Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Verständnis der Zusammenarbeit trägt dazu bei, den externen Zugriff auf Ihre Ressourcen zu sichern. Verwenden Sie die Informationen in diesem Artikel, um die externe Zusammenarbeit in die Zusammenarbeit mit Microsoft Entra B2B zu verschieben.
- Siehe Übersicht über die B2B-Zusammenarbeit
- Informationen zu: Externe Identitäten in Microsoft Entra ID
Bevor Sie anfangen
Dieser Artikel ist Nummer 5 in einer Reihe von 10 Artikeln. Es empfiehlt sich, die Artikel der Reihe nach zu lesen. Wechseln Sie zum Abschnitt "Nächste Schritte ", um die gesamte Datenreihe anzuzeigen.
Steuern der Zusammenarbeit
Sie können die Organisationen einschränken, mit denen Ihre Benutzer zusammenarbeiten (eingehend und ausgehend), und wer in Ihrer Organisation Gäste einladen kann. Die meisten Organisationen erlauben es Geschäftseinheiten, über die Zusammenarbeit zu entscheiden und die Genehmigung und Aufsicht zu delegieren. Beispielsweise erlauben Organisationen in Behörden, Bildung und Finanzen häufig keine offene Zusammenarbeit. Sie können Microsoft Entra-Features verwenden, um die Zusammenarbeit zu steuern.
Um den Zugriff auf Ihren Mandanten zu steuern, stellen Sie eine oder mehrere der folgenden Lösungen bereit:
- Einstellungen für die externe Zusammenarbeit – Einschränken der E-Mail-Domänen, zu denen Einladungen eingeladen werden
- Mandantenübergreifende Zugriffseinstellungen – Steuern des Anwendungszugriffs durch Gäste nach Benutzer, Gruppe oder Mandant (eingehend). Steuerung von externen Microsoft Entra-Mandanten und Anwendungszugriffen für Benutzer (ausgehend).
- Verbundene Organisationen – Bestimmen, welche Organisationen Zugriffspakete in der Berechtigungsverwaltung anfordern können
Ermitteln von Zusammenarbeitspartnern
Dokumentieren Sie bei Bedarf die Organisationen, mit denen Sie zusammenarbeiten, und die Domänen der Benutzer der Organisation. Domänenbasierte Einschränkungen können unpraktisch sein. Ein Partner für die Zusammenarbeit kann über mehrere Domänen verfügen, und ein Partner kann Domänen hinzufügen. Beispielsweise kann ein Partner mit mehreren Geschäftseinheiten, mit separaten Domänen, weitere Domänen hinzufügen, während sie die Synchronisierung konfigurieren.
Wenn Ihre Benutzer Microsoft Entra B2B verwenden, können Sie die externen Microsoft Entra-Mandanten ermitteln, mit denen sie zusammenarbeiten, indem Sie die Anmeldeprotokolle, PowerShell oder eine Arbeitsmappe verwenden. Weitere Informationen:
Sie können die zukünftige Zusammenarbeit mit:
- Externe Organisationen – am inklusivsten
- Externe Organisationen, aber keine abgelehnten Organisationen
- Bestimmte externe Organisationen – restriktivste
Hinweis
Wenn Ihre Einstellungen für die Zusammenarbeit streng restriktiv sind, gehen Ihre Benutzer möglicherweise außerhalb des Frameworks für die Zusammenarbeit. Wir empfehlen, eine breitere Zusammenarbeit zu ermöglichen, soweit es Ihre Sicherheitsanforderungen erlauben.
Begrenzungen auf eine einzige Domäne können die autorisierte Zusammenarbeit mit Organisationen verhindern, die über andere, nicht verwandte Domänen verfügen. Beispielsweise könnte der erste Kontaktpunkt mit Contoso ein US-basierter Mitarbeiter mit E-Mail sein, der über eine .com Domäne verfügt. Wenn Sie jedoch nur die .com Domäne zulassen, können Sie kanadische Mitarbeiter, die über die .ca Domäne verfügen, weglassen.
