Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Windows & Microsoft 365 02.06.2026 · 8 min Lesezeit

Entra ID: Benutzer, Gruppen und Lizenzen verwalten

So verwaltest Du Benutzer, Gruppen und Lizenzen in Entra ID: Cloud-Konten anlegen, Sicherheits- und Microsoft-365-Gruppen mit dynamischen Regeln bauen und Lizenzen gruppenbasiert per M365 Admin Center und Microsoft Graph PowerShell zuweisen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Infografik zur Verwaltung von Benutzern, Gruppen und Lizenzen in Microsoft Entra ID, mit Benutzerkonten, Sicherheitsgruppen, gruppenbasierter Lizenzzuweisung, Rollen und automatischer Lizenzvergabe über Gruppenmitgliedschaften.

Microsoft Entra ID (vormals Azure AD) ist das Fundament aller Microsoft-365-Identitäten. Hier legst Du Benutzer an, organisierst sie in Gruppen und verteilst Lizenzen. In dieser Anleitung zeigen wir Dir den kompletten Weg für den Mittelstand: Cloud-Benutzer anlegen, Sicherheits- und Microsoft-365-Gruppen mit zugewiesener oder dynamischer Mitgliedschaft erstellen, die gruppenbasierte Lizenzierung sauber konfigurieren und alles per Portal sowie per Microsoft Graph PowerShell automatisieren.

Kurzfassung: Benutzer legst Du in entra.microsoft.com oder admin.microsoft.com an (immer Usage Location setzen). Lizenzen weist Du seit dem 1. September 2024 in der UI nur noch im Microsoft 365 Admin Center zu, per PowerShell weiterhin überall. Gruppenbasierte Lizenzierung funktioniert ausschließlich mit Sicherheitsgruppen und braucht pro Mitglied Entra ID P1 oder ein höherwertiges M365-Paket. Dynamische Gruppen nutzen Regeln wie user.department -eq "Sales" und benötigen ebenfalls P1. Dieselben Gruppen sind später die Basis für MFA und Conditional Access.

Voraussetzungen

  1. Rollen: Für Benutzer- und Gruppenpflege reicht meist User Administrator bzw. Groups Administrator; für Lizenzen License Administrator. Vollzugriff hat der Global Administrator.
  2. Lizenzen für gruppenbasierte Lizenzierung: pro begünstigtem Benutzer Entra ID P1 oder höher, oder Microsoft 365 Business Premium beziehungsweise Office 365 E3 (bzw. A3/GCC G3) und höher.
  3. Dynamische Gruppen: erfordern Entra ID P1 pro Mitglied.
  4. Usage Location: Jeder Benutzer braucht eine gesetzte Verwendungsregion (z. B. DE), sonst schlägt jede Lizenzzuweisung fehl.
  5. Portale: entra.microsoft.com (Benutzer und Gruppen), admin.microsoft.com (Lizenzen per UI, CSV-Massenanlage), admin.teams.microsoft.com (Teams).
  6. PowerShell: Microsoft Graph PowerShell SDK (Modul Microsoft.Graph), PowerShell 5.1 oder 7.x.

Schritt 1: Cloud-Benutzer anlegen (Portal)

Reine Cloud-Benutzer legst Du direkt im Portal an. Wichtig zur Abgrenzung: Synchronisierte Benutzer kommen aus einem lokalen Active Directory über Microsoft Entra Connect (Connect Sync) oder Microsoft Entra Cloud Sync und werden nicht in der Cloud bearbeitet, sondern im on-prem AD. Lege synchronisierte Konten also niemals zusätzlich als Cloud-Benutzer an.

So legst Du einen Cloud-only-Benutzer an:

  1. Öffne entra.microsoft.com und navigiere zu Identity > Users > All users.
  2. Klicke auf + New user > Create new user.
  3. Vergib User principal name (UPN), Display name und ein Erstkennwort.
  4. Wechsle auf den Tab Properties und setze die Usage location (z. B. Deutschland) - ohne diese kannst Du später keine Lizenz zuweisen.
  5. Prüfe abschließend und klicke Create.

