Allgemeine Überlegungen zur mandantenfähigen Benutzerverwaltung

  • Artikel

Dieser Artikel ist der dritte in einer Reihe von Artikeln, die Anleitungen für die Konfiguration und Bereitstellung von Benutzerlebenszyklusverwaltung in mandantenfähigen Microsoft Entra-Umgebungen enthalten. In den folgenden Artikeln der Reihe finden Sie weitere Informationen wie beschrieben.

Diese Anleitung hilft Ihnen, eine konsistente Benutzerlebenszyklusverwaltung zu erreichen. Die Lebenszyklusverwaltung umfasst das mandantenübergreifende Bereitstellen, Verwalten und Aufheben der Bereitstellung von Benutzer*innen mithilfe der verfügbaren Azure-Tools, einschließlich Microsoft Entra B2B Collaboration (B2B) und die mandantenübergreifende Synchronisierung.

Die Synchronisierungsanforderungen richten sich nach dem speziellen Bedarf Ihrer Organisation. Wenn Sie eine Lösung für die Anforderungen Ihrer Organisation entwerfen, können Ihnen die folgenden Überlegungen in diesem Artikel bei der Identifizierung der optimalen Möglichkeiten helfen.

  • Mandantenübergreifende Synchronisierung
  • Verzeichnisobjekt
  • Bedingter Microsoft Entra-Zugriff
  • Zusätzliche Zugriffssteuerung
  • Office 365

Mandantenübergreifende Synchronisierung

Die mandantenübergreifende Synchronisierung kann die Probleme der Zusammenarbeit und des Zugriffs in Organisationen mit mehreren Mandanten lösen. Die folgende Tabelle enthält häufige Anwendungsfälle für die Synchronisierung. Bei Anwendungsfällen, bei denen Überlegungen in Hinblick auf mehrere Zusammenarbeitsmuster eine Rolle spielen, können Sie sowohl die mandantenübergreifende Synchronisierung als auch die benutzerdefinierte Entwicklung verwenden.

Anwendungsfall Mandantenübergreifende Synchronisierung Benutzerdefinierte Entwicklung
Benutzerlebenszyklusverwaltung Häkchensymbol Häkchensymbol
Dateifreigabe und App-Zugriff Häkchensymbol Häkchensymbol
Unterstützung der Synchronisierung mit/aus Sovereign Clouds Häkchensymbol
Steuern der Synchronisierung aus dem Ressourcenmandanten Häkchensymbol
Synchronisierungsgruppenobjekte Häkchensymbol
Synchronisierungs-Manager-Links Häkchensymbol Häkchensymbol
Autoritätsquelle auf Attributebene Häkchensymbol
Microsoft Entra schreibt in Microsoft Windows Server Active Directory zurück Häkchensymbol

Überlegungen zu Verzeichnisobjekten

Einladen eines externen Benutzers mit UPN oder SMTP-Adresse

Microsoft Entra B2B erwartet, dass der UserPrincipalName (UPN) eines Benutzers die primäre Simple Mail Transfer Protocol (SMTP) (E-Mail) Adresse für den Versand von Einladungen ist. Wenn der UPN des Benutzers mit der primären SMTP-Adresse identisch ist, zeigt B2B die erwartete Funktion. Wenn die UPN jedoch von der primären SMTP-Adresse des externen Benutzenden abweicht, kann es sein, dass sie nicht aufgelöst wird, wenn ein Benutzender eine Einladung annimmt. Dieses Problem kann eine Herausforderung darstellen, wenn Sie den tatsächlichen UPN des Benutzenden nicht kennen. Sie müssen den UPN ermitteln und verwenden, wenn Sie Einladungen für B2B senden.

Im Abschnitt Microsoft Exchange Online dieses Artikels wird erläutert, wie Sie die standardmäßige primäre SMTP-Adresse für externe Benutzer ändern. Dieses Verfahren ist hilfreich, wenn alle E-Mails und Benachrichtigungen für einen externen Benutzer an die tatsächliche primäre SMTP-Adresse und nicht an den UPN gesendet werden sollen. Dies kann erforderlich sein, wenn die UPN nicht für den Nachrichtenfluss geroutet werden kann.

Konvertieren des Benutzertyps (UserType) eines externen Benutzers

Wenn Sie die Konsole zum manuellen Erstellen einer Einladung für ein externes Benutzerkonto verwenden, wird das Benutzerobjekt mit dem Typ „Gastbenutzer“ erstellt. Mit anderen Verfahren zum Erstellen von Einladungen können Sie statt einem externen Gastkonto einen anderen Benutzertyp festlegen. Wenn Sie die API verwenden, können Sie beispielsweise konfigurieren, ob es sich um ein externes Mitgliedskonto oder ein externes Gastkonto handelt.

