Microsoft 365 – Beschreibungen von Features

User account management

Microsoft unterstützt die folgenden Methoden zum Erstellen, Verwalten und Authentifizieren von Benutzern. Dieses Thema enthält jedoch keine Informationen zu Sicherheitsfeatures, die den Zugriff auf einzelne Microsoft-Ressourcen zulassen oder verbieten (z. B. die rollenbasierte Zugriffssteuerung in Microsoft Exchange Online oder das Konfigurieren der Sicherheit in Microsoft Office SharePoint Online). Ausführliche Informationen zu diesen Features finden Sie in der Beschreibung des Exchange Online-Diensts und in der Beschreibung des SharePoint Online-Diensts. Wenn Sie Informationen zu Tools benötigen, mit denen Sie administrative Aufgaben ausführen können, lesen Sie Tools zum Verwalten von Microsoft-Konten. Informationen zum Ausführen von täglichen Verwaltungsaufgaben finden Sie unter Allgemeine Verwaltungsaufgaben.

Benötigen Sie Hilfe beim Anmelden, Installieren, Deinstallieren oder Kündigen Ihres Abonnements?: Hilfe zu: Anmelden | bei Installieren oder Deinstallieren von Office | Canceling Office 365

Weitere Probleme finden Sie im Microsoft-Supportcenter. Support für Office 365 betrieb von 21Vianet in China erhalten Sie vom 21Vianet-Supportteam.

Anmeldeoptionen: Microsoft verfügt über zwei Systeme, die für Benutzeridentitäten verwendet werden können: Geschäfts-, Schul- oder Unikonto (Cloudidentität) und Verbundkonto (Verbundidentität). Die Art der Identität hat Auswirkungen auf die Benutzerfreundlichkeit, Verwaltungsoptionen für Benutzerkonten, Hardware- und Softwareanforderungen sowie weitere Bereitstellungsüberlegungen.

Geschäfts-, Schul- oder Unikonto (Cloudidentität): Benutzer erhalten Microsoft Entra Cloudanmeldeinformationen – getrennt von anderen Desktop- oder Unternehmensanmeldeinformationen – für die Anmeldung bei Microsoft-Clouddiensten. Dies ist die Standardidentität und wird empfohlen, um die Komplexität der Bereitstellung zu minimieren. Kennwörter für Geschäfts-, Schul- oder Unikonten verwenden die Microsoft Entra ID Kennwortrichtlinie.

Verbundkonto (Verbundidentität): Für alle Abonnements in Organisationen mit lokales Active Directory, die einmaliges Anmelden (Single Sign-On, SSO) verwenden, können sich Benutzer mit ihren Active Directory-Anmeldeinformationen bei Microsoft-Diensten anmelden. Das firmeneigene Active Directory speichert und steuert die Kennwortrichtlinie. Weitere Informationen über SSO finden Sie unter Fahrplan für einmaliges Anmelden.

Einmaliges Anmelden: Für Organisationen, die einmaliges Anmelden verwenden, müssen alle Benutzer in einer Domäne dasselbe Identitätssystem verwenden: Cloudidentität oder Verbundidentität. Beispielsweise könnten Sie eine Gruppe von Benutzern haben, die nur eine Cloudidentität benötigt, da sie nicht auf lokale Systeme zugreifen, und eine andere Gruppe von Benutzern, die Microsoft- und lokale Systeme verwenden. Sie würden zwei Domänen zu Office 365 hinzufügen, z. B. contractors.contoso.com und staff.contoso.com, und richten sie nur für eine davon ein. Eine ganze Domäne kann von Cloudidentität in Verbundidentität und von Verbundidentität in Cloudidentität konvertiert werden.

Authentifizierung: Mit Ausnahme von Internetwebsites für anonymen Zugriff, die mit SharePoint Online erstellt wurden, müssen Benutzer beim Zugriff auf Microsoft-Dienste authentifiziert werden. Moderne Authentifizierung, Cloudidentitätsauthentifizierung und Verbundidentitätsauthentifizierung. Microsoft verwendet die formularbasierte Authentifizierung, und der Authentifizierungsverkehr über das Netzwerk wird immer mit TLS/SSL über Port 443 verschlüsselt. Authentifizierungsdatenverkehr verwendet einen vernachlässigbaren Prozentsatz der Bandbreite für Microsoft-Dienste.

