Sollte mein Microsoft Cloud-Administratorkonto lizenziert sein? Wenn ja, wann?

22.05.2026 Last updated : 23.05.2026 Mein Avatar für die Krähe mit Hut. Man sieht eine Krähe mit einem Doktorhut.Krähe mit Hut
Lesedauer 4 Minuten

Über die Jahre haben sich einige bewährte Methoden für den Umgang mit Administratorkonten etabliert, vor allem in Verbindung mit der Microsoft Cloud:

  • Keine Synchronisation lokaler Administratorkonten in die Cloud
  • Keine produktive Nutzung von Administratorkonten (d.h. kein Zugriff auf Software wie Outlook, Teams, usw.)
  • Dementsprechend keine Zuweisung von Lizenzen zu Administratorkonten in der Cloud (abgesehen von sicherheitsrelevanten Lizenzen)

Mit "sicherheitsrelevanten Lizenzen" sind normalerweise Lizenzen für Entra ID-Funktionen gemeint, z.B. bedingter Zugriff, Privileged Identity Management, usw. Falls jedoch das eigene produktive Benutzerkonto bereits mit einer solchen Lizenz ausgestattet ist, benötigt das Administratorkonto keine separate Lizenz (sogenannte "1 Human, 1 License"-Regel, siehe LinkedIn).

Es gibt jedoch Situationen, in denen ein Administratorkonto in der Microsoft Cloud tatsächlich eine Lizenz benötigt. Und dies ist in der jeweiligen Situation nicht unbedingt offensichtlich.
Diese Situationen zeige ich Dir in diesem Artikel, damit Du nicht lange nach der Ursache suchen musst, wenn etwas mal nicht funktioniert. 😉

Universelles Drucken

Was ist Universelles Drucken?

Der Azure-Dienst "Universelles Drucken" stellt eine moderne Variante zur Ansteuerung von Druckern dar. Hierdurch kann die Bereitstellung eines klassischen lokal bereitgestellten Druckerservers entfallen. Stattdessen werden die Drucker direkt an den Azure-Dienst angebunden und über Intune auf die Endgeräte verteilt. Dort entfällt die Installation spezifischer Druckertreiber, dies regelt der Dienst automatisch.

"Sie haben keinen Zugriff"

Für die Verwaltung des Dienstes existiert eine eigene Rolle namens Druckeradministrator. Der Dienst kann jedoch auch mit höheren Rollen administriert werden.

Versucht man nun, auf den Dienst zuzugreifen, so klappt dies zunächst. Möchte man nun aber einen Drucker konfigurieren, erhält man die Meldung "Sie haben keinen Zugriff" mit dem Fehlercode 401.

Dies stimmt jedoch so nicht. Die Berechtigungen sind, sofern die oben genannte oder eine höherwertigere Rolle zugewiesen ist, ausreichend.


Tatsächlich benötigt das zur Verwaltung verwendete Konto eine Lizenz für Universelles Drucken. Diese kann entweder als einzelnes Produkt erworben oder als Teil eines Paket wie Microsoft 365 Business Premium, E3 oder E5 zugewiesen werden.

Allerdings funktioniert der Zugriff üblicherweise nicht sofort nach der Zuweisung, sondern benötigt etwas Zeit und ggf. mehrere Neuanmeldungen, bevor der Zugriff dann funktioniert.

Information

Falls nicht ständig Änderungen an der Drucker-Konfiguration durchgeführt werden müssen, kann die Lizenz bedarfsorientiert zugewiesen und auch wieder entfernt werden. Eine dauerhafte Zuweisung ist nicht nötig. Wird sie benötigt, sollte jedoch darauf geachtet werden, die Lizenz zuerst zuzuweisen und erst nach erfolgter Zuweisung den ersten Zugriffsversuch zu starten.

Intune-Zertifikatsconnector

Was ist der Intune-Zertifikatsconnector?

Intune ist die cloudbasierte Endpunkt-Verwaltungslösung. Damit lassen sich Windows Client, Mac OS, Linux (bis zu einem gewissen Grad) und mobile Endgeräte mit iOS/iPadOS und Android mit Software, Richtlinien und Konfigurationen versorgen. Über Intune können auch Zertifikate an die Geräte verteilt werden, beispielsweise für eine zertifikatbasierte Authentifizierung im Netzwerk (802.1x).

