Office 365 Identität und Zugriff: Benutzer und Berechtigungen verwalten

Tutorials

Office 365 Identität & Zugriff: Benutzer & Berechtigungen verwalten. Dieser Artikel zeigt, wie Sie Benutzerkonten und Berechtigungen in Office 365 mithilfe von Identitäts- und Zugriffsverwaltungs-Tools verwalten.

Wir beginnen mit einer Übersicht über die Identität und den Zugriff in Office 365 und deren Verwaltungslösungen. In diesem Abschnitt erläutern wir, wie verschiedene Arten von Benutzern erstellt und ihnen Zugriff auf Ressourcen in der Identitäts- und Zugriffsverwaltung von Office 365 gewährt werden. 

Dieser Abschnitt konzentriert sich insbesondere auf die Erstellung interner und externer Benutzer mit Microsoft 365, dem Azure AD-Portal oder Azure AD PowerShell. Darüber hinaus zeigen wir, wie Sie diese drei Tools verwenden, um Benutzern Zugriff auf erforderliche Ressourcen zu gewähren.

Darüber hinaus beinhaltet die Verwaltung von Benutzerkonten und Berechtigungen das Zurücksetzen von Benutzerpasswörtern. In diesem Artikel wird daher erläutert, wie man Passwörter für Office 365-Benutzer mithilfe der drei Methoden zurücksetzt.

Auch Lesen Sie Schutz vor Phishing-Angriffen in Office 365

Überblick über das Identitäts- und Zugriffsmanagement von Office 365

Das Office 365 Identitäts– und Zugriffsmanagement (IAM)-Tool ermöglicht es Administratoren, Benutzerkonten und Berechtigungen zu verwalten. Microsoft 365 bietet 2 Arten von Benutzern: intern und extern. 

Interne Benutzer gehören zur Organisation, während externe Benutzer zu einer anderen Organisation gehören, die dem Office 365-Tenant zu Kollaborationszwecken hinzugefügt wurde.

Nachdem Sie einen internen oder externen Benutzer erstellt haben, gewähren Sie ihm Zugriff auf Ressourcen über Rollen oder Gruppen. Um Zugriff über Rollen zu gewähren, fügen Sie den Benutzer der Rolle hinzu.

Wenn Benutzern über die Gruppenmitgliedschaft Zugriff auf Ressourcen gewährt wird, wird empfohlen, die Benutzer zur Gruppe hinzuzufügen. Anschließend fügen Sie die Gruppe der entsprechenden Azure AD-Rolle hinzu.

Mit diesem Ansatz erben die Benutzer die den Gruppen zugewiesenen Berechtigungen.

Beachten Sie, dass Sie beim Erstellen der Gruppe zunächst die Rollenzuweisung aktivieren müssen, um Gruppen zu Rollen hinzufügen zu können. Sobald Sie diese Einstellung aktiviert haben, ist sie jedoch dauerhaft für die Gruppe.

Alternativ gewähren Sie einer rollenzuweisbaren Gruppe Zugriff auf eine integrierte Rolle und fügen dann Benutzer zur Gruppe hinzu.

Weitere Informationen finden Sie unter Wie Sie rollenbasierte Zugriffssteuerung in Office 365 implementieren

Methode 1:

Verwenden Sie das M365-Portal zur Verwaltung von Benutzerkonten und Berechtigungen mit Office 365 Identity and Access Management

Darüber hinaus bieten wir eine schrittweise Anleitung zum Erstellen einer Microsoft 365 Gruppe, zum Hinzufügen von Benutzern zur Gruppe und zum Zuweisen eines Benutzers oder einer Gruppe zu einer Rolle.

Schritt 1 Option 2: Erstellen Sie Office 365-Interne Benutzer im Microsoft 365-Portal

1. Um die Verwaltung von Benutzern und Berechtigungen in Microsoft 365 zu beginnen, greifen Sie mit einem Konto mit den entsprechenden Berechtigungen auf admin.microsoft.com zu.

2. Greifen Sie als nächstes auf die Seite Aktive Benutzer zu. Klicken Sie auf das Navigationsmenüsymbol (falls es nicht bereits erweitert ist) und wählen Sie „Aktive Benutzer“ aus dem Benutzer-Knoten aus.

