Microsoft 365 Admin Center

Nach der Buchung von Microsoft 365 erhalten Sie die Zugangsdaten, mit denen Sie sich als Administrator*in  anmelden können. Der automatisch erstellte Microsoft 365-Administrator-Account hat standardmäßig eine Lizenz zur Nutzung der Office-Dienste zugewiesen und kann mit seinen Administrationsrechten die Verwaltung der gebuchten Dienste vornehmen. So können Sie zum Beispiel neue Benutzer*innen mit Administrationsrechten erstellen oder bestehende Benutzer mit diesen Berechtigungen versehen.
Außerdem bekommen alle Mitarbeiter*innen, denen eine Microsoft 365-Lizenz zugeordnet wurde, ebenfalls Zugangsdaten – den User Account, mit dem man sich als Benutzender anmelden kann. Diese beiden verschiedenen Account-Arten dienen vor allem dazu, eine Trennung zwischen Administrationstätigkeit und der Arbeit als normaler Benutzender zu erreichen.

Die beiden Rollen lassen sich wie folgt beschreiben:

• Admin Account: Dieser Account ist erforderlich, damit technische Einstellungen in Microsoft 365 bzw. Office 365 vorgenommen werden können. Zum Beispiel können Sie so eine eigenen 2nd-Level-Domain für die E-Mail-Accounts nutzen. Mit Ihren Admin Zugangsdaten loggen Sie sich im Admin Center ein. Diese Account-Art wird direkt nach Abschluss eines Abonnements erstellt.
• User Account: Dieser Account dient zur Nutzung der Anwendungen von Microsoft 365 bzw. Office 365. Hier können Sie zum Beispiel die Browser-Versionen der Office-Produkte nutzen, die Software zur Nutzung auf Ihrem PC herunterladen oder im Browser Ihr E-Mail-Postfach überprüfen. Melden Sie sich dazu in Ihrem Microsoft 365-Konto an. Diese Account-Art wird für alle Benutzer*innen innerhalb eines Abonnements benutzt.

Seit dem 3. Februar 2025 wird für alle Benutzerkonten, die auf das Microsoft 365 Admin Center zugreifen, die Nutzung von Multi-Faktor-Authentifizierung (MFA) verpflichtend. Die Einführung erfolgt schrittweise auf Ebene der einzelnen Mandanten. Etwa 30 Tage vor der Aktivierung für Ihren Mandanten erhalten Sie eine Benachrichtigung im Nachrichten-Center des Microsoft 365 Admin Centers.

Folgende Schritte sollten Sie jetzt unternehmen: Empfohlene Maßnahmen: Globale Administratoren sollten die Multifaktor-Authentifizierung (MFA) in ihrer Organisation einrichten. Besuchen Sie dafür den MFA-Wizard oder nutzen Sie die Anleitung „Multifaktor-Authentifizierung für Microsoft 365 einrichten“ von Microsoft Learn:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Sicherheitsadministrator an
2. Navigieren Sie zu Identität (Identity) | Übersicht (Overview) | Eigenschaften (Properties)
3. Wählen Sie Sicherheitsstandards verwalten (Manage Security Defaults) aus.
4. Legen Sie Sicherheitsstandards auf Aktiviert (Enabled) fest.
5. Klicken Sie auf Speichern

Benutzende die auf das Microsoft 365 Admin Center zugreifen, sollten ihre Verifizierungsmethoden überprüfen und bei Bedarf eine hinzufügen. Dies ist ebenfalls über den MFA-Wizard möglich.

Wie erkenne ich, ob ich als Admin für die MFA-Anforderung im Microsoft 365 Admin Center bereit bin?

Wenn Sie sich für MFA registriert und eine Verifizierungsmethode hinzugefügt haben, erfüllen Sie die Anforderungen. Besuchen Sie diese Seite, überprüfen Sie Ihre Verifizierungsmethoden und fügen Sie bei Bedarf eine hinzu.

Wie erkenne ich, ob diese Anforderung Auswirkungen auf meine Organisation hat?

