Entra External ID Administration

Administratorenhandbuch für Power Pages Integration

Inhaltsverzeichnis

1. Einleitung und Zielsetzung

Zielsetzung

Dieses Dokument beschreibt die administrativen Aufgaben bei der Verwaltung von Entra External ID (ehemals Azure AD B2C)[1] für die Integration mit Microsoft Power Pages. Es unterscheidet klar zwischen einmaligen Setup-Aufgaben und laufenden Wartungsarbeiten.

Zielgruppe IT-Administratoren und Identity-Verantwortliche mit grundlegenden Kenntnissen in Azure/Entra ID. Technisches Verständnis von OAuth2/OpenID Connect[2] ist von Vorteil, aber nicht zwingend erforderlich.

Initiales Setup

Einmalig erforderlich

Setup-Dauer

2-4h
Je nach Komplexität[3]

Wartungsaufwand

~2h
Pro Monat[3]

Monitoring

Täglich
5-10 Minuten

Voraussetzungen

Kategorie Voraussetzung Erforderlich
Azure-Zugang Azure-Abonnement mit aktiver Subscription Ja
Berechtigungen Global Administrator oder Identity Administrator[4] Ja
Lizenzierung Entra External ID Lizenz (MAU-basiert)[5] Ja
Power Pages Power Pages Environment mit Admin-Zugang[6] Ja
Domain Eigene Domain für Custom Branding (optional) Nein

2. Übersicht: Einmalige vs. Regelmäßige Aufgaben

Einmalige Setup-Aufgaben

Diese Aufgaben werden einmalig bei der Ersteinrichtung durchgeführt:

  • Entra External ID Tenant erstellen[7]
  • App-Registrierung konfigurieren[8]
  • User Flows einrichten (Sign-up/Sign-in)[9]
  • Custom Branding konfigurieren[10]
  • MFA-Policies definieren[11]
  • Integration mit Power Pages[12]
  • Testbenutzer erstellen und Tests durchführen

Regelmäßige Wartungsaufgaben

Diese Aufgaben fallen während des laufenden Betriebs an:

  • Sign-in Logs überwachen[13]
  • Fehlgeschlagene Authentifizierungen prüfen
  • Inaktive Benutzer deaktivieren
  • Client Secrets rotieren (alle 6-12 Monate)[14]
  • User Flow Updates testen
  • Kapazität und Kosten überwachen[5]
  • Security-Updates anwenden
Wichtig Nach erfolgreichem Setup ist der administrative Aufwand minimal. Die meisten Tätigkeiten beschränken sich auf Monitoring und gelegentliche Updates. Portal-Benutzer verwalten ihre Accounts selbstständig (Passwort-Reset, Profil-Updates).

3. Einmalige Setup-Aufgaben

3.1 Entra External ID Tenant erstellen
Einmalig

Erstellen Sie einen dedizierten External ID Tenant für die Portal-Authentifizierung.[7]

Vorgehensweise:
  1. Im Azure Portal navigieren zu: Microsoft Entra ID > External Identities
  2. Klick auf "Create a new tenant"
  3. Tenant-Typ auswählen: "External"
  4. Tenant-Name vergeben (z.B. portalauth)
  5. Region auswählen (empfohlen: EU-Region für DSGVO-Compliance)[15]
  6. Subscription zuweisen und erstellen
Wichtige Einstellungen:
  • Tenant Name: Sollte den Zweck widerspiegeln (z.B. "PortalAuth")
  • Initiale Domain: [name].onmicrosoft.com wird automatisch erstellt
  • Pricing Tier: MAU-basiert (Monthly Active Users)[5]
Wichtig: Der Tenant-Name kann nach der Erstellung nicht mehr geändert werden. Wählen Sie einen aussagekräftigen Namen.
3.2 App-Registrierung konfigurieren
Einmalig

Registrieren Sie eine Anwendung für die OAuth2/OIDC Integration mit Power Pages.[8]