3. Auf der Seite „Aktive Benutzer“ klicken Sie auf „Benutzer hinzufügen„, um den Workflow zur Erstellung neuer Benutzer zu starten. Dies führt Sie durch den Prozess, um die erforderlichen Benutzerdetails hinzuzufügen und falls nötig Lizenzen und Rollen zuzuweisen.

Lesen Sie auch So überwachen Sie Office 365-Aktivitätsprotokolle für verbesserte Sicherheit

Schritt 1 Option 2: Erstellen von Office 365-externen Benutzern im Microsoft 365-Portal

Um sicherzustellen, dass andere Benutzer den Kalender des externen Benutzers zu ihrem eigenen Kalender hinzufügen können, wird empfohlen, den Benutzer zunächst als Mail-Kontakt für den Benutzer in Exchange Online hinzuzufügen, bevor Sie einen externen Benutzer in Microsoft 365 erstellen.

In meiner Erfahrung können andere Benutzer Probleme beim Hinzufügen des Kalenders des externen Benutzers zu ihrem eigenen haben, wenn Sie diesen Schritt überspringen.

Wenn jedoch interne Benutzer den externen Benutzer nicht zu ihren Kalendern hinzufügen müssen, können Sie diesen Schritt überspringen und mit Stage 2 unten fortfahren:Phase 1: Fügen Sie einen Mail-Kontakt für den Benutzer in Exchange Online hinzu (optional).

Stufe 1: Fügen Sie einen Mail-Kontakt für den Benutzer in Exchange Online hinzu (optional).

Um die Exchange Online-Kontaktseite zu öffnen, melden Sie sich mit Ihren Administratoranmeldeinformationen unter admin.exchange.microsoft.com an. Nach dem Anmelden navigieren Sie zur Seite „Empfänger -> Kontakte“.

Klicken Sie schließlich auf „Einen Mail-Kontakt hinzufügen“ und folgen Sie den Schritten. Ich habe mein Gmail-Konto hinzugefügt, um eine Demo zu erstellen.

Stufe 2: Fügen Sie den Mail-Kontakt als Gastbenutzer hinzu.

Melden Sie sich unter admin.microsoft.com an und navigieren Sie zum Abschnitt „Gastbenutzer“ im Bereich „Benutzer“. Klicken Sie dann auf „Gastbenutzer hinzufügen“, um einen neuen Gastbenutzer hinzuzufügen.

Diese Aktion öffnet die Azure AD-Seite „Neuer Benutzer“ in einem neuen Browser-Tab. Wählen Sie auf der Azure AD-Seite die Option „Benutzer einladen“ aus, fügen Sie die erforderlichen Informationen hinzu und klicken Sie auf die Schaltfläche „Einladen“.

Um ihr Konto zu aktivieren, muss der externe Benutzer ihre E-Mail von Microsoft überprüfen und dem in der Nachricht bereitgestellten Link folgen.

Auch Lesen Using Conditional Access Policies to Enhance Office 365 Security

Schritt 2 Option 1: Gewähren Sie Benutzerkonten Berechtigungen über Rollen im Office 365-Portal.

Um Rollen für Benutzer in Office 365 zuzuweisen, navigieren Sie zum Microsoft 365-Portal und befolgen Sie die folgenden Anweisungen.

Weisen Sie internen und externen Benutzern Microsoft 365-Rollen zu.

1. Erweitern Sie im Menü Rollen und klicken Sie auf Rollenzuweisungen.

2. Klicken Sie anschließend auf die Azure AD-Rolle, um einem Benutzer eine Rolle zuzuweisen, z. B. „Helpdesk-Administrator“.

3. Klicken Sie im Rollout der Rolle auf den Tab Zugewiesen. Klicken Sie dann auf „Benutzer hinzufügen“. Wählen Sie schließlich die Benutzer aus, denen Sie die Rolle zuweisen möchten, und klicken Sie auf Hinzufügen.

Nachdem Sie hinzugefügt wurden, überprüfen Sie den Tab „Zugewiesen“, um zu bestätigen, dass sie erfolgreich hinzugefügt wurden.

