🔑 Ein Konto für alles? Keine gute Idee.
Wer mit einem einzigen Konto Mails liest, surft und administriert, trägt den Generalschlüssel den ganzen Tag lose in der Hosentasche. In dieser Folge geht es darum, warum ein sauberes Adminkonzept aus drei Konten besteht – Alltag, Admin und Notfall.

📌 Die drei Schlüssel im Überblick
1. Alltagskonto – lizenziert, mit Postfach, aber bewusst ohne Adminrollen. Hier passieren die meisten Angriffe – und genau hier sollen sie folgenlos bleiben.
2. Adminkonto – dediziert, cloud-only, kein Surfen, kein Mailen. Gehärtet mit eigenen Conditional-Access-Policies und über PIM nur bei Bedarf aktiv.
3. Break-Glass-Konto – zwei Notfallkonten für den ganzen Tenant, von den Policies ausgenommen, mit getrennt verwahrtem Passwort – und lückenlos überwacht. Wird die Scheibe eingeschlagen, geht der Feueralarm an.

🔗 Weiterführende Microsoft-Links
Notfallzugriffskonten (Break Glass): Manage emergency access accounts
Privileged Identity Management (PIM): What is PIM?
Conditional Access: Conditional Access Overview
Restricted Management Administrative Units: Restricted Management AUs

🎤 Homepage
Den Podcast findest Du unter itasapro.podigee.io

📝 Blog
Viele weitere Artikel von mir auf dem WindowsPro Blog: windowspro.de/benjamin-burk

🔗 LinkedIn
Vernetze Dich gern mit mir: linkedin.com/in/benjaminbuerk

📫 Anregungen, Fragen, Kritik, Wünsche
Schreib mir an [email protected]

⭐️ Sterne-Bewertung
Wenn Dich die Folge weitergebracht hat, freue ich mich über fünf Sterne. Deine Bewertung hilft, den Podcast sichtbar und am Laufen zu halten.

🎨 Grafik und Design
Herzlichen Dank an Brand Designer Martin Knupfer martinknupfer.de

In dieser Folge geht es um die Microsoft-365-Preis- und Paketänderungen ab dem 1. Juli 2026: Was teurer wird, welche Pläne stabil bleiben, welche Funktionen neu in die Suiten wandern – und warum sich die Lizenz-Entscheidungen Business Premium vs. E3 und E3 vs. E5 dadurch neu sortieren.

Kernpunkte:

- Preisänderung gilt ab 1. Juli 2026; Bestandskunden zahlen den neuen Preis erst zur nächsten Verlängerung
- Business Premium ($22) und Office 365 E1 ($10) bleiben preisstabil
- Defender for Office 365 P1 wandert neu in Office 365 E3, Microsoft 365 E3 und Business Standard
- Postfachspeicher steigt bei den Business-Plänen von 50 auf 100 GB
- Standalone-SKUs für Teams und Copilot sind nicht betroffen

🔗 Quellen (Microsoft):

Offizielle Preis- & Packaging-Übersicht: microsoft.com/licensing/news
FAQ zu Preisen & Packaging: microsoft.com/licensing/news (FAQ)
Microsoft 365 Blog (Ankündigung 04.12.2025): microsoft.com/microsoft-365/blog

📝 Blog: Weitere Artikel auf dem WindowsPro Blog – windowspro.de/benjamin-burk

🔗 LinkedIn: linkedin.com/in/benjaminbuerk

📫 Anregungen, Fragen, Kritik: [email protected]

⭐️ Bewertung: Wenn Dich die Folge weitergebracht hat, freue ich mich über eine 5-Sterne-Bewertung in Deiner Podcast-App.

🎯 Drei Anwendungsfälle für PIM für Gruppen

1. Sensible M365-Gruppen (Geschäftsleitung, HR, Finanzen) mit Ownership-Schutz
2. Bündelung mehrerer Entra-Rollen für ein Admin-Team
3. Temporärer Zugriff für externe Berater mit Ablaufdatum

🚫 Wann PIM für Gruppen NICHT die richtige Wahl ist

• Einzelne Admin-User mit nur einer Rolle → PIM für Rollen direkt verwenden
• SharePoint-, Exchange- oder Purview-Rollen → Microsoft empfiehlt PIM für Rollen statt PIM für Gruppen

⚠️ Stolperfallen aus der Praxis

• Der letzte aktive Owner darf nie weg – sonst kann PIM eligible Ownership nach Ablauf bis zu 30 Tagen nicht deaktivieren
• Bei externen Apps mit SCIM-Provisioning kann es bei vielen gleichzeitigen Aktivierungen Verzögerungen geben
• Dynamische Gruppen und aus On-Prem synchronisierte Gruppen können nicht in PIM verwaltet werden

