Worum handelt es sich bei „Externe Identitäten“ in Azure Active Directory?What are External Identities in Azure Active Directory?

Mit „Externe Identitäten“ in Azure AD können Sie Personen außerhalb Ihrer Organisation den Zugriff auf Ihre Apps und Ressourcen erlauben. Gleichzeitig können sie sich mit der von ihnen bevorzugten Identität anmelden.With External Identities in Azure AD, you can allow people outside your organization to access your apps and resources, while letting them sign in using whatever identity they prefer. Ihre Partner, Vertriebspartner, Lieferanten, Anbieter und andere Gastbenutzer können „ihre eigenen Identitäten einbringen“.Your partners, distributors, suppliers, vendors, and other guest users can "bring their own identities." Unabhängig davon, ob sie zu Azure AD oder einem anderen von der IT verwalteten System gehören oder aber über eine nicht verwaltete soziale Identität wie Google oder Facebook verfügen, können sie ihre eigenen Anmeldeinformationen für die Anmeldung verwenden.Whether they're part of Azure AD or another IT-managed system, or have an unmanaged social identity like Google or Facebook, they can use their own credentials to sign in. Der Identitätsanbieter verwaltet die Identität des externen Benutzers, und Sie verwalten den Zugriff auf Ihre Apps mit Azure AD, um Ihre Ressourcen zu schützen.The identity provider manages the external user’s identity, and you manage access to your apps with Azure AD to keep your resources protected.

Szenarien für Externe IdentitätenExternal Identities scenarios

Externe Azure AD-Identitäten konzentriert sich weniger auf die Beziehung eines Benutzers zu Ihrer Organisation als auf die Art und Weise, wie sich eine Person bei ihren Apps und Ressourcen anmelden möchte.Azure AD External Identities focuses less on a user's relationship to your organization and more on the way an individual wants to sign in to your apps and resources. Innerhalb dieses Frameworks unterstützt Azure AD eine Vielzahl von Szenarien – von der B2B-Zusammenarbeit (Business-to-Business) bis hin zur App-Entwicklung für Kunden und Consumer (Business-to-Consumer oder B2C).Within this framework, Azure AD supports a variety of scenarios from business-to-business (B2B) collaboration to app development for customers and consumers (business-to-consumer, or B2C).

  • Freigeben von Apps für externe Benutzer (B2B-Zusammenarbeit) .Share apps with external users (B2B collaboration) . Laden Sie externe Benutzer in Ihren eigenen Mandanten als „Gastbenutzer“ ein, denen Sie Berechtigungen (zur Autorisierung) zuweisen können. Gleichzeitig erlauben Sie ihnen, ihre vorhandenen Anmeldeinformationen (zur Authentifizierung) zu verwenden.Invite external users into your own tenant as "guest" users that you can assign permissions to (for authorization) while allowing them to use their existing credentials (for authentication). Benutzer melden sich über einen einfachen Einladungs- und Einlösungsprozess mit ihrem Geschäfts-, Schul- oder Unikonto oder aber einem beliebigen E-Mail-Konto bei den freigegebenen Ressourcen an.Users sign in to the shared resources using a simple invitation and redemption process with their work account, school account, or any email account. Mit der Verfügbarkeit von Benutzerflows für die Self-Service-Registrierung (Vorschau) können Sie jetzt auch einen Anmeldevorgang für Ihre externen Benutzer über die Anwendung bereitstellen, die Sie freigeben möchten.And now with the availability of Self-service sign-up user flows (Preview), you can also provide a sign-in experience for your external users through the application you want to share. Sie können Benutzerfloweinstellungen konfigurieren, um zu steuern, wie sich Benutzer für die Anwendung registrieren. Dies ermöglicht es ihnen, ihr Geschäfts-, Schul- oder Unikonto oder aber eine beliebige soziale Identität (wie Google oder Facebook) ihrer Wahl zu nutzen.You can configure user flow settings to control how the user signs up for the application and that allows them to use their work account, school account, or any social identity (like Google or Facebook) they want to use. Weitere Informationen finden Sie in der Azure AD B2B-Dokumentation.For more information, see the Azure AD B2B documentation.