Microsoft wird diese Anforderung für alle Benutzer des Microsoft 365 Admin Centers schrittweise einführen. Sie erhalten ca. 30 Tage vor der Durchsetzung in Ihrem Tenant eine Nachricht im Message Center. Wenn Ihre Organisation bereits eine MFA-Richtlinie für Admins oder alle Benutzer eingerichtet hat und diese Benutzer eine Verifizierungsmethode registriert haben, sind keine weiteren Maßnahmen erforderlich.

Wie erkenne ich als Administrator, ob in meiner Organisation eine MFA-Richtlinie für Anmeldungen im Microsoft 365 Admin Center aktiv ist?

Wenn Ihr Microsoft 365 Tenant nach dem 22. Oktober 2019 erstellt wurde, sind möglicherweise bereits Sicherheitsstandards in Ihrer Organisation aktiviert. Überprüfen Sie dies im Microsoft Entra Admin Center unter Identität > Übersicht > Eigenschaften, ob neben einem grünen Häkchen „Ihre Organisation verwendet derzeit Sicherheitsstandards“ angezeigt wird.

Was passiert, wenn ich keine MFA-Verifizierungsmethode hinzufüge, bevor die Anforderung für meinen Tenant verpflichtend wird?

Sie werden nicht von Ihrem Konto ausgesperrt und können weiterhin auf das Microsoft 365 Admin Center zugreifen. Sie werden jedoch aufgefordert, sich für MFA zu registrieren und eine Verifizierungsmethode hinzuzufügen, wenn Sie versuchen, auf das Admin Center zuzugreifen. Falls ein Benutzer gesperrt wird, liegt dies möglicherweise an anderen Gründen.

Kann ich diese Anforderung ablehnen?

Nein. Diese Sicherheitsmaßnahme ist wichtig für den Schutz von Microsoft 365 Kundenorganisationen und Benutzern. MFA wird zunehmend als Branchenstandard für Basissicherheit angesehen.

Betreffen diese Anforderungen alle Microsoft 365 Benutzer?

Nein. Die MFA-Anforderung gilt derzeit nur für Benutzer, die auf das Microsoft 365 Admin Center zugreifen. Microsoft empfiehlt jedoch allen Microsoft 365 Benutzern die Nutzung von MFA, um ihre Konten und ihre Organisation zu schützen.

Betreffen diese Anforderungen auch Microsoft Graph PowerShell oder API?

Nein. Diese Anforderungen betreffen derzeit nicht die Nutzung von Microsoft Graph PowerShell oder API.

Gilt diese Anforderung für Notfallzugangskonten?

Ja. Notfallzugangskonten (Break-Glass-Konten) müssen ebenfalls MFA verwenden, sobald die Durchsetzung beginnt. Wir empfehlen, diese Konten auf Passkey (FIDO2) oder zertifikatsbasierte Authentifizierung für MFA umzustellen, da diese Methoden die Anforderungen erfüllen.

Unsere Organisation nutzt einen Drittanbieter-Identitätsanbieter (IdP) für MFA. Reicht das aus?

Ja. Die Nutzung externer MFA-Lösungen erfüllt die Anforderungen, sofern der Drittanbieter-IdP eine MFA-Anspruchsmeldung an Microsoft Entra ID sendet.

Es kann aus verschiedenen Gründen vorkommen, dass Ihr Benutzer- oder Adminkonto für Microsoft 365 bzw. Office 365 gesperrt wurde.

Für die Entsperrung ist folgender Weg zu empfehlen: Als Benutzender sollten Sie erst einmal 15 Minuten warten, sollte der Zugriff immer noch nicht funktionieren, können Sie sich an das Administrationsteam des Microsoft 365 bzw. Office 365-Abonnements in Ihrem Unternehmen wenden. Dieses kann ein Benutzerkonto im Admin Center mit drei Methoden wieder freischalten:

• Sicherstellen, dass der Benutzer sich anmelden darf
• Zurücksetzen des Passworts
• Zurücksetzen des Anmeldestatus

Wenn sich Administrator*innen ausgesperrt haben

Als Administrator*in gibt es zwei Möglichkeiten, um zurück in Ihren Account zu kommen. Entweder Sie bitten eine andere Person mit globalen Administratorrechten, Ihr Passwort zurückzusetzen oder Sie befolgen die Schritte in der folgenden Anleitung:

Klicken in der Anmeldemaske auf den Link „Sie können nicht auf Ihr Konto zugreifen?"