Wenn Sie ein externes Gastkonto in ein externes Mitgliedsbenutzerkonto konvertieren, können Probleme bei der Behandlung von B2B-Konten durch Exchange Online auftreten. Sie können Konten, die Sie als externe Mitgliedsbenutzer eingeladen haben, nicht per E-Mail aktivieren. Um ein externes Mitgliedskonto per E-Mail zu aktivieren, verwenden Sie am besten den folgenden Ansatz.

  • Laden Sie die organisationsübergreifenden Benutzer als externe Gastbenutzerkonten ein.
  • Zeigen Sie die Konten in der GAL an.
  • Legen Sie „UserType“ auf „Member“ fest.

Wenn Sie diesen Ansatz verwenden, werden die Konten in Exchange Online und Office 365 als MailUser-Objekte angezeigt. Beachten Sie außerdem, dass es ein Timingproblem gibt. Stellen Sie sicher, dass der Benutzer in der GAL angezeigt wird. Überprüfen Sie dazu, ob die Microsoft Entra-Benutzereigenschaft „ShowInAddressList“ mit der Exchange Online PowerShell-Eigenschaft „HiddenFromAddressListsEnabled“ übereinstimmt (die beiden Eigenschaften verhalten sich umgekehrt zueinander). Der Abschnitt Microsoft Exchange Online dieses Artikels enthält weitere Informationen zum Ändern der Sichtbarkeit.

Es ist möglich, einen Mitgliedsbenutzer in einen Gastbenutzer zu konvertieren. Dies ist hilfreich bei internen Benutzern, deren Berechtigungen auf die Gastebene beschränkt werden sollen. Interne Gastbenutzer sind Benutzer, die keine Mitarbeiter Ihrer Organisation sind, für die Sie jedoch Benutzer- und Anmeldeinformationen verwalten. Dadurch können Sie möglicherweise die Lizenzierung des internen Gastbenutzers vermeiden.

Probleme bei der Verwendung von E-Mail-Kontaktobjekten anstelle von externen Benutzern oder Mitgliedern

Sie können Benutzer aus einem anderen Mandanten mithilfe einer herkömmlichen GAL-Synchronisierung darstellen. Wenn Sie nicht die Microsoft Entra B2B-Zusammenarbeit verwenden, sondern eine GAL-Synchronisierung ausführen, wird ein E-Mail-Kontaktobjekt erstellt.

  • Mail-Kontakt-Objekte und E-Mail-aktivierte externe Mitglieder oder Gastnutzende können nicht gleichzeitig im selben Mandanten mit derselben E-Mail-Adresse existieren.
  • Wenn bei einem eingeladenen Benutzer für dieselbe E-Mail-Adresse ein E-Mail-Kontaktobjekt vorhanden ist, wird der externe Benutzer zwar erstellt, jedoch nicht E-Mail-aktiviert.
  • Wenn der E-Mail-aktivierte externer Benutzer mit derselben E-Mail-Adresse vorhanden ist, löst der Versuch, ein E-Mail-Kontaktobjekt zu erstellen, zum Erstellungszeitpunkt eine Ausnahme aus.

Wichtig

Die Verwendung von E-Mail-Kontakten erfordert Active Directory Services (AD DS) oder Exchange Online PowerShell. Microsoft Graph stellt keinen API-Aufruf zum Verwalten von Kontakten bereit.

In der folgenden Tabelle werden die Ergebnisse von E-Mail-Kontaktobjekten und externen Benutzerstatus angezeigt.

Vorhandener Zustand Bereitstellungsszenario Effektives Ergebnis
Ohne B2B-Mitglied einladen Nicht-E-Mail aktivierter Mitgliedsbenutzer. Weitere Informationen finden Sie im Hinweis.
Ohne B2B-Gastbenutzer einladen E-Mail-aktivierter externer Benutzer.
E-Mail-Kontaktobjekt vorhanden B2B-Mitglied einladen Fehler. Konflikt von Proxyadressen.
E-Mail-Kontaktobjekt vorhanden B2B-Gastbenutzer einladen E-Mail-Kontakt und Nicht-E-Mail-aktivierter externer Benutzer. Weitere Informationen finden Sie im Hinweis.
E-Mail-aktivierter externer Gastbenutzer E-Mail-Kontaktobjekt erstellen Fehler
E-Mail-aktivierter externer Mitgliedsbenutzer vorhanden E-Mail-Kontakt erstellen Fehler

Microsoft empfiehlt die Verwendung der Microsoft Entra B2B-Zusammenarbeit (anstelle der herkömmlichen GAL-Synchronisierung), um Folgendes zu erstellen:

  • Externe Benutzer, die Sie für die Anzeige in der GAL aktivieren.
  • Externe Mitgliedsbenutzer, die standardmäßig in der GAL angezeigt werden, aber nicht E-Mail-aktiviert sind.

