Übersicht: Mandantenübergreifender Zugriff mit Microsoft Entra External ID

Microsoft Entra-Organisationen können mandantenübergreifende External ID-Zugriffseinstellungen verwenden, um die Zusammenarbeit mit anderen Microsoft Entra-Organisationen und anderen Microsoft Azure-Clouds über B2B-Zusammenarbeit und eine direkte B2B-Verbindung zu verwalten. Die mandantenübergreifenden Zugriffseinstellungen geben Ihnen eine detaillierte Kontrolle darüber, wie externe Microsoft Entra-Organisationen mit Ihnen zusammenarbeiten (eingehender Zugriff) und wie Ihre Benutzer mit externen Microsoft Entra-Organisationen zusammenarbeiten (ausgehender Zugriff). Darüber hinaus können Sie mit diesen Einstellungen den MFA-Ansprüchen (Multi-Faktor-Authentifizierung) und Geräteansprüchen (Ansprüche von konformen Geräten und von Microsoft Entra Hybrid Join-Geräten) von anderen Microsoft Entra-Organisationen vertrauen.

In diesem Artikel werden mandantenübergreifende Zugriffseinstellungen beschrieben, die zum Verwalten der B2B-Zusammenarbeit und der direkten B2B-Verbindung mit externen Microsoft Entra-Organisationen, z. B. anderen Microsoft-Clouds, verwendet werden. Für die B2B-Zusammenarbeit mit Nicht-Microsoft Entra-Identitäten (z. B. soziale Identitäten oder nicht von der IT verwaltete externe Konten) stehen weitere Einstellungen zur Verfügung. Diese Einstellungen für externe Zusammenarbeit umfassen Optionen zum Einschränken des Gastbenutzerzugriffs, zum Angeben der Benutzer, die Gäste einladen dürfen, und zum Zulassen oder Blockieren von Domänen.

Wichtig

Microsoft hat am 30. August 2023 mit der Umstellung von Kunden mit mandantenübergreifenden Zugriffseinstellungen auf ein neues Speichermodell begonnen. Möglicherweise bemerken Sie einen Eintrag in Ihren Überwachungsprotokollen, der Sie darüber informiert, dass Ihre mandantenübergreifenden Zugriffseinstellungen aktualisiert wurden, während ihre Einstellungen von unserer automatisierten Aufgabe migriert werden. Für ein kurzes Zeitfenster können Sie während der Migrationsprozesse keine Änderungen an Ihren Einstellungen vornehmen. Wenn Sie keine Änderung vornehmen können, warten Sie einige Augenblicke und versuchen Sie es erneut. Nach Abschluss der Migration sind Sie nicht mehr auf 25 KB Speicherplatz begrenzt, und die Anzahl der Partner, die Sie hinzufügen können, ist nicht mehr begrenzt.

Verwalten des externen Zugriffs mit Einstellungen für eingehenden und ausgehenden Zugriff

Über die mandantenübergreifenden Zugriffseinstellungen für externe Identitäten wird verwaltet, wie Sie mit anderen Microsoft Entra-Organisationen zusammenarbeiten. Diese Einstellungen bestimmen sowohl die Ebene des eingehenden Zugriffs, über den Benutzer in externen Microsoft Entra-Organisationen auf Ihre Ressourcen verfügen, als auch die Ebene des ausgehenden Zugriffs, den Ihre Benutzer auf externe Organisationen haben.

Das folgende Diagramm zeigt die Einstellungen für den mandantenübergreifenden Zugriff (eingehend und ausgehend). Der Microsoft Entra-Ressourcenmandant ist der Mandant, der die Ressourcen enthält, die freigegeben werden sollen. Bei der B2B-Zusammenarbeit ist der Ressourcenmandant der einladende Mandant (z. B. Ihr Unternehmensmandant, zu dem Sie die externen Benutzer einladen möchten). Der Microsoft Entra-Stammmandant des Benutzers ist der Mandant, in dem die externen Benutzer verwaltet werden.

Standardmäßig ist die B2B-Zusammenarbeit mit anderen Microsoft Entra-Organisationen aktiviert, und die direkte B2B-Verbindung ist blockiert. Mit den folgenden umfangreichen Verwaltungseinstellungen können Sie jedoch beide Funktionen verwalten.

• Einstellungen für Zugriff auf ausgehenden Datenverkehr steuern, ob Ihre Benutzer auf Ressourcen in einer externen Organisation zugreifen können. Sie können diese Einstellungen auf alle Benutzer anwenden oder einzelne Benutzer, Gruppen und Anwendungen angeben.

• Mithilfe von Einstellungen für Zugriff auf eingehenden Datenverkehr wird gesteuert, ob Benutzer aus externen Microsoft Entra-Organisationen auf Ressourcen in Ihrer Organisation zugreifen können. Sie können diese Einstellungen auf alle Benutzer anwenden oder einzelne Benutzer, Gruppen und Anwendungen angeben.

