Zum Inhalt springen
sw
en

Tippe um zu suchen

Microsoft 365

Microsoft 365 – User & Lizenzen verwalten

Benutzer anlegen, Lizenzen zuweisen und entfernen, Offboarding sauber durchführen – alles im M365 Admin Center und per PowerShell.

8 Min Lesezeit Fortgeschritten Zuletzt aktualisiert:

Überblick: Wo verwaltest du was?

Benutzer und Lizenzen in Microsoft 365 laufen über zwei Orte:

AufgabeToolURL
User anlegen, bearbeiten, deaktivierenM365 Admin Centeradmin.microsoft.com
Lizenzen zuweisen und entfernenM365 Admin Centeradmin.microsoft.com
Gruppenbasierte LizenzierungEntra Admin Centerentra.microsoft.com
Massenvorgänge, AutomatisierungGraph PowerShellTerminal
Postfach-Details, WeiterleitungenExchange Admin Centeradmin.exchange.microsoft.com

Der häufigste Fehler: Leute suchen im Exchange Admin Center nach Benutzerverwaltung – das ist falsch. User leben im M365 Admin Center, Postfach-Einstellungen dagegen im Exchange Admin Center.


Neuen Benutzer anlegen

Im Admin Center (GUI)

  1. Gehe zu admin.microsoft.com > Benutzer > Aktive Benutzer
  2. Klick auf Benutzer hinzufügen
  3. Fülle die Pflichtfelder aus:
    • Vorname / Nachname – werden als Anzeigename zusammengesetzt
    • Benutzername (UPN) – z.B. m.muster@firma.ch – das ist gleichzeitig die primäre E-Mail-Adresse
  4. Kennwort: entweder automatisch generieren lassen (Einmal-Passwort per Mail) oder manuell setzen. Haken bei Benutzer muss Kennwort bei erster Anmeldung ändern immer setzen.
  5. Lizenz zuweisen – ohne Lizenz kein Mailbox, kein Teams, keine Office-Apps. Wähle das passende Paket (z.B. Microsoft 365 Business Standard).
  6. Optional: Administratorrollen zuweisen, wenn der User z.B. Helpdesk-Admin werden soll.
  7. Fertig – der User erhält eine Willkommens-Mail mit den Anmeldedaten.

Per PowerShell (Microsoft Graph)

Das klassische MSOnline-Modul und AzureAD sind deprecated. Seit 2025 ist Microsoft Graph PowerShell der empfohlene Weg. Einmalige Installation:

Install-Module Microsoft.Graph -Scope CurrentUser
Connect-MgGraph -Scopes "User.ReadWrite.All", "Organization.Read.All"

Neuen User anlegen und Lizenz zuweisen:

# Passwort-Objekt erstellen
$passwordProfile = @{
    Password                      = "Temp!2026Sicher"
    ForceChangePasswordNextSignIn = $true
}

# User erstellen
$newUser = New-MgUser `
    -DisplayName "Maria Muster" `
    -GivenName "Maria" `
    -Surname "Muster" `
    -UserPrincipalName "m.muster@firma.ch" `
    -MailNickname "m.muster" `
    -AccountEnabled `
    -PasswordProfile $passwordProfile

# Verfuegbare Lizenzen (SKUs) anzeigen
Get-MgSubscribedSku | Select-Object SkuPartNumber, ConsumedUnits, @{N='Available';E={$_.PrepaidUnits.Enabled - $_.ConsumedUnits}}

# Lizenz zuweisen (SkuId aus obigem Befehl kopieren)
$licenseSkuId = "xxxxx-xxxx-xxxx-xxxx-xxxxxxxx"  # z.B. M365 Business Standard
Set-MgUserLicense -UserId $newUser.Id `
    -AddLicenses @{SkuId = $licenseSkuId} `
    -RemoveLicenses @()

Lizenzen verwalten

Einzeln zuweisen oder entfernen (GUI)

  1. Aktive Benutzer > User anklicken > Tab Lizenzen und Apps
  2. Haken setzen oder entfernen
  3. Änderungen speichern

Tipp: Unter Lizenzen und Apps kannst du bei einem zugewiesenen Paket einzelne Dienste deaktivieren – z.B. Microsoft Teams aus einer Business Standard-Lizenz herausnehmen, wenn der User kein Teams nutzen soll.

