Welche Lizenz brauchst du wirklich für MFA, Entra ID oder Defender?
Einführung: Perspektive eines IT-Architekten
Als IT-Architekt erlebe ich immer wieder, dass die Wahl der richtigen Microsoft-Lizenzen über die effektive Sicherheit einer Umgebung entscheidet. Viele Unternehmen kaufen Lizenzen nach Bauchgefühl oder Budget – selten jedoch strategisch. Auf dem Papier sieht das Lizenzpaket oft beeindruckend aus, aber der tatsächliche Schutz bleibt hinter den Möglichkeiten zurück. Der Unterschied zwischen „gut gemeint“ und „wirklich geschützt“ ist manchmal nur ein Lizenzschlüssel. Deine Microsoft-Lizenzierung entscheidet am Ende über deinen Security-Reifegrad. Und: Nur weil auf der Rechnung „E5“ steht, heißt das noch lange nicht, dass wirklich alle Features enthalten sind. Gerade zusätzliche Komponenten wie erweiterte Defender- oder Purview-Funktionen sorgen immer wieder für Verwirrung.
Lizenzwahl als Erfolgsfaktor für den Security-Reifegrad
Warum ist die Lizenzwahl so entscheidend? Moderne Identity Security stützt sich auf Features wie Multi-Faktor-Authentifizierung (MFA), Conditional Access Policies, Endpoint Detection and Response (EDR) und Privileged Identity Management (PIM). Diese Funktionen stehen jedoch nur zur Verfügung, wenn die entsprechenden Lizenzstufen vorhanden sind. Ein Unternehmen mit ausschließlich Basis-Lizenzen (z. B. Microsoft 365 E3) kann gewisse Sicherheitsmaßnahmen schlicht nicht umsetzen, weil die Tools fehlen. Umgekehrt garantiert eine teure Premium-Lizenz wie E5 noch keine Sicherheit – sie ermöglicht erst die fortgeschrittenen Schutzmechanismen. Lizenzierung bildet somit die Basis des Möglichen: Willst du Zero Trust umsetzen, Insider-Risiken aufdecken oder automatisierte Threat Response nutzen, kommst du um die passenden Lizenzpakete nicht herum. Die Lizenz bestimmt, wie weit deine Sicherheitsmaßnahmen gehen können. Deshalb sollte die Lizenzierung kein nebensächlicher Einkauf mehr sein, sondern integraler Bestandteil der Sicherheitsstrategie.
Weitverbreitete Irrtümer bei Microsoft-Lizenzen und Security
In der Praxis begegne ich einigen Fehlannahmen, die Unternehmen teuer zu stehen kommen können. Hier die häufigsten Irrtümer – und was wirklich dahintersteckt:
Irrtum 1: „E5 = Alles inklusive“
Viele Entscheider glauben, mit einer Microsoft 365 E5 Lizenz sei automatisch jedes erdenkliche Sicherheitsfeature abgedeckt. E5 ist zwar das umfangreichste Paket, doch auch hier gibt es Grenzen und separate Add-ons. Beispielsweise muss für externe Telefonie ein zusätzlicher Calling-Plan gebucht werden, und für Spezialbereiche (etwa erweiterte Compliance oder Endpoint-Lizenzen für Server) können eigene Add-ons nötig sein. Wichtiger noch: Selbst wenn technisch alles drin ist – die Features entfalten ihren Wert nur, wenn man sie richtig konfiguriert und nutzt. Ein „Alles drin“-Paket wie E5 ohne Umsetzung der enthaltenen Tools ist wie ein Sicherheitsgurt, den niemand anlegt. Die Wahrheit: E5 bietet die Plattform – aber Sicherheit gibt es nicht als Selbstläufer. Unternehmen müssen die enthaltenen Möglichkeiten aktiv ausschöpfen.
