Die Rolle des Global Admin (globalen Administrators) in Microsoft 365 und Azure Active Directory (jetzt Microsoft Entra ID) ist das Schweizer Taschenmesser der administrativen Zugriffsrechte. Sie ist extrem mächtig und unverzichtbar für die umfassende Verwaltung einer Organisation. Stellen Sie sich vor, Sie versuchen, kritische Aufgaben zu erledigen, und plötzlich ist der Zugang zu dieser Rolle nicht mehr da. Panik macht sich breit! Für viele IT-Dienstleister und Cloud Solution Provider (CSPs) war genau das eine beängstigende Realität, als die Umstellung von Delegated Admin Privileges (DAP) auf Granular Delegated Admin Privileges (GDAP) an Fahrt aufnahm.
Wenn Sie oder Ihr Team plötzlich feststellen, dass der geliebte „Global Admin”-Zugang zu Kundentenants verschwunden ist, sind Sie nicht allein. Dieser Artikel beleuchtet, warum dies geschehen konnte, klärt Missverständnisse auf und führt Sie Schritt für Schritt durch den Prozess, um den Zugang wiederherzustellen und zukünftige Probleme zu vermeiden. Unser Ziel ist es, Ihnen nicht nur eine Lösung, sondern auch ein umfassendes Verständnis für GDAP und bewährte Verfahren zu vermitteln, damit Ihre administrativen Abläufe reibungslos und sicher bleiben.
Was ist GDAP und warum ist es wichtig?
Bevor wir ins Detail gehen, wie man Zugriffsrechte wiederherstellt, ist es entscheidend zu verstehen, was GDAP überhaupt ist und warum Microsoft diese Änderung vorgenommen hat. GDAP steht für Granular Delegated Admin Privileges (Granulare Delegierte Administratorberechtigungen) und ist der Nachfolger von DAP (Delegated Admin Privileges).
Unter dem alten DAP-Modell erhielten Partner oft standardmäßig die vollständigen „Global Admin”-Berechtigungen für die Kundentenants, die sie verwalteten. Dies war zwar bequem, stellte aber ein erhebliches Sicherheitsrisiko dar. Im Falle eines Kompromisses des Partnerkontos hätten Angreifer uneingeschränkten Zugriff auf die Systeme aller verwalteten Kunden. In einer Welt, in der Cyberangriffe immer raffinierter werden, war dieser Ansatz nicht mehr tragbar.
GDAP wurde eingeführt, um dieses Problem zu lösen und das Prinzip der geringsten Rechte (Least Privilege Principle) durchzusetzen. Anstatt einem Partner umfassende Global Admin-Rechte zu gewähren, erlaubt GDAP die Zuweisung spezifischer, zeitlich begrenzter Rollen für bestimmte Aufgaben. Ein Partner, der nur die Lizenzverwaltung für einen Kunden übernimmt, benötigt beispielsweise keine Berechtigungen zur Verwaltung von Exchange-Postfächern oder SharePoint-Sites. Mit GDAP kann der Partner genau die erforderlichen Rollen zugewiesen bekommen, und zwar für einen definierten Zeitraum. Nach Ablauf dieser Zeit müssen die Berechtigungen erneuert werden, was die Angriffsfläche erheblich reduziert.
Die Umstellung auf GDAP war ein mehrstufiger Prozess, der im Laufe des Jahres 2023 abgeschlossen wurde. Microsoft hat aktiv darauf hingewiesen, dass alte DAP-Beziehungen automatisch auslaufen oder gekündigt werden, wenn keine GDAP-Beziehungen eingerichtet wurden. Dies ist der Kern des Problems für viele, die ihren „Global Admin”-Zugang verloren haben.
Der „Global Admin”: Eine kritische Rolle
Die Rolle des Global Admin ist die mächtigste Rolle in Microsoft 365 und Microsoft Entra ID. Inhaber dieser Rolle können nahezu alles tun: Benutzer und Gruppen verwalten, Lizenzen zuweisen, Einstellungen für Dienste wie Exchange Online, SharePoint Online und Teams konfigurieren, sicherheitsrelevante Richtlinien definieren und vieles mehr. Es gibt nur wenige Aufgaben, die ein Global Admin nicht ausführen kann, wie zum Beispiel die Verwaltung bestimmter interner Microsoft-Systeme.
Für IT-Dienstleister und CSPs war der Global Admin-Zugang zu den Kundentenants oft die Standardvoraussetzung, um ihre Dienstleistungen effizient erbringen zu können. Die schnelle Fehlerbehebung, die Einrichtung neuer Dienste oder die Durchführung von Audits waren ohne diese umfassenden Rechte oft umständlich oder unmöglich. Der Verlust dieser Berechtigung kann daher nicht nur zu Frustration führen, sondern auch die Servicebereitstellung erheblich behindern und Kundenbeziehungen belasten.