• Vertrauenseinstellungen (eingehend) bestimmen, ob Ihre Richtlinien für bedingten Zugriff den Ansprüchen der Multi-Faktor-Authentifizierung (MFA), von konformen Geräten und von in Microsoft Entra eingebundenen Hybridgeräten einer externen Organisation vertrauen, wenn deren Benutzer diese Voraussetzungen bereits in ihren Basismandanten erfüllt haben. Beispiel: Wenn Sie Ihre Vertrauenseinstellungen so konfigurieren, dass sie MFA vertrauen, werden Ihre MFA-Richtlinien dennoch auf externe Benutzer angewendet. Benutzer, die die MFA bereits in ihren Basismandanten durchgeführt haben, müssen die MFA in Ihrem Mandanten nicht erneut ausführen.

Standardeinstellungen

Die mandantenübergreifenden Standardzugriffseinstellungen gelten für alle Microsoft Entra-Organisationen außerhalb Ihres Mandanten, mit Ausnahme derjenigen, für die Sie Organisationseinstellungen konfiguriert haben. Sie können Ihre Standardeinstellungen ändern, aber die anfänglichen Standardeinstellungen für die B2B-Zusammenarbeit und die B2B-Verbindung lauten wie folgt:

• B2B-Zusammenarbeit: Für alle Ihre internen Benutzer ist standardmäßig die B2B-Zusammenarbeit aktiviert. Das bedeutet, dass Ihre Benutzer externe Gäste einladen können, auf Ihre Ressourcen zuzugreifen. Im Gegenzug können Ihre Benutzer als Gäste in externe Organisationen eingeladen werden. MFA- und Geräteansprüche von anderen Microsoft Entra-Organisationen sind nicht vertrauenswürdig.

• Direkte B2B-Verbindung: Standardmäßig werden keine Beziehungen mit Vertrauensstellungen für direkte B2B-Verbindungen eingerichtet. Microsoft Entra ID blockiert alle eingehenden und ausgehenden Funktionen für direkte B2B-Verbindungen für alle externen Microsoft Entra-Mandanten.

• Organisationseinstellungen: Ihren Organisationseinstellungen werden standardmäßig keine Organisationen hinzugefügt. Das bedeutet, dass für alle externen Microsoft Entra-Organisationen die B2B-Zusammenarbeit mit Ihrer Organisation aktiviert ist.

• Mandantenübergreifende Synchronisierung: Mit der mandantenübergreifenden Synchronisierung werden keine Benutzer aus anderen Mandanten mit Ihrem Mandanten synchronisiert.

Die oben beschriebenen Verhaltensweisen gelten für die B2B-Zusammenarbeit mit anderen Microsoft Entra-Mandanten in der gleichen Microsoft Azure-Cloud. In cloudübergreifenden Szenarien funktionieren Standardeinstellungen etwas anders. Weitere Informationen finden Sie weiter unten in diesem Artikel unter Microsoft-Cloudeinstellungen.

Organisationseinstellungen

Sie können organisationsspezifische Einstellungen konfigurieren, indem Sie eine Organisation hinzufügen und die Einstellungen für ein- und ausgehenden Zugriff für diese Organisation ändern. Organisationseinstellungen haben Vorrang vor Standardeinstellungen.

• B2B-Zusammenarbeit: Für die B2B-Zusammenarbeit mit anderen Microsoft Entra-Organisationen können Sie mandantenübergreifende Zugriffseinstellungen verwenden, um die B2B-Zusammenarbeit in ein- und ausgehender Richtung zu verwalten und den Zugriff auf bestimmte Benutzer, Gruppen und Anwendungen zu beschränken. Sie können eine Standardkonfiguration festlegen, die für alle externen Organisationen gilt, und dann nach Bedarf individuelle organisationsspezifische Einstellungen erstellen. Darüber hinaus können Sie mithilfe mandantenübergreifender Zugriffseinstellungen den MFA-Ansprüchen (Multi-Faktor-Authentifizierung) und Geräteansprüchen (Ansprüche von konformen Geräten und von in Microsoft Entra eingebundenen Hybridgeräten) von anderen Microsoft Entra-Organisationen vertrauen.

  Tipp

  Es wird empfohlen, externe Benutzer*innen aus der MFA-Registrierungsrichtlinie für Identity Protection auszuschließen, wenn Sie der Multi-Faktor-Authentifizierung für externe Benutzer*innen vertrauen. Wenn beide Richtlinien aktiviert sind, können externe Benutzer*innen die Zugriffsanforderungen nicht erfüllen.

• Direkte B2B-Verbindung: Verwenden Sie für eine direkte B2B-Verbindung Organisationseinstellungen, um eine Beziehung mit gegenseitiger Vertrauensstellung mit einer anderen Microsoft Entra-Organisation einzurichten. Sowohl Ihre Organisation als auch die externe Organisation müssen direkte B2B-Verbindungen gegenseitig aktivieren, indem Sie mandantenübergreifende Zugriffseinstellungen in ein- und ausgehender Richtung konfigurieren.