Irrtum 2: „MFA reicht aus.“
MFA gilt mittlerweile als Mindeststandard und tatsächlich verhindert allein schon die Aktivierung von MFA den Großteil gängiger Angriffe – Microsoft-Statistiken zeigen, dass 99,9 % kompromittierter Accounts ohne MFA waren. Doch MFA alleine ist kein Allheilmittel. Angreifer haben gelernt, MFA zu umgehen, etwa durch MFA-Fatigue-Attacken oder raffinierte Phishing-Tricks. Das heißt: Parallel zum MFA-Einsatz müssen weitere Maßnahmen wie Conditional Access (bedingter Zugriff), sichere Passwörter und ein generelles Zero-Trust-Konzept greifen. MFA bleibt unverzichtbar für die Kontosicherheit, aber erst in Kombination mit kontextbasierten Richtlinien (z. B. blockiere Anmeldungen aus unbekannten Ländern oder erfordere MFA bei Risikoanzeichen) entsteht ein wirklich belastbarer Schutz. Fazit: MFA ist der Anfang, nicht das Ende der Fahnenstange.
Irrtum 3: „Antivirus genügt – Defender brauch ich nicht.“
Klassisches Missverständnis aus der Endpoint-Security: Viele denken, ein vorhandenes Antivirus (sei es Windows Defender Antivirus oder eine Drittanbieter-Lösung) würde ausreichen. Antivirus ≠ ganzheitliche Security. Heutige Angriffe (etwa Ransomware oder fileless Malware) umgehen signaturbasierten Virenschutz häufig. Microsofts Defender for Endpoint in der Plan 2-Variante geht weit über reines Virenscanning hinaus: Er bietet Endpoint Detection & Response (EDR) und sogar XDR-Fähigkeiten, also die korrelierte Erkennung von Angriffen über Endpunkte, Identitäten, E-Mails und Cloud-Apps hinweg. Wichtig sind Funktionen wie Verhaltensanalyse, Alarmierung bei auffälligen Aktivitäten, forensische Daten und automatisierte Reaktionen. Ein einfaches AV-Programm schlägt vielleicht bei bekannter Malware Alarm – EDR erkennt auch unbekannte Angriffsabläufe und kann im Ernstfall z. B. einen infizierten Rechner automatisch vom Netzwerk isolieren. Wer heute noch glaubt, „Ich habe doch Antivirus“, unterschätzt die Gefährdungslage. Moderne Verteidigung erfordert die EDR/XDR-Komponenten, die in Defender for Endpoint (Plan 2) enthalten sind.
Irrtum 4: „P2 ist übertrieben.“
„Unsere Umgebung kommt auch ohne die teuren Premium-Funktionen aus“ – ein Trugschluss, der vor allem bei sensiblen Daten oder komplexen Umgebungen gefährlich ist. Entra ID P2 (ehemals Azure AD Premium P2) bietet Features, die über P1 hinausgehen und in bestimmten Szenarien unerlässlich sind. Hast du beispielsweise kritische Administrator-Rollen, viele Gastnutzer/Partnerzugriffe oder Schatten-IT durch eigene Cloud-Apps? Dann wird P2 schnell zum Gamechanger: Nur damit bekommst du Privileged Identity Management (PIM) für just-in-time Adminrechte, umfangreiche Identity Governance (z. B. Access Reviews, Entitlement Management) und risikobasiertes Conditional Access mit automatisierter Erkennung kompromittierter Anmeldungen. Diese Funktionen aus P2 adressieren genau die Fälle, in denen „es ernst wird“: Sie verhindern, dass dauerhaft überprivilegierte Accounts zum Einfallstor werden, und sie fangen verdächtige Aktivitäten ab, bevor Schaden entsteht. Kurz gesagt: P2 ist nicht „overkill“, sondern dort nötig, wo erhöhte Risiken bestehen.
Entra ID P1 vs. P2 – Wo liegen die Unterschiede?