Sie können bestimmte Zusammenarbeitspartner für eine Teilmenge von Benutzern zulassen. Eine Universität könnte beispielsweise Studentenkonten den Zugriff auf externe Mandanten einschränken, aber den Lehrkräften die Zusammenarbeit mit externen Organisationen ermöglichen.
Zulassungsliste und Blockliste mit Einstellungen für die externe Zusammenarbeit
Sie können eine Zulassungsliste oder Blockliste für Organisationen verwenden. Sie können eine Zulassungsliste oder eine Blockliste verwenden, nicht beide.
- Freigabeliste – Beschränken Sie die Zusammenarbeit auf eine Liste von Domains. Andere Domänen befinden sich in der Blockliste.
- Blockliste – Zusammenarbeit mit Domänen zulassen, die nicht in der Blockliste vorhanden sind
Weitere Informationen: Zulassen oder Blockieren von Einladungen für B2B-Benutzer aus bestimmten Organisationen
Von Bedeutung
Zulassungslisten und Blocklisten gelten nicht für Benutzer in Ihrem Verzeichnis. Standardmäßig gelten sie nicht für OneDrive for Business- und SharePoint-Zulassungslisten oder Blocklisten; diese Listen sind getrennt. Sie können jedoch SharePoint-OneDrive B2B-Integration aktivieren.
Einige Organisationen verfügen über eine Blockliste mit ungültigen Akteurdomänen von einem verwalteten Sicherheitsanbieter. Wenn die Organisation beispielsweise mit Contoso geschäftet und eine .com Domäne verwendet, kann eine nicht verknüpfte Organisation die .org Domäne verwenden und einen Phishingangriff versuchen.
Mandantenübergreifende Zugriffseinstellungen
Sie können den eingehenden und ausgehenden Zugriff über mandantenübergreifende Zugriffseinstellungen steuern. Darüber hinaus können Sie den Ansprüchen der Multifaktor-Authentifizierung, eines konformen Geräts und eines Microsoft Entra hybrid verbundenen Geräts (HAAJD) von externen Microsoft Entra-Mandanten vertrauen. Wenn Sie eine Organisationsrichtlinie konfigurieren, gilt sie für den Microsoft Entra-Mandanten und gilt unabhängig vom Domänensuffix für Benutzer in diesem Mandanten.
Sie können die Zusammenarbeit in microsoft-Clouds aktivieren, z. B. Microsoft Azure, betrieben von 21Vianet oder Azure Government. Ermitteln Sie, ob sich Ihre Zusammenarbeitspartner in einer anderen Microsoft Cloud befinden.
Weitere Informationen:
- Microsoft Azure, betrieben von 21Vianet
- Entwicklerhandbuch für Azure Government
- Konfigurieren Sie die Microsoft Cloud-Einstellungen für die B2B-Zusammenarbeit (Vorschau).
Sie können den eingehenden Zugriff auf bestimmte Mandanten (Allowlist) zulassen und die Standardrichtlinie festlegen, um den Zugriff zu blockieren. Erstellen Sie dann Organisationsrichtlinien, die den Zugriff nach Benutzer, Gruppe oder Anwendung zulassen.
Sie können den Zugriff auf Mandanten (Blockliste) blockieren. Legen Sie die Standardrichtlinie auf "Zulassen" fest, und erstellen Sie dann Organisationsrichtlinien, die den Zugriff auf einige Mandanten blockieren.
Hinweis
Mandantenübergreifende Zugriffseinstellungen, eingehender Zugriff verhindert nicht, dass Benutzer Einladungen senden oder verhindern, dass sie eingelöst werden. Sie steuert jedoch den Anwendungszugriff und ob ein Token an den Gastbenutzer ausgegeben wird. Wenn der Gast eine Einladung einlösen kann, blockiert die Richtlinie den Anwendungszugriff.
Um den Zugriff externer Organisationen zu steuern, konfigurieren Sie ausgehende Zugriffsrichtlinien ähnlich wie eingehenden Zugriff: Allowlist und Blockliste. Konfigurieren Sie standard- und organisationsspezifische Richtlinien.