• Mithilfe der Einstellungen für externe Zusammenarbeit können Sie einschränken, wer externe Benutzer einladen darf, B2B-spezifische Domänen zulassen oder blockieren und Einschränkungen für den Gastbenutzerzugriff auf Ihr Verzeichnis festlegen.

Einstellung für automatische Einlösung

Die Einstellung für die automatische Einlösung ist eine Einstellung für eingehende und ausgehende Organisationsvertrauensverhältnisse, mit der Einladungen automatisch eingelöst werden, sodass Benutzer beim ersten Zugriff auf den Ressourcen-/den Zielmandanten die Zustimmungsaufforderung nicht akzeptieren müssen. Diese Einstellung ist ein Kontrollkästchen mit dem folgenden Namen:

• Automatisches Einlösen von Einladungen mit dem Mandanten<Mandanten>

Vergleichen der Einstellung für verschiedene Szenarien

Die Einstellung für die automatische Einlösung gilt für die mandantenübergreifende Synchronisierung, B2B-Zusammenarbeit und die direkte B2B-Verbindung in den folgenden Situationen:

• Wenn Benutzer mithilfe der mandantenübergreifenden Synchronisierung in einem Zielmandanten erstellt werden.
• Wenn Benutzer mithilfe der B2B-Zusammenarbeit einem Ressourcenmandanten hinzugefügt werden.
• Wenn Benutzer mithilfe der direkten B2B-Verbindung auf Ressourcen in einem Ressourcenmandanten zugreifen.

In der folgenden Tabelle wird die Wirkung der aktivierten Einstellung für folgende Szenarien verglichen:

Element	Mandantenübergreifende Synchronisierung	B2B-Zusammenarbeit	Direkte B2B-Verbindung
Einstellung für automatische Einlösung	Erforderlich	Optional	Optional
Benutzer erhalten eine Einladung per E-Mail zur B2B-Zusammenarbeit.	Nein	Nein	–
Benutzer müssen eine Einwilligungsaufforderung akzeptieren.	Nein	Nr.	Nein
Benutzer erhalten eine Benachrichtigung-E-Mail zur B2B-Zusammenarbeit.	Nein	Ja	–

Diese Einstellung wirkt sich nicht auf die Anwendungseinwilligung aus. Weitere Informationen finden Sie unter Einwilligungsfunktion für Anwendungen in Microsoft Entra ID. Diese Einstellung wird nicht für Organisationen in verschiedenen Microsoft-Cloudumgebungen unterstützt (z. B. Azure Commercial und Azure Government).

Wann wird die Einwilligungsaufforderung unterdrückt?

Die Einstellung für die automatische Einlösung unterdrückt die Einwilligungsaufforderung und die Einladungs-E-Mail nur, wenn sowohl der Basis-/Quellmandant (ausgehend) als auch der Ressourcen-/Zielmandant (eingehend) diese Einstellung überprüft.

Die folgende Tabelle zeigt das Einwilligungsaufforderungsverhalten für Quellmandantenbenutzer, wenn die Einstellung für die automatische Einlösung für verschiedene mandantenübergreifende Zugriffseinstellungskombinationen aktiviert wird:

Basis-/Quellmandant	Ressourcen-/Zielmandant	Einwilligungsaufforderungsverhalten für Quellmandantenbenutzer
Ausgehend	Eingehend
		Unterdrückt
		Nicht unterdrückt
		Nicht unterdrückt
		Nicht unterdrückt
Eingehend	Ausgehend
		Nicht unterdrückt
		Nicht unterdrückt
		Nicht unterdrückt
		Nicht unterdrückt

Informationen zum Konfigurieren dieser Einstellung mithilfe von Microsoft Graph finden Sie in der API Aktualisieren von crossTenantAccessPolicyConfigurationPartner. Informationen zum Erstellen einer eigenen Onboardingumgebung finden Sie unter Azure AD Microsoft Graph-API für B2B-Zusammenarbeit.

Weitere Informationen finden Sie unter Konfigurieren der mandantenübergreifenden Synchronisierung (Vorschau), Konfigurieren mandantenübergreifender Zugriffseinstellungen für die B2B-Zusammenarbeit sowie unter Konfigurieren mandantenübergreifender Zugriffseinstellungen für direkte B2B-Verbindungen.

Konfigurierbare Einlösung

Mit konfigurierbarer Einlösung können Sie die Reihenfolge der Identitätsanbieter anpassen, mit denen sich Ihre Gastbenutzer anmelden können, wenn sie Ihre Einladung annehmen. Sie können das Feature aktivieren und den Einlöseauftrag unter der Registerkarte Einlösungsauftrag angeben.

Wenn ein Gastbenutzer in einer Einladungs-E-Mail den Link Einladung annehmen auswählt, löst Microsoft Entra ID die Einladung automatisch ein, und zwar auf Grundlage des Standard-Einlöseauftrags. Wenn Sie die Bestellung des Identitätsanbieters unter der neuen Registerkarte Einlöseauftrag ändern, setzt die neue Bestellung die Standardeinlösungsbestellung außer Kraft.

