IT-Dienstleister
16.09.2025
Was ist ein Microsoft 365 Tenant?
Ihr eigener, abgeschlossener Unternehmensbereich in Microsofts Cloud-Hochhaus
Kurzbeschreibung
Ein Microsoft 365 Tenant – auch Mandant genannt – ist der zentrale Organisationsraum in Microsoft 365. Hier laufen alle Benutzer, Geräte, Lizenzen, Richtlinien und Daten Ihres Unternehmens zusammen. Jeder Microsoft-365-Kunde erhält automatisch einen eigenen Tenant.
Er Bildet somit die Grundbasis Ihrer Cloud Infrastruktur
In 60 Sekunden – was ist ein Microsoft 365 Tenant?
- Ein Tenant ist eine logisch abgeschlossene Instanz in Microsofts Cloud
- Er wird automatisch angelegt, sobald Sie Microsoft 365 oder Azure-Dienste buchen
- Alle Benutzer, Gruppen, Geräte, Lizenzen, Richtlinien und Daten Ihres Unternehmens werden hierin verwaltet
- Durch die Isolation hat kein anderer Tenant Zugriff auf Ihre Ressourcen
- Herzstück des Tenants ist Microsoft Entra ID (früher Azure AD)
Die einfache Analogie: Ihr Stockwerk im Cloud-Hochhaus
- Hausverwaltung: Microsoft betreibt das Gebäude und versorgt Strom, Wasser und Sicherheit
- Stockwerk: Ihr Tenant – ausschließlich für Ihr Unternehmen reserviert
- Wohnungen: Exchange Online, SharePoint, Teams, Intune & Co
- Bewohner: Ihre Benutzer, Gruppen, Servicekonten
- Schlüsselverwaltung: Microsoft Entra ID regelt, wer welche Tür öffnen darf
- Hausordnung: Sicherheits- und Compliance-Policies, die Sie festlegen
Kein Mieter sieht in die Nachbarwohnung; Updates, Strom und Aufzugservice kommen jedoch zentral von Microsoft
Aufbau eines Tenants – die wichtigsten Bausteine
Das Herz eines Tenants ist Microsoft Entra ID, das alle Benutzer, Gruppen, Geräte und App-Registrierungen verwaltet. Hier werden zentrale Sicherheitsfunktionen wie Multi-Faktor-Authentifizierung (MFA), Single Sign-On oder Conditional Access eingerichtet.
Ein weiterer Baustein sind die Domänen. Jeder Tenant startet mit einer Standarddomäne im Format <firmenname>.onmicrosoft.com. Eigene E-Mail-Domänen – etwa firma.de – werden hinzugefügt und verifiziert, um personalisierte E-Mail-Adressen und Anmeldungen zu ermöglichen.
Über die Lizenzen wird festgelegt, welche Dienste ein Benutzer nutzen darf. Ein Unternehmen kann mehrere Microsoft-Abonnements besitzen, etwa Microsoft 365 Business Premium oder Office 365 E5. Diese steuern den Zugriff auf Anwendungen wie Exchange, SharePoint, Teams, OneDrive oder Intune.
Wichtig ist auch der Datenstandort. Standardmäßig werden Daten in der bei der Einrichtung gewählten Region gespeichert – für deutsche Kunden in der Regel in den Rechenzentren Frankfurt und Berlin. Große Organisationen können ihre Daten mit Multi-Geo auf verschiedene Regionen weltweit verteilen.
Zentral sind schließlich die Sicherheits- und Compliance-Richtlinien. Sie gelten tenantweit und vererben sich automatisch auf alle Dienste. Dazu zählen MFA, Conditional Access, Gerätekonformität, Data Loss Prevention und Microsoft Defender-Richtlinien.
Vertiefung: Warum MFA unverzichtbar ist und Conditional Access effektiv einsetzen
Tenant vs. Subscription vs. Account vs. Lizenz vs. Domäne
Der Tenant ist die organisatorische Hülle mit Microsoft Entra ID und allen Richtlinien.
Eine Subscription (Abonnement) regelt die vertraglichen und abrechnungstechnischen Aspekte.
Ein Account ist das Benutzerkonto, das sich über Entra ID authentifiziert.
Eine Lizenz bestimmt, welche Dienste dieser Benutzer nutzen darf.
Und eine Domäne ist der DNS-Name, über den sich Benutzer anmelden – etwa @firma.de.
Ein Beispiel:
Die Müller GmbH besitzt den Tenant mueller-gruppe. Darin liegen zwei Subscriptions – Business Premium und Project Plan 3. Mitarbeiter max.mueller@mueller.de<?xml version="1.0" encoding="UTF-8"?> <?xml version="1.0" encoding="UTF-8"?> hat eine Business-Premium-Lizenz und nutzt damit Exchange Online und Microsoft Teams.
Was ein Tenant konkret kann – Funktionen im Überblick
Der Microsoft 365 Tenant ist die zentrale Plattform für Identitäts- und Zugriffsmanagement. Entra ID sorgt für einheitliche Anmeldungen (Single Sign-On) über tausende Anwendungen hinweg, bietet Multi-Faktor-Authentifizierung sowie moderne, passwortlose Anmeldeverfahren mit FIDO2 oder der Authenticator-App.
