Microsoft 365 Apps Lizenzdetails

Diese Seite beschäftigt sich etwas detaillierter mit der Lizenzsteuerung von Microsoft 365 Apps.

Für die Verteilung von Office 365 Pro Plus im internen LAN habe ich eigene Seiten auf Office 365 ProPlus Checkliste und Microsoft 365 Apps for Enterprises/Office 365 Professional Plus

Auf Microsoft 365 Apps for Enterprises/Office 365 Professional Plus habe ich schon beschrieben, dass Microsoft 465 Apps aus der Cloud nicht mehr mit eine "Produktschlüssel" oder MAK-Key pro PC oder mit einem eigenen KMS-Server aktiviert werden, sondern die Microsoft 365 Cloud dies übernimmt. 

Quelle und Lizenz

Trennen Sie "Lizenz" von "Installationsquelle". Sie können heute als Microsoft 365 Admin zwar bei eine Benutzer abschalten, dass er sich selbst "Microsoft 365 Apps" herunterlädt, aber er kann die Installationsquellen auch problemlos von einem anderen Tenant oder sogar per SMB-Freigabe oder USB-Strick erhalten und installieren. Damit hat er aber noch keine Lizenz und Word, Excel, PowerPoint und Co werden nach einigen Tagen mit Lizenzwarnungen in den "ReadOnly"-Mode schalten.

Die lokal installieren Microsoft 365 Apps richtig "nutzen" können die Anwender erst, wenn die Software sich über den Lizenzserver in der Cloud aktiviert hat. Es ist möglich, dass sich ein Benutzer auf einem PC in den Microsoft 365 Apps zeitgleich mit mehreren Benutzern bei unterschiedlichen Tenants anmeldet und damit mehrere Lizenzen bekommt.

Lizenz zuweisen

Im Regelfall werden Microsoft 365 Apps Lizenzen "pro Benutzer" zugewiesen. Der Microsoft 365 Administrator kann dies manuell im Microsoft 365 Admin Portal ( https://admin.microsoft.com) oder Azure Portal (https://portal.azure.com, per PowerShell, Graph oder über Gruppenmitgliedschaften umsetzen. Microsoft 365 App for Enterprises unterscheidet dabei nicht nach Word/Excel/PowerPoint. Die Lizenz enthält immer alle Programme und als Administrator können Sie mittels Konfiguration vorgeben, welche Produkte installiert werden. Ein 100% Schutz ist dies aber nicht, da der Mitarbeiter schon die Lizenz hat.

Sie könnten mit Conditional Access-Regeln versuchen, eine Nutzung zu blockieren aber auch das hindert nicht den Benutzer, das Programm zu nutzen. Er kann dann nur z.B. nicht auf Dateien in der so eingeschränkten Cloud (OneDrive/SharePoint) zugreifen.

Allerdings sind Programme wie Visio oder Microsoft Project keine Produkte, die im Microsoft 365 Apps enthalten sind. Hier sind gesonderte Lizenzen erforderlich und zuzuweisen.

Die Installation der Programme auf einem Client und die Nutzung mit einer Lizenz sind zwei unterschiedliche Dinge und die Installationsquelle kann quasi überall herkommen.

Lizenz: Standard-Aktivierung

Auf jeden Fall muss aber der Anwender mit seinen Office 365 Anmeldedaten die Lizenz aktivieren. Diese Aktivierung wird regelmäßig (ca. 30 Tage) immer erneuert. Ohne Aktivierung fällt Office 365 Professional irgendwann in einen "Reduced Mode" zurück bzw. wird nur noch zum "Office Viewer".

Overview of licensing and activation in Office 365 ProPlus
https://docs.microsoft.com/en-us/deployoffice/overview-of-licensing-and-activation-in-office-365-proplus
“make sure your Users can connect to Office Licensing Service via the Internet at least once every 30 days.”
“Because of its online activation features, Office 365 ProPlus won't work on computers that are completely cut off from the Internet.”