Sie finden auf der Registerkarte Einlöseauftrag sowohl primäre Identitätsanbieter als auch Fallbackidentitätsanbieter.

Primäre Identitätsanbieter sind diejenigen, die über Partnerverbunde mit anderen Authentifizierungsquellen verfügen. Fallbackidentitätsanbieter sind die, die verwendet werden, wenn ein Benutzer nicht mit einem primären Identitätsanbieter übereinstimmt.

Fallbackidentitätsanbieter können entweder ein Microsoft-Konto (MSA), eine einmalige E-Mail-Kennung oder beides sein. Sie können nicht beide Fallbackidentitätsanbieter deaktivieren, aber Sie können alle primären Identitätsanbieter deaktivieren und nur Fallbackidentitätsanbieter für Einlösungsoptionen verwenden.

Im Anschluss sind bekannte Einschränkungen des Features aufgeführt:

• Wenn ein Microsoft Entra ID-Benutzer, der eine SSO-Sitzung (Single Sign-On, einmaliges Anmelden) eingerichtet hat, eine Authentifizierung mithilfe eines Einmal-Passcodes (One-Time Passcode, OTP) per E-Mail durchführt, muss er Anderes Konto verwenden auswählen und seinen Benutzernamen erneut eingeben, um den OTP-Flow auszulösen. Andernfalls wird dem Benutzer ein Fehler mit dem Hinweis angezeigt, dass sein Konto nicht im Ressourcenmandanten vorhanden ist.

• Wenn Ihre Gastbenutzer nur den Einmal-Passcode per E-Mail zum Einlösen einer Einladung verwenden können, werden sie derzeit an der Verwendung von SharePoint gehindert. Dies gilt speziell für Microsoft Entra ID-Benutzer, die ihre Einladung über OTP einlösen. Alle anderen Benutzer sind davon nicht betroffen.

• In Szenarien, in denen ein Benutzer für sein Microsoft Entra ID- und sein Microsoft-Konto dieselbe E-Mail verwendet, wird der Benutzer auch dann zum Wählen zwischen dem Microsoft Entra ID-Konto und dem Microsoft-Konto aufgefordert, nachdem der Administrator das Microsoft-Konto als Einlösungsmethode deaktiviert hat. Wenn er sein Microsoft-Konto auswählt, wird es auch dann als Einlösungsoption zugelassen, wenn es deaktiviert ist.

Direkter Verbund für überprüfte Microsoft Entra ID-Domänen

SAML/WS-Fed Identity Provider Federation (Direct Federation) wird jetzt für Microsoft Entra ID verifizierte Domains unterstützt. Mit dieser Funktion können Sie einen direkten Verbund mit einem externen Identitätsanbieter für eine Domäne einrichten, die in Microsoft Entra verifiziert ist.

Hinweis

Stellen Sie sicher, dass die Domäne nicht in demselben Mandanten verifiziert ist, in dem Sie versuchen, den direkten Verbund einzurichten. Nachdem Sie einen direkten Verbund eingerichtet haben, können Sie die Einlösungseinstellung des Mandanten konfigurieren und den SAML/WS-Fed-Identitätsanbieter über die Microsoft Entra ID über die neuen konfigurierbaren Einstellungen für den mandantenübergreifenden Einlösungszugriff verschieben.

Wenn der Gastbenutzer die Einladung einlöst, wird ein herkömmlicher Zustimmungsbildschirm angezeigt und dieser dann zur Seite Meine Apps weitergeleitet. Wenn Sie das Benutzerprofil dieses direkt verbundenen Benutzers im Ressourcenmandanten aufrufen, werden Sie feststellen, dass der Benutzer jetzt mit dem externen Verbund als Aussteller eingelöst ist.

Verhindern Sie, dass Ihre B2B-Benutzer und -Benutzerinnen Einladungen mit Microsoft-Konten einlösen

Sie können jetzt verhindern, dass Ihre B2B-Gastbenutzer ihre Einladung mit Microsoft-Konten einlösen. Dies bedeutet, dass jeder neue B2B-Gastbenutzer die einmalige E-Mail-Kennung als Fallback-Identitätsanbieter verwendet und keine Einladung mit ihren vorhandenen Microsoft-Konten einlösen kann oder aufgefordert wird, ein neues Microsoft-Konto zu erstellen. Sie können dies einrichten, indem Sie Microsoft-Konten in den Fallback-Identitätsanbietern Ihrer Einlösungsauftragseinstellung deaktivieren.

Beachten Sie, dass zu einem bestimmten Zeitpunkt ein Fallbackidentitätsanbieter aktiviert sein muss. Das bedeutet, dass Sie, wenn Sie Microsoft-Konten deaktivieren möchten, den Einmal-Passcode per E-Mail aktivieren müssen. Alle vorhandenen Gastbenutzer, die mit Microsoft-Konten angemeldet sind, werden diese weiterhin bei folgenden Anmeldungen verwenden. Sie müssen ihren Einlösungsstatus zurücksetzen, damit diese Einstellung angewendet wird.

