Steuern des Zugriffs für externe Benutzer in der Berechtigungsverwaltung

Die Berechtigungsverwaltung verwendet Microsoft Entra Business-to-Business (B2B) zur Freigabe des Zugriffs, damit Sie mit Personen außerhalb Ihrer Organisation zusammenarbeiten können. Externe Benutzer*innen verwenden Microsoft Entra B2B für die Authentifizierung gegenüber ihrem Basisverzeichnis, aber sie werden in Ihrem Verzeichnis dargestellt. Die Darstellung in Ihrem Verzeichnis ermöglicht dem Benutzer den Zugriff auf Ihre Ressourcen.

In diesem Artikel werden die Einstellungen beschrieben, die Sie angeben können, um den Zugriff für externe Benutzer zu steuern.

Vorteile der Berechtigungsverwaltung

Wenn Sie Microsoft Entra B2B-Einladungen verwenden, müssen Sie bereits die E-Mail-Adressen der externen Gastbenutzer*innen kennen, die Sie in das Ressourcenverzeichnis aufnehmen möchten, um mit ihnen zusammenzuarbeiten. Das direkte Einladen einzelner Benutzer funktioniert gut, wenn Sie an einem kleineren oder kurzfristigen Projekt arbeiten und bereits alle Teilnehmer kennen. Dieser Vorgang ist jedoch schwieriger zu verwalten, wenn Sie mit vielen Benutzern arbeiten möchten oder die Teilnehmer im Lauf der Zeit wechseln. Angenommen, Sie arbeiten mit einer anderen Organisation zusammen und haben einen Ansprechpartner in dieser Organisation, im Laufe der Zeit benötigen jedoch weitere Benutzer in dieser Organisation ebenfalls Zugriff.

Mit der Berechtigungsverwaltung können Sie eine Richtlinie definieren, die Benutzern aus von Ihnen angegebenen Organisationen das selbstständige Anfordern eines Zugriffspakets ermöglicht. Diese Richtlinie enthält ein Ablaufdatum für den Zugriff und gibt an, ob eine Genehmigung oder Zugriffsüberprüfungen erforderlich sind. In den meisten Fällen sollte eine Genehmigung beantragt werden müssen, um eine angemessene Kontrolle darüber zu haben, welche Benutzer*innen in Ihr Verzeichnis aufgenommen werden. Wenn eine Genehmigung erforderlich ist, könnten Sie für wichtige Partner, bei denen es sich um externe Organisationen handelt, Benutzer*innen der externen Organisation in Ihr Verzeichnis einladen, diese als Sponsor festlegen und konfigurieren, dass Sponsoren genehmigende Personen sind. Diese werden wahrscheinlich am besten wissen, welche externen Benutzer*innen aus ihrer Organisation Zugriff benötigen. Nachdem Sie das Zugriffspaket konfiguriert haben, rufen Sie den Anforderungslink des Zugriffspakets ab, damit Sie den Link Ihrer Kontaktperson (Sponsor) in der externen Organisation zusenden können. Diese Kontaktperson kann den Link für andere Benutzer in der externen Organisation freigeben, und diese können mit diesem Link das Zugriffspaket anfordern. Benutzer in dieser Organisation, die bereits in Ihr Verzeichnis eingeladen wurden, können diesen Link ebenfalls verwenden.

Sie können die Berechtigungsverwaltung auch verwenden, um Benutzer*innen aus Organisationen einzubinden, die über kein eigenes Microsoft Entra-Verzeichnis verfügen. Sie können einen Verbundidentitätsanbieter für deren Domäne konfigurieren oder die E-Mail-basierte Authentifizierung verwenden. Sie können auch Benutzer*innen von Social-Media-Identitätsanbietern eingliedern, einschließlich solcher mit Microsoft-Konten.

