Überblick
Dieser Lehrgang richtet sich an IT-Fachkräfte, die Cloud-Zugriffe in Microsoft-365-Umgebungen professionell steuern und absichern wollen. Im Zentrum stehen Microsoft Entra ID (ehemals Azure Active Directory), Conditional Access, Privileged Identity Management sowie Exchange Online – die zentralen Bausteine einer sicheren und compliant betriebenen M365-Infrastruktur. Der Kurs ist kein Einstiegskurs: Er setzt Windows-Server- und Active-Directory-Erfahrung voraus und führt in die Cloud-Governance und Identitätssicherheit auf Expertenniveau.
Kursinhalte & Lernziele
Microsoft Entra ID – Identitätsverwaltung und Verzeichnisdienste in der Cloud Entra ID (früher Azure Active Directory) ist das Herzstück jeder Microsoft-365-Umgebung. Dieses Modul führt von der Objektverwaltung bis zu den erweiterten Identitätsfunktionen – mit Blick auf Unterschiede und Gemeinsamkeiten zu lokalem Active Directory.
- Entra-ID-Architektur: Mandanten, Verzeichnisse, Administrative Units
- Benutzer- und Gruppen-Management: Lebenszyklus, dynamische Gruppen, Rollen
- Hybride Identitäten: Azure AD Connect, Passthrough Authentication, Password Hash Sync
- Verwaltete Identitäten und Service Principals: Anwendungsberechtigungen und Consent
- Entra ID Governance: Access Reviews, Entitlement Management, Lifecycle Workflows
- Diagnose-Tools: Sign-in Logs, Audit Logs, Identity Protection Risk Dashboard
Conditional Access und Zero Trust Conditional Access übersetzt Zero-Trust-Prinzipien in operative Richtlinien. Dieses Modul zeigt, wie Zugriffsrichtlinien geplant, aufgebaut und getestet werden, ohne produktive Umgebungen zu gefährden.
- Zero-Trust-Modell: Verify explicitly, use least privilege, assume breach
- Richtlinienaufbau: Signale (User, Device, Location, App, Risk), Bedingungen, Aktionen
- Named Locations, Trusted IPs und Geräte-Compliance als Richtlinienparameter
- Authentifizierungsstärken: MFA-Methoden vergleichen und gezielt einsetzen
- Report-Only-Modus: Richtlinien testen ohne Produktiv-Impact
- Typische Sicherheitslücken in Conditional-Access-Konfigurationen erkennen und schließen
Privileged Identity Management und erweiterte Identitätssicherheit PIM ist die Antwort auf eines der größten Risiken in Cloud-Umgebungen: dauerhaft erhöhte Rechte auf Konten, die kompromittiert werden könnten. Dieses Modul zeigt, wie PIM implementiert und betrieben wird.
- PIM-Grundkonzepte: berechtigte vs. aktive Rollenzuweisung, zeitgebundene Aktivierung
- Genehmigungsworkflows: Anforderung, Genehmigung, Begründung, Zeitfenster
- Audit-Trail und Zugriffsprüfungen in PIM
- Microsoft Entra ID Protection: Risiko-Signale, risikobasierte Richtlinien, Remediation
- Defender for Identity: Erkennung von Lateral Movement, Pass-the-Hash, Kerberoasting
- Intune-Gerätecompliance als Zugangsbedingung: Compliance-Richtlinien verknüpfen
Exchange Online – Administration und Sicherheitsaspekte Exchange Online ist in den meisten Microsoft-365-Umgebungen das meistgenutzte Produktivitätswerkzeug. Seine korrekte Administration ist sicherheitsrelevant: E-Mail ist nach wie vor primärer Angriffsvektor. Dieses Modul kombiniert Administration und Abwehrstrategie.
- Postfach-Administration: Benutzerpostfächer, gemeinsame Postfächer, Ressourcenpostfächer
- Empfangs- und Sendeconnectoren, MX-Records, DKIM, DMARC, SPF konfigurieren
- Anti-Phishing- und Anti-Spam-Richtlinien in Microsoft Defender for Office 365
- Compliance-Funktionen: Litigation Hold, In-Place Hold, eDiscovery-Abfragen
- PowerShell für Exchange Online: Massen-Operationen, Berichte, Automatisierung
- Hybride Exchange-Konfigurationen: Koexistenz mit lokalem Exchange Server
Integrierte Praxisphasen Die eigenständigen Übungsphasen sind auf realistische Administrations- und Sicherheitsszenarien ausgerichtet. Teilnehmende lösen typische Herausforderungen aus dem M365-Administratoralltag.
