ComputerBase Menü
Aktuelles

Windows 11 Login mit Microsoft 365 Account im Unternehmen

ph!L

ph!L

Lt. Junior Grade
Registriert
Dez. 2004
Beiträge
300
Hallo zusammen,

ich unterstütze ein kleines Unternehmen bei ihrer IT (bin sonst nur im Apple Universum unterwegs) und stehe vor einer Aufgabe, die einfach wirkt, aber dann doch nicht so trivial ist.

Ähnlich wie bei Chrome OS möchten wir, dass sich jeder Mitarbeiter an jedem PC mit seinem M365 Account anmelden kann und man dann direkt in Office, Outlook etc. angemeldet ist, sich die Daten aus One Drive gezogen werden etc.

Wie geht das? Ich bin nur so weit gekommen, dass man Windows 11 Pro braucht, aber das war es. Ich weiß nicht mal ob es dafür einen bestimmten Begriff gibt, den man googeln könnte. Alles was ich finde sind die typischen, ellenlangen und inhaltsleeren Microsoft Supportdokumente.

Aktuell werden einfach lokale Benutzer mit statischen Passwörtern genutzt. Ich möchte ausdrücklich nicht in den Einstellungen einen neuen M365 Benutzer hinzufügen, sondern beim Login Screen eine E-Mail / Passwort Eingabemaske haben. Muss Win 11 dafür neu installiert und anders konfiguriert werden?

Einträge in der Entra ID haben wir, ich sehe die Herausforderung also eher im Windows selbst.

Besten Dank im Voraus
Phil
 
Wäre nicht beiden Seiten mehr geholfen, wenn man sich Hilfe holt von jemanden, der weiß was er tut?
 
  • Gefällt mir
Reaktionen: VDC, tollertyp und yxcvb
Du brauchst auf Rechnerseite Win Pro.
Auf Lizenzseite brauchst du pro Nutzer eine MS365 Businesslizenz.
https://www.microsoft.com/de-de/microsoft-365/business?market=de

Welche, kommt drauf an ob die MS Office Lizenz mit dabei sein soll oder nicht - also ob noch Stand Alone Office Lizenzen vorhanden sind oder nicht. Und was man auf Ebene "Erweiterte Identitäts- und Zugriffsverwaltung" machen will oder nicht.
Man kann theoretisch die Welt der Standalone Lizenzen, der lokalen Konten und der Basis MS365 Umgebung aus Exchange, Sharepoint und co mit den MS365 Business Basic verwurschteln.
Ja, damit geht das Szenario, was du beschreibst. Jeder kann an jeden Rechner und sich einloggen.
Allerdings muss man ein bisschen einschrenken. Bei der Erstanmeldung eines Nutzers an einem Rechner darf man nicht erwarten, sofort mit allem los legen zu können. Die Outlook und Onedrive Anmeldung wird zwar weiter geerbt, ein bisschen Zeit und Arbeit brauchts dann aber trotzdem noch, bis Outlook wirklich arbeitsfähig ist, bis man sich manuell mit seinen Sharepoints syncronisiert hat, etc. Bei einer weiteren Anmeldung ist das natürlich kein Thema mehr.

Das mit der Verknüpfung aus alter Offline Konto und Kauf Office Welt und der Cloud Welt habe ich beim ersten Versuch auch versucht, so richtig rund lief das aber nicht. Es gab dann immermal wieder Rechner wo es zu Account Konflikten kam.
Ein Offline Konto mit Azure verbinden geht so
https://www.windowspro.de/wolfgang-sommergut/windows-11-azure-active-directory-beitreten


Also kurze Zeit später haben wir alles bestehende über Bord geworfen und alles mit Business Premium neu aufgesetzt. Also reine Azure AD Konten und Office Lizenz auch darüber. Feine Sache.
 
  • Gefällt mir
Reaktionen: ph!L und redjack1000
Danke für eure Antworten.

Nein, wir haben bisher kein AD im Einsatz. Es ist wirklich alles noch sehr jungfräulich.
Eine M365 Business Standard Lizenz haben wir bereits für alle User.

species_0001 schrieb:
Das mit der Verknüpfung aus alter Offline Konto und Kauf Office Welt und der Cloud Welt habe ich beim ersten Versuch auch versucht, so richtig rund lief das aber nicht. Es gab dann immermal wieder Rechner wo es zu Account Konflikten kam.
Ein Offline Konto mit Azure verbinden geht so
https://www.windowspro.de/wolfgang-sommergut/windows-11-azure-active-directory-beitreten


Also kurze Zeit später haben wir alles bestehende über Bord geworfen und alles mit Business Premium neu aufgesetzt. Also reine Azure AD Konten und Office Lizenz auch darüber. Feine Sache.
Zum Vergrößern anklicken....
Danke, der Link hat es wirklich gut erklärt! Active Directory ist also das Stichwort.

