Microsoft Entra ID Beratung

von

Wissen

Praxis-Artikel  rund um Microsoft Entra ID – alle frei verfügbar. Conditional Access, MFA, PIM, Governance, Hybrid, NIS2.

Zu den Inhalten
Beratung

Beratung, Projektbegleitung, Quick Health Check deines Entra-Tenants. Conditional-Access-Audits, MFA-Rollout, Governance-Aufbau und NIS2-/DORA-Vorbereitung.

Zur Beratung
Fachbücher

Mein Fachbuch zu Microsoft Entra ID – Architektur, Conditional Access, MFA, PIM, Governance, Hybrid und NIS2-Compliance. Kompromisslos praxisnah. In Vorbereitung!

Zu den Büchern
Tools

Der Entra Diagnostiker analysiert deinen Tenant in 14 Modulen: Conditional Access, MFA, Guest-Hygiene, PIM. Lokal, DSGVO-konform, mit NIS2-Mapping.

Tools ansehen
Schulungen

Online-Workshops zu Entra ID, Conditional Access, MFA-Rollout, PIM und NIS2-Compliance – kompakt, hands-on, ohne MOC-Folienschlacht.

Zu den Schulungen
Table of Contents
2
3

Microsoft Entra ID — Beratung, die deinen Tenant kennt

Konzepte, Reviews und Projektbegleitung für Microsofts Cloud-Identitätsplattform. Mit eigenen Werkzeugen, 30 Jahren Microsoft-Enterprise-Praxis und ohne Marketing-Bingo.

Microsoft Entra ID — Beratung, die deinen Tenant kennt

Konzepte, Reviews und Projektbegleitung für Microsofts Cloud-Identitätsplattform. Mit eigenen Werkzeugen, 30 Jahren Microsoft-Enterprise-Praxis und ohne Marketing-Bingo.

 

Entra ID ist mächtig — und genau deshalb ein Problemkind. Conditional Access kann deinen Tenant absichern, oder dich aussperren. PIM räumt mit ausufernden Admin-Rechten auf, oder verwandelt jede Routineaufgabe in einen Genehmigungs-Marathon. Identity Governance bringt Compliance, oder produziert Karteileichen von Access Packages. Die Frage ist nie: „Welche Features hat Entra ID?“ Die Frage ist: „Was davon ergibt für genau deinen Tenant Sinn — und in welcher Reihenfolge?“

Genau das ist die Aufgabe der Beratung: deinen konkreten Tenant verstehen, Risiken priorisieren und einen Plan bauen, den dein IT-Team auch tatsächlich umsetzen kann.

Typische Anlässe

Drei Sorten von Anrufen kommen regelmäßig rein. Vielleicht erkennst du dich wieder.

„WIR WISSEN NICHT, WO WIR STEHEN.“

Der M365-Tenant läuft seit Jahren. Conditional Access wurde irgendwann aktiviert, MFA auch, jemand hat App Registrations für eine Custom-App angelegt. Jetzt steht ein Audit an, oder NIS2, oder eine Übernahme — und niemand kann mehr sicher sagen, was eigentlich konfiguriert ist. Ziel: Bestandsaufnahme, Risikobewertung, klare Liste, was wirklich brennt.

„WIR WOLLEN DAS RICHTIG MACHEN, VON ANFANG AN.“

Frischer M365-Tenant, Konsolidierung nach Übernahme, oder die Identitäts-Strategie hat es endlich auf die Agenda der Geschäftsführung geschafft. Ziel: ein tragfähiges Konzept, das sich nicht in zwei Jahren überholt hat, und ein Rollout-Plan, der die Helpdesk-Telefone nicht zum Glühen bringt.

„ES BRENNT.“

Compromise-Verdacht im Tenant, gescheiterte ADFS-Migration, ein Admin-Konto verhält sich seltsam, oder die Sign-in-Logs zeigen Auffälligkeiten. Hier zählt nicht Schönheit, hier zählt Eindämmung. Erstkontakt typischerweise innerhalb 24 Stunden, Beginn innerhalb einer Woche möglich.

 

Die drei Beratungs-Varianten

Damit du nicht für jede Frage gleich einen mehrwöchigen Auftrag erteilen musst, gibt es drei skalierende Formate. Vom kompakten Health Check bis zur strategischen Mehrmonats-Begleitung.

