Übersicht über die B2B-Zusammenarbeit

Die B2B-Zusammenarbeit von Azure Active Directory (Azure AD) ist ein Feature im Rahmen von externen Identitäten, mit dem Sie Gastbenutzer zur Zusammenarbeit mit Ihrer Organisation einladen können. Mithilfe der B2B-Zusammenarbeit können Sie Anwendungen und Dienste Ihres Unternehmens auf sichere Weise für Gastbenutzer aus anderen Organisationen freigeben und gleichzeitig die Kontrolle über Ihre eigenen Unternehmensdaten behalten. Arbeiten Sie sicher und geschützt mit externen Partnern zusammen, ob groß oder klein, auch wenn sie keine Azure AD oder eine IT-Abteilung haben.

Diagram illustrating B2B collaboration

Ein einfacher Prozess zum Senden und Einlösen von Einladungen ermöglicht es Partnern, ihre eigenen Zugangsdaten für den Zugriff auf die Ressourcen Ihres Unternehmens zu verwenden. Sie können auch Benutzerflows für die Self-Service-Registrierung aktivieren, damit sich externe Benutzer selbst für Apps oder Ressourcen registrieren können. Sobald der externe Benutzer seine Einladung eingelöst oder die Anmeldung abgeschlossen hat, wird er in Ihrem Verzeichnis als Benutzerobjekt dargestellt. Benutzerobjekte für die B2B-Zusammenarbeit erhalten in der Regel den Benutzertyp „Gast“ und können durch die Erweiterung #EXT# in ihrem Benutzerprinzipalnamen identifiziert werden.

Entwickler können Azure AD Business-to-Business-APIs verwenden, um den Einladungsprozess anzupassen oder Anwendungen wie Self-Service-Anmeldeportale zu schreiben. Lizenz- und Preisinformationen in Verbindung mit Gastbenutzern finden Sie unter Azure Active Directory for External Identities – Preise.

Wichtig

Wir haben damit begonnen, das Feature „Einmalkennung per E-Mail“ für alle bestehenden Mandanten zu aktivieren. Bei neuen Mandanten wird es standardmäßig aktiviert. Wir aktivieren die Funktion „Einmalkennung per E-Mail“, da sie eine nahtlose alternative Authentifizierungsmethode für Ihre Gastbenutzer bietet. Wenn Sie jedoch nicht möchten, dass dieses Feature automatisch aktiviert wird, können Sie es deaktivieren. Bald erstellen wir während der Einlösung von Einladungen für die B2B-Zusammenarbeit keine neuen, nicht verwalteten („viralen“) Azure AD-Konten und -Mandanten mehr.

Zusammenarbeit mit jedem Partner über seine Identitäten

Mit Azure AD-B2B verwendet der Partner seine eigene Identitätsverwaltungslösung, sodass es keinen externen Verwaltungsaufwand für Ihr Unternehmen gibt. Gastbenutzer können sich mit ihrem Geschäfts-, Schul- oder Unikonto bzw. mit ihrer Identität bei Ihren Anwendungen und Diensten anmelden.

  • Der Partner verwendet seine eigenen Identitäten und Anmeldeinformationen, unabhängig davon, ob er über ein Azure AD-Konto verfügt oder nicht.
  • Sie müssen keine externen Konten oder Kennwörter verwalten.
  • Sie müssen keine Konten synchronisieren oder Kontolebenszyklen verwalten.

Verwalten des externen Zugriffs mit Einstellungen für eingehenden und ausgehenden Zugriff

Die B2B-Zusammenarbeit ist standardmäßig aktiviert. Mit umfassenden Administratoreinstellungen können Sie jedoch Ihre B2B-Zusammenarbeit mit externen Partnern und Organisationen steuern:

  • Für die B2B-Zusammenarbeit mit anderen Azure AD-Organisationen können Sie mandantenübergreifende Zugriffseinstellungen verwenden, um die B2B-Zusammenarbeit in ein- und ausgehender Richtung zu verwalten und den Zugriff auf bestimmte Benutzer, Gruppen und Anwendungen zu beschränken. Sie können eine Standardkonfiguration festlegen, die für alle externen Organisationen gilt, und dann nach Bedarf individuelle organisationsspezifische Einstellungen erstellen. Darüber hinaus können Sie mithilfe mandantenübergreifender Zugriffseinstellungen den MFA-Ansprüchen (Multi-Faktor-Authentifizierung) und Geräteansprüchen (Ansprüche von konformen Geräten und von in Azure AD eingebundenen Hybridgeräten) von anderen Azure AD-Organisationen vertrauen.

  • Mithilfe der Einstellungen für externe Zusammenarbeit können Sie einschränken, wer externe Benutzer einladen darf, B2B-spezifische Domänen zulassen oder blockieren und Einschränkungen für den Gastbenutzerzugriff auf Ihr Verzeichnis festlegen.