🔗 Microsoft-Learn-Dokumentation

• Übersicht PIM für Gruppenhttps://learn.microsoft.com/de-de/entra/id-governance/privileged-identity-management/concept-pim-for-groups
• Gruppen in PIM aufnehmenhttps://learn.microsoft.com/de-de/entra/id-governance/privileged-identity-management/groups-discover-groups
• Eligibility für eine Gruppe zuweisenhttps://learn.microsoft.com/de-de/entra/id-governance/privileged-identity-management/groups-assign-member-owner
• PIM-Einstellungen für Gruppen konfigurierenhttps://learn.microsoft.com/de-de/entra/id-governance/privileged-identity-management/groups-role-settings
• Mitgliedschaft oder Besitz aktivierenhttps://learn.microsoft.com/de-de/entra/id-governance/privileged-identity-management/groups-activate-roles
• Aktivierungsanforderungen genehmigenhttps://learn.microsoft.com/de-de/entra/id-governance/privileged-identity-management/groups-approval-workflow
• Lizenzgrundlagen Entra ID Governancehttps://learn.microsoft.com/de-de/entra/id-governance/licensing-fundamentals

🔁 Verwandte Folgen

• Folge 46 | Administrative Units – Delegierte Administration im Entra ID
• Folge 48 | Besitzerlose Gruppen in M365 – wer kümmert sich?

🎤 Homepage

Den Podcast findest Du unter https://itasapro.podigee.io

📝 Blog

Viele, weitere Artikel von mir findest Du auf dem WindowsPro Bloghttps://www.windowspro.de/benjamin-burk

🔗 LinkedIn

Auf LinkedIn hast Du die Möglichkeit mehr von mir zu erfahren.https://www.linkedin.com/in/benjaminbuerk/

📫 Anregungen, Fragen, Kritik, Wünsche

Willst Du ein Thema gerne genauer besprochen haben? Gibt es das eine Problem, das Dich schon längere Zeit beschäftigt? Hast Du einen Interviewgast oder selbst ein spannendes Thema zum Berichten? Schreib mir Deine Gedanken an [email protected]

⭐️ Sterne-Bewertung

Wenn Dich die Folge weitergebracht hat, dann tue mir bitte den Gefallen und bewerte den Podcast mit 5 Sternen. Durch Deine Rezension hilfst Du mir, den Podcast weiter zu verbessern und ihn am Laufen zu halten.

Vielen Dank, dass Du den Podcast hörst!

🎨 Grafik und Design

Herzlichen Dank an den Brand Designer Martin Knupfer https://www.martinknupfer.de

MFA reicht nicht mehr. Wer einmal einen gültigen Token in der Hand hat, ist drin – ohne Passwort und ohne MFA-Code. Genau hier setzt Token Theft an, und genau hier hilft Token Protection in Conditional Access.

In dieser Folge schauen wir uns an, wie Token Theft funktioniert, was Token Protection technisch macht, wo die Grenzen liegen.

📢 Folgeninhalt:

• Was ein Token ist und warum er für Angreifer attraktiv ist
• Wie Adversary-in-the-Middle Phishing und Infostealer Tokens abgreifen
• Was Token Protection in Conditional Access technisch macht
• Voraussetzungen, Lizenzanforderungen und Grenzen (insbesondere Browser)
• Schritt-für-Schritt-Einrichtung der Conditional-Access-Policy
• Welche Stolperfallen Du ausschließen oder filtern solltest
• Drei sinnvolle Begleitmaßnahmen: phishing-resistente MFA, Continuous Access Evaluation und Sign-in Frequency

🙋 Jetzt mitmachen:

Nimm an der kurzen Umfrage zur Folge teil – direkt auf Spotify oder LinkedIn.
Ich freue mich auf deine Einschätzung!

📝 Weiterführende Informationen

• Token Protection in Microsoft Entra Conditional Access (Übersicht)
• Deployment Guide für Windows
• Deployment Guide für macOS, iOS und iPadOS
• Protecting Tokens in Microsoft Entra ID
• Conditional Access Deployment Plan
• Phishing-resistente MFA / Authentication Strengths
• Continuous Access Evaluation (CAE)

📝 Blog

Weitere Artikel und technische Deep-Dives findest du auf meinem WindowsPro.de Blog.

🎓 Videokurse

Vertiefendes Wissen findest du in meinen Kursen bei der Heise Academy:

• Exchange Online für Administratoren
• Microsoft Edge für Administratoren

🔗 Vernetzen

Mehr über mich und meine Arbeit erfährst du auf LinkedIn.

