Benutzerzuweisung mit Microsoft Entra

Mit der Benutzerzuweisung lässt du Microsoft-Entra-Benutzer aus deinem Mandanten automatisch deiner nunq-Organisation beitreten — ohne jede Person einzeln einzuladen. Du legst eine Liste erlaubter E-Mail-Domains fest, und neue Benutzer aus deinem Mandanten landen beim ersten Login direkt in deiner Organisation.

Diese Seite ist als Anleitung für IT-Administratoren gedacht. Sie erklärt, was die Funktion tut, was du dafür brauchst und wie du sie aktivierst.

Benutzerzuweisung im deaktivierten Zustand

Warum Benutzerzuweisung?

Ohne Benutzerzuweisung erstellt jeder neue Microsoft-Login automatisch eine eigene leere Organisation in nunq. In größeren Mandanten führt das schnell zu vielen Ein-Personen-Organisationen, die du anschließend manuell zusammenführen musst.

Mit aktiver Benutzerzuweisung passiert beim ersten Login eines Mitarbeiters Folgendes:

nunq erkennt, dass die Person aus deinem Microsoft-Mandanten kommt.
Liegt ihre E-Mail-Domain in deiner Allowlist, wird sie deiner Organisation hinzugefügt.
Je nach Einstellung wird sie sofort aktiviert oder wartet auf deine manuelle Freigabe.

Was du brauchst

Voraussetzung	Hinweis
Anmeldung über Microsoft	Die Funktion ist nur für Organisationen verfügbar, deren Admin sich mit einem Microsoft-Konto anmeldet.
Bezahlplan	Persönliche oder Standalone-Organisationen können die Funktion nicht aktivieren.
Microsoft-Administratorrolle	Die Person, die die Aktivierung bestätigt, muss in eurem Microsoft-Mandanten eine ausreichende Admin-Rolle haben (siehe unten).

Erforderliche Microsoft-Rolle

Microsoft prüft beim Verifizieren, ob das Konto, mit dem du dich anmeldest, eine der folgenden Rollen im Mandanten innehat:

Globaler Administrator (Global Administrator)
Privilegierter Rollenadministrator (Privileged Role Administrator)
Anwendungsadministrator (Application Administrator)
Cloud-Anwendungsadministrator (Cloud Application Administrator)

Andere Rollen (etwa Helpdesk- oder Benutzeradministrator) reichen nicht.

Welche Berechtigungen Microsoft anfragt

Während der Verifizierung fragt nunq Microsoft nur, ob du eingeloggt bist und welche eigenen Rollen du hast. Es werden keine Lese- oder Schreibrechte auf andere Benutzer, Gruppen oder das Verzeichnis angefragt — nur eine einmalige Bestätigung deiner Administrator-Eigenschaft.

Einrichtung in drei Schritten

Schritt 1 · Domains festlegen

Öffne Organisationseinstellungen → Benutzerzuweisung.
Trage unter Erlaubte E-Mail-Domains jede Domain einzeln ein und drücke + oder Enter.
(Optional) Aktiviere Zugewiesene Benutzer automatisch aktivieren, damit zugeordnete Benutzer sofort einsatzbereit sind.

Benutzerzuweisung mit zwei Domains und aktivierter Auto-Aktivierung

Hinweise zu Domains:

Beispiele: acme.de, contoso.de, consulting.acme-group.com.
Subdomains sind nicht automatisch enthalten — acme.de matcht nicht auf eu.acme.de. Trage nötige Subdomains separat ein.
Innerhalb desselben Microsoft-Mandanten darf jede Domain nur einer nunq-Organisation gehören. Wenn ein Konflikt besteht, lehnt nunq das Speichern mit einer Hinweismeldung ab.

Schritt 2 · Verifizierung starten

Klicke auf Speichern & Verifizieren. nunq leitet dich auf die Microsoft-Anmeldeseite um.

Melde dich dort mit einem Konto an, das

aus demselben Microsoft-Mandanten kommt wie deine nunq-Organisation, und
eine der oben genannten Administratorrollen besitzt.

Microsoft fragt dich um Zustimmung für eine kurze Identitätsprüfung. Diese Zustimmung musst du einmalig erteilen.

Schritt 3 · Bestätigung

Nach erfolgreicher Anmeldung leitet Microsoft zurück nach nunq. Im Hintergrund prüft nunq, dass:

du der angegebene Benutzer bist,
du wirklich aus dem erwarteten Microsoft-Mandanten kommst, und
du eine der erlaubten Administratorrollen hast.

