Freigeben über

Übersicht über den B2B-Gastzugriff mit globalen sicheren Zugriff (Vorschau)

Organisationen arbeiten häufig mit externen Partnern wie Lieferanten und Auftragnehmern zusammen. Herkömmliche Lösungen zum Gewähren des Zugriffs auf interne Ressourcen für externe Benutzer fehlen in der Regel an Sichtbarkeit und granularen Sicherheitskontrollen. Global Secure Access, integriert in Microsoft Entra, löst diese Herausforderungen, indem vorhandene B2B-Gastidentitäten verwendet und erweiterte Sicherheitsfeatures wie bedingter Zugriff, kontinuierliche Zugriffsauswertung und mandantenübergreifende Vertrauensstellung bereitgestellt werden. Dieser Ansatz ermöglicht eine sichere, effiziente Verwaltung des externen Benutzerzugriffs, ohne Konten zu duplizieren oder einen komplexen Partnerverbund zu erfordern.

Mit dem Gastzugriffsfeature in Global Secure Access können Partner ihre eigenen Geräte und Identitäten verwenden, um sicher auf Unternehmensressourcen zuzugreifen. Es unterstützt byod-Szenarien (Bring Your Own Device, BYOD), erzwingt die mehrstufige Authentifizierung pro App und bietet einen nahtlosen mehrinstanzenbasierten Wechsel für Partnerbenutzer. Administratoren profitieren von der Einzelbereichsverwaltung für Identitäts-, Zugriffs- und Netzwerkrichtlinien, wodurch der Betriebsaufwand reduziert und die Governance verbessert wird. Integrierte Protokollierung und Telemetrie über Identitäts- und Netzwerkebene hinweg bieten vollständige Einblicke in Gastaktivitäten, um eine sichere und optimierte Erfahrung für die externe Zusammenarbeit sicherzustellen.

Von Bedeutung

Die Gastzugriffsfunktion befindet sich derzeit in der Preview-Version. Diese Informationen beziehen sich auf ein Vorabversionsprodukt, das vor seiner Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt keine Gewährleistungen, ausgedrückt oder impliziert, in Bezug auf die hier bereitgestellten Informationen.

Aktivieren des B2B-Gastzugriffs mit dem Global Secure Access-Client

Partner können das Gastzugriffsfeature mit dem Global Secure Access-Client aktivieren, der beim Microsoft Entra-ID-Konto ihrer Heimorganisation angemeldet ist. Der Global Secure Access-Client ermittelt automatisch Partnermandanten, bei denen der Benutzer Gast ist, und bietet die Möglichkeit, in den Mandantenkontext des Kunden zu wechseln. Gastbenutzer können nur auf zugewiesene Ressourcen zugreifen und nur dann, wenn sie im Private Access-Datenverkehrsweiterleitungsprofil des Ressourcenmandanten enthalten sind. Der Client leitet nur Datenverkehr für die privaten Anwendungen des Kunden über den Global Secure Access Service des Kunden weiter.

Diagramm des B2B-Gastzugriffs mit globalen sicheren Zugriff.

Voraussetzungen

Um den B2B-Gastzugriff mit dem Global Secure Access-Client zu aktivieren, müssen Sie folgendes haben:

  • Gastbenutzer, die im Ressourcenmandanten konfiguriert sind. Weitere Informationen finden Sie in den folgenden Artikeln:

  • Der globale Secure Access-Client, Version 2.24.117 oder höher, installiert und ausgeführt auf dem Gerät, das mit dem Heimmandanten verbunden ist. Informationen zum Installieren des globalen Secure Access-Clients finden Sie unter Installieren des globalen Secure Access-Clients für Microsoft Windows.

    Tipp

    Heimmandant benötigt keine globale Lizenz für sicheren Zugang.

  • Global Secure Access Private Access ist auf dem Ressourcenmandanten aktiviert. Konfigurieren Sie das Datenverkehrsweiterleitungsprofil für privaten Zugriff im Ressourcenmandanten, und weisen Sie das Profil Gastkonten zu.

  • Mindestens eine private Anwendung wurde konfiguriert und Gastkonten zugewiesen.