Wenn eine Anforderung genehmigt wird, stellt die Berechtigungsverwaltung in der Regel dem Benutzer den erforderlichen Zugriff bereit. Wenn sich der Benutzer nicht bereits in Ihrem Verzeichnis befindet, lädt die Berechtigungsverwaltung zuerst den Benutzer ein. Wenn Benutzer*innen eingeladen werden, erstellt Microsoft Entra ID automatisch ein B2B-Gastkonto für sie, sendet den Benutzer*innen aber keine E-Mail. Ein Administrator hat möglicherweise anhand einer B2B-Zulassungs- oder -Verweigerungsliste, die Einladungen an Domänen einer anderen Organisation zulässt oder blockiert, festgelegt, welche Organisationen für die Zusammenarbeit zugelassen werden. Wird die Domäne des Benutzers von diesen Listen nicht zugelassen, wird der Benutzer nicht eingeladen, sodass der Zugriff erst dann zugewiesen werden, wenn die Listen aktualisiert werden.

Da der Zugriff des externen Benutzers nicht unbefristet sein soll, geben Sie in der Richtlinie ein Ablaufdatum an, z. B. 180 Tage. Nach 180 Tagen wird der gesamte per Zugriffspaket gewährte Zugriff durch die Berechtigungsverwaltung entfernt, sofern er nicht verlängert wird. Wenn der Benutzer, der über die Berechtigungsverwaltung eingeladen wurde, nach Ende der Zuweisung über keine weiteren Zuweisungen von Zugriffspaketen verfügt, wird die Anmeldung über sein Gastkonto standardmäßig 30 Tage lang gesperrt, und anschließend wird das Konto entfernt. Auf diese Weise lassen sich unnötige Konten verhindern. Wie in den folgenden Abschnitten beschrieben, können diese Einstellungen konfiguriert werden.

Funktionsweise des Zugriffs für externe Benutzer

Im folgenden Diagramm und den folgenden Schritten erhalten Sie einen Überblick darüber, wie externen Benutzern der Zugriff auf ein Zugriffspaket gewährt wird.

1. Sie fügen eine verbundene Organisation für das Microsoft Entra-Verzeichnis oder die Domäne hinzu, mit dem bzw. der Sie zusammenarbeiten möchten. Sie können auch eine verbundene Organisation für einen Social-Media-Identitätsanbieter konfigurieren.

2. Überprüfen Sie, ob die Einstellung Für externe Benutzer aktiviert in dem Katalog, der das Zugriffspaket enthalten soll, Ja lautet.

3. Erstellen Sie ein Zugriffspaket in Ihrem Verzeichnis, das eine Richtlinie der Kategorie Für nicht in Ihrem Verzeichnis befindliche Benutzer enthält, die die verknüpften Organisationen enthält, die Anforderungen stellen können, sowie die genehmigende Person und die Lebenszykluseinstellungen. Wenn Sie in der Richtlinie die Option für bestimmte verknüpfte Organisationen oder die Option für alle verknüpften Organisationen auswählen, können nur Benutzer*innen aus zuvor konfigurierten Organisationen Anforderungen stellen. Wenn Sie in der Richtlinie die Option „Alle Benutzer“ auswählen, können alle Benutzer*innen Anforderungen stellen, einschließlich derjenigen, die nicht bereits Mitglied Ihres Verzeichnisses oder einer verknüpften Organisation sind.

4. Überprüfen Sie die Sichtbarkeitseinstellung für das Zugriffspaket, um sicherzustellen, dass es ausgeblendet ist. Wenn es nicht ausgeblendet ist, können alle Benutzer*innen, die durch die Richtlinieneinstellungen in diesem Zugriffspaket zugelassen sind, im Portal „Mein Zugriff“ für Ihren Mandanten nach dem Zugriffspaket suchen.

5. Sie senden einen Link für das Portal „Mein Zugriff“ an Ihre Kontaktperson in der externen Organisation, den diese zur Anforderung des Zugriffspakets an die Benutzer weitergeben kann.

6. Ein externer Benutzer (in diesem Beispiel Requestor A) verwendet den Link für das Portal „Mein Zugriff“, um Zugriff auf das Zugriffspaket anzufordern. Im Portal „Mein Zugriff“ müssen sich Benutzer*innen als Mitglied ihrer verknüpften Organisation anmelden. Wie sich der Benutzer anmeldet, hängt vom Authentifizierungstyp des Verzeichnisses oder der Domäne ab, der bzw. die in der verbundenen Organisation und in den Einstellungen des externen Benutzers definiert ist.