Alternativ über das Microsoft 365 Admin Center: admin.microsoft.com > Users > Active users > Add a user. Hier kannst Du im Assistenten direkt Standort und Lizenzen mitgeben.

Schritt 2: Cloud-Benutzer per PowerShell anlegen

Für wiederkehrende Anlagen ist Microsoft Graph PowerShell schneller. Installiere das Modul einmalig und verbinde Dich mit den passenden Scopes - alle benötigten Berechtigungen in einem Connect-MgGraph-Aufruf, sonst gibt es später „Insufficient privileges“.

# Modul installieren (einmalig)
Install-Module Microsoft.Graph -Scope CurrentUser

# Verbinden mit den noetigen Scopes
Connect-MgGraph -Scopes "User.ReadWrite.All","Group.ReadWrite.All","Organization.Read.All"

Anschließend legst Du den Benutzer mit gesetzter Usage Location und Kennwortprofil an:

$PasswordProfile = @{
    Password = 'StartPw!2026'
    ForceChangePasswordNextSignIn = $true
}

New-MgUser -DisplayName 'John Doe' `
    -GivenName 'John' -Surname 'Doe' `
    -UserPrincipalName 'johnd@DEINE-DOMAIN.onmicrosoft.com' `
    -MailNickname 'johnd' `
    -UsageLocation 'DE' `
    -AccountEnabled:$true `
    -PasswordProfile $PasswordProfile

Hinweis: New-MgUser erstellt ausschließlich Cloud-only-Benutzer. Synchronisierte Konten dürfen so nicht erzeugt oder dupliziert werden. Die UPN-Domäne muss eine im Tenant verifizierte Domäne sein.

Schritt 3: Gruppen verstehen und anlegen

Entra ID kennt zwei Gruppentypen und zwei Mitgliedschaftstypen. Die Kombination entscheidet, wofür eine Gruppe taugt.

EigenschaftSicherheitsgruppeMicrosoft-365-Gruppe

Zweck

Zugriff, Berechtigungen, Lizenzen, Conditional Access

Zusammenarbeit: Postfach, SharePoint, Teams, Planner

Lizenzierung möglich

Ja

Nein (nur Sicherheitsgruppen)

Mitgliedschaft

Assigned oder Dynamic (User/Device)

Assigned oder Dynamic (User)

So legst Du eine Gruppe im Portal an:

  1. Gehe zu entra.microsoft.com > Groups > All groups > New group.
  2. Wähle den Group type (Security oder Microsoft 365).
  3. Wähle den Membership type: Assigned (manuell), Dynamic User oder Dynamic Device.
  4. Bei Assigned fügst Du direkt Mitglieder hinzu; bei Dynamic definierst Du über Add dynamic query die Regel.

Per PowerShell gehen alle drei Varianten ebenfalls:

# Sicherheitsgruppe mit zugewiesener Mitgliedschaft
New-MgGroup -DisplayName 'Test Group' -MailEnabled:$false `
    -MailNickname 'testgroup' -SecurityEnabled

# Microsoft-365-Gruppe (Unified)
New-MgGroup -DisplayName 'Marketing Team' -MailEnabled:$true `
    -MailNickname 'marketingteam' -SecurityEnabled:$false -GroupTypes @('Unified')

Schritt 4: Dynamische Gruppen mit Regeln

Dynamische Gruppen befüllen sich automatisch anhand von Benutzerattributen - ideal für Abteilungen oder Standorte. Eine Regel hat die Form <Property> <Operator> <Value>, etwa user.department -eq "Sales".