  • Entwickeln Sie Apps, die für andere Azure AD-Mandanten (einzelner Mandant oder mehrere Mandanten) vorgesehen sind .Develop apps intended for other Azure AD tenants (single-tenant or multi-tenant) . Wenn Sie Anwendungen für Azure AD entwickeln, können Sie Benutzer aus einer einzelnen Organisation (einzelner Mandant) oder Benutzer aus einer Organisation, die bereits über einen Azure AD Mandanten verfügt (die so genannten „mehrinstanzenfähigen Anwendungen“), als Ziel festlegen.When developing applications for Azure AD, you can target users from a single organization (single tenant), or users from any organization that already has an Azure AD tenant (called multi-tenant applications). Diese mehrinstanzenfähigen Anwendungen werden einmal von Ihnen selbst in Ihrem eigenen Azure AD registriert, können aber von jedem beliebigen Azure AD Benutzer aus jeder beliebigen Organisation eingesetzt werden, ohne dass eine zusätzliche Aktion Ihrerseits erforderlich ist.These multi-tenant applications are registered once by yourself in your own Azure AD, but can then be used by any Azure AD user from any organization without any additional work on your part.

  • Entwickeln Sie White-Label-Apps für Consumer und Kunden (Azure AD B2C) .Develop white-labeled apps for consumers and customers (Azure AD B2C) . Wenn Sie ein Unternehmen oder Entwickler sind, das bzw. der kundenorientierte Apps erstellt, können Sie sie mithilfe einer Azure AD B2C-App auf Consumer, Kunden oder Bürger skalieren.If you're a business or developer creating customer-facing apps, you can scale to consumers, customers, or citizens by using an Azure AD B2C. Entwickler können Azure AD als voll funktionsfähiges Identitätssystem für ihre Anwendung nutzen. Gleichzeitig können sich Kunden mit einer bereits vorhandenen Identität (wie Facebook oder Gmail) anmelden.Developers can use Azure AD as the full-featured identity system for their application, while letting customers sign in with an identity they already have established (like Facebook or Gmail). Mit Azure AD B2C können Sie vollständig anpassen und steuern, wie sich Kunden bei Nutzung Ihrer Anwendungen registrieren, anmelden und ihre Profile verwalten.With Azure AD B2C, you can completely customize and control how customers sign up, sign in, and manage their profiles when using your applications. Weitere Informationen finden Sie in der Azure AD B2C-Dokumentation.For more information, see the Azure AD B2C documentation.

Vergleichen von Lösungen für externe IdentitätenCompare External Identities solutions

Die nachstehende Tabelle enthält einen detaillierten Vergleich der verschiedenen Szenarien, die Sie mit Externe Azure AD-Identitäten aktivieren können.The table below gives a detailed comparison of the various scenarios you can enable with Azure AD External Identities.

