IT-Dienstleister
16.09.2025
Was ist ein Microsoft 365 Tenant?
Ihr eigener, abgeschlossener Unternehmensbereich in Microsofts Cloud-Hochhaus.
Kurzbeschreibung
Ein Microsoft 365 Tenant – auch Mandant genannt – ist der zentrale Organisationsraum in Microsoft 365. Hier laufen alle Benutzer, Geräte, Lizenzen, Richtlinien und Daten Ihres Unternehmens zusammen. Jeder Microsoft-365-Kunde erhält automatisch einen eigenen Tenant. Er bildet damit die Grundbasis Ihrer Cloud-Infrastruktur.
In 60 Sekunden – was ist ein Microsoft 365 Tenant?
- Ein Tenant ist eine logisch abgeschlossene Instanz in Microsofts Cloud
- Er wird automatisch angelegt, sobald Sie Microsoft 365 oder Azure-Dienste buchen
- Alle Benutzer, Gruppen, Geräte, Lizenzen, Richtlinien und Daten Ihres Unternehmens werden hierin verwaltet
- Durch die Isolation hat kein anderer Tenant Zugriff auf Ihre Ressourcen
- Herzstück des Tenants ist Microsoft Entra ID (früher Azure AD)
Die einfache Analogie: Ihr Stockwerk im Cloud-Hochhaus
- Hausverwaltung: Microsoft betreibt das Gebäude und versorgt Strom, Wasser und Sicherheit
- Stockwerk: Ihr Tenant – ausschließlich für Ihr Unternehmen reserviert
- Wohnungen: Exchange Online, SharePoint, Teams, Intune und Co
- Bewohner: Ihre Benutzer, Gruppen, Servicekonten
- Schlüsselverwaltung: Microsoft Entra ID regelt, wer welche Tür öffnen darf
- Hausordnung: Sicherheits- und Compliance-Policies, die Sie festlegen
Kein Mieter sieht in die Nachbarwohnung; Updates, Strom und Aufzugservice kommen jedoch zentral von Microsoft.
Aufbau eines Tenants – die wichtigsten Bausteine
Das Herz eines Tenants ist Microsoft Entra ID, das alle Benutzer, Gruppen, Geräte und App-Registrierungen verwaltet. Hier werden zentrale Sicherheitsfunktionen wie Multi-Faktor-Authentifizierung (MFA), Single Sign-On oder Conditional Access eingerichtet.
Ein weiterer Baustein sind die Domänen. Jeder Tenant startet mit einer Standarddomäne im Format <firmenname>.onmicrosoft.com. Eigene E-Mail-Domänen – etwa firma.de – werden hinzugefügt und verifiziert, um personalisierte E-Mail-Adressen und Anmeldungen zu ermöglichen.
Über die Lizenzen wird festgelegt, welche Dienste ein Benutzer nutzen darf. Ein Unternehmen kann mehrere Microsoft-Abonnements besitzen, etwa Microsoft 365 Business Premium oder Office 365 E5. Diese steuern den Zugriff auf Anwendungen wie Exchange, SharePoint, Teams, OneDrive oder Intune.
Wichtig ist auch der Datenstandort. Standardmäßig werden Daten in der bei der Einrichtung gewählten Region gespeichert – für deutsche Kunden in der Regel in den Rechenzentren Frankfurt und Berlin. Große Organisationen können ihre Daten mit Multi-Geo auf verschiedene Regionen weltweit verteilen.
Zentral sind schließlich die Sicherheits- und Compliance-Richtlinien. Sie gelten tenantweit und vererben sich automatisch auf alle Dienste. Dazu zählen MFA, Conditional Access, Gerätekonformität, Data Loss Prevention und Microsoft Defender-Richtlinien.
Vertiefung: Warum MFA unverzichtbar ist und Conditional Access effektiv einsetzen.
Tenant vs. Subscription vs. Account vs. Lizenz vs. Domäne
Diese fünf Begriffe werden ständig verwechselt. Die wichtigste Unterscheidung auf einen Blick:
| Begriff | Was es ist | Beispiel |
|---|---|---|
| Tenant (Mandant) | Die organisatorische Hülle mit Microsoft Entra ID und allen Richtlinien | mueller-gruppe.onmicrosoft.com |
| Subscription (Abonnement) | Regelt die vertraglichen und abrechnungstechnischen Aspekte | Microsoft 365 Business Premium |
| Account (Konto) | Das Benutzerkonto, das sich über Entra ID authentifiziert | max.mueller@mueller.de |
| Lizenz | Bestimmt, welche Dienste dieser Benutzer nutzen darf | 1× Business Premium je Mitarbeiter |
| Domäne | Der DNS-Name, über den sich Benutzer anmelden | @mueller.de |
Ein Beispiel: Die Müller GmbH besitzt den Tenant mueller-gruppe. Darin liegen zwei Subscriptions – Business Premium und Project Plan 3. Mitarbeiter max.mueller@mueller.de hat eine Business-Premium-Lizenz und nutzt damit Exchange Online und Microsoft Teams.
