Wenn Sie mit Microsoft 365 arbeiten, kann die Suche nach deaktivierten Konten manchmal etwas mühsam sein, besonders wenn es schnell gehen soll, ohne jedes Mal PowerShell zu bemühen. Vielleicht führen Sie eine Sicherheitsprüfung durch oder bereinigen einfach nur Konten, die längst hätten deaktiviert werden sollen. In jedem Fall gibt es verschiedene Möglichkeiten, deaktivierte Benutzer aufzuspüren – jede mit ihren Eigenheiten, aber alle recht einfach, sobald man den Dreh raus hat. Beachten Sie jedoch, dass diese Methoden bei manchen Konfigurationen etwas Geduld oder ein kurzes Aktualisieren erfordern, um die neuesten Daten anzuzeigen. Denn Microsoft macht es uns natürlich gerne unnötig schwer.
So finden Sie behinderte Benutzer in Microsoft 365
Verwendung des Microsoft 365 Admin Centers
Diese Option ist am anschaulichsten, und wenn Sie sich bereits intensiv mit der Administrationsoberfläche auseinandersetzen, wäre es fast schon unklug, hier nicht zuerst nachzusehen. Sie ist zuverlässig, wenn Sie eine schnelle visuelle Bestätigung benötigen, insbesondere wenn Sie nicht mit der Kommandozeile arbeiten möchten. Sie sollten Konten identifizieren, die gesperrt oder aus Sicherheitsgründen absichtlich deaktiviert wurden – diese haben in der Regel den Status „Anmeldung blockiert“.
Befolgen Sie diese Schritte:
- Melden Sie sich im Microsoft 365 Admin Center unter https://admin.microsoft.com an.
- Navigieren Sie zu Benutzer > Aktive Benutzer.
- Klicken Sie auf die Schaltfläche Filter (möglicherweise ein Trichtersymbol) und wählen Sie dann im Dropdown-Menü Anmeldung blockiert aus. Falls diese Option nicht sofort angezeigt wird, müssen Sie möglicherweise einen benutzerdefinierten Filter erstellen. Klicken Sie dazu auf Filter erstellen und benennen Sie ihn beispielsweise „Deaktivierte Benutzer“.
- Wenden Sie den Filter an, indem Sie auf Anwenden oder Hinzufügen klicken.
Hier sollten nun alle Benutzer aufgelistet sein, deren Anmeldung blockiert ist – also deren Konten deaktiviert oder gesperrt wurden. Manchmal genügt eine Stichprobe, um zu prüfen, ob unerwartete Konten auftauchen.
Verwendung des Microsoft Enterprise Admin Centers
Wenn Sie die neuere Benutzeroberfläche bevorzugen oder mit Entra (ehemals Azure AD) vertraut sind, funktioniert diese Methode ebenfalls sehr gut. Sie eignet sich gut für die Massenfilterung und liefert detailliertere Informationen zum Kontostatus. Viele Administratoren nutzen diese Methode aufgrund der umfassenderen Kontrolle und der schnelleren Filterung.
Schritte:
- Melden Sie sich im Microsoft Entra Admin Center unter https://entra.microsoft.com an.
- Gehen Sie zu Benutzer > Alle Benutzer.
- Klicken Sie oben auf Filter hinzufügen und suchen Sie dann den Filter Konto aktiviert.
- Stellen Sie den Wert auf Nein, um alle deaktivierten Konten zu finden, und klicken Sie auf Anwenden.
Bei einer Konfiguration funktionierte es reibungslos, bei einer anderen musste ich die Filter ein paar Mal aktualisieren oder umschalten – denn natürlich muss Microsoft es einem etwas frustrierend machen.
Verwendung von PowerShell
Das ist für alle, die gerne Skripte schreiben oder Hunderte oder Tausende von Konten verwalten und das Ganze automatisieren möchten. Sobald es funktioniert, geht es schneller, aber die Einrichtung kann etwas knifflig sein.
Stellen Sie zunächst sicher, dass das Microsoft Graph-Modul installiert ist. Falls nicht, führen Sie folgenden Befehl in PowerShell aus:
Install-Module Microsoft. Graph -Scope CurrentUserAls Nächstes stellen Sie eine Verbindung zu Microsoft Graph her:
Connect-MgGraphEs erscheint ein Anmeldeformular – melden Sie sich mit Ihren Administrator-Zugangsdaten an.
Führen Sie nun diesen Befehl aus:
Get-MgUser -Filter "accountEnabled eq false" | Select DisplayName, UserPrincipalNameDadurch wird eine Liste aller deaktivierten Konten mit ihren Anzeigenamen und UPNs ausgegeben. Nützlich für Skripte oder den Export in Berichte.
Manchmal ruft der Befehl nicht alle Daten beim ersten Versuch ab – bei manchen Konten sind seltsamerweise mehrere Versuche nötig. Möglicherweise liegt es an einem Cache-Problem oder an fehlenden Berechtigungen. Wundern Sie sich also nicht, wenn Sie den Befehl erneut ausführen oder sich ab- und wieder anmelden müssen.
Kurzfassung zur Suche nach behinderten Nutzern
Ob Sie lieber durch die Benutzeroberfläche klicken oder PowerShell nutzen – Sie haben die Wahl. Das Admin Center ist für die schnelle Sichtprüfung optimiert, während PowerShell sich besonders für die Automatisierung eignet, vor allem bei der Verwaltung vieler Benutzer. Beachten Sie, dass Filter auf den richtigen Kriterien basieren – beispielsweise „Anmeldung blockiert“ im Admin Center oder „accountEnabled eq false“ in Skripten. Und ja, möglicherweise müssen Sie Filter aktivieren oder Befehle mehrmals ausführen, um genaue Ergebnisse zu erhalten.
Worin besteht der Unterschied zwischen inaktiven und deaktivierten Benutzern?
Das führt häufig zu Missverständnissen. Grundsätzlich ist das Konto eines inaktiven Nutzers zwar aktiviert, er hat sich aber in letzter Zeit, beispielsweise 90 bis 180 Tage, nicht angemeldet. Normalerweise kann er sich bei Bedarf jederzeit wieder anmelden, sofern er nicht deaktiviert wird.
Das Deaktivieren eines Benutzers hingegen blockiert explizit alle Anmeldungen. Dies wird häufig verwendet, um Konten beim Offboarding oder im Falle eines vermuteten Sicherheitsverstoßes zu sperren. Der Hauptunterschied besteht darin, dass Inaktivität über die Eigenschaft lastSignInDateTime erfasst wird, was für die Bereinigung hilfreich sein kann, während das Deaktivieren eine bewusste, manuelle Aktion ist – der Zugriff wird zwar blockiert, Konto und Daten bleiben aber erhalten.
Ehrlich gesagt hängt die beste Vorgehensweise von der jeweiligen Situation ab, aber zu wissen, wie man herausfindet, welche Konten deaktiviert sind, ist ein guter Anfang, um die eigene Umgebung aufzuräumen oder potenzielle Sicherheitsprobleme zu untersuchen.