Wie konnte die Global Admin Rolle durch GDAP gelöscht werden? – Das Missverständnis aufklären
Es ist wichtig, ein weit verbreitetes Missverständnis auszuräumen: Die Rolle des Global Admin selbst wurde nicht „gelöscht”. Die Rolle existiert weiterhin in jedem Microsoft 365-Tenant. Was passiert ist, ist der Verlust der Delegation dieser Rolle an externe Partner oder die Entfernung einer zuvor zugewiesenen Rolle. Hier sind die Hauptgründe, warum Sie oder Ihr Partner diesen kritischen Zugang verloren haben könnten:
- Automatischer Ablauf/Entfernung alter DAP-Beziehungen: Microsoft hat im Rahmen der GDAP-Migration alle verbleibenden aktiven DAP-Beziehungen, die nicht durch GDAP-Beziehungen ersetzt wurden, automatisch beendet. Wenn Ihr Team oder Ihr Partner noch über eine alte DAP-Beziehung auf einen Kundentenant zugegriffen hat, wurden diese Berechtigungen unwiderruflich entfernt. Da DAP oft standardmäßig „Global Admin”-Rechte enthielt, führte dies zum Verlust des Zugriffs.
- Fehlende oder unvollständige GDAP-Migration: Wenn Partner es versäumt haben, vor dem Ablauf von DAP neue GDAP-Beziehungen mit den erforderlichen Rollen einzurichten oder diese Beziehungen nicht vom Kunden akzeptiert wurden, erloschen die Zugriffsrechte.
- Manuelle Entfernung: In einigen Fällen könnte der Kunde selbst oder ein anderer Administrator die Berechtigungen des Partners im Rahmen einer Aufräumaktion oder aus Versehen entfernt haben. GDAP erfordert explizite Zustimmung des Kunden für jede angefragte Rolle.
- Zeitlich begrenzte GDAP-Rollen abgelaufen: Wenn eine GDAP-Beziehung mit einer spezifischen Rolle eingerichtet wurde, diese aber zeitlich begrenzt war und nicht erneuert wurde, ist der Zugriff nach Ablauf der Frist ebenfalls verloren gegangen.
Das Kernproblem ist also nicht, dass die Rolle des Global Admin verschwunden ist, sondern dass die *Zuweisung* dieser Rolle an die Partner-Benutzer (oder eine andere Art von delegiertem Zugriff) nicht mehr existiert.
Symptome des Zugriffsverlusts
Die Symptome des Zugriffsverlusts sind in der Regel offensichtlich und frustrierend:
- Sie können sich nicht mehr mit Ihren Partner-Anmeldeinformationen im Microsoft 365 Admin Center oder Azure-Portal des Kunden anmelden.
- Sie erhalten Fehlermeldungen wie „Sie haben nicht die erforderlichen Berechtigungen, um auf diese Seite zuzugreifen” oder „Zugriff verweigert”.
- Bestimmte PowerShell-Befehle, die administrative Rechte erfordern, schlagen fehl.
- Sie können kritische Verwaltungsaufgaben für den Kunden nicht mehr ausführen.
- Im Microsoft Entra Admin Center sind Ihre Benutzerkonten nicht mehr als aktive Administratoren im Kundentenant gelistet (zumindest nicht für die benötigten Rollen).
Erste Schritte und Fehlerbehebung
Bevor Sie in Panik verfallen, führen Sie diese ersten Überprüfungen durch:
- Identifizieren Sie das betroffene Konto: Handelt es sich um ein Partnerkonto, das den Zugang zu einem Kundentenant verloren hat? Oder betrifft es ein internes Administratorkonto des Kunden? Der häufigste Fall, der durch GDAP verursacht wird, betrifft Partnerkonten.
- Prüfen Sie andere Zugänge: Haben Sie oder Ihr Team noch andere Konten, die möglicherweise über administrative Rechte verfügen? Gab es ein „Break Glass”-Konto oder einen anderen Global Admin auf Kundenseite?
- Kommunizieren Sie mit dem Kunden: Dies ist der wichtigste Schritt. Der Kunde ist in der Regel der Schlüssel zur Wiederherstellung des Zugriffs, da er immer noch (oder zumindest sollte er) über eigene Global Admins verfügt.
- Überprüfen Sie den Status der GDAP-Beziehungen (im Partner Center): Melden Sie sich im Microsoft Partner Center an. Navigieren Sie zu Ihren Kunden und überprüfen Sie den Status der GDAP-Beziehungen. Sehen Sie ausstehende Anfragen? Abgelaufene Beziehungen? Oder fehlende Beziehungen zu den betroffenen Kunden?
