Microsoft 365 steckt voller Einstellungen und die meisten davon werden per Klick verwaltet, ohne Dokumentation und ohne Versionierung. Was lange funktioniert, wird irgendwann zum Problem. Erst wenn niemand mehr erklären kann, warum eine Zugriffsregel plötzlich eine ganze Abteilung aussperrt, wird das Problem sichtbar. Infrastructure as Code löst genau das und Microsoft liefert dafür seit Januar 2026 endlich eine eigene Antwort. Auch wenn sie noch in den Kinderschuhen steckt.
ClickOps
Eine Einstellung in Microsoft 365 schnell im Admin-Center angepasst, gut gemeint, nie dokumentiert. Drei Monate später weiss niemand mehr, dass sie existiert. Wenn dann etwas schiefläuft, beginnt die Detektivarbeit in Audit-Logs. Das ist ClickOps: Konfiguration per Mausklick, ohne Nachvollziehbarkeit, ohne Versionierung, ohne die Möglichkeit, den Zustand von gestern wiederherzustellen. Solange Konfiguration nicht wie Code behandelt wird, bleibt sie unsichtbar.
Infrastructure as Code
Der Gegenentwurf heisst Infrastructure as Code, kurz IaC. Infrastruktur wird als Code beschrieben, in Git gespeichert, überprüft und automatisiert ausgerollt. Jede Änderung hat einen Autor, einen Zeitstempel, eine Begründung. Was in der Cloud-Infrastruktur mit Tools wie Terraform längst Standard ist, fehlte im Microsoft-365-Umfeld lange komplett.
Terraform stösst bei Microsoft 365 (Teams, Exchange Online, SharePoint, Intune) an seine Grenzen. Hier geht es nicht um klassische Infrastruktur, sondern um SaaS-Konfigurationen mit Richtlinien, Berechtigungen und mandantenweite Einstellungen.
Das Open-Source-Projekt
Diese Lücke hat die Community seit 2018 mit Microsoft365DSC gefüllt. Die Ursprungsgeschichte des Projekts ist fast schon filmreif: Nick Shelaby, damals Microsoft Field Engineer, musste SharePoint-Farmen bei Kundeneinsätzen schnell analysieren und replizieren, am liebsten schon auf dem Hinflug. So entstand ein Tool, das die gesamte M365-Konfiguration extrahiert, speichert und wiederherstellt. Heute pflegt eine Community von über 100 Contributors das Projekt.
Der Haken: Microsoft365DSC ist PowerShell-only, hat eine steile Lernkurve und war nie offiziell von Microsoft supportet. Zwar wird das Projekt von Microsoft-Engineers geführt, ein offizielles Produkt mit Microsoft-Support war es aber nie.
Microsofts eigene Antwort: vielversprechend, aber noch früh
Seit dem 27. Januar 2026 gibt es die Tenant Configuration Management APIs (kurz TCM). Das Grundprinzip: Man exportiert den aktuellen Konfigurationszustand als JSON-Datei, legt sie als Baseline ab und lässt einen Monitor laufen, der alle sechs Stunden prüft, ob die Live-Konfiguration noch damit übereinstimmt. Weicht etwas ab, wird das als «Drift» gemeldet und falls konfiguriert automatisch zurückgerollt.
Das ist ein erster, wichtiger Schritt, aber man sollte die Erwartungen richtig setzen. Wer hofft, M365-Konfiguration damit wie Applikationscode über Git-Commits nachzuvollziehen und Änderungen über Branches und Merges zu deployen, ist noch nicht am Ziel. Wer die Änderung gemacht hat und warum, bleibt weiterhin eine Frage ans Audit-Log. Ein vollständiger DevOps-Betrieb, wie man ihn aus der Softwareentwicklung kennt, ist noch nicht möglich.
Dazu kommen konkrete Einschränkungen: SharePoint Online und OneDrive werden noch nicht abgedeckt, und neue Richtlinien, die nicht in der Baseline stehen, bleiben unsichtbar.
Trotzdem legt TCM die Basis. Konfiguration als JSON zu exportieren und Baselines zu definiere ist die Grundlage, auf der ein sauberer Betrieb aufgebaut werden kann. Die logische Weiterentwicklung wäre ein vollständig DevOps-getriebener Ansatz. Konfigurationsänderungen nur noch über Pull Requests und automatische Deployments zu machen und so ClickOps als Ausnahme und nicht als Norm durchzusetzen. Ob TCM diesen Weg konsequent zu Ende geht, wird sich zeigen.
Was das alles bedeutet
Terraform bleibt das richtige Werkzeug für klassische Cloud-Infrastruktur. Für Microsoft 365 braucht es einen anderen Ansatz und Microsoft liefert ihn nun erstmals selbst. Wer heute beginnt, seinen Tenant als Code zu verwalten, baut eine Grundlage, die sich auszahlt. TCM ist noch nicht fertig, aber es ist der erste Schritt, auf den viele lange gewartet haben.
Dieser Blogbeitrag und die verwendeten Bilder wurden durch Unterstützung einer Künstlichen Intelligenz (KI) erstellt.