Moderne Authentifizierung : Die moderne Authentifizierung ermöglicht plattformübergreifende Anmeldungen auf Basis der Microsoft-Authentifizierungsbibliothek bei Office-Client-Apps. Dadurch werden Anmeldefeatures wie Multi-Factor Authentication (MFA, mehrstufige Authentifizierung), SAML-basierte Drittanbieter-Identitätsanbieter mit Office-Clientanwendungen sowie eine Smartcard- und zertifikatbasierte Authentifizierung ermöglicht. Außerdem muss Microsoft Outlook nicht mehr das grundlegende Authentifizierungsprotokoll verwenden. Weitere Informationen, einschließlich der Verfügbarkeit der modernen Authentifizierung für Office-Anwendungen, finden Sie unter Funktionsweise der modernen Authentifizierung für Office 2013- und Office 2016-Client-Apps. Die moderne Authentifizierung ist standardmäßig für Exchange Online aktiviert. Informationen zum Aktivieren oder Deaktivieren finden Sie unter Aktivieren der modernen Authentifizierung in Exchange Online.

Cloudidentitätsauthentifizierung : Benutzer mit Cloudidentitäten werden mithilfe von herkömmlichen Herausforderungen/Antworten authentifiziert. Der Webbrowser wird an den Microsoft-Anmeldedienst umgeleitet, wo Sie den Benutzernamen und das Kennwort für Ihr Geschäfts-, Schul- oder Unikonto eingeben. Der Anmeldedienst authentifiziert Ihre Anmeldeinformationen und generiert ein Diensttoken, das der Webbrowser dem angeforderten Dienst bereitstellt, und Sie werden angemeldet.

Verbundidentitätsauthentifizierung: Benutzer mit Verbundidentitäten werden mithilfe von Active Directory-Verbunddienste (AD FS) (AD FS) 2.0 oder anderen Sicherheitstokendiensten authentifiziert. Der Webbrowser wird an den Microsoft-Anmeldedienst umgeleitet, wo Sie Ihre Unternehmens-ID in Form eines Benutzerprinzipalnamens (UPN) eingeben, z. B.: isabel@contoso.com. Der Anmeldedienst ermittelt, dass Sie Teil einer Verbunddomäne sind, und bietet an, Sie zur Authentifizierung zum lokalen Verbundserver umzuleiten. Wenn Sie am Desktop angemeldet sind (in die Domäne eingebunden), werden Sie authentifiziert (mit Kerberos oder NTLMv2), und der lokale Sicherheitstokendienst generiert ein Anmeldetoken, das der Webbrowser an den Microsoft-Anmeldedienst übermittelt. Der Anmeldedienst generiert mithilfe des Anmeldetokens ein Diensttoken, das vom Webbrowser an den angeforderten Dienst weitergeleitet wird, und meldet Sie an. Eine Liste der verfügbaren Sicherheitstokendienste finden Sie unter Roadmap für einmaliges Anmelden.

Multi-Factor Authentication: Bei Multi-Factor Authentication müssen Benutzer einen Telefonanruf, eine SMS oder eine App-Benachrichtigung auf ihrem Smartphone bestätigen, nachdem sie ihr Kennwort korrekt eingegeben haben. Erst nach dieser zweiten Authentifizierung kann sich der Benutzer anmelden. Microsoft-Administratoren können Benutzer für die mehrstufige Authentifizierung im Microsoft 365 Admin Center registrieren. Erfahren Sie mehr über Multi-Factor Authentication.

Rich-Client-Authentifizierung: Für Rich-Clients wie Microsoft Office-Desktopanwendungen kann die Authentifizierung auf zwei Arten erfolgen: Microsoft Online Services Sign-In Assistant und Standard-/Proxyauthentifizierung über SSL. Um eine ordnungsgemäße Ermittlung und Authentifizierung von Microsoft-Diensten sicherzustellen, müssen Administratoren eine Reihe von Komponenten und Updates auf jede Arbeitsstation anwenden, die Rich-Clients (z. B. Microsoft Office 2010) verwendet und eine Verbindung mit Office 365 herstellt. Die Desktopeinrichtung ist ein automatisiertes Tool zum Konfigurieren von Arbeitsstationen mit den erforderlichen Updates. Weitere Informationen finden Sie unter Verwenden meiner aktuellen Office-Desktop-Apps.