Vorgehensweise:
  1. Im Entra External ID Tenant navigieren zu: App registrations > New registration
  2. Name vergeben: PowerPages-Portal
  3. Supported account types: "Accounts in this organizational directory only"
  4. Redirect URI hinzufügen:
    https://[portalname].powerappsportals.com/signin-[provider]
  5. Registrierung abschließen
Client Secret erstellen:
  1. In der App-Registrierung: Certificates & secrets > New client secret
  2. Beschreibung vergeben: PowerPages-Integration
  3. Gültigkeitsdauer: 12 Monate (empfohlen)[14]
  4. Secret Value sofort notieren! (wird nur einmal angezeigt)
API Permissions konfigurieren:
  1. Navigieren zu: API permissions > Add a permission
  2. Microsoft Graph auswählen
  3. Delegated permissions hinzufügen:[16]
    • openid
    • profile
    • email
    • User.Read
  4. Admin Consent erteilen
Sicherheit: Client Secret niemals in Code oder öffentlichen Repositories speichern. Verwenden Sie Azure Key Vault[17] oder Power Pages Secure Settings.
3.3 User Flows einrichten
Einmalig

Konfigurieren Sie die Benutzer-Flows für Registrierung, Anmeldung und Profilverwaltung.[9]

Sign up and sign in Flow erstellen:
  1. Navigieren zu: User flows > New user flow
  2. Flow-Typ: "Sign up and sign in"
  3. Version: Recommended
  4. Name vergeben: B2C_1_signupsignin
  5. Identity providers aktivieren:
    • ✓ Email signup (empfohlen)
    • Optional: Social Identity Providers (Google, Microsoft, etc.)[18]
User Attributes konfigurieren:

Definieren Sie, welche Daten bei der Registrierung erhoben werden:[19]

Attribut Collect Return Required
Email Address Ja
Given Name Ja
Surname Ja
Display Name Nein
Object ID - -
Password Reset Flow erstellen:
  1. Navigieren zu: User flows > New user flow
  2. Flow-Typ: "Password reset"
  3. Name: B2C_1_passwordreset
  4. Email verification aktivieren
  5. Return claims konfigurieren (email, objectId)
Tipp: Testen Sie jeden User Flow unmittelbar nach der Erstellung über den "Run user flow" Button im Azure Portal.
3.4 Custom Branding konfigurieren
Einmalig

Passen Sie das Erscheinungsbild der Authentifizierungsseiten an Ihr Corporate Design an.[10]

Branding-Optionen:
  1. Im User Flow navigieren zu: Page layouts > Customize
  2. Template auswählen oder Custom HTML hochladen
  3. Corporate Branding Elemente:
    • Logo (empfohlen: 280x60 px, PNG/SVG)
    • Background Image (optional)
    • Brand Colors (Primary, Secondary)
    • Custom CSS für erweiterte Anpassungen
  4. Sprachen konfigurieren (Deutsch, Englisch, etc.)[20]
  5. Änderungen speichern und testen
Accessibility: Achten Sie bei Custom Branding auf ausreichende Kontraste und WCAG-Konformität[21] für barrierefreien Zugang.
3.5 Multi-Factor Authentication (MFA)
Einmalig

Konfigurieren Sie MFA-Policies für erhöhte Sicherheit.[11]

MFA aktivieren:
  1. Im User Flow navigieren zu: Properties > Multifactor authentication
  2. MFA Type auswählen:
    • Email OTP: Einfachste Methode
    • SMS: Erfordert Phone Number Attribute
    • Authenticator App: TOTP-basiert (höchste Sicherheit)
  3. MFA Enforcement:
    • Off: MFA deaktiviert
    • Always on: MFA für alle Benutzer (empfohlen)
    • Conditional: MFA basierend auf Risiko (erfordert Premium)[22]
Empfehlung: Aktivieren Sie MFA mindestens für administrative Accounts. Für Standard-Portal-Benutzer kann MFA optional bleiben, sollte aber in Erwägung gezogen werden.
3.6 Integration mit Power Pages
Einmalig

