Microsoft 365 – Beschreibungen von Features

User account management

Microsoft unterstützt die folgenden Methoden zum Erstellen, Verwalten und Authentifizieren von Benutzern. Dieses Thema enthält jedoch keine Informationen zu Sicherheitsfeatures, die den Zugriff auf einzelne Microsoft-Ressourcen zulassen oder verbieten (z. B. rollenbasierte Zugriffssteuerung in Microsoft Exchange Online oder Konfigurieren der Sicherheit in Microsoft Office SharePoint Online). Ausführliche Informationen zu diesen Features finden Sie in der Exchange Online Dienstbeschreibung und der SharePoint Online-Dienstbeschreibung. Wenn Sie Informationen zu Tools benötigen, die Ihnen beim Ausführen von Verwaltungsaufgaben helfen können, lesen Sie die Tools zum Verwalten von Microsoft-Konten. Informationen zum Ausführen alltäglicher Verwaltungsaufgaben finden Sie unter Allgemeine Verwaltungsaufgaben.

Benötigen Sie Hilfe beim Anmelden, Installieren oder Deinstallieren oder Kündigen Ihres Abonnements?: Hilfe zu: Anmelden | Installieren oder Deinstallieren von Office | Canceling Office 365

Weitere Probleme finden Sie im Microsoft Support Center. Support für Office 365 betrieb von 21Vianet in China erhalten Sie vom 21Vianet-Supportteam.

Anmeldeoptionen: Microsoft verfügt über zwei Systeme, die für Benutzeridentitäten verwendet werden können: Geschäfts-, Schul- oder Unikonto (Cloudidentität) und Verbundkonto (Verbundidentität). Die Art der Identität hat Auswirkungen auf die Benutzerfreundlichkeit, Verwaltungsoptionen für Benutzerkonten, Hardware- und Softwareanforderungen sowie weitere Bereitstellungsüberlegungen.

Geschäfts-, Schul- oder Unikonto (Cloudidentität): Benutzer erhalten Azure Active Directory-Cloudanmeldeinformationen – getrennt von anderen Desktop- oder Unternehmensanmeldeinformationen – für die Anmeldung bei Microsoft-Clouddiensten. Dies ist die Standardidentität und wird empfohlen, um die Komplexität der Bereitstellung zu minimieren. Kennwörter für Geschäfts-, Schul- oder Unikonten verwenden die Azure Active Directory-Kennwortrichtlinie.

Verbundkonto (Verbundidentität) – Für alle Abonnements in Organisationen mit жергілікті Active Directory, die einmaliges Anmelden (Single Sign-On, SSO) verwenden, können sich Benutzer mit ihren Active Directory-Anmeldeinformationen bei Microsoft-Diensten anmelden. Das firmeneigene Active Directory speichert und steuert die Kennwortrichtlinie. Weitere Informationen über SSO finden Sie unter Fahrplan für einmaliges Anmelden.

Einmaliges Anmelden: Für Organisationen, die einmaliges Anmelden verwenden, müssen alle Benutzer in einer Domäne dasselbe Identitätssystem verwenden: Entweder Cloudidentität oder Verbundidentität. Sie können z. B. eine Benutzergruppe haben, die nur eine Cloudidentität benötigt, da sie nicht auf lokale Systeme zugreifen, und eine andere Gruppe von Benutzern, die Microsoft und lokale Systeme verwenden. Sie würden Office 365 zwei Domänen hinzufügen, z. B. contractors.contoso.com und staff.contoso.com, und nur SSO für eine dieser Domänen einrichten. Eine ganze Domäne kann von Cloudidentität in Verbundidentität und von Verbundidentität in Cloudidentität konvertiert werden.

Authentifizierung: Mit Ausnahme von Internetwebsites für anonymen Zugriff, die mit SharePoint Online erstellt wurden, müssen Benutzer beim Zugriff auf Microsoft-Dienste authentifiziert werden. Moderne Authentifizierung, Cloudidentitätsauthentifizierung und Verbundidentitätsauthentifizierung. Microsoft verwendet formularbasierte Authentifizierung, und der Authentifizierungsdatenverkehr über das Netzwerk wird immer mit TLS/SSL über Port 443 verschlüsselt. Der Authentifizierungsdatenverkehr verwendet einen vernachlässigbaren Prozentsatz der Bandbreite für Microsoft-Dienste.