Microsoft Online Services Sign-In-Assistent: Die vom Desktopsetup installierte Assistent für die Anmeldung enthält einen Clientdienst, der ein Diensttoken vom Anmeldedienst abruft und an den Rich Client zurückgibt. Wenn Sie über eine Cloudidentität verfügen, erhalten Sie eine Aufforderung zur Eingabe von Anmeldeinformationen, die der Clientdienst zur Authentifizierung an den Anmeldedienst sendet (mit WS-Trust). Wenn Sie über eine Verbundidentität verfügen, kontaktiert der Clientdienst zuerst den AD FS 2.0-Server, um die Anmeldeinformationen (mithilfe von Kerberos oder NTLMv2) zu authentifizieren und ein Anmeldetoken abzurufen, das an den Anmeldedienst gesendet wird (mit WS-Federation und WS-Trust).

Standard-/Proxyauthentifizierung über SSL: Der Outlook-Client übergibt Anmeldeinformationen für die Standardauthentifizierung über SSL an Exchange Online. Exchange Online die Authentifizierungsanforderung an die Identitätsplattform und dann an lokales Active Directory Verbundserver (für einmaliges Anmelden) weiter.

Anmeldeoberfläche: Die Anmeldeoberfläche ändert sich je nach verwendeter Identitätsart:

Dienst Cloudidentität Identitätsverbund
Outlook 2016 Jede Sitzung anmelden 1 Jede Sitzung anmelden 2
Outlook 2013 Jede Sitzung anmelden 1 Jede Sitzung anmelden 2
Outlook 2010 oder Office 2007 auf Windows 7 Jede Sitzung anmelden 1 Jede Sitzung anmelden 2
Outlook 2010 oder Office Outlook 2007 auf Windows Vista Jede Sitzung anmelden 1 Jede Sitzung anmelden 2
Microsoft Exchange ActiveSync Jede Sitzung anmelden 1 Jede Sitzung anmelden 2
POP, IMAP, Outlook für Mac Jede Sitzung anmelden 1 Jede Sitzung anmelden 2
Weberfahrungen: Microsoft 365 Admin Center/Outlook im Web/SharePoint Online/Office für das Web Jede Browsersitzung anmelden 4 Jede Sitzung anmelden 3
Office 2010 oder Office 2007 mit SharePoint Online Jede SharePoint Online-Sitzung anmelden 4 Jede SharePoint Online-Sitzung anmelden 3
Skype for Business Online Jede Sitzung anmelden 1 Keine Aufforderung
Outlook für Mac Jede Sitzung anmelden 1 Jede Sitzung anmelden 2

1 Wenn Sie dazu aufgefordert werden, können Sie Ihr Kennwort zur zukünftigen Verwendung speichern. Sie erhalten erst dann eine weitere Eingabeaufforderung, wenn Sie das Kennwort ändern.
2 Sie geben Ihre Unternehmensanmeldeinformationen ein. Sie können Ihr Kennwort speichern und werden erst dann erneut aufgefordert, wenn sich Ihr Kennwort ändert.
3 Für alle Apps müssen Sie Ihren Benutzernamen eingeben oder auswählen, um sich anzumelden. Sie werden nicht zur Eingabe Ihres Kennworts aufgefordert, wenn Ihr Computer in die Domäne eingebunden ist. Wenn Sie Angemeldet bleiben auswählen, werden Sie erst wieder aufgefordert, wenn Sie sich abmelden.
4 Wenn Sie Angemeldet bleiben auswählen, werden Sie erst wieder aufgefordert, wenn Sie sich abmelden.

Erstellen von Benutzerkonten: Es gibt mehrere Möglichkeiten zum Hinzufügen von Benutzern. Weitere Informationen finden Sie unter Hinzufügen von Benutzern einzeln oder massenweise – Admin Hilfe und Hinzufügen von Benutzern und Zuweisen von Lizenzen – Microsoft 365-Administrator | Microsoft-Dokumentation. Wenn Sie Office 365 verwenden, die von 21Vianet in China betrieben wird, lesen Sie Erstellen oder Bearbeiten von Benutzerkonten in Office 365 betrieben von 21Vianet - Admin Hilfe.