Was ein Tenant konkret kann – Funktionen im Überblick
Der Microsoft 365 Tenant ist die zentrale Plattform für Identitäts- und Zugriffsmanagement. Entra ID sorgt für einheitliche Anmeldungen (Single Sign-On) über tausende Anwendungen hinweg, bietet Multi-Faktor-Authentifizierung sowie moderne, passwortlose Anmeldeverfahren mit FIDO2 oder der Authenticator-App. Mit Conditional Access lässt sich genau steuern, unter welchen Bedingungen ein Benutzer auf Unternehmensressourcen zugreifen darf – etwa nur mit einem konformen Gerät, aus einem bestimmten Land oder bei geringem Risiko.
Ein weiterer Bereich ist das Gerätemanagement über Microsoft Intune. Darüber werden Windows-, macOS-, iOS-, Android- und Linux-Geräte zentral verwaltet. Neue Geräte lassen sich per Zero-Touch-Bereitstellung über Windows Autopilot einrichten, während Richtlinien für Updates, Compliance und Apps automatisch angewendet werden.
Im Bereich Sicherheit und Compliance bietet Microsoft 365 zahlreiche integrierte Werkzeuge wie Microsoft Defender, Purview DLP oder eDiscovery. Diese helfen, Bedrohungen frühzeitig zu erkennen, Daten zu schützen und gesetzliche Anforderungen einzuhalten. Die gesamte Architektur folgt dem Zero-Trust-Ansatz – Zugriffe werden nur nach überprüfter Identität, Integrität und Konformität gewährt.
Tenant-Sicherheit 2026: Was Microsoft inzwischen erzwingt
Beim Thema Tenant-Sicherheit können Sie 2026 nicht mehr abwarten – Microsoft macht mehrere Schutzmaßnahmen zur Pflicht. Wer seinen Tenant heute betreibt, sollte diese Entwicklungen kennen:
- MFA-Pflicht für die Admin-Portale: Seit Oktober 2024 verlangt Microsoft Multi-Faktor-Authentifizierung für Anmeldungen am Azure-Portal, am Microsoft-Entra-Admin-Center und am Intune-Admin-Center
- MFA-Pflicht fürs Microsoft-365-Admin-Center: Microsoft erzwingt hier seit 2025 schrittweise MFA – ohne MFA kommt man nicht mehr hinein, kein optionaler Hinweis mehr
- Security Defaults: in jedem Microsoft-365-Plan kostenlos enthalten und für neue Tenants standardmäßig aktiv – sie erzwingen die MFA-Registrierung für alle Benutzer
- Legacy-Authentifizierung: veraltete Anmeldeprotokolle ohne MFA werden zunehmend blockiert und sollten aktiv deaktiviert werden
Praktisch heißt das: Ein Tenant „im Werkszustand" reicht nicht mehr. Spätestens jetzt gehören durchdachte Conditional-Access-Regeln, getestete Break-Glass-Konten und MFA für alle – auch die Geschäftsführung – zur Grundausstattung. Genau diese Baseline richten wir bei den von uns betreuten Tenants standardmäßig ein.
Praxisbeispiele aus dem Mittelstand
Ein klassischer Anwendungsfall ist das automatisierte Onboarding neuer Mitarbeiter. Wird ein neuer Benutzer in Entra ID angelegt, erhält er über Gruppenmitgliedschaften automatisch alle benötigten Lizenzen und Zugriffsrechte. Beim Offboarding wird das Konto deaktiviert, Geräte werden per Remote-Wipe zurückgesetzt. In der Praxis verkürzt sich der Einrichtungsaufwand dabei meist deutlich.
Auch die externe Zusammenarbeit in Teams profitiert: Gäste werden als „External User" angelegt, MFA wird automatisch erzwungen und der Zugriff nur von sicheren Geräten zugelassen. Unternehmensdokumente bleiben stets in SharePoint des eigenen Tenants – Schatten-IT wird vermieden.
Für Außendienstmitarbeiter lassen sich über Intune Sicherheitsrichtlinien erzwingen: BitLocker-Verschlüsselung, aktuelle Patches und ein aktiver Defender sind Pflicht. Geräte, die diese Vorgaben nicht erfüllen, werden automatisch blockiert. Das senkt den Supportaufwand erheblich.
Typische Stolperfallen
In der Praxis scheitern viele Unternehmen an denselben Punkten: Administratoren teilen sich Konten und Passwörter, Domänen sind doppelt oder fehlerhaft eingetragen, MFA gilt nur für IT-Mitarbeiter, nicht aber für Führungskräfte. Häufig existieren uneinheitliche Intune-Policies – und mit der Zeit entsteht ein unübersichtlicher Geräte-Wildwuchs.