Sie können optional das E-Mail-Kontaktobjekt verwenden, um Benutzer in der GAL anzuzeigen. Bei diesem Ansatz wird eine GAL integriert, ohne weitere Berechtigungen bereitzustellen, da E-Mail-Kontakte keine Sicherheitsprinzipale sind.

Verwenden Sie den empfohlenen Ansatz für folgende Zielsetzungen:

  • Einladen von Gastbenutzern.
  • Anzeigen der Gastbenutzer in der GAL.
  • Deaktivieren der Gastbenutzer durch Blockieren der Anmeldung.

Ein E-Mail-Kontaktobjekt kann nicht in ein Benutzerobjekt konvertiert werden. Daher können Eigenschaften, die einem E-Mail-Kontaktobjekt zugeordnet sind, nicht übertragen werden (z. B. Gruppenmitgliedschaften und andere Ressourcenzugriffe). Bei der Verwendung eines E-Mail-Kontaktobjekts zur Darstellung eines Benutzers gibt es folgende Probleme.

  • Office 365-Gruppen Office 365-Gruppen unterstützen Richtlinien zur Steuerung der Benutzertypen, die Mitglieder von Gruppen sein und mit Inhalten interagieren dürfen, die Gruppen zugeordnet sind. Eine Gruppe kann zum Beispiel nicht erlauben, dass Gastbenutzer ihr beitreten. Diese Richtlinien können keine E-Mail-Kontaktobjekte steuern.
  • Microsoft Entra Self-Service Group Management (SSGM). E-Mail-Kontaktobjekte sind nicht berechtigt, Mitglieder von Gruppen zu sein, die das SSGM-Feature verwenden. Für die Verwaltung von Gruppen mit Empfängern, die als Kontakte und nicht als Benutzerobjekte dargestellt werden, benötigen Sie möglicherweise weitere Tools.
  • Microsoft Entra ID Governance, Access Reviews. Sie können die Zugriffsüberprüfungsfunktion verwenden, um die Mitgliedschaft einer Office 365-Gruppe zu überprüfen und zu bestätigen. Zugriffsüberprüfungen basieren auf Benutzerobjekten. Durch E-Mail-Kontaktobjekte dargestellte Mitglieder fallen nicht in den Bereich der Zugriffsüberprüfungen.
  • Microsoft Entra ID Governance, Entitlement Management (EM). Wenn Sie die Berechtigungsverwaltung (Entitlement Management, EM) verwenden, um im EM-Portal des Unternehmens Self-Service-Zugriffsanforderungen für externe Benutzer zu aktivieren, wird zeitgleich mit der Anforderung ein Benutzerobjekt erstellt. E-Mail-Kontaktobjekte werden nicht unterstützt.

Überlegungen zum bedingten Zugriff in Microsoft Entra

Der Status des Benutzers, Geräts oder Netzwerks im Basismandanten des Benutzers wird nicht an den Ressourcenmandanten übermittelt. Daher erfüllt ein externer Benutzer möglicherweise nicht die Richtlinien für bedingten Zugriff, welche die folgenden Kontrollen verwendet.

Wo dies zulässig ist, können Sie dieses Verhalten mit mandantenübergreifenden Zugriffseinstellungen (CTAS) außer Kraft setzen, welche die Multi-Faktor-Authentifizierung und die Gerätekonformität des Hauptmandanten berücksichtigen.

