Freigeben über

Einlösen der Einladung für die B2B-Zusammenarbeit

Gilt für: Grüner Kreis mit einem weißen Häkchensymbol, das angibt, dass der folgende Inhalt für Mitarbeiter(-)Mandanten gilt. Mitarbeiter(-)Mandanten (weitere Informationen)

In diesem Artikel wird der Einlösungsprozess für Microsoft Entra B2B-Einladungen für Gastbenutzer erläutert, einschließlich der Art, wie sie auf Ihre Ressourcen zugreifen und die erforderlichen Zustimmungsschritte ausführen. Unabhängig davon, ob Sie eine Einladungs-E-Mail senden oder einen direkten Link angeben, werden Gäste durch einen sicheren Anmelde- und Zustimmungsprozess geführt, um die Einhaltung der Datenschutzbedingungen und Nutzungsbedingungen Ihrer Organisation sicherzustellen.

Wenn Sie Ihrem Verzeichnis einen Gastbenutzer hinzufügen, verfügt das Gastbenutzerkonto über einen Zustimmungsstatus (sichtbar in PowerShell), der anfänglich auf "PendingAcceptance" festgelegt ist. Diese Einstellung bleibt bestehen, bis der Gast Ihre Einladung annimmt und Ihrer Datenschutzerklärung und Ihren Nutzungsbedingungen zustimmt. Danach ändert sich der Zustimmungsstatus in Accepted (Akzeptiert), und die Zustimmungsseiten werden dem Gast nicht mehr angezeigt.

Wichtig

  • Wenn Microsoft Entra B2B-Kunden ab dem 12. Juli 2021 neue Google-Integrationen für die Verwendung mit der Self-Service-Registrierung ihrer benutzerdefinierten oder branchenspezifischen Anwendungen konfigurieren, funktioniert die Authentifizierung mit Google-Identitäten erst, wenn Authentifizierungen zu System-Webansichten verschoben werden. Erfahren Sie mehr
  • Ab dem 30. September 2021 wird Google die Unterstützung für die Anmeldung in der eingebetteten Webansicht einstellen. Wenn Ihre Apps Benutzer mit einer eingebetteten Webansicht authentifizieren und Sie den Google-Verbund mit Azure AD B2C oder Microsoft Entra B2B für externe Benutzereinladungen oder die Self-Service-Registrierung verwenden, können sich Google Gmail-Benutzer nicht authentifizieren. Erfahren Sie mehr
  • Die Einmalige E-Mail-Kennungsfunktion ist jetzt für alle neuen Mandanten und für alle vorhandenen Mandanten, für die Sie sie nicht explizit deaktiviert haben, standardmäßig aktiviert. Wenn diese Funktion deaktiviert ist, fordert die alternative Authentifizierungsmethode eingeladene Personen auf, ein Microsoft-Konto zu erstellen.

Einlösung und Anmeldung über einen gemeinsamen Endpunkt

Gastbenutzer können sich jetzt über einen gemeinsamen Endpunkt (URL, z. B. https://myapps.microsoft.com) bei Ihren mehrinstanzenfähigen Anwendungen oder Microsoft-Erstanbieter-Apps anmelden. Bisher wurden Gastbenutzende über eine gemeinsame URL zur Authentifizierung an den Basismandanten und nicht an den Ressourcenmandanten geleitet, sodass ein mandantenspezifischer Link erforderlich war (z. B. https://myapps.microsoft.com/?tenantid=<tenant id>). Jetzt kann ein Gastbenutzer zur gemeinsamen URL der Anwendung wechseln, dann Anmeldeoptionen und danach Bei einer Organisation anmelden auswählen. Die Benutzer*innen geben dann den Namen Ihrer Organisation ein.

Screenshot des Microsoft Entra B2B-Einlösungsflussdiagramms für Einladungen.

