Konfigurieren des Unternehmensbrandings

Schaffen Sie ein einheitliches Erscheinungsbild für die Benutzeranmeldung bei den webbasierten Apps Ihrer Organisation, die Azure Active Directory (Azure AD) als Identitätsanbieter nutzen, wie z. B. Microsoft 365. Der Anmeldevorgang kann Ihr Firmenlogo und benutzerdefinierte Funktionen auf Grundlage der Browsersprache enthalten.

Lizenzanforderungen

Für das Hinzufügen eines benutzerdefinierten Brandings und zum Konfigurieren der Option „Angemeldet bleiben“ wird eine der folgenden Lizenzen benötigt:

  • Azure AD Premium 1
  • Azure AD Premium 2
  • Office 365 (für Office-Apps)
  • Microsoft 365 (nur Option „Angemeldet bleiben“)

Die Azure AD Premium-Editionen stehen für Kunden in China zur Verfügung, die mit der weltweit verfügbaren Instanz von Azure AD arbeiten. Allerdings werden die Azure AD Premium-Editionen derzeit nicht durch den Azure-Dienst unterstützt, der in China von 21Vianet betrieben wird. Weitere Informationen zu Lizenzierung und Editionen finden Sie unter Registrieren für Azure AD Premium.

Anpassen der standardmäßigen Anmeldeoberfläche

Sie können die Anmeldeoberfläche für Benutzer anpassen, wenn diese sich bei mandantenspezifischen Apps Ihrer Organisation anmelden, z. B. https://outlook.com/woodgrove.com, oder wenn eine Domänenvariable übergeben wird, z. B. https://passwordreset.microsoftonline.com/?whr=woodgrove.com.

Das benutzerdefinierte Branding wird nach der Anmeldung der Benutzer angezeigt. Benutzer, die den Anmeldevorgang auf einer Website wie www.office.com einleiten, sehen das Branding nicht. Nachdem sich die Benutzer angemeldet haben, kann es 15 Minuten oder länger dauern, bis das Branding angezeigt wird.

Alle Brandingelemente sind optional. Die Standardeinstellungen werden beibehalten, wenn sie nicht geändert werden. Wenn Sie beispielsweise ein Bannerlogo, aber kein Hintergrundbild angeben, wird auf der Anmeldeseite Ihr Logo mit einem Standardhintergrundbild der Zielwebsite (z. B. Microsoft 365) angezeigt. Darüber hinaus wird das Branding von Anmeldeseiten nicht für persönliche Microsoft-Konten übernommen. Wenn sich Ihre Benutzer oder Gäste mit einem persönlichen Microsoft-Konto anmelden, wird auf der Anmeldeseite das Branding Ihrer Organisation nicht angezeigt.

Für Bilder gelten verschiedene Bild- und Dateigrößenanforderungen. Beachten Sie die Anforderungen für jede Option. Möglicherweise müssen Sie ein Bildbearbeitungsprogramm verwenden, um die Bilder in der richtigen Größe zu erstellen. Der bevorzugte Bildtyp für alle Bilder ist PNG, JPG wird aber ebenfalls akzeptiert.

  1. Melden Sie sich mit dem Konto eines globalen Administrators für das Verzeichnis beim Azure-Portal an.

  2. Wechseln Sie zu Azure Active Directory>Unternehmensbranding>Konfigurieren.

  3. Geben Sie auf der Seite Unternehmensbranding konfigurieren einige oder alle der folgenden Informationen an.

    Seite „Unternehmensbranding konfigurieren“ mit ausgefüllten allgemeinen Einstellungen

    • Sprache Die Sprache für Ihr erstes benutzerdefiniertes Branding basiert auf Ihrem Standardgebietsschema und kann nicht geändert werden. Sobald eine standardmäßige Anmeldeoberfläche erstellt wurde, können Sie ein sprachspezifisches benutzerdefiniertes Branding hinzufügen.

    • Hintergrundbild für Anmeldeseite Wählen Sie eine PNG- oder JPG-Bilddatei aus, die als Hintergrund für Ihre Anmeldeseiten angezeigt werden soll. Das Bild wird in der Mitte des Browsers verankert und auf die Größe des sichtbaren Bereichs skaliert.