7. Eine genehmigenden Person genehmigt die Anforderung, sofern die Richtlinie eine Genehmigung erfordert.

8. Für die Anforderung wird in den Übermittlungsstatus gewechselt.

9. Per B2B-Einladungsprozess wird in Ihrem Verzeichnis ein Gastbenutzerkonto erstellt (in diesem Beispiel Requestor A (Guest) ). Wenn eine Positiv- oder Sperrliste definiert ist, wird die Listeneinstellung angewendet.

10. Dem Gastbenutzer wird der Zugriff auf alle Ressourcen des Zugriffspakets zugewiesen. Es kann einige Zeit dauern, bis Änderungen an Microsoft Entra ID und anderen Microsoft Online Services oder verbundenen SaaS-Anwendungen wirksam werden. Weitere Informationen finden Sie im Abschnitt zur Anwendung von Änderungen.

11. Der externe Benutzer erhält eine E-Mail mit dem Hinweis, dass der Zugriff bereitgestellt wurde.

12. Für den Zugriff auf die Ressourcen kann der externe Benutzer entweder in der E-Mail auf den Link klicken oder versuchen, direkt auf die Verzeichnisressourcen zuzugreifen, um den Einladungsprozess abzuschließen.

13. Wenn die Richtlinieneinstellungen ein Ablaufdatum enthalten, werden später, wenn die Zuweisung des Zugriffspakets für den externen Benutzer abläuft, die Zugriffsrechte des externen Benutzers aus diesem Zugriffspaket entfernt.

14. Je nach Lebenszyklus der Einstellungen externer Benutzer*innen gilt Folgendes: Wenn externe Benutzer*innen nicht mehr über Zuweisungen von Zugriffspaketen verfügen, wird ihre Anmeldung blockiert, und die Konten der externen Benutzer*innen werden aus Ihrem Verzeichnis entfernt.

Einstellungen für externe Benutzer

Um zu gewährleisten, dass Benutzer außerhalb Ihrer Organisation Zugriffspakete anfordern und Zugriff auf die Ressourcen in diesen Zugriffspaketen erhalten können, müssen Sie sicherstellen, dass einige Einstellungen richtig konfiguriert sind.

Aktivieren des Katalogs für externe Benutzer

• Wenn Sie einen neuen Katalog erstellen, wird es standardmäßig ermöglicht, dass externe Benutzer Zugriffspakete aus dem Katalog anfordern können. Stellen Sie sicher, dass Für externe Benutzer aktiviert ist auf Jafestgelegt ist.

  

  Wenn Sie Administrator*in oder Katalogbesitzer*in sind, können Sie im Microsoft Entra Admin Center die Liste der Kataloge anzeigen, die derzeit für externe Benutzer*innen aktiviert sind, indem Sie die Filtereinstellung Für externe Benutzer aktiviert zu Ja ändern. Wenn einer dieser Kataloge, die in dieser gefilterten Ansicht angezeigt werden, über mindestens ein Zugriffspaket verfügt, ist für diese möglicherweise eine Richtlinie der Kategorie Für nicht in Ihrem Verzeichnis befindliche Benutzer vorhanden, die Anforderungen durch externe Benutzer*innen zulässt.

Konfigurieren der Einstellungen für die externe Microsoft Entra B2B-Zusammenarbeit

• Wenn Sie Gastbenutzern erlauben, andere Gastbenutzer in Ihr Verzeichnis einzuladen, können Gastbenutzereinladungen auch außerhalb der Berechtigungsverwaltung erfolgen. Es wird empfohlen, dass die Option Gäste können einladen auf Nein gesetzt wird, sodass nur ordnungsgemäß gesteuerte Einladungen möglich sind.

• Wenn Sie zuvor die B2B-Zulassungsliste verwendet haben, müssen Sie die betreffende Liste entfernen oder sicherstellen, dass alle Domänen aller Organisationen, mit denen Sie über die Berechtigungsverwaltung zusammenarbeiten möchten, zur Liste hinzugefügt werden. Wenn Sie stattdessen die B2B-Sperrliste verwenden, darf keine Domäne einer Organisation, mit der Sie zusammenarbeiten möchten, in dieser Liste enthalten sein.