Microsoft hat die Azure AD Premium Lizenzen inzwischen in Microsoft Entra ID umbenannt. Die beiden relevanten Stufen sind Entra ID P1 und Entra ID P2. Beide bieten ein Fundament an Identity- und Zugriffsverwaltung, aber P2 enthält einige Schlüssel-Features obendrauf. Ein Überblick:
Entra ID P1 beinhaltet bereits Conditional Access Policies, Multi-Faktor-Authentifizierung, Self-Service Password Reset, Azure AD Application Proxy und dynamische Gruppen. Damit lassen sich Kernstücke einer sicheren Identitätsplattform umsetzen: z. B. Anmelderichtlinien nach Gerät/Standort, MFA-Pflicht, und Benutzer können ihre Passwörter selbst zurücksetzen. Für viele kleine bis mittlere Unternehmen bietet P1 damit ein gutes Sicherheits-Basispaket.
Entra ID P2 umfasst alle P1-Funktionen und ergänzt sie um die Identity Protection Suite und erweiterte Governance. Konkret liefert P2:
– Risikobasierte Conditional Access: Hierbei fließen Machine-Learning-gestützte Risikoerkennungen in Policies ein. Anmeldeversuche werden bewertet (nach Faktoren wie ungewöhnliche Ort/Zeit oder bekannte Leaks) und je nach Risikolevel automatisch blockiert oder mit MFA-Anforderung versehen.
– Privileged Identity Management (PIM): Just-in-time Verwaltung von Admin-Rechten. Admins erhalten erhöhte Rechte nur noch für begrenzte Zeit und nach Bedarf, was die Angriffsfläche stark reduziert. Zudem gibt es Protokollierung und Approval-Workflows für Admin-Zugriffe.
– Access Reviews & Governance: Regelmäßige Überprüfungen von Zugriffsrechten, insbesondere für externe Gäste oder alte Accounts. So stellen Unternehmen sicher, dass Benutzer nur die Zugriffe haben, die sie aktuell benötigen.
– Identitätsrisiko-Erkennung: P2 sammelt Signale zu kompromittierten Accounts (z. B. geleakte Passwörter, Impossible Travel-Logins, Malware an IP-Adressen) und markiert entsprechende Risky Users/Sign-Ins automatisch, was Admins erlaubt, schnell einzugreifen.
Im Klartext: P1 liefert die “Mechanik” für ein sicheres Identity Management (Policy-Enforcement, MFA, Zugriffskontrolle), P2 fügt eine intelligente “Sensorik” und Kontrolle hinzu, um proaktiv Risiken zu erkennen und privilegierte Zugriffe abzusichern. Unternehmen, die lediglich grundlegende Kontrolle brauchen, sind mit P1 lizenziert (oft in M365 E3 enthalten) gut bedient. Wer jedoch in Sachen Identity Security auf Nummer sicher gehen will – insbesondere bei sensiblen Zugängen – kommt an P2 (enthalten in M365 E5 oder separat zubuchbar) nicht vorbei.
Microsoft Defender for Endpoint Plan 1 vs. Plan 2
Ähnlich gestaffelt ist Microsofts Endpoint-Sicherheitslösung Defender for Endpoint (früher Windows Defender ATP). Es gibt zwei Lizenzstufen: Plan 1 (P1) und Plan 2 (P2).
Defender for Endpoint P1 umfasst primär die Next-Generation Antivirus-Funktionen und Grundschutz. Hierzu zählen klassischer Malware-Schutz, grundlegende Angriffserkennungen und manuelle Response-Optionen. Unternehmen mit Microsoft 365 E3 besitzen Defender P1 bereits: Damit erhalten sie zentral verwaltetes Anti-Malware für Windows, Mac, Linux und mobile Geräte, sowie Features wie Attack Surface Reduction (um Angriffsflächen zu verkleinern, z. B. durch Blockieren von Makros). P1 erlaubt Sicherheitsanalysten zudem einige manuelle Reaktionen auf Vorfälle – z. B. eine Datei in Quarantäne schicken oder einen betroffenen Rechner isolieren (jedoch alles manuell über das Portal).
