SSO einrichten
SSO verbindet Guard.ch mit den Microsoft-Arbeitskonten, die dein Team ohnehin schon nutzt: Ein gemeinsamer Link genügt, und alle landen direkt im richtigen Workspace. Diese Anleitung zeigt der Reihe nach die Einrichtung in Microsoft Entra und in Guard.ch, den Test und den Rollout im Team.
Der Einrichtungs-Assistent im Dashboard führt in etwa zehn Minuten durch die SSO-Einrichtung, und für viele Teams reicht genau das. Diese Seite ist die lange Version desselben Assistenten, mit denselben vier Schritten. Hier ist aber Platz, um jedes Detail zu erklären: was jeder Wert bedeutet, was jede Einstellung bewirkt, was jede Fehlermeldung tatsächlich heisst. Technisches Vorwissen brauchst du keines. Wer ein Rezept befolgen kann, richtet auch SSO ein.
Zwei Fakten vorweg. SSO bei Guard.ch funktioniert mit Microsoft Entra ID, dem Anmeldedienst hinter Microsoft 365. Viele kennen es noch unter dem alten Namen Azure Active Directory. Und es ist eine Team-Funktion, die einen Workspace-Plan mit mehr als einem Platz voraussetzt; einrichten kann sie nur der Manager.
Alternative: Microsoft-Auto-Join
Bevor du in Microsoft irgendetwas anlegst: Soll dein Team einfach nur automatisch mit dem Microsoft-Arbeitskonto im Workspace landen? Dann brauchst du diese Anleitung gar nicht. Schalte Microsoft-Auto-Join in den Workspace-Einstellungen ein, mehr braucht es nicht.
So funktioniert es: Eine Microsoft-Anmeldung verrät Guard.ch immer, zu welcher Organisation, dem Entra-Mandanten, das Konto gehört. Meldest du dich als Manager einmal selbst mit Microsoft an, merkt sich Guard.ch diese Organisation, und ein Klick genügt, um sie für den Workspace zu beanspruchen. Von da an wird jede Person, die sich aus dieser Organisation anmeldet, automatisch Mitglied: solange ein Platz frei ist, nie als Manager, ohne dass sich am Abo etwas ändert. Zu tippen oder in Microsoft zu konfigurieren gibt es dabei nichts; sicher ist das gerade deshalb, weil nur beanspruchen kann, wer sich tatsächlich aus deiner Organisation angemeldet hat.
Vollständiges SSO, das Thema dieser Anleitung, ergänzt genau das, was Auto-Join bewusst auslässt: einen gemeinsamen Anmeldelink fürs ganze Team, eine Anmeldung, die auf deinen Mandanten beschränkt bleibt, und einen Domain-Hinweis, der Microsofts Kontoauswahl überspringt. Beide laufen entspannt nebeneinander: Fang heute mit Auto-Join an, ergänze SSO später, wenn du den Rest brauchst.
Was SSO bewirkt
Ohne SSO legt sich jede Person im Team ein eigenes Guard.ch-Konto an, denkt sich ein weiteres Passwort aus und wartet, bis du sie zum Workspace hinzufügst. Mit SSO wird daraus ein einziger Weg:
- Eine Kollegin oder ein Kollege öffnet den Anmeldelink des Workspace, etwa
guard.ch/sso?workspace=acme. - Guard.ch leitet diese Person zu Microsoft weiter, wo sie sich mit ihrem gewohnten Arbeitskonto anmeldet. Ist dort, wie im Arbeitsalltag üblich, schon eine Sitzung aktiv, passiert dieser Schritt ganz ohne Tastendruck.
- Microsoft bestätigt Guard.ch, wer sie ist, und sie landet angemeldet in deinem Workspace.
Das Passwort läuft nie über Guard.ch: Getippt wird es, wenn überhaupt, ausschliesslich auf Microsofts eigener Anmeldeseite. Guard.ch bekommt drei Dinge zurück: den Namen der Person, ihre E-Mail-Adresse und Microsofts Bestätigung, dass sie zu deiner Organisation gehört.