Weitere Informationen: Konfigurieren der mandantenübergreifenden Zugriffseinstellungen für die B2B-Zusammenarbeit
Hinweis
Mandantenübergreifende Zugriffseinstellungen gelten für Microsoft Entra-Mandanten. Verwenden Sie externe Einstellungen für die Zusammenarbeit, um den Zugriff für Partner zu steuern, die keine Microsoft Entra-ID verwenden.
Berechtigungsverwaltung und verbundene Organisationen
Verwenden Sie die Berechtigungsverwaltung, um die automatische Steuerung des Gastlebenszyklus sicherzustellen. Erstellen Sie Zugriffspakete, und veröffentlichen Sie sie für externe Benutzer oder verbundene Organisationen, die Microsoft Entra-Mandanten und andere Domänen unterstützen. Wenn Sie ein Zugriffspaket erstellen, beschränken Sie den Zugriff auf verbundene Organisationen.
Erfahren Sie mehr: Was ist die Berechtigungsverwaltung?
Steuern des Zugriffs durch externe Benutzer
Um mit der Zusammenarbeit zu beginnen, laden Sie einen Partner ein, oder aktivieren Sie den Zugriff auf Ressourcen. Benutzer erhalten Zugriff durch:
- Microsoft Entra B2B-Zusammenarbeit: Einlösen von Einladungen
- Self-Service-Registrierung
- Beantragen des Zugriffspakets in der Berechtigungsverwaltung
Wenn Sie Microsoft Entra B2B aktivieren, können Sie Gastbenutzer mit Links und E-Mail-Einladungen einladen. Die Self-Service-Registrierung und das Veröffentlichen von Zugriffspaketen im Portal "Mein Zugriff" erfordern mehr Konfiguration.
Hinweis
Die Self-Service-Registrierung erzwingt keine Zulassungsliste oder Sperrliste in den Einstellungen für die externe Zusammenarbeit. Verwenden Sie stattdessen mandantenübergreifende Zugriffseinstellungen. Sie können Zulassungslisten und Blocklisten mithilfe von benutzerdefinierten API-Connectors in die Self-Service-Registrierung integrieren. Siehe Hinzufügen eines API-Connectors zu einem Benutzerablauf.
Einladungen für Gastbenutzer
Bestimmen Sie, wer Gastbenutzer für den Zugriff auf Ressourcen einladen kann.
- Am restriktivsten: Nur Administratoren und Benutzer mit der Rolle "Gastgeber" zulassen
- Weitere Informationen finden Sie unter Konfigurieren der Einstellungen für die externe Zusammenarbeit
- Wenn Sicherheitsanforderungen dies zulassen, erlauben Sie allen Member UserType, Gäste einzuladen
- Bestimmen, ob Gastbenutzertyp Gäste einladen kann
Gast ist das Standardmäßige Microsoft Entra B2B-Benutzerkonto.
Externe Benutzerinformationen
Verwenden Sie die Verwaltung von Microsoft Entra-Berechtigungen, um Fragen zu konfigurieren, die externe Benutzer beantworten. Die Fragen scheinen genehmigenden Personen zu helfen, eine Entscheidung zu treffen. Sie können Gruppen von Fragen für jede Zugriffspaketrichtlinie konfigurieren, sodass genehmigende Personen relevante Informationen für den Zugriff haben, den sie genehmigen. Bitten Sie z. B. Lieferanten um ihre Lieferantenvertragsnummer.
Weitere Informationen: Ändern von Genehmigungs- und Anforderungsinformationen für ein Zugriffspaket in der Berechtigungsverwaltung
Wenn Sie ein Self-Service-Portal verwenden, verwenden Sie API-Connectors zum Sammeln von Benutzerattributen während der Registrierung. Verwenden Sie die Attribute, um Zugriff zuzuweisen. Sie können benutzerdefinierte Attribute im Azure-Portal erstellen und sie in Ihren Self-Service-Registrierungsbenutzerflüssen verwenden. Diese Attribute mithilfe der Microsoft Graph-API lesen und schreiben.
