Eigenschaften eines Azure Active Directory B2B-ZusammenarbeitsbenutzersProperties of an Azure Active Directory B2B collaboration user

In diesem Artikel werden die Eigenschaften und Zustände beschrieben, die das B2B-Gastbenutzerobjekt in Azure Active Directory (Azure AD) vor und nach dem Einlösen der Einladung aufweisen kann.This article describes the properties and states of the B2B guest user object in Azure Active Directory (Azure AD) before and after invitation redemption. Ein Azure AD Business-to-Business (B2B) Collaboration-Benutzer ist ein Benutzer mit dem Benutzertyp „Gast“.An Azure AD business-to-business (B2B) collaboration user is a user with UserType = Guest. Dieser Gastbenutzer ist ein der Regel ein Benutzer aus einer Partnerorganisation und verfügt standardmäßig über eingeschränkte Berechtigungen im einladenden Verzeichnis.This guest user typically is from a partner organization and has limited privileges in the inviting directory, by default.

Je nach Anforderungen der einladenden Organisation kann ein Azure AD B2B-Zusammenarbeitsbenutzer einen der folgenden Kontozustände aufweisen:Depending on the inviting organization's needs, an Azure AD B2B collaboration user can be in one of the following account states:

  • Zustand 1: Befindet sich in einer externen Instanz von Azure AD und wird als Gastbenutzer in der einladenden Organisation dargestellt.State 1: Homed in an external instance of Azure AD and represented as a guest user in the inviting organization. In diesem Fall meldet sich der B2B-Benutzer mit einem Azure AD-Konto an, das zum eingeladenen Mandanten gehört.In this case, the B2B user signs in by using an Azure AD account that belongs to the invited tenant. Wenn die Partnerorganisation nicht Azure AD verwendet, werden die Gastbenutzer trotzdem in Azure AD erstellt.If the partner organization doesn't use Azure AD, the guest user in Azure AD is still created. Voraussetzung ist, dass sie ihre Einladung einlösen und Azure AD ihre E-Mail-Adressen überprüft.The requirements are that they redeem their invitation and Azure AD verifies their email address. Eine solche Vereinbarung wird auch als Just-in-Time-Mandant (JIT) oder „viraler“ Mandant bezeichnet.This arrangement is also called a just-in-time (JIT) tenancy or a "viral" tenancy.

  • Zustand 2: Befindet sich in einem Microsoft-Konto oder anderen Konto und wird als Gastbenutzer in der Hostorganisation dargestellt.State 2: Homed in a Microsoft or other account and represented as a guest user in the host organization. In diesem Fall meldet sich der Gastbenutzer mit einem Microsoft-Konto oder einem Konto eines sozialen Netzwerks (z.B. google.com) an.In this case, the guest user signs in with a Microsoft account or a social account (google.com or similar). Die Identität eines eingeladenen Benutzers wird während der Einlösung des Angebots im Verzeichnis der einladenden Organisation als Microsoft-Konto erstellt.The invited user's identity is created as a Microsoft account in the inviting organization’s directory during offer redemption.

  • Zustand 3: Befindet sich im lokalen Active Directory der Hostorganisation und wird mit der Azure AD-Instanz der Hostorganisation synchronisiert.State 3: Homed in the host organization's on-premises Active Directory and synced with the host organization's Azure AD. Sie können mithilfe von Azure AD Connect die Partnerkonten als Azure AD B2B-Benutzer mit „UserType = Guest“ mit der Cloud synchronisieren.You can use Azure AD Connect to sync the partner accounts to the cloud as Azure AD B2B users with UserType = Guest. Siehe Gewähren des Zugriffs auf Cloudressourcen für lokal verwaltete Partnerkonten.See Grant locally-managed partner accounts access to cloud resources.

  • Zustand 4: Befindet sich im Azure AD der Hostorganisation mit dem Benutzertyp „Gast“, und die Anmeldeinformationen werden von der Hostorganisation verwaltet.State 4: Homed in the host organization's Azure AD with UserType = Guest and credentials that the host organization manages.

    Diagramm mit den vier Benutzerzuständen

Sehen wir uns nun an, wie ein Azure AD B2B-Kollaborationsbenutzer in Azure AD aussieht.Now, let's see what an Azure AD B2B collaboration user looks like in Azure AD.

Vor dem Einlösen der EinladungBefore invitation redemption

Bei Konten mit den Zuständen 1 und 2 werden Gastbenutzer unter Verwendung ihrer eigenen Anmeldeinformationen zur Kollaboration eingeladen.State 1 and State 2 accounts are the result of inviting guest users to collaborate by using the guest users' own credentials. Beim ursprünglichen Senden der Einladung an den Gastbenutzer wird ein Konto in Ihrem Verzeichnis erstellt.When the invitation is initially sent to the guest user, an account is created in your directory. Diesem Konto sind keine Anmeldeinformationen zugeordnet, da die Authentifizierung durch den Identitätsanbieter des Gastbenutzers erfolgt.This account doesn’t have any credentials associated with it because authentication is performed by the guest user's identity provider. Die Eigenschaft Quelle für das Gastbenutzerkonto in Ihrem Verzeichnis ist auf Eingeladene Benutzer festgelegt.The Source property for the guest user account in your directory is set to Invited user.

