Best Practices für B2B-Funktionen in Azure Active Directory

Dieser Artikel enthält Empfehlungen und Best Practices für die B2B-Zusammenarbeit (Business-to-Business) in Azure Active Directory (Azure AD).

Wichtig

Wir haben damit begonnen, das Feature „Einmalkennung per E-Mail“ für alle bestehenden Mandanten zu aktivieren. Bei neuen Mandanten wird es standardmäßig aktiviert. Wir aktivieren die Funktion „Einmalkennung per E-Mail“, da sie eine nahtlose alternative Authentifizierungsmethode für Ihre Gastbenutzer bietet. Wenn Sie jedoch nicht möchten, dass dieses Feature automatisch aktiviert wird, können Sie es deaktivieren. Bald erstellen wir während der Einlösung von Einladungen für die B2B-Zusammenarbeit keine neuen, nicht verwalteten („viralen“) Azure AD-Konten und -Mandanten mehr.

B2B-Empfehlungen

Empfehlung Kommentare
Lesen Sie den Azure AD-Leitfaden zum Schützen Ihrer Zusammenarbeit mit externen Partnern. Hier erfahren Sie, wie Sie einen ganzheitlichen Governanceansatz für die Zusammenarbeit Ihrer Organisation mit externen Partnern verfolgen, indem Sie die Empfehlungen unter Schützen der externen Zusammenarbeit in Azure Active Directory und Microsoft 365 befolgen.
Planen Sie Ihre Einstellungen für den mandantenübergreifenden Zugriff und die externen Zusammenarbeit sorgfältig. Azure AD bietet Ihnen einen flexiblen Satz von Steuerelementen für die Verwaltung der Zusammenarbeit mit externen Benutzern und Organisationen. Sie können die Zusammenarbeit insgesamt zulassen oder blockieren oder die Zusammenarbeit nur für bestimmte Organisationen, Benutzer und Apps konfigurieren. Bevor Sie Einstellungen für den mandantenübergreifenden Zugriff und die externe Zusammenarbeit konfigurieren, sollten Sie eine sorgfältige Bestandsaufnahme der Organisationen durchführen, mit denen Sie zusammenarbeiten. Legen Sie dann fest, ob Sie eine direkte B2B-Verbindung oder die B2B-Zusammenarbeit mit anderen Azure AD-Mandanten aktivieren möchten, und wie Sie Einladungen zur B2B-Zusammenarbeit verwalten möchten.
Um für ein optimales Benutzererlebnis bei der Anmeldung zu sorgen, erstellen Sie einen Verbund mit Identitätsanbietern. Erstellen Sie nach Möglichkeit einen direkten Verbund mit Identitätsanbietern, um eingeladenen Benutzern die Anmeldung bei Ihren freigegebenen Apps und Ressourcen zu ermöglichen, ohne dass sie Microsoft-Konten (Microsoft Accounts, MSAs) oder Azure AD-Konten erstellen müssen. Sie können das Feature zum Erstellen eines Verbunds mit Google verwenden, um B2B-Gastbenutzern die Anmeldung mit ihren Google-Konten zu ermöglichen. Alternativ dazu können Sie das Feature für einen SAML/WS-Fed-Identitätsanbieter (Vorschau) verwenden, um einen Verbund mit einer beliebigen Organisation einzurichten, deren Identitätsanbieter das SAML 2.0- oder WS-Fed-Protokoll unterstützt.
Verwenden Sie das Feature für das Senden einer Einmalkennung per E-Mail für B2B-Gastbenutzer, die sich auf andere Weise nicht authentifizieren können. Mit dem Feature Einmalkennung per E-Mail werden B2B-Gastbenutzer authentifiziert, wenn sie über andere Wege (z. B. über Azure AD, ein Microsoft-Konto (MSA) oder den Verbund mit Google) nicht authentifiziert werden können. Wenn der Gastbenutzer eine Einladung einlöst oder auf eine freigegebene Ressource zugreift, kann er einen temporären Code anfordern, der an seine E-Mail-Adresse gesendet wird. Anschließend gibt er diesen Code ein, um den Anmeldevorgang fortzusetzen.
Hinzufügen eines Unternehmensbrandings zu Ihrer Anmeldeseite Sie können Ihre Anmeldeseite anpassen, damit sie für B2B-Gastbenutzer intuitiver ist. Informationen dazu finden Sie unter Hinzufügen von Unternehmensbranding zur Anmelde- und Zugriffsbereichsseite.