Einstellung der mandantenübergreifenden Synchronisierung

Die Einstellung der mandantenübergreifenden Synchronisierung ist eine organisationsübergreifende Einstellung, die nur eingehende Nachrichten betrifft und mit der der Administrator eines Quellmandanten Benutzer mit einem Zielmandanten synchronisieren kann. Bei dieser Einstellung handelt es sich um ein Kontrollkästchen mit dem Namen Erlauben Sie Benutzern, sich mit diesem Mandanten zu synchronisieren im Zielmandanten. Diese Einstellung wirkt sich nicht auf B2B-Einladungen aus, die über andere Prozesse wie manuelle Einladungen oder die Microsoft Entra-Berechtigungsverwaltung erstellt wurden.

Informationen zum Konfigurieren dieser Einstellung mithilfe von Microsoft Graph finden Sie in der API Aktualisieren von crossTenantIdentitySyncPolicyPartner. Weitere Informationen finden Sie unter Konfigurieren der mandantenübergreifenden Synchronisierung (Vorschau).

Mandanteneinschränkungen

Mit Einstellungen für Mandanteneinschränkungen können Sie steuern, welche Arten von externen Konten Ihre Benutzer auf den von Ihnen verwalteten Geräten verwenden können, einschließlich:

• Konten, die Benutzer unter Verwendung unbekannter Mandanten erstellt haben
• Konten, die Benutzer von externen Organisationen erhalten haben, damit sie auf die Ressourcen dieser Organisation zugreifen können

Es wird empfohlen, Ihre Mandanteneinschränkungen so zu konfigurieren, dass diese Art von externen Konten nicht zulässig ist, und stattdessen die B2B Collaboration zu nutzen. Die B2B-Zusammenarbeit ermöglicht Folgendes:

• Sie können den bedingten Zugriff verwenden und die Multi-Faktor-Authentifizierung für B2B Collaboration-Benutzer erzwingen.
• Sie können ein- und ausgehende Verbindungen verwalten.
• Sie können Sitzungen beenden und Anmeldedaten löschen, wenn sich der Beschäftigungsstatus eines B2B Collaboration-Benutzers ändert oder seine Anmeldedaten missbraucht werden.
• Sie können Anmeldeprotokolle verwenden, um Details zu B2B Collaboration-Benutzern anzuzeigen.

Mandanteneinschränkungen sind unabhängig von anderen mandantenübergreifenden Zugriffseinstellungen. Daher haben die von Ihnen konfigurierten Einstellungen für eingehende, ausgehende oder vertrauenswürdige Verbindungen keine Auswirkungen auf Mandanteneinschränkungen. Ausführliche Informationen zum Konfigurieren von Mandanteneinschränkungen finden Sie unter Einrichten von Mandanteneinschränkungen V2.

Microsoft-Cloudeinstellungen

Microsoft-Cloudeinstellungen ermöglichen die Zusammenarbeit mit Organisationen in anderen Microsoft Azure-Clouds. Mit Microsoft-Cloudeinstellungen können Sie eine bidirektionale B2B-Zusammenarbeit zwischen den folgenden Clouds einrichten:

• Kommerzielle Microsoft Azure-Cloud und Microsoft Azure Government
• Kommerzielle Microsoft Azure-Cloud und Microsoft Azure operated by 21Vianet (von 21Vianet betrieben)

Hinweis

Microsoft Azure Government umfasst die Clouds Office GCC-High und DoD.

Um die B2B-Zusammenarbeit einzurichten, konfigurieren beide Organisationen ihre Microsoft-Cloudeinstellungen so, dass die Cloud des Partners aktiviert wird. Anschließend verwendet jede Organisation die Mandanten-ID des Partners, um den Partner zu suchen und zu den Organisationseinstellungen hinzuzufügen. Danach kann jede Organisation ihre standardmäßigen mandantenübergreifenden Zugriffseinstellungen für den Partner zulassen oder partnerspezifische Einstellungen für eingehenden und ausgehenden Datenverkehr konfigurieren. Nachdem Sie eine B2B-Zusammenarbeit mit einem Partner in einer anderen Cloud eingerichtet haben, haben Sie folgende Möglichkeiten:

• Verwenden Sie die B2B-Zusammenarbeit, um einen Benutzer im Partnermandanten einzuladen, auf Ressourcen in Ihrer Organisation zuzugreifen, z. B. branchenspezifische Web-Apps, SaaS-Apps und SharePoint Online-Websites, -Dokumente und -Dateien.
• Verwenden Sie B2B Collaboration, um Power BI-Inhalte für Benutzer im Partnermandanten freizugeben.
• Wenden Sie Richtlinien für bedingten Zugriff auf B2B-Zusammenarbeitsbenutzer*innen an, und geben Sie an, dass die Multi-Faktor-Authentifizierung oder Geräteansprüche (konforme Ansprüche und hybride, in Microsoft Entra eingebundene Ansprüche) vom Basismandanten der Benutzer*innen als vertrauenswürdig gelten.