Bevor du beginnst
- Funktioniert mit
- Microsoft Entra ID, der Anmeldedienst von Microsoft 365
- Bei Guard.ch
- Workspace-Plan mit mehr als einem Platz, dazu die Rolle Manager
- Bei Microsoft
- Jemand, der Anwendungen registrieren darf, meist jemand aus der IT-Abteilung
- Zeit
- Rund zehn Minuten, plus ein Testlauf
- Kosten
- Keine. App-Registrierung ist in jedem Microsoft-Plan enthalten.
Auf der Guard.ch-Seite spielt sich alles an einem Ort ab: in deinen Workspace-Einstellungen, unter Erweiterte Optionen, im Abschnitt SSO. Halte diese Anleitung nebenbei offen: Die folgenden Kapitel entsprechen genau den vier Schritten des Assistenten.
Schritt 1: Anmeldelink benennen
Der Anmeldelink ist die Adresse, die dein Team öffnen wird, und der Name, den du wählst, wird ihr letztes Stück: guard.ch/sso?workspace=acme. Die Regeln sind kurz: 3 bis 50 Zeichen, Kleinbuchstaben, Ziffern und Bindestriche, und er darf nicht mit einem Bindestrich beginnen oder enden. Namen sind über ganz Guard.ch eindeutig. Ist ein anderer Workspace schneller, wirst du um einen anderen Namen gebeten, und eine Handvoll technischer Namen bleibt ohnehin reserviert.
Der Firmenname ist meist die richtige Wahl. Tippe ihn ein und speichere; der Assistent reserviert den Namen und zeigt den fertigen Link mit einer Kopieren-Schaltfläche daneben.
Schritt 2: Guard.ch in Microsoft Entra registrieren
Dieser Schritt spielt sich im Microsoft-Entra-Admin-Center ab, und was du dort tust, heisst bürokratisch App-Registrierung, meint aber etwas ganz Einfaches: Du trägst im Verzeichnis deiner Firma ein, dass diese Anwendung Personen anmelden darf. Der Assistent hat eine Schaltfläche, die dir die richtige Seite direkt öffnet; hier folgt derselbe Weg, nur ausführlicher.
- Öffne App-Registrierungen (im Admin Center unter Entra ID) und wähle Neue Registrierung. Gib der App einen Namen, den dein Team wiedererkennt, etwa Guard.ch Anmeldung. Der Name ist rein kosmetisch: Er taucht nur in deinen eigenen Admin-Listen und in Zustimmungsdialogen auf, sonst nirgends.
- Bei Unterstützte Kontotypen wählst du Nur Konten in diesem Organisationsverzeichnis (Single-Tenant), die Option fürs eigene Unternehmen: Nur Konten aus deiner eigenen Organisation, deinem Mandanten, können sich damit anmelden. Ältere Microsoft-Portale nennen dieselbe Option noch Accounts in this organizational directory only, ohne den Klammerzusatz.
- Klicke auf Registrieren. Microsoft legt die App an und öffnet die Seite Übersicht; dorthin kehrst du in Schritt 3 zurück.
- Öffne die Seite Authentifizierung der App und wähle Umleitungs-URI hinzufügen. Nimm als Plattform Web und füge den Anmeldelink genau so ein, wie der Assistent ihn zeigt, zum Beispiel
https://guard.ch/sso?workspace=acme. Bestätige mit Konfigurieren. (Ältere Portale bieten dasselbe Feld direkt im Registrierungsformular an: Redirect-URI.) - Öffne einmal API-Berechtigungen, nur um zu bestätigen, dass hier nichts zu tun ist: Die Standardeinstellungen decken schon genau das ab, was Guard.ch liest, Name und E-Mail-Adresse einer Person. Du fügst keine Berechtigung hinzu und erteilst keine Administratorzustimmung, und Guard.ch sieht weder E-Mails noch Dateien noch Kalender noch sonst etwas.