• Wenn Sie eine Richtlinie für die Berechtigungsverwaltung für alle Benutzer (alle verbundenen Organisationen und alle neuen externen Benutzer) erstellen und ein Benutzer nicht zu einer verbundenen Organisation in Ihrem Verzeichnis gehört, wird automatisch eine verbundene Organisation für ihn erstellt, wenn er das Paket anfordert. Die Einstellungen einer B2B-Positiv- oder Sperrliste haben jedoch Vorrang. Daher sollten Sie eine ggf. verwendete Positivliste entfernen, damit alle Benutzer Zugriff anfordern können, bzw. alle autorisierten Domänen aus Ihrer Sperrliste zu entfernen, wenn Sie eine Sperrliste verwenden.

• Wenn Sie eine Richtlinie zur Berechtigungsverwaltung erstellen möchten, die alle Benutzer umfasst (alle verbundenen Organisationen + alle neuen externen Benutzer), müssen Sie zunächst die Authentifizierung mit Einmalkennung per E-Mail für Ihr Verzeichnis aktivieren. Weitere Informationen finden Sie unter Authentifizierung mit Einmalkennung per E-Mail.

• Weitere Informationen zu den Einstellungen für die externe Microsoft Entra B2B-Zusammenarbeit finden Sie unter Konfigurieren von Einstellungen für die externe Zusammenarbeit.

  

  Hinweis

  Wenn Sie eine verbundene Organisation für einen Microsoft Entra-Mandanten aus einer anderen Microsoft-Cloud erstellen, müssen Sie auch entsprechende mandantenübergreifende Zugriffseinstellungen konfigurieren. Weitere Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Konfigurieren von mandantenübergreifenden Zugriffseinstellungen.

Überprüfen Ihrer Richtlinien für bedingten Zugriff

• Stellen Sie sicher, dass die Berechtigungsverwaltungs-App von allen Richtlinien für bedingten Zugriff ausgeschlossen wird, die sich auf Gastbenutzer auswirken. Andernfalls könnte eine Richtlinie für bedingten Zugriff den Benutzern den Zugriff auf MyAccess oder die Anmeldung bei Ihrem Verzeichnis verwehren. Beispielsweise verfügen Gastbenutzer wahrscheinlich nicht über ein registriertes Gerät, befinden sich nicht an einem bekannten Standort und möchten sich nicht für die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) registrieren. Deshalb wird die Verwendung der der Berechtigungsverwaltung für Gastbenutzer blockiert, wenn diese Anforderungen in einer Richtlinie für bedingten Zugriff verwendet werden. Weitere Informationen finden Sie unter Was sind Bedingungen im bedingten Zugriff von Microsoft Entra?.

• Eine häufige Richtlinie für Berechtigungsverwaltungskunden besteht darin, alle Apps von Gästen mit Ausnahme der Berechtigungsverwaltung für Gäste zu blockieren. Mit dieser Richtlinie können Gäste My Access aufrufen und ein Zugriffspaket anfordern. Dieses Paket sollte eine Gruppe enthalten (im folgenden Beispiel „Gäste von Mein Zugriff“ genannt), die von der Richtlinie zum Blockieren aller Apps ausgeschlossen werden sollte. Nachdem das Paket genehmigt wurde, befindet sich der Gast im Verzeichnis. Da der Endbenutzer über die Zugriffspaketzuweisung verfügt und Teil der Gruppe ist, kann der Endbenutzer auf alle anderen Apps zugreifen. Andere häufige Richtlinien umfassen das Ausschließen der Berechtigungsverwaltungs-App von MFA und kompatiblen Geräten.

  

  

  

Hinweis

Die Berechtigungsverwaltungs-App umfasst die Berechtigungsverwaltungsseite von MyAccess, die Berechtigungsverwaltungsseite im Microsoft Entra Admin Center und den Berechtigungsverwaltungsbereich von MS Graph. Die beiden letzteren erfordern zusätzliche Berechtigungen für den Zugriff. Daher kann von Gästen nur darauf zugegriffen werden, wenn explizite Berechtigungen bereitgestellt werden.