"Once Microsoft 365 Apps is installed and activated, a process runs once a day to connect to the Office Licensing Service. The purpose is to check whether the Office 365 (or Microsoft 365) subscription is still active or if it has changed in any way. The connection needs to succeed at least once a month for Microsoft 365 Apps to remain fully functional."
Quelle https://learn.microsoft.com/en-us/deployoffice/licensing-activation-data-sent-microsoft-365-apps#checking-the-status-of-the-office-365-subscription

Mit Office 365 Professional ist es nicht möglich, dass ein Client ohne Internet-Zugriff länger mit der Software arbeitet. Das bedeutet auch, dass ein Anwender, der sich nicht mehr an Office 365 anmelden kann, irgendwann die Lizenz verliert und dann die Programme nicht mehr vollumfänglich nutzen kann.

Das vereinfacht natürlich schon das "Exit"-Management bei ausscheidenden Mitarbeitern. Es gibt keinen KMS-Key oder MAK-Key, mit dem der Anwender auch ein Office auf dem Heim-PC dann weiter illegal nutzen kann. Allerdings bedeutet das dann natürlich auch, dass der Anwender auf seinem PC zumindest Zugriff auf bestimmte URLs der Office 365 Aktivierung-Server benötigt. Idealerweise konfigurieren Sie ihren Proxy so, dass diese URLs auch ohne Authentifizierung erreichbar sind.

Lizenz: "Shared Computer Activation" (SCA)

Die Lizenzierung pro Benutzer und pro Gerät wird natürlich dann knifflig, wenn ein Anwender mehr als 5 Geräte nutzt oder mehrere Anwender auf einem Gerät arbeiten:

  • Viele Anwender auf einem Gerät
    Hier braucht jeder Anwender eine Microsoft 365 App Lizenz, weil er die Software unter seinem Konto aktivieren muss. Es reicht nicht, wenn ein anderer Anwender auf dem Gerät schon einmal Office 365 ProPlus installiert und aktiviert hat. In diesem Fall könnte es interessanter sein, Office normal zu lizenzieren, z.B. ein Familien-PC mit mehreren Anwendern.
    Ein Sonderfall sind hier aber "Pool-PCs" oder Terminal Server.
  • Ein Anwender auf vielen PCs
    Es gibt durch aus ArbeitsUmgebungen, bei denen Anwender immer wieder einen anderen Arbeitsplatz nutzen, also keinen festen PC nutzen und auch keinen Notebook haben.

In beiden Fällen ist die statische Lizenzierung pro Benutzer natürlich nicht passend. Seit Juli 2014 gibt es eine alternative Lizenzierung, bei der weiterhin Office 365 Pro Plus auf dem Client installiert und durch den Anwender aktiviert wird, aber nicht als permanente Lizenz zählt. Office 365 Pro Plus wird beim Start des Anwender nur quasi temporär aktiviert. Das Lizenztoken ist nur wenige Tage gültig.

Damit eignet sich diese Verfahren definitiv nicht für Notebooks oder andere Geräte, die einige Tage ohne Internet-Zugriff arbeiten müssen. Aber das ist auch nicht die Zielgruppe dieser Lizenzform

Um die Bequemlichkeit sicherzustellen, sollten Sie natürlich hier eine automatische Aktivierung unterstützen. Weiterhin bekommt Microsoft natürlich mit, auf welchen PCs der Anwender Office aktiviert. Es wird also auffallen, wenn auf 100 PCs sich am gleichen Tag der gleiche Anwender anmeldet.

Welche Erkennung im Hintergrund genau passiert, wird von Microsoft aus verständlichen Gründen nicht offen gelegt. Die "Art" der Lizenzierung bestimmen Sie aber schon beim Download der Installationsquelle und der darauffolgenden Installation auf dem PC. für die automatische Aktivierung ist eine Einstellung in den Gruppenrichtlinien ratsam.

