Die Verwaltung von Microsoft 365 optimieren

Warum eine hybride Anordnung die Verwaltung von Microsoft 365 komplex macht

Die Verwaltung von Microsoft 365 wird durch die Interaktion zwischen lokalem Active Directory (AD) und Microsoft Entra ID, ehemals Azure Active Directory, kompliziert. Änderungen in einer Umgebung können sich auf die andere auswirken, wodurch Aufgaben wie die Zuweisung von Lizenzen und das Zurücksetzen von Kennwörtern komplexer werden. Als Administrator müssen Sie die verschiedenen Optionen und möglichen Auswirkungen kennen, wenn Sie Änderungen an lokalen und Cloud-Domänen vornehmen.

Die meisten Benutzer in einem Unternehmen befinden sich in der lokalen AD und müssen die zugehörigen Attribute mit Microsoft Entra ID synchronisieren, um sich mit einem einzigen Satz von Anmeldeinformationen anzumelden.

Nach der Synchronisierung wird die Verwaltung eines Benutzers aufgrund eines primären Kontos in der lokalen AD und einer Cloud-Version in Microsoft Entra ID komplizierter. Beispielsweise weisen Sie Lizenzen in der Cloud zu, nicht lokal. Sie können auch an beiden Standorten Kennwortzurücksetzungen durchführen, was jedoch zu Sperrungen und anderen Problemen führen kann. Erschwerend kommt hinzu, dass Microsoft mehrere Verwaltungsmethoden bereitstellt, die Sie verstehen müssen, um effizienter arbeiten und Probleme mit Konten sowohl lokal als auch in der Cloud vermeiden zu können.

So verwalten Sie Lizenzen in Microsoft 365

Das Hinzufügen, Ändern, Entfernen und Überwachen der Lizenznutzung sind Kernaufgaben des Microsoft-365-Administrators.

Sie müssen Lizenzen mit einer der folgenden Technologien einem bestimmten Benutzer oder bestimmten Benutzern in Microsoft Entra ID zuweisen: Microsoft 365 Admin Center, Microsoft Entra Admin Center, Entra-ID-Portal in Azure, PowerShell, Microsoft 365/Azure-Befehlszeilenschnittstelle oder Microsoft Graph. Die Wahl des richtigen Ansatzes ist entscheidend, da Benutzer nur mit den entsprechenden Lizenzen auf Funktionen und Dienste zugreifen können.

Jede Option bietet entweder direkte oder vererbte Zuweisungen, die für Benutzer in Gruppen verwendet werden. Die Standardfunktion erfordert die direkte Zuweisung von Lizenzen an Benutzer, während Organisationen mit Entra-ID-Premium-Lizenzen Gruppenlizenzzuweisungen verwenden können.

Die Wahl der richtigen Microsoft-365-Verwaltungsmethode hängt von den Anforderungen Ihrer Organisation ab. Wenn Sie Lizenzen manuell an Benutzer zuweisen, können Sie beide Ansätze verwenden. Wenn Sie Lizenzen zuweisen möchten, während Benutzer von der lokalen AD in die Cloud synchronisiert werden, können Sie die erforderliche Lizenz für die Premiumfunktionen erwerben und Gruppenzuweisungen verwenden. Bei der gruppenbasierten Lizenzierung werden durch das Hinzufügen eines Benutzers zu einer Gruppe automatisch die entsprechenden Lizenzen zugewiesen, die dieser Gruppe zugeordnet sind. Umgekehrt werden durch das Entfernen eines Benutzers aus der Gruppe auch die entsprechenden Lizenzen für den Benutzer entfernt, sofern er nicht Teil einer anderen Gruppe mit derselben Lizenz ist.

In Microsoft 365 sind dynamische Gruppen eine Entra-ID-Funktion, die eine automatische Mitgliedschaftsverwaltung basierend auf Benutzerattributen ermöglicht, was für die Lizenzverwaltung hilfreich sein kann. Wenn Sie eine dynamische Gruppe erstellen, definieren Sie Regeln basierend auf Benutzereigenschaften wie Abteilung, Standort und Berufsbezeichnung. Entra ID fügt Benutzer basierend auf diesen Regeln automatisch zur Gruppe hinzu oder entfernt sie daraus. Wenn Sie beispielsweise eine Regel erstellen, dass alle Benutzer in der Vertriebsabteilung Mitglieder einer bestimmten Gruppe sein müssen, wird jeder neue Benutzer, der dieser Abteilung hinzugefügt wird, automatisch dieser Gruppe hinzugefügt.