Moderne Authentifizierung – Die moderne Authentifizierung ermöglicht die plattformübergreifende Anmeldung mit der Microsoft-Authentifizierungsbibliothek bei Office-Client-Apps. Dadurch werden Anmeldefeatures wie Multi-Factor Authentication (MFA, mehrstufige Authentifizierung), SAML-basierte Drittanbieter-Identitätsanbieter mit Office-Clientanwendungen sowie eine Smartcard- und zertifikatbasierte Authentifizierung ermöglicht. Außerdem muss Microsoft Outlook nicht mehr das grundlegende Authentifizierungsprotokoll verwenden. Weitere Informationen, einschließlich der Verfügbarkeit der modernen Authentifizierung in office-Anwendungen, finden Sie unter Funktionsweise der modernen Authentifizierung für Office 2013- und Office 2016-Client-Apps. Die moderne Authentifizierung ist für Exchange Online standardmäßig aktiviert. Informationen zum Aktivieren oder Deaktivieren finden Sie unter Aktivieren der modernen Authentifizierung in Exchange Online.

Cloudidentitätsauthentifizierung – Benutzer mit Cloudidentitäten werden mit herkömmlichen Herausforderungen/Antworten authentifiziert. Der Webbrowser wird an den Microsoft-Anmeldedienst umgeleitet, wo Sie den Benutzernamen und das Kennwort für Ihr Geschäfts-, Schul- oder Unikonto eingeben. Der Anmeldedienst authentifiziert Ihre Anmeldeinformationen und generiert ein Diensttoken, das der Webbrowser dem angeforderten Dienst bereitstellt, und Sie werden angemeldet.

Verbundidentitätsauthentifizierung – Benutzer mit Verbundidentitäten werden mit Active Directory 联合身份验证服务 (AD FS) 2.0 oder anderen Sicherheitstokendiensten authentifiziert. Der Webbrowser wird an den Microsoft-Anmeldedienst umgeleitet, wo Sie Ihre Unternehmens-ID in Form eines Benutzerprinzipalnamens (USER Principal Name, UPN) eingeben, z. B.: isabel@contoso.com. Der Anmeldedienst bestimmt, dass Sie Teil einer Verbunddomäne sind, und bietet an, Sie zur Authentifizierung zum lokalen Verbundserver umzuleiten. Wenn Sie am Desktop angemeldet sind (Domäne beigetreten), werden Sie authentifiziert (mit Kerberos oder NTLMv2), und der lokale Sicherheitstokendienst generiert ein Anmeldetoken, das der Webbrowser an den Microsoft-Anmeldedienst sendet. Der Anmeldedienst generiert mithilfe des Anmeldetokens ein Diensttoken, das vom Webbrowser an den angeforderten Dienst weitergeleitet wird, und meldet Sie an. Eine Liste der verfügbaren Sicherheitstokendienste finden Sie in der Roadmap für einmaliges Anmelden.

Mehrstufige Authentifizierung: Bei der mehrstufigen Authentifizierung müssen Benutzer einen Telefonanruf, eine SMS oder eine App-Benachrichtigung auf ihrem Smartphone bestätigen, nachdem sie ihr Kennwort richtig eingegeben haben. Erst nach dieser zweiten Authentifizierung kann sich der Benutzer anmelden. Microsoft-Administratoren können Benutzer für die mehrstufige Authentifizierung in der Microsoft 365 Admin Center registrieren. Mer informasjon zur mehrstufigen Authentifizierung.

Rich-Client-Authentifizierung: Bei Rich-Clients wie Microsoft Office-Desktopanwendungen kann die Authentifizierung auf zwei Arten erfolgen: Microsoft Online Services Sign-In-Assistent und Standard-/Proxyauthentifizierung über SSL. Um die ordnungsgemäße Erkennung und Authentifizierung von Microsoft-Diensten sicherzustellen, müssen Administratoren eine Reihe von Komponenten und Updates auf jede Arbeitsstation anwenden, die rich-Clients (z. B. Microsoft Office 2010) verwendet und eine Verbindung mit Office 365 herstellt. Das Desktopsetup ist ein automatisiertes Tool zum Konfigurieren von Arbeitsstationen mit den erforderlichen Updates. Weitere Informationen finden Sie unter "Verwenden meiner aktuellen Office-Desktop-Apps".