Schritt 3: die drei Werte in Guard.ch eintragen
Guard.ch muss jetzt wissen, mit welchem Verzeichnis und welcher App es spricht, und braucht ausserdem ein Mittel, sich auszuweisen. Das sind drei Werte. Die ersten beiden findest du zusammen auf der Seite Übersicht der App in Microsoft: die Verzeichnis-ID (Mandant), die das Verzeichnis deiner Firma identifiziert, und die Anwendungs-ID (Client-ID), die die eben registrierte App identifiziert. Beide sehen aus wie lange Blöcke aus Buchstaben und Ziffern; kopiere jeden Wert in das passende Feld im Assistenten.
Das Client Secret
Der dritte Wert ist das Client Secret: ein Passwort, das nicht du eintippst, sondern das Guard.ch im Hintergrund benutzt. Damit weist Guard.ch sich als die App aus, die du registriert hast. Es ist auch der Wert, über den die meisten stolpern. Geh hier also lieber langsam vor. Öffne in der App Zertifikate und geheime Schlüssel, wähle Neuer geheimer Clientschlüssel, gib eine Beschreibung und eine Gültigkeitsdauer an und bestätige. Danach zählen drei Dinge:
- Kopiere die Spalte Wert, nicht die Secret ID. Der Wert darunter ist das eigentliche Secret, die ID daneben nur sein Etikett. Das ist der häufigste Fehler in diesem Schritt: die ID statt des Werts einzufügen. Der Verbindungstest meldet dann ein ungültiges Secret.
- Kopiere den Wert sofort. Microsoft zeigt den Wert genau einmal an. Verlässt du die Seite, ist er für immer weg, aber das ist kein Beinbruch: Erstelle einfach ein neues Secret und kopiere dessen Wert.
- Das Secret läuft ab. Die Lebensdauer legst du bei der Erstellung fest, bis zu 24 Monate; die längste Option bedeutet die wenigsten Erneuerungen. Leg dir eine Erinnerung für die Woche davor: Die Erneuerung selbst dauert zwei Minuten und wird weiter unten unter Wartung beschrieben.
Füge das Secret in den Assistenten ein und speichere. Guard.ch verschlüsselt es vor dem Speichern und zeigt es danach nie wieder an, auch nicht dem Manager: Bearbeitest du die Konfiguration später, bedeutet ein leeres Secret-Feld einfach, dass der bestehende Wert erhalten bleibt.
Optionale Einstellungen
E-Mail-Domain
Optional, und reine Bequemlichkeit. Teilt sich das ganze Team eine E-Mail-Domain, trag sie ein (etwa acme.com), und zwei Dinge werden einfacher: Microsoft überspringt seine Kontoauswahl und geht direkt zur Anmeldung deiner Organisation, und das normale Guard.ch-Anmeldeformular bietet SSO von sich aus an, sobald jemand eine Adresse mit dieser Domain eintippt. Verteilt sich dein Team auf mehrere Domains, lass das Feld leer; die Anmeldung funktioniert genau gleich, nur mit einem zusätzlichen Klick in Microsofts Kontoauswahl.
Konten automatisch anlegen
Dieser Schalter entscheidet, was passiert, wenn jemand aus deiner Organisation deinen Link zum allerersten Mal öffnet. Standardmässig ist das eingeschaltet. Dann legt Guard.ch das Konto direkt an und nimmt die Person in den Workspace auf, ein Platz wird belegt. Dein Team richtet sich damit selbst ein, sobald du den Link verschickt hast.
Ist der Schalter aus, lässt der Link nur Personen durch, die schon ein Guard.ch-Konto in deinem Workspace haben. Alle anderen sehen: «Dein Konto wurde nicht gefunden.» Wähle das, wenn du selbst entscheiden willst, wer einen Platz bekommt, oder wenn Plätze knapp sind und du sie nicht nach dem Windhundprinzip vergeben willst.