Verknüpfen Sie Entra External ID als Identity Provider mit Ihrem Power Pages Portal.[12]

Benötigte Informationen aus Entra External ID:
Application (client) ID: [aus App Registration] Client Secret: [notiert bei Erstellung] Authority: https://[tenant].ciamlogin.com/ Metadata URL: https://[tenant].ciamlogin.com/[tenant].onmicrosoft.com/B2C_1_signupsignin/v2.0/.well-known/openid-configuration
Konfiguration in Power Pages:
  1. Im Power Pages Admin Center: Security > Identity providers
  2. Klick auf "Add provider"
  3. Provider Type: "OpenID Connect"
  4. Konfiguration eingeben:
    • Name: Entra External ID
    • Authority: [siehe oben]
    • Client ID: [siehe oben]
    • Client Secret: [siehe oben]
    • Redirect URI: https://[portal].powerappsportals.com/signin-oidc
  5. Mapping konfigurieren (Email → Email, Name → Full Name)
  6. Speichern und aktivieren
Tipp: Deaktivieren Sie nach erfolgreicher Integration andere Identity Provider (Local Login, Microsoft) um ausschließlich Entra External ID zu nutzen.
3.7 Testing durchführen
Einmalig

Führen Sie umfassende Tests durch, bevor Sie das System produktiv schalten.

Test-Szenarien:
  1. Registrierung: Neuen Benutzer anlegen und Email-Verifizierung prüfen
  2. Login: Mit neu erstelltem Account anmelden
  3. Password Reset: Passwort-Reset-Flow durchlaufen
  4. MFA: Multi-Factor Authentication testen (falls aktiviert)
  5. Token Claims: Prüfen, ob alle benötigten Claims im Token enthalten sind[23]
  6. Logout: Abmeldung testen (Single Sign-Out)
  7. Error Handling: Falsche Credentials, abgelaufene Tokens, etc. testen
Go-Live Checklist: Erst nach erfolgreichen Tests in allen Szenarien sollte das System für produktive Benutzer freigegeben werden.

4. Regelmäßige Wartungsaufgaben

4.1 Sign-in Logs überwachen
Täglich

Überwachen Sie die Authentifizierungsaktivitäten auf Anomalien und Fehler.[13]

Zugriff auf Logs:
  1. Im Entra Portal: Monitoring > Sign-in logs
  2. Filter setzen:
    • Zeitraum: Letzte 24 Stunden
    • Status: Fehlgeschlagen
    • Application: PowerPages-Portal
  3. Auffälligkeiten prüfen (z.B. multiple Failed Logins von gleicher IP)
Wichtige Metriken:
  • Failed Sign-ins: Sollte < 5% sein
  • MAU (Monthly Active Users): Für Kosten-Tracking[5]
  • Sign-in Duration: Performance-Indikator
  • MFA Success Rate: Falls MFA aktiviert
Alert einrichten: Konfigurieren Sie Azure Monitor Alerts[24] für ungewöhnlich hohe Fehlerraten oder Anmelde-Aktivitäten.
4.2 Inaktive Benutzer deaktivieren
Monatlich

Identifizieren und deaktivieren Sie Benutzer-Accounts, die länger nicht verwendet wurden.

Vorgehensweise:
  1. Im Entra Portal: Users > All users
  2. Filter: Last sign-in > 90 Tage[25]
  3. Liste exportieren und mit Fachbereich abstimmen
  4. Accounts deaktivieren (nicht löschen!):
    • User auswählen
    • Properties > Account enabled: No
  5. Dokumentation aktualisieren
Hinweis: Deaktivierte Accounts können jederzeit reaktiviert werden. Permanentes Löschen sollte nur nach ausdrücklicher Genehmigung erfolgen (DSGVO-Anfragen)[15].
4.3 Client Secrets rotieren
Halbjährlich

Erneuern Sie Client Secrets regelmäßig zur Einhaltung von Security Best Practices.[14]