Benutzerkonten löschen: Wie Sie Konten löschen, hängt davon ab, ob Sie die Verzeichnissynchronisierung verwenden oder nicht. Wenn Sie keine Verzeichnissynchronisierung verwenden, können Konten über die Administratorseite oder mithilfe von Windows PowerShell gelöscht werden. Wenn Sie die Verzeichnissynchronisierung verwenden, müssen Sie Benutzer aus dem lokalen Active Directory und nicht aus Office 365 löschen.

Gelöschte Konten: Wenn ein Konto gelöscht wird, wird es inaktiv. Nach dem Löschen können Sie das Konto ungefähr 30 Tage lang wiederherstellen. Weitere Informationen zum Löschen und Wiederherstellen von Konten finden Sie unter Löschen von Benutzern und Wiederherstellen von Benutzern oder, wenn Sie Office 365 verwenden, die von 21Vianet in China betrieben wird, finden Sie unter Erstellen oder Bearbeiten von Benutzerkonten in Office 365 betrieben von 21Vianet – Admin Hilfe.

Kennwortverwaltung: Die Richtlinien und Verfahren für die Kennwortverwaltung hängen vom Identitätssystem ab.

Verwaltung von Cloudidentitätskennwörtern: Bei Verwendung von Cloudidentitäten werden Kennwörter automatisch generiert, wenn das Konto erstellt wird. Die Anforderungen für sichere Kennwörter bei Cloudidentitäten finden Sie unter Kennwortrichtlinie. Um die Sicherheit zu erhöhen, müssen Benutzer ihre Kennwörter ändern, wenn sie zum ersten Mal auf Microsoft-Dienste zugreifen. Daher müssen sich Benutzer vor dem Zugriff auf Microsoft-Dienste beim Microsoft 365 Admin Center anmelden, wo sie aufgefordert werden, ihre Kennwörter zu ändern. Administratoren können die Kennwortablaufrichtlinie festlegen. Weitere Informationen finden Sie unter Festlegen der Ablaufrichtlinie für ein Benutzerkennwort.

Zurücksetzen des Cloudidentitätskennworts: Es gibt mehrere Tools zum Zurücksetzen von Kennwörtern für Benutzer mit Cloudidentitäten: Admin setzt Kennwort zurück,Benutzer ändert Kennwörter mit Outlook im Web, rollenbasiertes Zurücksetzen von Kennwortrechten und Zurücksetzen von Kennwörtern mithilfe von Windows PowerShell.

Admin setzt das Kennwort zurück: Wenn Benutzer ihre Kennwörter verlieren oder vergessen, können Administratoren die Benutzerkennwörter im Admin Center oder mithilfe von Windows PowerShell zurücksetzen. Benutzer können ihr eigenes Kennwort nur ändern, wenn sie ihr bestehendes Kennwort kennen. Wenn Administratoren bei Unternehmensplänen ihre Kennwörter verlieren oder vergessen, kann ein anderer Administrator mit der Rolle "Globaler Administrator" die Kennwörter von Administratoren im Microsoft 365 Admin Center oder mithilfe von Windows PowerShell zurücksetzen. Weitere Informationen finden Sie im Artikel zum Thema Zurücksetzen von Administratorkennwörtern. Wenn Sie in Office 365 arbeiten, die von 21Vianet in China betrieben wird, finden Sie weitere Informationen unter Ändern oder Zurücksetzen von Kennwörtern in Office 365 betrieben von 21Vianet.

Benutzer ändert Kennwörter mit Outlook im Web: Die Seite Outlook im Web Optionen enthält einen Link Kennwort ändern, der Benutzer zur Seite Kennwort ändern umleitet. Der Benutzer muss das bisherige Kennwort kennen. Weitere Informationen finden Sie im Artikel zum Thema Ändern des Kennworts. Wenn Sie Office 365 verwenden, die von 21Vianet in China betrieben wird, finden Sie weitere Informationen unter Ändern oder Zurücksetzen von Kennwörtern in Office 365 betrieben von 21Vianet.