  • Erfordern, dass eine mehrstufige Authentifizierung vorhanden ist. Ohne konfigurierte CTAS müssen externe Benutzende sich im Mandanten der Ressource registrieren/auf die Multi-Faktor-Authentifizierung reagieren (selbst wenn die Multi-Faktor-Authentifizierung im Hauptmandanten erfüllt wurde). Dieses Szenario führt zu mehreren Herausforderungen bei der Multi-Faktor-Authentifizierung. Wenn sie ihre Multi-Faktor-Authentifizierungsnachweise zurücksetzen müssen, sind sie sich möglicherweise nicht bewusst, dass mehrere Multi-Faktor-Authentifizierungsnachweise in verschiedenen Mandanten registriert sind. Aus diesem Grund muss sich der Benutzer möglicherweise an einen Administrator im Basismandanten, Ressourcenmandanten oder in beiden Mandanten wenden.
  • Markieren des Geräts als konform erforderlich Ohne die Konfiguration von mandantenübergreifenden Zugriffseinstellungen wird die Geräteidentität nicht im Ressourcenmandanten registriert, sodass der externe Benutzer nicht auf Ressourcen zugreifen kann, die dieses Steuerelement erfordern.
  • Anfordern eines Microsoft Entra hybrid eingebundenen Geräts. Ohne konfigurierte CTAS wird die Geräteidentität nicht im Mandanten der Ressource (oder im lokalen Active Directory, das mit dem Mandanten der Ressource verbunden ist) registriert. Daher können externe Benutzende nicht auf Ressourcen zugreifen, die dieses Steuerelement erfordern.
  • Genehmigte Client-App oder App-Schutzrichtlinie erforderlich. Wenn CTAS nicht konfiguriert ist, können externe Benutzer die Verwaltung mobiler Anwendungen von Intune (MAM)-Richtlinie für den Ressourcenmandanten nicht anwenden, da sie ebenfalls eine Geräteregistrierung erfordert. Die Richtlinie für den bedingten Zugriff des Ressourcenmandanten, die diese Kontrolle verwendet, erlaubt es dem MAM-Schutz des Basismandanten nicht, die Richtlinie zu erfüllen. Schließen Sie externe Benutzer von jeder MAM-basierten Richtlinie für bedingten Zugriff aus.

Obwohl Sie die folgenden Bedingungen für bedingten Zugriff verwenden können, müssen Sie sich außerdem der möglichen Auswirkungen bewusst sein.

  • Anmelderisiko und Benutzerrisiko. Das Benutzerverhalten im Basismandanten bestimmt zum Teil das Anmelde- und Benutzerrisiko. Im Basismandanten werden die Daten und die Risikobewertung gespeichert. Wenn die Richtlinien eines Ressourcenmandanten einen externen Benutzer blockieren, kann ein Ressourcenmandantenadministrator den Zugriff möglicherweise nicht aktivieren. Unter Microsoft Entra ID Protection und B2B-Benutzer wird erläutert, wie Microsoft Entra ID Protection kompromittierte Anmeldeinformationen für Microsoft Entra-Benutzer erkennt.
  • Standorte. Die im Ressourcenmandanten festgelegten Definitionen benannter Standorte werden zum Bestimmen des Geltungsbereichs der Richtlinie verwendet. Im Geltungsbereich der Richtlinie werden vertrauenswürdige Standorte, die im Basismandanten verwaltet werden, nicht ausgewertet. Wenn Ihre Organisation vertrauenswürdige Standorte mandantenübergreifend freigeben möchte, definieren Sie die Standorte in jedem Mandanten, für den Sie Ressourcen und Richtlinien für bedingten Zugriff definieren.

Absicherung Ihrer mandantenfähigen Umgebung

Die Sicherung einer mandantenfähigen Umgebung beginnt damit, dass Sie sicherstellen, dass jeder Mandant die besten Sicherheitsverfahren einhält. Die Sicherheitsprüfliste und die bewährten Methoden enthalten Anleitungen zum Schutz Ihres Mandanten. Stellen Sie sicher, dass diese bewährten Methoden befolgt werden, und überprüfen Sie sie für alle Mandanten, mit denen Sie eng zusammenarbeiten.

Schützen von Administratorkonten und Sicherstellen der geringsten Rechte

Überwachen Ihrer mandantenfähigen Umgebung

  • Überwachen mithilfe der Benutzeroberfläche für Überwachungsprotokolle, der API oder der Azure Monitor-Integration (für proaktive Warnungen) Sie Änderungen an mandantenübergreifenden Zugriffsrichtlinien. Die Überwachungsereignisse verwenden die Kategorien „CrossTenantAccessSettings“ und „CrossTenantIdentitySyncSettings“. Durch die Überwachung von Überwachungsereignissen unter diesen Kategorien können Sie alle mandantenübergreifenden Änderungen der Zugriffsrichtlinien in Ihrem Mandanten identifizieren und Maßnahmen ergreifen. Beim Erstellen von Warnungen in Azure Monitor können Sie eine Abfrage wie die folgende erstellen, um mandantenübergreifende Zugriffsrichtlinienänderungen zu erkennen.
AuditLogs
| where Category contains "CrossTenant"
  • Überwachen Sie, ob neue Partner zu den mandantenübergreifenden Zugriffseinstellungen hinzugefügt wurden.
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
  • Überwachen Sie Änderungen an mandantenübergreifenden Zugriffsrichtlinien, die die Synchronisierung zulassen/verbieten.
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
  • Überwachen Sie den Anwendungszugriff in Ihrem Mandanten mithilfe des Dashboards für mandantenübergreifende Zugriffsaktivitäten. Durch die Überwachung erhalten Sie weitere Informationen darüber, wer auf die Ressourcen in Ihrem Mandanten zugreift und woher diese Benutzenden stammen.