- Conditional-Access-Richtlinie für externe Zugriffsszenarien erstellen und im Report-Only-Modus testen
- PIM-Konfiguration: Rolle einrichten, Genehmigungsworkflow definieren, Aktivierung simulieren
- Entra ID Protection: Risikobenutzer identifizieren und Remediation-Schritte ableiten
- Exchange Online: Postfachkontingente, Weiterleitungen und Raumkalender per PowerShell verwalten
- Anti-Phishing-Richtlinie konfigurieren: Impersonation-Schutz, Safe Attachments, Safe Links
- Zugriffsüberprüfung (Access Review) in Entra ID Governance einrichten und auswerten
- Compliance-Suche für eDiscovery-Szenario durchführen und Ergebnisse dokumentieren
- Microsoft Graph PowerShell: Benutzer- und Lizenz-Report erstellen
- Incident-Szenario: kompromittiertes Konto identifizieren, absichern und Audit-Log auswerten
- Intune-Compliance-Richtlinie erstellen und mit Conditional Access verknüpfen
- Hybride Identitätskonfiguration: Azure AD Connect-Synchronisierungsprobleme diagnostizieren
Die abschließende Praxisphase stellt ein integriertes Szenario, in dem eine fiktive Organisation ihre M365-Umgebung von einem reaktiven Zugriffsmodell auf ein Zero-Trust-konformes Modell umstellt. Teilnehmende entwickeln ein Konzept, implementieren Kernelemente in einer Testumgebung und dokumentieren die Konfigurationsentscheidungen.
Lernziele:
- Microsoft Entra ID als Identitäts- und Zugriffsverwaltungsdienst für Microsoft 365 administrieren
- Conditional-Access-Richtlinien entwickeln, implementieren und testen
- Multi-Faktor-Authentifizierung (MFA) organisationsweit einrichten und verwalten
- Privileged Identity Management (PIM) für zeitlich begrenzte und auditierbare Adminrollen einsetzen
- Microsoft Intune für Mobile Device Management und App-Richtlinien konfigurieren
- Exchange Online für Postfächer, Verteilergruppen, Raumressourcen und Compliance konfigurieren
- PowerShell (Microsoft Graph, Exchange Online) für M365-Administration und -Automatisierung nutzen
- Microsoft 365 Defender und Sicherheits-Dashboards für Bedrohungsüberwachung einsetzen
- Zero-Trust-Prinzipien auf Microsoft-365-Architekturen anwenden
- Audit-Logs und Zugriffsberichte in Microsoft 365 Compliance Center auswerten
- Angriffsszenarien auf Identitäten erkennen und mit technischen Absicherungsstrategien begegnen
- Sicherheitslücken in Zugriffsstrukturen systematisch identifizieren und schließen
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich an erfahrene IT-Fachkräfte, die Cloud-Administration und -Sicherheit in Microsoft 365 zum Schwerpunkt ihrer Tätigkeit machen möchten.
- IT-Administratoren mit Active Directory- und Windows-Server-Erfahrung
- Systemverantwortliche, die in hybride oder reine Cloud-Umgebungen wechseln
- IT-Sicherheitsbeauftragte, die Microsoft-365-Umgebungen technisch absichern
- Administratoren, die auf Microsoft-365-Zertifizierungsprüfungen hinarbeiten
Mehrjährige Erfahrung oder fundierte Vorkenntnisse in der Microsoft-Server-Administration sind notwendige Basis. Active Directory, Gruppenrichtlinien und Windows-Serverdienste sollten aus der täglichen Praxis bekannt sein. Grundkenntnisse in PowerShell und Cloud-Konzepten erleichtern den Einstieg erheblich. Ohne IT-Administration-Hintergrund ist der Kurs nicht geeignet.
Ablauf & Abschluss
Der Lehrgang ist durchgehend technisch-praktisch ausgerichtet. Theoretische Konzepte – Zero Trust, Identitätssicherheit, Compliance – werden unmittelbar an Konfigurationsaufgaben in Testumgebungen gespiegelt. PowerShell-Einheiten sind hands-on gestaltet; Szenarien kommen aus realen M365-Administrations-Situationen. Je nach Anbieter stehen Präsenz-, Online- oder Hybridformate zur Verfügung.
