Verwalten der externen Zusammenarbeit

  • 5 Minuten

Microsoft Entra External Identities ist ein Feature, mit dem Sie Personen außerhalb Ihrer Organisation den Zugriff auf Ihre Apps und Ressourcen erlauben können. Ihre Partner, Distributoren, Lieferanten, Anbieter und andere Gastnutzer können "ihre eigenen Identitäten mitbringen". Unabhängig davon, ob sie eine vom Unternehmen oder einer Behörde ausgestellte digitale Identität oder eine nicht verwaltete soziale Identität wie Google oder Facebook haben, können sie sich mit ihren eigenen Anmeldedaten anmelden. Der Identitätsanbieter des externen Benutzers oder der externen Benutzerin verwaltet dessen Identität und Sie verwalten den Zugriff auf Ihre Apps mit Microsoft Entra ID, um Ihre Ressourcen zu schützen.

Flow beim Einlösen der Einladung

Diagram of the redemption of an external invitation to join Microsoft Entra tenant as a guest.

  1. Microsoft Entra ID führt eine benutzerbasierte Ermittlung durch, um festzustellen, ob der Benutzer bereits in einem verwalteten Microsoft Entra-Mandanten vorhanden ist. (Nicht verwaltete Microsoft Entra-Konten können nicht mehr zur Einlösung verwendet werden.) Wenn der Benutzerprinzipalname (User Principal Name, UPN) des Benutzers oder der Benutzerin mit einem vorhandenen Microsoft Entra-Konto und einem persönlichen MSA-Konto übereinstimmt, wird der Benutzer oder die Benutzerin aufgefordert, ein Konto für das Einlösen auszuwählen.
  2. Wenn ein Administrator SAML/WS-Fed IdP-Verbund aktiviert hat, prüft Microsoft Entra ID, ob das Domänensuffix des Benutzers mit der Domäne eines konfigurierten SAML/WS-Fed-Identitätsanbieters übereinstimmt und leitet den Benutzer zum vorkonfigurierten Identitätsanbieter um.
  3. Wenn ein Administrator Verbund mit Google aktiviert hat, prüft Microsoft Entra ID, ob das Domänensuffix des Benutzers gmail.com oder googlemail.com ist und leitet den Benutzer zu Google um.
  4. Beim Einlösungsprozess wird geprüft, ob der Benutzer bereits ein persönliches Microsoft-Konto (Microsoft Account, MSA) hat. Verfügt der Benutzer bereits über ein vorhandenes MSA, meldet er sich mit dem vorhandenen MSA an.
  5. Sobald das Basisverzeichnis des Benutzers bestimmt wurde, wird der Benutzer zur Anmeldung an den entsprechenden Identitätsanbieter weitergeleitet.
  6. Wenn kein Stammverzeichnis gefunden wird und die Funktion „Einmalkennung per E-Mail“ für Gäste aktiviert ist, wird über die eingeladene E-Mail-Adresse eine Kennung an den Benutzer gesendet. Der Benutzer ruft diese Kennung ab und gibt sie auf der Anmeldeseite von Microsoft Entra ein.
  7. Wenn kein Stammverzeichnis gefunden wird und die Einmalkennung per E-Mail für Gäste deaktiviert ist, wird der Benutzer aufgefordert, mit der eingeladenen E-Mail-Adresse ein Microsoft-Konto für Verbraucher zu erstellen. Wir unterstützen das Erstellen eines Microsoft-Kontos mit geschäftlichen E-Mail-Adressen in Domänen, die in Microsoft Entra ID nicht überprüft werden.
  8. Nach Authentifizierung beim richtigen Identitätsanbieter wird der Benutzer oder die Benutzerin zu Microsoft Entra ID umgeleitet, um den Einwilligungsvorgang abzuschließen.

Szenarios mit Azure Active Directory External Identities

Bei Microsoft Entra External Identities steht weniger die Beziehung eines Benutzers oder einer Benutzerin zu Ihrer Organisation im Mittelpunkt, sondern eher, wie sich der Benutzer oder die Benutzerin bei Ihren Apps und Ressourcen anmelden möchte. In diesem Framework unterstützt Microsoft Entra ID verschiedene Szenarien.

In einem B2B Collaboration-Szenario können Sie externe Benutzer in Ihren eigenen Mandanten einladen. Diesen Gastbenutzern können Sie dann Berechtigungen zuweisen (zur Autorisierung) und ihnen die Verwendung ihrer bereits vorhandenen Anmeldeinformationen ermöglichen (zur Authentifizierung). Benutzer melden sich bei den freigegebenen Ressourcen über einen einfachen Einladungs- und Einlösungsprozess mit ihrem Geschäfts-, Schul- oder Unikonto oder mit einem anderen E-Mail-Konto an. Über die Microsoft Entra-Berechtigungsverwaltung können Sie auch Richtlinien zum Verwalten des Zugriffs für externer Benutzer*innen konfigurieren. Und dank der verfügbaren Benutzerflows für die Self-Service-Registrierung können sich externe Benutzer nun selbst für Anwendungen registrieren. Die Umgebung kann angepasst werden, um die Registrierung mit einer Geschäfts-, Schul- oder Uni-Identität oder mit einer Social-Media-Identität (wie Google oder Facebook) zu ermöglichen. Im Rahmen des Registrierungsprozesses können auch zusätzliche Benutzerinformationen erfasst werden.