Wichtige Regeln zur Syntax:

  1. Logische Operatoren: -and, -or, -not.
  2. Mehrere Werte: user.department -in ["Sales","Marketing"].
  3. Null-Prüfung: user.department -eq null.
  4. Doppelte Anführungszeichen im Wert mit Backtick escapen.
  5. Maximal 3072 Zeichen pro Regel; der Rule Builder unterstützt bis zu 5 Ausdrücke, darüber nutzt Du das Textfeld.
  6. Performance: -eq, -startswith und -in sind schnell, -match ist langsam - vermeide es.

Im Portal definierst Du die Regel beim Anlegen unter Add dynamic query. Per PowerShell:

# Dynamische Sicherheitsgruppe mit Regel
New-MgGroup -DisplayName 'Dynamic Sales' -MailEnabled:$false `
    -MailNickname 'dynamicsales' -SecurityEnabled:$true `
    -GroupTypes @('DynamicMembership') `
    -MembershipRule '(user.department -eq "Sales")' `
    -MembershipRuleProcessingState 'On'

Schritt 5: Gruppenbasierte Lizenzierung konfigurieren

Statt jedem Benutzer einzeln Lizenzen zu geben, weist Du eine Produktlizenz einer Sicherheitsgruppe zu - alle Mitglieder werden automatisch lizenziert. Tritt jemand bei, erbt er die Lizenz; verlässt er die Gruppe, wird sie entfernt. Änderungen sind meist innerhalb von Minuten wirksam.

Voraussetzungen im Blick behalten:

  1. Funktioniert nur mit Sicherheitsgruppen (cloud-only, synchronisiert oder dynamisch) - nicht mit Verteilerlisten oder mail-aktivierten Sicherheitsgruppen.
  2. Jedes Mitglied braucht eine gesetzte Usage Location.
  3. Anzahl-Regel: Es müssen genug Lizenzen für jedes eindeutige Mitglied vorhanden sein. 1000 Mitglieder bedeuten mindestens 1000 Lizenzen - auch wenn nicht alle aktiv genutzt werden.

Portal (nur Microsoft 365 Admin Center seit dem 1. September 2024):

  1. Öffne admin.microsoft.com > Billing > Licenses.
  2. Wähle das Produkt aus und öffne den Tab Groups.
  3. Klicke Assign licenses, wähle die Sicherheitsgruppe und optional einzelne Apps bzw. Service-Pläne ab.
  4. Bestätige mit Assign.

Achtung: Die alte Lizenzzuweisung im Entra- bzw. Azure-Portal-UI ist seit dem 1. September 2024 weggefallen. Ältere Screenshots, die das Azure-Portal für Lizenzen zeigen, sind veraltet. API und PowerShell funktionieren weiterhin überall.

Per PowerShell ermittelst Du zuerst die verfügbaren SKUs und weist dann zu:

# Verfuegbare SKUs (Lizenz-IDs) ermitteln
Get-MgSubscribedSku -All |
    Select-Object SkuPartNumber, SkuId, ConsumedUnits, PrepaidUnits

# Lizenz an Gruppe zuweisen
$params = @{
    AddLicenses    = @( @{ SkuId = 'DEINE-SKU-GUID' } )
    RemoveLicenses = @()
}
Set-MgGroupLicense -GroupId 'DEINE-GROUP-GUID' -BodyParameter $params

# Variante mit deaktiviertem Service-Plan
$params = @{
    AddLicenses    = @( @{ SkuId = 'DEINE-SKU-GUID'; DisabledPlans = @('SERVICEPLAN-GUID') } )
    RemoveLicenses = @()
}
Set-MgGroupLicense -GroupId 'DEINE-GROUP-GUID' -BodyParameter $params

# Der Gruppe zugewiesene Lizenzen pruefen
(Get-MgGroup -GroupId 'DEINE-GROUP-GUID' -Property AssignedLicenses).AssignedLicenses

Service-Pläne und Konfliktbehandlung: Beim Zuweisen kannst Du einzelne Dienste über DisabledPlans ausschalten. Erhält ein Benutzer dieselbe Produktlizenz aus mehreren Gruppen oder zusätzlich direkt, ist der Endzustand die Vereinigung aller Service-Pläne - dieselbe Lizenz wird nur einmal verbraucht.