Verweigern Sie den Zugriff standardmäßig

  • Verlangen Sie die Benutzerzuweisung für Anwendungen. Wenn für eine Anwendung die Eigenschaft Benutzerzuweisung erforderlich?auf Nein festgelegt ist, können externe Benutzer auf die Anwendung zugreifen. Einschränken Ihrer Microsoft Entra-App auf eine Gruppe von Benutzern in einem Microsoft Entra-Mandanten erläutert, wie registrierte Anwendungen in einem Microsoft Entra-Mandanten standardmäßig für alle Benutzer des Mandanten verfügbar sind, die sich erfolgreich authentifizieren.
  • Aktualisieren Sie Ihre Einstellungen für die externe Zusammenarbeit, sodass nur "Mitgliederbenutzer und Benutzer, die bestimmten Administratorrollen zugewiesen sind, Gastbenutzer einschließlich Gäste mit Mitgliedsberechtigungen einladen können.". Dadurch wird verhindert, dass Gäste in Ihrem Mandanten andere Benutzer einladen.
  • Aktivieren Sie nur die mandantenübergreifende Synchronisierung oder mandantenübergreifende Zugriffsrichtlinien, die MFA mit Mandanten, denen Sie ein hohes Maß an Vertrauen entgegenbringen, vertrauen.
  • Erstellen Sie eine standardmäßige Richtlinie zum Blockieren von ausgehendem Datenverkehr, und erlauben Sie Benutzern nur, sich als Gäste bei genehmigten Mandanten mit ihrer Unternehmensidentität anzumelden. Dadurch wird die Isolierung von Mandanten und der informationsübergreifende Fluss zwischen Mandanten sichergestellt.
  • Beschränken Sie den Zugriff externer Benutzer auf eine vordefinierte Liste von Mandanten mithilfe von Mandanteneinschränkungen.
  • Stellen Sie sicher, dass die Einschränkung des Gastzugriffs nicht auf „Gastbenutzer haben denselben Zugriff wie Mitglieder (einschließlich)“ festgelegt ist.
  • Überprüfen Sie, ob "Gast-Self-Service-Registrierung über Benutzerflüsse aktivieren" deaktiviert ist. Der Self-Service-Registrierungsablauf ermöglicht die Erstellung von Gastidentitäten im Mandanten ohne Initiierung von internen Benutzern.

Tiefgehende Verteidigung

Bedingter Zugriff.

  • Definieren Sie Zugriffssteuerungsrichtlinien zum Steuern des Zugriffs auf Ressourcen.
  • Entwerfen Sie die Richtlinien für bedingten Zugriff unter Berücksichtigung externer Benutzer.
  • Überprüfen Sie, ob eine Richtlinie für die Anmeldefrequenz-Zertifizierungsstelle auf alle Gastanmeldungen angewendet wird. Die Anmeldehäufigkeit sollte auf maximal 24 Stunden beschränkt werden. Token von Gästen, die sich von nicht verwalteten Geräten anmelden, sind einem höheren Risiko von Token-Exfiltration und Token-Wiedergabeangriffen ausgesetzt. Durch das Einschränken der Tokenlebensdauer wird die Gefährdung durch dieses Risiko reduziert. Dadurch wird sichergestellt, dass selbst wenn ein Token exfiltriert wird, der Bedrohungsakteur nur über ein eingeschränktes Nutzungsfenster verfügt.
  • Erstellen Sie dedizierte Richtlinien für bedingten Zugriff für externe Konten. Wenn Ihre Organisation in Ihrer bestehenden Richtlinie für bedingten Zugriff die Bedingung alle Benutzenden Gruppe mit dynamischer Mitgliedschaft verwendet, betrifft diese Richtlinie externe Benutzende, da sie in den Geltungsbereich von alle Benutzenden fallen.