Mit Conditional Access lässt sich genau steuern, unter welchen Bedingungen ein Benutzer auf Unternehmensressourcen zugreifen darf – etwa nur mit einem konformen Gerät, aus einem bestimmten Land oder bei geringem Risiko.
Ein weiterer Bereich ist das Gerätemanagement über Microsoft Intune. Darüber werden Windows-, macOS-, iOS-, Android- und Linux-Geräte zentral verwaltet. Neue Geräte lassen sich per Zero-Touch-Bereitstellung über Windows Autopilot einrichten, während Richtlinien für Updates, Compliance und Apps automatisch angewendet werden.
Im Bereich Sicherheit und Compliance bietet Microsoft 365 zahlreiche integrierte Werkzeuge wie Microsoft Defender, Purview DLP oder eDiscovery. Diese helfen, Bedrohungen frühzeitig zu erkennen, Daten zu schützen und gesetzliche Anforderungen einzuhalten. Die gesamte Architektur folgt dem Zero-Trust-Ansatz – Zugriffe werden nur nach überprüfter Identität, Integrität und Konformität gewährt.
Praxisbeispiele aus dem Mittelstand
Ein klassischer Anwendungsfall ist das automatisierte Onboarding neuer Mitarbeiter. Wird ein neuer Benutzer in Entra ID angelegt, erhält er über Gruppenmitgliedschaften automatisch alle benötigten Lizenzen und Zugriffsrechte. Beim Offboarding wird das Konto deaktiviert, Geräte werden per Remote-Wipe zurückgesetzt. In der Praxis verkürzt sich der Einrichtungsaufwand dabei meist um 50 bis 80 Prozent.
Auch externe Zusammenarbeit in Teams profitiert: Gäste werden als „External User“ angelegt, MFA wird automatisch erzwungen und der Zugriff nur von sicheren Geräten zugelassen. Unternehmensdokumente bleiben stets in SharePoint des eigenen Tenants – Schatten-IT wird vermieden.
Für Außendienstmitarbeiter lassen sich über Intune Sicherheitsrichtlinien erzwingen: BitLocker-Verschlüsselung, aktuelle Patches und ein aktiver Defender sind Pflicht. Geräte, die diese Vorgaben nicht erfüllen, werden automatisch blockiert. Das senkt den Supportaufwand erheblich.
Typische Stolperfallen
In der Praxis scheitern viele Unternehmen an denselben Punkten: Administratoren teilen sich Konten und Passwörter, Domänen sind doppelt oder fehlerhaft eingetragen, MFA gilt nur für IT-Mitarbeiter, nicht aber für Führungskräfte. Häufig existieren uneinheitliche Intune-Policies – und mit der Zeit entsteht ein unübersichtlicher Geräte-Wildwuchs.
Checkliste: Sichere Basis-Konfiguration für Ihren Tenant
- MFA für alle Benutzer erzwingen
- Admin-Rollen mit Least-Privilege-Prinzip delegieren
- Mindestens zwei Break-Glass-Konten ohne MFA, mit starkem Kennwort; von Conditional Access ausgenommen und regelmäßig getestet
- Conditional-Access-Grundregeln: Block Legacy Auth, Länder-Blocklisten, Compliant Device-Erfordernis
- Namens- und Domänenkonzept (UserPrincipalName = E-Mail)
- Entra ID: Self-Service-Password-Reset aktivieren und gruppenbasierte Lizenzierung nutzen
- Intune aktivieren, Gerätestandards definieren und Backup von Gerätekonfigurationen
- Exchange Online: Antiphishing-Policy „Strict“, DKIM/SPF/DMARC für alle Domänen
- SharePoint / OneDrive: Versionierung & Recycle Bin, externe Freigaben nach Policy
- Regelmäßiges Tenant-Audit (Security Score, Secure Score, Compliance Score)
Fazit: Ein Tenant ist mächtig – aber nicht trivial
Ein Microsoft 365 Tenant ist die Grundlage für modernes, sicheres und flexibles Arbeiten. Er vereint Identitäten, Geräte, Daten und Sicherheitsrichtlinien in einer zentralen Umgebung. Gleichzeitig ist er komplex – wer ohne klare Strukturen arbeitet, riskiert schnell Chaos oder Sicherheitslücken. Ein gut konfigurierter Tenant hingegen schafft Stabilität, Transparenz und Effizienz im gesamten Unternehmen und dient als IT-Basis für alle weiteren Dienste und Anwendungen!
Und hier kommen wir ins Spiel:
Wir bei Salfer setzen auf Best-Practice-Standards und übernehmen für Sie die komplette Einrichtung, Konfiguration und laufende Verwaltung Ihres Tenants. Damit Ihr Unternehmen Microsoft 365 sicher, effizient und zukunftsfähig nutzen kann – und Sie sich auf Ihr Kerngeschäft konzentrieren können.
Ihr nächster Schritt – wir helfen
Sie möchten Ihren Microsoft 365 Tenant neu aufsetzen, ein Audit durchführen oder kontinuierlich betreuen lassen? Die C. Rudolf Salfer GmbH aus Mühldorf a. Inn unterstützt mittelständische Unternehmen seit über 75 Jahren bei IT-Infrastruktur, Cloud-Security und modernem Arbeitsplatz
Jetzt unverbindlichen Tenant-Check anfordern per Telefon oder E-Mail
Jetzt unverbindlichen Tenant-Check anfordern