Da die Rechner bisher komplett unmanaged waren und sich Wer-weiß-was darauf befindet wäre meine Taktik auch, die Rechner ein mal neu mit Win 11 Pro zu installieren, dann den Join in AAD zu machen und fertig.

Ich werde das mit einem Testrechner mal ausprobieren und hier weiter berichten :-)
 
Wenn du neu aufsetzt, dann natürlich nicht erst einen lokalen Nutzer anlegen und den verbinden, sondern gleich mit dem MS365 Account erstanmelden.
Haken daran, bzw. eigentlich Sinn der Sache: dann gibts auf dem Rechner keinen lokalen User mehr womit man in den Rechner rein kommt, wenn mit dem User was nicht funktionert.

Generell sollte es natürlich hirarchisch aufgebaute funktionale Admin Accounts geben. (die brauchen auch keine eigen MS365 Lizenz) Der Super-Admin für alles sollte eigentlich nie benutzt werden und das PW für den gut weg geschlossen auf nem Blatt Papier stehen. dann abgestufte Funktionale Admins für je Exchange, Sharepoints, Benutzersteuerung, AzureAD, etc. Und z.b. einen Freigabeadmin für die Windows UAC Abfragen.

Die User Accounts sollten natürlich keine Adminrechte haben. Weder im MS365, noch lokal aufm Rechner.
Ich bin mir jetzt nicht ganz sicher, ob per default ein MS365 User lokal Admin aufm Rechner ist, ich glaube ja. Das sollte man natürlich unterbinden. Das kann man mittels Azure AD Gruppen machen. oder man führt als Admin auf dem Rechner jeweils den net Befehl aus:
https://learn.microsoft.com/de-de/entra/identity/devices/assign-local-admin
indem man den Freigabeadmin in die Gruppe der lokalen Admins hinzufügt und den realen User aus den lokalen Admins entfernt.
 
  • Gefällt mir
Reaktionen: ph!L
Vielen Dank, das hilft mir sehr!
 
So, erstes Feedback:

Ja, nach einer Neuinstallation von Win 11 Pro kann ich mich direkt mit einem Unternehmenskonto anmelden und liege dann mit dem Benutzer auch in der Azure AD.

Ich bin dann jedoch nicht in den M365 Diensten angemeldet (Schul/Unternehenskonto muss in den Einstellungen noch eingeloggt werden) und es ist auch weiterhin möglich einen lokalen Account einzurichten.

Muss ich das alles in Azure AD/EntraID konfigurieren oder ist das eine lokale Win 11 Einstellungssache?
Ersteres wäre ja schlauer, weil der Rollout auf verschiedene Geräte dann mehr oder weniger automatisch funktioniert.
 
Das macht man dann normalerweise über intune/autopilot, dazu braucht es allerdings business premium lizenzen ( oder extra intune / entra id premium lizenzen)
 
  • Gefällt mir
Reaktionen: species_0001
ph!L schrieb:
Hallo zusammen,

ich unterstütze ein kleines Unternehmen bei ihrer IT (bin sonst nur im Apple Universum unterwegs) und stehe vor einer Aufgabe, die einfach wirkt, aber dann doch nicht so trivial ist.

Ähnlich wie bei Chrome OS möchten wir, dass sich jeder Mitarbeiter an jedem PC mit seinem M365 Account anmelden kann und man dann direkt in Office, Outlook etc. angemeldet ist, sich die Daten aus One Drive gezogen werden etc.

Wie geht das? Ich bin nur so weit gekommen, dass man Windows 11 Pro braucht, aber das war es. Ich weiß nicht mal ob es dafür einen bestimmten Begriff gibt, den man googeln könnte. Alles was ich finde sind die typischen, ellenlangen und inhaltsleeren Microsoft Supportdokumente.

Aktuell werden einfach lokale Benutzer mit statischen Passwörtern genutzt. Ich möchte ausdrücklich nicht in den Einstellungen einen neuen M365 Benutzer hinzufügen, sondern beim Login Screen eine E-Mail / Passwort Eingabemaske haben. Muss Win 11 dafür neu installiert und anders konfiguriert werden?

Einträge in der Entra ID haben wir, ich sehe die Herausforderung also eher im Windows selbst.

Besten Dank im Voraus
Phil
Zum Vergrößern anklicken....
naja, genau für so was gibt es zertifizierte Microsoft-Fachleute die für Unternehmen (auch kleinere) so etwas, natürlich gegenüber Gebühr, einrichten und supporten.
Klar, kann man das hier versuchen Informationen auch kostenlos hier zu bekommen, aber zielführend ist das dann oft auch nicht und vorallem nicht professionell, ich gehe davon aus das der Treat-Ersteller ja auch für seine Arbeit für das kleine Unternehmen bezahlt wird und das nicht kostenlos macht.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

O
Windows 10 Login (mit Microsoft Konto verknüpft) nicht möglich
Antworten
6
Aufrufe
1.276
Octarock
O
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz