Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die rollenbasierte Azure-Zugriffssteuerung (Azure RBAC) ermöglicht eine bessere Sicherheitsverwaltung für große Organisationen und für kleine und mittelständische Unternehmen, die mit externen Mitarbeitern, Lieferanten oder Freiberuflern zusammenarbeiten, die Zugriff auf bestimmte Ressourcen in Ihrer Umgebung benötigen, aber nicht notwendigerweise auf die gesamte Infrastruktur oder abrechnungsbezogene Bereiche. Sie können die Funktionen in Microsoft Entra B2B verwenden, um mit externen Benutzern zusammenzuarbeiten, und Sie können Azure RBAC verwenden, um nur die Berechtigungen zu erteilen, die externe Benutzer in Ihrer Umgebung benötigen.
Voraussetzungen
Um Azure-Rollen zuzuweisen oder Rollenzuweisungen zu entfernen, müssen Sie folgendes haben:
-
Microsoft.Authorization/roleAssignments/writeundMicrosoft.Authorization/roleAssignments/deleteBerechtigungen, wie z. B. Benutzerzugriffsadministrator oder Besitzer
Wann würden Sie externe Benutzer einladen?
Hier sind ein paar Beispielszenarien, in denen Sie Benutzer zu Ihrer Organisation einladen und Berechtigungen erteilen können:
- Zulassen, dass ein externer Selbständiger, der nur über ein E-Mail-Konto verfügt, auf Ihre Azure-Ressourcen für ein Projekt zugreifen kann.
- Zulassen, dass ein externer Partner bestimmte Ressourcen oder ein gesamtes Abonnement verwaltet.
- Erlauben Sie Supporttechnikern, die sich nicht in Ihrer Organisation befinden (z. B. Microsoft-Support), vorübergehend auf Ihre Azure-Ressource zuzugreifen, um Probleme zu beheben.
Berechtigungsunterschiede zwischen Mitgliedsbenutzern und Gastbenutzern
Benutzer eines Verzeichnisses mit Mitgliedstyp (Mitgliederbenutzer) haben standardmäßig unterschiedliche Berechtigungen als Benutzer, die aus einem anderen Verzeichnis als Gast für die B2B-Zusammenarbeit (Gastbenutzer) eingeladen wurden. Mitgliederbenutzer können beispielsweise fast alle Verzeichnisinformationen lesen, während Gastbenutzer über eingeschränkte Verzeichnisberechtigungen verfügen. Weitere Informationen zu Mitgliedsbenutzern und Gastbenutzern finden Sie unter What are the default user permissions in Microsoft Entra ID?.
Einladen eines externen Benutzers zu Ihrem Verzeichnis
Führen Sie die folgenden Schritte aus, um einen externen Benutzer zu Ihrem Verzeichnis in der Microsoft Entra-ID einzuladen.
Melden Sie sich beim Azure-Portal an.
Stellen Sie sicher, dass die Einstellungen für die externe Zusammenarbeit Ihrer Organisation so konfiguriert sind, dass Sie externe Benutzer einladen dürfen. Weitere Informationen finden Sie unter Konfigurieren der Einstellungen für die externe Zusammenarbeit.
Wählen Sie "Microsoft Entra-ID-Benutzer>"aus.
Wählen Sie Neuer Benutzer>Externer Benutzer einladen.
Führen Sie die Schritte aus, um einen externen Benutzer einzuladen. Weitere Informationen finden Sie unter Hinzufügen von Microsoft Entra B2B-Benutzern für die Zusammenarbeit im Azure-Portal.
Nachdem Sie einen externen Benutzer zum Verzeichnis eingeladen haben, können Sie dem externen Benutzer entweder einen direkten Link zu einer freigegebenen App senden, oder der externe Benutzer kann den Einladungslink in der Einladungs-E-Mail auswählen.
Damit der externe Benutzer auf Ihr Verzeichnis zugreifen kann, muss er den Einladungsprozess abschließen.
Weitere Informationen zum Einladungsprozess finden Sie unter Microsoft Entra B2B-Kollaborationseinladungseinlösung.
Zuweisen einer Rolle zu einem externen Benutzer
Wenn Sie in Azure RBAC Zugriff gewähren möchten, weisen Sie eine Rolle zu. Wenn Sie einem externen Benutzer eine Rolle zuweisen möchten, führen Sie dieselben Schritte wie für einen Mitgliedsbenutzer, eine Gruppe, einen Dienstprinzipal oder eine verwaltete Identität aus. Führen Sie die folgenden Schritte aus, um einem externen Benutzer eine Rolle in unterschiedlichen Bereichen zuzuweisen.
Melden Sie sich beim Azure-Portal an.
Suchen Sie im oberen Suchfeld nach dem Bereich, für den Sie Zugriff gewähren möchten. Suchen Sie beispielsweise nach Verwaltungsgruppen, Abonnements, Ressourcengruppen oder eine bestimmten Ressource.
Wählen Sie die gewünschte Ressource für diesen Bereich aus.