Mehrinstanzenfähige AnwendungenMulti-tenant applications Zusammenarbeit mit externem Benutzer (B2B)External user collaboration (B2B) Apps für Consumer oder Kunden (B2C)Apps for consumers or customers (B2C)
Primäres Szenario: Enterprise Software-as-a-Service (SaaS)Primary scenario: Enterprise Software-as-a-Service (SaaS) Primäres Szenario: Zusammenarbeit mithilfe von Microsoft-Anwendungen (Microsoft 365, Teams usw.) oder Ihrer eigenen Software für die Zusammenarbeit.Primary scenario: Collaboration using Microsoft applications (Microsoft 365, Teams, ...) or your own collaboration software. Primäres Szenario: Transaktionsanwendungen mit benutzerdefiniert entwickelten Anwendungen.Primary scenario: Transactional applications using custom developed applications.
Vorgesehen für: Organisationen, die Software für viele Unternehmenskunden bereitstellen möchten.Intended for: Organizations that want to provide software to many enterprise customers. Vorgesehen für: Organisationen, die Benutzer einer Partnerorganisation unabhängig vom Identitätsanbieter authentifizieren möchten.Intended for: Organizations that want to be able to authenticate users from a partner organization, regardless of identity provider. Vorgesehen für: Einladung von Kunden Ihrer mobilen Apps und Web-Apps (Einzelpersonen, Institutionen oder Organisationen) in ein Azure AD Verzeichnis, das vom Verzeichnis Ihrer Organisation getrennt ist.Intended for: Inviting customers of your mobile and web apps, whether individuals, institutional or organizational customers into an Azure AD directory separate from your own organization's directory.
Unterstützte Identitäten: Mitarbeiter mit Azure AD-Konten.Identities supported: Employees with Azure AD accounts. Unterstützte Identitäten: Mitarbeiter mit Geschäfts-, Schul- oder Unikonto, Partner mit Geschäfts-, Schul- oder Unikonto oder beliebige E-Mail-Adressen.Identities supported: Employees with work or school accounts, partners with work or school accounts, or any email address. Direkter Verbund wird in Kürze unterstützt.Soon to support direct federation. Unterstützte Identitäten: Endbenutzer mit lokalem Anwendungskonto (E-Mail-Adresse oder Benutzername) oder eine beliebige unterstützte soziale Identität mit direktem Verbund.Identities supported: Consumer users with local application accounts (any email address or user name) or any supported social identity with direct federation.
Externe Benutzer werden in einem eigenen Verzeichnis verwaltet, das isoliert ist von dem Verzeichnis, in dem die Anwendung registriert wurde.External users are managed in their own directory, isolated from the directory where the application was registered. Externe Benutzer werden im gleichen Verzeichnis verwaltet wie Mitarbeiter, aber speziell gekennzeichnet.External users are managed in the same directory as employees, but annotated specially. Sie können auf dieselbe Weise wie Mitarbeiter verwaltet, denselben Gruppen hinzugefügt werden usw.They can be managed the same way as employees, they can be added to the same groups, and so on. Externe Benutzer werden im Anwendungsverzeichnis verwaltet.External users are managed in the application directory. Sie werden getrennt vom Verzeichnis für Mitarbeiter und Partner (sofern vorhanden) der Organisation verwaltet.They're managed separately from the organization's employee and partner directory (if any).
Einmaliges Anmelden: Einmaliges Anmelden (Single Sign-On, SSO) bei allen mit Azure AD verbundenen Apps wird unterstützt.Single sign-on: SSO to all Azure AD-connected apps is supported. Einmaliges Anmelden: Einmaliges Anmelden (Single Sign-On, SSO) bei allen mit Azure AD verbundenen Apps wird unterstützt.Single sign-on: SSO to all Azure AD-connected apps is supported. Beispielsweise können Sie den Zugriff auf Microsoft 365 oder lokale Apps und auf andere SaaS-Apps wie z. B. Salesforce oder Workday bereitstellen.For example, you can provide access to Microsoft 365 or on-premises apps, and to other SaaS apps such as Salesforce or Workday. Einmaliges Anmelden: Einmaliges Anmelden bei Kunden-Apps innerhalb der Azure AD B2C-Mandanten wird unterstützt.Single sign-on: SSO to customer owned apps within the Azure AD B2C tenants is supported. Einmaliges Anmelden bei Microsoft 365 oder anderen SaaS-Apps von Microsoft wird nicht unterstützt.SSO to Microsoft 365 or to other Microsoft SaaS apps is not supported.
Kundenlebenszyklus: Wird von der eigenen Organisation des Benutzers verwaltet.Customer lifecycle: Managed by the user's home organization. Partnerlebenszyklus: Wird von der Hostorganisation/einladenden Organisation verwaltet.Partner lifecycle: Managed by the host/inviting organization. Kundenlebenszyklus: Self-Service oder von der Anwendung verwaltet.Customer lifecycle: Self-serve or managed by the application.
Sicherheitsrichtlinie und Compliance: Wird von der Hostorganisation/einladenden Organisation verwaltet (beispielsweise mit Richtlinien für den bedingten Zugriff).Security policy and compliance: Managed by the host/inviting organization (for example, with Conditional Access policies). Sicherheitsrichtlinie und Compliance: Wird von der Hostorganisation/einladenden Organisation verwaltet (beispielsweise mit Richtlinien für den bedingten Zugriff).Security policy and compliance: Managed by the host/inviting organization (for example, with Conditional Access policies). Sicherheitsrichtlinie und Compliance: Von der Anwendung verwaltet.Security policy and compliance: Managed by the application.
Branding: Das Branding der Hostorganisation/einladenden Organisation wird verwendet.Branding: Host/inviting organization's brand is used. Branding: Das Branding der Hostorganisation/einladenden Organisation wird verwendet.Branding: Host/inviting organization's brand is used. Branding: Von der Anwendung verwaltet.Branding: Managed by application. Normalerweise wird eher das Produktbranding verwendet, und die Organisation tritt in den Hintergrund.Typically tends to be product branded, with the organization fading into the background.
Weitere Informationen: Verwalten der Identität in mehrinstanzenfähigen Anwendungen SchrittanleitungMore info: Manage identity in multi-tenant applications, How-to Guide Weitere Informationen: Blogbeitrag, DokumentationMore info: Blog post, Documentation Weitere Informationen: Produktseite, DokumentationMore info: Product page, Documentation

Sichern und verwalten Sie Kunden und Partner über die Grenzen Ihrer Organisation hinaus mit Externe Azure AD-Identitäten.Secure and manage customers and partners beyond your organizational boundaries with Azure AD External Identities.

Nächste SchritteNext steps