Diese Funktion hilft großen Unternehmen bei der automatisierten Lizenzverwaltung. Anstatt Lizenzen manuell jedem Benutzer zuzuweisen oder komplexe Skripte zur Automatisierung des Prozesses zu schreiben, können Sie Lizenzen mithilfe der dynamischen Gruppenmitgliedschaft von Entra ID in großem Umfang verwalten.

Seit 2025 stehen zudem Lizenzierungsrichtlinien zur Verfügung, mit denen Lizenzen direkt basierend auf Benutzerattributen (wie Rolle oder Abteilung) zugewiesen werden können, unabhängig von Gruppen. Diese Funktion erweitert die Optionen zur Automatisierung.

So verwalten Sie anwendungsspezifische Einstellungen in Microsoft 365

Nahezu alle Microsoft-365-Anwendungen sind integriert und basieren auf Kernkomponenten und -funktionen. Beispielsweise sind viele der Dienste in OneDrive for Business und SharePoint Online integriert, um die Benutzerakzeptanz und -verwaltung zu vereinfachen. Allerdings wirken sich nicht alle Konfigurationseinstellungen auf alle Anwendungen aus. So hat beispielsweise das Ändern der SharePoint-Online-Freigabefunktionen keine Auswirkungen auf Microsoft Exchange oder andere Dienste. Das Ändern der Konfiguration für zulässige Domänen kann jedoch Auswirkungen auf beide haben.

Fast alle Konfigurationseinstellungen für Anwendungen wie SharePoint Online, Exchange Online und sogar Microsoft Teams befinden sich nicht in Microsoft Entra ID. Die meisten Dienste verfügen über ein eigenes Verwaltungsportal oder einen eigenen Bereich im Hauptadministrationscenter von Microsoft 365 oder in den entsprechenden Anwendungsportalen.

Im Folgenden finden Sie einige gängige Benutzereinstellungen in den beliebtesten Microsoft-365-Diensten, die Sie im Admin-Portal anpassen können.

Exchange Online

• Postfachberechtigungen: Diese legen Berechtigungen fest, die den Zugriff auf das Postfach eines Benutzers und die Aktionen, die dieser ausführen kann, regeln.
• Richtlinien für mobile Geräte: Diese wenden verschiedene Richtlinien für mobile Gerätepostfächer an, darunter die Länge und Anforderungen für Kennwörter.

Diese Richtlinien befinden sich direkt in Exchange Online. Administratoren können auch mit Richtlinien in Microsoft Intune arbeiten, indem sie Richtlinien für die Verwaltung mobiler Geräte oder mobiler Anwendungen verwenden.

Microsoft Teams

• Teams-Richtlinien: Diese legen fest, welche Funktionen Microsoft-Teams-Benutzern zur Verfügung stehen, darunter Besprechungsrichtlinien, Messaging-Richtlinien und App-Einrichtungsrichtlinien.
• Gastberechtigungen: Diese Einstellungen steuern, was Gäste in einem Team tun können.

OneDrive for Business

• Storage-Kontingent: Dies ist die Speicherplatzmenge, die jedem Benutzer zur Verfügung steht.
• Freigabe: Hier werden die Freigabefunktionen der Benutzer festgelegt, darunter, ob sie Dateien extern verteilen können und welche Art von Link sie zum Freigeben verwenden können.
• Gerätezugriff: Mit diesen Einstellungen wird festgelegt, welche Geräte mit OneDrive synchronisiert werden können.

SharePoint Online

• Freigabe: Wie bei OneDrive werden hier die Freigabefunktionen von SharePoint-Websites festgelegt.
• Zugriffssteuerung: Diese Einstellungen legen fest, welche IP-Adressen Benutzer für den Zugriff auf SharePoint Online und Apps verwenden können.
• Einstellungen für die externe Zusammenarbeit: Hiermit wird die Freigabe von Benutzerinhalten für Personen außerhalb Ihrer Organisation gesteuert. Um diese Einstellungen zu konfigurieren, müssen Sie das Microsoft Entra Admin Center oder den Entra-ID-Bereich im Azure-Portal verwenden.

So arbeiten Sie mit der Exchange-Online-Postfachverwaltung

Sie verwalten Exchange-Online-Postfächer über das Microsoft-365-Verwaltungsportal. Eine der wichtigsten Aufgaben in diesem Bereich ist das Erstellen von freigegebenen Postfächern, mit denen mehrere Benutzer E-Mails über eine gemeinsame Adresse senden und empfangen können.

Diese Funktion ist besonders für die Kommunikation innerhalb von Abteilungen von Vorteil, da mehrere Teammitglieder Zugriff auf dieselben E-Mail-Konversationen erhalten, beispielsweise ein Kundendienstpostfach, auf das alle Support-Teammitglieder zugreifen können, um Kundenanfragen effizient zu bearbeiten.