Der Wiederherstellungsprozess – Schritt für Schritt
Der Wiederherstellungsprozess hängt stark davon ab, wer noch administrative Rechte im Kundentenant besitzt. Wir betrachten die beiden häufigsten Szenarien:
Szenario 1: Der Kunde hat noch Zugriff über einen eigenen Global Admin
Dies ist der idealste und häufigste Fall. Der Kunde verfügt über mindestens ein aktives Konto mit der Rolle Global Admin im eigenen Tenant. Dieses Konto ist der Schlüssel zur Wiederherstellung des Zugriffs für den Partner.
-
Kunde meldet sich als Global Admin an:
Der Kunde muss sich mit seinen eigenen Global Admin-Anmeldeinformationen im Microsoft 365 Admin Center anmelden.
-
Partner sendet neue GDAP-Anfrage (falls keine existiert oder abgelaufen ist):
Im Microsoft Partner Center muss der Partner eine neue GDAP-Beziehungsanfrage an den betroffenen Kunden senden. Hier ist es entscheidend, genau die Rollen auszuwählen, die für die Erbringung der Dienstleistung erforderlich sind. Wenn Sie den „Global Admin”-Zugang wiederherstellen möchten, müssen Sie die Rolle „Global Administrator” in der Anfrage auswählen. Es wird jedoch dringend empfohlen, das Prinzip der geringsten Rechte anzuwenden und nur die unbedingt notwendigen Rollen anzufordern (z.B. „Exchange Administrator”, „User Administrator”, „SharePoint Administrator” etc.). Legen Sie auch die gewünschte Dauer der Beziehung fest (z.B. 365 Tage).
Der Partner sendet diese Anfrage und erhält einen Link, den er an den Kunden weiterleitet.
-
Kunde akzeptiert die GDAP-Beziehung:
Der Kunde klickt auf den vom Partner erhaltenen Link. Dies führt ihn zum Microsoft Entra Admin Center oder zum Microsoft 365 Admin Center, wo er die neue GDAP-Anfrage überprüfen und akzeptieren kann. Die Zustimmung des Kunden ist unerlässlich, um die GDAP-Beziehung zu aktivieren.
Nach der Akzeptanz ist die GDAP-Beziehung aktiv, aber der Partner hat noch keine direkten Rollenzuweisungen. GDAP-Rollen werden nicht direkt Benutzern zugewiesen, sondern Sicherheitsgruppen im Partner-Tenant.
-
Partner weist GDAP-Rollen zu Sicherheitsgruppen zu und Benutzer zu den Gruppen:
Nachdem die GDAP-Beziehung vom Kunden akzeptiert wurde, muss der Partner im eigenen Partner Center die zugewiesenen Rollen (die der Kunde genehmigt hat) Sicherheitsgruppen innerhalb des *eigenen* (Partner-)Tenants zuweisen. Anschließend werden die spezifischen Benutzer des Partners, die diese Berechtigungen benötigen, den entsprechenden Sicherheitsgruppen hinzugefügt.
Schritt-für-Schritt im Partner Center:
- Melden Sie sich im Microsoft Partner Center an.
- Navigieren Sie zu „Kunden” > „Kundenliste”.
- Wählen Sie den betroffenen Kunden aus.
- Klicken Sie auf „Dienstmanagement” > „GDAP-Management”.
- Hier sehen Sie die aktive GDAP-Beziehung. Klicken Sie darauf.
- Im Bereich „Microsoft Entra-Rollen” können Sie nun die zugelassenen Rollen sehen.
- Weisen Sie diese Rollen einer vorhandenen oder neu erstellten Sicherheitsgruppe in Ihrem (Partner-)Tenant zu.
- Fügen Sie dann die Partnerbenutzer, die diese Rolle benötigen, der jeweiligen Sicherheitsgruppe hinzu.
Nachdem diese Schritte abgeschlossen sind, sollten die Partnerbenutzer, die den Sicherheitsgruppen hinzugefügt wurden, wieder die entsprechenden administrativen Rechte im Kundentenant haben.
Szenario 2: Der Kunde hat keinen eigenen Global Admin mehr oder der letzte Global Admin hat sich ausgesperrt
Dieses Szenario ist deutlich kritischer und erfordert oft die direkte Intervention von Microsoft. Wenn niemand im Kundentenant mehr die Rolle des Global Admin innehat (z.B. weil das einzige Konto deaktiviert, gelöscht oder das Passwort vergessen wurde und keine Wiederherstellungsoptionen mehr funktionieren), handelt es sich um eine „Tenant Takeover”-Situation.
In diesem Fall müssen Sie oder der Kunde sich direkt an den Microsoft Support wenden. Bereiten Sie alle relevanten Informationen vor: Tenant-ID, Domainnamen, Nachweis der Eigentümerschaft und ggf. alte Rechnungen. Microsoft wird einen strengen Validierungsprozess durchführen, um sicherzustellen, dass Sie oder der Kunde tatsächlich der rechtmäßige Eigentümer des Tenants sind, bevor sie den Zugang wiederherstellen oder ein temporäres Global Admin-Konto erstellen. Dieser Prozess kann zeitaufwendig sein und erfordert Geduld.