Ich habe dies bislang nur auf Windows genutzt. Ich kann leider noch nichts dazu sagen, ob dies auch für Office/Mac zutrifft.

Your questions answered. Shared computer activation in Office 365 ProPlus
https://channel9.msdn.com/Shows/Mechanics/Your-questions-answered-Shared-computer-activation-in-Office-365-ProPlus

Lizenz: Device Licensing (DBA)

Es gibt seit Sommer 2020 noch einen dritten Sonderfall bei der Lizenzierung, die aber nur in wenigen besonderen Paketen zur Verfügung steht. Der Einsatzzweck sind z.B. Schulungsräume mit statischen PCs, an denen sehr viele Studenten und Schüler arbeiten, die selbst aber keine Office Apps-Lizenz haben.

Hier können Sie dann dem Device eine Word/Excel/Powerpoint-Lizenz zuweisen, so dass jeder Anwender auf diesem Computer mit diesen Apps arbeiten kann. Die Lizenzen erscheinen je nach Tenant als:

Microsoft 365 Apps for enterprise (device)
Microsoft 365 Apps for Education (device)

Wenn Sie diese Lizenz einem Gerät zuweisen wollen, müssen Sie weitere Voraussetzungen beachten:

  • Windows 10 1803 oder höher
    Windows 7 oder ältere Versionen von Windows 10 werden nicht mehr unterstützt.
  • Office 365 Apps 1903 oder höher
    Sollte heute auch kein Problem mehr sein.
  • AzureAD Hybrid Joined/ AzureAD Joined
    Das Gerät muss im AzureAD Joined sein. Ein "Registered" reicht nicht.
  • Lizenzzuweisung über Gruppe
    Sie können die Lizenz nicht über das Admin-Portal zuweisen, sondern über eine AzureAD-Gruppe ohne dynamische Mitgliedschaften

Die Konfiguration der Lizenz besteht zum einen aus der Zuweisung der Lienz an den Computer und eine passende Konfiguration der Office Installation. Dies kann durch einen Eintrag in der Office Installation-XML-Datei erfolgen.

<Configuration .......>
   <Property Name=“DeviceBasedLicensing” Value=“1” />
<Configuration>

Die Eintragung schreibt letztlich folgenden Registrierungsschlüssel:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\Configuration]
"O365ProPlusRetail.DeviceBasedLicensing"="1"

Den können Sie auch per CMD setzen:

reg add HKLM\SOFTWARE\Microsoft\Office\ClickToRun\Configuration /v O365ProPlusRetail.DeviceBasedLicensing /t REG_SZ /d 1

Danach sollten Sie in Office dann unter "Datei - Konto" stehen, dass die Lizenz dem Gerät zugewiesen ist:

Lizenzstatus prüfen

Der einfachste Weg die erhaltenen Lizenzen zu prüfen ist ein Blick in Word, Excel, PowerPoint, Outlook etc. Über "Date - Office Konto" sehen sie ihren aktuellen Benutzer und die damit verbundenen Lizenzen. Das Beispiel zeigt ihnen meinen Benutzer, der einmal eine "Consumer""-Lizenz und zweimal eine Enterprise Lizenz von zwei unterschiedlichen Tenants hat.

Die Office Lizenzen werden zum Teil in der Registrierung und als Dateien abgelegt aber Sie müssen hier nicht manuell suchen. Microsoft hat mit "vNextDiag.ps" ein passendes Skript schon mit der Office Installation auf ihren PC gebracht. "vNext" können Sie auch als Indikator hernaziehen, dass die Lizenzverwaltung wieder mal geändert wurde und das Skript zeigt, ob ihr Client schon die neue Variante nutzt:

PS C:\> . "C:\Program Files\Microsoft Office\Office16\vNextDiag.ps1"

========== Mode per ProductReleaseId ==========
o365proplusretail = vNext
visioproretail = vNext

========== Shared Computer Licensing ==========
No registry keys found.

