Deaktivieren des Zugriffs auf Microsoft 365-Dienste mit PowerShell

  • Artikel

Dieser Artikel gilt sowohl für Microsoft 365 Enterprise als auch für Office 365 Enterprise.

Wenn einem Microsoft 365-Konto eine Lizenz aus einem Lizenzierungsplan zugewiesen wird, werden microsoft 365-Dienste dem Benutzer aus dieser Lizenz zur Verfügung gestellt. Sie können jedoch die Microsoft 365-Dienste steuern, auf die der Benutzer zugreifen kann. Obwohl die Lizenz beispielsweise den Zugriff auf den SharePoint Online-Dienst zulässt, können Sie den Zugriff darauf deaktivieren. Sie können PowerShell verwenden, um den Zugriff auf eine beliebige Anzahl von Diensten für einen bestimmten Lizenzierungsplan für Folgendes zu deaktivieren:

  • ein einzelnes Konto
  • eine Gruppe von Konten
  • Alle Konten in Ihrer Organisation.

Hinweis

Es gibt Microsoft 365-Dienstabhängigkeiten, die Sie daran hindern können, einen angegebenen Dienst zu deaktivieren, wenn andere Dienste davon abhängen.

Verwenden des Microsoft Graph PowerShell SDK

Hinweis

Das Azure Active Directory-Modul wird durch das Microsoft Graph PowerShell SDK ersetzt. Sie können das Microsoft Graph PowerShell-SDK verwenden, um auf alle Microsoft Graph-APIs zuzugreifen. Weitere Informationen finden Sie unter Erste Schritte mit dem Microsoft Graph PowerShell-SDK.

Verwenden Sie zunächst ein Microsoft Entra DC-Administrator-, Cloud Application Admin- oder globales Administratorkonto, um eine Verbindung mit Ihrem Microsoft 365-Mandanten herzustellen.

Zum Zuweisen und Entfernen von Lizenzen für einen Benutzer ist der Berechtigungsbereich User.ReadWrite.All oder eine der anderen Berechtigungen erforderlich, die auf der Graph-API Referenzseite "Lizenz zuweisen" aufgeführt sind.

Der Berechtigungsbereich Organization.Read.All ist erforderlich, um die im Mandanten verfügbaren Lizenzen zu lesen.

Connect-Graph -Scopes User.ReadWrite.All, Organization.Read.All

Verwenden Sie als Nächstes diesen Befehl, um Ihre verfügbaren Lizenzierungspläne anzuzeigen, die auch als SkuPartNumber bezeichnet werden:

Get-MgSubscribedSku | Select SkuId, SkuPartNumber, ServicePlans | Sort SkuPartNumber

Weitere Informationen finden Sie unter Anzeigen von Lizenzen und Diensten mit PowerShell.

Die Vorher- und Nachher-Ergebnisse der Verfahren in diesem Thema finden Sie unter Anzeigen von Kontolizenz- und Dienstdetails mit PowerShell.

Deaktivieren bestimmter Microsoft 365-Dienste für bestimmte Benutzer für einen bestimmten Lizenzierungsplan

Führen Sie die folgenden Schritte aus, um eine bestimmte Gruppe von Microsoft 365-Diensten für Benutzer für einen bestimmten Lizenzierungsplan zu deaktivieren:

Listen Sie zunächst die in Ihrem Mandanten verfügbaren Lizenzierungspläne auf, indem Sie den folgenden Befehl verwenden.

Get-MgSubscribedSku | Select SkuPartNumber

SkuPartNumber
-------------
EMSPREMIUM
SPE_E5
RIGHTSMANAGEMENT_ADHOC

Verwenden Sie als Nächstes die SkuPartNumber aus dem obigen Befehl, und listen Sie die Servicepläne auf, die für einen bestimmten Lizenzplan (Sku) verfügbar sind.

Im folgenden Beispiel werden alle für SPE_E5 (Microsoft 365 E5) verfügbaren Dienstpläne aufgelistet.

Get-MgSubscribedSku -All | Where SkuPartNumber -eq 'SPE_E5' |  select -ExpandProperty ServicePlans