Wählen Sie im Anschluss „Geschäfts- oder Schulkonto“.

Jetzt sollte sich die Seite https://passwordreset.microsoftonline.com/ öffnen, auf der Sie Ihr Passwort zurücksetzen können. Beachten Sie dabei, dass Sie Zugriff auf das alternative E-Mail-Konto und die Telefonnummer, die Sie bei der Erstellung des Accounts angegeben haben, brauchen. Geben Sie jetzt die Benutzer-ID und das Captcha ein und bestätigen Sie mit einem Klick auf „Weiter“.

Je nachdem, welche Möglichkeiten zur Kennwort-Zurücksetzung in Ihrem Unternehmen aktiviert wurden haben Sie jetzt die Möglichkeit einen Sicherheitscode per E-Mail, per SMS oder telefonisch zu erhalten.

Sobald Sie den Code haben, geben Sie diesen in das entsprechende Feld ein, um Ihr Passwort zurückzusetzen.

Sie wollen eine eigene Domain zu Ihrem Microsoft 365- oder Office 365-Abonnement hinzufügen. In diesem Blogbeitrag erklären wir Ihnen, wie Sie dabei vorgehen sollten:

1. Rufen Sie jetzt das Microsoft 365 Admin-Center auf und melden Sie sich mit Ihren Log-In-Daten. Sollten Sie sich zum ersten Mal im Admin Center anmelden und Microsoft 365 oder Office 365 über die den Telekom Cloud Marketplace abonniert, haben Sie eine E-Mail mit den Log-In-Daten nach dem folgenden Schema erhalten: admin@xxx.onmicrosoft.com und ein vorläufiges Passwort.
    
2. Haben Sie diesen Schritt erledigt, befinden Sie sich im Admin Center von Microsoft 365 bzw. Office 365.
    
3. Wählen Sie jetzt aus dem Menü auf der linken Seite den Punkt Setup aus.
   
   
4. Scrollen Sie auf der nun geöffneten Seite bis zu dem Punkt Anmelden und Sicherheit und klicken Sie auf Einrichten Ihrer benutzerdefinierten Domäne.
   
5. Klicken Sie im nächsten Fenster auf Erste Schritte und schon startet die Einrichtung der benutzerdefinierten Domain.
   
6. Fügen Sie in diesem Fenster ihre Domain in das Textfeld ein und klicken Sie anschließend auf den Button Diese Domäne verwenden.
   
   
7. Bevor Sie Ihre Domäne in Microsoft 365 bzw. Office 365 wirklich verwenden können, will Microsoft sich vergewissern, dass Sie deren Eigentümer/Besitzer sind. Die Fähigkeit, sich bei Ihrem Konto bei Ihrer Domänenregistrierungsstelle anzumelden und den DNS-Eintrag zu erstellen, dient für Microsoft 365 als Nachweis, dass Sie berechtigt sind. Daher werden Sie dazu aufgefordert, die Registrierungsstelle (Domain Provider) auszuwählen, bei der Ihre Domain gehostet ist, und dort Ihre Domain zu autorisieren.
   Hierfür müssen Sie den im Microsoft 365 Admin Center angezeigten TXT-Wert in der Verwaltungskonsole Ihres Domain-Anbieters hinzufügen. Die genauen Schritte für das Hinzufügen unterscheiden sich von Anbieter zu Anbieter. Microsoft bietet in seiner Dokumentation Anleitungen für die gängigsten Domain-Anbieter an. Auch die Support-Teams der jeweiligen Anbieter können Sie bei diesem Schritt unterstützen. Nachdem Sie Ihre Domain autorisiert haben, können Sie dies mit einem Klick auf den Überprüfen-Button verifizieren und zum nächsten Schritt weitergehen.
   