  • Die Gastzugriffs-Funktion wird auf dem Client aktiviert, indem Sie den folgenden Registrierungsschlüssel setzen:
    Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client

    Wert Typ Daten Description
    GastzugangAktiviert REG_DWORD 0x1 Der Gastzugriff ist auf diesem Gerät aktiviert.
    GastzugangAktiviert REG_DWORD 0x0 Der Gastzugriff ist auf diesem Gerät deaktiviert.

Administratoren können eine MDM-Lösung (Mobile Device Management, Verwaltung mobiler Geräte), z. B. Microsoft Intune oder Gruppenrichtlinien, verwenden, um die Registrierungswerte festzulegen.

Herstellen einer Verbindung mit dem Gastressourcenmandanten

Führen Sie die folgenden Schritte aus, um den B2B-Gastzugriff mit dem Global Secure Access-Client zu aktivieren:

  1. Starten Sie den globalen Secure Access-Client.
  2. Wechseln Sie den Client zum Gast-Ressourcenmandanten:
    1. Wählen Sie auf der Taskleiste das Symbol für den globalen Client für den sicheren Zugriff aus.
    2. Wählen Sie das Menü "Benutzer" (Profilbild) und dann den Gastressourcenmandanten aus der Liste aus.

      Tipp

      Der Heimmandant muss keinen Global Secure Access konfiguriert haben, damit dieser Schritt funktioniert.

    3. Stellen Sie sicher, dass Sie mit dem Gastressourcenmandanten verbunden sind. Wenn dies der Fall ist, zeigt die Globale Organisation für den sicheren Zugriff den Namen des Ressourcenmandanten an.
      Screenshot des Bereichs

Alle Global Secure Access Tunnels zu dem Home-Mandanten (wie Private Access, Internetzugang oder Microsoft 365-Tunneln) trennen sich und ein neuer Private Access-Tunnel wird zum Ressourcen-Mandanten erstellt. Sie sollten auf private Anwendungen zugreifen können, die im Ressourcenmandanten konfiguriert sind.

Zurück zum Heimmandanten wechseln

  1. Wählen Sie auf der Taskleiste das Symbol für den globalen Client für den sicheren Zugriff aus.
  2. Wählen Sie das Menü "Benutzer" (Profilbild) aus.
  3. Um zurück zu wechseln, wählen Sie den Heimmandanten aus der Liste aus.

Durch den Rückwechsel wird der Private Access-Tunnel vom Ressourcenmandanten getrennt und die konfigurierten Tunnel mit dem Heimmandanten verbunden.

Häufig gestellte Fragen (FAQ)

F: Werden mandantenübergreifende Signale wie MFA und Gerätecompliance unterstützt?
A: Ja, mandantenübergreifende Signale funktionieren mit der Gastzugriffsfunktion für globalen sicheren Zugriff.

F: Was ist die Lizenzanforderung für den Heimbenutzer?
A: Der Home-Mandant benötigt keine globale Lizenz für den sicheren Zugriff. Das Feature erfordert mindestens einen kostenlosen Microsoft Entra-Mandanten.

F: Werden sowohl Benutzertypen als auch Gast- und Mitgliedtypen unterstützt?
A: Ja. Die mandantenübergreifende Synchronisierung erstellt standardmäßig Gastbenutzer mit dem Benutzerstatus "userType = Member", und dieser Benutzertyp wird unterstützt.

F: Muss das Gerät für den Ressourcenmandanten registriert werden?
A: Nein, die Geräteregistrierung ist für den Ressourcenmandanten nicht erforderlich, damit der Gastzugriff funktioniert.

F: Kann ich MFA für den Ressourcenmandanten konfigurieren?
A: Ja, Sie können MFA für den Benutzer und die Anwendungen konfigurieren.

