Konvertieren lokaler Gastkonten in Microsoft Entra B2B-Gastkonten

  • Artikel

Mit Microsoft Entra ID (Microsoft Entra B2B) erfolgt die Zusammenarbeit für externe Benutzer*innen anhand ihrer Identitäten. Obwohl Organisationen lokale Benutzernamen und Kennwörter für externe Benutzer ausgeben können, wird dieser Ansatz nicht empfohlen. Im Vergleich zur Erstellung lokaler Konten bietet Microsoft Entra B2B höhere Sicherheit, geringere Kosten und weniger Komplexität. Wenn Ihre Organisation außerdem lokale Anmeldeinformationen ausgibt, die von externen Benutzer*innen verwaltet werden, können Sie stattdessen Microsoft Entra B2B verwenden. Verwenden Sie die Anleitung in diesem Dokument, um den Übergang vorzunehmen.

Weitere Informationen: Planen einer Microsoft Entra B2B-Zusammenarbeitsbereitstellung

Voraussetzungen

Dieser Artikel ist die Nummer 10 in einer Serie von 10 Artikeln. Wir empfehlen, dass Sie die Artikel der Reihe nach lesen. Wechseln Sie zum Abschnitt Nächste Schritte, um die gesamte Serie anzuzeigen.

Identifizieren von extern ausgerichteten Anwendungen

Bevor Sie lokale Konten zu Microsoft Entra B2B migrieren, überprüfen Sie die Anwendungen und Workloads, auf die externe Benutzer*innen zugreifen können. Stellen Sie beispielsweise bei lokal gehosteten Anwendungen sicher, dass sie in Microsoft Entra ID integriert sind. Lokale Anwendungen sind ein guter Grund, lokale Konten zu erstellen.

Weitere Informationen: Gewähren des Zugriffs auf Ihre lokalen Anwendungen für B2B-Benutzer*innen in Microsoft Entra ID

Es empfiehlt sich, für Anwendungen, auf die von außerhalb Ihrer Organisation zugegriffen werden kann, das einmalige Anmelden (Single Sign-On, SSO) und eine in Microsoft Entra ID integrierte Bereitstellung einzurichten, um ein optimales Endbenutzererlebnis zu gewährleisten.

Identifizieren von lokalen Gastkonten

Ermitteln Sie die Konten, die zu Microsoft Entra B2B migriert werden sollen. Externe Identitäten in Active Directory können über ein Attribut/Wert-Paar identifiziert werden. Sie könnten beispielsweise „ExtensionAttribute15 = External“ für externe Benutzer festlegen. Wenn diese Benutzer mit Microsoft Entra Connect Sync oder Microsoft Entra Connect Cloudsynchronisierung eingerichtet werden, konfigurieren Sie diese so, dass die UserType-Attribute auf Guest festgelegt sind. Wenn die Benutzer als reine Cloudkonten eingerichtet sind, können Sie Benutzerattribute ändern. Identifizieren Sie in erster Linie Benutzer, die Sie zu B2B konvertieren wollen.

Zuordnen lokaler Gastkonten zu externen Identitäten

Identifizieren sie Benutzeridentitäten oder externe E-Mail-Adressen. Vergewissern Sie sich, dass das lokale Konto (v-lakshmi@contoso.com) ein Benutzer ist mit der Home-Identität und E-Mail-Adresse: lakshmi@fabrikam.com. So identifizieren Sie Home-Identitäten:

  • Der Sponsor des externen Benutzers stellt die Informationen bereit
  • Der externe Benutzer stellt die Informationen bereit
  • Verweisen Sie auf eine interne Datenbank, wenn die Informationen bekannt und gespeichert sind

Fügen Sie nach dem Zuordnen externer lokaler Konten zu Identitäten dem Attribut „user.mail“ für lokale Konten externe Identitäten oder E-Mail-Adressen hinzu.

Kommunikation mit Endbenutzern

Informieren Sie externe Benutzer über den Zeitpunkt der Migration. Kommunizieren Sie Erwartungen, beispielsweise wenn externe Benutzer die Verwendung eines aktuellen Kennworts beenden müssen, um die Authentifizierung durch die Home- und Unternehmensanmeldeinformationen zu aktivieren. Die Kommunikation kann E-Mail-Kampagnen und Ankündigungen umfassen.

Migrieren lokaler Gastkonten zu Microsoft Entra B2B

Nachdem die user.mail-Attribute der lokalen Konten mit der externen Identität und E-Mail-Adresse aufgefüllt wurden, konvertieren Sie die Konten zu Microsoft Entra B2B-Konten, indem Sie sie einladen. Sie können PowerShell oder die Microsoft Graph-API verwenden.

Weitere Informationen: Einladen von internen Benutzern zur B2B-Zusammenarbeit

Überlegungen nach der Migration

Wenn lokale Konten externer Benutzer von lokal synchronisiert wurden, reduzieren Sie ihren lokalen Speicherbedarf und verwenden Sie B2B-Gastkonten. Sie können Folgendes ausführen:

  • Umstellen der lokalen Konten externer Benutzer*innen auf Microsoft Entra B2B und Beenden der Erstellung lokaler Konten
    • Einladen externer Benutzer zu Microsoft Entra ID
  • Zufälliges Generieren der Kennwörter für lokale Konten eines externen Benutzers, um die Authentifizierung bei lokalen Ressourcen zu verhindern
    • Diese Aktion stellt sicher, dass die Authentifizierung und der Benutzerlebenszyklus mit der Home-Identität des externen Benutzers verbunden sind

Nächste Schritte

In der folgenden Artikelserie erfahren Sie, wie Sie den externen Zugriff auf Ressourcen sichern können. Wir empfehlen Ihnen, die Artikel in der angegebenen Reihenfolge zu lesen.

  1. Bestimmen Ihres Sicherheitsstatus für externem Zugriff mit Microsoft Entra ID

  2. Ermitteln des aktuellen Status der Zusammenarbeit mit externen Benutzern in Ihrer Organisation

  3. Erstellen eines Sicherheitsplans für den externen Zugriff auf Ressourcen

  4. Schützen des externen Zugriffs mit Gruppen in Microsoft Entra ID und Microsoft 365

  5. Umstellung auf geregelte Zusammenarbeit mit der Microsoft Entra B2B-Zusammenarbeit

  6. Verwalten des externen Zugriffs mit der Microsoft Entra-Berechtigungsverwaltung

  7. Verwalten des externen Zugriffs auf Ressourcen mit Richtlinien für bedingten Zugriff

  8. Steuern des externen Zugriffs auf Ressourcen in Microsoft Entra ID mit Vertraulichkeitsbezeichnungen

  9. Sichern des externen Zugriffs auf Microsoft Teams, SharePoint und OneDrive for Business mit Microsoft Entra ID (aktueller Artikel)

  10. Konvertieren lokaler Gastkonten in Microsoft Entra B2B-Gastkonten (aktueller Artikel)