE ICH FÜR EINE SINNVOLLE ANALYSE? Die Basis-Analyse läuft bereits mit Entra ID Free. Module, die Premium-Features auswerten (Identity Protection, PIM), brauchen entsprechend P1 oder P2 im Tenant. Der Diagnostiker erkennt automatisch, welche Lizenz vorhanden ist, und überspringt nicht-anwendbare Checks. |
|---|
|
KANN ICH DAS TOOL AUCH OHNE GLOBALEN ADMINISTRATOR BETREIBEN? Ja, und das ist sogar die empfohlene Variante. Du legst eine App Registration mit Read-Only-Berechtigungen an. Welche Permissions konkret nötig sind, erklärt der mitgelieferte Setup-Assistent — typischerweise Directory.Read.All, AuditLog.Read.All, Policy.Read.All und einige weitere lesende Permissions. Keine schreibenden Berechtigungen werden je benötigt. |
|---|
|
WIE LANGE DAUERT EIN VOLLSTÄNDIGER SCAN? Bei einem normalen Mittelstand-Tenant (200–2.000 Benutzer) zwischen 30 und 90 Minuten. Bei sehr großen Tenants (10.000+ Benutzer) kann es länger dauern, vor allem die Audit-Log-Analyse. Der größte Teil läuft autonom — du musst nicht daneben sitzen. |
|---|
|
WAS PASSIERT MIT DEN AUSGELESENEN DATEN NACH DEM SCAN? Sie liegen verschlüsselt in einer lokalen SQLite-Datenbank auf deinem Rechner. Du kannst sie für Re-Scans und Verlaufs-Vergleiche behalten, oder nach dem Scan einfach löschen — beide Varianten sind explizit unterstützt. Die Datenbank ist mit AES-256 verschlüsselt, der Schlüssel liegt im Windows Credential Manager des Benutzers. |
|---|
|
WIRD DAS TOOL GEGEN MICROSOFT-ÄNDERUNGEN AKTUALISIERT? Ja. Microsoft ändert die Graph API und ergänzt neue Features regelmäßig — alle paar Wochen kommt ein Update des Diagnostikers, das neue Features abdeckt oder bestehende Analysen verfeinert. Updates sind im Abo enthalten (Laufzeit je nach Edition). |
|---|
|
KANN DAS TOOL MEINEN TENANT BESCHÄDIGEN? Nein. Der Diagnostiker ist rein lesend — es gibt keine schreibenden API-Calls, keine Konfigurationsänderungen, keine Eingriffe in den Tenant. Im technischen Sinn entspricht das einem klassischen Reporting-Tool. Die App-Permissions sind dementsprechend ausschließlich Read-Permissions. |
|---|
|
WAS WENN EIN MODUL EINEN BEFUND LIEFERT, DER BEI MIR NICHT ZUTRIFFT? Falsch-Positive lassen sich pro Befund als „akzeptiert“ markieren, mit Begründung. Beim nächsten Scan taucht der Befund weiter auf, ist aber als bereits behandelt markiert. So bleibt die Historie nachvollziehbar — wichtig für externe Audits. |
|---|
|
GIBT ES EINE API FÜR DIE INTEGRATION IN MEIN SIEM ODER TICKETSYSTEM? Die Premium- und Enterprise-Editionen bieten einen XLSX-Export der Roh-Daten, der sich in viele Systeme einfach importieren lässt. Eine direkte API-Anbindung (etwa REST-Endpunkt) ist für eine spätere Version geplant, aber aktuell nicht enthalten. |
|---|
|
DEMO-TERMIN ANFRAGEN Die schnellste Art, das Werkzeug kennenzulernen: kostenfreie Live-Demo per Teams. 45 Minuten, alle 14 Module, eigene Fragen ausdrücklich erwünscht. Kontakt: boddenberg.de/kontakt · Antwortzeit Werktags typischerweise unter 24 Stunden. Verwandte Inhalte: Übersicht Entra ID · Entra-Beratung · Buch Entra ID in der Praxis |
|---|