Schritt 6: Massenanlage von Benutzern per CSV

Für viele neue Konten ist der CSV-Import am schnellsten. Beide Portale bieten Vorlagen.

Microsoft 365 Admin Center:

  1. admin.microsoft.com > Users > Active users > Add multiple users.
  2. Lade die CSV-Vorlage herunter (mit oder ohne Beispieldaten).
  3. Fülle mindestens die Pflichtfelder User Name und Display Name aus. Ändere die Spaltenüberschriften und -reihenfolge nicht.
  4. Lade die Datei hoch, wähle Standort und Lizenzen, klicke Add users.

Entra admin center:

  1. entra.microsoft.com > Identity > Users > All users > Bulk operations > Bulk create.
  2. Vorlage herunterladen, ausfüllen, hochladen.

Stolperfalle: Die UPN-Domäne muss eine im Tenant verifizierte Domäne sein, sonst bricht der Import ab.

Schritt 7: Self-Service-Gruppen steuern

Benutzer können über mygroups (My Groups) eigene Microsoft-365- und nicht-mail-aktivierte Sicherheitsgruppen verwalten. Die Optionen dazu liegen unter entra.microsoft.com > Groups > General:

  1. Owners can manage group membership requests in My Groups
  2. Users can create security groups
  3. Users can create Microsoft 365 groups

Die Optionen zur freien Gruppenerstellung sind oft standardmäßig aktiv - das führt schnell zu unkontrollierter Gruppenwucherung. Im Mittelstand empfehlen wir, die freie Erstellung einzuschränken und stattdessen gezielt die Rolle Groups Administrator zu vergeben. Für die Owner-Genehmigung von Beitrittsanfragen ist Entra ID P1 oder P2 nötig. Self-Service ist nicht verfügbar für mail-aktivierte Sicherheitsgruppen und Verteilerlisten.

Troubleshooting

  1. Lizenz lässt sich nicht zuweisen: Prüfe die Usage Location am Benutzer. Ohne Verwendungsregion schlägt jede Zuweisung fehl bzw. erbt die Directory-Location.
  2. Mitglieder mit Lizenzfehlern: Zu wenige Lizenzen oder konfliktierende Service-Pläne führen zu Fehlern (LicenseProcessingState, LicenseAssignmentStates). Betroffene findest Du per PowerShell:
# Mitglieder mit Lizenzfehlern in einer Gruppe auflisten
Get-MgGroupMemberWithLicenseError -GroupId 'DEINE-GROUP-GUID' -All
  1. Direkte und geerbte Lizenz gleichzeitig: Die direkte Lizenz lässt sich erst entfernen, wenn die geerbte alle nötigen Dienste abdeckt. Sonst scheitert Set-MgUserLicense -RemoveLicenses mit dem Hinweis „inherited from a group membership“ - andernfalls droht Datenverlust.
  2. „Insufficient privileges“: Zu wenige Scopes bei Connect-MgGraph. Ermittle die nötigen Scopes mit Find-MgGraphCommand <cmdlet> und consente alle in einem Aufruf.
  3. Dynamische Regel greift nicht: Prüfe MembershipRuleProcessingState auf On, das 3072-Zeichen-Limit und ob Anführungszeichen korrekt mit Backtick escaped sind.

Häufige Fragen

Kann ich Lizenzen noch im Azure- oder Entra-Portal zuweisen?

Nein. Seit dem 1. September 2024 ist die Lizenzzuweisung per UI nur noch im Microsoft 365 Admin Center (admin.microsoft.com) möglich. API und Microsoft Graph PowerShell funktionieren weiterhin.

Welche Gruppen kann ich lizenzieren?

Nur Sicherheitsgruppen - cloud-only, synchronisiert oder dynamisch. Verteilerlisten und mail-aktivierte Sicherheitsgruppen sind ausgeschlossen.