Checkliste: Sichere Basis-Konfiguration für Ihren Tenant
- MFA für alle Benutzer erzwingen
- Admin-Rollen mit Least-Privilege-Prinzip delegieren
- Mindestens zwei Break-Glass-Konten mit starkem Kennwort, von Conditional Access ausgenommen und regelmäßig getestet
- Conditional-Access-Grundregeln: Legacy Auth blocken, Länder-Blocklisten, Compliant-Device-Erfordernis
- Klares Namens- und Domänenkonzept (UserPrincipalName = E-Mail)
- Entra ID: Self-Service-Password-Reset aktivieren und gruppenbasierte Lizenzierung nutzen
- Intune aktivieren, Gerätestandards definieren und Gerätekonfigurationen sichern
- Exchange Online: Antiphishing-Policy „Strict", DKIM/SPF/DMARC für alle Domänen
- SharePoint und OneDrive: Versionierung und Papierkorb aktiv, externe Freigaben nach Policy
- Regelmäßiges Tenant-Audit über den Microsoft Secure Score
Häufige Fragen zum Microsoft 365 Tenant
Kann ein Unternehmen mehrere Tenants haben?
Ja. Größere Organisationen, Konzerne mit Tochtergesellschaften oder Unternehmen nach einer Fusion betreiben oft mehrere Tenants. Das erhöht aber die Komplexität bei Verwaltung, Identitäten und Lizenzen. In den meisten mittelständischen Fällen ist ein einziger, sauber strukturierter Tenant die bessere Wahl.
Was kostet ein Microsoft 365 Tenant?
Der Tenant selbst ist kostenlos. Sie zahlen für die Lizenzen und Dienste, die Sie darin nutzen – etwa Microsoft 365 Business Premium je Benutzer und Monat. Kosten entstehen also nicht durch den Tenant, sondern durch die gebuchten Subscriptions und Zusatzdienste.
Tenant oder Entra ID – wo ist der Unterschied?
Der Tenant ist die gesamte organisatorische Umgebung; Microsoft Entra ID (früher Azure AD) ist der Identitäts- und Verzeichnisdienst darin. Vereinfacht: Entra ID ist das Herz und die Schlüsselverwaltung, der Tenant ist das ganze Stockwerk mit allen Diensten und Daten.
Wie sicher ist ein Tenant im Standardzustand?
Ein neuer Tenant bringt mit den Security Defaults eine solide Grundabsicherung mit, ist aber nicht fertig konfiguriert. Für belastbaren Schutz braucht es Conditional Access, ein Least-Privilege-Rollenkonzept, getestete Break-Glass-Konten und blockierte Legacy-Authentifizierung.
Kann ich meinen Tenant in eine andere Region umziehen?
Der bei der Einrichtung gewählte Datenstandort lässt sich nachträglich nur eingeschränkt ändern; Microsoft bietet dafür in bestimmten Konstellationen Migrationen an. Deshalb sollte die Region von Anfang an bewusst gewählt werden – für deutsche Unternehmen in der Regel Deutschland beziehungsweise die EU.
Fazit: Ein Tenant ist mächtig – aber nicht trivial
Ein Microsoft 365 Tenant ist die Grundlage für modernes, sicheres und flexibles Arbeiten. Er vereint Identitäten, Geräte, Daten und Sicherheitsrichtlinien in einer zentralen Umgebung. Gleichzeitig ist er komplex – wer ohne klare Strukturen arbeitet, riskiert schnell Chaos oder Sicherheitslücken. Ein gut konfigurierter Tenant hingegen schafft Stabilität, Transparenz und Effizienz im gesamten Unternehmen und dient als IT-Basis für alle weiteren Dienste und Anwendungen.
Wir bei Salfer setzen auf Best-Practice-Standards und übernehmen für Sie die komplette Einrichtung, Konfiguration und laufende Verwaltung Ihres Tenants – damit Ihr Unternehmen Microsoft 365 sicher, effizient und zukunftsfähig nutzen kann und Sie sich auf Ihr Kerngeschäft konzentrieren können.
Ihr nächster Schritt – wir helfen
Sie möchten Ihren Microsoft 365 Tenant neu aufsetzen, ein Audit durchführen oder kontinuierlich betreuen lassen? Die C. Rudolf Salfer GmbH aus Mühldorf am Inn unterstützt mittelständische Unternehmen in der Region Inn-Salzach seit über 75 Jahren bei IT-Infrastruktur, Cloud-Security und modernem Arbeitsplatz.
Jetzt unverbindlichen Tenant-Check anfordern