Auch lesen: Office 365-Benutzerberichte anzeigen

Schritt 2 Option 2: Gewähren von Benutzerkontoberechtigungen über Gruppen im Microsoft 365-Portal.

Um Benutzern Zugriff über Gruppen zuzuweisen, befolgen Sie einen 2-Schritte-Prozess.

Zuerst sollten die Benutzer der Gruppe hinzugefügt werden. Anschließend sollte die Gruppe mit Hilfe der Rollenverwaltung verwendet werden, um eine Rolle zu

zuweisen. Wie bereits erwähnt muss die Option, Rollen für Gruppen zuzuweisen, beim Erstellen der Gruppe aktiviert werden. Daher sollten Gruppen zum Zuweisen von Benutzerrollen verwendet werden, indem eine Gruppe erstellt und während des Erstellungsprozesses die Rollenzuweisung aktiviert wird.

1. Um dies zu tun, müssen Sie im Microsoft 365 Portal „Teams & Gruppen“ erweitern und dann „Aktive Teams & Gruppen“ auswählen.

2. Anschließend klicken Sie, um den Workflow „Gruppe hinzufügen“ zu öffnen, auf Gruppe hinzufügen.

Beim Erstellen einer neuen Gruppe können Sie Benutzer in der „Mitglieder“-Sektion des Workflows zur Gruppe hinzufügen. Außerdem können Sie in der „Einstellungen“-Sektion die Checkbox „Erlauben, dass Admin-Rolle dieser Gruppe zugewiesen wird“ aktivieren.

Sie können sich an der zweiten Screenshot unten orientieren, um die Konfiguration zu verstehen.

3. Um Rollen einer Gruppe zuzuweisen, bewegen Sie sich im Menü fort und erweitern Rollen, und klicken Sie auf Rollenzuweisungen.

4. Nach dem Klick auf Rollenzuweisungen wählen Sie die Azure AD-Rolle aus, die Sie der Gruppe zuweisen möchten, z. B. „Helpdesk-Administrator“.

5. Dann klicken Sie auf der Rollen-Auswahlleiste auf die Zugewiesen-Seite und klicken Sie auf „Gruppen hinzufügen“.

6. Schließlich wählen Sie die Gruppen aus, denen Sie die Rolle zuweisen möchten, und klicken Sie auf Hinzufügen.

Nachdem Sie Gruppen zur Rolle hinzugefügt haben, überprüfen Sie das Tab „Zugewiesen“, um zu bestätigen, dass sie erfolgreich hinzugefügt wurden.

Auch Lesen Top 10 Best IAM Tools – Identity Access Management (Vor- und Nachteile)

Office 365-Benutzerpasswort im Microsoft 365-Portal zurücksetzen

1. Um ein Benutzerpasswort im Microsoft 365-Portal zurückzusetzen, erweitern Sie das Menü „Benutzer“ im Navigationsbereich. Wählen Sie anschließend „Aktive Benutzer“ und fahren Sie über das Benutzer-Konto, für das das Passwort zurückgesetzt werden muss.

2. Klicken Sie auf das Schlüsselsymbol, das beim Überfahren des Kontos angezeigt wird. Dies initiiert den Prozess zum Zurücksetzen des Passworts.

3. Wählen Sie schließlich die gewünschten Optionen im „Passwort zurücksetzen“-Flyout aus und klicken Sie auf „Passwort zurücksetzen“. Das Microsoft 365-Portal zeigt eine Bestätigungsnachricht mit dem neuen Passwort an.

Auch Lesen Überprüfen Sie die Azure AD Audit-Protokolle für Benutzer-Anmeldungen (Erfolg und Fehler)

Methode 2:

Verwenden Sie das Azure AD-Portal zur Verwaltung von Benutzerkonten & Berechtigungen mit Office 365 IAM

Dieses Portal bietet eine Reihe von Funktionen und Tools, mit denen Administratoren Benutzerkonten verwalten können, einschließlich der Konfiguration von Berechtigungen und mehr. Dieser Abschnitt untersucht die wichtigen Schritte zur Verwaltung von Benutzerkonten im Azure AD Portal.