Abbildung 1 Die drei Beratungs-Varianten im Überblick. Jede hat einen klaren Output und einen definierten Aufwand.

 

Quick Health Check

Der häufigste Einstieg — und für viele auch der einzig nötige Schritt. Eine kompakte, sehr fokussierte Tenant-Analyse mit einem konkreten Aktionsplan am Ende. Wenn du nicht weißt, wo du anfangen sollst, fängst du hier an.

Was passiert

  • Auslesen deines Tenants mit dem Entra Diagnostiker (eigenes Werkzeug, .NET 10, lokal). Daten bleiben bei dir — keine Cloud-Übertragung, kein externes Backend.
  • Analyse in 14 Modulen: Conditional Access, MFA-Abdeckung, Guest-Hygiene, App Registrations, PIM-Konfiguration, Identity Protection, Sign-in-Anomalien, Lizenz-Auslastung, NIS2-Mapping und mehr.
  • Befundbericht als DOCX, mit Priorisierung in drei Stufen (kritisch / mittel / niedrig) und konkreten Click-by-Click-Maßnahmen.
  • Walkthrough-Termin von etwa einer Stunde — wir gehen die Befunde gemeinsam durch, dein Team kann Fragen stellen, Prioritäten verschieben.

Abbildung 2 Ablauf des Quick Health Checks. Die Datenerhebung läuft autonom — dein Team ist nur für Kickoff und Walkthrough geblockt.

DAUER & PREIS

  • Aufwand: 1–2 Tage Analyse-Arbeit auf meiner Seite, ca. 1,5 h Termine auf deiner Seite (Kickoff + Walkthrough).
  • Preis: Festpreis, je nach Tenant-Größe und Modul-Tiefe. Wird im Erstgespräch abgestimmt.
  • Output: DOCX-Bericht mit Aktionsplan, optional als PDF-Audit-Version für Compliance-Vorlage.

 

Strategische Begleitung

Wenn aus dem Health Check ein konkretes Projekt wird — oder wenn du von vornherein weißt, dass du Unterstützung über mehrere Monate brauchst — kommt die strategische Begleitung ins Spiel. Tagessatz statt Festpreis, flexibel skalierbar, vom punktuellen Sparringspartner bis zum eingebetteten Architekten.

Typische Projekte

  • MFA- und Passkey-Rollout inklusive Conditional-Access-Strategie: Authentication-Strength-Profile, Break-Glass-Konfiguration, schrittweise Wellen-Aktivierung, Helpdesk-Vorbereitung.
  • ADFS-Ablösung: Migrationspfade von Federation zu Cloud-Authentication, Bewertung der App-Landschaft, Cutover-Planung. Microsoft empfiehlt offen den Weg von ADFS weg — wir gestalten ihn so, dass nichts unterwegs verloren geht.
  • Identity Governance einführen: Access Reviews für privilegierte Rollen, Entitlement Management für Standard-Berechtigungen, Lifecycle Workflows für Joiner-Mover-Leaver.
  • Tenant-Konsolidierung nach Übernahme oder Spin-off — von der Bestandsaufnahme bis zur Migration einzelner Workloads.
  • NIS2- und DORA-Vorbereitung: Mapping der gesetzlichen Anforderungen auf konkrete Entra-Features, Dokumentations-Pakete für den Audit, Aufbau wirksamer Kontroll-Routinen.

Abbildung 3 Typischer Phasenplan für einen MFA-Rollout in einer 500–2.000-Benutzer-Organisation. Andere Projekte folgen ähnlichen Mustern — Assessment vor Konfiguration, Pilot vor Welle, Hardening am Ende.

FORMAT

  • Tagessatz, Verrechnung in 0,5-Tages-Schritten
  • Vor Ort oder remote — je nach Phase. Workshops gerne vor Ort, Detailarbeit meistens remote effizienter.
  • Klar definierte Meilensteine, keine ausufernden Stunden-Schleifen.
  • Ausstiegsklausel nach jeder Phase — wenn es nicht passt, hört es auf.

 

Workshop — vor Ort oder remote

Wenn das Ziel nicht „Uli macht das“ ist, sondern „mein Team kann das selbst“, ist der Workshop das richtige Format. Keine MOC-Folienschlacht, kein Theorie-Frontalunterricht — sondern am eigenen Tenant, mit Übungen, die nach dem Workshop weiterlaufen.