Microsoft Online Services Sign-In-Assistent – Der Anmelde-Assistent, der vom Desktopsetup installiert wird, enthält einen Clientdienst, der ein Diensttoken vom Anmeldedienst abruft und an den Rich-Client zurückgibt. Wenn Sie über eine Cloudidentität verfügen, erhalten Sie eine Aufforderung zur Eingabe von Anmeldeinformationen, die der Clientdienst zur Authentifizierung (mithilfe von WS-Trust) an den Anmeldedienst sendet. Wenn Sie über eine Verbundidentität verfügen, kontaktiert der Clientdienst zuerst den AD FS 2.0-Server, um die Anmeldeinformationen (mit Kerberos oder NTLMv2) zu authentifizieren und ein Anmeldetoken abzurufen, das an den Anmeldedienst (mithilfe von WS-Federation und WS-Trust) gesendet wird.

Standard-/Proxyauthentifizierung über SSL : Der Outlook-Client übergibt die Anmeldeinformationen für die Standardauthentifizierung über SSL an Exchange Online. Exchange Online proxyt die Authentifizierungsanforderung an die Identitätsplattform und dann an жергілікті Active Directory Verbundserver (für SSO).

Anmeldeerfahrung: Die Anmeldeerfahrung ändert sich je nach Art der verwendeten Identität:

Dienst Cloudidentität Identitätsverbund
Outlook 2016 Jede Sitzung anmelden 1 Jede Sitzung anmelden 2
Outlook 2013 Jede Sitzung anmelden 1 Jede Sitzung anmelden 2
Outlook 2010 oder Office 2007 auf Windows 7 Jede Sitzung anmelden 1 Jede Sitzung anmelden 2
Outlook 2010 oder Office Outlook 2007 auf Windows Vista Jede Sitzung anmelden 1 Jede Sitzung anmelden 2
Microsoft Exchange ActiveSync Jede Sitzung anmelden 1 Jede Sitzung anmelden 2
POP, IMAP, Outlook für Mac Jede Sitzung anmelden 1 Jede Sitzung anmelden 2
Weboberflächen: Microsoft 365 Admin Center/Outlook na Web/SharePoint Online/Office på nettet Jede Browsersitzung anmelden 4 Jede Sitzung anmelden 3
Office 2010 oder Office 2007 mit SharePoint Online Jede SharePoint Online-Sitzung anmelden 4 Jede SharePoint Online-Sitzung anmelden 3
Skype for Business Online Jede Sitzung anmelden 1 Keine Aufforderung
Outlook für Mac Jede Sitzung anmelden 1 Jede Sitzung anmelden 2

1 Wenn Sie zum ersten Mal dazu aufgefordert werden, können Sie Ihr Kennwort für die zukünftige Verwendung speichern. Sie erhalten erst dann eine weitere Aufforderung, wenn Sie das Kennwort ändern.
2 Sie geben Ihre Unternehmensanmeldeinformationen ein. Sie können Ihr Kennwort speichern und werden erst dann erneut aufgefordert, wenn sich Ihr Kennwort ändert.
3 Für alle Apps müssen Sie Ihren Benutzernamen eingeben oder auswählen, um sich anzumelden. Sie werden nicht zur Eingabe Ihres Kennworts aufgefordert, wenn Ihr Computer der Domäne beigetreten ist. Wenn Sie " Angemeldet bleiben " auswählen, werden Sie erst dann erneut aufgefordert, wenn Sie sich abmelden.
4 Wenn Sie " Angemeldet bleiben " auswählen, werden Sie erst wieder aufgefordert, wenn Sie sich abmelden.

Benutzerkonten erstellen: Es gibt mehrere Möglichkeiten zum Hinzufügen von Benutzern. Weitere Informationen finden Sie unter "Benutzer einzeln oder massenhin hinzufügen" – Admin Hilfe und Hinzufügen von Benutzern und Zuweisen von Lizenzen – Microsoft 365 Admin | Microsoftova dokumentacija. Wenn Sie Office 365 verwenden, die von 21Vianet in China betrieben werden, lesen Sie "Erstellen oder Bearbeiten von Benutzerkonten in Office 365 betrieben von 21Vianet – Admin Hilfe".