Einfaches Einladen von Gastbenutzern über das Azure AD-Portal

Als Administrator können Sie im Azure-Portal problemlos Gastbenutzer zu Ihrer Organisation hinzufügen.

  • Erstellen Sie einen neuen Gastbenutzer in Azure AD auf ähnliche Weise, wie Sie einen neuen Benutzer hinzufügen würden.
  • Weisen Sie Gastbenutzer Apps oder Gruppen zu.
  • Senden Sie eine Einladungs-E-Mail mit dem Einlöselink oder den direkten Link zu der App, die Sie freigeben möchten.

Screenshot showing the New Guest User invitation entry page

  • Gastbenutzer können die Einladung in wenigen Schritten einlösen, um sich anzumelden.

Screenshot showing the Review permissions page

Self-Service-Registrierung zulassen

Mit einem Benutzerflow für die Self-Service-Registrierung können Sie eine Registrierungsbenutzeroberfläche für externe Benutzer erstellen, die auf Ihre Apps zugreifen möchten. Im Rahmen des Registrierungsflows können Sie Optionen für verschiedene Identitätsanbieter für soziale Netzwerke oder Unternehmen bereitstellen und Informationen über den Benutzer sammeln. Informieren Sie sich ausführlicher über die Self-Service-Registrierung und ihre Einrichtung.

Sie können auch API-Connectors verwenden, um Ihre Benutzerflows für die Self-Service-Registrierung in externe Cloudsysteme zu integrieren. Sie können eine Verbindung mit benutzerdefinierten Genehmigungsworkflows herstellen, die Identitätsüberprüfung durchführen, vom Benutzer bereitgestellte Informationen überprüfen usw.

Screenshot showing the user flows page

Verwenden von Richtlinien zum sicheren Freigeben von Anwendungen und Diensten

Sie können Authentifizierungs- und Autorisierungsrichtlinien verwenden, um Ihre Unternehmensinhalte zu schützen. Richtlinien für bedingten Zugriff (beispielsweise Multi-Factor Authentication) können erzwungen werden:

  • Auf Mandantenebene
  • Auf Anwendungsebene
  • Für bestimmte Gastbenutzer, um Anwendungen und Daten des Unternehmens zu schützen

Screenshot showing the Conditional Access option

Anwendungs- und Gruppenbesitzer können ihre eigenen Gastbenutzer verwalten

Sie können die Gastbenutzerverwaltung an Anwendungsbesitzer delegieren, sodass sie Gastbenutzer direkt zu jeder Anwendung hinzufügen können, die sie freigeben möchten, unabhängig davon, ob es sich um eine Microsoft-Anwendung handelt oder nicht.

  • Administratoren richten die Self-Service-Anwendungs- und Gruppenverwaltung ein.
  • Benutzer, die keine Administratoren sind, verwenden ihren Zugriffsbereich, um Gastbenutzer zu Anwendungen oder Gruppen hinzuzufügen.

Screenshot showing the Access panel for a guest user

Anpassen des Onboardings für B2B-Gastbenutzer

Integrieren Sie Ihre externen Partner entsprechend den Anforderungen Ihrer Organisation.

Integrieren mit Identitätsanbietern

Azure AD unterstützt externe Identitätsanbieter wie Facebook, Microsoft-Konten, Google oder Unternehmensidentitätsanbieter. Sie können einen Verbund mit Identitätsanbietern einrichten, damit Ihre externen Benutzer sich mit Ihren vorhandenen Konten für soziale Netzwerke oder Unternehmen anmelden können, anstatt ein neues Konto nur für Ihre Anwendung zu erstellen. Informieren Sie sich ausführlicher über Identitätsanbieter für externe Identitäten.

Screenshot showing the Identity providers page

Integrieren in SharePoint und OneDrive

Sie können die Integration in SharePoint und OneDrive aktivieren, um Dateien, Ordner, Listenelemente, Dokumentbibliotheken und Websites mit Personen außerhalb Ihrer Organisation gemeinsam zu nutzen, und dabei Azure B2B für die Authentifizierung und Verwaltung verwenden. Die Benutzer, für die Sie Ressourcen freigeben, werden Ihrem Verzeichnis in der Regel als Gäste hinzugefügt, und Berechtigungen und Gruppen funktionieren für diese Gäste genauso wie für interne Benutzer. Wenn Sie die Integration in SharePoint und OneDrive aktivieren, aktivieren Sie auch das Feature Einmal-Passcode per E-Mail in Azure AD B2B, das als Fallbackauthentifizierungsmethode dient.

Screenshot of the email one-time-passcode setting.

Nächste Schritte