Bewährte Themen

  • Conditional Access — Basis-Set bauen: In einem Tag entsteht das Grundgerüst aus 5 Policies, getestet im Report-only-Modus, mit klarem Rollout-Plan.
  • Passkeys & FIDO2 im Unternehmen: Wie der Umstieg von App-MFA zu phishing-resistenten Methoden im Alltag wirklich gelingt.
  • PIM-Einführung ohne Praxisschock: Welche Rollen werden eligible, welche bleiben permanent, wo brauchst du Approver?
  • Identity Governance Quick Wins: Access Reviews und Entitlement Management — in einem Tag startklar, mit ersten echten Reviews im Tenant.
  • NIS2/DORA Mapping-Workshop: Anforderungen auf Entra-Features übersetzen, Lücken identifizieren, Maßnahmen priorisieren.

FORMAT

  • 1–3 Tage, je nach Thema und Tiefe
  • Bis zu 8 Teilnehmer, damit jeder am Tenant arbeiten kann
  • Unterlagen zum Mitnehmen: Skripte, Konfigurations-Templates, Checklisten
  • Nachsorge optional: Q&A-Session nach 4 Wochen, um aufgetauchte Fragen aus der Praxis zu klären

 

Werkzeuge, die im Einsatz sind

Beratung läuft nicht auf nackten Folien, sondern mit Werkzeugen, die im Beratungsalltag entstanden sind und ständig weiterentwickelt werden. Die wichtigsten:

ENTRA DIAGNOSTIKER

Eigenes Windows-Werkzeug (.NET 10, WPF). Liest deinen Tenant über die Graph API aus und analysiert in 14 Modulen: Conditional Access, MFA-Abdeckung, Guest-Hygiene, App Registrations, Risk Detections, PIM-Konfiguration und mehr. Daten landen in einer lokalen SQLite-Datenbank — DSGVO-konform, keine Cloud, keine Dritten.

Im Health Check ist er das zentrale Auswertungs-Tool. In strategischen Begleitungen läuft er regelmäßig mit, um Veränderungen über Zeit zu verfolgen.

ADFS DIAGNOSTIKER

Schwester-Werkzeug für ADFS-Umgebungen. 14 Module von Log Intelligence über End-to-End-Login-Trace bis zum Hardening-Checker. Bei jeder ADFS-Ablösung der erste Schritt: Was steht eigentlich noch in der Farm, was wird genutzt, was kann weg?

ASSESS-SKRIPTE (POWERSHELL, FREI VERFÜGBAR)

Open-Source-Hilfen wie Assess-M365Tenant.ps1 und Assess-ADFSFarm.ps1, die du auch ohne Beratung herunterladen und nutzen kannst. Liefern keinen vollständigen Audit, aber einen schnellen Eindruck und sind oft der Anlass zum ersten Gespräch.

 

Wie ich arbeite

Damit du weißt, was dich erwartet — und was du nicht bekommst:

  • Keine Schubladenkonzepte. Microsoft-Referenzarchitekturen sind Ausgangspunkt, nicht Endzustand. Jeder Tenant ist anders, und genau deshalb braucht es individuelle Analyse statt Best-Practice-Folienkino.
  • Schreiben statt Quatschen. Jedes Beratungsergebnis wird verschriftlicht — Berichte mit Skizzen, Tabellen und Aktionsplänen. Damit dein Team weiterarbeiten kann, auch wenn ich nicht mehr im Raum bin.
  • Click-by-Click-Aktionspläne. Empfehlungen kommen nicht als „Sie sollten erwägen…“, sondern als konkrete Schritte mit Erfolgskriterium und Rollback-Anleitung. Damit auch der Werkstudent im Helpdesk weiß, was zu tun ist.
  • Wissens-Transfer ist eingebaut. Jede Empfehlung wird so dokumentiert, dass dein Team sie versteht. Lock-in-Strategien sind keine.
  • Klare Sprache, kein Marketing-Bingo. „Synergien heben“ sagt niemand, der weiß was er tut. Bei mir kommt „das funktioniert, weil…“ oder „das wird Schmerzen bereiten, deshalb…“

Wie es nach der ersten Mail weitergeht

Damit du weißt, mit welchem Aufwand du rechnen musst — vom ersten Kontakt bis der Projekt-Kalender geblockt ist:

Abbildung 4 Vom Erstgespräch zum Projektstart. Bei Brennfällen geht es schneller, beim normalen Onboarding sind 2–4 Wochen realistisch.