Wählen Sie Zugriffssteuerung (IAM) aus.
Die folgende Abbildung zeigt ein Beispiel der Seite „Zugriffssteuerung (IAM)“ für eine Ressourcengruppe.
Wählen Sie die Registerkarte Rollenzuweisungen aus, um die Rollenzuweisungen für diesen Bereich anzuzeigen.
Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen.
Wenn Sie keine Berechtigungen zum Zuweisen von Rollen besitzen, wird die Option " Rollenzuweisung hinzufügen " deaktiviert.
Die Seite " Rollenzuweisung hinzufügen " wird geöffnet.
Wählen Sie auf der Registerkarte "Rolle" eine Rolle wie "Mitwirkender für virtuelle Maschinen" aus.
Wählen Sie auf der Registerkarte " Mitglieder " die Option "Benutzer", "Gruppe" oder "Dienstprinzipal" aus.
Wählen Sie "Mitglieder auswählen" aus.
Suchen und wählen Sie den externen Benutzer aus. Wenn der Benutzer in der Liste nicht angezeigt wird, können Sie das Feld "Auswählen " eingeben, um das Verzeichnis nach Anzeigenamen oder E-Mail-Adresse zu durchsuchen.
Sie können im Feld Auswählen einen Begriff eingeben, um das Verzeichnis nach Anzeigename oder E-Mail-Adresse zu durchsuchen.
Wählen Sie "Auswählen" aus, um den externen Benutzer zur Mitgliederliste hinzuzufügen.
Wählen Sie auf der Registerkarte "Überprüfen+ Zuweisen" die Option "Überprüfen+ Zuweisen" aus.
Nach ein paar Momenten wird dem externen Benutzer die Rolle im ausgewählten Bereich zugewiesen.
Weisen Sie einem externen Benutzer, der sich noch nicht in Ihrem Verzeichnis befindet, eine Rolle zu
Wenn Sie einem externen Benutzer eine Rolle zuweisen möchten, führen Sie dieselben Schritte wie für einen Mitgliedsbenutzer, eine Gruppe, einen Dienstprinzipal oder eine verwaltete Identität aus.
Wenn sich der externe Benutzer noch nicht in Ihrem Verzeichnis befindet, können Sie den Benutzer direkt aus dem Bereich "Mitglieder auswählen" einladen.
Melden Sie sich beim Azure-Portal an.
Suchen Sie im oberen Suchfeld nach dem Bereich, für den Sie Zugriff gewähren möchten. Suchen Sie beispielsweise nach Verwaltungsgruppen, Abonnements, Ressourcengruppen oder eine bestimmten Ressource.
Wählen Sie die gewünschte Ressource für diesen Bereich aus.
Wählen Sie Zugriffssteuerung (IAM) aus.
Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen.
Wenn Sie keine Berechtigungen zum Zuweisen von Rollen besitzen, wird die Option " Rollenzuweisung hinzufügen " deaktiviert.
Die Seite " Rollenzuweisung hinzufügen " wird geöffnet.
Wählen Sie auf der Registerkarte "Rolle" eine Rolle wie "Mitwirkender für virtuelle Maschinen" aus.
Wählen Sie auf der Registerkarte " Mitglieder " die Option "Benutzer", "Gruppe" oder "Dienstprinzipal" aus.
Wählen Sie "Mitglieder auswählen" aus.
Geben Sie im Feld "Auswählen " die E-Mail-Adresse der Person ein, die Sie einladen möchten, und wählen Sie diese Person aus.
Wählen Sie "Auswählen" aus, um den externen Benutzer zur Mitgliederliste hinzuzufügen.
Wählen Sie auf der Registerkarte "Überprüfen+ Zuweisen" die Option "Überprüfen" aus, um den externen Benutzer zu Ihrem Verzeichnis hinzuzufügen, die Rolle zuzuweisen und eine Einladung zu senden.
Nach ein paar Augenblicken wird eine Benachrichtigung über die Rollenzuweisung und Informationen zur Einladung angezeigt.
Um den externen Benutzer manuell einzuladen, klicken Sie mit der rechten Maustaste, und kopieren Sie den Einladungslink in die Benachrichtigung. Wählen Sie den Einladungslink nicht aus, da er den Einladungsprozess startet.
Der Einladungslink hat das folgende Format:
https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...Senden Sie den Einladungslink an den externen Benutzer, um den Einladungsprozess abzuschließen.
Weitere Informationen zum Einladungsprozess finden Sie unter Microsoft Entra B2B-Kollaborationseinladungseinlösung.
Entfernen eines externen Benutzers aus Ihrem Verzeichnis
Bevor Sie einen externen Benutzer aus einem Verzeichnis entfernen, sollten Sie zunächst alle Rollenzuweisungen für diesen externen Benutzer entfernen. Führen Sie die folgenden Schritte aus, um einen externen Benutzer aus einem Verzeichnis zu entfernen.