      Es wird empfohlen, Bilder zu verwenden, in denen der Fokus nicht auf einem bestimmten Motiv liegt. In der Mitte des Bildschirms erscheint ein undurchsichtiges weißes Feld, das je nach Abmessungen des sichtbaren Bereichs einen beliebigen Teil des Bildes verdecken kann.

    • Bannerlogo Wählen Sie eine PNG- oder JPG-Version Ihres Logos aus. Dieses erscheint auf der Anmeldeseite, nachdem der Benutzer einen Benutzernamen eingegeben hat, und auf der Portalseite Meine Apps.

      Wir empfehlen die Verwendung eines transparenten Bilds, da der Hintergrund möglicherweise nicht mit dem Hintergrund Ihres Logos übereinstimmt. Wir empfehlen ferner, um das Bild herum keine Auffüllung vorzunehmen, da Ihr Logo sonst klein wirken könnte.

    • Benutzernamenhinweis Geben Sie den Hinweistext ein, der Benutzern angezeigt wird, wenn sie ihren Benutzernamen vergessen haben. Dieser Text muss im Unicode-Format sein, darf keine Links oder Code enthalten und darf maximal 64 Zeichen lang sein. Wenn sich Gäste bei Ihrer App anmelden, wird empfohlen, diesen Hinweis nicht hinzuzufügen.

    • Text für die Anmeldeseite Geben Sie den Text ein, der am unteren Rand der Anmeldeseite angezeigt wird. Sie können diesen Text verwenden, um zusätzliche Informationen, wie z.B. die Telefonnummer Ihres Helpdesks oder einen rechtlichen Hinweis, zu kommunizieren. Dieser Text muss im Unicode-Format vorliegen und darf 1024 Zeichen nicht überschreiten.

      Um einen neuen Absatz zu beginnen, verwenden Sie zweimal die EINGABETASTE. Sie können den Text auch so ändern, dass fette und kursive Formatierungen, ein Unterstrich oder ein klickbarer Link enthalten sind. Verwenden Sie die folgende Syntax, um eine Textformatierung hinzuzufügen:

      Hyperlink: [text](link)

      Fett: **text** oder __text__

      Kursiv: *text* oder _text_

      Unterstrich: ++text++

    Wichtig

    Links, die dem Text der Anmeldeseite hinzugefügt werden, werden in nativen Umgebungen (z. B. in Desktop- und mobilen Anwendungen) als Text dargestellt.

  • Erweiterte Einstellungen

    Seite „Unternehmensbranding konfigurieren“ mit ausgefüllten erweiterten Einstellungen

    • Hintergrundfarbe der Anmeldeseite Geben Sie die Hexadezimalfarbe an (z. B. ist Weiß = #FFFFFF), die in Situationen mit niedriger Bandbreite anstelle Ihres Hintergrundbilds angezeigt werden soll. Wir empfehlen, dass Sie die primäre Farbe Ihres Bannerlogos oder die Farbe Ihrer Organisation verwenden.

    • Bild für quadratisches Logo Wählen Sie ein PNG- (bevorzugt) oder JPG-Bild des Logos Ihrer Organisation aus, das Benutzern während des Installationsprozesses für neue Windows 10 Enterprise-Geräte angezeigt werden soll. Dieses Bild wird nur für die Windows-Authentifizierung verwendet und wird nur auf Mandanten angezeigt, die Windows Autopilot für die Bereitstellung oder für Kennworteingabeseiten in anderen Windows 10-Erfahrungen verwenden. In einigen Fällen kann es auch im Zustimmungsdialogfeld angezeigt werden.

      Wir empfehlen, ein transparentes Bild zu verwenden, weil der Hintergrund unter Umständen nicht mit Ihrem Logohintergrund übereinstimmt. Wir empfehlen ferner, um das Bild herum keine Auffüllung vorzunehmen, da Ihr Logo sonst klein wirken könnte.

    • Bild für quadratisches Logo, dunkles Design Identisch mit dem Bild für das quadratisches Logo von oben. Dieses Logobild ersetzt das Bild für quadratisches Logo, wenn ein dunkler Hintergrund verwendet wird, z. B. bei Windows 10 Azure AD Join-Bildschirmen auf der Windows-Willkommensseite. Wenn Ihr Logo auf weißen, dunkelblauen und schwarzen Hintergründen gut aussieht, müssen Sie dieses Bild nicht hinzufügen.