Steuern des mandantenübergreifenden Zugriffs

  • Steuern Sie mandantenübergreifenden Zugriffs mithilfe von Berechtigungsverwaltung, Zugriffsüberprüfungen und Lebenszyklusworkflows.

Eingeschränkte Verwaltungseinheiten

Wenn Sie mithilfe von Sicherheitsgruppen steuern, wer für die mandantenübergreifende Synchronisierung infrage kommt, sollten Sie die Anzahl der Personen, die Änderungen an der Sicherheitsgruppe vornehmen können, begrenzen. Minimieren Sie die Anzahl der Besitzer*innen der Sicherheitsgruppen, die dem Auftrag für die mandantenübergreifende Synchronisierung zugewiesen sind, und schließen Sie die Gruppen in eine eingeschränkte Verwaltungseinheit ein. Dadurch wird die Anzahl der Personen eingeschränkt, die Gruppenmitglieder hinzufügen oder entfernen und Konten über Mandanten hinweg bereitstellen können.

Weitere Überlegungen zur Zugriffssteuerung

Geschäftsbedingungen

Die Nutzungsbedingungen für Microsoft Entra bieten Organisationen eine einfache Möglichkeit, Informationen für Endbenutzer anzuzeigen. Sie können anhand der Nutzungsbedingungen festlegen, dass externe Benutzer die Nutzungsbedingungen genehmigen müssen, bevor sie Zugriff auf Ihre Ressourcen erhalten.

Lizenzierungsüberlegungen für Gastbenutzer mit Microsoft Entra-ID P1- oder P2-Features

Die Preise für Microsoft Entra External ID werden anhand der monatlich aktiven Benutzer (Monthly Active Users, MAU) ermittelt. Die Anzahl aktiver Benutzer entspricht der Anzahl eindeutiger Benutzer mit Authentifizierungsaktivität innerhalb eines Kalendermonats. Das Abrechnungsmodell für Microsoft Entra External ID beschreibt, wie die Preise auf MAU basieren.

Überlegungen zu Office 365

Die folgenden Informationen gelten für Office 365 im Zusammenhang mit den Szenarien in diesem Artikel. Detaillierte Informationen finden Sie unter Microsoft 365-mandantenübergreifende Zusammenarbeit 365. In diesem Artikel werden Optionen beschrieben, die die Verwendung eines zentralen Speicherorts für Dateien und Unterhaltungen, die gemeinsame Nutzung von Kalendern, die Verwendung von Sofortnachrichten, Audio-/Videoanrufe für die Kommunikation und die Sicherung des Zugriffs auf Ressourcen und Anwendungen umfassen.

Microsoft Exchange Online

In Exchange Online werden bestimmte Funktionen für externe Benutzer eingeschränkt. Sie können die Grenzwerte senken, indem Sie externe Mitgliedsbenutzer anstelle von externen Gastbenutzern erstellen. Die Unterstützung für externe Benutzer weist die folgenden Einschränkungen auf.

  • Sie können einem externen Benutzer eine Exchange Online-Lizenz zuweisen. Sie können für ihn jedoch kein Token für Exchange Online ausstellen. Im Ergebnis kann er nicht auf die Ressource zugreifen.
    • Externe Benutzer können keine freigegebenen oder delegierten Exchange Online-Postfächer im Ressourcenmandanten verwenden.
    • Sie können einem freigegebenen Postfach zwar externe Benutzer zuweisen, die jedoch nicht darauf zugreifen können.
  • Sie müssen externe Benutzer einblenden, um sie in die GAL aufzunehmen. Standardmäßig sind sie ausgeblendet.
    • Ausgeblendete externe Benutzer werden zeitgleich mit der Einladung erstellt. Die Erstellung ist unabhängig davon, ob die Benutzenden ihre Einladung eingelöst haben. Wenn also alle externen Benutzer eingeblendet werden, enthält die Liste Benutzerobjekte von externen Benutzern, die eine Einladung nicht eingelöst haben. Je nach Szenario können Sie die aufgelisteten Objekte gebrauchen oder nicht.
    • Externe Benutzer können mit der Exchange Online PowerShell ausgeblendet werden. Sie können das PowerShell-Cmdlet Set-MailUser ausführen, um die Eigenschaft HiddenFromAddressListsEnabled auf den Wert $false festzulegen.

Beispiel:

Set-MailUser [ExternalUserUPN] -HiddenFromAddressListsEnabled:\$false\

Dabei entspricht ExternalUserUPN dem berechneten Attribut UserPrincipalName.

