Brauchen Service-Accounts eine Microsoft 365 Lizenz?

Kurz gesagt: Die meisten technischen Konten in Microsoft 365 brauchen keine eigene Lizenz. Reine Service-Accounts, freigegebene Postfächer bis 50 GB, Raum- und Gerätepostfächer sowie dedizierte Admin-Konten laufen lizenzfrei. Teuer wird es durch drei Fehler: eine Volllizenz nur fürs Mailversenden, ein Automatisierungskonto als lizenzierter Benutzer statt als App-Registrierung, und Lizenzen, die auf gesperrten Konten einfach weiterlaufen.

Diese drei Fehler sind die häufigsten und teuersten. Microsoft selbst beantwortet die Grundfrage klar: Ein Service-Account bekommt beim Anlegen keine Lizenz. Trotzdem finden sich in fast jedem Tenant technische Konten mit E3, E5 oder Business Premium. Dieser Artikel zeigt pro Kontotyp, was wirklich nötig ist, wo die Ausnahmen liegen und wie viel Sie zurückholen.

Welche technischen Konten brauchen eine Lizenz?

Der Überblick vorweg. Die folgende Tabelle deckt die fünf Kontotypen ab, die in der Praxis Kosten verursachen. Die Details zu jedem Fall stehen in den Abschnitten darunter.

Kontotyp Lizenz nötig? Ausnahme (dann doch) Günstigste richtige Option
Freigegebenes Postfach (Shared Mailbox) Nein über 50 GB, In-Place-Archiv oder Litigation Hold Exchange Online Plan 2, nur bei der Ausnahme
Raum- oder Gerätepostfach Nein betreibt ein Teams-Rooms-Gerät Teams Rooms Basic oder Pro
Dediziertes Admin- oder Notfallkonto Nein keine keine Lizenz
Automatisierungs- oder Skript-Konto Nein, als App-Registrierung Connector kann keine App-Identität Service Principal, sonst Exchange Online Plan 1
Gesperrtes oder deaktiviertes Konto Nein keine Lizenz entziehen, nicht nur sperren

Die Grundregel dahinter ist einfach: Eine Lizenz zahlt, wer ein Postfach, OneDrive oder die Office-Apps aktiv nutzt. Ein technisches Konto tut das meist nicht. Es empfängt Mail an einer geteilten Adresse, hält einen Kalender oder führt ein Skript aus. Für diese Aufgaben gibt es entweder gar keine Lizenzpflicht oder eine sehr günstige Minimallizenz.

Ab wann braucht eine Shared Mailbox doch eine Lizenz?

Ein freigegebenes Postfach ist bis 50 GB kostenlos. Es empfängt und sendet Mail, führt einen eigenen Kalender und lässt sich per Send-as freigeben, ganz ohne zugewiesene Lizenz. Erst drei Bedingungen lösen eine Lizenzpflicht aus:

  • Über 50 GB Speicher. Dann braucht das Postfach eine Exchange Online Plan 2-Lizenz, die das Limit auf 100 GB hebt. Ohne Lizenz empfängt es am Limit noch eine Weile, kann aber nicht mehr senden.
  • In-Place-Archiv. Ein Archivpostfach für die Shared Mailbox setzt ebenfalls Plan 2 voraus, alternativ Plan 1 plus das Add-on Exchange Online Archiving.
  • Litigation Hold. Rechtssichere Aufbewahrung braucht Plan 2 (oder Plan 1 plus Archiving-Add-on).

Wichtig ist die Unterscheidung zwischen Postfach und Zugriff. Das freigegebene Postfach selbst bleibt lizenzfrei. Die Mitarbeiter, die darauf zugreifen, brauchen aber jeweils eine eigene lizenzierte Exchange-Online-Mailbox. Das geteilte Postfach ist gratis, die zugreifenden Menschen sind es nicht.

Der größte Sparhebel steckt im Offboarding. Verlässt ein Mitarbeiter das Unternehmen, lässt sich sein Benutzerpostfach in ein freigegebenes Postfach umwandeln. Die Team-Adresse und die Historie bleiben erreichbar, die Lizenz wird frei. Drei Fallen dabei: das Konto muss vor der Umwandlung lizenziert sein, die Lizenz lässt sich erst danach entfernen; das alte Benutzerkonto darf nicht gelöscht werden, weil es das Postfach verankert; und die Anmeldung des Kontos gehört blockiert. Wie Sie Lizenzen dabei sicher entziehen, ohne Daten oder Compliance zu verletzen, zeigt der Leitfaden zum Downgraden ohne Datenverlust.