Defender for Endpoint P2 enthält alle P1-Funktionen und erweitert sie um vollwertige EDR-Fähigkeiten und Automatisierung. In Plan 2 stehen umfangreiche Threat & Vulnerability Management-Tools bereit, die Schwachstellen auf Geräten erkennen und priorisieren. Vor allem aber bietet P2 kontinuierliche Endpoint Detection and Response: Verdächtiges Verhalten auf Endgeräten wird in Echtzeit erkannt, korreliert (auch mit Cloud- und Identity-Signalen) und alarmiert. Zudem ermöglicht P2 automatisierte Untersuchungen und Reaktionen – das System kann z. B. bei einem erkannten Angriff selbstständig Schritte einleiten, um die Bedrohung einzudämmen. Ergänzend gibt es den Dienst Microsoft Threat Experts, einen von Microsoft bereitgestellten Threat-Hunting-Service zur proaktiven Jagd auf Angreifer in der Umgebung.
Im Ergebnis erhält man mit Plan 2 eine vollständige Enterprise-EDR-Lösung: automatische Incident Response, detaillierte Forensik und Integration in ein XDR-Dashboard (Microsoft 365 Defender) für ganzheitliche Sicht. Plan 1 deckt “nur” den präventiven Basisschutz ab (vergleichbar mit einem guten Schloss), während Plan 2 auch die “Alarmanlage mit Wachdienst” liefert. Unternehmen sollten daher prüfen: E3-Lizenzen bringen Defender P1 bereits mit, aber um fortgeschrittene Angriffe zu erkennen und zu stoppen, ist das Upgrade auf P2 (z. B. via E5 oder als Add-on) eine lohnende Investition.
Microsoft 365 E3 vs. E5 – Was ist wirklich dabei?
Die Unterschiede zwischen M365 E3 und E5 gehören zu den häufigsten Stolperfallen in der Lizenzberatung. Beide Pakete enthalten die grundlegenden Office- und Cloud-Services, doch E5 hebt sich durch seine erweiterten Security- und Compliance-Komponenten ab. Während Microsoft 365 E3 bereits essentielle Sicherheitsfeatures bietet – etwa Defender Antivirus, Basisschutz vor gängigen Bedrohungen und grundlegende Compliance-Tools wie DLP – geht E5 deutlich weiter. Unternehmen mit E5 schalten eine ganze Suite an Advanced Threat Protection frei:
Identitätsschutz: Entra ID P2 ist in E5 enthalten, was risikobasiertes Conditional Access und automatische Erkennung kompromittierter Konten ermöglicht.
Endpoint & XDR: E5 beinhaltet Defender for Endpoint P2 (EDR) sowie die gesamte Microsoft 365 Defender XDR-Plattform – also zusätzlich Defender for Cloud Apps (MCAS) für Cloud-Zugriffsschutz, Defender for Office 365 (P2) für erweiterten Phish-/Malwareschutz in Emails, und Defender for Identity für die Überwachung von AD-On-Premises.
Informationsschutz: Azure Information Protection Plan 2 ist inkludiert, was automatische Klassifizierung und Verschlüsselung sensibler Daten erlaubt. Ebenso gibt es erweiterte Data Loss Prevention (DLP) bis hin zu Teams-Chats.
Compliance & Governance: E5 liefert Tools für Insider Risk Management, erweiterte eDiscovery/Audit sowie Customer Lockbox (Kundenkontrolle bei Datenzugriff durch Microsoft). Unternehmen in regulierten Branchen profitieren von diesen erweiterten Funktionen, um Compliance-Vorgaben zu erfüllen.
Telefonie & Analytics: Nicht sicherheitsrelevant, aber oft gefragt: E5 enthält auch eine Telefonie-Lizenz (Teams Phone System mit Audio-Conferencing) und Power BI Pro für Analytics. Diese fehlen in E3 und müssten dort extra lizenziert werden.
