Verwalten externer Benutzerkonten in Microsoft Entra ID
Die Benutzer von Microsoft Entra B2B Collaboration werden dem Verzeichnis als Gastbenutzer hinzugefügt, und die Gastberechtigungen im Verzeichnis sind standardmäßig eingeschränkt. Allerdings ist es in Ihrem Unternehmen möglicherweise erforderlich, dass einige Gastbenutzer Rollen mit höheren Berechtigungen in Ihrer Organisation übernehmen. Zur Unterstützung von Rollen mit höheren Berechtigungen können Gastbenutzer je nach Anforderungen Ihrer Organisation jeder gewünschten Rolle hinzugefügt werden.
Hinzufügen eines B2B-Benutzers zu einer Rolle
Microsoft empfiehlt, dass Organisationen die Regel der geringsten Rechte verwenden. Sie können Privileged Identity Management (PIM) zum Gewähren von Zugriff für B2B-/Gastbenutzer verwenden.
Wichtige Eigenschaften der Microsoft Entra B2B Collaboration-Benutzer*innen
UserType
Diese Eigenschaft gibt die Beziehung des Benutzers zum Hostmandanten an. Diese Eigenschaft kann zwei Werte aufweisen:
Mitglied: Dieser Wert weist auf einen Mitarbeiter der Hostorganisation und einen Benutzer auf der Gehaltsliste der Organisation hin. Für diesen Benutzer sollte beispielsweise Zugriff auf rein interne Websites möglich sein. Dieser Benutzer wird nicht als externer Projektmitarbeiter betrachtet.
Gast: Dieser Wert gibt einen Benutzer an, der im Unternehmen nicht als „intern“ gilt, z. B. einen externen Projektmitarbeiter, Partner oder Kunden. Diese Benutzer sind z.B. nicht für den Empfang interner Memos vom CEO oder von Unternehmensvorteilen vorgesehen.
Hinweis
Die Eigenschaft „UserType“ steht in keinem Zusammenhang damit, wie sich der Benutzer anmeldet, welche Verzeichnisrolle er hat usw. Die Eigenschaft gibt einfach nur die Beziehung des Benutzers zur Hostorganisation an und ermöglicht der Organisation, Richtlinien basierend auf dieser Eigenschaft zu erzwingen.
Identities
Diese Eigenschaft gibt den primären Identitätsanbieter des Benutzers an. Benutzer*innen können mehrere Identitätsanbieter haben, die angezeigt werden können, indem der Link neben Identitäten im Benutzerprofil ausgewählt oder die Identitätseigenschaft über die Microsoft Graph-API abgefragt wird.
| Identitätseigenschaftswert | Anmeldestatus |
|---|---|
| Externer Microsoft Entra-Mandant | Diese Benutzer*innen befinden sich in einer externen Organisation und authentifizieren sich mit einem Microsoft Entra-Konto, das zur anderen Organisation gehört. |
| Microsoft-Konto | Dieser Benutzer befindet sich in einem Microsoft-Konto und authentifiziert sich mit einem Microsoft-Konto. |
| {Host-Domäne} | Diese Benutzer*innen authentifizieren sich mit einem Microsoft Entra-Konto, das zu dieser Organisation gehört. |
| google.com | Diese*r Benutzer*in verfügt über ein Gmail-Konto und hat sich mithilfe von Self-Service bei der anderen Organisation angemeldet. |
| facebook.com | Diese*r Benutzer*in verfügt über ein Facebook-Konto und hat sich mithilfe von Self-Service bei der anderen Organisation angemeldet. |
| Dieser Benutzer hat sich mit einem Einmal-Passcode per E-Mail über Microsoft Entra registriert. | |
| {Aussteller-URI} | Diese Benutzer*innen befinden sich in einer externen Organisation, die als Identitätsanbieter nicht Microsoft Entra ID, sondern einen SAML/WS-Fed-basierten Identitätsanbieter verwendet. |
Können Microsoft Entra B2B-Benutzer*innen als Mitglieder statt als Gäste hinzugefügt werden?
Üblicherweise sind die Begriffe „Microsoft Entra B2B-Benutzer“ und „Gastbenutzer“ synonym. Daher wird ein Benutzer von Microsoft Entra B2B Collaboration standardmäßig als „UserType = Guest“ hinzugefügt. In einigen Fällen ist eine Partnerorganisation jedoch Teil einer größeren Organisation, zu der auch die Hostorganisation gehört. Hierbei betrachtet die Hostorganisation die Benutzer der Partnerorganisation eher als Mitglieder, nicht als Gäste. Verwenden Sie die Microsoft Entra-Benutzereigenschaften, um den Benutzertyp von „Gast“ in „Mitglied“ zu ändern.
Filtern nach Gastbenutzern im Verzeichnis
Konvertieren des Benutzertyps
Mithilfe von PowerShell kann die Eigenschaft „UserType“ von „Mitglied“ in „Gast“ geändert werden und umgekehrt. Die Eigenschaft „UserType“ gibt jedoch die Beziehung eines Benutzers zu der Organisation an. Daher sollten Sie diese Eigenschaft nur ändern, wenn sich die Beziehung des Benutzers zur Organisation ändert. Wenn sich die Beziehung des Benutzers ändert, muss dann der Benutzerprinzipalname (UPN) geändert werden? Soll der Benutzer weiterhin Zugriff auf die gleichen Ressourcen haben? Muss ein Postfach zugewiesen werden? Es empfiehlt sich nicht, die Eigenschaft „UserType“ in PowerShell als alleinige Aktivität zu ändern. Wenn diese Eigenschaft durch die Verwendung von PowerShell unveränderlich wird, empfiehlt es sich nicht, Abhängigkeiten von diesem Wert einzurichten.
Aufheben von Einschränkungen für Gastbenutzer
Es gibt eine Vielzahl von Situationen, in denen Sie Ihren Gastbenutzern höhere Berechtigungen einräumen möchten. Sie können Gastbenutzer beliebigen Rollen hinzufügen und sogar die standardmäßigen Einschränkungen für Gastbenutzer im Verzeichnis aufheben, um diesen die gleichen Berechtigungen zu gewähren wie Mitgliedern. Sie können die standardmäßigen Einschränkungen aufheben, sodass Gastbenutzer im Unternehmensverzeichnis die gleichen Berechtigungen erhalten wie Mitgliedsbenutzer. Entfernen Sie die Einschränkung in den Benutzereinstellungen im Menü von Microsoft Entra ID.
Dynamische Gruppen und Microsoft Entra B2B Collaboration
Was sind dynamische Gruppen?
Die dynamische Konfiguration der Mitgliedschaft in Sicherheitsgruppen für Microsoft Entra ID ist im Azure-Portal verfügbar. Administratoren können Regeln einrichten, um in Microsoft Entra ID erstellte Gruppen anhand von Benutzerattributen (z. B. Benutzertyp, Abteilung oder Land/Region) aufzufüllen. Mitglieder können auf der Grundlage ihrer Attribute automatisch zu einer Sicherheitsgruppe hinzugefügt oder daraus entfernt werden. Diese Gruppen können Zugriff auf Anwendungen oder Cloudressourcen (SharePoint-Websites, Dokumente) gewähren oder den Mitgliedern Lizenzen zuweisen.
Für die Erstellung und Verwendung dynamischer Gruppen wird die passende Microsoft Entra ID-Lizenzierung benötigt, das heißt Premium P1 oder P2.