📫 Feedback & Themenvorschläge

Du hast Fragen, Anregungen oder ein Thema, das dich schon lange beschäftigt?
Dann schreib mir gerne an [email protected].

⭐️ Podcast unterstützen

Wenn dir die Folge gefallen hat, freue ich mich über eine 5-Sterne-Bewertung in deiner Podcast-App – und wenn du den Podcast weiterempfiehlst.

🎨 Grafik und Design

Danke an Martin Knupfer für das Podcast-Design!

👉 Episodenlinks

▶️ Microsoft Message Center

📝 Microsoft Learn

• Übersicht über Updatekanäle für Microsoft 365 Apps [MS]
• Ändern des Updatekanals für Microsoft 365 Apps für Geräte in Ihrer Organisation [MS]
• Cloud Update für Microsoft 365 Apps [MS]

🛠️ Kanal auf dem Client prüfen

• Registry-Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\Configuration
• Wert: UpdateChannel

🎤 Homepage
Den Podcast findest Du unter https://itasapro.podigee.io

📝 Blog
Viele, weitere Artikel von mir findest Du auf dem WindowsPro Blog
https://www.windowspro.de/benjamin-burk

🔗 LinkedIn
Auf LinkedIn hast Du die Möglichkeit mehr von mir zu erfahren.
https://www.linkedin.com/in/benjaminbuerk/

📫 Anregungen, Fragen, Kritik, Wünsche
Willst Du ein Thema gerne genauer besprochen haben? Gibt es das eine Problem wo Dich schon langer Zeit beschäftigt? Hast Du einen Interviewgast oder selbst ein spannendes Thema zum Berichten? Schreibt mir Deine Gedanken an [email protected]

⭐️ Sterne-Bewertung
Wenn Dich die Folge weiter gebracht, dann tue mir bitte den Gefallen und bewerte den Podcast mit 5 Sternen. Durch Deine Rezension hilfst Du mir den Podcast weiter zu verbessern und ihn am Laufen zu halten.
Vielen Dank dass Du den Podcast hörst!

🎨 Grafik und Design
Herzlichen Dank an den Brand Designer Martin Knupfer https://www.martinknupfer.de

Besitzerlose Gruppen in Microsoft 365 sind ein stilles, aber wachsendes Governance-Problem. Mitarbeitende verlassen das Unternehmen, Projekte enden – und zurück bleiben Gruppen, für die niemand mehr verantwortlich ist.

In dieser Folge sprechen wir darüber, wie besitzerlose Gruppen entstehen, welche Risiken sie mit sich bringen und wie Du mit der Richtlinie für besitzerlose Gruppen im Microsoft 365 Admin Center gezielt gegensteuern kannst.

📢 Folgeninhalt:

• Warum Microsoft-365-Gruppen die Basis für Teams, SharePoint und Planner sind
• Wie Gruppen besitzerlos werden – und warum das ein Problem ist
• Die Richtlinie für besitzerlose Gruppen: automatische Benachrichtigung der aktivsten Mitglieder
• Einrichten der Richtlinie im Microsoft 365 Admin Center
• Einschränkungen kennen: nur M365-Gruppen, Sonderfall Private und Shared Channels
• PIM für Gruppen als proaktive Alternative
• Besitzer manuell zuweisen – im Admin Center und per PowerShell

🙋 Jetzt mitmachen bei der Umfrage:

Habt ihr besitzerlose Gruppen bereits als Problem erkannt? Und wie geht ihr damit um?
Schreib mir dein Feedback direkt auf LinkedIn oder als Kommentar in deiner Podcast-App.

📝 Weiterführende Informationen

• Verwalten besitzerloser Microsoft 365-Gruppen und -Teams – Microsoft Learn
• Neuen Besitzer einer verwaisten Gruppe zuweisen – Microsoft Support

📝 Blog

Weitere Artikel und technische Deep-Dives findest du auf meinem WindowsPro.de Blog.

🎓 Videokurse

Vertiefendes Wissen findest du in meinen Kursen bei der Heise Academy:

• Exchange Online für Administratoren
• Microsoft Edge für Administratoren

🔗 Vernetzen

Mehr über mich und meine Arbeit erfährst du auf LinkedIn.

📫 Feedback & Themenvorschläge

Du hast Fragen, Anregungen oder ein Thema, das dich schon lange beschäftigt?
Dann schreib mir gerne an [email protected].