Beispiel:

Set-MailUser externaluser1_contoso.com#EXT#@fabricam.onmicrosoft.com\ -HiddenFromAddressListsEnabled:\$false

Externe Benutzer können im Microsoft 365 Admin Center sichtbar gemacht werden.

  • Aktualisierungen von Exchange-spezifischen Eigenschaften wie PrimarySmtpAddress, ExternalEmailAddress, EmailAdresses und MailTip können nur mithilfe von Exchange Online PowerShell festgelegt werden. Das Exchange Online Admin Center erlaubt es Ihnen nicht, die Attribute über die grafische Benutzeroberfläche (GUI) zu ändern.

Wie im Beispiel gezeigt, können Sie das PowerShell-Cmdlet Set-MailUser für E-Mail-spezifische Eigenschaften verwenden. Es gibt Benutzereigenschaften, die Sie mit dem PowerShell-Cmdlet Set-User ändern können. Die meisten Eigenschaften können mit den Microsoft Graph-APIs geändert werden.

Eines der nützlichsten Features von Set-MailUser ist die Möglichkeit, die Eigenschaft EmailAddresses zu bearbeiten. Dieses mehrwertige Attribut kann mehrere Proxyadressen für den externen Benutzer enthalten (z. B. SMTP, X500, Session Initiation Protocol (SIP)). Standardmäßig verfügt ein externer Benutzer über die primäre SMTP-Adresse, die mit UserPrincipalName (UPN) korreliert ist. Wenn Sie das primäre SMTP ändern oder SMTP-Adressen hinzufügen möchten, können Sie diese Eigenschaft einstellen. Sie können nicht das Exchange Admin Center verwenden, sondern müssen Exchange Online PowerShell nutzen. Unter Hinzufügen oder Entfernen von E-Mail-Adressen für ein Postfach in Exchange Online werden verschiedene Möglichkeiten zum Ändern einer mehrwertigen Eigenschaft wie EmailAddresses aufgezeigt.

Microsoft SharePoint in Microsoft 365

SharePoint in Microsoft 365 hat seine eigenen dienstspezifischen Berechtigungen, je nachdem, ob der Benutzer (intern oder extern) vom Typ Mitglied oder Gast im Microsoft Entra-Mandanten ist. In Microsoft 365 externe Freigabe und Microsoft Entra B2B Collaboration wird beschrieben, wie Sie die Integration mit SharePoint und OneDrive aktivieren können, um Dateien, Ordner, Listenelemente, Dokumentbibliotheken und Websites für Personen außerhalb Ihrer Organisation freizugeben. Microsoft 365 führt dies aus, während Azure B2B für die Authentifizierung und Verwaltung verwendet wird.

Nachdem Sie die externe Freigabe in SharePoint in Microsoft 365 aktiviert haben, ist die Möglichkeit, in der Personenauswahl von SharePoint in Microsoft 365 nach Gastbenutzern zu suchen, standardmäßig OFF. Diese Einstellung verhindert, dass Gastbenutzer auffindbar sind, wenn sie aus der Exchange Online-GAL ausgeblendet werden. Sie können Gastbenutzer auf zwei Arten sichtbar machen (die sich nicht gegenseitig ausschließen):

  • Sie können die Möglichkeit zum Suchen nach Gastbenutzern auf verschiedene Weise aktivieren:
  • Gastbenutzer, die in der Exchange Online GAL sichtbar sind, sind auch in der Personenauswahl von SharePoint in Microsoft 365 sichtbar. Die Konten werden unabhängig von der Einstellung für ShowPeoplePickerSuggestionsForGuestUsers angezeigt.

Microsoft Teams

Microsoft Teams verfügt über Features zum Einschränken des Zugriffs basierend auf dem Benutzertyp. Änderungen am Benutzertyp können sich auf den Inhaltszugriff und die verfügbaren Features auswirken. Microsoft Teams fordert die Benutzenden auf, mit dem Mechanismus „Mandantenwechsel“ ihres Team-Clients ihren Kontext zu ändern, wenn sie in Teams außerhalb ihres Basismandanten arbeiten.

Für den Mechanismus „Mandantenwechsel“ von Microsoft Teams werden Benutzer möglicherweise aufgefordert, den Kontext ihres Teams-Clients manuell zu ändern, wenn sie außerhalb ihres Basismandanten in Teams arbeiten.

