Entra ID (bis August 2023: Azure Active Directory) ist die Identitätsebene unter Microsoft 365. Es entscheidet, wer sich an Exchange, Teams, SharePoint oder Azure anmelden darf.
Die meisten M365-Backup-Strategien sichern Daten: Mailboxen, Dateien, Chats. Ein Entra ID Backup ist dabei selten vorgesehen. Das ist eine strukturelle Lücke, an genau der Stelle, auf die Angreifer heute systematisch zielen.
Microsoft sichert die Plattform: Infrastruktur, Netzwerkverfügbarkeit, DDoS-Schutz. Was Ihr Unternehmen in dieser Plattform betreibt, liegt in Ihrer Verantwortung. Microsoft formuliert es schriftlich: "The responsibility of data availability, integrity, and appropriate usage rests with your organization."
Das gilt für Mailboxen. Es gilt genauso für Entra ID. Benutzerkonten, Gruppen, Rollen, Conditional-Access-Policies, App-Registrierungen: alles Ihre Verantwortung.
Es gibt einen Entra-ID-Recycle-Bin für einen Teil dieser Objekte. Benutzerkonten, Gruppen, App-Registrierungen und Service Principals werden 30 Tage lang aufbewahrt und können in diesem Zeitfenster wiederhergestellt werden. Retention ist aber kein Backup, auch nicht hier.
Rollenzuweisungen, Conditional-Access-Policies, Named Locations und PIM-Konfigurationen haben keinen Recycle-Bin. Sie werden sofort permanent gelöscht.
Laut Microsoft Digital Defense Report 2024 registriert Microsoft täglich 600 Millionen Identitätsangriffe. Das betrifft nicht nur Grosskonzerne, sondern jede Organisation mit einem M365-Tenant.
Seit März 2026 bietet Microsoft eine native Entra-ID-Backup-Funktion (Public Preview, Entra P1/P2): tägliche Snapshots, unveränderbar gespeichert, kein Admin kann sie löschen oder deaktivieren. Hard-gelöschte Objekte sind nicht wiederherstellbar, Hybrid-Identitäten werden nicht abgedeckt, und die Retention liegt bei fünf Tagen. Laut IBM Cost of a Data Breach Report 2024 dauert es im Schnitt 194 Tage bis zur Erkennung eines Datenvorfalls. Fünf Tage sind dafür keine ausreichende Basis.
M365-Applikationsdaten und Entra ID sind zwei verschiedene Schichten. Mailboxen, Dateien, Chats liegen auf der Ebene der Dienste. Entra ID liegt darunter. Wer nur die Dienste sichert, sichert nicht das System, das den Zugang zu diesen Diensten steuert.
Laut dem Ransomware Risk Report 2024 von Semperis (einem Anbieter von Identity-Security-Lösungen) zielen 9 von 10 Ransomware-Angriffen auf Identitätsinfrastruktur ab. Wenn ein kompromittierter Global Admin systematisch Role Assignments, App-Registrierungen und Conditional-Access-Policies löscht, bevor der Angriff entdeckt wird, ist ein vollständiges M365-Dateibackup wertlos. Die Daten sind vorhanden, der Zugang nicht.
Backup ONE M365 Cloud-to-Cloud Backup sichert M365-Applikationsdaten und Entra-ID-Identitätsobjekte gemeinsam: Users, Groups, Rollen und Admin Units, App-Registrierungen, Enterprise Applications sowie User-, Rollen- und Gruppeneinstellungen. Audit- und Sign-in-Logs sowie Geräteinformationen stehen zusätzlich als Download bereit.
Haben Sie Fragen zu Ihrer Backup-Strategie? Kontaktieren Sie uns.
Das sind weitere Beiträge, die Sie interessieren könnten.
Zur Blogübersicht