Wenn alles passt, schaltet die Seite auf Aktiviert mit einem grünen Schild-Symbol. Ab diesem Moment werden neue Logins aus deinem Mandanten automatisch zugeordnet.

"Zugewiesene Benutzer automatisch aktivieren"

Mit diesem Schalter steuerst du, was passiert, sobald jemand auto-zugeordnet wurde:

Einstellung	Ergebnis
Aus (Standard)	Der Benutzer landet in deiner Organisation, bleibt aber deaktiviert. Er sieht eine "Bitte warten Sie auf Aktivierung"-Meldung; ein Admin muss ihn unter Benutzer freischalten.
An	Der Benutzer wird sofort aktiviert — vorausgesetzt, ein Sitzplatz ist frei. Sind alle Plätze belegt, bleibt er trotzdem deaktiviert, bis ein Platz freigegeben wird.

Empfehlung:

Kleine Organisationen mit knappen Sitzplätzen: Schalter aus lassen und jede Aktivierung selbst freigeben.
Größere Mandanten mit ausreichend Sitzplätzen: Schalter einschalten, damit Mitarbeiter sofort produktiv sein können.

Domain-Konflikte zwischen Organisationen

Wenn euer Unternehmen mehrere nunq-Organisationen unter einem Microsoft-Mandanten betreibt — zum Beispiel Acme HQ und Acme Consulting — dürfen sich deren Domain-Listen nicht überschneiden. Eine Domain gehört immer genau einer Organisation pro Mandant. Sollte beim Speichern eine bereits beanspruchte Domain auftauchen, zeigt nunq sie in der Fehlermeldung an, damit ihr euch intern abstimmen könnt.

Deaktivieren

Auf der Seite findest du den Button Tenant-Zuweisung deaktivieren. Nach Bestätigung:

Der Status wechselt auf Deaktiviert.
Die Domain-Liste wird geleert.
Bereits zugeordnete Benutzer behalten ihren Sitzplatz; nur neue Logins erstellen wieder ihre eigenen Organisationen.

Für die Deaktivierung ist keine erneute Microsoft-Verifizierung nötig.

Was wenn etwas schiefgeht?

Meldung	Bedeutung & Lösung
"You must be a Tenant Administrator"	Das Konto, mit dem du verifiziert hast, hat keine der erforderlichen Microsoft-Rollen. Lasse die Bestätigung von einem globalen Administrator durchführen.
"Microsoft account does not belong to this organization's tenant"	Du hast dich mit einem Gast- oder Privatkonto angemeldet. Verwende ein internes Mitarbeiterkonto aus eurem eigenen Mandanten.
"Domains already claimed by another organization"	Eine andere nunq-Organisation in eurem Mandanten beansprucht eine der Domains bereits. Stimmt euch mit dem dortigen Admin ab oder entfernt die Domain bei euch.
Benutzer wird nicht zugeordnet	Prüfe, ob (a) der Login über Microsoft (nicht Google) erfolgt, (b) die E-Mail-Domain exakt in der Allowlist steht und (c) der Benutzer aus eurem Mandanten kommt.
Benutzer wird zugeordnet, bleibt aber deaktiviert	"Auto-Aktivierung" ist aus oder es sind keine Sitzplätze frei. Aktivierung manuell unter Benutzer vornehmen oder Sitzplätze ergänzen.

Sicherheit auf einen Blick

Vor jeder Aktivierung muss eine berechtigte Person sich frisch bei Microsoft anmelden — bestehende Sessions oder Cookies reichen nicht.
Benutzer werden ausschließlich über die Kombination aus Microsoft-Mandant und E-Mail-Domain zugeordnet. Andere Mandanten oder Domains sehen die Daten deiner Organisation nie.
Du kannst die Funktion jederzeit deaktivieren, ohne dass bereits zugeordnete Benutzer ihre Daten verlieren.

Benutzerzuweisung mit Microsoft Entra ​

Warum Benutzerzuweisung? ​

Was du brauchst ​

Erforderliche Microsoft-Rolle ​

Welche Berechtigungen Microsoft anfragt ​

Einrichtung in drei Schritten ​

Schritt 1 · Domains festlegen ​

Schritt 2 · Verifizierung starten ​

Schritt 3 · Bestätigung ​

"Zugewiesene Benutzer automatisch aktivieren" ​

Domain-Konflikte zwischen Organisationen ​

Deaktivieren ​

Was wenn etwas schiefgeht? ​

Sicherheit auf einen Blick ​

Verwandte Themen ​