Typische Fallen: Manche Unternehmen nehmen an, mit E3 plus ein paar Einzellizenzen dasselbe zu erhalten wie mit E5 – übersehen aber bestimmte Features. So beinhaltet E3 keinen Defender für Office 365 P2 (höchstens P1), und ohne E5 fehlen z. B. die erwähnten Insider-Risk- und Identity-Protection-Funktionen. Umgekehrt investieren andere direkt in E5 für alle Benutzer, obwohl vielleicht nur ein Teil der Belegschaft die Premium-Funktionen benötigt. Microsoft erlaubt einen Mix aus E3 und E5 im Tenant – ein gezielter Mix kann kosteneffizienter sein, erfordert aber genaues Planen, wer welche Features wirklich braucht. Wichtig ist, bei E3 vs. E5 genau hinzuschauen, was drin ist: Der Mehrwert von E5 liegt vor allem in Security und Compliance. Wer diese erweiterten Schutzmechanismen nicht nutzt, zahlt für E5 drauf, ohne Nutzen zu ziehen.
Praxisbeispiel: Viel investiert, wenig genutzt
Stellen wir uns folgendes Szenario vor: Die Müller GmbH entscheidet sich nach einigen Phishing-Vorfällen, in Microsofts Top-Lizenz zu investieren – Microsoft 365 E5 für alle 300 Mitarbeiter. Man möchte „auf Nummer sicher gehen“ und nimmt an, dass damit die Security-Probleme gelöst sind. Ein Jahr später fällt im Security-Audit auf: Zwar bezahlen sie jeden Monat eine hohe Summe für E5, doch zentrale Sicherheitsfeatures wurden nie eingerichtet. Es gibt keine Conditional Access Richtlinien – einige Benutzer (inkl. ein paar mit erhöhten Rechten) melden sich weiterhin nur mit Benutzername+Passwort an. MFA wurde nur für VPN-Zugriffe aktiviert, nicht generell. Defender for Endpoint P2 ist lizenziert, aber die Clients wurden nie onboarded – auf den PCs läuft im Grunde weiterhin nur der Standard-Windows-Defender ohne zentrales Monitoring. PIM für Admin-Konten? Wurde nicht konfiguriert, alle Administratoren arbeiten nach wie vor mit permanenten Global-Admin-Rechten. Die Folge: Trotz teuer erkaufter E5-Suite ist der Sicherheitszustand der Müller GmbH fast so lückenhaft wie zuvor. Die Investition verpufft und wiegt doppelt schwer – einmal in unnötigen Lizenzkosten und zum anderen in verpasster Risikominimierung.
Dieses Beispiel ist kein Einzelfall. Untersuchungen zeigen, dass in größeren Unternehmen oft ein erheblicher Teil gekaufter E5-Lizenzen ungenutzt bleibt – in einer Studie waren 23 % der E5-Lizenzen sogar gänzlich inaktiv oder unzugewiesen (Shelfware). Hier bezahlt man für Benutzer, die gar nicht vorhanden sind oder die die bereitgestellten Tools nicht verwenden. Sicherheitslücken bleiben bestehen, während die Kosten steigen. Die Lehre daraus: Es reicht nicht, in Lizenzen zu investieren – man muss auch in die tatsächliche Nutzung und Umsetzung der Funktionen investieren.
Empfehlung: Lizenz-Audit und strategische Planung
Wie kann man solche Situationen vermeiden? Mein Tipp: Führt ein Lizenz-Audit durch – am besten regelmäßig. Dabei sollte man zwei Dinge herausarbeiten:
Kosten senken: Wo werden Lizenzen bezahlt, die niemand nutzt? Vielleicht haben Mitarbeiter E5, die keinerlei E5-Features brauchen (z. B. reine Sachbearbeiter ohne besondere Rechte). Solche Fälle bieten Einsparpotenzial durch Downgrade oder Umlizenzierung. Manche Unternehmen entdecken durch ein Audit Einsparungen von tausenden Euro pro Jahr, einfach durch das Reduzieren überflüssiger Lizenzen.
