Microsoft 365 – User & Lizenzen verwalten
Benutzer anlegen, Lizenzen zuweisen und entfernen, Offboarding sauber durchführen – alles im M365 Admin Center und per PowerShell.
Überblick: Wo verwaltest du was?
Benutzer und Lizenzen in Microsoft 365 laufen über zwei Orte:
| Aufgabe | Tool | URL |
|---|---|---|
| User anlegen, bearbeiten, deaktivieren | M365 Admin Center | admin.microsoft.com |
| Lizenzen zuweisen und entfernen | M365 Admin Center | admin.microsoft.com |
| Gruppenbasierte Lizenzierung | Entra Admin Center | entra.microsoft.com |
| Massenvorgänge, Automatisierung | Graph PowerShell | Terminal |
| Postfach-Details, Weiterleitungen | Exchange Admin Center | admin.exchange.microsoft.com |
Der häufigste Fehler: Leute suchen im Exchange Admin Center nach Benutzerverwaltung – das ist falsch. User leben im M365 Admin Center, Postfach-Einstellungen dagegen im Exchange Admin Center.
Neuen Benutzer anlegen
Im Admin Center (GUI)
- Gehe zu admin.microsoft.com > Benutzer > Aktive Benutzer
- Klick auf Benutzer hinzufügen
- Fülle die Pflichtfelder aus:
- Vorname / Nachname – werden als Anzeigename zusammengesetzt
- Benutzername (UPN) – z.B.
m.muster@firma.ch– das ist gleichzeitig die primäre E-Mail-Adresse
- Kennwort: entweder automatisch generieren lassen (Einmal-Passwort per Mail) oder manuell setzen. Haken bei Benutzer muss Kennwort bei erster Anmeldung ändern immer setzen.
- Lizenz zuweisen – ohne Lizenz kein Mailbox, kein Teams, keine Office-Apps. Wähle das passende Paket (z.B. Microsoft 365 Business Standard).
- Optional: Administratorrollen zuweisen, wenn der User z.B. Helpdesk-Admin werden soll.
- Fertig – der User erhält eine Willkommens-Mail mit den Anmeldedaten.
Per PowerShell (Microsoft Graph)
Das klassische MSOnline-Modul und AzureAD sind deprecated. Seit 2025 ist Microsoft Graph PowerShell der empfohlene Weg. Einmalige Installation:
Install-Module Microsoft.Graph -Scope CurrentUser
Connect-MgGraph -Scopes "User.ReadWrite.All", "Organization.Read.All"
Neuen User anlegen und Lizenz zuweisen:
# Passwort-Objekt erstellen
$passwordProfile = @{
Password = "Temp!2026Sicher"
ForceChangePasswordNextSignIn = $true
}
# User erstellen
$newUser = New-MgUser `
-DisplayName "Maria Muster" `
-GivenName "Maria" `
-Surname "Muster" `
-UserPrincipalName "m.muster@firma.ch" `
-MailNickname "m.muster" `
-AccountEnabled `
-PasswordProfile $passwordProfile
# Verfuegbare Lizenzen (SKUs) anzeigen
Get-MgSubscribedSku | Select-Object SkuPartNumber, ConsumedUnits, @{N='Available';E={$_.PrepaidUnits.Enabled - $_.ConsumedUnits}}
# Lizenz zuweisen (SkuId aus obigem Befehl kopieren)
$licenseSkuId = "xxxxx-xxxx-xxxx-xxxx-xxxxxxxx" # z.B. M365 Business Standard
Set-MgUserLicense -UserId $newUser.Id `
-AddLicenses @{SkuId = $licenseSkuId} `
-RemoveLicenses @()
Lizenzen verwalten
Einzeln zuweisen oder entfernen (GUI)
- Aktive Benutzer > User anklicken > Tab Lizenzen und Apps
- Haken setzen oder entfernen
- Änderungen speichern
Tipp: Unter Lizenzen und Apps kannst du bei einem zugewiesenen Paket einzelne Dienste deaktivieren – z.B. Microsoft Teams aus einer Business Standard-Lizenz herausnehmen, wenn der User kein Teams nutzen soll.
Gruppenbasierte Lizenzierung (empfohlen ab ~10 User)
Statt jedem User manuell eine Lizenz zuzuweisen, kannst du Gruppen in Entra ID mit Lizenzen verknüpfen. Tritt ein User der Gruppe bei, bekommt er automatisch die Lizenz – verlässt er sie, wird sie entzogen.