Was passiert bei zu wenigen Lizenzen?

Du brauchst mindestens so viele Lizenzen wie es eindeutige Mitglieder in lizenzierten Gruppen gibt. Reicht der Bestand nicht, erhalten betroffene Benutzer einen Lizenzfehler statt der Lizenz.

Wie hängen Gruppen mit MFA und Conditional Access zusammen?

Dieselben dynamischen oder zugewiesenen Sicherheitsgruppen, die Du für Lizenzen nutzt, kannst Du als Ziel für Conditional-Access-Richtlinien verwenden. Sauber gepflegte Gruppen sind damit das Fundament für MFA und Zugriffssteuerung.

Worin unterscheiden sich Cloud-only- und synchronisierte Benutzer?

Cloud-only-Benutzer werden direkt in Entra ID gepflegt. Synchronisierte Benutzer stammen aus dem lokalen AD über Entra Connect oder Cloud Sync und werden dort verwaltet, nicht in der Cloud.

Fazit

Mit sauber strukturierten Benutzern, Sicherheits- und Microsoft-365-Gruppen sowie gruppenbasierter Lizenzierung reduzierst Du den Verwaltungsaufwand in Microsoft 365 erheblich. Setze immer die Usage Location, nutze Sicherheitsgruppen für Lizenzen, baue Abteilungen über dynamische Regeln ab und automatisiere wiederkehrende Aufgaben mit Microsoft Graph PowerShell. Diese Grundlage zahlt direkt auf Deine Sicherheit ein - dieselben Gruppen steuern später MFA und Conditional Access.

Weiterführende Anleitungen und Quellen

  1. MFA und Conditional Access in Entra ID einrichten - so sicherst Du die hier angelegten Gruppen ab.
  2. Geräte mit Intune und Windows Autopilot ausrollen - dynamische Gerätegruppen ergänzen die Benutzerverwaltung.
  3. Phishing-Schutz mit Defender for Office 365 einrichten - Identitäten zusätzlich absichern.
  4. Weitere Anleitungen zu Microsoft 365

Offizielle Quellen:

  1. Microsoft Learn: What is group-based licensing in Microsoft Entra ID?
  2. Microsoft Learn: PowerShell examples for group-based licensing
  3. Microsoft Learn: Manage rules for dynamic membership groups
  4. Microsoft Learn: Get started with the Microsoft Graph PowerShell SDK
Verwandt

Weiter lesen

Alle Artikel →
Mitarbeiter eines mittelständischen Unternehmens arbeiten mit Microsoft Teams zusammen
02.06.2026 ·10 min

Microsoft Teams für KMU einrichten und absichern

So richtest Du Microsoft Teams im Mittelstand sauber ein und sicherst Gastzugriff, Federation, Besprechungen und Aufbewahrung ab – mit Klickpfaden und PowerShell-Cmdlets.
Administrator richtet Phishing-Schutz für Microsoft 365 am Bildschirm ein
02.06.2026 ·9 min

Microsoft Defender for Office 365: Phishing-Schutz einrichten

Phishing-Schutz mit Microsoft Defender for Office 365 einrichten: voreingestellte Sicherheitsrichtlinien, Anti-Phishing, Safe Links und Safe Attachments im Defender-Portal und per PowerShell.
Infografik zur sicheren Konfiguration von Freigaben in SharePoint und OneDrive, mit externen Gästen, spezifischen Personen-Links, Authentifizierung, Berechtigungen und eingeschränkter externer Freigabe über Sicherheitsgruppen.
02.06.2026 ·10 min

SharePoint und OneDrive: Freigaben und externe Gäste sicher konfigurieren

So steuerst du externe Freigaben in SharePoint und OneDrive sicher: Freigabeebenen im SharePoint admin center, Link-Typen, Gast-Ablauf, Entra B2B sowie DLP und Download-Sperren per PowerShell und Portal.