Microsoft-Konten
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Erfahren Sie, wie ein Microsoft-Konto die Sicherheit und den Datenschutz für Benutzer*innen verbessert und wie Sie Consumerkontotypen in Ihrer Organisation verwalten können.
Was ist ein Microsoft-Konto?
Microsoft-Websites, -Dienste, -Eigenschaften und -Computer, auf denen Windows 10 ausgeführt wird, können mithilfe eines Microsoft-Kontos Benutzer*innen identifizieren. Zuvor wurde ein Microsoft-Konto als Windows Live ID bezeichnet. Ein Microsoft-Konto verfügt über benutzerdefinierte Geheimnisse und setzt sich aus einer eindeutigen E-Mail-Adresse und einem Kennwort zusammen.
Wenn sich ein*e Benutzer*in mit einem Microsoft-Konto anmeldet, ist das Gerät mit Clouddiensten verbunden. Der oder die Benutzer*in kann viele Einstellungen und Apps geräteübergreifend freigeben.
Funktionsweise eines Microsoft-Kontos
Benutzer*innen können sich mit einem Microsoft-Konto mit einem einzigen Satz von Anmeldeinformationen bei Websites anmelden, die diesen Dienst unterstützen. Die Anmeldeinformationen der Benutzer*innen werden von einem Microsoft-Kontoauthentifizierungsserver überprüft, der einer Website zugeordnet ist. Microsoft Store ist ein Beispiel für diese Zuordnung. Wenn sich ein*e neue*r Benutzer*in bei einer Website anmeldet, die für die Verwendung von Microsoft-Konten aktiviert ist, wird der oder die Benutzer*in zum nächstgelegenen Authentifizierungsserver umgeleitet, der einen Benutzernamen und ein Kennwort anfragt. Windows verwendet den Schannel Security Support Provider, um eine TLS/SSL-Verbindung (Transport Level Security/Secure Sockets Layer) für diese Funktion zu öffnen. Benutzer*innen können ihre Anmeldeinformationen über den Anmeldeinformations-Manager speichern.
Wenn sich ein*e Benutzer*in bei einer Website anmeldet, die für die Verwendung eines Microsoft-Kontos aktiviert ist, wird ein zeitlich begrenztes Cookie auf dem Computer installiert. Das Cookie enthält ein dreifach mit DES verschlüsseltes ID-Tag. Das verschlüsselte ID-Tag wurde zwischen dem Authentifizierungsserver und der Website vereinbart. Das ID-Tag wird an die Website gesendet, und die Website platziert ein weiteres zeitlimitiert verschlüsseltes HTTP-Cookie auf dem Computer des Benutzers bzw. der Benutzerin. Während der Gültigkeitsdauer des Cookies muss der oder die Benutzer*in keinen Benutzernamen und kein Kennwort eingeben. Wenn sich ein*e Benutzer*in aktiv von seinem bzw. ihrem Microsoft-Konto abmeldet, werden diese Cookies entfernt.
Hinweis
Lokale Windows-Kontofunktionen stellen weiterhin eine Option dar, die Sie in einer verwalteten Umgebung verwenden können.
Erstellen eines Microsoft-Kontos
Um Betrug zu verhindern, überprüft das Microsoft-System die IP-Adresse eines Benutzers oder einer Benutzerin beim Erstellen eines Microsoft-Kontos. Wenn Benutzer*innen versuchen, mehrere Microsoft-Konten mit derselben IP-Adresse zu erstellen, wird diese Erstellung verhindert. Microsoft-Konten sollen nicht in Batches erstellt werden, z. B. für eine Gruppe von Domänenbenutzer*innen in Ihrem Unternehmen.
Um ein Microsoft-Konto zu erstellen, hat ein*e Benutzer*in zwei Optionen:
Verwenden einer vorhandenen E-Mail-Adresse. Der oder die Benutzer*in kann eine gültige E-Mail-Adresse verwenden, um sich für ein Microsoft-Konto zu registrieren. Der Dienst wandelt die E-Mail-Adresse des anfordernden Benutzers bzw. der Benutzerin in ein Microsoft-Konto um. Es kann ein separates Kennwort für das Microsoft-Konto ausgewählt werden.