Mithilfe eines Teams-Verbunds können Sie Teams-Benutzern aus einer anderen externen Domäne die Möglichkeit geben, Ihre Benutzern zu suchen, anzurufen, mit ihnen zu chatten und Besprechungen einzurichten. Unter Verwalten externer Besprechungen und Chats mit Personen und Organisationen mithilfe von Microsoft-Identitäten wird beschrieben, wie Sie Benutzern in Ihrer Organisation Besprechungen und Chats mit Personen außerhalb der Organisation, die Microsoft als Identitätsanbieter verwenden, erlauben können.

Lizenzierungsüberlegungen für Gastbenutzer in Teams

Wenn Sie Azure B2B mit Office 365-Workloads verwenden, zählen Instanzen, in denen Gastbenutzer (intern oder extern) nicht die gleiche Erfahrung wie Mitgliedsbenutzer haben, zu den wichtigsten Überlegungen.

  • Microsoft-Gruppen. Unter Hinzufügen von Gästen zu Office 365-Gruppen wird beschrieben, wie Sie und Ihr Team mithilfe des Gastzugriffs in Microsoft 365-Gruppen mit Personen, die sich außerhalb Ihrer Organisation befinden, zusammenarbeiten können, indem Sie ihnen Zugriff auf Gruppenunterhaltungen, Dateien, Kalendereinladungen und das Gruppennotizbuch gewähren.
  • Microsoft Teams. Unter Funktionen für Teambesitzer, Mitglieder und Gäste in Teams finden Sie weitere Informationen zur Gastkontofunktionalität in Microsoft Teams. Sie können in Teams mithilfe von externen Mitgliedern eine „Full Fidelity“-Erfahrung ermöglichen.
    • Bei mehreren Mandanten in unserer Commercial Cloud können Benutzer, die in ihrem Hauptmandanten lizenziert sind, auf Ressourcen in einem anderen Mandanten innerhalb derselben juristischen Person zugreifen. Über die Einstellung „Externe Mitglieder“ können Sie den Zugriff ohne weitere Lizenzgebühren gewähren. Diese Einstellung gilt für SharePoint und OneDrive für Teams und Gruppen.
    • Für mehrere Mandanten in anderen Microsoft-Clouds und für mehrere Mandanten in verschiedenen Clouds sind B2B-Mitgliedslizenzprüfungen noch nicht verfügbar. Die Verwendung von B2B-Mitglied mit Teams erfordert eine zusätzliche Lizenz für jedes B2B-Mitglied. Diese Anforderung kann sich auch auf andere Workloads wie Power BI auswirken.
    • Die Verwendung von B2B-Mitgliedern für Mandanten, die nicht Teil derselben juristischen Einheit sind, unterliegt zusätzlichen Lizenzanforderungen.
  • Identity Governance-Features. Für die Berechtigungsverwaltung und Zugriffsüberprüfungen sind möglicherweise weitere Lizenzen für externe Benutzer erforderlich.
  • Weitere Produkte. Produkte wie Dynamics Kundenbeziehungsmanagement (CRM) erfordern möglicherweise eine Lizenzierung in jedem Mandanten, in dem ein Benutzer vertreten ist.

Nächste Schritte

  • Einführung in die mandantenfähige Benutzerverwaltung ist der erste in einer Reihe von Artikeln, die Leitfäden für die Konfiguration und Bereitstellung der Benutzerlebenszyklusverwaltung in mandantenfähigen Microsoft Entra-Umgebungen enthalten.
  • Szenarien für die mandantenfähige Benutzerverwaltung beschreibt drei Szenarien, für die Sie die Funktionen der mandantenfähigen Benutzerverwaltung nutzen können: Vom Endbenutzer initiiert, per Skript gesteuert und automatisiert.
  • Gemeinsame Lösungen für die mandantenübergreifende Benutzerverwaltung, wenn eine einzelne Mandantenfähigkeit für Ihr Szenario nicht ausreicht. Dieser Artikel bietet einen Leitfaden für diese Herausforderungen: Automatische Benutzerlebenszyklusverwaltung und Ressourcenzuordnung über Mandanten hinweg, gemeinsame Nutzung von lokalen Anwendungen über Mandanten hinweg.
  • Microsoft Collaboration Framework for the US Defense Industrial Base beschreibt mögliche Referenzarchitekturen für die Identität, um multimandantenfähige Organisationen (Multitenant Organizations, MTO) zu unterstützen. Dieses Szenario gilt speziell für MTOs, die über eine Bereitstellung in der US Sovereign Cloud mit Microsoft 365 US Government (GCC High) und Azure Government verfügen. Es befasst sich auch mit der externen Zusammenarbeit in stark regulierten Umgebungen, einschließlich Organisationen, die entweder in der Commercial oder in der US Sovereign Cloud verwaltet werden.