Der Benutzer wird dann an Ihren mandantenspezifischen Endpunkt umgeleitet, in dem er sich entweder mit seiner E-Mail-Adresse anmelden oder einen von Ihnen konfigurierten Identitätsanbieter auswählen kann.

Geben Sie als Alternative zur allgemeinen URL der Einladungs-E-Mail oder einer Anwendung einem Gast einen direkten Link zu Ihrer App oder Ihrem Portal. Fügen Sie zuerst den Gastbenutzer über das Microsoft Entra Admin Center oder PowerShell zu Ihrem Verzeichnis hinzu. Verwenden Sie dann eine der anpassbaren Methoden zum Bereitstellen von Anwendungen für Benutzer, einschließlich direkter Anmeldelinks. Wenn ein Gast einen direkten Link anstelle der Einladungs-E-Mail verwendet, führt der Link sie weiterhin durch die erstmalige Zustimmung.

Hinweis

Ein direkter Link ist mandantenspezifisch. Mit anderen Worten: Er enthält eine Mandanten-ID oder eine überprüfte Domäne, damit sich der Gast bei Ihrem Mandanten, in dem sich die freigegebene App befindet, authentifizieren kann. Hier sind einige Beispiele für direkte Links mit Mandantenkontext:

  • App-Zugriffsbereich: https://myapps.microsoft.com/?tenantid=<tenant id>
  • App-Zugriffsbereich für eine überprüfte Domäne: https://myapps.microsoft.com/<;verified domain>
  • Microsoft Entra Admin Center: https://entra.microsoft.com/<tenant id>
  • Einzelne App: Lesen Sie, wie ein direkter Anmeldelink verwendet wird.

Hier sind einige Punkte, die Sie bei der Verwendung eines direkten Links im Vergleich zu einer Einladungs-E-Mail beachten sollten:

  • E-Mail-Aliase: Gäste, die einen Alias der eingeladenen E-Mail-Adresse verwenden, benötigen eine E-Mail-Einladung. (Ein Alias ist eine zusätzliche E-Mail-Adresse, die einem E-Mail-Konto zugeordnet ist.) Der Benutzer muss die Einlösungs-URL in der Einladungs-E-Mail auswählen.

  • Widersprüchliche Kontaktobjekte: Der Einlösungsprozess verhindert Anmeldeprobleme, wenn ein Gastbenutzerobjekt mit einem Kontaktobjekt im Verzeichnis in Konflikt steht. Wenn Sie einen Gast mit einer E-Mail-Adresse hinzufügen oder einladen, die mit der eines vorhandenen Kontakts übereinstimmt, bleibt die proxyAddresses-Eigenschaft des Gastbenutzerobjekts leer. Zuvor durchsuchte die External-ID nur die Eigenschaft proxyAddresses, sodass die direkte Linkeinlösung fehlgeschlagen ist, da keine Übereinstimmung gefunden wurde. Nun werden bei einer externen ID sowohl die proxyAddresses-Eigenschaft als auch die E-Mail-Eigenschaft aus der Einladung durchsucht.

Einlösung über die Einladungs-E-Mail

Wenn Sie Ihrem Verzeichnis mithilfe des Microsoft Entra Admin Centers einen Gastbenutzer hinzufügen, wird eine Einladungs-E-Mail an den Gast gesendet. Sie können auch Einladungs-E-Mails senden, wenn Sie PowerShell verwenden , um Ihrem Verzeichnis Gastbenutzer hinzuzufügen. Hier ist eine Beschreibung der Erfahrung des Gasts, wenn er den Link in der E-Mail einlöst.