8. Im nächsten Schritt müssen Anpassungen bei den DNS-Einträgen vorgenommen werden. Nach einem Klick auf weitere Optionen haben Sie Wahl, die DNS-Einträge automatisch von Office konfigurieren zu lassen oder die DNS-Einträge selbst hinzuzufügen.
   

9. Sie haben nun die Auswahl, welche Dienste Sie für Ihre Domain einrichten wollen. Zur Auswahl stehen Exchange (für E-Mail), Skype for Business/Teams (für die interne Kommunikation) und Microsoft Intune (für die Verwaltung von mobilen Geräten).
   Exchange-Dienste benötigen drei Einträge, um richtig zu funktionieren:

   1. Einen MX-Eintrag, der mitteilt, wohin die E-Mails zugestellt werden sollen
   2. Einen TXT-Eintrag, um zu verhindern, dass Ihre Domäne für den Versand von Spam genutzt werden kann
   3. Einen CNAME-Eintrag als Unterstützung bei der Verbindung von Nutzern mit ihrem Postfach

   Diese Einträge werden Ihnen in diesem Schritt zur Verfügung gestellt und müssen ebenfalls bei Ihrem Domain-Anbieter eingegeben werden. Die genauen Schritte für das Hinzufügen unterscheiden sich von Anbieter zu Anbieter. Microsoft bietet in seiner Dokumentation Anleitungen für die gängigsten Domain-Anbieter an. Auch die Support-Teams der jeweiligen Anbieter können Sie bei diesem Schritt unterstützen.

   
   
   
   Für Microsoft Intune oder Microsoft Teams ist das Vorgehen identisch.

10. Wenn alle Einträge vorgenommen wurden, können Sie die Einrichtung Ihrer Domain abschließen.

    

Weisen Sie die neue Domain Ihren Nutzern zu

Nachdem Sie Ihre Domain erfolgreich zu Ihrem Office 365- bzw. Microsoft 365-Abonnement hinzugefügt haben, müssen Sie die Domain noch Ihren Nutzern bzw. Mitarbeitern zuweisen, damit diese sie in ihren E-Mail-Adressen nutzen können. Dafür sind folgende Schritte notwendig:

1. Wechseln Sie im Admin Center in den Bereich Benutzer, dort sind alle Ihre Nutzer gelistet.
    

2. Hinter den drei Punkten findet sich der Menüpunkt „Domain ändern“

   

3. Wählen Sie im Auswahlfeld die gewünschte Domain aus und wählen Sie Änderungen speichern

   

4. Damit ist die Zuweisung der Domain abgeschlossen und die neue E-Mail-Domain kann von den Mitarbeitern genutzt werden.

   

Self-Service-Käufe ermöglichen es normalen Nutzern in Ihrem Unternehmen, eigenständig bestimmte Microsoft-Produkte, wie zum Beispiel Microsoft 365 Copilot, zu erwerben – ohne die Zustimmung oder Einbindung der IT-Abteilung oder des Administrators des Unternehmens.

Wichtig: Lizenzen, die im Rahmen eines Self-Service-Kauf erworben werden, sind nicht Bestandteil Ihres bestehenden CSP-Vertragsverhältnis mit der Telekom. Es gelten nicht die Preise und Bedingungen, die Sie mit der Telekom geschlossen haben. Zusätzlich werden diese auch nicht vom Service der Telekom betreut. Um die Kontrolle über Ihre IT-Lizenzen zu behalten, empfehlen wir Self-Service Käufe zu deaktivieren. So vermeiden Sie doppelte Lizenzen oder Kosten und behalten den Überblick über Ihre Anwendungen und Ausgaben. Um Bedarfe für IT-Anwendungen innerhalb Ihres Unternehmens zu erfassen und durchgängige Compliance sicherzustellen, empfehlen wir die Etablierung von Prozessen, mit denen Ihre Mitarbeiter Bedarfe an die IT wenden können.