Schritt 1 Option 1: Erstellen von Office 365-Internbenutzern im Azure AD-Portal

1. Melden Sie sich zunächst unter portal.azure.com an und navigieren Sie zu der Option Benutzer im Menü.


2. Klicken Sie dann auf „+Hinzufügen“ und wählen Sie Benutzer aus. Wählen Sie schließlich die Vorlage Benutzer erstellen, geben Sie die erforderlichen Details ein und klicken Sie auf Erstellen.

Auch Lesen New-MgGroupMemberByRef – Benutzer zu Azure AD-Gruppe mit Powershell hinzufügen

Schritt 1 Option 2: Erstellen von Office 365-Externbenutzern im Azure AD-Portal

Früher habe ich empfohlen, einen Mail-Kontakt für den Benutzer hinzuzufügen, bevor ein externer Benutzer erstellt wird. Dies wird empfohlen, wenn Ihre internen Benutzer den Kalender des externen Benutzers zu ihrem eigenen hinzufügen müssen.

Um einen Mail-Kontakt zu erstellen, melden Sie sich auf der Exchange Online Kontaktseite unter admin.exchange.microsoft.com an. Nach der Anmeldung gehen Sie zur Seite „Empfänger -> Kontakte“. Klicken Sie dann auf „Einen Mail-Kontakt hinzufügen“ und führen Sie die erforderlichen Schritte aus.

Um eine Einladung an einen externen Benutzer in Azure AD zu senden, nachdem der optionale Schritt oben abgeschlossen ist, befolgen Sie diese Schritte:

1. Befolgen Sie zunächst die Anleitung „Schritt 1 von 2“, bis Sie Schritt 2 erreichen.

2. Wählen Sie dann die Vorlage Benutzer einladen aus. Geben Sie abschließend die erforderlichen Informationen ein und klicken Sie auf Einladen.

Nach Abschluss der oben genannten Schritte erhält der Benutzer eine E-Mail von Microsoft.

Es enthält einen Link, um ihre Azure AD-Registrierung abzuschließen. Der Benutzer sollte auf den Link klicken, um den Vorgang abzuschließen.

Siehe auch Get-MgUser – Finde Azure AD-Benutzer und filtere mit PowerShell-Skript

Schritt 2 Option 1: Berechtigungen von Benutzerkonten durch Rollen in Azure AD-Portal vergeben

1. Sobald Sie einen Benutzer erstellt haben, vergeben Sie über das Azure AD-Portal den Benutzer Rollen. Klicken Sie auf „Rollen und Administratoren“ im Azure Active Directory-Menü, um diese Aufgabe zu erledigen.


2. Wählen Sie dann die Rolle, die Sie dem Benutzer zuweisen möchten. Verwenden Sie die Suchfunktion, falls notwendig.


3. Nächstes Schritt bestätigen Sie den Vorgang, indem Sie auf „+ Aufgaben hinzufügen“ klicken.

Siehe auch Wie man Passwort-Writeback in Azure AD Connect aktiviert

Schritt 2 Option 2: Berechtigungen von Benutzerkonten durch Gruppen in Azure AD-Portal vergeben

In Schritt 3 von 1 oben haben wir gezeigt, wie man Benutzerrechte über Azure AD Rollen zuweist. Allerdings ist ein potenziell besserer Ansatz die Zuweisung von Benutzerrollen auf der Basis der Mitgliedschaft in einer Gruppe.

Folgende Schritte durchführen, um die Aufgaben in Azure AD abzuschließen:

Erstens, erstellen Sie eine Gruppe und aktivieren Sie sie, um AD-Rollen zugewiesen zu werden. Zweitens fügen Sie den Benutzern als Mitglieder der neuen Gruppe hinzu.

Schließlich weisen Sie den Rollen, die Sie den Benutzern zuweisen möchten, durch Zuweisung der Rollen zur Azure AD-Gruppe zu.

Hier sind die praktischen Schritte:

1. Klicken Sie auf „Gruppen“ im Menü und dann auf „Neue Gruppe“.



2. Aktivieren Sie „Azure AD-Rollen werden der Gruppe zugewiesen“, wählen Sie die Optionen aus dem untenstehenden Bildschirmfoto und klicken Sie auf „Erstellen“, um die Gruppe zu erstellen.


Danach folgen Sie den Schritten unten, um Benutzer zur Gruppe hinzuzufügen und eine Rolle zuzuweisen:

3. Klicken Sie auf die Gruppe im Gruppen-Knoten, klicken Sie dann auf „Mitglieder“ auf der Gruppenseite und klicken Sie auf „+ Mitglieder hinzufügen“, um Benutzer zur Azure AD-Gruppe hinzuzufügen.

4. Um die Gruppe den Rollen des Azure Active Directory zuzuweisen, klicken Sie im Azure Active Directory-Menü auf „Rollen und Administratoren“. Wählen Sie dann die Rolle aus, die Sie der Gruppe zuweisen möchten. Klicken Sie abschließend auf „+ Zuweisungen hinzufügen“.


Auch lesen So verbinden Sie sich mit Office 365 über Powershell

Office 365-Benutzerpasswort im Azure AD-Portal zurücksetzen

Administratoren müssen in der Lage sein, Passwörter zurückzusetzen, um Benutzerkonten und Berechtigungen mithilfe der Office 365 Identitäts- und Zugriffsverwaltungslösungen zu verwalten. Daher ist es gut zu wissen, dass Benutzerpasswörter im Azure AD-Portal zurückgesetzt werden können.

1. Klicken Sie auf den Knoten Benutzer, um das Konto eines Benutzers im Azure Active Directory-Portal zurückzusetzen.

2. Verwenden Sie die Suchfunktion, um den Benutzer auszuwählen. Schließen Sie den Vorgang ab, indem Sie auf „Passwort zurücksetzen“ klicken, das sich über den Benutzerdetails befindet.

Auch Lesen So überprüfen Sie, ob MFA in Office 365 für Benutzer aktiviert ist

Methode 3:

Verwenden Sie PowerShell zur Verwaltung von Benutzerkonten und Berechtigungen mit Office 365 Identitäts- und Zugriffsverwaltung

Jetzt gehen wir zur dritten und letzten Methode über, die die Verwendung von PowerShell zur Durchführung derselben Aufgabe beinhaltet.

Zuerst müssen wir die für die anstehenden Aufgaben erforderlichen PowerShell Module installieren.

Schritt 1: Installieren der erforderlichen Module: AzureAD, ExchangePowerShell, Az.Accounts und Az.Resources

1. Öffnen Sie PowerShell als Administrator. Suchen Sie PowerShell und klicken Sie dann auf „Als Administrator ausführen.“

2. Führen Sie nach dem Öffnen von PowerShell als Administrator den folgenden Befehl aus, um eine neue Instanz zu öffnen, die Befehle aus heruntergeladenen Modulen ausführt.

powershell.exe -ExecutionPolicy "RemoteSigned"

3. Führen Sie dann die folgenden Befehle aus, um die notwendigen PowerShell-Module zu installieren. Der erste Befehl installiert die Module, während der zweite sie in Ihrer aktuellen PowerShell-Sitzung importiert.

Install-Module AzureAD, ExchangeOnlineManagement, Az.Accounts, Az.Resources
Import-Module AzureAD, ExchangeOnlineManagement, Az.Resources, Az.Accounts

Erstellt von Installieren von PowerShell-Modulen

Schritt 2 Option 1: Erstellen von Office 365 internen Benutzern mit PowerShell

1. Verbinden Sie sich mit Ihrem Azure AD Mandanten durch Ausführen dieses Befehls. Dies führt PowerShell dazu, Ihre Anmeldeinformationen abzufragen.

Connect-AzureAD

2. Sobald Sie verbunden sind, führen Sie die folgenden Befehle aus, um einen neuen Office 365-Benutzer zu erstellen.

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "enter password here"
New-AzureADUser -DisplayName "M365 PowerShell" -PasswordProfile $PasswordProfile -UserPrincipalName "[email protected]" -AccountEnabled $true -MailNickName "M365PowerShell"

Erstellt von Erstellen eines Office 365-Benutzers

Schritt 2 Option 2: Erstellen von Office 365 externen Benutzern mit PowerShell

Wie in den beiden vorhergehenden Methoden erwähnt, kann ein externer Benutzer zunächst erstellt werden, indem er als eine E-Mail Kontaktperson erstellt wird, was ein optionaler Schritt ist.