Benutzerkonten löschen: Wie Sie Konten löschen, hängt davon ab, ob Sie die Verzeichnissynchronisierung verwenden oder nicht. Wenn Sie keine Verzeichnissynchronisierung verwenden, können Konten mithilfe der Administratorseite oder mithilfe von Windows PowerShell gelöscht werden. Wenn Sie die Verzeichnissynchronisierung verwenden, müssen Sie Benutzer aus dem lokalen Active Directory und nicht aus Office 365 löschen.

Gelöschte Konten: Wenn ein Konto gelöscht wird, wird es inaktiv. Nachdem Sie es ungefähr 30 Tage lang gelöscht haben, können Sie das Konto wiederherstellen. Weitere Informationen zum Löschen und Wiederherstellen von Konten finden Sie unter "Benutzer löschen und Benutzer wiederherstellen". Wenn Sie Office 365 von 21Vianet in China verwenden, lesen Sie "Erstellen oder Bearbeiten von Benutzerkonten in Office 365 betrieben von 21Vianet – Admin Hilfe".

Kennwortverwaltung: Die Richtlinien und Verfahren für die Kennwortverwaltung hängen vom Identitätssystem ab.

Verwaltung von Cloudidentitätskennwörtern: Bei Verwendung von Cloudidentitäten werden Kennwörter automatisch generiert, wenn das Konto erstellt wird. Die Anforderungen für sichere Kennwörter bei Cloudidentitäten finden Sie unter Kennwortrichtlinie. Um die Sicherheit zu erhöhen, müssen Benutzer ihre Kennwörter ändern, wenn sie zum ersten Mal auf Microsoft-Dienste zugreifen. Daher müssen sich Benutzer, bevor sie auf Microsoft-Dienste zugreifen können, beim Microsoft 365 Admin Center anmelden, wo sie aufgefordert werden, ihre Kennwörter zu ändern. Administratoren können die Kennwortablaufrichtlinie festlegen. Weitere Informationen finden Sie unter Festlegen der Ablaufrichtlinie für ein Benutzerkennwort.

Zurücksetzen des Cloudidentitätskennworts: Es gibt mehrere Tools zum Zurücksetzen von Kennwörtern für Benutzer mit Cloudidentitäten: Admin kennwortzurückgesetzt, Benutzer ändert Kennwörter mit Outlook na Web, rollenbasierte Kennwortberechtigungen zurücksetzen und Kennwörter mit Windows PowerShell zurücksetzen.

Admin setzt das Kennwort zurück. Wenn Benutzer ihre Kennwörter verlieren oder vergessen, können Administratoren die Kennwörter von Benutzern im Admin Center oder mithilfe von Windows PowerShell zurücksetzen. Benutzer können ihr eigenes Kennwort nur ändern, wenn sie ihr bestehendes Kennwort kennen. Wenn Administratoren bei Unternehmensplänen ihre Kennwörter verlieren oder vergessen, kann ein anderer Administrator mit der Rolle "Globaler Administrator" die Kennwörter von Administratoren in der Microsoft 365 Admin Center oder mithilfe von Windows PowerShell zurücksetzen. Weitere Informationen finden Sie im Artikel zum Thema Zurücksetzen von Administratorkennwörtern. Wenn Sie in Office 365 arbeiten, betrieben von 21Vianet in China, lesen Sie Ändern oder Zurücksetzen von Kennwörtern in Office 365 betrieben von 21Vianet.

Benutzer ändert Kennwörter mit Outlook na Web – Die Seite Outlook na Web Optionen enthält einen Link "Kennwort ändern", über den Benutzer zur Seite "Kennwort ändern" weitergeleitet werden. Der Benutzer muss das bisherige Kennwort kennen. Weitere Informationen finden Sie im Artikel zum Thema Ändern des Kennworts. Wenn Sie Office 365 verwenden, die von 21Vianet in China betrieben werden, lesen Sie "Ändern oder Zurücksetzen von Kennwörtern" in Office 365 betrieben von 21Vianet.