    Wichtig

    Transparente Logos werden beim Bild für quadratisches Logo unterstützt. Die im transparenten Logo verwendete Farbpalette kann jedoch mit Hintergründen (z. B. weiß, hellgrau, dunkelgrau und schwarz) in Microsoft 365-Apps und -Diensten in Konflikt stehen, die das Bild für das quadratische Logo verwenden. Unter Umständen müssen Hintergründe in Volltonfarben verwendet werden, um sicherzustellen, dass das Quadratbildlogo in allen Situationen ordnungsgemäß gerendert wird.

    • Option „Angemeldet bleiben“ anzeigen Sie können festlegen, dass Ihre Benutzer bei Azure AD angemeldet bleiben, bis sie sich explizit abmelden. Wenn Sie diese Option deaktivieren, müssen sich die Benutzer jedes Mal anmelden, wenn der Browser geschlossen und erneut geöffnet wird. Diese Funktion wird im Abschnitt Weitere Informationen zur Option „Angemeldet bleiben?“ dieses Artikels ausführlich behandelt.
  1. Nachdem Sie Ihr Branding hinzugefügt haben, wählen Sie in der oberen linken Ecke des Konfigurationsfensters Speichern aus.

    Wird in diesem Vorgang Ihre erste benutzerdefinierte Brandingkonfiguration erstellt, wird sie als Standard für Ihren Mandanten definiert. Die benutzerdefinierte Standardbrandingkonfiguration dient als Fallbackoption für alle sprachspezifischen Brandingkonfigurationen. Die Konfiguration kann nach der Erstellung nicht mehr entfernt werden.

    Wichtig

    Um Ihrem Mandanten weitere Unternehmensbrandingkonfigurationen hinzuzufügen, müssen Sie Neue Sprache auf der Seite Contoso – Unternehmensbranding auswählen. Hierdurch wird die Seite Unternehmensbranding konfigurieren geöffnet, auf der Sie dieselben Schritte wie oben ausführen können.

Anpassen der Anmeldeoberfläche nach Browsersprache

Um all Ihren Benutzern ein inklusives Erlebnis zu bieten, können Sie die Anmeldung auf Grundlage der Browsersprache anpassen. Bevor Sie eine neue Sprache hinzufügen können, müssen Sie ein standardmäßiges benutzerdefiniertes Branding erstellen.

  1. Melden Sie sich mit dem Konto eines globalen Administrators für das Verzeichnis beim Azure-Portal an.

  2. Wählen Sie Azure Active Directory>Unternehmensbranding>+ Neue Sprache aus.

Das Verfahren zum Anpassen des Benutzererlebnisses ist mit dem für die standardmäßige Anmeldeoberfläche identisch, abgesehen davon, dass Sie eine Sprache aus der Dropdownliste auswählen.

Es wird empfohlen, den Text für die Anmeldeseite in der ausgewählten Sprache hinzuzufügen.

Bearbeiten des benutzerdefinierten Brandings

Wenn Sie ein benutzerdefiniertes Branding für Ihren Mandanten hinzugefügt haben, können Sie die bereits angegebenen Details bearbeiten. Einzelheiten und Beschreibungen zu den einzelnen Einstellungen finden Sie im Abschnitt Hinzufügen eines benutzerdefinierten Brandings in diesem Artikel.

  1. Melden Sie sich mit dem Konto eines globalen Administrators für das Verzeichnis beim Azure-Portal an.

  2. Wechseln Sie zu Azure Active Directory>Unternehmensbranding.

  3. Wählen Sie ein benutzerdefiniertes Brandingelement aus der Liste aus.

  4. Bearbeiten Sie auf der Seite Unternehmensbranding bearbeiten alle erforderlichen Details.

  5. Wählen Sie Speichern aus.

    Es kann bis zu einer Stunde dauern, bis Änderungen übernommen werden, die Sie am Branding der Anmeldeseite vorgenommen haben.

Weitere Informationen zur Option „Angemeldet bleiben?“ prompt

Die Eingabeaufforderung Angemeldet bleiben? wird angezeigt, nachdem sich ein Benutzer erfolgreich angemeldet hat. Dieser Prozess wird auch als KMSI (Keep me signed in) bezeichnet. Wenn ein Benutzer diese Eingabeaufforderung mit Ja beantwortet, erhält er vom KMSI-Dienst ein permanentes Aktualisierungstoken. Bei Verbundmandanten wird die Eingabeaufforderung angezeigt, nachdem sich der Benutzer erfolgreich beim Verbundidentitätsdienst authentifiziert hat.