Setup im Entra Admin Center:
- entra.microsoft.com > Gruppen > Gruppe auswählen (oder neue erstellen)
- Lizenzen > Zuweisungen > Lizenz auswählen
- Optional: einzelne Dienste innerhalb der Lizenz deaktivieren
Lizenzübersicht und freie Slots prüfen
# Alle Lizenzen im Tenant mit freien Slots
Get-MgSubscribedSku | Select-Object SkuPartNumber,
@{N='Gesamt';E={$_.PrepaidUnits.Enabled}},
@{N='Genutzt';E={$_.ConsumedUnits}},
@{N='Frei';E={$_.PrepaidUnits.Enabled - $_.ConsumedUnits}} |
Format-Table -AutoSize
# Alle User ohne Lizenz
Get-MgUser -All -Property DisplayName, UserPrincipalName, AssignedLicenses |
Where-Object { $_.AssignedLicenses.Count -eq 0 } |
Select-Object DisplayName, UserPrincipalName
Administratorrollen richtig vergeben
Nicht jeder, der gelegentlich im Admin Center etwas erledigen soll, braucht Global Admin-Rechte. M365 kennt über 60 Rollen – die wichtigsten für den KMU-Alltag:
| Rolle | Was sie darf |
|---|---|
| Globaler Administrator | Alles – so wenige Personen wie möglich |
| Benutzeradministrator | User anlegen, bearbeiten, Passwörter zurücksetzen |
| Lizenzadministrator | Lizenzen zuweisen und entfernen |
| Helpdesk-Administrator | Passwörter zurücksetzen, Sessions beenden |
| Exchange-Administrator | Exchange Admin Center vollständig |
| Teams-Administrator | Teams Admin Center vollständig |
| Abrechnungsadministrator | Abonnements und Rechnungen verwalten |
Best Practice: Globaler Admin nur für maximal 2–3 Personen, und diese Konten mit MFA erzwingen – immer. Für den Alltag reicht eine der Fach-Rollen völlig aus. Mehr dazu auf der Seite Active Directory – User & Gruppen verwalten.
Shared Mailbox – funktionale Adressen ohne extra Lizenz
Eine Shared Mailbox ist ein Postfach ohne eigenen Login, auf das mehrere User gleichzeitig zugreifen können. Typische Einsatzfälle: info@firma.ch, support@firma.ch, buchhaltung@firma.ch.
Eigenschaften:
- Kein Benutzerkonto, kein Login, keine Lizenz notwendig (bis 50 GB)
- Beliebig viele User können Lese- und Schreibzugriff haben
- Mails können im Namen der Shared Mailbox versendet werden
- Wird in Outlook als zusätzliches Postfach eingebunden (automatisch oder manuell)
Shared Mailbox anlegen
- admin.microsoft.com > Teams und Gruppen > Freigegebene Postfächer
- Postfach hinzufügen > Name und E-Mail-Adresse eingeben
- Nach der Erstellung: Mitglieder bearbeiten > User hinzufügen, die Zugriff bekommen sollen
Offboarding – Mitarbeitende sauber entfernen
Offboarding ist einer der fehleranfälligsten Prozesse in der M365-Verwaltung. Hier die vollständige Checkliste:
Schritt-für-Schritt-Offboarding
-
Anmeldung sofort sperren Admin Center > Benutzer > User auswählen > Anmeldung blockieren Damit kann der User sich nicht mehr anmelden, aber das Postfach bleibt erhalten.
-
MFA-Sessions beenden Admin Center > User > MFA verwalten > alle Sitzungen widerrufen. Oder per Graph PowerShell:
Revoke-MgUserSignInSession -UserId "m.muster@firma.ch" -
Postfach sichern / umwandeln
- Option A: Postfach in eine Shared Mailbox umwandeln (empfohlen, wenn Kolleginnen oder Kollegen weiterhin Zugriff brauchen)
- Option B: Weiterleitung auf einen anderen User setzen
- Option C: Postfach-Inhalt exportieren (PST) via Exchange Admin Center
Umwandlung in Shared Mailbox im Exchange Admin Center:
admin.exchange.microsoft.com> Empfänger > Postfächer > User auswählen > In freigegebenes Postfach konvertieren -
Lizenz entfernen Nach der Konvertierung zur Shared Mailbox kann die Lizenz entfernt werden – spart Kosten. Admin Center > User > Lizenzen und Apps > alle Haken entfernen.