Registrieren für eine Microsoft-E-Mail-Adresse. Ein*e Benutzer*in kann sich über Microsoft-Webmaildienste für ein E-Mail-Konto registrieren. Der oder Benutzer*in kann sich mit dem Konto bei Websites anmelden, die für die Verwendung von Microsoft-Konten aktiviert sind.
Schutz von Microsoft-Kontoinformationen
Anmeldeinformationen werden zweimal verschlüsselt. Die erste Verschlüsselung basiert auf dem Kontokennwort. Beim Senden über das Internet werden die Anmeldeinformationen erneut verschlüsselt. Die gespeicherten Anmeldeinformationen stehen anderen Diensten von Microsoft oder anderen nicht zur Verfügung.
Ein sicheres Kennwort ist erforderlich. Leere Kennwörter sind nicht zulässig.
Weitere Informationen finden Sie unter Schutz und Sicherheit für Ihr Microsoft-Konto.
Sekundärer Identitätsnachweis ist erforderlich. Bevor Benutzer*innen erstmalig auf Benutzerprofilinformationen und -einstellungen auf einem zweiten unterstützten Windows-Computer zugreifen können, muss eine Vertrauensstellung für dieses Gerät erstellt werden. Zum Herstellen einer Vertrauensstellung müssen die Benutzer*innen einen sekundären Identitätsnachweis vorlegen. Der oder die Benutzer*in kann seine bzw. ihre Identität durch Eingabe eines an die eigene Mobiltelefonnummer gesendeten Codes nachweisen, oder indem er oder sie die Anweisungen befolgt, die an eine alternative, in den Kontoeinstellungen angegebene E-Mail-Adresse gesendet werden.
Alle Benutzerprofildaten werden auf dem Client verschlüsselt, bevor sie in die Cloud übertragen werden. Benutzerdaten werden standardmäßig nicht über ein drahtloses WAN übertragen, sodass Profildaten geschützt sind. Alle Daten und Einstellungen, die ein Gerät verlassen, werden über das TLS/SSL-Protokoll übertragen.
Sicherheitsinformationen des Microsoft-Kontos
Benutzer*innen können ihrem Microsoft-Konto sicherheitsrelevante Informationen über die Kontoschnittstelle auf Computern hinzufügen, auf denen unterstützte Versionen von Windows ausgeführt werden. Unter „Konten“ kann der oder die Benutzer*in die beim Erstellen des Kontos angegebenen Sicherheitsinformationen aktualisieren. Diese Sicherheitsinformationen schließen eine alternative E-Mail-Adresse oder Telefonnummer ein, sodass Überprüfungscode zum Überprüfen der Identität gesendet werden kann, wenn das Kennwort kompromittiert oder vergessen wird. Benutzer*innen können ihr Microsoft-Konto potenziell zum Speichern von Unternehmensdaten auf einem persönlichen OneDrive oder einer E-Mail-App verwenden. Eine sichere Vorgehensweise besteht darin, diese Sicherheitsinformationen als Kontobesitzer*in auf dem neuesten Stand zu halten.
Microsoft-Konten im Unternehmen
Obwohl das Microsoft-Konto für Verbraucher*innen konzipiert wurde, gibt es Situationen, in denen Ihre Domänenbenutzer*innen möglicherweise von der Verwendung eines persönlichen Microsoft-Kontos in Ihrem Unternehmen profitieren. In der folgenden Liste werden die Vorteile beschrieben:
Herunterladen von Microsoft Store-Apps. Wenn Ihr Unternehmen Apps oder Software über den Microsoft Store verteilt, können Unternehmensbenutzer*innen über ein Microsoft-Konto Apps auf bis zu fünf Geräten, auf denen eine beliebige Version von Windows 10, Windows 8.1, Windows 8 oder Windows RT ausgeführt wird, herunterladen und verwenden.
Einmaliges Anmelden. Unternehmensbenutzer*innen können sich mit den Anmeldeinformationen des Microsoft-Kontos bei Geräten anmelden, auf denen Windows 10, Windows 8.1, Windows 8 oder Windows RT ausgeführt wird. In diesem Szenario bietet Windows im Zusammenhang mit Ihrer Microsoft Store-App einen authentifizierten Zugang zur App. Benutzer*innen können ein Microsoft-Konto mit ihren Anmeldeinformationen für Microsoft Store-Apps oder -Websites verknüpfen, sodass diese Anmeldeinformationen auf alle Geräte, auf denen diese unterstützten Versionen ausgeführt werden, übertragen werden.