Das Zuweisen von Postfachberechtigungen ist eine weitere wichtige Aufgabe im Microsoft-365-Verwaltungsportal. Dabei wird festgelegt, wer Zugriff auf ein bestimmtes Postfach hat und über welche Zugriffsrechte diese Personen verfügen. Sie können je nach den Anforderungen Ihrer Organisation und den spezifischen Rollen Ihrer Mitglieder Vollzugriff, Berechtigungen zum Senden als oder im Namen eines anderen Benutzers zuweisen. Mit Vollzugriff kann ein Benutzer die Mailbox öffnen und auf alle Inhalte zugreifen. Mit den Rechten zum Senden als Delegierter kann ein Benutzer eine E-Mail senden, die so aussieht, als stamme sie aus der freigegebenen Mailbox. Mit den Rechten zum Senden im Namen eines anderen Delegierten kann der Benutzer E-Mails im Namen der freigegebenen Mailbox senden, aber die Empfänger sehen, dass ein Benutzer sie im Namen eines anderen gesendet hat.

Die E-Mail-Weiterleitung ist eine weitere wichtige Funktion in Exchange Online, mit der E-Mails automatisch von einem Postfach an ein anderes weitergeleitet werden können. Diese Funktion ist nützlich, um Nachrichten an Mitarbeiter weiterzuleiten, die das Unternehmen verlassen haben oder längere Zeit abwesend sind, damit das Team alle wichtigen Mitteilungen erhält. Administratoren richten das System so ein, dass alle eingehenden E-Mails von der Adresse des abwesenden Mitarbeiters an den Posteingang eines anderen aktiven Teammitglieds weitergeleitet werden.

So arbeiten Sie mit Sicherheit und Compliance

Microsoft 365 bietet eine leistungsstarke Suite von Sicherheits- und Compliance-Funktionen, die zum Schutz von Daten und zur Einhaltung gesetzlicher und organisatorischer Standards beitragen. Sie können diese Funktionen – Data Loss Prevention (DLP), Vertraulichkeitsbezeichnungen, Aufbewahrungsrichtlinien und E-Discovery – über das Microsoft 365 Compliance Center verwalten. Das ist Teil von Microsoft Purview.

DLP verhindert, dass sensible Daten wie personenbezogene Daten, Kreditkartennummern und andere vom Unternehmen definierte sensible Informationen das Unternehmen verlassen. Im Microsoft-365-Compliance-Center erstellen Sie DLP-Richtlinien, die diese sensiblen Informationen identifizieren und deren Weitergabe verhindern.

Beispielsweise können Sie eine Richtlinie festlegen, die verhindert, dass E-Mails mit Kreditkartendaten außerhalb des Unternehmens gesendet werden.

Mithilfe von Vertraulichkeitsbezeichnungen in Microsoft 365 klassifizieren und schützen Unternehmen eingeschränkte Informationen in allen Anwendungen. Jede Bezeichnung kann unterschiedliche Vertraulichkeitsstufen darstellen und entsprechende Schutzmaßnahmen anwenden. Eine Bezeichnung mit dem Namen vertraulich könnte beispielsweise Dokumente und E-Mails verschlüsseln oder den Zugriff auf Inhalte einschränken. Sie verwalten und wenden Vertraulichkeitsbezeichnungen über das Microsoft-365-Compliance-Center an, und Benutzer können diese Bezeichnungen in Apps wie Word, Excel, PowerPoint und Outlook auf ihre Dokumente und E-Mails anwenden.

Über Aufbewahrungsrichtlinien in Microsoft 365 lässt sich der der Lebenszyklus von Informationen steuern. Dadurch lassen sich gesetzliche und Branchenvorschriften einhalten. Damit wird festgelegt, wie lange Daten aufbewahrt werden und was am Ende des Lebenszyklus zu tun ist. Sie können im Microsoft-365-Compliance-Center Aufbewahrungsrichtlinien festlegen, um Inhalte für einen bestimmten Zeitraum aufzubewahren oder zu löschen, wenn ihr Lebenszyklus abgelaufen ist. Eine Aufbewahrungsrichtlinie könnte beispielsweise E-Mails in der Mailbox eines Benutzers automatisch löschen, die älter als sieben Jahre sind.

Microsoft 365 E-Discovery findet, speichert und exportiert Inhalte als Reaktion auf Rechtsfälle oder Untersuchungen. Mit E-Discovery können Sie Inhalte in Microsoft 365 suchen, diese Inhalte speichern, um zu verhindern, dass sie geändert oder gelöscht werden, und sie dann zur weiteren Analyse exportieren.