Hinweis

Für die Zusammenarbeit mit Microsoft Entra-Mandanten in einer anderen Microsoft-Cloud werden direkte B2B-Verbindungen nicht unterstützt.

Informationen zu Konfigurationsschritten finden Sie unter Konfigurieren von Microsoft-Cloudeinstellungen für die B2B-Zusammenarbeit.

Standardeinstellungen in cloudübergreifenden Szenarien

Um mit einem Partnermandanten in einer anderen Microsoft Azure Cloud zusammenzuarbeiten, müssen beide Organisationen gegenseitig die B2B-Zusammenarbeit aktivieren. Der erste Schritt besteht darin, die Cloud des Partners in den mandantenübergreifenden Einstellungen zu aktivieren. Wenn Sie zuerst eine andere Cloud aktivieren, wird die B2B-Zusammenarbeit für alle Mandanten in der betreffenden Cloud blockiert. Sie müssen den Mandanten, mit dem zusammenarbeiten möchten, zu Ihren Organisationseinstellungen hinzufügen. Dadurch werden Ihre Standardeinstellungen nur für diesen Mandanten wirksam. Sie können erlauben, dass die Standardeinstellungen wirksam bleiben, oder die Organisationseinstellungen für den Mandanten ändern.

Wichtige Hinweise

Wichtig

Wenn Sie die Standardeinstellungen für eingehenden oder ausgehenden Zugriff in Zugriff blockieren ändern, kann der vorhandene unternehmenskritische Zugriff auf Apps in Ihrer Organisation oder Partnerorganisation blockiert werden. Verwenden Sie unbedingt die in diesem Artikel beschriebenen Tools, und wenden Sie sich an die Beteiligten in Ihrem Unternehmen, um den erforderlichen Zugriff zu ermitteln.

• Zum Konfigurieren mandantenübergreifender Zugriffseinstellungen im Azure-Portal benötigen Sie ein Konto mit der Rolle „Globaler Admin“, „Sicherheitsadmin“ oder einer von Ihnen definierten benutzerdefinierten Rolle.

• Um Vertrauenseinstellungen zu konfigurieren oder Zugriffseinstellungen auf bestimmte Benutzer, Gruppen oder Anwendungen anzuwenden, benötigen Sie eine Microsoft Entra Premium P1-Lizenz. Die Lizenz ist für den von Ihnen konfigurierten Mandanten erforderlich. Bei einer direkten B2B-Verbindung, bei der eine gegenseitige Vertrauensstellung zwischen Ihnen und einer anderen Microsoft Entra-Organisation erforderlich ist, benötigen Sie eine Microsoft Entra Premium P1-Lizenz für beide Mandanten.

• Mandantenübergreifende Zugriffseinstellungen bieten die Möglichkeit, die B2B-Zusammenarbeit und direkte B2B-Verbindungen mit anderen Microsoft Entra-Organisationen zu verwalten. Für die B2B-Zusammenarbeit mit Nicht-Microsoft Entra-Identitäten (z.B. soziale Identitäten oder externe Konten, die nicht von der IT-Abteilung verwaltet werden), verwenden Sie die Einstellungen für die externe Zusammenarbeit. Einstellungen für externe Zusammenarbeit umfassen Optionen der B2B-Zusammenarbeit zum Einschränken des Gastbenutzerzugriffs, zum Angeben der Benutzer, die Gäste einladen dürfen, und zum Zulassen oder Blockieren von Domänen.

• Wenn Sie Zugriffseinstellungen auf bestimmte Benutzer, Gruppen oder Anwendungen in einer externen Organisation anwenden möchten, müssen Sie sich vor dem Konfigurieren der Einstellungen an die Organisation wenden, um erforderliche Informationen zu erhalten. Erfragen Sie die Benutzerobjekt-IDs, Gruppenobjekt-IDs oder Anwendungs-IDs (Client-App-IDs oder Ressourcen-App-IDs), damit Sie Ihre Einstellungen korrekt festlegen können.

  Tipp

  Unter Umständen finden Sie die Anwendungs-IDs für Apps in externen Organisationen in Ihren Anmeldeprotokollen. Weitere Informationen finden Sie im Abschnitt Identifizieren von eingehenden und ausgehenden Anmeldungen.

• Die für Benutzer und Gruppen konfigurierten Zugriffseinstellungen müssen mit den Zugriffseinstellungen für Anwendungen übereinstimmen. In Konflikt stehende Einstellungen sind nicht zulässig. Es werden Warnmeldungen angezeigt, wenn Sie versuchen, derartige Einstellungen zu konfigurieren.

  • Beispiel 1: Wenn Sie den Zugriff in eingehender Richtung für alle externen Benutzer und Gruppen blockieren, muss auch der Zugriff auf alle Ihre Anwendungen blockiert werden.

