Konfigurieren der Einstellungen für externe Zusammenarbeit

Mithilfe der Einstellungen für die externe Zusammenarbeit können Sie angeben, welche Rollen in Ihrer Organisation externe Benutzer zur B2B-Zusammenarbeit einladen können. Diese Einstellungen umfassen auch Optionen zum Zulassen oder Blockieren bestimmter Domänen sowie Optionen zum Einschränken der Elemente, die externen Gastbenutzern in Ihrem Azure AD-Verzeichnis angezeigt werden. Die folgenden Optionen sind verfügbar:

  • Determine guest user access (Gastbenutzerzugriff bestimmen): Mit Azure AD können Sie einschränken, was externe Gastbenutzer in Ihrem Azure AD-Verzeichnis sehen können. Sie können zum Beispiel die Anzeige von Gruppenmitgliedschaften für Gastbenutzer einschränken oder Gastbenutzern nur die Anzeige ihrer eigenen Profilinformationen erlauben.

  • Specify who can invite guests (Angeben, wer Gäste einladen kann): Standardmäßig können alle Benutzer in Ihrem Unternehmen, einschließlich Gastbenutzer für B2B-Zusammenarbeit, externe Benutzer zur B2B-Zusammenarbeit einladen. Wenn Sie die Möglichkeit zum Versenden von Einladungen einschränken möchten, können Sie die Funktion für alle Benutzer aktivieren bzw. deaktivieren oder auf bestimmte Rollen beschränken.

  • Self-Service-Registrierung von Gästen über Benutzerflows aktivieren: Für selbst erstellte Anwendungen können Sie Benutzerflows erstellen, die es einem Benutzer ermöglichen, sich für eine App zu registrieren und ein neues Gastkonto zu erstellen. Sie können das Feature in den Einstellungen für die externe Zusammenarbeit aktivieren und dann Ihrer App einen Benutzerflow für die Self-Service-Anmeldung hinzufügen.

  • Allow or block domains (Domänen zulassen oder blockieren): Sie können Einschränkungen für die Zusammenarbeit verwenden, um Einladungen an die von Ihnen angegebenen Domänen zuzulassen oder zu verweigern. Ausführliche Informationen finden Sie unter Zulassen oder Blockieren von Einladungen für B2B-Benutzer von bestimmten Organisationen.

Für die B2B-Zusammenarbeit mit anderen Azure AD-Organisationen sollten Sie auch die mandantenübergreifende Zugriffseinstellungen überprüfen, um die B2B-Zusammenarbeit in ein- und ausgehender Richtung zu gewährleisten und den Zugriff auf bestimmte Benutzer, Gruppen und Anwendungen zu beschränken.

Konfigurieren von Einstellungen im Portal

  1. Melden Sie sich mit dem Konto eines globalen Administrators beim Azure-Portal an, und öffnen Sie den Dienst Azure Active Directory.

  2. Wählen Sie Externe Identitäten>Einstellungen für externe Zusammenarbeit aus.

  3. Wählen Sie unter Gastbenutzerzugriff die Zugriffsebene aus, die Gastbenutzern zugewiesen werden soll:

    Screenshot showing Guest user access settings.

    • Gastbenutzer haben denselben Zugriff wie Mitglieder (umfassendste Einstellung) : Diese Option gibt Gästen den gleichen Zugriff auf die Ressourcen und Verzeichnisdaten von Azure AD wie Mitgliedsbenutzern.

    • Gastbenutzer haben eingeschränkten Zugriff auf Eigenschaften und Mitgliedschaften von Verzeichnisobjekten: (Standard) Diese Einstellung verhindert, dass Gäste bestimmte Verzeichnisaufgaben ausführen können, z. B. Benutzer, Gruppen oder andere Verzeichnisressourcen aufzulisten. Gäste können die Mitgliedschaft in allen nicht ausgeblendeten Gruppen anzeigen. Erfahren Sie mehr über die Standardberechtigungen für Gastbenutzer.

    • Der Gastbenutzerzugriff ist auf Eigenschaften und Mitgliedschaften eigener Verzeichnisobjekte beschränkt (restriktivste Einstellung) : Mit dieser Einstellung können Gäste nur auf Ihre eigenen Profile zugreifen. Gäste dürfen keine Profile, Gruppen oder Gruppenmitgliedschaften anderer Benutzer anzeigen.