Die Weiterbildung dauert in der Regel rund drei Monate. Die genaue Stundenverteilung zwischen den Modulbausteinen variiert je nach Anbieter. Eigenständige Übungsphasen sind in die Gesamtstundenzahl integriert.
Nach erfolgreichem Abschluss wird eine trägerinterne qualifizierte Teilnahmebescheinigung ausgestellt. Der Kurs bereitet inhaltlich auf Microsoft-365-Zertifizierungsprüfungen vor (insbesondere MS-102 und SC-Pfad); externe Prüfungen werden bei Microsoft oder einem akkreditierten Testcenter abgelegt und sind nicht im Lehrgang enthalten.
Nutzen & Perspektiven
Die Sicherheit von Cloud-Zugriffen ist in Microsoft-365-Umgebungen nicht optional – sie ist Grundvoraussetzung für Compliance, Datenschutz und Betriebskontinuität. Kompromittierte Identitäten und fehlerhafte Zugriffsrechte sind nach wie vor die häufigsten Einfallstore für Angriffe auf Organisationen. Wer Conditional Access, PIM und Entra ID Protection beherrscht, kann solche Risiken systematisch begrenzen. Das Profil eines M365-Administrators mit Schwerpunkt Cloud-Zugriffssicherheit ist am Markt gefragt: Die Kombination aus klassischem On-Premises-Wissen und Cloud-Governance ist seltener als reine Cloud-native-Profile, weil sie zwei Erfahrungswelten verbindet. Für viele Organisationen, die hybride Umgebungen betreiben, ist genau diese Kombination entscheidend. Exchange Online als Sicherheitsthema – Anti-Phishing, DMARC, Litigation Hold – rundet das Profil ab. E-Mail bleibt in den meisten Organisationen primärer Angriffskanal; eine M365-Umgebung ist nur so sicher wie ihr Messaging-Layer. Wer alle Ebenen – Identität, Zugriff, Messaging – zusammendenkt, kann Sicherheitskonzepte entwickeln, die in der Praxis standhalten.
Häufig gestellte Fragen (FAQ)
Was ist Conditional Access und warum ist es zentral für M365-Sicherheit?
Conditional Access ist ein Richtlinien-Framework in Microsoft Entra ID, das Zugriffsanfragen kontextabhängig bewertet: Wer meldet sich an, von welchem Gerät, aus welchem Netzwerk, auf welche Anwendung? Auf Basis dieser Signale werden Zugriffe gewährt, eingeschränkt oder blockiert. Das macht Conditional Access zum zentralen Steuerungsinstrument für Zero-Trust-Architekturen in Microsoft 365.
Was ist Privileged Identity Management (PIM)?
PIM ist ein Dienst in Microsoft Entra ID, der die Verwaltung privilegierter Rollen zeitlich begrenzt und auditierbar macht. Statt dauerhaft erhöhter Rechte werden Adminrollen nur für den tatsächlich benötigten Zeitraum aktiviert – mit Genehmigungsworkflow, Begründung und vollständigem Audit-Log. Das reduziert das Angriffspotenzial bei kompromittierten Konten erheblich.
Welche Vorkenntnisse sind wirklich erforderlich?
Mehrjährige Erfahrung in der Microsoft Server-Administration ist die zentrale Voraussetzung. Wer Active Directory, Gruppenrichtlinien und Windows Server-Dienste aus der täglichen Arbeit kennt, findet den Einstieg in Entra ID und M365-Administration gut. Ohne diesen Hintergrund würde der Kurs einen zu großen Einstiegssprung bedeuten.
Welche Microsoft-Zertifizierungen werden in diesem Kurs vorbereitet?
Der Kurs bereitet inhaltlich auf Zertifizierungen im Microsoft-365-Ökosystem vor – insbesondere auf MS-102 (Microsoft 365 Administrator) und sicherheitsrelevante Module aus dem SC-Pfad. Die genauen Prüfungsziele hängen vom jeweiligen Anbieter ab; externe Prüfungen werden bei Microsoft oder einem akkreditierten Testcenter abgelegt.
Wird PowerShell in diesem Kurs behandelt?
Ja. Microsoft Graph PowerShell und die Exchange Online PowerShell sind fester Bestandteil des Lehrgangs. Viele administrative Aufgaben in M365 lassen sich nur per PowerShell skalierbar automatisieren – insbesondere Massen-Benutzer-Operations, Berichterstattung und Compliance-Abfragen.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Netzwerk-Servicetechniker/Netzwerk-Servicetechnikerin97 Stellen
- Cloud-Consultant66 Stellen