F: Wie greift ein Heimmandantenbenutzer (externer Mandant) auf eine lokale Ressource im Ressourcenmandanten zu, wenn die Ressource AD DS und Kerberos verwendet (z. B. eine Dateifreigabe oder eine kerberos-integrierte Anwendung)?
A: Dieses Szenario wird nicht unterstützt. Microsoft Entra B2B stellt keine Kerberos-Tickets bereit, und Global Secure Access Private Access proxy nicht Kerberos und unterstützt keine Kerberos Constrained Delegation (KCD). Gastbenutzer können daher nicht direkt auf lokale Ressourcen zugreifen, die Kerberos erfordern (z. B. SMB-Dateifreigaben oder Anwendungen mit integrierter Windows-Authentifizierung).
Bei Webanwendungen ist die einzige unterstützte Methode für B2B-Benutzer, auf Kerberos-gestützte lokale Apps zuzugreifen, die Veröffentlichung der App über den Anwendungsproxy mit KCD. Weitere Informationen finden Sie unter Konfigurieren von Single Sign-On mit eingeschränkter Kerberos-Delegierung.

Bekannte Einschränkungen

  • Der B2B-Gastzugriff unterstützt nicht das Beibehalten von InternetZugriff, Microsoft 365 und Microsoft Entra-Tunneln zum Heimmandanten.
  • Das Wechseln eines Kontos zum Ressourcenmandanten schlägt fehl, wenn der Ressourcenmandant für die erforderliche MFA in der mandantenübergreifenden Konfiguration konfiguriert ist und der Home-Mandant mit kennwortloser Anmeldung (PSI) in der Authentifikator-App konfiguriert ist.
  • Wenn bei den mandantenübergreifenden Einstellungen für den globalen sicheren Zugriff die Zugriffssteuerung aktiviert ist, wird der Zugriff nicht erlaubt, da Global Secure Access die Kontrolle über diese Anwendungen ausübt.
  • Wenn ein Benutzer den Mandanten wechselt, bleiben vorhandene aktive Anwendungsverbindungen, zum Beispiel über das Remotedesktopprotokoll (RDP), mit dem vorherigen Mandanten verbunden.

Aktivieren des B2B-Gastzugriffs für Azure Virtual Desktop und Windows 365

Sie können den globalen sicheren Zugriff auf Windows 365- und Azure Virtual Desktop-Instanzen aktivieren, die externe Identitäten unterstützen, um B2B-Gastzugriff bereitzustellen. Mit dieser Funktion können externe Benutzer – z. B. Gäste, Partner und Auftragnehmer – von anderen Organisationen sicher auf Ressourcen in Ihrem Mandanten (den Ressourcenmandanten) zugreifen. Als Ressourcenmandantenadministrator können Sie private Zugriffs-, Internetzugriffs- und Microsoft 365-Datenverkehrsrichtlinien für diese Drittanbieterbenutzer konfigurieren und so den sicheren und kontrollierten Zugriff auf die Ressourcen Ihrer Organisation sicherstellen.

Diagramm mit einer Übersicht über den B2B-Gastzugriff im globalen sicheren Zugriff.

Führen Sie die folgenden Schritte aus, um den B2B-Gastzugriff für virtuelle Windows 365- oder Azure Virtual Desktop(AVD)-Computer (VM) mit globalem sicherem Zugriff zu aktivieren:

  1. Konfigurieren Sie Ihre Windows 365- oder Azure Virtual Desktop-VM-Instanz so, dass externe ID-Verknüpfungen verwendet werden. Weitere Informationen finden Sie unter Configure external ID linking.

  2. Integrieren Sie Ihre Organisation in den globalen sicheren Zugriff. Weitere Informationen finden Sie in den Onboarding-Anweisungen.

  3. Richten Sie ein oder mehrere Profile für die Weiterleitung des globalen sicheren Zugriffs ein und weisen Sie diese Benutzern mit externen IDs zu. Weitere Informationen finden Sie unter Konfigurieren von Datenverkehrsweiterleitungsprofilen und Zuweisen von Benutzern zu Profilen.

  4. Installieren und konfigurieren Sie den globalen Secure Access-Client auf den virtuellen Computern. Weitere Informationen finden Sie im Installationshandbuch für den globalen Client für den sicheren Zugriff.

Nach der Konfiguration stellt der Global Secure Access-Client automatisch mithilfe der externen ID eine Verbindung mit dem Mandanten her, der der VM-Instanz zugeordnet ist.

Verwandte Inhalte

  • Last updated on