Screenshot mit Benutzereigenschaften vor dem Einlösen des Angebots

Nach dem Einlösen der EinladungAfter invitation redemption

Wenn der Gastbenutzer die Einladung annimmt, wird die Eigenschaft Quelle basierend auf dem Identitätsanbieter des Gastbenutzers aktualisiert.After the guest user accepts the invitation, the Source property is updated based on the guest user’s identity provider.

Für Gastbenutzer mit dem Zustand 1 wird Externes Azure Active Directory als Quelle festgelegt.For guest users in State 1, the Source is External Azure Active Directory.

Gastbenutzer mit dem Zustand 1 nach dem Einlösen des Angebots

Für Gastbenutzer mit dem Zustand 2 wird Microsoft-Konto als Quelle festgelegt.For guest users in State 2, the Source is Microsoft Account.

Gastbenutzer mit dem Zustand 2 nach dem Einlösen des Angebots

Für Gastbenutzer mit einem der Zustände 3 oder 4 wird die Eigenschaft Quelle auf Azure Active Directory bzw. Windows Server Active Directory festgelegt (siehe Beschreibung im nächsten Abschnitt).For guest users in State 3 and State 4, the Source property is set to Azure Active Directory or Windows Server Active Directory, as described in the next section.

Wichtige Eigenschaften von Azure AD B2B-ZusammenarbeitsbenutzernKey properties of the Azure AD B2B collaboration user

UserTypeUserType

Diese Eigenschaft gibt die Beziehung des Benutzers zum Hostmandanten an.This property indicates the relationship of the user to the host tenancy. Diese Eigenschaft kann zwei Werte aufweisen:This property can have two values:

  • Mitglied: Dieser Wert weist auf einen Mitarbeiter der Hostorganisation und einen Benutzer auf der Gehaltsliste der Organisation hin.Member: This value indicates an employee of the host organization and a user in the organization's payroll. Für diesen Benutzer sollte beispielsweise Zugriff auf rein interne Websites möglich sein.For example, this user expects to have access to internal-only sites. Dieser Benutzer wird nicht als externer Projektmitarbeiter betrachtet.This user is not considered an external collaborator.

  • Gast: Dieser Wert gibt einen Benutzer an, der im Unternehmen nicht als intern gilt, z.B. ein externer Mitarbeiter, Partner oder Kunde.Guest: This value indicates a user who isn't considered internal to the company, such as an external collaborator, partner, or customer. Diese Benutzer sind z.B. nicht für den Empfang interner Memos vom CEO oder von Unternehmensvorteilen vorgesehen.Such a user isn't expected to receive a CEO's internal memo or receive company benefits, for example.

    Hinweis

    Die Eigenschaft „UserType“ steht in keinem Zusammenhang damit, wie sich der Benutzer anmeldet, welche Verzeichnisrolle er hat usw.The UserType has no relation to how the user signs in, the directory role of the user, and so on. Die Eigenschaft gibt einfach nur die Beziehung des Benutzers zur Hostorganisation an und ermöglicht der Organisation, Richtlinien basierend auf dieser Eigenschaft zu erzwingen.This property simply indicates the user's relationship to the host organization and allows the organization to enforce policies that depend on this property.

SourceSource

Diese Eigenschaft gibt an, wie sich der Benutzer anmeldet.This property indicates how the user signs in.

  • Eingeladener Benutzer: Dieser Benutzer wurde eingeladen, hat die Einladung aber noch nicht eingelöst.Invited User: This user has been invited but has not yet redeemed an invitation.

  • Externes Active Directory: Dieser Benutzer befindet sich in einer externen Organisation und authentifiziert sich mit einem Azure AD-Konto, das zur anderen Organisation gehört.External Active Directory: This user is homed in an external organization and authenticates by using an Azure AD account that belongs to the other organization. Diese Art der Anmeldung entspricht Zustand 1.This type of sign-in corresponds to State 1.

  • Microsoft-Konto: Dieser Benutzer befindet sich in einem Microsoft-Konto und authentifiziert sich mit einem Microsoft-Konto.Microsoft account: This user is homed in a Microsoft account and authenticates by using a Microsoft account. Diese Art der Anmeldung entspricht Zustand 2.This type of sign-in corresponds to State 2.

  • Windows Server Active Directory: Dieser Benutzer wird über ein lokales Active Directory angemeldet, das zu dieser Organisation gehört.Windows Server Active Directory: This user is signed in from on-premises Active Directory that belongs to this organization. Diese Art der Anmeldung entspricht Zustand 3.This type of sign-in corresponds to State 3.

  • Azure Active Directory: Dieser Benutzer authentifiziert sich mit einem Azure AD-Konto, das zu dieser Organisation gehört.Azure Active Directory: This user authenticates by using an Azure AD account that belongs to this organization. Diese Art der Anmeldung entspricht Zustand 4.This type of sign-in corresponds to State 4.