Überprüfen Ihrer Einstellung der externen SharePoint Online-Freigabe

• Wenn Sie SharePoint Online-Websites in Ihre Zugriffspakete für externe Benutzer aufnehmen möchten, stellen Sie sicher, dass Ihre Einstellung für die externe Freigabe auf Organisationsebene auf Jeder (Benutzer müssen sich nicht anmelden) oder Neue und bestehende Gäste (Gastbenutzer müssen sich anmelden oder einen Prüfcode angeben) festgelegt ist. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der externen Freigabe.

• Wenn Sie die externe Freigabe außerhalb der Berechtigungsverwaltung einschränken möchten, können Sie die Einstellung für die externe Freigabe auf Vorhandene Gäste festlegen. Dann können nur neue Benutzer*innen, die über die Berechtigungsverwaltung eingeladen werden, auf diese Websites zugreifen. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der externen Freigabe.

• Stellen Sie sicher, dass die Einstellungen auf Websiteebene den Gastzugriff ermöglichen (es müssen dieselben Optionen ausgewählt sein, wie zuvor aufgeführt). Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der externen Freigabe für eine Website.

Überprüfen der Freigabeeinstellungen der Microsoft 365-Gruppe

• Wenn Sie Microsoft 365-Gruppen in Ihre Zugriffspakete für externe Benutzer aufnehmen möchten, stellen Sie sicher, dass Benutzer dürfen neue Gastbenutzer zur Organisation hinzufügen auf Ein festgelegt ist, damit Gastbenutzer zugreifen können. Weitere Informationen finden Sie unter Verwalten des Gastzugriffs auf Microsoft 365-Gruppen.

• Wenn Sie möchten, dass externe Benutzer auf die SharePoint Online-Website und die der Microsoft 365-Gruppe zugeordneten Ressourcen zugreifen können, müssen Sie sicherstellen, dass die externe SharePoint Online-Freigabe aktiviert ist. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der externen Freigabe.

• Informationen zum Einrichten einer Gastrichtlinie für Microsoft 365-Gruppen auf Verzeichnisebene in PowerShell finden Sie in Beispiel: Konfigurieren einer Gastrichtlinie für Gruppen auf Verzeichnisebene.

Überprüfen der Freigabeeinstellungen für Microsoft Teams

• Wenn Sie Microsoft Teams in Ihre Zugriffspakete für externe Benutzer aufnehmen möchten, stellen Sie sicher, dass Gastzugriff in Microsoft Teams zulassen auf Ein gesetzt ist, damit Gastbenutzer zugreifen können. Weitere Informationen finden Sie unter Konfigurieren des Gastzugriffs im Microsoft Teams Admin Center.

Verwalten des Lebenszyklus von externen Benutzern

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Sie können auswählen, was passiert, wenn ein externer Benutzer, der über die Anforderung eines Zugriffspakets in Ihr Verzeichnis eingeladen wurde, nicht mehr über Zuweisungen von Zugriffspaketen verfügt. Dies kann passieren, wenn der Benutzer alle Zuweisungen von Zugriffspaketen aufgibt oder seine letzte Zuweisung eines Zugriffspakets abläuft. Wenn ein externer Benutzer nicht mehr über Zuweisungen von Zugriffspaketen verfügt, wird für ihn die Anmeldung bei Ihrem Verzeichnis standardmäßig blockiert. Nach 30 Tagen wird das Gastbenutzerkonto aus Ihrem Verzeichnis entfernt. Sie können auch konfigurieren, dass externe Benutzer*innen nicht an der Anmeldung gehindert oder gelöscht werden oder dass externe Benutzer*innen nicht an der Anmeldung gehindert, aber gelöscht werden (Vorschau).

Erforderliche Rolle: Globaler Administrator oder Identity Governance-Administrator

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

2. Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Einstellungen.

3. Wählen Sie Bearbeiten.

   

4. Wählen Sie im Abschnitt Lebenszyklus von externen Benutzern verwalten die jeweiligen Einstellungen für externe Benutzer aus.

5. Wenn ein externer Benutzer seine letzte Zuweisung von Zugriffspaketen verliert und Sie die Anmeldung beim Verzeichnis blockieren möchten, müssen Sie die Option Anmelden von externen Benutzern bei diesem Verzeichnis blockieren auf Ja festlegen.

   Hinweis

   Die Berechtigungsverwaltung blockiert nur die Anmeldung externer Gastbenutzerkonten, die über die Berechtigungsverwaltung eingeladen wurden oder die der Berechtigungsverwaltung für die Lebenszyklusverwaltung hinzugefügt wurden, indem ihr Gastbenutzerkonto als verwaltet festgelegt wurde. Beachten Sie außerdem Folgendes: Für Benutzer*innen wird auch dann die Anmeldung blockiert, wenn diese Benutzer*innen Ressourcen im Verzeichnis hinzugefügt wurden, bei denen es sich nicht um Zuweisungen von Zugriffspaketen handelt. Wenn die Anmeldung eines Benutzers bei diesem Verzeichnis blockiert ist, kann der Benutzer das Zugriffspaket nicht erneut anfordern und auch keinen zusätzlichen Zugriff in diesem Verzeichnis beantragen. Konfigurieren Sie keine Blockierung der Anmeldung, wenn die Benutzer*innen später den Zugriff auf dieses oder andere Zugriffspakete anfordern müssen.

6. Wenn ein externer Benutzer seine letzte Zuweisung zu Zugriffspaketen verliert und Sie sein Gastbenutzerkonto aus diesem Verzeichnis entfernen möchten, legen Sie Externen Benutzer entfernen auf Ja fest.

   Hinweis

   Die Berechtigungsverwaltung entfernt nur externe Gastbenutzerkonten, die über die Berechtigungsverwaltung eingeladen wurden oder die der Berechtigungsverwaltung für die Lebenszyklusverwaltung hinzugefügt wurden, indem ihr Gastbenutzerkonto als verwaltet festgelegt wurde. Beachten Sie außerdem Folgendes: Benutzer*innen werden auch dann aus diesem Verzeichnis entfernt, wenn diese Benutzer*innen Ressourcen im Verzeichnis hinzugefügt wurden, bei denen es sich nicht um Zuweisungen von Zugriffspaketen handelt. Wenn der Gastbenutzer bereits in diesem Verzeichnis vorhanden war, bevor die Zuweisungen von Zugriffspaketen durchgeführt wurden, wird er nicht entfernt. Falls der Gast aber per Zuweisung eines Zugriffspakets eingeladen und anschließend auch einer OneDrive for Business- oder SharePoint Online-Website zugewiesen wurde, wird er trotzdem entfernt. Wenn Sie die Einstellung Externe Benutzer*in entfernen auf Nein ändern, wirkt sich dies nur auf Benutzer*innen aus, die in der Folge ihre letzte Zugriffspaketzuweisung verlieren. Benutzer*innen, deren Löschung geplant war und die sich nicht mehr anmelden können, werden weiterhin nach ihrem ursprünglichen Zeitplan gelöscht.

7. Wenn Sie das Gastbenutzerkonto in diesem Verzeichnis entfernen möchten, können Sie die Anzahl von Tagen festlegen, die ablaufen sollen, bevor die Entfernung durchgeführt wird. Während externe Benutzer*innen benachrichtigt werden, wenn ihr Zugriffspaket abläuft, gibt es keine Benachrichtigung, wenn ihre Konten entfernt werden. Falls Sie das Gastbenutzerkonto entfernen möchten, sobald die letzte Zuweisung von Zugriffspaketen abgelaufen ist, legen Sie Anzahl von Tagen, bevor ein externer Benutzer aus diesem Verzeichnis entfernt wird auf 0 fest. Änderungen an diesem Wert wirken sich nur auf Benutzer aus, die anschließend ihre letzte Zugriffspaketzuweisung verwenden; Benutzer, die für den Löschvorgang geplant wurden, werden weiterhin in ihrem ursprünglichen Zeitplan gelöscht.

8. Wählen Sie Speichern.

Nächste Schritte

• Hinzufügen einer verbundenen Organisation
• Für Benutzer, die sich nicht in Ihrem Verzeichnis befinden
• Problembehandlung