Wenn Ihre internen Benutzer die Kalender des externen Benutzers zu ihren eigenen hinzufügen müssen, folgen Sie Schritt 1 bis 2, um einen E-Mail-Kontakt mit PowerShell hinzuzufügen. Alternativ können Sie direkt zu Schritt 3 springen.

1. Um mit Exchange Online auf der PowerShell- Konsole zu verbinden, die in Schritt 2 Option 1 geöffnet wurde, führen Sie den untenstehenden Befehl aus und geben Sie Ihre Anmeldeinformationen an, wenn PowerShell dazu auffordert.

Connect-ExchangeOnline

2. Verwenden Sie diesen Befehl, um einen E-Mail-Kontakt für den externen Benutzer zu erzeugen, den Sie einladen möchten. Ändern Sie Teile des Befehls, um Ihre Bedürfnisse anzupassen.

New-MailContact -Name "Victor Gmaail PowerShell" -ExternalEmailAddress "enter user's email here"

3. Folgendes können Sie durch die Ausführung des bereitgestellten Befehls vornehmen: Ändern Sie die Parameter, bevor Sie den Befehl ausführen.

New-AzureADMSInvitation -InvitedUserEmailAddress email@externaldomain.com -SendInvitationMessage $True -InviteRedirectUrl "http://myapps.microsoft.com"

Lesen Sie auchWas bedeutet 0xc000006a – Falscher Benutzeranmeldung oder falsches Passwort

Schritt 3 Option 1: Berechtigungen von Benutzerkonten mittels Rollen in PowerShell verwalten.

I have included comments in the script to explain each command. 

#step 1: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: Get the ID of the role you want to assign the user
$roleDefinitionid = (Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'").Id
#step 3: assign the user the role
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $userid

#Schritt 1: Holen Sie die ID eines Benutzers, den Sie einer Rolle hinzufügen möchten:

#Schritt 2: Holen Sie die ID einer Rolle, der Sie den Benutzer zuweisen möchten

#step 1: Create a role-assignable group in Azure Active Directory - skip this step if you have an existing role assignable group
$group = New-AzureADMSGroup -DisplayName "InfraSOS_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "InfraSOShelpdeskadministrators" -IsAssignableToRole $true
#step 2: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 3: add the user to the AAD group
Add-AzureADGroupMember -ObjectId $group.id -RefObjectId $userid
#step 4: add azure AD group to an azure AD role
New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $group.id

#Schritt 3: Weisen Sie dem Benutzer die Rolle zu

Schritt 3 Option 2: Gewähren von Benutzerkontenberechtigungen über Gruppen in PowerShell

Um einer Rolle über die Gruppenmitgliedschaft eines Benutzers zuzuweisen, führen Sie die Befehle im folgenden Skript aus.

#step 1: get the ID of the user you want to reset its password:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: set a new password for the user
#step 3: reset the passord.
Set-AzureADUserPassword -ObjectId  $userid -Password $password -ForceChangePasswordNextLogin $true

#Schritt 1: Erstellen Sie eine rollezuweisbare Gruppe in Azure Active Directory überspringen Sie diesen Schritt wenn Sie bereits eine rolle zuweisbare Gruppe haben

#Schritt 2: den ID des Benutzers erhalten, den Sie zur rolle hinzufügen möchten:

#Schritt 3: den Benutzer zur AAD Gruppe hinzufügen

#Schritt 4: fügen Sie die Azure AD Gruppe einer Azure AD rolle hinzu

Auch Lesen SSPR: Aktivieren Sie die Selbstbedienungskennwortzurücksetzung für Azure Active Directory

Setzen Sie das Kennwort des Office 365-Benutzers in PowerShell zurück

Source:
https://infrasos.com/office-365-identity-access-manage-user-accounts-permissions/