Synchronisierung persönlicher Einstellungen. Benutzer*innen können ihre am häufigsten verwendeten Betriebssystemeinstellungen einem Microsoft-Konto zuordnen. Diese Einstellungen sind immer verfügbar, wenn sich der oder die Benutzer*in mit diesem Konto auf einem Gerät anmeldet, auf dem eine unterstützte Windows-Version ausgeführt wird und eine Verbindung mit der Cloud besteht. Nach der Anmeldung versucht dieses Gerät automatisch, die Einstellungen des Benutzers bzw. der Benutzerin aus der Cloud abzurufen und auf das Gerät anzuwenden.
Synchronisierung von Apps. Microsoft Store-Apps können benutzerspezifische Einstellungen speichern, sodass diese Einstellungen für jedes Gerät verfügbar sind. Wie bei den Betriebssystemeinstellungen stehen diese benutzerspezifischen App-Einstellungen bei jeder Anmeldung mit demselben Microsoft-Konto auf einem Gerät bereit, auf dem eine unterstützte Windows-Version ausgeführt wird und das mit der Cloud verbunden ist. Nachdem sich der Benutzer angemeldet hat, lädt das betreffende Gerät automatisch die Einstellungen aus der Cloud herunter und wendet sie an, wenn die App installiert wird.
Integrierte Dienste für soziale Netzwerke. Kontaktinformationen und der Status des Freundeskreises und der Geschäftspartner*innen von Benutzer*innen bleiben automatisch auf Websites wie Outlook, Facebook, Twitter und LinkedIn auf dem neuesten Stand. Benutzer*innen können auch auf Fotos, Dokumente und andere Dateien von Websites wie OneDrive, Facebook und Flickr zugreifen und diese freigeben.
Verwalten von Microsoft-Konten in der Domäne
Abhängig von Ihren IT- und Geschäftsmodellen kann die Einführung von Microsoft-Konten in Ihrem Unternehmen die Komplexität erhöhen oder Lösungen bieten. Sie sollten die folgenden Punkte berücksichtigen, bevor Sie diese Kontotypen in Ihrem Unternehmen zulassen:
Einschränken der Verwendung von Microsoft-Konten
Mit den folgenden Gruppenrichtlinieneinstellungen können Sie die Verwendung von Microsoft-Konten im Unternehmen steuern:
Apps und Dienste: Benutzerauthentifizierung mit Microsoft-Konto blockieren
Diese Einstellung steuert, ob ein*e Benutzer*in ein Microsoft-Konto für die Authentifizierung bei einer App oder einem Dienst bereitstellen kann.
Wenn diese Einstellung aktiviert ist, werden alle Apps und Dienste auf einem Gerät daran gehindert, ein Microsoft-Konto für die Authentifizierung zu verwenden. Diese Einstellung gilt sowohl für vorhandene Gerätebenutzer*innen als auch für neue Benutzer*innen.
Alle Apps oder Dienste, die bereits eine*n Benutzer*in mit einem Microsoft-Konto authentifiziert haben, sind von der Aktivierung dieser Einstellung nicht betroffen, bis der Authentifizierungscache abläuft. Es wird empfohlen, diese Einstellung zu aktivieren, bevor sich Benutzer*innen bei einem Gerät anmelden, um zu verhindern, dass zwischengespeicherte Token ein Microsoft-Konto authentifizieren.
Wenn diese Einstellung deaktiviert oder nicht konfiguriert ist, können Apps und Dienste ein Microsoft-Konto für die Authentifizierung verwenden. Diese Einstellung ist standardmäßig deaktiviert.
Diese Einstellung wirkt sich nicht darauf aus, ob sich Benutzer*innen mit einem Microsoft-Konto bei einem Gerät anmelden oder über den Browser für die Authentifizierung mit einer webbasierten App ein Microsoft-Konto bereitstellen können.
Der Pfad zu dieser Einstellung lautet Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft-Konto.