Weitere Informationen:
- Verwenden von API-Connectors zum Anpassen und Erweitern der Self-Service-Registrierung
- Verwalten von Azure AD B2C mit Microsoft Graph
Problembehandlung bei Einladungseinlösung für Microsoft Entra-Benutzer
Eingeladene Gastbenutzer von einem Partner für die Zusammenarbeit können Probleme beim Einlösen einer Einladung haben. In der folgenden Liste finden Sie Gegenmaßnahmen.
- Die Benutzerdomäne befindet sich nicht auf einer Zulassungsliste.
- Die Einschränkungen des Wohnungsmieters des Partners verhindern die externe Zusammenarbeit
- Der Benutzer befindet sich nicht im Microsoft Entra-Partnermandanten. Beispielsweise befinden sich Benutzer bei contoso.com in Active Directory.
- Sie können Einladungen mit dem einmaligen E-Mail-Kennwort (OTP) einlösen.
- Siehe Einlösung der Microsoft Entra B2B-Zusammenarbeitseinladung
Zugriff externer Benutzer
Im Allgemeinen gibt es Ressourcen, die Sie für externe Benutzer freigeben können, und einige, die Sie nicht freigeben können. Sie können steuern, worauf externe Benutzer zugreifen können.
Weitere Informationen: Verwalten des externen Zugriffs mit Berechtigungsverwaltung
Standardmäßig sehen Gastbenutzer Informationen und Attribute zu Mandantenmitgliedern und anderen Partnern, einschließlich Gruppenmitgliedschaften. Erwägen Sie, den Zugriff externer Benutzer auf diese Informationen einzuschränken.
Wir empfehlen die folgenden Einschränkungen für Gastbenutzer:
- Einschränken des Gastzugriffs auf Browsergruppen und andere Eigenschaften im Verzeichnis
- Verwenden sie externe Einstellungen für die Zusammenarbeit, um Gäste vor Lesegruppen zu beschränken, deren Mitglieder sie nicht sind.
- Blockieren des Zugriffs auf nur Mitarbeiter-Apps
- Erstellen einer Richtlinie für bedingten Zugriff zum Blockieren des Zugriffs auf integrierte Microsoft Entra-Anwendungen für Nicht-Gastbenutzer
- Blockieren des Zugriffs auf das Azure-Portal
- Sie können erforderliche Ausnahmen vornehmen.
- Erstellen Sie eine Richtlinie für bedingten Zugriff mit allen Gast- und externen Benutzern. Implementieren Sie eine Richtlinie, um den Zugriff zu blockieren.
Weitere Informationen: Bedingter Zugriff: Cloud-Apps, Aktionen und Authentifizierungskontext
Entfernen von Benutzern, die keinen Zugriff benötigen
Richten Sie einen Prozess ein, um Benutzer zu überprüfen und zu entfernen, die keinen Zugriff benötigen. Fügen Sie externe Benutzer als Gäste und Benutzer mit Mitgliedskonten in Ihren Mandanten ein.
Weitere Informationen: Verwenden der Microsoft Entra ID Governance zum Überprüfen und Entfernen externer Benutzer, die keinen Ressourcenzugriff mehr haben
Einige Organisationen fügen externe Benutzer als Mitglieder hinzu (Lieferanten, Partner und Auftragnehmer). Zuweisen eines Attributs oder Benutzernamens:
- Lieferanten - v-alias@contoso.com
- Partner - p-alias@contoso.com
- Auftragnehmer - c-alias@contoso.com
Bewerten Sie externe Benutzer mit Mitgliedskonten, um den Zugriff zu bestimmen. Möglicherweise haben Sie Gastbenutzer nicht über die Berechtigungsverwaltung oder Microsoft Entra B2B eingeladen.
So suchen Sie diese Benutzer:
- Verwenden von Microsoft Entra ID Governance zum Überprüfen und Entfernen externer Benutzer, die keinen Ressourcenzugriff mehr haben
- Verwenden eines PowerShell-Beispielskripts für access-reviews-samples/ExternalIdentityUse/
Übergang aktueller externer Benutzer zu Microsoft Entra B2B
Wenn Sie Microsoft Entra B2B nicht verwenden, haben Sie wahrscheinlich Nicht-Mitarbeiterbenutzer in Ihrem Mandanten. Es wird empfohlen, diese Konten auf externe Microsoft Entra B2B-Benutzerkonten umzustellen und dann deren UserType in "Gast" zu ändern. Verwenden Sie microsoft Entra ID und Microsoft 365, um externe Benutzer zu verarbeiten.