Rollenbasiertes Zurücksetzen von Kennwortberechtigungen – Für Enterprise-Pläne können autorisierten Benutzern wie Helpdeskmitarbeitern das Benutzerrecht " Kennwort zurücksetzen " und das Recht zum Ändern von Kennwörtern mithilfe vordefinierter oder benutzerdefinierter Rollen zugewiesen werden, ohne vollständige Dienstadministratoren zu werden. In Enterprise-Plänen können Administratoren mit der Rolle "Globaler Administrator", "Kennwortadministrator" oder "Benutzerverwaltungsadministrator" Kennwörter standardmäßig ändern. Weitere Informationen finden Sie unter Zuweisen von Adminrollen.

Zurücksetzen von Kennwörtern mit Windows PowerShell – Dienstadministratoren können Windows PowerShell verwenden, um Kennwörter zurückzusetzen.

Kennwortverwaltung für Verbundidentität: Bei Verwendung von Verbundidentitäten werden Kennwörter in Active Directory verwaltet. Der lokale Sicherheitstokendienst handelt die Authentifizierung mit dem Verbundgateway aus, ohne die lokalen Active Directory-Kennwörter der Benutzer über das Internet an Office 365 zu übergeben. Lokale Kennwortrichtlinien werden verwendet, oder für Webclients die zweistufige Identifikation. Outlook na Web enthält keinen Link zum Ändern des Kennworts. Benutzer ändern ihre Kennwörter mithilfe von Standardtools, lokalen Tools oder über ihre Desktop-PC-Anmeldeoptionen.

Verzeichnissynchronisierung: Wenn Sie die Verzeichnissynchronisierung mit aktiviertem einmaligem Anmelden (Single Sign-On, SSO) in Ihrer Organisationsumgebung aktiviert haben und ein Ausfall auftritt, der sich auf Ihren Partneridentitätsanbieter auswirkt, bietet die Kennwortsynchronisierungssicherung für die Verbundanmeldung die Möglichkeit, Ihre Domäne manuell auf Kennwortsynchronisierung umzustellen. Die Verwendung der Kennwortsynchronisierung ermöglicht Ihren Benutzern den Zugriff, während der Ausfall behoben ist. Erfahren Sie , wie Sie von einer einzelnen Sign-On zur Kennwortsynchronisierung wechseln.

Lizenzverwaltung: Eine Lizenz gewährt einem Benutzer Zugriff auf eine Reihe von Microsoft-Diensten. Ein Administrator weist jedem Benutzer für jeden Dienst, auf den er zugreifen muss, eine Lizenz zu. Sie können beispielsweise einem Benutzer den Zugriff auf Skype for Business Online, aber nicht auf SharePoint Online gewähren.

Abrechnung: Microsoft-Abrechnungsadministratoren können Änderungen an Abonnementdetails vornehmen, z. B. die Anzahl der Benutzerlizenzen und die Anzahl zusätzlicher Dienste, die Ihr Unternehmen verwendet. Check out Assign or remove a license. Wenn Sie Office 365 verwenden, die von 21Vianet betrieben werden, lesen Sie Zuweisen oder Entfernen von Lizenzen in Office 365 betrieben von 21Vianet.

Gruppenverwaltung: Sicherheitsgruppen werden in SharePoint Online verwendet, um den Zugriff auf Websites zu steuern. Sicherheitsgruppen können im Microsoft 365 Admin Center erstellt werden. Weitere Informationen zu Sicherheitsgruppen finden Sie unter Erstellen, Bearbeiten oder Entfernen einer Sicherheitsgruppe.

Azure Active Directory-Dienste: Azure Active Directory (AD) bietet umfassende Identitäts- und Zugriffsverwaltungsfunktionen für Office 365. Es kombiniert Verzeichnisdienste, erweiterte Identity Governance, Anwendungszugriffsverwaltung und eine funktionsreiche standardbasierte Plattform für Entwickler. Weitere Informationen zu Active Directory-Features in Office 365 finden Sie in diesem Blogbeitrag zum Thema Branding der Anmeldeseite und Self-Service-Kennwortzurücksetzung für Cloudbenutzer. Hier erfahren Sie mehr über die Azure Active Directory-Editionen Free, Basic und Premium.

Featureverfügbarkeit: Informationen zum Anzeigen der Verfügbarkeit von Features über Pläne hinweg finden Sie unter Microsoft 365 und Office 365 Beschreibung des Plattformdiensts.