Schritt 4, optional: Anmeldung einschränken
Ohne weitere Einschränkung kann jede Person mit einem Konto im Verzeichnis deiner Organisation den Link nutzen (jede neue Person braucht trotzdem einen freien Platz). Soll Guard.ch nur einem Sicherheitsteam oder einer handverlesenen Gruppe offenstehen, schränkst du das auf der Microsoft-Seite ein, im selben Admin-Center:
- Gehe zu Entra ID › Unternehmensanwendungen (ältere Admin Center listen das unter Identity › Applications › Enterprise applications) und öffne die App, die du registriert hast; sie trägt denselben Namen.
- Stelle im Tab Eigenschaften den Schalter Zuweisung erforderlich? auf Ja und speichere.
- Wähle unter Benutzer und Gruppen Benutzer/Gruppe hinzufügen und weise die Personen oder Gruppen zu, die Zugriff haben sollen.
Die Einrichtung testen
Zurück im Assistenten zeigt die fertige Konfiguration die Schaltfläche Verbindung testen, die live prüft, ob die Verbindung zu Microsoft steht, ohne dass sich dabei jemand anmeldet: Existiert das Verzeichnis, ist die App dort bekannt, öffnet das Secret die Tür. Schlägt sie fehl, nennt sie den Übeltäter:
- Ungültige Verzeichnis-ID (Mandant) Microsoft kennt kein Verzeichnis unter dieser ID. Kopiere die Verzeichnis-ID (Mandant) erneut von der Seite Übersicht der App; dabei erwischst du leicht den falschen Nachbarwert.
- Ungültige Anwendungs-ID (Client-ID) Das Verzeichnis existiert, aber keine App darin trägt diese ID. Kopiere die Anwendungs-ID (Client-ID) erneut, und vergewissere dich, dass die App im selben Verzeichnis registriert wurde, auf das deine Verzeichnis-ID (Mandant) zeigt.
- Ungültiges Client Secret In neun von zehn Fällen wurde dabei die Secret ID eingefügt, wo der Wert hingehört. Erstelle unter Zertifikate und geheime Schlüssel ein neues Secret und kopiere diesmal die Spalte Wert.
- Client Secret ist abgelaufen Die Lebensdauer des Secrets ist abgelaufen. Erstelle ein neues und füge es in den Assistenten ein, alles andere bleibt unverändert.
- Verbindung zu Microsoft Entra ID fehlgeschlagen Die Verbindung zu Microsoft kam nicht zustande. Meist ein kurzer Aussetzer, der beim erneuten Versuch verschwindet; bleibt er bestehen, prüfe die Verzeichnis-ID (Mandant) noch einmal, eine fehlerhafte erzeugt dasselbe Symptom.
Besteht der Test, folgt ein einziger echter Durchlauf: Öffne deinen Anmeldelink in einem privaten Browserfenster und melde dich mit deinem eigenen Arbeitskonto an. Das private Fenster ist wichtig, weil dein normaler Browser vermutlich schon überall angemeldet ist und die interessanten Stellen einfach überspringen würde. Landest du im Dashboard, ist die Einrichtung fertig.
Rollout im Team
Der Rollout ist der angenehme Teil: Du teilst den Link. Stell ihn ins Intranet, pinn ihn im Team-Chat an, leg ihn als Browser-Lesezeichen ab. Wer ihn öffnet, wird zu Microsoft geschickt, ist dort oft schon angemeldet und landet direkt im Workspace. Es gibt nichts zu installieren und keine Einladungs-E-Mail, auf die du warten müsstest.
Nutzt das Team die Guard.ch-Erweiterung auf verwalteten Firmengeräten, kann die IT den Anmeldenamen des Workspace direkt mitschicken. Die Erweiterung leitet Anmeldungen dann von sich aus über SSO, wo möglich völlig lautlos: Wer im Browser bereits bei Microsoft angemeldet ist, sieht überhaupt kein Anmeldeformular. Braucht Microsoft doch einen menschlichen Moment, etwa für die Multi-Faktor-Authentifizierung, tritt der stille Versuch zurück, und die gewohnte, interaktive Anmeldung übernimmt.
Jedes Mitglied belegt einen Platz deines Plans, egal auf welchem Weg es dazugekommen ist. Wer welchen Platz hält, siehst und verwaltest du in der Mitgliederliste deiner Workspace-Einstellungen.