Security verbessern: Nutzt du alle Features, die du bereits bezahlt hast? Oft schlummern in den vorhandenen Lizenzen ungenutzte Sicherheitsfunktionen. Beispiel: Entra ID P1 ist in E3 enthalten – doch sind Conditional Access und MFA konsequent aktiviert? Business Premium enthält Intune – wird es auch für Geräteschutz eingesetzt, oder kauft man parallel teure Drittanbieter-Tools? Ein Audit deckt solche Lücken auf. Durch das Aktivieren bereits lizenzierter Funktionen steigert man die Sicherheit, ohne zusätzliche Kosten.
Im Idealfall geht Lizenz-Optimierung Hand in Hand mit Sicherheitsstrategie: Überlege, wo du in 1–2 Jahren sicherheitstechnisch stehen willst, und plane die Lizenzierung entsprechend. Brauchst du perspektivisch PIM und tiefgreifende Threat Detection, lohnt sich der Fahrplan Richtung P2/E5 – aber dann plane auch die Einführung dieser Tools! Möchtest du vorerst „nur“ MFA und Basis-Geräteschutz, kommst du evtl. mit P1/E3 und gezielten Add-ons aus. Wichtig ist, die Lizenzentscheidung mit der IT-Strategie abzustimmen. So vermeidest du sowohl Unterlizenzierung (es fehlt an wichtigen Funktionen) als auch Überlizenzierung (teure Pakete, die brachliegen).
Fazit und Ausblick
Microsoft-Lizenzen sind kein lästiger Verwaltungsakt, sondern ein zentraler Baustein deiner Sicherheitsarchitektur – quasi deine digitale Brandmauer. Wer ihre Bedeutung unterschätzt, zahlt doppelt: einmal für ungenutzte Funktionen und später womöglich ein zweites Mal durch einen Security-Incident, der mit den richtigen Tools vermeidbar gewesen wäre. Die Lizenzwahl bestimmt, welche Technologien du einsetzen kannst; dein Job ist es, diese Möglichkeiten auch auszuschöpfen.
Der Weg zu optimaler Lizenznutzung führt über Aufklärung und Strategie. Kenn deine Optionen, kenne deinen Bedarf – und bring beides in Einklang. Oft hilft der Blick von außen: eine unabhängige Lizenzberatung oder ein Security Assessment zeigt schnell, wo Lücken oder Überschüsse bestehen.
Zum Schluss noch ein Call-to-Action: Access Insights unterstützt dich genau dabei. Wir bieten Lizenzberatung, Security Assessments und komplette Entra Secure Pakete, damit deine Microsoft-Umgebung sowohl kosteneffizient lizenziert als auch bestmöglich abgesichert ist. Melde dich gerne für ein Lizenz-Audit oder ein Gespräch über deine Security-Roadmap – gemeinsam machen wir aus deinen Lizenzen eine echte Erfolgsstory.
Quellen
Microsoft Entra ID P1 vs. P2 – Feature-Überblick: Unterschiede in Conditional Access, Identity Protection und PIMsikich.com learn.microsoft.com
Microsoft Defender for Endpoint Plan 1 vs. 2: Erweiterte EDR/XDR-Funktionen in Plan 2 gegenüber Plan 1 fellowmind.com
Microsoft 365 E3 vs. E5 – Security-Vergleich: E3-Basisschutz vs. E5-Advanced Security (EDR, Identity Protection, Insider Risk) infinitygroup.co.uk
Multi-Faktor-Authentifizierung – kein Allheilmittel: MFA ist unerlässlich, aber weitere Maßnahmen sind nötig (MFA Fatigue, Zero Trust) computerweekly.com
Lizenzausnutzung und “Shelfware”: Studie über ungenutzte E5-Lizenzen (CoreView/Gartner) colligo.com