Berechtigungen zum rollenbasierten Zurücksetzen von Kennwörtern : Bei Unternehmensplänen können autorisierten Benutzern wie Helpdeskmitarbeitern das Benutzerrecht Kennwort zurücksetzen und das Recht zugewiesen werden, Kennwörter mithilfe vordefinierter oder benutzerdefinierter Rollen zu ändern, ohne zu Administratoren für vollständige Dienste zu werden. In Unternehmensplänen können Administratoren mit der Rolle "Globaler Administrator", "Kennwortadministrator" oder "Benutzerverwaltungsadministrator" Kennwörter standardmäßig ändern. Weitere Informationen finden Sie unter Zuweisen von Adminrollen.

Zurücksetzen von Kennwörtern mithilfe von Windows PowerShell: Dienstadministratoren können Windows PowerShell verwenden, um Kennwörter zurückzusetzen.

Verwaltung von Verbundidentitätskennwörtern: Bei Verwendung von Verbundidentitäten werden Kennwörter in Active Directory verwaltet. Der lokale Sicherheitstokendienst handelt die Authentifizierung mit dem Verbundgateway aus, ohne die lokalen Active Directory-Kennwörter der Benutzer über das Internet an Office 365 zu übergeben. Lokale Kennwortrichtlinien werden verwendet, oder für Webclients zweistufige Identifikation. Outlook im Web enthält keinen Link zum Ändern des Kennworts. Benutzer ändern ihre Kennwörter mithilfe von standardmäßigen lokalen Tools oder über ihre Desktop-PC-Anmeldeoptionen.

Verzeichnissynchronisierung: Wenn sie in Ihrer organization-Umgebung die Verzeichnissynchronisierung mit einmaligem Anmelden (Single Sign-On, SSO) aktiviert haben und sich ein Ausfall auf Ihren Verbundidentitätsanbieter auswirkt, bietet die Kennwortsynchronisierungssicherung für die Verbundanmeldung die Möglichkeit, Ihre Domäne manuell in die Kennwortsynchronisierung zu wechseln. Die Verwendung der Kennwortsynchronisierung ermöglicht Ihren Benutzern den Zugriff, während der Ausfall behoben ist. Erfahren Sie , wie Sie von single Sign-On zur Kennwortsynchronisierung wechseln.

Lizenzverwaltung: Eine Lizenz gewährt einem Benutzer Zugriff auf eine Reihe von Microsoft-Diensten. Ein Administrator weist jedem Benutzer für jeden Dienst, auf den er zugreifen muss, eine Lizenz zu. Sie können beispielsweise einem Benutzer den Zugriff auf Skype for Business Online, aber nicht auf SharePoint Online gewähren.

Abrechnung: Microsoft-Abrechnungsadministratoren können Änderungen an Abonnementdetails vornehmen, z. B. die Anzahl der Benutzerlizenzen und die Anzahl der zusätzlichen Dienste, die Ihr Unternehmen verwendet. Lesen Sie Zuweisen oder Entfernen einer Lizenz. Wenn Sie Office 365 verwenden, die von 21Vianet betrieben wird, lesen Sie Zuweisen oder Entfernen von Lizenzen in Office 365 betrieben von 21Vianet.

Gruppenverwaltung: Sicherheitsgruppen werden in SharePoint Online verwendet, um den Zugriff auf Websites zu steuern. Sicherheitsgruppen können im Microsoft 365 Admin Center erstellt werden. Weitere Informationen zu Sicherheitsgruppen finden Sie unter Erstellen, Bearbeiten oder Entfernen einer Sicherheitsgruppe.

Microsoft Entra Services: Microsoft Entra ID bietet umfassende Funktionen zur Identitäts- und Zugriffsverwaltung für Office 365. Es kombiniert Verzeichnisdienste, erweiterte Identity Governance, Anwendungszugriffsverwaltung und eine funktionsreiche standardbasierte Plattform für Entwickler. Weitere Informationen zu Active Directory-Features in Office 365 finden Sie in diesem Blogbeitrag zum Thema Branding der Anmeldeseite und Self-Service-Kennwortzurücksetzung für Cloudbenutzer. Erfahren Sie mehr über die Free-, Basic- und Premium-Editionen von Microsoft Entra ID.

Featureverfügbarkeit: Informationen zur planübergreifenden Verfügbarkeit von Features finden Sie unter Microsoft 365 und Office 365-Plattformdienstbeschreibung.