  4. Wählen Sie unter Einstellungen für Gasteinladungen die entsprechenden Einstellungen aus:

    Screenshot showing Guest invite settings.

    • Jeder in der Organisation kann Gastbenutzer einladen, einschließlich Gästen und Nicht-Administratoren (umfassendste Einstellung): Damit Gäste in der Organisation andere Gäste (einschließlich derjenigen, die keine Mitglieder einer Organisation sind) einladen können, müssen Sie dieses Optionsfeld aktivieren.
    • Mitgliedsbenutzer und Benutzer, die bestimmten Administratorrollen zugewiesen sind, können Gastbenutzer einladen, einschließlich Gästen mit Mitgliedsberechtigungen: Damit Mitgliedsbenutzer und Benutzer mit bestimmten Administratorrollen Gäste einladen können, müssen Sie dieses Optionsfeld aktivieren.
    • Nur Benutzer, die bestimmten Administratorrollen zugewiesen sind, können Gastbenutzer einladen: Wenn Sie nur Benutzern mit Administratorrollen das Einladen von Gästen erlauben möchten, aktivieren Sie dieses Optionsfeld. Zu den Administratorrollen gehören globaler Administrator,Benutzeradministrator und Gasteinladender.
    • Niemand in der Organisation kann Gastbenutzer einladen, einschließlich Administratoren (restriktivste Einstellung) : Wenn Sie allen Benutzern in der Organisation das Einladen von Gästen verweigern möchten, aktivieren Sie dieses Optionsfeld.

      Hinweis

      Wenn Mitglieder können einladen auf Nein festgelegt ist und Administratoren und Benutzer mit der Rolle „Gasteinladender“ können einladen auf Ja festgelegt ist, können Benutzer mit der Rolle Gasteinladender weiterhin Gäste einladen.

  5. Wählen Sie unter Self-Service-Registrierung von Gästen über Benutzerflows aktivieren die Option Ja aus, wenn Sie Benutzerflows erstellen möchten, über die sich Benutzer für Apps registrieren können. Weitere Informationen zu dieser Einstellung finden Sie unter Hinzufügen eines Benutzerflows für die Self-Service-Registrierung zu einer App.

    Screenshot showing Self-service sign up via user flows setting.

  6. Unter Einschränkungen für die Zusammenarbeit können Sie auswählen, ob Sie Einladungen für die von Ihnen angegebenen Domänen zulassen oder verweigern möchten. Sie können außerdem in den Textfeldern bestimmte Domänennamen eingeben. Geben Sie für mehrere Domänen jede Domäne in einer neuen Zeile ein. Weitere Informationen finden Sie unter Zulassen oder Blockieren von Einladungen für B2B-Benutzer von bestimmten Organisationen.

    Screenshot showing Collaboration restrictions settings.

Konfigurieren von Einstellungen mit Microsoft Graph

Einstellungen für die externe Zusammenarbeit können mithilfe der Microsoft Graph-API konfiguriert werden:

Zuweisen der Rolle „Gasteinladender“ an einen Benutzer

Über die Rolle „Gasteinladender“ können Sie einzelnen Benutzern die Möglichkeit geben, Gäste einzuladen, ohne ihnen dafür eine globale Administratorrolle oder eine andere Administratorrolle zuweisen zu müssen. Weisen Sie die Rolle „Gasteinladender“ einzelnen Benutzern zu. Stellen Sie dann sicher, dass die Richtlinie Administratoren und Benutzer mit der Rolle „Gasteinladender“ können einladen auf Ja festgelegt ist.

Hier ist ein Beispiel, das zeigt, wie PowerShell verwendet wird, um einen Benutzer der Rolle „Gasteinladender“ hinzuzufügen:

Add-MsolRoleMember -RoleObjectId 95e79109-95c0-4d8e-aee3-d01accf2d47b -RoleMemberEmailAddress <RoleMemberEmailAddress>

Anmeldeprotokolle für B2B-Benutzer

Wenn sich ein B2B-Benutzer für die Zusammenarbeit bei einem Ressourcenmandanten anmeldet, wird sowohl im Stammmandanten als auch im Ressourcenmandanten ein Anmeldeprotokoll generiert. Diese Protokolle enthalten Informationen wie die verwendete Anwendung, E-Mail-Adressen, den Mandantennamen und die Mandanten-ID für den Stammmandanten und den Ressourcenmandanten.

Nächste Schritte

Weitere Artikel zur Azure AD B2B-Zusammenarbeit: