Gruppentypen in Microsoft Entra ID: Unterschiede, Einsatz und Synchronisation
Ein Schlüsselelement in Entra ID sind Gruppen, mit denen sich Zugriffsrechte, Lizenzzuweisungen und Ressourcensteuerung organisieren lassen. Dabei steht Administratoren eine Vielzahl unterschiedlicher Gruppentypen zur Verfügung, sowohl aus der Cloud als auch aus dem lokalen Active Directory.
Dieser Beitrag erklärt die wichtigsten Unterschiede, Anwendungsbereiche und Verwaltungsoptionen.
Wir zeigen Ihnen, wie Sie mit unserer Cloud-Lösung DynamicSync Entra-Gruppen miteinander synchronisieren können. Ganz ohne P1-Lizenz können Sie zudem Filter einsetzen, um die Gruppenmitglieder bestmöglich zuzuordnen (selbst verschachtelte Filter sind möglich).
Index
Alle Gruppentypen in Microsoft Entra ID
Microsoft Entra ID unterstützt verschiedene Gruppentypen. Man kann sie grob unterteilen in Cloud-native Gruppen und Gruppen aus dem lokalen Active Directory, die über Entra Connect in die Cloud übertragen wurden. Diese beiden Gruppenkategorien unterscheiden sich sowohl in ihrer technischen Architektur als auch in ihren Einsatzszenarien:
Cloud-native Gruppen
Sicherheitsgruppen (Cloud)
Cloudbasierte Sicherheitsgruppen dienen der Steuerung von Zugriffsrechten auf Anwendungen, Ressourcen und Dienste in M365 und Entra. Sie lassen sich manuell („zugewiesen“) oder dynamisch verwalten. Sie werden häufig für Rollenzuweisungen, Applikationszugriff oder Verwaltungsrollen verwendet.
Dynamische Sicherheitsgruppen sind besonders flexibel, da sie ihre Mitgliedschaft auf Basis von Attributen automatisch aktualisieren können. Voraussetzung ist eine Entra ID P1- oder P2-Lizenz.
Microsoft 365 (M365) Gruppen (Cloud)
Diese Gruppentypen bündeln Benutzer, Berechtigungen und Ressourcen für die Zusammenarbeit. Eine M365 Gruppe erstellt automatisch ein gemeinsames Postfach, einen Kalender, ein OneDrive-Verzeichnis und eine SharePoint-Website.
Sie eignet sich ideal für Teams, Projekte oder Abteilungen mit kollaborativem Fokus. Auch Microsoft Teams nutzt im Hintergrund M365 Gruppen als technisches Fundament.
Dynamische Gruppenmitgliedschaften sind ebenfalls möglich, erfordern aber ebenfalls eine entsprechende Lizenz.
💡 Dynamische Gruppen sind also sowohl für Sicherheitsgruppen als auch M365 Gruppen möglich, basieren auf Attributfiltern und aktualisieren ihre Mitgliedschaften automatisch.
E-Mail-aktivierte Sicherheitsgruppen (Cloud)
Weiterhin gibt es in Entra ID E-Mail-aktivierte Sicherheitsgruppen, die Sicherheitsfunktionen mit E-Mail-Kommunikation kombinieren.
Diese Gruppen eignen sich gut für Szenarien, in denen Benutzergruppen sowohl Rechte auf Ressourcen benötigen als auch direkt per E-Mail adressiert werden sollen.
❌ Eine dynamische Verwaltung ist jedoch nicht möglich.
Verteilergruppen (E-Mail-aktiviert, Cloud)
Diese Gruppen werden direkt in der Cloud angelegt und dienen der reinen E-Mail-Kommunikation über Exchange Online.
Sie lassen sich nur über das Exchange Admin Center erstellen und administrieren. Der Fokus liegt auf der Verteilung von Nachrichten an Benutzergruppen in der Cloud.
❌ Zugriffskontrolle ist hier nicht vorgesehen.
Gruppen aus dem lokalen Active Directory
Sicherheitsgruppen (On-Premises Active Directory)
Sicherheitsgruppen werden auch im lokalen Active Directory verwaltet und vor allem für den Zugriff auf lokale Dateien, Drucker oder interne Anwendungen eingesetzt.
☁️ Über Entra Connect können sie mit Entra ID synchronisiert und in der Cloud genutzt werden.
E-Mail-aktivierte Sicherheitsgruppen (On-Premises Active Directory)
E-Mail-aktivierte Sicherheitsgruppen kombinieren Zugriffsschutz mit E-Mail-Funktionalität und werden in klassischen (lokalen) Exchange-Umgebungen eingesetzt.
☁️ Ihre Synchronisation in Entra ID ist möglich.
Für viele Organisationen sind sie unverzichtbar in hybrid integrierten Szenarien. Mit den Gruppen lassen sich E-Mails an die Mitglieder von Sicherheitsgruppen schicken.
❌ Allerdings ist keine dynamische Verwaltung vorgesehen.
Verteilergruppen (E-Mail-aktiviert, On-Premises Active Directory)
E-Mail-aktivierte Gruppen in Active Directory dienen ausschließlich dem Versand von E-Mails an mehrere Empfänger. In vielen Unternehmen werden sie für interne Newsletter, Rundmails oder allgemeine Ankündigungen genutzt.
☁️ Sie lassen sich mit Entra Connect in die Cloud übertragen.
❌ Eine Verwaltung von Zugriffsrechten ist nicht vorgesehen. Den Gruppen fehlt die Möglichkeit der Steuerung von Berechtigungen.
Der schnelle Überblick: Entra ID Gruppentypen und Zweck
| Kategorie | Gruppentyp | Hauptzweck |
|
Zugriffssteuerung |
Sicherheitsgruppe | Rechteverwaltung für Ressourcen |
|
Zusammenarbeit |
M365 Gruppe | Kommunikation & Kollaboration |
|
E-Mail-Kommunikation |
Verteilergruppe | E-Mail-Verteiler |
|
Kombination Zugriff + E-Mail |
E-Mail-aktivierte Sicherheitsgruppe | Rechte auf Ressourcen als auch direkte E-Mail-Kommunikation |
|
Automatisierung |
Dynamische Gruppe | Automatische Mitgliederzuordnung |
|
Hybridintegration |
Synchronisierte Gruppe | Über Entra Connect synchronisiert |
DynamicSync macht Synchronisation zwischen Entra ID Gruppen möglich
Die Cloud-Lösung DynamicSync der FirstAttribute erweitert die Möglichkeiten der hybriden Gruppenverwaltung deutlich.
💡 Konkret erlaubt DynamicSync die gezielte Synchronisation von Mitgliedern zwischen unterschiedlichen Gruppentypen, etwas was Microsoft nicht abbilden kann.
Mit DynamicSync werden die Gruppen automatisch synchronisiert (viermal pro Stunde), sodass alle Gruppen und Mitglieder stets auf dem neuesten Stand bleiben.
So lassen sich etwa Mitglieder einer lokal verwalteten Verteilergruppe, die in die Cloud synchronisiert wurde, in eine cloudbasierte Sicherheitsgruppe übernehmen, um automatisierte Zugriffsregeln umzusetzen.
DynamicSync unterstützt auch Include-/Exclude-Logik sowie komplexe (verschachtelte) Filter auf Basis von Attributen.
Damit lassen sich hybride Umgebungen deutlich präziser und anwendungsorientierter strukturieren.
Wichtige Aspekte bei der Verwaltung der Entra ID Gruppen
Mitgliedschaftstypen und Gruppendynamik
Entra ID unterscheidet drei Mitgliedschaftstypen:
- Zugewiesen (manuell)
- Dynamisch (Benutzer oder Geräte)
- Mitgliedschaft basierend auf „member of“
Die Auswahl erfolgt bei der Erstellung und lässt sich später nicht mehr ändern.
Zugewiesen: Hier werden Benutzer, Gruppen oder Geräte manuell als Mitglieder hinzugefügt oder entfernt. Diese Methode wird häufig bei kleineren Gruppen oder speziellen Zugriffsszenarien verwendet, wo Administratoren volle Kontrolle über die Mitgliederliste behalten möchten.
Dynamisch: Diese Gruppenmitgliedschaften werden automatisch durch Regeln auf Basis von Benutzer- oder Geräteeigenschaften bestimmt. Änderungen an Attributen (z. B. Jobtitel, Abteilung) führen automatisch zu einer Anpassung der Gruppenmitgliedschaft. Für dynamische Mitgliedschaften ist eine Microsoft Entra ID P1 Lizenz erforderlich.