Hierfür können auch Zertifikate einer lokalen Windows-basierten Zertifizierungsstelle verwendet werden. Damit Intune auf die Zertifizierungsstelle zugreifen kann, stellt Microsoft den Intune-Zertifikatsconnector zur Verfügung. Dieser kann ohne Mehrkosten im eigenen Rechenzentrum installiert werden.

"Unerwarteter Fehler bei der Installation"

Der Installationsassistent für den Connector ist an sich selbsterklärend. Allerdings kommt es bei der Anmeldung an Entra ID (dort aktuell immer noch als "Azure AD-Anmeldung" bezeichnet) zu einem unerwarteten Fehler.

Die Diagnoseinformationen hierzu sind leider nicht hilfreich.

Mittlerweile hat Microsoft jedoch selbst die Lösung für das Problem veröffentlicht:

Dem Benutzerkonto, mit dem die Anmeldung durchgeführt wird, muss neben der Rolle "Intune-Administrator" auch eine Intune-Lizenz zugewiesen werden.

Hierbei ist es ausreichend, dem Konto die Lizenz nur für die Installation zuzuweisen. Danach kann sie wieder entfernt werden.

Wichtig

Da der Connector regelmäßig aktualisiert werden muss, sollte dies in passender Form dokumentiert werden!

Zugriff auf die Power BI-Administration

Was ist Power BI?

Power BI als Teil der Power Platform ist eine Lösung zur Zusammenführung und Visualisierung von Daten aus unterschiedlichen Quellen. Beispielsweise können Daten aus lokalen Datenbanken wie z.B. MSSQL und Cloud-Datenbanken eingelesen, verarbeitet und in einer Berichtsform ausgegeben werden. Dies ermöglicht die Auswertung und Informationsweitergabe. Ein Zugriff auf Power BI ist auch über PowerShell möglich (Modul MicrosoftPowerBIMgmt).

Für die Nutzung des Dienstes gibt es verschiedene Lizenzen, die einen gewissen Funktionsumfang freischalten.

"Unauthorized"

Die Besonderheit dieses Dienstes ist jedoch, dass selbst Administratoren für die Verwaltung eine Lizenz benötigen. Dies wird bereits deutlich, wenn man versucht, das Admin Center aufzurufen.

Ist dem Benutzer keine Lizenz für Power BI oder ein Paket zugewiesen, das Power BI beinhaltet, wird versucht, eine kostenlose Lizenz für den Benutzer zu aktivieren.

In vielen Organisationen ist es jedoch Benutzern nicht erlaubt, selbst Lizenzen zu buchen. Dies gilt auch für Administratoren. Zudem sperrt Microsoft üblicherweise die Verwendung von Testlizenzen, wenn bereits eine Kauflizenz im Mandanten existiert.

In der PowerShell ist dies nicht ganz so offensichtlich. Dort kann man zunächst eine Verbindung zum Dienst aufbauen (über Connect-PowerBIServiceAccount).

Wenn man dann versucht, beispielsweise alle existierenden Arbeitsbereiche auszulesen (Get-PowerBIWorkspace), so erhält man eine Fehlermeldung mit dem Statuscode 'Unauthorized'. Es macht hierbei keinen Unterschied, welche administrative Rolle dem Benutzer zugewiesen ist, da sich nicht tatsächlich um ein Berechtigungsproblem handelt.

Versucht man einen alternativen Weg über einen Aufruf der REST API, erhält man ebenfalls eine Fehlermeldung, allerdings ist hier die Meldung eindeutiger: User is not licensed for Power BI.

Es wird also klar: dem Benutzer muss eine Lizenz zugewiesen werden, bevor der Zugriff funktioniert.

Information

Es ist ausreichend, dem Benutzer die Lizenz vorübergehend zuzuweisen, solange er Zugriff auf Power BI benötigt. Die Lizenz kann anschließend problemlos wieder entzogen werden.


Hat Dir dieser Artikel gefallen? Lass es andere wissen!

Kategorien
Microsoft 365 und Microsoft Azure
Tags
Previous article
Windows Server Summit 2026 | Teil 19: Failover-Clustering: Das Herzstück der Private Cloud und des RechenzentrumsNew!!
21.05.2026