⭐️ Podcast unterstützen

Wenn dir die Folge gefallen hat, freue ich mich über eine 5-Sterne-Bewertung in deiner Podcast-App – und wenn du den Podcast weiterempfiehlst.

🎨 Grafik und Design

Danke an Martin Knupfer für das Podcast-Design!

Microsoft bringt neue Companion Apps direkt in die Microsoft 365 Umgebung. Doch sind diese Begleiter wirklich hilfreich – oder sorgen sie eher für unnötige Komplexität im Alltag?

In dieser Folge schauen wir uns die drei neuen M365 Companion Apps genauer an: Dateien, Personen und Kalender. Du erfährst, was sie können, wie sie installiert und verwaltet werden und ob sie in der Praxis wirklich einen Mehrwert bieten.

📢 Folgeninhalt:

• Was die neuen Microsoft 365 Companion Apps sind
• Überblick über die drei Apps: Files (Dateien), People (Personen) und Kalender
• Welche Funktionen die Apps im Alltag bieten – und wo ihre Grenzen liegen
• Installation und Verteilung der Companion Apps (M365 Apps, Intune, Installer)
• Steuerungsmöglichkeiten über das Microsoft 365 Apps Admin Center (Office Cloud Policies)
• Autostart-Verhalten der Apps
• Einschätzung aus der Praxis: sinnvoller Begleiter oder eher kurzfristiger Trend?

🙋 Jetzt mitmachen:

Nutzen Companion Apps deine Produktivität – oder sorgen sie eher für Tool-Wildwuchs?

Stimme in der Spotify- oder LinkedIn-Umfrage ab und teile deine Erfahrungen.

Administrative Units bringen Struktur in die Administration eines Microsoft-Tenants. Gerade in grösseren Organisationen stellt sich schnell die Frage: Wer darf eigentlich welche Benutzer , Gruppen und Geräte verwalten?

In dieser Folge sprechen wir darüber, wie Administrative Units in Microsoft Entra ID funktionieren, wie sich Administratorrollen auf bestimmte Benutzerbereiche begrenzen lassen und warum die Rollenzuweisung auf die Administrative Unit entscheidend ist.

📢 Folgeninhalt:

• Was Administrative Units in Microsoft Entra ID sind
• Warum Delegation in grösseren Microsoft-365-Umgebungen wichtig wird
• Wie Administrative Units als Container für Benutzer, Gruppen und Geräte funktionieren
• Rollenzuweisung mit Scope – warum Administratoren nicht direkt einer Administrative Unit zugewiesen werden
• Praktisches Beispiel: Delegierte Administration nach Standorten
• Typische Stolperfallen bei global vergebenen Administratorrollen

🙋 Jetzt mitmachen bei der Umfrage:

Delegierst du Administration bereits über Administrative Units?
Schreib mir dein Feedback direkt auf LinkedIn oder als Kommentar in deiner Podcast-App.

📝 Weiterführende Informationen

• Administrative Units in Microsoft Entra ID – Microsoft Learn
• Restricted Management Administrative Units – Microsoft Learn
• Rollen und Rollenzuweisungen im Entra Admin Center verwalten

📝 Blog

Weitere Artikel und technische Deep-Dives findest du auf meinem WindowsPro.de Blog.

🎓 Videokurse

Vertiefendes Wissen findest du in meinen Kursen bei der Heise Academy:

• Exchange Online für Administratoren
• Microsoft Edge für Administratoren

🔗 Vernetzen

Mehr über mich und meine Arbeit erfährst du auf LinkedIn.

📫 Feedback & Themenvorschläge

Du hast Fragen, Anregungen oder ein Thema, das dich schon lange beschäftigt?
Dann schreib mir gerne an [email protected].

⭐️ Podcast unterstützen

Wenn dir die Folge gefallen hat, freue ich mich über eine 5-Sterne-Bewertung in deiner Podcast-App – und wenn du den Podcast weiterempfiehlst.

🎨 Grafik und Design

Danke an Martin Knupfer für das Podcast-Design!

M365 Profile Cards sind mehr als nur Name und Telefonnummer. Wer sie richtig konfiguriert, macht Organisationsstrukturen sichtbar und verbessert die interne Zusammenarbeit.

In dieser Folge sprechen wir darüber, wo Profilkarten in Microsoft 365 erscheinen, welche zusätzlichen Attribute du im Admin Center aktivieren kannst und warum die eigentliche Arbeit im Verzeichnis – also in Entra ID oder im Active Directory – stattfindet.