Gruppenbasierte Lizenzierung (empfohlen ab ~10 User)

Statt jedem User manuell eine Lizenz zuzuweisen, kannst du Gruppen in Entra ID mit Lizenzen verknüpfen. Tritt ein User der Gruppe bei, bekommt er automatisch die Lizenz – verlässt er sie, wird sie entzogen.

Setup im Entra Admin Center:

  1. entra.microsoft.com > Gruppen > Gruppe auswählen (oder neue erstellen)
  2. Lizenzen > Zuweisungen > Lizenz auswählen
  3. Optional: einzelne Dienste innerhalb der Lizenz deaktivieren

Lizenzübersicht und freie Slots prüfen

# Alle Lizenzen im Tenant mit freien Slots
Get-MgSubscribedSku | Select-Object SkuPartNumber,
    @{N='Gesamt';E={$_.PrepaidUnits.Enabled}},
    @{N='Genutzt';E={$_.ConsumedUnits}},
    @{N='Frei';E={$_.PrepaidUnits.Enabled - $_.ConsumedUnits}} |
    Format-Table -AutoSize

# Alle User ohne Lizenz
Get-MgUser -All -Property DisplayName, UserPrincipalName, AssignedLicenses |
    Where-Object { $_.AssignedLicenses.Count -eq 0 } |
    Select-Object DisplayName, UserPrincipalName

Administratorrollen richtig vergeben

Nicht jeder, der gelegentlich im Admin Center etwas erledigen soll, braucht Global Admin-Rechte. M365 kennt über 60 Rollen – die wichtigsten für den KMU-Alltag:

RolleWas sie darf
Globaler AdministratorAlles – so wenige Personen wie möglich
BenutzeradministratorUser anlegen, bearbeiten, Passwörter zurücksetzen
LizenzadministratorLizenzen zuweisen und entfernen
Helpdesk-AdministratorPasswörter zurücksetzen, Sessions beenden
Exchange-AdministratorExchange Admin Center vollständig
Teams-AdministratorTeams Admin Center vollständig
AbrechnungsadministratorAbonnements und Rechnungen verwalten

Best Practice: Globaler Admin nur für maximal 2–3 Personen, und diese Konten mit MFA erzwingen – immer. Für den Alltag reicht eine der Fach-Rollen völlig aus. Mehr dazu auf der Seite Active Directory – User & Gruppen verwalten.


Shared Mailbox – funktionale Adressen ohne extra Lizenz

Eine Shared Mailbox ist ein Postfach ohne eigenen Login, auf das mehrere User gleichzeitig zugreifen können. Typische Einsatzfälle: info@firma.ch, support@firma.ch, buchhaltung@firma.ch.

Eigenschaften:

  • Kein Benutzerkonto, kein Login, keine Lizenz notwendig (bis 50 GB)
  • Beliebig viele User können Lese- und Schreibzugriff haben
  • Mails können im Namen der Shared Mailbox versendet werden
  • Wird in Outlook als zusätzliches Postfach eingebunden (automatisch oder manuell)

Shared Mailbox anlegen

  1. admin.microsoft.com > Teams und Gruppen > Freigegebene Postfächer
  2. Postfach hinzufügen > Name und E-Mail-Adresse eingeben
  3. Nach der Erstellung: Mitglieder bearbeiten > User hinzufügen, die Zugriff bekommen sollen

Offboarding – Mitarbeitende sauber entfernen

Offboarding ist einer der fehleranfälligsten Prozesse in der M365-Verwaltung. Hier die vollständige Checkliste:

Schritt-für-Schritt-Offboarding

  1. Anmeldung sofort sperren Admin Center > Benutzer > User auswählen > Anmeldung blockieren Damit kann der User sich nicht mehr anmelden, aber das Postfach bleibt erhalten.

  2. MFA-Sessions beenden Admin Center > User > MFA verwalten > alle Sitzungen widerrufen. Oder per Graph PowerShell:

    Revoke-MgUserSignInSession -UserId "m.muster@firma.ch"
  3. Postfach sichern / umwandeln

    • Option A: Postfach in eine Shared Mailbox umwandeln (empfohlen, wenn Kolleginnen oder Kollegen weiterhin Zugriff brauchen)
    • Option B: Weiterleitung auf einen anderen User setzen
    • Option C: Postfach-Inhalt exportieren (PST) via Exchange Admin Center

    Umwandlung in Shared Mailbox im Exchange Admin Center: admin.exchange.microsoft.com > Empfänger > Postfächer > User auswählen > In freigegebenes Postfach konvertieren

  4. Lizenz entfernen Nach der Konvertierung zur Shared Mailbox kann die Lizenz entfernt werden – spart Kosten. Admin Center > User > Lizenzen und Apps > alle Haken entfernen.