Das folgende Diagramm zeigt den Benutzeranmeldeflow für einen verwalteten Mandanten und einen Verbundmandanten mit Verwendung der Eingabeaufforderung „Angemeldet bleiben?“. Dieser Flow enthält intelligente Logik, sodass die Option Angemeldet bleiben? nicht angezeigt wird, wenn das Machine Learning-System eine Anmeldung mit hohem Risiko oder eine Anmeldung von einem gemeinsam genutzten Gerät erkennt.

KMSI ist nur für das standardmäßige benutzerdefinierte Branding verfügbar. Die Option nicht zu einem sprachspezifischen Branding hinzugefügt werden. Einige Features von SharePoint Online und Office 2010 setzen voraus, dass Benutzer wählen können, angemeldet zu bleiben. Wenn Sie Option „Angemeldet bleiben“ anzeigen deaktivieren, werden Ihren Benutzern während des Anmeldevorgangs möglicherweise andere, unerwartete Eingabeaufforderungen angezeigt.

Diagramm mit dem Benutzeranmeldeflow bei einem verwalteten Mandanten im Vergleich zu einem Verbundmandanten

Informationen zur Verwendung des KMSI-Diensts finden Sie im Abschnitt Lizenzanforderungen.

Problembehandlung für „Angemeldet bleiben?“ issues

Wenn ein Benutzer nicht auf die Aufforderung Angemeldet bleiben? reagiert, sondern den Anmeldeversuch abbricht, wird auf der Seite Azure AD Anmeldungen ein Anmeldeprotokolleintrag angezeigt. Die Aufforderung, die der Benutzer sieht, wird als „Interrupt“ bezeichnet.

Eingabeaufforderung „Angemeldet bleiben?“

Details zum Anmeldefehler finden Sie in den Anmeldeprotokollen in Azure AD. Wählen Sie den betroffenen Benutzer aus der Liste aus, und suchen Sie im Abschnitt Grundlegende Informationen nach den folgenden Details.

  • Anmeldefehlercode: 50140
  • Fehlerursache: Dieser Fehler ist beim Anmelden des Benutzers aufgrund des Interrupts bei „Angemeldet bleiben?“ aufgetreten.

Sie können verhindern, dass Benutzern der Interrupt angezeigt wird, indem Sie unter „Unternehmensbranding“ in den erweiterten Einstellungen die Einstellung Option „Angemeldet bleiben“ anzeigen auf Nein festlegen. Mit dieser Einstellung wird die KMSI-Aufforderung für alle Benutzer in Ihrem Azure AD-Verzeichnis deaktiviert.

Sie können auch die Steuerelemente für persistente Browsersitzungen im bedingten Zugriff verwenden, um zu verhindern, dass Benutzern die Eingabeaufforderung „Angemeldet bleiben?“ angezeigt wird. Mit dieser Option können Sie die Eingabeaufforderung „Angemeldet bleiben?“ für eine ausgewählte Gruppe von Benutzern (z. B. globale Administratoren) deaktivieren, ohne dass sich dies auf das Anmeldeverhalten für die übrigen Benutzer im Verzeichnis auswirkt.

Um sicherzustellen, dass die KMSI-Eingabeaufforderung nur angezeigt wird, wenn der Benutzer davon profitieren kann, wird die KMSI-Eingabeaufforderung in den folgenden Szenarien absichtlich nicht angezeigt:

  • Der Benutzer ist über nahtloses SSO und integrierte Windows-Authentifizierung (Integrated Windows Authentication, IWA) angemeldet.
  • Der Benutzer ist über Active Directory-Verbunddienste (AD FS) und IWA angemeldet.
  • Der Benutzer ist ein Gast im Mandanten.
  • Die Risikobewertung des Benutzers ist hoch.
  • Die Anmeldung erfolgt während des Benutzer- oder Administratoreinwilligungsflows.
  • Persistente Browsersitzungssteuerung ist in einer Richtlinie für bedingten Zugriff konfiguriert.

Nächste Schritte