Einschließen oder Ausschließen:
- Gastbenutzer in Richtlinien für bedingten Zugriff
- Gastbenutzer in Zugriffspaketen und Zugriffsüberprüfungen
- Externer Zugriff auf Microsoft Teams, SharePoint und andere Ressourcen
Sie können diese internen Benutzer migrieren und dabei den aktuellen Zugriff, die Benutzerprinzipalnamen (UPN) und die Gruppenmitgliedschaften beibehalten.
Weitere Informationen: Einladen externer Benutzer zur B2B-Zusammenarbeit
Außerbetriebnahme von Zusammenarbeitsmethoden
Um den Übergang zur gesteuerten Zusammenarbeit abzuschließen, werden unerwünschte Zusammenarbeitsmethoden außer Betrieb genommen. Die Außerbetriebnahme basiert auf dem Maß an Kontrolle, das bei der Zusammenarbeit ausgeübt wird, und der Sicherheitslage. Siehe Bestimmen Sie Ihre Sicherheitslage für externen Zugriff.
Microsoft Teams-Einladung
Standardmäßig lässt Microsoft Teams den externen Zugriff zu. Die Organisation kann mit externen Domänen kommunizieren. Um Domänen für Teams einzuschränken oder zuzulassen, verwenden Sie das Teams Admin Center.
Freigabe über SharePoint und OneDrive
Durch die Freigabe in SharePoint und OneDrive werden Benutzer hinzugefügt, die sich nicht im Berechtigungsverwaltungsprozess befinden.
- Schützen des externen Zugriffs auf Microsoft Teams, SharePoint und OneDrive for Business
- OneDrive-Verwendung von Office blockieren
E-Mail-Dokumente und Vertraulichkeitsbezeichnungen
Benutzer senden Dokumente per E-Mail an externe Benutzer. Sie können Vertraulichkeitsbezeichnungen verwenden, um den Zugriff auf Dokumente einzuschränken und zu verschlüsseln.
Weitere Informationen zu Vertraulichkeitsbezeichnungen finden Sie unter "Informationen zu Vertraulichkeitsbezeichnungen".
Nicht genehmigte Tools für die Zusammenarbeit
Einige Benutzer verwenden wahrscheinlich Google Docs, Dropbox, Slack oder Zoom. Sie können die Verwendung dieser Tools innerhalb eines Unternehmensnetzwerks, auf der Ebene der Firewall und mit Mobile Application Management für von der Organisation verwaltete Geräte blockieren. Diese Aktion blockiert jedoch sanktionierte Instanzen und blockiert nicht den Zugriff von nicht verwalteten Geräten. Blockieren Sie tools, die Sie nicht benötigen, und erstellen Sie Richtlinien für keine nicht genehmigte Verwendung.
Weitere Informationen zur Verwaltung von Anwendungen finden Sie unter:
Nächste Schritte
In der folgenden Artikelserie erfahren Sie, wie Sie den externen Zugriff auf Ressourcen sichern können. Wir empfehlen Ihnen, die Artikel in der angegebenen Reihenfolge zu lesen.
Ermitteln Des Sicherheitsstatus für den externen Zugriff mit der Microsoft Entra-ID
Ermitteln des aktuellen Status der externen Zusammenarbeit in Ihrer Organisation
Erstellen eines Sicherheitsplans für den externen Zugriff auf Ressourcen
Sichern Sie den externen Zugriff mit Gruppen in Microsoft Entra ID und Microsoft 365
Übergang zur gesteuerten Zusammenarbeit mit Microsoft Entra B2B-Zusammenarbeit (Sie sind hier)
Verwalten des externen Zugriffs mit der Verwaltung von Microsoft Entra-Berechtigungen
Verwalten des externen Zugriffs auf Ressourcen mit Richtlinien für bedingten Zugriff
Konvertieren lokaler Gastkonten in Microsoft Entra B2B-Gastkonten