AppliesTo ProvisioningStatus ServicePlanId                        ServicePlanName
--------- ------------------ -------------                        ---------------
User      Success            b21a6b06-1988-436e-a07b-51ec6d9f52ad PROJECT_O365_P3
User      Success            64bfac92-2b17-4482-b5e5-a0304429de3e MICROSOFTENDPOINTDLP
User      Success            199a5c09-e0ca-4e37-8f7c-b05d533e1ea2 MICROSOFTBOOKINGS
User      Success            6db1f1db-2b46-403f-be40-e39395f08dbb CUSTOMER_KEY
User      Success            4a51bca5-1eff-43f5-878c-177680f191af WHITEBOARD_PLAN3
User      Success            07699545-9485-468e-95b6-2fca3738be01 FLOW_O365_P3
User      Success            9c0dab89-a30c-4117-86e7-97bda240acd2 POWERAPPS_O365_P3
User      Success            e212cbc7-0961-4c40-9825-01117710dcb1 FORMS_PLAN_E5
User      Success            57ff2da0-773e-42df-b2af-ffb7a2317929 TEAMS1
User      Success            21b439ba-a0ca-424f-a6cc-52f954a5b111 WIN10_PRO_ENT_SUB
User      Success            eec0eb4f-6444-4f95-aba0-50c24d67f998 AAD_PREMIUM_P2
User      Success            c1ec4a95-1f05-45b3-a911-aa3fa01094f5 INTUNE_A
User      Success            7547a3fe-08ee-4ccb-b430-5077c5041653 YAMMER_ENTERPRISE
User      Success            a23b959c-7ce8-4e57-9140-b90eb88a9e97 SWAY
User      Success            e95bec33-7c88-4a70-8e19-b10bd9d0c014 SHAREPOINTWAC
User      Success            5dbe027f-2339-4123-9542-606e4d348a72 SHAREPOINTENTERPRISE
User      Success            b737dad2-2f6c-4c65-90e3-ca563267e8b9 PROJECTWORKMANAGEMENT
User      Success            43de0ff5-c92c-492b-9116-175376d08c38 OFFICESUBSCRIPTION
User      Success            0feaeb32-d00e-4d66-bd5a-43b5b83db82c MCOSTANDARD
User      Success            9f431833-0334-42de-a7dc-70aa40db46db LOCKBOX_ENTERPRISE
User      Success            efb87545-963c-4e0d-99df-69c6916d9eb0 EXCHANGE_S_ENTERPRISE

Eine vollständige Liste von Lizenzplänen (auch bezeichnet als Produktnamen), deren enthaltenen Serviceplänen und die entsprechenden Anzeigenamen finden Sie unter Produktnamen und Serviceplanbezeichner für die Lizenzierung. (Suchen Sie mithilfe der ServicePlanId, um den entsprechenden Anzeigenamen des Serviceplans nachzuschlagen.

Im folgenden Beispiel wird SPE_E5 (Microsoft 365 E5) zugewiesen, wobei die Dienste MICROSOFTBOOKINGS (Microsoft Bookings) und LOCKBOX_ENTERPRISE (Kunden-Lockbox) deaktiviert sind:

$e5Sku = Get-MgSubscribedSku -All | Where SkuPartNumber -eq 'SPE_E5'
$disabledPlans = $e5Sku.ServicePlans | `
    Where ServicePlanName -in ("LOCKBOX_ENTERPRISE", "MICROSOFTBOOKINGS") | `
    Select -ExpandProperty ServicePlanId

$addLicenses = @(
    @{
        SkuId = $e5Sku.SkuId
        DisabledPlans = $disabledPlans
    }
)

Set-MgUserLicense -UserId "belinda@litwareinc.com" -AddLicenses $addLicenses -RemoveLicenses @()

Die DisabledPlans -Eigenschaft des -AddLicenses Parameters in Set-MgUserLicense überschreibt den vorhandenen DisabledPlans Wert des Benutzers. Um den Status vorhandener Dienstpläne beizubehalten, muss der aktuelle Status der Dienstpläne des Benutzers mit den neuen Plänen zusammengeführt werden, die deaktiviert werden sollen.

Wenn sie den vorhandenen DisabledPlans nicht einschließen, wird der zuvor deaktivierte Plan des Benutzers aktiviert.

Im folgenden Beispiel wird ein Benutzer mit SPE_E5 (Microsoft 365 E5) aktualisiert und die Sway- und Forms-Dienstpläne deaktiviert, während die vorhandenen deaktivierten Pläne des Benutzers im aktuellen Zustand bleiben:

## Get the services that have already been disabled for the user.
$userLicense = Get-MgUserLicenseDetail -UserId "belinda@fdoau.onmicrosoft.com"
$userDisabledPlans = $userLicense.ServicePlans | `
    Where ProvisioningStatus -eq "Disabled" | `
    Select -ExpandProperty ServicePlanId

## Get the new service plans that are going to be disabled
$e5Sku = Get-MgSubscribedSku -All | Where SkuPartNumber -eq 'SPE_E5'
$newDisabledPlans = $e5Sku.ServicePlans | `
    Where ServicePlanName -in ("SWAY", "FORMS_PLAN_E5") | `
    Select -ExpandProperty ServicePlanId

## Merge the new plans that are to be disabled with the user's current state of disabled plans
$disabledPlans = ($userDisabledPlans + $newDisabledPlans) | Select -Unique

$addLicenses = @(
    @{
        SkuId = $e5Sku.SkuId
        DisabledPlans = $disabledPlans
    }
)
## Update user's license
Set-MgUserLicense -UserId "belinda@litwareinc.onmicrosoft.com" -AddLicenses $addLicenses -RemoveLicenses @()

Verwalten von Microsoft 365-Benutzerkonten, -Lizenzen und -Gruppen mit PowerShell

Verwalten von Microsoft 365 mit PowerShell

Erste Schritte mit PowerShell für Microsoft 365