Konten: Blockieren von Microsoft-Konten
Diese Einstellung verhindert das Hinzufügen eines Microsoft-Kontos für die Authentifizierung des einmaligen Anmeldens für Microsoft-Dienste und einige Hintergrunddienste über die Einstellungs-App und das einmalige Anmelden bei anderen Apps oder Diensten über ein Microsoft-Konto.
Wenn diese Einstellung aktiviert ist, haben Benutzer*innen zwei Optionen:
Benutzer*innen können kein Microsoft-Konto hinzufügen. Vorhandene verbundene Konten können sich weiterhin beim Gerät anmelden (und werden auf der Seite Anmelden angezeigt). Benutzer*innen können jedoch nicht mit der Einstellungs-App ein neues verbundenes Konto hinzufügen oder ein lokales Konto mit einem Microsoft-Konto verbinden.
Benutzer*innen können kein Microsoft-Konto hinzufügen und sich nicht mit einem anmelden. Benutzer*innen können kein neues verbundenes Konto hinzufügen (oder ein lokales Konto mit einem Microsoft-Konto verbinden) und kein vorhandenes verbundenes Konto über „Einstellungen“ verwenden.
Diese Einstellung wirkt sich nicht auf das Hinzufügen eines Microsoft-Kontos für die App-Authentifizierung aus. Wenn diese Einstellung aktiviert ist, können Benutzer*innen beispielsweise weiterhin ein Microsoft-Konto für die Authentifizierung mit einer App wie Mail bereitstellen, aber das Microsoft-Konto nicht für die Authentifizierung des einmaligen Anmeldens für andere Apps oder Dienste verwenden. Bei anderen Apps und Diensten werden Benutzer*innen zur Authentifizierung aufgefordert.
Dieses Feature ist standardmäßig nicht konfiguriert.
Der Pfad zu dieser Einstellung lautet Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen.
Konfigurieren verbundener Konten
Benutzer*innen können ein Microsoft-Konto mit ihrem Domänenkonto verbinden und die Einstellungen zwischen den Konten synchronisieren. Durch das Synchronisieren von Einstellungen zwischen Konten werden Benutzer*innen dieselben Desktophintergründe, App-Einstellungen, Browserverläufe und Favoriten sowie andere Microsoft-Kontoeinstellungen auf anderen Geräten angezeigt.
Trennen eines verbundenen Kontos
Benutzer*innen können ein Microsoft-Konto jederzeit von ihrem Domänenkonto trennen: Wählen Sie unter PC-Einstellungen die Option Benutzer>Trennen>Fertig stellen aus.
Hinweis
Das Verbinden eines Microsoft-Kontos mit einem Domänenkonto kann den Zugriff auf einige Aufgaben mit hohen Berechtigungen in Windows einschränken. Beispielsweise wertet der Taskplaner das verbundene Microsoft-Konto für den Zugriff aus, und ein Fehler tritt auf. In diesem Szenario sollte der oder die Kontobesitzer*in die Verbindung mit dem Konto trennen.
Bereitstellen von Microsoft-Konten im Unternehmen
Ein Microsoft-Konto ist ein privates Benutzerkonto. Microsoft bietet keine Möglichkeit, Microsoft-Konten für ein Unternehmen bereitzustellen. Unternehmen sollten Domänenkonten verwenden.
Überwachen der Kontoaktivität
Da ein Microsoft-Konto internetbasiert ist, hat Windows keine Möglichkeit zum Überwachen eines Microsoft-Kontos, sofern das Konto nicht einem Domänenkonto zugeordnet ist. Sie können die Aktivität von Konten, die nicht Ihrer Domäne zugeordnet sind, nicht überwachen, da Benutzer*innen das Konto jederzeit trennen oder die Domäne verlassen können.
Zurücksetzen eines Kennworts
Nur der oder die Besitzer*in eines Microsoft-Kontos kann das dem Konto zugeordnete Kennwort ändern. Benutzer*innen können das Kennwort für ihre Microsoft-Konten im Microsoft-Kontoanmeldungsportal ändern.
Einschränken der Installation und Nutzung einer App
In Ihrer Organisation können Sie Richtlinien zur Anwendungssteuerung festlegen, die die Installation und Nutzung von Apps für Microsoft-Konten regeln. Weitere Informationen finden Sie unter AppLocker und Regeln für Paket-Apps und Paket-App-Installer in AppLocker.