Fehlerbehebung
Meldungen zu Anmeldeproblemen kommen aus zwei Quellen. Meldungen auf der Guard.ch-Anmeldeseite stammen von Guard.ch selbst. Fehlerseiten auf microsoftonline.com kommen von Microsoft und tragen immer einen Code, der mit AADSTS beginnt. Beide Arten stehen hier, jede mit ihrer Lösung.
Meldungen von Guard.ch
«SSO ist nicht verfügbar.» Die Adresse führt zu keiner aktiven SSO-Einrichtung. Fast immer steckt einer von drei Gründen dahinter: ein Tippfehler im Link (oder ein altes Lesezeichen von vor einer Umbenennung), eine entfernte SSO-Konfiguration, oder ein Workspace ohne Plan für mehrere Plätze.
«SSO für diesen Workspace ist noch nicht vollständig eingerichtet.» Die Einrichtung wurde begonnen, der Linkname existiert, aber die Microsoft-Zugangsdaten wurden nie gespeichert. Wer den Workspace verwaltet, muss noch Schritt 3 abschliessen.
«Dein Konto wurde nicht gefunden.» Die automatische Kontoerstellung ist ausgeschaltet, und diese Person hat noch kein Guard.ch-Konto im Workspace. Entweder du fügst sie zuerst hinzu, oder du schaltest Konten automatisch anlegen ein.
«Der Workspace hat die maximale Kapazität erreicht.» Die Anmeldung selbst hat geklappt, aber alle Plätze sind belegt: für die neue Person war keiner mehr frei. Mach einen Platz frei, indem du ein Mitglied entfernst, oder erweitere den Plan, dann meldet sich die Person einfach erneut an.
«Dieses Konto gehört bereits zu einem anderen Workspace.» Ein Guard.ch-Konto gehört immer nur zu einem Workspace gleichzeitig, und unter dieser E-Mail-Adresse gehört es schon zu einem anderen. Erst verlässt die Person diesen Workspace (oder wird von dessen Manager entfernt), danach klappt die Anmeldung.
«Dein Konto wurde deaktiviert.» Das Konto wurde auf Guard.ch-Seite deaktiviert. Das ist kein SSO-Problem; wende dich an den Support.
«Die Anmeldung bei Microsoft ist fehlgeschlagen.» Der Handschlag zwischen Guard.ch und Microsoft ist mittendrin abgebrochen, meist wegen eines alten, halbfertigen Versuchs in einem anderen Tab. Schliesse den Tab, öffne den Anmeldelink neu, meist klappt es dann. Ein Browser, der jegliche Website-Daten blockiert, kann das ebenfalls auslösen, weil die Anmeldung ein einmaliges Sicherheitstoken im Tab hält, während sie zu Microsoft geht und zurückkommt.
Fehlercodes von Microsoft
AADSTS50011 Weiterleitungsadresse stimmt nicht überein. Die in Schritt 2 hinterlegte Adresse stimmt nicht exakt mit deinem Anmeldelink überein. Öffne die Seite Authentifizierung der App im Admin Center und gleiche die Weiterleitungsadresse Zeichen für Zeichen an, https und den Workspace-Namen eingeschlossen. Dieselbe Meldung triffst du auch, wenn du den Link umbenannt hast, ohne Microsoft anzupassen.
AADSTS700016 Anwendung nicht gefunden. Im Verzeichnis existiert keine App unter deiner Anwendungs-ID (Client-ID). Entweder wurde die ID falsch kopiert, oder die App wurde in einem anderen Verzeichnis registriert, als deine Verzeichnis-ID (Mandant) angibt. Vergleiche beide Werte mit der Seite Übersicht der App.
AADSTS7000215 Ungültiges Client Secret. Derselbe Übeltäter wie beim fehlgeschlagenen Verbindungstest: Das gespeicherte Secret ist falsch oder abgelaufen, meist weil die Secret ID statt des Werts eingefügt wurde. Erstelle ein neues Secret und speichere seinen Wert in Schritt 3 des Assistenten.
