Gewähren des Zugriffs auf Cloudressourcen für lokal verwaltete Partnerkonten mit Microsoft Entra B2B-Zusammenarbeit – Redaktionelle Aktualisierungen
Vor Microsoft Entra ID haben Unternehmen mit lokalen Identitätssystemen Partnerkonten herkömmlicherweise in ihrem lokalen Verzeichnis verwaltet. Wenn Sie in einem solchen Unternehmen damit beginnen, Apps zu Microsoft Entra ID zu migrieren, möchten Sie sicherstellen, dass Ihre Partner auf die benötigten Ressourcen zugreifen können. Dabei sollte es keine Rolle spielen, ob die Ressourcen lokal oder in der Cloud gespeichert sind. Zudem sollen Ihre Partnerbenutzer in der Lage sein, für lokale und Microsoft Entra-Ressourcen dieselben Anmeldeinformationen zu verwenden.
Wenn Sie Konten für externe Partner in Ihrem lokalen Verzeichnis erstellen (beispielsweise ein Konto mit dem Anmeldenamen „mkrause“ für eine externe Benutzerin namens Marie Krause in Ihrer Domäne partners.contoso.com), können Sie diese Konten jetzt mit der Cloud synchronisieren. Insbesondere können Sie mithilfe von Microsoft Entra Connect die Partnerkonten mit der Cloud synchronisieren, wobei ein Benutzerkonto mit „UserType = Guest“ erstellt wird. Dadurch können Ihre Partner mit denselben Anmeldeinformationen wie für ihre lokalen Konten auf Cloudressourcen zugreifen, ohne mehr Zugriff als nötig zu erhalten. Weitere Informationen zum Konvertieren lokaler Gastkonten finden Sie unter Konvertieren lokaler Gastkonten in Microsoft Entra B2B-Gastkonten.
Hinweis
Weitere Informationen finden Sie auch unter Einladen von internen Benutzern zur B2B-Zusammenarbeit. Mit diesem Feature können Sie interne Gastbenutzer zur Verwendung von B2B Collaboration einladen, unabhängig davon, ob ihre Konten aus Ihrem lokalen Verzeichnis mit der Cloud synchronisiert wurden. Wenn Benutzer die Einladung zur Verwendung von B2B Collaboration annehmen, können sie ihre eigenen Identitäten und Anmeldeinformationen verwenden, um sich bei den Ressourcen anzumelden, auf die sie zugreifen sollen. So müssen keine Kennwörter oder Kontolebenszyklen verwaltet werden.
Identifizieren von eindeutigen Attributen für UserType
Vor dem Aktivieren der Synchronisierung des UserType-Attributs müssen Sie entscheiden, wie das UserType-Attribut vom lokalen Active Directory abgeleitet werden soll. Das heißt, welche Parameter in Ihrer lokalen Umgebung sind für Ihre externen Mitarbeiter eindeutig? Bestimmen Sie einen Parameter, der diese externen Mitarbeiter von Mitgliedern Ihrer eigenen Organisation unterscheidet.
Hierbei gibt es zwei gängige Vorgehensweisen:
- Sie legen ein nicht verwendetes lokales Active Directory-Attribut (z.B. extensionAttribute1) als Quellattribut fest.
- Oder Sie leiten den Wert für das UserType-Attribut aus anderen Eigenschaften ab. Sie möchten beispielsweise alle Benutzer als Gast synchronisieren, wenn ihr lokales Active Directory-Attribut UserPrincipalName mit der Domäne @partners.contoso.com endet.
Detaillierte Attributanforderungen finden Sie unter Synchronisierung des Benutzertyps aktivieren.
Konfigurieren von Microsoft Entra Connect für die Synchronisierung von Benutzern mit der Cloud
Nachdem Sie das eindeutige Attribut identifiziert haben, können Sie Microsoft Entra Connect so konfigurieren, dass diese Benutzer mit der Cloud synchronisiert werden, wobei ein Benutzerkonto mit „UserType = Guest“ erstellt wird. Aus Sicht der Autorisierung sind diese Benutzer nicht von B2B-Benutzern zu unterscheiden, die durch den Einladungsprozess von Microsoft Entra B2B-Zusammenarbeit erstellt wurden.
Eine Anleitung zur Implementierung finden Sie unter Synchronisierung des Benutzertyps aktivieren.