Die folgende Liste enthält ein Beispielszenario für B2B Collaboration und erläutert einige der Funktionen, die der Dienst bietet:

  • Primäres Szenario: Zusammenarbeit mit Microsoft-Anwendungen (Microsoft 365, Microsoft Teams usw.) oder ihren eigenen Anwendungen (SaaS-Apps, eigens entwickelte Apps usw.).
  • Zweck: Zusammenarbeit mit Geschäftspartnern aus externen Organisationen wie Lieferanten, Partnern und Zulieferern. Benutzer werden als Gastbenutzer in Ihrem Verzeichnis angezeigt.
  • Unterstützte Identitätsanbieter: Externe Benutzer können für die Zusammenarbeit Geschäfts-, Schul- oder Unikonten, eine beliebige E-Mail-Adresse, SAML- und WS-Fed-basierte Identitätsanbieter, Gmail und Facebook verwenden.
  • Verwaltung externer Benutzer: Externe Benutzer werden im gleichen Verzeichnis verwaltet wie Mitarbeiter, sind aber üblicherweise als Gastbenutzer gekennzeichnet. Gastbenutzer können genau wie Mitarbeiter verwaltet und beispielsweise den gleichen Gruppen hinzugefügt werden.
  • Einmaliges Anmelden (SSO) – Einmaliges Anmelden bei allen mit Microsoft Entra verbundenen Apps wird unterstützt. Beispielsweise können Sie den Zugriff auf Microsoft 365 oder lokale Apps und auf andere SaaS-Apps wie z. B. Salesforce oder Workday bereitstellen.
  • Sicherheitsrichtlinie und Compliance: Wird von der Hostorganisation/einladenden Organisation verwaltet (beispielsweise mit Richtlinien für den bedingten Zugriff).
  • Branding: Das Branding der Hostorganisation/einladenden Organisation wird verwendet.

Verwalten von Einstellungen für die externe Zusammenarbeit in Microsoft Entra ID

In dieser Lektion wird beschrieben, wie Microsoft Entra B2B Collaboration aktiviert wird. Anschließend erkunden wir die Möglichkeit, zu bestimmen, wer Gäste einladen kann und welche Berechtigungen die Gäste erhalten sollen.

Per Standardeinstellung können alle Benutzer und Gäste in Ihrem Verzeichnis Gäste einladen, auch denn, wenn ihnen keine Administratorrolle zugewiesen ist. In den Einstellungen für die externe Zusammenarbeit können Sie die Möglichkeit, Gäste einzuladen, für verschiedene Benutzertypen in Ihrer Organisation aktivieren oder deaktivieren. Diese Möglichkeit können Sie auch an einzelne Benutzer delegieren, indem Sie diesen Benutzern Rollen zuweisen, die es ihnen ermöglichen, Gäste einzuladen.

Mit Microsoft Entra ID können Sie einschränken, was externe Gastbenutzer*innen in Ihrem Microsoft Entra-Verzeichnis sehen können. Standardmäßig werden Gastbenutzern eine eingeschränkte Berechtigungsstufe gewährt. Gäste können keine Benutzer*innen, Gruppen oder andere Verzeichnisressourcen auflisten, aber die Mitgliedschaft in nicht verborgenen Gruppen sehen. Administrator*innen können die Einstellung für die Gastberechtigung ändern, sodass Sie den Gastzugriff noch weiter einschränken können, damit Gäste nur ihre eigenen Profilinformationen anzeigen können. Einzelheiten finden Sie unter Einschränken von Gastzugriffsberechtigungen.

Konfigurieren der Einstellungen zur externen B2B-Zusammenarbeit

Mit Microsoft Entra B2B Collaboration (Business to Business) kann ein*e Mandantenadministrator*in folgende Einladungsrichtlinien festlegen:

  • Deaktivieren von Einladungen (keine externen Benutzer*innen können eingeladen werden)
  • Nur Administrator*innen und Benutzer*innen mit der Rolle „Gasteinladender“ können einladen (nur Administrator*innen und Benutzer*innen mit der Rolle „Gasteinladender“ können einladen)
  • Administrator*innen, Personen mit der Rolle „Gasteinladender“ und Mitglieder können einladen (die gleiche Einstellung wie oben, doch auch Mitglieder können externe Benutzer*innen einladen)
  • Alle Benutzer*innen, auch Gäste, können einladen (wie der Name sagt, können alle Benutzer*innen des Mandanten externe Benutzer*innen einladen)

Per Standardeinstellung können alle Benutzer, einschließlich Gäste, Gastbenutzer einladen.