Dynamische memberOf-Gruppe: Dieser Gruppentyp baut auf bestehenden Gruppenbeziehungen auf: Mitglieder werden automatisch aufgenommen, wenn sie zu anderen Gruppen gehören, die in der Regeldefinition hinterlegt sind. Das erlaubt hierarchische Gruppenmodelle mit automatischer Vererbung.
Lizenzzuweisung per Gruppe
Dynamische Gruppen eignen sich hervorragend zur automatisierten Lizenzzuweisung. Wird ein Benutzer automatisch einer Gruppe zugewiesen, die eine Lizenzkonfiguration enthält, erhält er alle zugeordneten Dienste ohne manuelles Zutun. Beim Verlassen der Gruppe werden die Lizenzen wieder entfernt.
Das reduziert den Verwaltungsaufwand und sorgt für konsistente, rollenbasierte Lizenzvergabe. Voraussetzung ist eine Entra ID P1-Lizenz. Besonders in Verbindung mit gepflegten Attributen aus HR-Systemen entsteht eine hohe Effizienz und Transparenz in der Lizenzverwaltung.
Sicherheitsaspekte dynamischer Gruppen
Die automatische Gruppenmitgliedschaft auf Basis von Attributen bringt neue Sicherheitsaspekte mit sich. Angreifer mit Zugriff auf Benutzerobjekte könnten durch gezielte Attributmanipulationen ungewollt Mitglied in privilegierten Gruppen werden.
Der Schutz dieser Attribute sowie eine restriktive Vergabe von Änderungsrechten sind daher wichtige Faktoren. Access Reviews, Lifecycle Workflows und Access Packages helfen dabei, Gruppenmitgliedschaften regelmäßig zu prüfen und zu korrigieren.
Gruppenbasierte Rollenzuweisung
Rollenbasierte Zugriffssteuerung (RBAC) lässt sich in Entra ID effizient über Gruppen organisieren. Administratoren können Rollen nicht nur direkt, sondern auch gruppenbasiert zuweisen.
Das muss bei der Erstellung aktiviert werden. Eine nachträgliche Änderung ist nicht möglich.
⚠️ Dynamische Gruppen sind für Rollenzuweisungen ausgeschlossen.
Um konsistente Verwaltungsstrukturen aufzubauen, empfiehlt sich der Einsatz dedizierter Gruppen für bestimmte Rollen in Verbindung mit RBAC-Konzepten.
Weitere Verwaltungsfunktionen
Entra ID bietet zusätzliche Verwaltungsfunktionen wie Gruppenablaufsteuerung und Namenskonventionen. So lassen sich automatische Ablaufzeiten für Gruppen setzen, deren Verlängerung vor Ablauf durch Benachrichtigungen an Gruppenbesitzer angestoßen werden kann. Auch eine zentrale Namensrichtlinie trägt zur besseren Übersicht bei, etwa bei der massenhaften Gruppenverwaltung in größeren Organisationen.
Fazit
Im Entra Admin Center lassen sich neue Gruppen erstellen, bestehende Gruppen pflegen, Mitglieder verwalten und Regeln definieren. Gruppenbesitzer können direkt über das Portal benannt werden.
Die Nutzung dynamischer Mitgliedschaften empfiehlt sich insbesondere in Organisationen mit hoher Fluktuation oder vielen rollenbasierten Zugriffskonzepten.
Die Kombination mit DynamicSync erschließt hybride Szenarien, bei denen Cloud- und On-Premises-Infrastrukturen ineinandergreifen.
Entra ID Gruppen miteinander synchronisieren – Jetzt testen
DynamicSync ist eine Automatisierungs-Software für Cloud-Gruppen der FirstAttribute AG. Als reiner Cloud-Dienst (SaaS) spezialisiert sich DynamicSync auf dynamische und automatische Gruppensynchronisierungen in Entra ID.
Neben der kostenlosen Online-Demo, stehen Ihnen unsere freundlichen Mitarbeiter auch telefonisch Rede und Antwort. Rufen uns an unter +49 81 969 984 330.