DAS ERSTGESPRÄCH

Kostenfrei, ca. 30 Minuten, per Teams oder Telefon. Kurze Beschreibung deiner Lage, ein paar Rückfragen, gemeinsame Klärung ob das Thema überhaupt zueinander passt. Falls nicht: ich sage es ehrlich und empfehle ggf. jemand anderen.

 

Über mich — kurz und knapp

Uli Boddenberg, unabhängiger IT-Consultant aus Dortmund. Seit fast 30 Jahren im Microsoft-Enterprise-Umfeld unterwegs — Active Directory, Exchange, SharePoint, SQL Server, ADFS, Entra ID, Microsoft 365, PKI. Vor der IT war ich einige Jahre bei der Luftwaffe — vielleicht erklärt das die Vorliebe für klar definierte Verantwortlichkeiten und durchgespielte Notfallszenarien.

Über zwanzig Fachbücher, das erste über SharePoint im Jahr 2003. Heute publiziere ich unabhängig im eigenen Verlag, weil ich Tempo, Tiefe und Tonalität selbst bestimmen will. Auf dieser Website findest du viele dieser Inhalte kostenfrei lesbar — das ist ausdrücklich gewollt.

Was ich nicht bin: ein Vollservice-Systemhaus. Ich bin kein Cloud-Reseller, biete keinen 24/7-Support, kein Managed Services. Wenn du das brauchst, vermittle ich gerne. Wenn du Beratung, Architektur und Sparring brauchst, bist du hier richtig.

Häufige Fragen

ARBEITEST DU AUCH MIT KLEINEN UNTERNEHMEN?

Ja, sehr gerne. Gerade bei Mittelständlern unter 500 Benutzern ist der Quick Health Check oft das ideale Format — kompakt, bezahlbar, mit konkretem Aktionsplan. Strategische Begleitung lohnt sich ab etwa der Größenordnung, wo eigene IT-Mannschaft im einstelligen oder kleinen zweistelligen Bereich besteht.

 

WELCHE BRANCHEN?

Hauptsächlich Mittelstand, gerne mit regulatorischem Druck — Finanzdienstleister, Versicherungen, Kommunen, Energieversorger, Gesundheitswesen, Pharma. Aber funktioniert grundsätzlich überall, wo Microsoft-Stack ernsthaft im Einsatz ist.

 

KANNST DU AUCH HYBRIDE SZENARIEN?

Das ist mein Standardfall. Reine Cloud-Setups sind in der Praxis selten — bei mir geht es fast immer um die saubere Kopplung von on-premises AD und Entra ID, inklusive Migration einzelner Workloads, ADFS-Ablösung und App-Modernisierung.

 

WIE STEHT ES MIT VERSCHWIEGENHEIT UND DATENSCHUTZ?

NDA gerne, oft auch vom Kunden vorgegeben. Tenant-Daten bleiben grundsätzlich bei dir — der Entra Diagnostiker arbeitet lokal, kein Cloud-Backend, keine Telemetrie. Bei vor-Ort-Terminen wird auf Wunsch komplett mit deiner Hardware gearbeitet.

 

WER IST SONST NOCH BETEILIGT?

In der Regel: niemand. Beratung wird von mir persönlich erbracht. Bei größeren Projekten arbeite ich mit einer kleinen Auswahl an ausgesuchten Partnern zusammen — wenn das passiert, weißt du das vorher.

 

 

ERSTGESPRÄCH VEREINBAREN

Wenn dein Entra-Tenant durchleuchtet werden soll, eine Migration ansteht, oder du einfach mal mit jemandem reden willst, der das Thema seit zwei Jahrzehnten begleitet — schreib eine kurze Mail mit Beschreibung der Lage, dann melde ich mich für ein kostenfreies Erstgespräch.

Kontakt: boddenberg.de/kontakt · Antwortzeit Werktags typischerweise unter 24 Stunden, bei „es brennt“-Fällen schneller.