Öffnen Sie Access Control (IAM) in einem Geltungsbereich, wie beispielsweise einer Verwaltungsgruppe, einem Abonnement, einer Ressourcengruppe oder Ressource, in dem der externe Benutzer eine Rollenzuweisung hat.
Wählen Sie die Registerkarte "Rollenzuweisungen " aus, um alle Rollenzuweisungen anzuzeigen.
Fügen Sie in der Liste der Rollenzuweisungen ein Häkchen neben dem externen Benutzer mit der Rollenzuweisung hinzu, die Sie entfernen möchten.
Wählen Sie Entfernen aus.
Wählen Sie in der angezeigten Meldung "Rollenzuweisung entfernen" "Ja" aus.
Wählen Sie die Registerkarte Klassische Administratoren aus.
Wenn der externe Benutzer über eine Co-Administrator Zuweisung verfügt, fügen Sie ein Häkchen neben dem externen Benutzer hinzu, und wählen Sie "Entfernen" aus.
Wählen Sie in der linken Navigationsleiste "Microsoft Entra ID>Users" aus.
Wählen Sie den externen Benutzer aus, den Sie entfernen möchten.
Klicken Sie auf Löschen.
Wählen Sie in der angezeigten Löschnachricht "Ja" aus.
Troubleshoot
Externer Benutzer kann das Verzeichnis nicht durchsuchen
Externe Benutzer verfügen über eingeschränkte Verzeichnisberechtigungen. Beispielsweise können externe Benutzer das Verzeichnis nicht durchsuchen und nicht nach Gruppen oder Anwendungen suchen. Weitere Informationen finden Sie unter Was sind die Standardbenutzerberechtigungen in Microsoft Entra ID?.
Wenn ein externer Benutzer zusätzliche Berechtigungen im Verzeichnis benötigt, können Sie dem externen Benutzer eine Microsoft Entra-Rolle zuweisen. Wenn Sie wirklich möchten, dass ein externer Benutzer volllesezugriff auf Ihr Verzeichnis hat, können Sie den externen Benutzer der Rolle "Verzeichnisleser " in der Microsoft Entra-ID hinzufügen. Weitere Informationen finden Sie unter Hinzufügen von Microsoft Entra B2B-Benutzern für die Zusammenarbeit im Azure-Portal.
Externe Benutzer können keine Benutzer, Gruppen oder Dienstprinzipale durchsuchen, um Rollen zuzuweisen.
Externe Benutzer verfügen über eingeschränkte Verzeichnisberechtigungen. Selbst wenn ein externer Benutzer ein Besitzer in einem Bereich ist, kann er die Liste der Benutzer, Gruppen oder Dienstprinzipale nicht durchsuchen, wenn er versucht, eine Rolle zuzuweisen, um einer anderen Person Zugriff zu gewähren.
Wenn der externe Benutzer den genauen Anmeldenamen im Verzeichnis kennt, kann er Zugriff gewähren. Wenn Sie wirklich möchten, dass ein externer Benutzer volllesezugriff auf Ihr Verzeichnis hat, können Sie den externen Benutzer der Rolle "Verzeichnisleser " in der Microsoft Entra-ID hinzufügen. Weitere Informationen finden Sie unter Hinzufügen von Microsoft Entra B2B-Benutzern für die Zusammenarbeit im Azure-Portal.
Externer Benutzer kann keine Anwendungen registrieren oder Dienstprinzipale erstellen
Externe Benutzer verfügen über eingeschränkte Verzeichnisberechtigungen. Wenn ein externer Benutzer Anwendungen registrieren oder Dienstprinzipale erstellen kann, können Sie den externen Benutzer zur Rolle "Anwendungsentwickler " in der Microsoft Entra-ID hinzufügen. Weitere Informationen finden Sie unter Hinzufügen von Microsoft Entra B2B-Benutzern für die Zusammenarbeit im Azure-Portal.
Der externe Benutzer sieht das neue Verzeichnis nicht.
Wenn einem externen Benutzer Zugriff auf ein Verzeichnis gewährt wurde, aber das neue Verzeichnis im Azure-Portal nicht angezeigt wird, wenn er versucht, auf der Seite "Verzeichnisse " zu wechseln, stellen Sie sicher, dass der externe Benutzer den Einladungsprozess abgeschlossen hat. Weitere Informationen zum Einladungsprozess finden Sie unter Microsoft Entra B2B-Kollaborationseinladungseinlösung.
Externer Benutzer sieht keine Ressourcen
Wenn einem externen Benutzer Zugriff auf ein Verzeichnis gewährt wurde, aber die Ressourcen, auf die er im Azure-Portal Zugriff gewährt hat, nicht angezeigt wird, stellen Sie sicher, dass der externe Benutzer das richtige Verzeichnis ausgewählt hat. Ein externer Benutzer hat möglicherweise Zugriff auf mehrere Verzeichnisse. Um Verzeichnisse zu wechseln, wählen Sie oben links " Einstellungen>", und wählen Sie dann das entsprechende Verzeichnis aus.