  1. Der Gast empfängt eine Einladungs-E-Mail , die im Auftrag von <primary domain> <invites@<primary domain>.onmicrosoft.com>Microsoft Einladungen stammt.
  2. Der Gast wählt Einladung annehmen in der E-Mail aus.
  3. Der Gast verwendet seine eigenen Anmeldeinformationen, um sich bei Ihrem Verzeichnis anzumelden. Wenn der Gast nicht über ein Konto verfügt, das mit Ihrem Verzeichnis verbunden werden kann und das E-Mail-Feature zur einmaligen Kennung (ONE-Time Passcode, OTP) nicht aktiviert ist, wird der Gast aufgefordert, ein persönliches Microsoft-Konto (MSA) zu erstellen. Ausführliche Informationen finden Sie unter Flow beim Einlösen der Einladung.
  4. Der Gast wird durch die im folgenden Abschnitt beschriebene Zustimmungserfahrung geführt.

Flow beim Einlösen der Einladung

Wenn ein Benutzer den Link " Einladung annehmen" in einer Einladungs-E-Mail auswählt, löst Die Microsoft Entra-ID die Einladung automatisch basierend auf der Standardeinlösungsbestellung ein:

Screenshot: Diagramm des Einlösungsprozesses

  1. Microsoft Entra ID führt eine benutzerbasierte Ermittlung durch, um festzustellen, ob der Benutzer bereits in einem verwalteten Microsoft Entra-Mandanten vorhanden ist. (Nicht verwaltete Microsoft Entra-Konten können nicht für den Einlösungsfluss verwendet werden.) Wenn der Benutzerprinzipalname (USER Principal Name, UPN) sowohl mit einem vorhandenen Microsoft Entra-Konto als auch mit einem persönlichen MSA übereinstimmt, wird der Benutzer aufgefordert, auszuwählen, mit welchem Konto er einlösen möchte.

  2. Wenn ein Administrator SAML/WS-Fed IdP-Partnerverbund aktiviert, überprüft Die Microsoft Entra-ID, ob das Domänensuffix des Benutzers mit der Domäne eines konfigurierten SAML/WS-Fed Identitätsanbieters übereinstimmt und den Benutzer an den vorkonfigurierten Identitätsanbieter weiterleitet.

  3. Wenn ein Administrator den Google-Partnerverbund aktiviert, überprüft die Microsoft Entra-ID, ob das Domänensuffix des Benutzers gmail.com oder googlemail.com ist und den Benutzer an Google weiterleitet.

  4. Beim Einlösungsprozess wird geprüft, ob der Benutzer bereits ein persönliches Microsoft-Konto (Microsoft Account, MSA) hat. Wenn der Benutzer bereits über eine vorhandene MSA verfügt, meldet er sich mit seiner vorhandenen MSA an.

  5. Sobald das Basisverzeichnis des Benutzers bestimmt wurde, wird der Benutzer zur Anmeldung an den entsprechenden Identitätsanbieter weitergeleitet.

  6. Wenn kein Stammverzeichnis gefunden wird und die Funktion „Einmalkennung per E-Mail“ für Gäste aktiviert ist, wird über die eingeladene E-Mail-Adresse eine Kennung an den Benutzer gesendet. Der Benutzer ruft diese Kennung ab und gibt sie auf der Anmeldeseite von Microsoft Entra ein.

  7. Wenn kein Stammverzeichnis gefunden wird und der Einmal-Passcode per E-Mail für Gäste deaktiviert ist, werden Benutzende aufgefordert, mit der eingeladenen E-Mail-Adresse ein Microsoft-Konto für Verbraucher zu erstellen. Wir unterstützen das Erstellen eines Microsoft-Kontos mit geschäftlichen E-Mail-Adressen in Domänen, die in Microsoft Entra ID nicht überprüft werden.

  8. Nach Authentifizierung beim richtigen Identitätsanbieter wird der Benutzer zu Microsoft Entra ID umgeleitet, um den Einwilligungsvorgang abzuschließen.

Konfigurierbare Einlösung

Mit konfigurierbarer Einlösung können Sie die Reihenfolge von Identitätsanbietern anpassen, die Gästen angezeigt werden, wenn sie Ihre Einladungen einlösen. Wenn ein Gast den Link Einladung annehmen auswählt, löst die Microsoft Entra-ID die Einladung automatisch basierend auf der Standardbestellung ein. Überschreiben Sie diese Reihenfolge, indem Sie die Einlösungsreihenfolge des Identitätsanbieters in Ihren mandantenübergreifenden Zugriffseinstellungen ändern.