========== vNext licenses found ==========
{
  "Version": "5",
  "Type": "User|Subscription",
  "Product": "VisioProRetail",
  "Acid": "a56a3b37-3a35-4bbb-a036-eee5f1898eee",
  "Email": "user1@msxfaq.net",
  "LicenseState": "Licensed",
  "EntitlementStatus": "Provisioned",
  "EntitlementExpiration": null,
  "ReasonCode": null,
  "NotBefore": "2023-08-20T07:32:00.5715444Z",
  "NotAfter": "2023-11-19T07:32:00.5715444Z",
  "NextRenewal": "2023-08-23T14:32:00.5715444Z",
  "TenantId": "xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "LicenseId": "EWW_b39bb717-ea64-46cd-ab57-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
}
{
  "Version": "5",
  "Type": "User|Subscription",
  "Product": "O365ProPlusRetail",
  "Acid": "149dbce7-a48e-44db-8364-a53386cd4580",
  "Email": "user1@msxfaq.net",
  "LicenseState": "Licensed",
  "EntitlementStatus": "Provisioned",
  "EntitlementExpiration": null,
  "ReasonCode": null,
  "NotBefore": "2023-08-23T09:11:53.3765043Z",
  "NotAfter": "2023-11-22T09:11:53.3765043Z",
  "NextRenewal": "2023-08-28T03:11:53.3765043Z",
  "TenantId": "xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "LicenseId": "EWW_b39bb717-ea64-46cd-ab57-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
}
{
  "Version": "5",
  "Type": "User|Subscription",
  "Product": "O365HomePremRetail",
  "Acid": "b58a5943-16ea-420f-a611-7b230acd762c",
  "Email": "msxfaqtestuser@outlook.de",
  "LicenseState": "Licensed",
  "EntitlementStatus": "Provisioned",
  "EntitlementExpiration": "2027-04-21T00:00:00Z",
  "ReasonCode": null,
  "NotBefore": "2023-08-25T04:08:34.7219297Z",
  "NotAfter": "2023-11-09T04:08:34.7219297Z",
  "NextRenewal": "2023-08-29T15:08:34.7219297Z",
  "TenantId": null,
  "LicenseId": "CWW_e811f81d-6254-417b-b0bf-xxxxxxxxxxxxxxxxxxxxxxxxxxx-6254-417b-b0bf-xxxxxxxxxxxxxxxxxxxxxxxxxxx"
}

========== Device licenses found ==========
No licenses found.

Es kann durchaus sein, dass Sie Lizenzen von mehreren Tenants haben und auch Enterprise uns Consumer-Lizenzen gemischt sind. Se können dies am Prefix in der Zeile "LicenseID" sehen.

  • EWW = Enterprise Lizenzen, d.h. Microsoft 365 Business oder Enterprise
  • CWW = Consumer Lizenzen, d.h. Microsoft 365 Home/Personal

Wenn die Lizenz abgelaufen ist, dann erscheint Sie mit dem Status "RFM" (Reduced function mode)"

PS C:\> . "C:\Program Files\Microsoft Office\Office16\vNextDiag.ps1"

========== Mode per ProductReleaseId ==========
o365proplusretail = vNext
visioproretail = vNext

========== Shared Computer Licensing ==========
No registry keys found.

========== vNext licenses found ==========
{ 
    "Version":  "5", 
    "Type":  "User|Subscription", 
    "Product":  "O365ProPlusRetail", 
    "Acid":  "149dbce7-xxxx-xxxx-xxxx-xxxxxxxxxxxxx", 
    "Email":  "user2@msxfaq.net", 
    "LicenseState":  "RFM", 
    "EntitlementStatus":  "Provisioned", 
    "EntitlementExpiration":  null, 
    "ReasonCode":  null, 
    "NotBefore":  "2023-03-23T14:25:13.2544734Z", 
    "NotAfter":  "2023-06-23T14:25:13.2524434Z", 
    "NextRenewal":  "2023-03-25T22:25:13.2524434Z", 
    "TenantId":  "08fb81ea-05c9-xxxx-xxxx-xxxxxxxxxxxx", 
    "LicenseId":  "EWW_bf888e12-xxxx-xxxx-xxxx-xxxxxxxxxxxx_xxxxxxxxxxxxxxxxxx" 
}

========== Device licenses found ==========
No licenses found.