  • Beispiel 2: Wenn Sie den Zugriff in ausgehender Richtung für alle Ihre Benutzer (oder spezifische Benutzer oder Gruppen) zulassen, wird verhindert, dass Sie den gesamten Zugriff auf externe Anwendungen blockieren. Der Zugriff auf mindestens eine Anwendung muss zugelassen werden.

• Wenn Sie eine direkte B2B-Verbindung mit einer externen Organisation zulassen möchten und Ihre Richtlinien für bedingten Zugriff MFA vorschreiben, müssen Sie Ihre Vertrauenseinstellungen so konfigurieren, dass Ihre Richtlinien für bedingten Zugriff MFA-Ansprüche von der externen Organisation akzeptieren.

• Wenn Sie den Zugriff auf alle Apps standardmäßig blockieren, können Benutzer keine E-Mails lesen, die mit Microsoft Rights Management Service (auch als „Office 365-Nachrichtenverschlüsselung“ oder „OME“ bezeichnet) verschlüsselt wurden. Zur Vermeidung dieses Problems empfehlen wir, Ihre Einstellungen für „Ausgehend“ so zu konfigurieren, dass Ihre Benutzer auf diese App-ID zugreifen können: „00000012-0000-0000-c000-000000000000“. Wenn dies die einzige von Ihnen zugelassene Anwendung ist, wird der Zugriff auf alle anderen Apps standardmäßig blockiert.

Benutzerdefinierte Rollen zum Verwalten mandantenübergreifender Zugriffseinstellungen

Mandantenübergreifende Zugriffseinstellungen können mit benutzerdefinierten Rollen verwaltet werden, die von Ihrer Organisation definiert werden. So können Sie, anstatt eine der integrierten Verwaltungsrollen zu verwenden, eigene Rollen mit genau definiertem Bereich erstellen, um Einstellungen für den mandantenübergreifenden Zugriff zu verwalten. Ihre Organisation kann benutzerdefinierte Rollen definieren, um Einstellungen für den mandantenübergreifenden Zugriff zu verwalten. So können Sie, anstatt eine der integrierten Verwaltungsrollen zu verwenden, eigene Rollen mit genau definiertem Bereich erstellen, um Einstellungen für den mandantenübergreifenden Zugriff zu verwalten.

Empfohlene benutzerdefinierte Rollen

Administrator für den mandantenübergreifenden Zugriff

Diese Rolle kann sämtliche Einstellungen für den mandantenübergreifenden Zugriff verwalten, einschließlich standardmäßiger und organisationseigener Einstellungen. Diese Rolle sollte Benutzer*innen zugewiesen werden, die alle Einstellungen für den mandantenübergreifenden Zugriff verwalten müssen.

Im Folgenden finden Sie eine Liste der empfohlenen Aktionen für diese Rolle.

Aktionen
microsoft.directory.tenantRelationships/standard/read
microsoft.directory/crossTenantAccessPolicy/standard/read
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update
microsoft.directory/crossTenantAccessPolicy/basic/update
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update
microsoft.directory/crossTenantAccessPolicy/default/standard/read
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update
microsoft.directory/crossTenantAccessPolicy/partners/create
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update
microsoft.directory/crossTenantAccessPolicy/partners/delete
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read
microsoft.directory/crossTenantAccessPolicy/partners/standard/read
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update

Leser für den mandantenübergreifenden Zugriff

Diese Rolle kann sämtliche Einstellungen für den mandantenübergreifenden Zugriff lesen, einschließlich standardmäßiger und organisationseigener Einstellungen. Diese Rolle sollte Benutzer*innen zugewiesen werden, die Einstellungen für den mandantenübergreifenden Zugriff nur überprüfen, aber nicht verwalten müssen.

Im Folgenden finden Sie eine Liste der empfohlenen Aktionen für diese Rolle.

Aktionen
microsoft.directory.tenantRelationships/standard/read
microsoft.directory/crossTenantAccessPolicy/standard/read
microsoft.directory/crossTenantAccessPolicy/default/standard/read
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read
microsoft.directory/crossTenantAccessPolicy/partners/standard/read

Partneradministrator für mandantenübergreifenden Zugriff

Diese Rolle kann alle Einstellungen im Zusammenhang mit Partnern verwalten und die Standardeinstellungen lesen. Diese Rolle sollte Benutzer*innen zugewiesen werden, die organisationseigene Einstellungen verwalten müssen, aber die Standardeinstellungen nicht ändern dürfen.

Im Folgenden finden Sie eine Liste der empfohlenen Aktionen für diese Rolle.