Für Raum- und Gerätepostfächer gelten dieselben Regeln. Ein Konferenzraum, der nur Buchungen annimmt, braucht keine Lizenz. Erst wenn er ein Teams-Rooms-Gerät betreibt, wird eine Teams-Rooms-Lizenz Pflicht.

Der teuerste Denkfehler: die Lizenz nur fürs Mailversenden

Der häufigste Grund für ein überlizenziertes Service-Konto ist ein Missverständnis rund um den Mailversand. Soll ein technisches Konto per SMTP-Authentifizierung Mail senden, etwa ein Multifunktionsdrucker oder ein Skript, verlangt Exchange Online eine lizenzierte Mailbox. Viele Admins greifen dann reflexartig zur nächstbesten Vollversion, also E3, E5 oder Business Premium.

Das ist unnötig teuer. Ein Scan-to-Mail-Konto auf Microsoft 365 E3 kostet rund 38 Euro netto im Monat. Exchange Online Plan 1 reicht für reines Mailversenden und kostet rund 3,50 Euro. Das ist gut das Zehnfache für dieselbe Funktion, über 400 Euro zu viel pro Konto und Jahr. Bei mehreren Druckern, Scannern und Sende-Skripten summiert sich das schnell.

Noch günstiger ist der moderne Weg ganz ohne Lizenz: eine App-Registrierung, die per Microsoft Graph (Mail.Send) oder OAuth versendet, mit einem Zertifikat statt einem Passwort und per Berechtigung auf ein einzelnes Postfach begrenzt. Das kostet keine Nutzerlizenz und ist sicherer, weil kein interaktives Login und kein geteiltes Passwort existiert.

Automatisierungskonten: Service Principal statt lizenziertem Benutzer

Für Skripte, Flows und Backend-Zugriffe rät Microsoft ausdrücklich von normalen Benutzerkonten ab. Die empfohlene Reihenfolge lautet: erst eine Managed Identity, wenn das nicht geht ein Service Principal, und erst als letzte Option ein Benutzerkonto. Managed Identities und Service Principals verbrauchen keine Nutzerlizenz, man kann ihnen gar keine zuweisen, und sie haben kein interaktives Login.

Ein als Service-Account genutztes Benutzerkonto ist also doppelt problematisch. Es kostet eine Lizenz, und es ist ein Sicherheitsrisiko, weil die Anmeldung aktiv und das Konto oft überprivilegiert ist. Zwei Entwicklungen 2026 verschärfen das:

  • Verpflichtende Mehrfaktor-Authentifizierung. Service Principals und Managed Identities sind davon ausgenommen. Ein als Service-Account genutztes Benutzerkonto fällt aber voll unter die Pflicht. Microsoft empfiehlt darum die Migration auf Workload-Identitäten. Wo dafür bislang eine nutzerbasierte Lizenz gebunden war, wird dieser Kostenplatz frei.
  • Ende von Basic Authentication. Für die meisten Protokolle ist Basic Auth längst abgeschaltet. Für SMTP-AUTH deaktiviert Microsoft Basic Auth zum Jahresende 2026 standardmäßig. Klassische Sende-Konten müssen ohnehin auf OAuth umziehen, was den Weg über eine App-Registrierung nahelegt.

Ein lizenziertes Benutzerkonto bleibt nur nötig, wenn ein Connector oder eine Altanwendung Service Principals noch nicht unterstützt. Dann kann ein einziges günstig lizenziertes Konto viele Flows besitzen, statt für jeden Zweck ein eigenes teures Konto anzulegen.

Lizenz-Leichen: gesperrte Konten kosten weiter

Ein verbreiteter Irrtum: Ein gesperrtes oder deaktiviertes Konto kostet nichts mehr. Das stimmt nicht. Die Anmeldung zu blockieren entfernt die Lizenz nicht. Abgerechnet wird weiter, solange die Lizenz zugewiesen bleibt. Zum Kostenstopp müssen Sie die Lizenz im Admin Center aktiv entziehen und zusätzlich die Abo-Menge reduzieren.

Genau so entstehen Lizenz-Leichen: Konten ausgeschiedener Mitarbeiter, die man nur behalten hat, um an Postfach oder OneDrive zu kommen, deaktivierte Testkonten und alte Dienstleister-Zugänge. Eine viel zitierte CoreView-Auswertung über mehr als fünf Millionen Office-365-Nutzer fand, dass 56 Prozent der Lizenzen inaktiv, unterausgelastet, überdimensioniert oder gar nicht zugewiesen sind.

Ein Beispiel für die Größenordnung: Zehn technische Konten auf Microsoft 365 Business Standard, rund 14 Euro netto pro Monat, kosten etwa 1.700 Euro im Jahr. Brauchen sie in Wahrheit nur eine Exchange-Online-Plan-1-Lizenz oder gar keine, schrumpft die Rechnung auf einen Bruchteil. Solche Konten fallen bei einer manuellen Prüfung selten auf, weil niemand aktiv nach ihnen sucht. Einen systematischen Überblick über weitere Sparhebel gibt der Beitrag Microsoft-365-Lizenzkosten senken.

Wie LessLicense technische Konten automatisch findet

Die Kunst liegt nicht darin, die Regeln zu kennen, sondern die betroffenen Konten im Tenant zu finden. Genau das automatisiert LessLicense. Die Plattform erkennt Service-Accounts, freigegebene Postfächer und deaktivierte Konten selbstständig und bewertet jedes technische Konto einzeln.

Aus dieser Analyse entstehen konkrete Empfehlungen statt pauschaler Hinweise. Ein Service-Account, der nur Mail versendet, wird auf Exchange Online Plan 1 gestellt. Ein Automatisierungskonto bekommt den Vorschlag, auf einen Service Principal zu wechseln. Ein reines RPA-Konto erhält die passende Unattended-Lizenz. Bei freigegebenen Postfächern prüft LessLicense Größe, Archiv und Litigation Hold und empfiehlt entweder die richtige Minimallizenz oder den Verzicht. Gesperrte Konten mit laufender Lizenz werden als Kandidaten für den Entzug markiert, inklusive der Prüfung, ob ein Hold oder ein produktiver Flow das blockiert.

FAQ

Braucht ein Servicekonto eine Microsoft 365 Lizenz?

In der Regel nein. Ein reiner Service-Account für Administration oder Automatisierung wird ohne Lizenz angelegt. Eine Lizenz wird nur nötig, wenn das Konto einen lizenzpflichtigen Dienst aktiv nutzt, etwa Mailversand per SMTP-Auth. Dann reicht meist die günstige Exchange-Online-Plan-1-Lizenz statt einer Vollversion.

Ab wann braucht eine Shared Mailbox eine Lizenz?

Ein freigegebenes Postfach ist bis 50 GB lizenzfrei. Eine Lizenz wird erst nötig, wenn der Speicher 50 GB überschreitet, ein In-Place-Archiv genutzt wird oder ein Litigation Hold darauf liegt. In diesen Fällen ist eine Exchange Online Plan 2-Lizenz erforderlich, alternativ Plan 1 mit dem Archiving-Add-on.

Braucht ein Raumpostfach eine Lizenz?

Für die reine Kalenderbuchung nein. Ein Raum- oder Gerätepostfach nimmt Buchungen an und lehnt sie ab, ganz ohne Lizenz. Eine Lizenz wird erst nötig, wenn der Raum ein Teams-Rooms-Gerät betreibt. Dann braucht das zugehörige Ressourcenkonto eine Teams Rooms Basic- oder Pro-Lizenz.

Braucht ein Admin-Konto eine Lizenz?

Nein. Die Administratorrollen in Microsoft 365 sind lizenzfrei. Ein dediziertes Admin- oder Notfallkonto ohne eigene Postfach- oder App-Nutzung braucht keine Lizenz. Eine Vollversion darauf erhöht nur die Angriffsfläche, ohne einen Nutzen zu bringen.

Kann man sich an einer Shared Mailbox anmelden?

Nein, und das sollte man auch nicht. Microsoft empfiehlt ausdrücklich, die Anmeldung für das Konto eines freigegebenen Postfachs dauerhaft zu blockieren. Der Zugriff läuft immer über die eigenen, lizenzierten Konten der Mitarbeiter, die per Berechtigung auf das Postfach zugreifen.