-
Aus Gruppen und Teams entfernen
# Alle Gruppen des Users anzeigen Get-MgUserMemberOf -UserId "m.muster@firma.ch" | Select-Object Id, DisplayName # Aus einer Gruppe entfernen Remove-MgGroupMemberByRef -GroupId "<GroupId>" -DirectoryObjectId "<UserId>" -
OneDrive-Inhalte sichern OneDrive bleibt nach Kontolöschung noch 30 Tage erhalten. Du kannst einen anderen Admin als sekundären Besitzer setzen: Admin Center > Aktive Benutzer > User > OneDrive > Zugriff auf Dateien erhalten
-
Konto nach 30 Tagen löschen Admin Center > Aktive Benutzer > User > Benutzer löschen Gelöschte User landen im Papierkorb und können 30 Tage lang wiederhergestellt werden.
Häufige Troubleshooting-Szenarien
User kann sich nicht anmelden
Schnellcheck in dieser Reihenfolge:
- Anmeldung blockiert? Admin Center > User > prüfen ob “Anmeldung blockiert” aktiv ist
- Passwort abgelaufen? Entra ID > User > Passwort-Richtlinien prüfen
- MFA-Problem? User > MFA zurücksetzen lassen
- Lizenz vorhanden? Ohne Lizenz ist der Login zu Cloud-Diensten eingeschränkt
- Konto im Papierkorb? Admin Center > Gelöschte Benutzer prüfen
Lizenz kann nicht zugewiesen werden – “Keine Lizenzen verfügbar”
Das bedeutet: alle gekauften Lizenzen dieses Typs sind vergeben. Optionen:
- Weitere Lizenzen kaufen: Admin Center > Abrechnung > Dienste kaufen
- Prüfen, ob User mit Lizenz aktiv ist oder schon ausgetreten (und Lizenz zurückgegeben werden kann)
- Lizenzübersicht per PowerShell ausführen (siehe oben) und Lizenzen ohne aktive User identifizieren
Shared Mailbox erscheint nicht in Outlook
- Prüfe, ob der User wirklich Mitglied ist (Admin Center > Freigegebene Postfächer > Mitglieder)
- Outlook neu starten – Autodiscover braucht manchmal einen Moment
- Konto in Outlook entfernen und neu hinzufügen
- Manuell hinzufügen: Datei > Kontoeinstellungen > Konto bearbeiten > Weitere Einstellungen > Erweitert > Postfach hinzufügen
Benutzer wurde versehentlich gelöscht
Kein Grund zur Panik: gelöschte User landen im Papierkorb und können 30 Tage lang wiederhergestellt werden, inklusive Postfach und OneDrive.
Admin Center > Benutzer > Gelöschte Benutzer > User auswählen > Benutzer wiederherstellen
Nach der Wiederherstellung muss die Lizenz neu zugewiesen werden – sie wird beim Löschen automatisch freigegeben.
Passwortverwaltung und Self-Service
Passwort als Admin zurücksetzen
Admin Center > Aktive Benutzer > User > Kennwort zurücksetzen
Oder per PowerShell:
# Passwort-Reset und Aufforderung zur Aenderung beim naechsten Login
$newPwd = @{
Password = "Reset!2026Temp"
ForceChangePasswordNextSignIn = $true
}
Update-MgUser -UserId "m.muster@firma.ch" -PasswordProfile $newPwd
Self-Service Password Reset (SSPR) aktivieren
SSPR erlaubt es Usern, ihr Passwort selbst zurückzusetzen – ohne Anruf beim Helpdesk. Voraussetzung: Microsoft Entra ID P1 oder M365 Business Premium.
Einrichten: entra.microsoft.com > Kennwortzurücksetzung > Eigenschaften > Für ausgewählte Gruppen oder alle User aktivieren
Methoden konfigurieren (empfohlen: mindestens 2 von: Authentifikator-App, E-Mail, Mobiltelefon).
Weiterlernen
- Benutzer hinzufügen und Lizenzen zuweisen (Microsoft Learn)
- Lizenzen zuweisen und entfernen im Admin Center (Microsoft Learn)
- Gruppenbasierte Lizenzierung in Entra ID (Microsoft Learn)
- Ehemaliger Mitarbeiter entfernen – Checkliste (Microsoft Learn)
- Lizenzen mit Microsoft Graph PowerShell verwalten (Microsoft Learn)
- Administratorrollen im M365 Admin Center (Microsoft Learn)
Verwandte Seiten: M365 Übersicht · Exchange Online · Intune Grundlagen · PowerShell IT-Alltag
Kommentare
Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.
- Lade Kommentare …