Aktionen
microsoft.directory.tenantRelationships/standard/read
microsoft.directory/crossTenantAccessPolicy/standard/read
microsoft.directory/crossTenantAccessPolicy/basic/update
microsoft.directory/crossTenantAccessPolicy/default/standard/read
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update
microsoft.directory/crossTenantAccessPolicy/partners/create
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update
microsoft.directory/crossTenantAccessPolicy/partners/delete
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read
microsoft.directory/crossTenantAccessPolicy/partners/standard/read
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update

Schützen von Verwaltungsaktionen für den mandantenübergreifenden Zugriff

Alle Aktionen, die Einstellungen für den mandantenübergreifenden Zugriff ändern, gelten als geschützte Aktionen und können zusätzlich mithilfe von Richtlinien für bedingten Zugriff geschützt werden. Weitere Informationen sowie die Konfigurationsschritte finden Sie unter geschützte Aktionen.

Identifizieren von eingehenden und ausgehenden Anmeldungen

Bevor Sie Einstellungen für den eingehenden und ausgehenden Zugriff festlegen, können Sie mithilfe verschiedener verfügbarer Tools den Zugriff identifizieren, den Ihre Benutzer und Partner benötigen. Sie können das aktuelle Anmeldeverhalten untersuchen, um sicherzustellen, dass Sie den von Ihren Benutzern und Partnern benötigten Zugriff nicht entfernen. Durch diesen vorbereitenden Schritt können Sie den Verlust des gewünschten Zugriffs für Ihre Endbenutzer und Partnerbenutzer verhindern. In einigen Fällen werden diese Protokolle jedoch nur 30 Tage lang aufbewahrt. Daher wird dringend empfohlen, mit den Beteiligten im Unternehmen zu sprechen, um sicherzustellen, dass der erforderliche Zugriff nicht verloren geht.

PowerShell-Skript für mandantenübergreifende Anmeldeaktivitäten

Zum Überprüfen der Benutzeranmeldeaktivität, die externen Mandanten zugeordnet ist, können Sie das PowerShell-Skript für die mandantenübergreifende Benutzeranmeldeaktivität verwenden. Führen Sie beispielsweise den folgenden Befehl aus, um alle verfügbaren Anmeldeereignisse für eingehende Aktivitäten (externe Benutzer, die auf Ressourcen im lokalen Mandanten zugreifen) und ausgehende Aktivitäten (lokale Benutzer, die auf Ressourcen in einem externen Mandanten zugreifen) anzuzeigen:

Get-MSIDCrossTenantAccessActivity -SummaryStats -ResolveTenantId

Die Ausgabe ist eine Zusammenfassung aller verfügbaren Anmeldeereignisse für ein- und ausgehende Aktivitäten, die nach externer Mandanten-ID und externem Mandantennamen aufgelistet sind.

PowerShell-Skript für Anmeldeprotokolle

Um den Zugriff Ihrer Benutzer auf externe Microsoft Entra-Organisationen zu bestimmen, können Sie das Cmdlet Get-MgAuditLogSignIn im Microsoft Graph PowerShell-SDK verwenden, um Daten aus Ihren Anmeldeprotokollen für die letzten 30 Tage anzuzeigen. Führen Sie beispielsweise den folgenden Befehl aus:

#Initial connection
Connect-MgGraph -Scopes "AuditLog.Read.All"
Select-MgProfile -Name "beta"

#Get external access
$TenantId = "<replace-with-your-tenant-ID>"

Get-MgAuditLogSignIn -Filter "ResourceTenantId ne '$TenantID'" -All:$True |
Group-Object ResourceTenantId,AppDisplayName,UserPrincipalName |
Select-Object count,@{n='Ext TenantID/App User Pair';e={$_.name}}

Die Ausgabe ist eine Liste der ausgehenden Anmeldungen, die von Ihren Benutzern für Apps in externen Mandanten initiiert wurden.

Azure Monitor

Wenn Ihre Organisation den Azure Monitor-Dienst abonniert, können Sie die Arbeitsmappe für mandantenübergreifende Zugriffsaktivitäten (verfügbar im Azure-Portal im Katalog mit Überwachungsarbeitsmappen) verwenden, um eingehende und ausgehende Anmeldungen für längere Zeiträume visuell zu untersuchen.

SIEM-Systeme (Security Information & Event Management)

Wenn Ihre Organisation Anmeldeprotokolle in ein SIEM-System (Security Information & Event Management) exportiert, können Sie die erforderlichen Informationen aus Ihrem SIEM-System abrufen.

Ermitteln von Änderungen an den mandantenübergreifenden Zugriffseinstellungen

Die Microsoft Entra-Überwachungsprotokolle erfassen alle Aktivitäten im Rahmen mandantenübergreifender Zugriffseinstellungsänderungen und Aktivitäten. Um Änderungen an Ihren mandantenübergreifenden Zugriffseinstellungen zu überprüfen, verwenden Sie die Kategorie namens CrossTenantAccessSettings, um alle Aktivitäten so zu filtern, dass Änderungen an den mandantenübergreifenden Zugriffseinstellungen angezeigt werden.

Nächste Schritte

Konfigurieren mandantenübergreifender Zugriffseinstellungen für die B2B-ZusammenarbeitKonfiguriert mandantenübergreifende Zugriffseinstellungen für direkte B2B-Verbindungen