Best Practices zur Vermeidung künftiger Probleme
Um zu verhindern, dass Sie oder Ihre Kunden in Zukunft erneut den Zugang verlieren, sind hier einige bewährte Verfahren, die Sie unbedingt implementieren sollten:
-
Das Prinzip der geringsten Rechte (Least Privilege Principle) konsequent anwenden:
Vergeben Sie nur die Rollen, die absolut notwendig sind, um eine Aufgabe zu erfüllen. Fragen Sie sich: Braucht dieser Partner wirklich Global Admin für Lizenzverwaltung? Wahrscheinlich nicht. Nutzen Sie die zahlreichen spezifischen Rollen, die Microsoft Entra ID bietet (z.B. User Administrator, Exchange Administrator, Service Support Administrator). Dies reduziert das Risiko erheblich.
-
Immer mindestens zwei Global Admins auf Kundenseite:
Stellen Sie sicher, dass es immer mindestens zwei aktive, unabhängige Konten mit der Rolle Global Admin im Kundentenant gibt. Diese sollten von verschiedenen Personen verwaltet werden und idealerweise nicht dasselbe Passwort haben. Dies ist die beste Absicherung gegen den Verlust des Zugangs.
-
„Break Glass” Konten einrichten:
Erstellen Sie mindestens ein hochsicheres, für Notfälle gedachtes „Break Glass” Konto (auch bekannt als Notfallzugriffskonto). Dies ist ein Cloud-exklusives Konto ohne Multi-Faktor-Authentifizierung (MFA), das als Global Admin eingerichtet wird. Es sollte nur in extremen Notfällen verwendet werden, wenn alle anderen Administratoren ausgesperrt sind. Bewahren Sie die Anmeldeinformationen extrem sicher (z.B. in einem physischen Safe) und protokollieren Sie jede Nutzung.
-
Regelmäßige Überprüfung von GDAP-Beziehungen und Rollenzuweisungen:
Überprüfen Sie regelmäßig (z.B. quartalsweise) alle GDAP-Beziehungen und die zugewiesenen Rollen im Partner Center. Stellen Sie sicher, dass die Beziehungen noch aktiv sind, die Rollen noch benötigt werden und die Laufzeiten angemessen sind.
-
Effektive Nutzung von Sicherheitsgruppen für Rollenzuweisungen:
Nutzen Sie Sicherheitsgruppen in Ihrem Partner-Tenant, um GDAP-Rollen zuzuweisen. Fügen Sie dann die entsprechenden Partnerbenutzer zu diesen Gruppen hinzu. Dies vereinfacht die Verwaltung erheblich, da Sie Rollen nicht für jeden einzelnen Benutzer zuweisen müssen.
-
Umfassende Dokumentation:
Dokumentieren Sie alle GDAP-Beziehungen, die zugewiesenen Rollen, deren Gültigkeitsdauer und die beteiligten Sicherheitsgruppen und Benutzer. Halten Sie auch Informationen zu den Global Admins des Kunden und eventuellen „Break Glass”-Konten fest.
-
Schulung und Sensibilisierung:
Schulen Sie sowohl Ihre eigenen Mitarbeiter als auch Ihre Kunden über die Funktionsweise von GDAP, die Bedeutung des Least Privilege Prinzips und die Notwendigkeit, GDAP-Anfragen zeitnah zu genehmigen.
Fazit
Der Verlust des Global Admin-Zugriffs durch die Umstellung auf GDAP kann beängstigend sein, ist aber in den meisten Fällen behebbar. Es ist ein direktes Resultat von Microsofts Bemühungen, die Sicherheit im Cloud-Ökosystem zu erhöhen, indem das veraltete und unsichere DAP-Modell ersetzt wird.
Das Wichtigste ist, ruhig zu bleiben und systematisch vorzugehen. In den meisten Fällen kann der Zugang mit der Hilfe des Kunden, der noch über eigene Global Admin-Rechte verfügt, wiederhergestellt werden. Nutzen Sie diese Erfahrung als Anlass, um Ihre administrativen Prozesse zu überprüfen und zu optimieren. Indem Sie die Prinzipien von GDAP verstehen, das Least Privilege Principle anwenden und robuste Best Practices implementieren, stellen Sie nicht nur den verlorenen Zugang wieder her, sondern stärken auch die Sicherheit und Effizienz Ihrer gesamten Cloud-Verwaltung. Machen Sie GDAP zu Ihrem Verbündeten in der Welt der sicheren Cloud-Administration!