Wenn die bei ihnen ausgegebenen Lizenzen nicht passen, dann können Sie diese auch löschen. Microsoft beschreibt dazu die Wege. Sie müssen nur die LicenseID und eine Action angeben:

. "C:\Program Files\Microsoft Office\Office16\vNextDiag.ps1" `
   -action remove `
   -licenseId EWW_b39bb717-xxxx-xxxx-xxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Nachdem Sie alle Lizenzen so entfernt haben, zeigt vNextDiag.ps1 nur noch folgendes an:

PS C:\> . "C:\Program Files\Microsoft Office\Office16\vNextDiag.ps1"

========== Mode per ProductReleaseId ==========
o365proplusretail = vNext
visioproretail = vNext

========== Shared Computer Licensing ==========
No registry keys found.

========== vNext licenses found ==========
No licenses found.

========== Device licenses found ==========
No licenses found.

Entsprechend zeigen auch die Office Apps den "Reduced Function Mode" an:

Alternativ können Sie auch OLicenseCleanup.zip nutzen.

OLicenseCleanup.zip
https://download.microsoft.com/download/e/1/b/e1bbdc16-fad4-4aa2-a309-2ba3cae8d424/OLicenseCleanup.zip

Auf der folgenden Seite sind auch die manuellen Schritte beschrieben

Allerdings sollten sie dem früher per CSCRIPT gestarteten VBScript "ospp.vbs" nicht mehr trauen. Zumindest nach dem Wechel auf VNext-Lizenzen zeigt es bei mir nur teilweise sinnvolle Werte an:

C:\> cscript "C:\Program Files\Microsoft Office\Office16\ospp.vbs" /dstatus
Microsoft (R) Windows Script Host, Version 5.812
Copyright (C) Microsoft Corporation. Alle Rechte vorbehalten.

---Processing--------------------------
---------------------------------------
PRODUCT ID: 00202-xxxxx-xxxxx-xxxxx
SKU ID: 149dbce7-xxxx-xxxx-xxxx-xxxxxxxxxxxx
LICENSE NAME: Office 16, Office16O365ProPlusR_Subscription1 edition
LICENSE DESCRIPTION: Office 16, TIMEBASED_SUB channel
BETA EXPIRATION: 01.01.1601
LICENSE STATUS:  ---NOTIFICATIONS---
ERROR CODE: 0xC004E022
ERROR DESCRIPTION: The Software Licensing Service reported that the secure store id value in license does not match with the current value.
Last 5 characters of installed product key: 84Y6P
---------------------------------------
---------------------------------------
---Exiting-----------------------------

Das Skript erkennt noch, dass es sich um eine Subscription (TIMEBASED) handelt aber danach kommt nur noch ein Fehler.

Details

Die Informationen über vorhandene Lizenzen werden auf dem lokalen Computer natürlich in einem Cache gehalten. Bei Microsoft 365 Apps sind die Daten zum Teil in der Registrierung als auch im Dateisystem. Allerdings hat es auch da einen Wechsel einer "alten" und einer "neuen" Version gegeben. Mittlerweile sollten alle Client schon die V2-Lizenzierung nutzen. Natürlich können Sie mit REGEDIT einfach in der Registrierung nachsehen.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common\Licensing\LicensingNext

In den anderen hier nicht abgebildeten Bereichen stehen weitere Informationen. Allerdings sind alle diese Daten teils Base64-codiert und mit Dateien im Dateisystem verbunden, so dass Veränderungen hier kaum sinnvoll sind.

%localappdata%\Microsoft\Office\Licenses

Dies sind einfache TXT-Dateien, in denen eine JSON-Struktur gespeichert ist. Einziges Feld ist eine "License".