📢 Folgeninhalt:

• Wo Profilkarten in Teams und Outlook angezeigt werden
• Welche Standardinformationen automatisch erscheinen
• Neue aktivierbare Attribute im Microsoft 365 Admin Center
• Besonderheiten bei Division und CostCenter (employeeOrgData)
• Wo die Daten gepflegt werden – Entra ID und Active Directory
• Attribute Matching zwischen AD und Entra ID
• Ausblick auf den kommenden Skills-Bereich

🙋 Jetzt mitmachen bei der Umfrage:

Hast du die Profilkarten bereits erweitert oder waren sie dir bisher zu aufwendig?
Schreib mir dein Feedback direkt auf LinkedIn oder als Kommentar in deiner Podcast-App.

📝 Weiterführende Informationen

• Profilkarten mit Microsoft Graph erweitern
• Profilkarten in Microsoft 365 – Microsoft Support
• employeeOrgData – Microsoft Graph
• Skills in Microsoft 365 – Microsoft Support

📝 Blog

Weitere Artikel und technische Deep-Dives findest du auf meinem WindowsPro.de Blog.

🎓 Videokurse

Vertiefendes Wissen findest du in meinen Kursen bei der Heise Academy:

• Exchange Online für Administratoren
• Microsoft Edge für Administratoren

🔗 Vernetzen

Mehr über mich und meine Arbeit erfährst du auf LinkedIn.

📫 Feedback & Themenvorschläge

Du hast Fragen, Anregungen oder ein Thema, das dich schon lange beschäftigt?
Dann schreib mir gerne an [email protected].

⭐️ Podcast unterstützen

Wenn dir die Folge gefallen hat, freue ich mich über eine 5-Sterne-Bewertung in deiner Podcast-App – und wenn du den Podcast weiterempfiehlst.

🎨 Grafik und Design

Danke an Martin Knupfer für das Podcast-Design!

Conditional Access: Umstellung von „Require approved client app“ auf App Protection

Viele Conditional-Access-Policies für iOS- und Android-Geräte setzen seit Jahren auf die Option „Require approved client app“, um Zugriffe auf Dienste wie Exchange Online abzusichern.

Diese Einstellung ist für neue Policies bereits deaktiviert – bestehende Richtlinien haben jedoch bisher weiterhin funktioniert. Ab Ende März 2026 ändert sich das.

Nach diesem Stichtag wird die Einschränkung auf genehmigte Client Apps nicht mehr erzwungen. Die Conditional-Access-Policy bleibt aktiv, erlaubt jedoch plötzlich Zugriffe mit beliebigen Apps – ohne Fehlermeldung oder Ausfall. Stattdessen entstehen schleichend Sicherheitslücken.

Microsoft empfiehlt als Ersatz die Nutzung von „Require App Protection Policy“. Damit wird nicht mehr geprüft, welche App verwendet wird, sondern ob diese App durch eine passende App Protection Policy in Intune geschützt ist.

In dieser Folge erklären wir, was sich konkret ändert, welche Auswirkungen das auf bestehende Umgebungen hat und wie du die Umstellung sauber vorbereitest – ohne dir neue Probleme einzubauen.

📢 Folgeninhalt:

• Wofür „Require approved client app“ bisher eingesetzt wurde
• Warum die Option deprecated ist und was sich ab Ende März 2026 ändert
• Warum bestehende Policies nicht ausfallen, sondern ungewollt zu viel erlauben
• Wie „Require App Protection Policy“ funktioniert und was dafür nötig ist
• Die Abhängigkeit zwischen Conditional Access und Intune App Protection
• Eine empfohlene Vorgehensweise für die sichere Umstellung

🙋 Jetzt mitmachen:

Nimm an der kurzen Umfrage zur Folge teil – direkt auf Spotify oder LinkedIn.
Ich freue mich auf deine Einschätzung!

📝 Blog

Weitere Artikel und technische Deep-Dives findest du auf meinem WindowsPro.de Blog.

🎓 Videokurse

Vertiefendes Wissen findest du in meinen Kursen bei der Heise Academy:

• Exchange Online für Administratoren
• Microsoft Edge für Administratoren

🔗 Vernetzen

Mehr über mich und meine Arbeit erfährst du auf LinkedIn.

📫 Feedback & Themenvorschläge

Du hast Fragen, Anregungen oder ein Thema, das dich schon lange beschäftigt?
Dann schreib mir gerne an [email protected].

⭐️ Podcast unterstützen

Wenn dir die Folge gefallen hat, freue ich mich über eine 5-Sterne-Bewertung in deiner Podcast-App – und wenn du den Podcast weiterempfiehlst.

🎨 Grafik und Design

Danke an Martin Knupfer für das Podcast-Design!