AADSTS50105 Benutzer nicht zugewiesen. Zuweisung erforderlich steht auf Ja, und diese Person steht nicht auf der Liste. Füge sie oder ihre Gruppe unter Benutzer und Gruppen in der Unternehmensanwendung hinzu.
AADSTS90094 Administratorzustimmung erforderlich. Manchmal auch als «Approval required» formuliert. Deine Organisation verlangt Administratorzustimmung selbst für einfache Anmeldeberechtigungen. Eine Administratorin oder ein Administrator öffnet die App unter Unternehmensanwendungen und erteilt die Zustimmung einmal für die ganze Organisation; danach verschwindet der Hinweis für alle.
Wartung
Eine fertige SSO-Einrichtung läuft grösstenteils von allein. Vier Situationen klopfen irgendwann an:
Das Secret läuft ab
Irgendwann melden der Verbindungstest und jede Anmeldung ein abgelaufenes Secret. Die Erneuerung ist unspektakulär: Erstelle auf der Seite Zertifikate und geheime Schlüssel der App ein neues Client Secret. Öffne im Dashboard den SSO-Bereich, wechsle in die Bearbeitung und gehe weiter bis zum Schritt mit den Zugangsdaten. Füge den neuen Wert ins Secret-Feld ein und speichere. Alle anderen Felder bleiben unverändert. Keine laufende Sitzung wird dadurch unterbrochen. Das Secret kommt nur im Moment der Anmeldung selbst zum Einsatz.
Jemand verlässt die Firma
Das Offboarding passiert an zwei Stellen. Wird das Microsoft-Konto der Person deaktiviert, was die IT ohnehin macht, schliesst das die SSO-Tür: Microsoft bürgt einfach nicht mehr für sie, also kommt sie nicht mehr rein. Ihr Platz im Workspace bleibt trotzdem belegt, bis du sie aus der Mitgliederliste entfernst. Erledige beides, dann ist der Platz frei für die nächste Person.
Der Link muss sich ändern
Firma umbenannt? Bearbeite die SSO-Konfiguration, ändere den Namen in Schritt 1 und aktualisiere sofort auch die Weiterleitungsadresse in der Microsoft-App; bis du das tust, scheitert jede Anmeldung am Weiterleitungsfehler. Sag danach dem Team Bescheid, und rechne mit ein paar Wochen, in denen einzelne noch auf das inzwischen tote alte Lesezeichen stossen.
SSO ausschalten
Entfernen löscht die Konfiguration, und der Link funktioniert sofort nicht mehr. Sonst bleibt alles unangetastet: Konten, Workspace-Mitgliedschaft und alle bisherigen Untersuchungen bleiben erhalten. Dein Team meldet sich von da an einfach anders an, über den E-Mail-Code im normalen Anmeldeformular, und du kannst SSO jederzeit wieder einrichten.
Sicherheit
- Passwörter berühren Guard.ch nie. Getippt werden sie, wenn überhaupt, auf Microsofts eigener Seite.
- Guard.ch bekommt Name und E-Mail-Adresse einer Person, sonst nichts. Keine E-Mails, keine Dateien, kein Kalender.
- Das Client Secret wird vor dem Speichern verschlüsselt: Schreiben lässt es sich, auslesen nie wieder, auch nicht von dir.
- Jeder Anmeldevorgang trägt ein signiertes Einmal-Token; gefälschte oder wiederholte Anmeldeversuche werden abgewiesen.
- Deine Microsoft-Sicherheitsrichtlinien gelten weiter: Multi-Faktor-Authentifizierung, Geräteregeln und bedingter Zugriff kontrollieren Guard.ch genau wie jede andere Firmenanwendung.
Nächste Schritte
Das ist das ganze System: eine Registrierung bei Microsoft, drei Werte im Dashboard, ein Link, den dein Team für immer behalten kann. Öffne deine Workspace-Einstellungen, um es einzurichten, und soll das Team auch per Rechtsklick direkt eine Untersuchung starten können, sind die Browser-Erweiterungen der natürliche nächste Schritt.