Wenn sich ein Gast zum ersten Mal bei einer Ressource in einer Partnerorganisation anmeldet, wird die folgende Zustimmungserfahrung angezeigt. Der Gast sieht diese Zustimmungsseiten erst nach der Anmeldung, und sie werden überhaupt nicht angezeigt, wenn sie bereits akzeptiert wurden.

  1. Der Gast überprüft die Seite "Berechtigungen überprüfen" , auf der die Datenschutzbestimmungen der eingeladenen Organisation beschrieben werden. Um den Vorgang fortzusetzen, muss der Benutzer die Verwendung seiner Informationen gemäß den Datenschutzrichtlinien der eingeladenen Organisation akzeptieren .

    Indem Sie dieser Zustimmungsaufforderung zustimmen, bestätigen Sie, dass bestimmte Elemente Ihres Kontos geteilt werden. Diese Elemente umfassen Ihren Namen, Ihr Foto und Ihre E-Mail-Adresse sowie Verzeichnis-IDs, die von der anderen Organisation verwendet werden können, um Ihr Konto besser zu verwalten und ihre organisationsübergreifende Erfahrung zu verbessern.

    Screenshot: Seite „Berechtigungen überprüfen“

    Hinweis

    Informationen dazu, wie Sie als Mandantenadministrator einen Link zu den Datenschutzbestimmungen Ihrer Organisation einrichten, finden Sie unter Hinzufügen der Datenschutzinformationen Ihrer Organisation in Microsoft Entra ID.

  2. Wenn Nutzungsbedingungen konfiguriert sind, öffnet der Gast die Nutzungsbedingungen, überprüft sie und wählt Annehmen aus.

    Screenshot: Neue Nutzungsbedingungen.

    Sie können Nutzungsbedingungen unter External Identities>Nutzungsbedingungen konfigurieren.

  3. Sofern nicht anders angegeben, wird der Gast zum Zugriffsbereich für Apps weitergeleitet, der die Anwendungen auflistet, auf die der Gast zugreifen kann.

    Screenshot: Zugriffsbereich für Apps.

In Ihrem Verzeichnis ändert sich der Wert Invitation accepted (Einladung angenommen) des Gasts in Yes (Ja). Wenn ein MSA erstellt wurde, wird als Quelle des Gasts Microsoft-Konto angezeigt. Weitere Informationen zu den Eigenschaften des Gastbenutzerkontos finden Sie unter Eigenschaften eines Benutzers von Microsoft Entra B2B-Zusammenarbeit. Wenn beim Zugreifen auf eine Anwendung eine Fehlermeldung angezeigt wird, die besagt, dass eine Administratoreinwilligung erforderlich ist, lesen Sie Erteilen der Administratoreinwilligung für Apps.

Einstellung für die automatische Einlösung

Möglicherweise möchten Sie Einladungen automatisch einlösen, damit Benutzer die Zustimmungsaufforderung nicht akzeptieren müssen, wenn Sie sie einem anderen Mandanten für die B2B-Zusammenarbeit hinzufügen. Wenn Sie diese Einstellung konfigurieren, empfängt der B2B-Benutzer für die Zusammenarbeit eine Benachrichtigungs-E-Mail, für die keine Aktion erforderlich ist. Benutzer erhalten die Benachrichtigungs-E-Mail direkt und müssen nicht zuerst auf den Mandanten zugreifen, bevor sie die E-Mail erhalten.

Informationen zum automatischen Einlösen von Einladungen finden Sie unter Übersicht: Mandantenübergreifender Zugriff mit Azure AD External Identities und Konfigurieren mandantenübergreifender Zugriffseinstellungen für die B2B-Zusammenarbeit.

Nächste Schritte

  • Last updated on