Rotation-Prozess:
  1. Neues Client Secret erstellen (siehe 3.2)
  2. Beide Secrets parallel aktiv lassen
  3. Power Pages Konfiguration auf neues Secret umstellen
  4. Testen (Sign-in, Sign-up)
  5. Altes Secret nach 48h löschen
  6. Vorgang dokumentieren
Wichtig: Koordinieren Sie Secret-Rotation mit dem Power Pages Team. Ungeplante Secret-Änderungen führen zu Authentifizierungsausfällen.
4.4 Kapazität und Kosten überwachen
Monatlich

Überwachen Sie die monatlichen Active Users (MAU) und die damit verbundenen Kosten.[5]

Kosten-Tracking:
  • Pricing Model: Entra External ID wird nach MAU abgerechnet
  • Free Tier: Erste 50.000 MAU/Monat kostenlos[5]
  • Paid Tier: Ca. 0,00325€ pro MAU darüber hinaus[5]
  1. Im Azure Portal: Cost Management > Cost analysis[26]
  2. Filter auf Entra External ID Resource
  3. Trend-Analyse: MAU-Entwicklung der letzten 3 Monate
  4. Budget Alerts konfigurieren (optional)
4.5 Security-Updates und Patches
Quartalsweise

Überprüfen Sie regelmäßig auf verfügbare Updates und Sicherheits-Patches.

Update-Quellen:
  1. Azure Portal: Service Health > Planned maintenance[27]
  2. Microsoft 365 Message Center abonnieren[28]
  3. Entra ID Release Notes verfolgen[29]
  4. Security Advisories prüfen[30]
Automatische Updates: Die meisten Updates werden von Microsoft automatisch durchgeführt. Manuelle Anpassungen sind nur bei Breaking Changes erforderlich.

5. Monitoring und Troubleshooting

5.1 Dashboard-Metriken

Metrik Normalwert Alarmwert Aktion
Failed Sign-ins < 5% > 10% Sign-in Logs prüfen, User Flow testen
Sign-in Duration < 3s > 10s Performance-Analyse, Azure Support
Token Errors < 1% > 5% Token-Konfiguration prüfen, Claims validieren
MAU Wachstum Steady Sudden Spike Bot-Aktivität prüfen, Kosten-Alarm

5.2 Häufige Fehler und Lösungen

AADB2C90118: User forgot password[31]

Ursache: User hat "Forgot password?" geklickt

Lösung: Dies ist normales Verhalten. Stellen Sie sicher, dass der Password Reset Flow korrekt konfiguriert ist.

AADB2C90091: User cancelled flow[31]

Ursache: User hat den Registrierungs- oder Login-Prozess abgebrochen

Lösung: Überprüfen Sie das User Flow Design auf Usability-Probleme. Hohe Abbruchrate kann auf UX-Probleme hindeuten.

Invalid Client Secret

Ursache: Client Secret ist abgelaufen oder falsch konfiguriert

Lösung: Neues Client Secret erstellen und in Power Pages aktualisieren (siehe 4.3).

Redirect URI mismatch

Ursache: Redirect URI in App Registration stimmt nicht mit Power Pages überein

Lösung: URIs abgleichen und exakt übereinstimmen lassen (inkl. Trailing Slash).

6. Best Practices und Sicherheit

6.1 Sicherheits-Best-Practices

1. Principle of Least Privilege[32]

Vergeben Sie nur die minimal notwendigen Berechtigungen für Service Accounts und Administratoren. Verwenden Sie dedizierte Admin-Accounts, nicht persönliche Accounts.

2. Conditional Access Policies[22]

Nutzen Sie Conditional Access (Premium-Feature) für risikobasierte MFA und Location-Based Access Control. Blockieren Sie Anmeldungen aus High-Risk Ländern.

3. Client Secret Management[14]

Speichern Sie Secrets niemals in Code oder Konfigurationsdateien. Nutzen Sie Azure Key Vault.[17] Rotieren Sie Secrets alle 6-12 Monate. Dokumentieren Sie alle Secret-Änderungen.