Das geübte Auge kann an dem "ey" schon vermuten, dass es eine BASE64-codierte  JSON-Information ist.

Sie finden Sie Felder, ovn wann bis wann die Lizenz gültig ist und die LicenseID. Sogar ein "RenewalToken" ist hier enthalten. Das habe ich mir dann auch noch mal mit https:((jwt.io angehscuat:

Mittlerweile gibt es aber auch PowerShell-Skripts zum Anzeige der Lizenzen. Sie können natürlich Lizenzen hier löschen.

Es gibt weitere Tools, um den Lizenzstatus zurückzusetzen oder neu auszuführen.

Netzwerk Kommunikation

Natürlich habe ich auch mit Fiddler dem Client auf die Finger geschaut, wenn er eine Lizenz aktiviert. Allerdings hat sich Word und Co nicht dazu überreden lassen, mit aktivierter SSL-Inspection eine Lizenz anzufordern. Ich konnte noch meinen UPN eingeben aber das nächste Dialogfenster mit der Kennworteingabe und die darauffolgende MFA-Anfrage wurde einfach nicht angezeigt. Stattdessen wurde ein wenig aussagekräftiger "Fehler 29" geliefert. Kaum hatte ich Fiddler aber beendet, konnten die Lizenzen umgehend zugeteilt werden.

Ich nehme an, dass Microsoft hier ein Zertifikat-Pinning o.ä. implementiert hat, um ein Mitschnüffeln der Aktivierung zu erschweren.

In einer früheren Liste der IP-Adressen und URLs hat Microsoft die Office Licensing Services, d.h. die Aktivierungsserver, sogar explizit aufgeführt.


https://learn.microsoft.com/de-de/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide (Früher)

Die aktuelle Liste ist aber leider nicht mehr so ausführlich und beschreibt nur noch allgemein die verschiedenen URLs. Bei einer Kontrolle der DNS-Anfragen habe ich die aufgeführten Server auch gefunden, z.B.

ols.officeapps.live.com

Mein Client hat sich also schon zu diesen Servern verbunden. In einem weiteren Microsoft Artikel wurde eine Liste der URLs veröffentlicht:

https://officecdn.microsoft.com
https://ols.officeapps.live.com/olsc
https://activation.sls.microsoft.com
https://odc.officeapps.live.com
https://crl.microsoft.com/pki/crl/products/MicrosoftProductSecureServer.crl
https://crl.microsoft.com/pki/crl/products/MicrosoftRootAuthority.crl
https://crl.microsoft.com/pki/crl/products/MicrosoftProductSecureCommunicationsPCA.crl
https://www.microsoft.com/pki/crl/products/MicrosoftProductSecureCommunicationsPCA.crl
go.microsoft.com
office15client.microsoft.com

Die Liste sieht ähnlich den anderen Listen aus.

Wenn sich ihre internen Microsoft 365 Apps for Enterprise Clients nicht alleine lizenzieren und auch eine manuelle Lizenzaktivierung nicht möglich ist, dann prüfen Sie ihren Proxy-Server, ob dieser eine Authentifizierung erzwingt oder SSL aufbricht.

Letztlich müssen Sie sich darüber im klaren sein, dass die Nutzung von Cloud Diensten nach Prüfung und Abschluss der entsprechenden Verträge (Lizenz, Datenschutz, Auftragsdatenverarbeitung etc.) den Anbieter vom Status "Internet" zum Status "Cloudpartner" anheben und damit ein gewisses Vertrauen vorhanden sein muss. Deep Inspection geht dann nicht.

Weitere Links

Microsoft Consultant Exchange & Skype for Business (m/w)
Kommen Sie zu Net at Work. Wir haben spannende Projekte bei innovativen Kunden. Unser Team arbeitet kollegial und kooperativ – ständiger Austausch und Weiterbildung sind bei uns Standard.
https://www.netatwork.de/unternehmen/karriere/