    Hinweis

    „Source“ und „UserType“ sind unabhängige Eigenschaften.Source and UserType are independent properties. Ein Wert für „Source“ impliziert keinen bestimmten Wert für „UserType“.A value of Source does not imply a particular value for UserType.

Können Azure AD B2B-Benutzer als Mitglieder statt als Gäste hinzugefügt werden?Can Azure AD B2B users be added as members instead of guests?

Üblicherweise sind die Begriffe „Azure AD B2B-Benutzer“ und „Gastbenutzer“ synonym.Typically, an Azure AD B2B user and guest user are synonymous. Daher wird ein Azure AD B2B-Zusammenarbeitsbenutzer standardmäßig als Benutzer mit dem Benutzertyp „Gast“ hinzugefügt.Therefore, an Azure AD B2B collaboration user is added as a user with UserType = Guest by default. In einigen Fällen ist eine Partnerorganisation jedoch Teil einer größeren Organisation, zu der auch die Hostorganisation gehört.However, in some cases, the partner organization is a member of a larger organization to which the host organization also belongs. Hierbei betrachtet die Hostorganisation die Benutzer der Partnerorganisation eher als Mitglieder, nicht als Gäste.If so, the host organization might want to treat users in the partner organization as members instead of guests. Verwenden Sie die Azure AD B2B-Einladungs-Manager-APIs, um einen Benutzer aus der Partnerorganisation als Mitglied zur Hostorganisation einzuladen oder hinzuzufügen.Use the Azure AD B2B Invitation Manager APIs to add or invite a user from the partner organization to the host organization as a member.

Filtern nach Gastbenutzern im VerzeichnisFilter for guest users in the directory

Screenshot mit dem Filter für Gastbenutzer

Konvertieren des BenutzertypsConvert UserType

Mithilfe von PowerShell kann die Eigenschaft „UserType“ von „Mitglied“ in „Gast“ geändert werden und umgekehrt.It's possible to convert UserType from Member to Guest and vice-versa by using PowerShell. Die Eigenschaft „UserType“ gibt jedoch die Beziehung eines Benutzers zu der Organisation an.However, the UserType property represents the user's relationship to the organization. Daher sollten Sie diese Eigenschaft nur ändern, wenn sich die Beziehung des Benutzers zur Organisation ändert.Therefore, you should change this property only if the relationship of the user to the organization changes. Wenn sich die Beziehung des Benutzers ändert, muss dann der Benutzerprinzipalname (UPN) geändert werden?If the relationship of the user changes, should the user principal name (UPN) change? Soll der Benutzer weiterhin Zugriff auf die gleichen Ressourcen haben?Should the user continue to have access to the same resources? Muss ein Postfach zugewiesen werden?Should a mailbox be assigned? Es empfiehlt sich nicht, die Eigenschaft „UserType“ in PowerShell als alleinige Aktivität zu ändern.We don't recommend changing the UserType by using PowerShell as an atomic activity. Wenn diese Eigenschaft durch die Verwendung von PowerShell unveränderlich wird, empfiehlt es sich nicht, Abhängigkeiten von diesem Wert einzurichten.Also, in case this property becomes immutable by using PowerShell, we don't recommend taking a dependency on this value.

Aufheben von Einschränkungen für GastbenutzerRemove guest user limitations

Es gibt eine Vielzahl von Situationen, in denen Sie Ihren Gastbenutzern höhere Berechtigungen einräumen möchten.There may be cases where you want to give your guest users higher privileges. Sie können Gastbenutzer beliebigen Rollen hinzufügen und sogar die standardmäßigen Einschränkungen für Gastbenutzer im Verzeichnis aufheben, um diesen die gleichen Berechtigungen zu gewähren wie Mitgliedern.You can add a guest user to any role and even remove the default guest user restrictions in the directory to give a user the same privileges as members.

Sie können die standardmäßigen Einschränkungen aufheben, sodass Gastbenutzer im Unternehmensverzeichnis die gleichen Berechtigungen erhalten wie Mitgliedsbenutzer.It's possible to turn off the default limitations so that a guest user in the company directory has the same permissions as a member user.

Screenshot mit der Option für externe Benutzer in den Benutzereinstellungen

Kann ich Gastbenutzer in der globalen Adressliste von Exchange sichtbar machen?Can I make guest users visible in the Exchange Global Address List?

Ja.Yes. Gastobjekte sind in der globalen Adressliste Ihres Unternehmens standardmäßig nicht sichtbar. Sie können jedoch Azure Active Directory PowerShell verwenden, um diese sichtbar zu machen.By default, guest objects aren't visible in your organization's global address list, but you can use Azure Active Directory PowerShell to make them visible. Weitere Informationen finden Sie unter Kann ich Gast-Objekte in der globalen Adressliste sichtbar machen? im Artikel Verwalten des Zugriffs von Gast in Office 365-Gruppen.For details, see Can I make guest objects visible in the global address list? in Manage guest access in Office 365 Groups.

Nächste SchritteNext steps