4. Audit Logging[13]

Aktivieren Sie umfassendes Audit Logging und bewahren Sie Logs mindestens 90 Tage auf.[33] Exportieren Sie Logs regelmäßig zu SIEM-Systemen für langfristige Aufbewahrung.

5. Regelmäßige Security Reviews

Führen Sie quartalsweise Security Reviews durch. Prüfen Sie: Aktive Berechtigungen, MFA-Adoption-Rate, Failed Sign-in Patterns, Inaktive Accounts.

6.2 Performance-Optimierung

Token Caching aktivieren

Konfigurieren Sie Token Caching in Power Pages für reduzierte Latenz und weniger Roundtrips zu Entra ID.[34]

Claims minimieren

Reduzieren Sie Token-Größe durch Minimierung der Claims. Fordern Sie nur tatsächlich benötigte User Attributes an.[23]

CDN für Custom Pages

Hosten Sie Custom Branding Assets (Logo, CSS) auf einem CDN für schnellere Ladezeiten global.

6.3 Compliance und Datenschutz

DSGVO-Compliance[15] Stellen Sie sicher, dass Entra External ID Tenant in EU-Region gehostet wird. Implementieren Sie Prozesse für DSGVO-Anfragen (Auskunft, Löschung, Berichtigung). Dokumentieren Sie alle Datenverarbeitungsvorgänge.

Data Residency[35]

Wählen Sie Azure-Region basierend auf Compliance-Anforderungen. EU-Daten sollten in EU-Regionen verbleiben (West Europe, North Europe).

User Consent Management

Implementieren Sie klare Consent-Flows für Datenerhebung. Dokumentieren Sie alle erhobenen Daten und deren Verwendungszweck. Ermöglichen Sie einfaches Opt-out.

7. Häufig gestellte Fragen (FAQ)

Wie oft müssen Client Secrets rotiert werden?
Best Practice: Alle 6-12 Monate.[14] Microsoft empfiehlt maximal 12 Monate Gültigkeit. Dokumentieren Sie jeden Secret-Wechsel und koordinieren Sie mit dem Power Pages Team.
Können Benutzer ihre Accounts selbst löschen?
Standardmäßig nein. Self-Service Account Deletion muss über Custom Policies (Identity Experience Framework)[36] implementiert werden. Alternativ: Support-Prozess für Löschungsanfragen etablieren.
Was kostet Entra External ID?
Pricing-Modell: MAU-basiert (Monthly Active Users). Erste 50.000 MAU/Monat kostenlos. Darüber hinaus ca. 0,00325€ pro MAU.[5] Premium-Features (Conditional Access) kosten extra.
Wie lange werden Sign-in Logs aufbewahrt?
Standardmäßig 30 Tage im Entra Portal.[33] Für längere Aufbewahrung: Logs zu Azure Log Analytics oder externem SIEM exportieren. Empfehlung: Mindestens 90 Tage Retention.
Können Social Logins (Google, Facebook) verwendet werden?
Ja. Entra External ID unterstützt Federation mit Social Identity Providers.[18] Konfiguration über Identity Providers in User Flows. Beachten Sie Datenschutz-Implikationen bei Social Logins.
Was passiert bei einem Ausfall von Entra External ID?
Microsoft bietet 99,9% SLA für Entra External ID.[37] Bei Ausfällen: Prüfen Sie Azure Service Health für Status-Updates. Implementieren Sie graceful degradation in Power Pages (z.B. Maintenance-Seite).
Wie viele parallele Sessions sind erlaubt?
Keine technische Limitierung für gleichzeitige Sessions pro User. Token-Lifetime und Refresh-Token-Policies steuern Session-Dauer. Standard: 1 Stunde Access Token, 90 Tage Refresh Token.[38]

8. Checklisten

8.1 Initial Setup Checklist

Entra External ID Tenant erstellt (EU-Region)
App-Registrierung konfiguriert (Client ID & Secret notiert)
Sign-up/Sign-in User Flow erstellt und getestet
Password Reset User Flow erstellt und getestet
Custom Branding konfiguriert (Logo, Farben)
MFA-Policy aktiviert (mindestens für Admins)
Integration mit Power Pages getestet (Sign-up, Sign-in, Password Reset)
Sign-in Logs Monitoring eingerichtet
Dokumentation erstellt (Konfiguration, Secrets, Prozesse)
Go-Live Tests durchgeführt (alle Szenarien)

8.2 Monthly Maintenance Checklist

Sign-in Logs auf Anomalien geprüft
Failed Sign-ins analysiert (< 5%)
Inaktive Benutzer identifiziert (> 90 Tage)
MAU und Kosten überprüft
Client Secret Ablaufdatum geprüft (< 30 Tage → Rotation planen)
Azure Service Health auf Planned Maintenance geprüft
Backup der Konfiguration erstellt (App Registrations, User Flows)

8.3 Quarterly Security Review Checklist

Admin-Berechtigungen reviewed (Principle of Least Privilege)
MFA Adoption Rate geprüft (Ziel: > 90%)
Audit Logs auf verdächtige Aktivitäten geprüft
Password Policies reviewed (Complexity, Expiry)
User Flow Policies auf Aktualität geprüft
Custom Policies auf Breaking Changes geprüft (falls verwendet)
Compliance-Dokumentation aktualisiert (DSGVO, etc.)
Disaster Recovery Plan getestet
Zusammenfassung Nach erfolgreichem Initial Setup ist der administrative Aufwand für Entra External ID minimal. Die meisten Wartungsaufgaben können in wenigen Stunden pro Monat erledigt werden. Automatisierung (Alerts, Monitoring) reduziert den manuellen Aufwand weiter.

Quellen und Referenzen

[1] Microsoft Entra External ID Dokumentation: https://learn.microsoft.com/en-us/entra/external-id/
[3] Eigene Schätzung basierend auf typischen Implementierungszeiten. Die tatsächliche Dauer variiert je nach Komplexität der Anforderungen und Erfahrung des Administrators.
[5] Entra External ID Pricing (Stand: Oktober 2025): Erste 50.000 MAU/Monat kostenlos, danach ca. 0,00325€ pro MAU. Aktuelle Preise: https://azure.microsoft.com/en-us/pricing/details/active-directory/external-identities/
[14] Best Practices for Client Secret Management: https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal - Microsoft empfiehlt maximale Gültigkeit von 12 Monaten.
[16] Microsoft Graph Permissions Reference: https://learn.microsoft.com/en-us/graph/permissions-reference
[17] Azure Key Vault Documentation: https://learn.microsoft.com/en-us/azure/key-vault/
[21] Web Content Accessibility Guidelines (WCAG): https://www.w3.org/WAI/WCAG21/quickref/
[22] Conditional Access in Entra External ID: https://learn.microsoft.com/en-us/entra/identity/conditional-access/overview (Premium Feature)
[25] Die 90-Tage-Regel ist eine Best-Practice-Empfehlung. Die tatsächliche Frist sollte basierend auf Ihrer Sicherheitsrichtlinie festgelegt werden.
[30] Microsoft Security Response Center: https://msrc.microsoft.com/update-guide
[36] Identity Experience Framework (Custom Policies): https://learn.microsoft.com/en-us/azure/active-directory-b2c/custom-policy-overview
[37] Azure Active Directory SLA: https://azure.microsoft.com/en-us/support/legal/sla/active-directory/v1_1/ - 99,9% Uptime Guarantee
[38] Token Lifetimes: Access Token Standard 1 Stunde, Refresh Token bis 90 Tage. Quelle: https://learn.microsoft.com/en-us/entra/identity-platform/configurable-token-lifetimes

Erstellt von

Tino Rabe

Microsoft MVP für Power Pages

tino@amingi.net | www.powerportals.de