Wenn in Ihrem Unternehmens-Tenant Produktkäufe erlaubt sind, können Nutzer eigenständig einen Self-Service-Kauf online über Produktwebsites oder In-App-Kaufaufforderungen durchführen. Sie geben ihre E-Mail-Adresse ein, melden sich mit ihren Microsoft Entra-Anmeldeinformationen an und geben eine Kreditkartenzahlung an. Nach dem Kauf können sie das Abonnement sofort nutzen oder die Lizenz im Microsoft 365 Admin Center an andere Personen in ihrer Organisation zuweisen.

Administratoren können im Microsoft 365 Admin Center alle Self-Service-Käufe einsehen, einschließlich Produktdetails, Käufer, Abonnements, Ablaufdaten und zugewiesenen Benutzern. Sie haben zudem die Möglichkeit, Self-Service-Käufe pro Produkt über das Admin Center oder die PowerShell zu deaktivieren und die gleichen Richtlinien für Datenverwaltung und Zugriffsrechte wie bei zentralen Käufen anzuwenden.

Um Self-Service-Käufe zu deaktivieren, folgen Sie diesen Schritten:

1. Melden Sie sich als globaler Administrator im Microsoft 365 Admin Center an.
2. Navigieren Sie zu Einstellungen (Settings) > Einstelllungen der Organisation (Org Settings)
3. Gehen Sie auf den Services-Reiter und wählen Sie Self-Service-Testversionen und -Käufe (Self-service trials and purchases) aus.
4. Auf der Seite Self-Service-Testversionen und -Käufe sehen Sie eine Liste der Produkte, die für Self-Service-Käufe infrage kommen, sowie deren aktuelle Einstellungen.
5. Um die Einstellungen für ein spezifisches Produkt zu verwalten, klicken Sie auf den Produktnamen.
6. Ein neues Fenster öffnet sich, in dem Sie die aktuelle Einstellung des gewählten Produkts sehen.
7. Ändern Sie die Einstellung auf Do not allow (oder wählen Sie die entsprechende Option, z.B. Allow trails only, je nach Bedarf).

8. Klicken Sie auf Änderungen speichern.

   

Mit folgenden Schritten ist eine Deaktivierung mithilfe der PowerShell möglich.

1. MSCommerce PowerShell-Modul installieren: Öffnen Sie PowerShell und führen Sie den folgenden Befehl aus:
   Install-Module -Name MSCommerce
    
2. Modul in die PowerShell-Session importieren: Nach der Installation des Moduls muss es in jede PowerShell-Session importiert werden. Führen Sie diesen Befehl aus:
   Import-Module -Name MSCommerce
    
3. Mit MSCommerce verbinden: Um sich mit Ihrem Microsoft Entra-Tenant zu verbinden, nutzen Sie den folgenden Befehl:
   Connect-MSCommerce
    
4. Geben Sie Ihre Anmeldedaten ein (bei aktivierter Multi-Faktor-Authentifizierung erfolgt die Anmeldung interaktiv).
    
5. Status des Parameters "AllowSelfServicePurchase" anzeigen: Um den Status des Parameters und die Standardeinstellung für Ihre Organisation anzuzeigen, führen Sie diesen Befehl aus:
   Get-MSCommercePolicy -PolicyId AllowSelfServicePurchase
    
6. Liste der Produkte für Self-Service-Käufe anzeigen: Um eine Liste der Produkte mit ihrem aktuellen Selbstbedienungskauf-Status zu sehen, nutzen Sie diesen Befehl:
   Get-MSCommerceProductPolicies -PolicyId AllowSelfServicePurchase
    
7. Status für Self-Service-Käufe ändern: Sie können den Parameter AllowSelfServicePurchase auf Enabled, OnlyTrialsWithoutPaymentMethod oder Disabled setzen, um den Kauf oder Testversionen für ein Produkt zu erlauben oder zu blockieren. Für die Deaktivierung eines bestimmten Produkts können Sie zum Beispiel diesen Befehl nutzen:
   Update-MSCommerceProductPolicy -PolicyId AllowSelfServicePurchase -ProductId CFQ7TTC0KP0N -Value "Disabled"