  5. Aus Gruppen und Teams entfernen

    # Alle Gruppen des Users anzeigen
    Get-MgUserMemberOf -UserId "m.muster@firma.ch" | Select-Object Id, DisplayName
    
    # Aus einer Gruppe entfernen
    Remove-MgGroupMemberByRef -GroupId "<GroupId>" -DirectoryObjectId "<UserId>"
  6. OneDrive-Inhalte sichern OneDrive bleibt nach Kontolöschung noch 30 Tage erhalten. Du kannst einen anderen Admin als sekundären Besitzer setzen: Admin Center > Aktive Benutzer > User > OneDrive > Zugriff auf Dateien erhalten

  7. Konto nach 30 Tagen löschen Admin Center > Aktive Benutzer > User > Benutzer löschen Gelöschte User landen im Papierkorb und können 30 Tage lang wiederhergestellt werden.


Häufige Troubleshooting-Szenarien

User kann sich nicht anmelden

Schnellcheck in dieser Reihenfolge:

  1. Anmeldung blockiert? Admin Center > User > prüfen ob “Anmeldung blockiert” aktiv ist
  2. Passwort abgelaufen? Entra ID > User > Passwort-Richtlinien prüfen
  3. MFA-Problem? User > MFA zurücksetzen lassen
  4. Lizenz vorhanden? Ohne Lizenz ist der Login zu Cloud-Diensten eingeschränkt
  5. Konto im Papierkorb? Admin Center > Gelöschte Benutzer prüfen

Lizenz kann nicht zugewiesen werden – “Keine Lizenzen verfügbar”

Das bedeutet: alle gekauften Lizenzen dieses Typs sind vergeben. Optionen:

  • Weitere Lizenzen kaufen: Admin Center > Abrechnung > Dienste kaufen
  • Prüfen, ob User mit Lizenz aktiv ist oder schon ausgetreten (und Lizenz zurückgegeben werden kann)
  • Lizenzübersicht per PowerShell ausführen (siehe oben) und Lizenzen ohne aktive User identifizieren

Shared Mailbox erscheint nicht in Outlook

  1. Prüfe, ob der User wirklich Mitglied ist (Admin Center > Freigegebene Postfächer > Mitglieder)
  2. Outlook neu starten – Autodiscover braucht manchmal einen Moment
  3. Konto in Outlook entfernen und neu hinzufügen
  4. Manuell hinzufügen: Datei > Kontoeinstellungen > Konto bearbeiten > Weitere Einstellungen > Erweitert > Postfach hinzufügen

Benutzer wurde versehentlich gelöscht

Kein Grund zur Panik: gelöschte User landen im Papierkorb und können 30 Tage lang wiederhergestellt werden, inklusive Postfach und OneDrive.

Admin Center > Benutzer > Gelöschte Benutzer > User auswählen > Benutzer wiederherstellen

Nach der Wiederherstellung muss die Lizenz neu zugewiesen werden – sie wird beim Löschen automatisch freigegeben.


Passwortverwaltung und Self-Service

Passwort als Admin zurücksetzen

Admin Center > Aktive Benutzer > User > Kennwort zurücksetzen

Oder per PowerShell:

# Passwort-Reset und Aufforderung zur Aenderung beim naechsten Login
$newPwd = @{
    Password                      = "Reset!2026Temp"
    ForceChangePasswordNextSignIn = $true
}
Update-MgUser -UserId "m.muster@firma.ch" -PasswordProfile $newPwd

Self-Service Password Reset (SSPR) aktivieren

SSPR erlaubt es Usern, ihr Passwort selbst zurückzusetzen – ohne Anruf beim Helpdesk. Voraussetzung: Microsoft Entra ID P1 oder M365 Business Premium.

Einrichten: entra.microsoft.com > Kennwortzurücksetzung > Eigenschaften > Für ausgewählte Gruppen oder alle User aktivieren

Methoden konfigurieren (empfohlen: mindestens 2 von: Authentifikator-App, E-Mail, Mobiltelefon).


Weiterlernen

Verwandte Seiten: M365 Übersicht · Exchange Online · Intune Grundlagen · PowerShell IT-Alltag

Kommentare

Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.

  • Lade Kommentare …
Kommentar schreiben