Fügen Sie Ihre Datenschutzerklärung zum Einlösungsprozess der B2B-Gastbenutzer hinzu. Sie können die URL zur Datenschutzerklärung Ihrer Organisation in den Prozess zum Einlösen einer Einladung einfügen, sodass ein eingeladener Benutzer diesen Bestimmungen zustimmen muss, um fortfahren zu können. Weitere Informationen finden Sie unter Vorgehensweise: Hinzufügen der Datenschutzinformationen mit Azure Active Directory.
Verwenden Sie das Feature für Masseneinladungen (Vorschau), um mehrere B2B-Gastbenutzer gleichzeitig einzuladen. Laden Sie mithilfe des Features für Masseneinladungen (Vorschau) im Azure-Portal mehrere Gastbenutzer gleichzeitig in Ihre Organisation ein. Mit diesem Feature können Sie eine CSV-Datei hochladen, um per Massenvorgang B2B-Gastbenutzer zu erstellen und Einladungen zu senden. Weitere Informationen finden Sie unter Tutorial: Masseneinladen von B2B-Benutzern.
Durchsetzung von Richtlinien für bedingten Zugriff für Azure Active Directory Multi-Faktor-Authentifizierung (MFA) Es wird empfohlen, MFA-Richtlinien in den Apps zu erzwingen, die Sie für B2B-Benutzer von Partnern freigeben möchten. Auf diese Weise wird die MFA in allen Apps in Ihrem Mandanten erzwungen, unabhängig davon, ob die Partnerorganisation die MFA verwendet. Weitere Informationen finden Sie unter Bedingter Zugriff für Benutzer von B2B Collaboration.
Wenn Sie gerätebasierte Richtlinien für bedingten Zugriff erzwingen, verwenden Sie Ausschlusslisten, um B2B-Benutzern Zugriff zu gewähren. Wenn in Ihrer Organisation gerätebasierte Richtlinien für bedingten Zugriff aktiviert sind, werden Geräte von B2B-Gastbenutzern blockiert, weil sie nicht von Ihrer Organisation verwaltet werden. Sie können jedoch Ausschlusslisten mit bestimmten Partnerbenutzern erstellen, die von der gerätebasierten Richtlinie für bedingten Zugriff ausgeschlossen werden sollen. Weitere Informationen finden Sie unter Bedingter Zugriff für Benutzer von B2B Collaboration.
Verwenden Sie beim Bereitstellen von direkten Links für Ihre B2B-Gastbenutzer eine mandantenspezifische URL. Alternativ zur Einladungs-E-Mail können Sie einem Gast einen direkten Link zu Ihrer App oder Ihrem Portal zur Verfügung stellen. Dieser direkte Link muss mandantenspezifisch sein, also eine Mandanten-ID oder eine überprüfte Domäne enthalten, damit der Gast in Ihrem Mandanten, in dem sich die freigegebene App befindet, authentifiziert werden kann. Weitere Informationen finden Sie unter Einlösung von Einladungen.
Verwenden Sie beim Entwickeln einer App die UserType-Eigenschaft, um die Funktionalität für Gastbenutzer festzulegen. Wenn Sie eine Anwendung entwickeln und für Mandantenbenutzer und Gastbenutzer unterschiedliche Funktionalitäten bereitstellen möchten, verwenden Sie die Eigenschaft „UserType“. Der UserType-Anspruch ist derzeit nicht im Token enthalten. Anwendungen sollten die Microsoft Graph-API verwenden, um zum Abrufen der UserType-Eigenschaft eines Benutzers das Verzeichnis abzufragen.
Ändern Sie die Eigenschaft „UserType“ nur, wenn sich die Beziehung eines Benutzers zur Organisation ändert. Sie können zwar die UserType-Eigenschaft eines Benutzers in PowerShell von „Mitglied“ zu „Gast“ (und umgekehrt) konvertieren, aber Sie sollten diese Eigenschaft nur ändern, wenn sich die Beziehung des Benutzers zu Ihrer Organisation ändert. Weitere Informationen finden Sie unter Eigenschaften eines B2B-Gastbenutzers.
Ermitteln Sie, ob Ihre Umgebung von den Azure AD-Verzeichnislimits betroffen ist. Azure AD B2B unterliegt den Einschränkungen des Azure AD-Dienstverzeichnisses. Ausführliche Informationen zur Anzahl von Verzeichnissen, die ein Benutzer erstellen kann, und der Anzahl von Verzeichnissen, zu denen ein Benutzer oder Gastbenutzer gehören kann, finden Sie unter Dienst- und andere Einschränkungen für Azure AD.

Nächste Schritte

Verwalten der B2B-Freigabe