Allgemeine Überlegungen zur mandantenfähigen Benutzerverwaltung
Dieser Artikel ist der dritte in einer Reihe von Artikeln, die Anleitungen für die Konfiguration und Bereitstellung von Benutzerlebenszyklusverwaltung in mandantenfähigen Microsoft Entra-Umgebungen enthalten. In den folgenden Artikeln der Reihe finden Sie weitere Informationen wie beschrieben.
- Einführung in die mandantenfähige Benutzerverwaltung ist der erste in einer Reihe von Artikeln, die Anleitungen für die Konfiguration und Bereitstellung der Benutzerlebenszyklusverwaltung in mandantenfähigen Microsoft Entra-Umgebungen enthalten.
- Szenarien für die Mandanten-fähige Benutzerverwaltung beschreibt drei Szenarien, für die Sie die Funktionen der Mandanten-fähigen Benutzerverwaltung nutzen können: Vom Endbenutzer initiiert, per Skript gesteuert und automatisiert.
- Gemeinsame Lösungen für die mandantenübergreifende Benutzerverwaltung, wenn eine einzelne Mandantenfähigkeit für Ihr Szenario nicht ausreicht. Dieser Artikel bietet einen Leitfaden für diese Herausforderungen: Automatische Benutzerlebenszyklusverwaltung und Ressourcenzuteilung über Mandanten hinweg sowie gemeinsame Nutzung von lokalen Anwendungen über Mandanten hinweg.
Diese Anleitung hilft Ihnen, eine konsistente Benutzerlebenszyklusverwaltung zu erreichen. Die Lebenszyklusverwaltung umfasst das mandantenübergreifende Bereitstellen, Verwalten und Aufheben der Bereitstellung von Benutzer*innen mithilfe der verfügbaren Azure-Tools, einschließlich Microsoft Entra B2B Collaboration (B2B) und die mandantenübergreifende Synchronisierung.
Die Synchronisierungsanforderungen richten sich nach dem speziellen Bedarf Ihrer Organisation. Wenn Sie eine Lösung für die Anforderungen Ihrer Organisation entwerfen, können Ihnen die folgenden Überlegungen in diesem Artikel bei der Identifizierung der optimalen Möglichkeiten helfen.
- Mandantenübergreifende Synchronisierung
- Verzeichnisobjekt
- Bedingter Microsoft Entra-Zugriff
- Zusätzliche Zugriffssteuerung
- Office 365
Mandantenübergreifende Synchronisierung
Die mandantenübergreifende Synchronisierung kann die Probleme der Zusammenarbeit und des Zugriffs in Organisationen mit mehreren Mandanten lösen. Die folgende Tabelle enthält häufige Anwendungsfälle für die Synchronisierung. Bei Anwendungsfällen, bei denen Überlegungen in Hinblick auf mehrere Zusammenarbeitsmuster eine Rolle spielen, können Sie sowohl die mandantenübergreifende Synchronisierung als auch die benutzerdefinierte Entwicklung verwenden.
Anwendungsfall | Mandantenübergreifende Synchronisierung | Benutzerdefinierte Entwicklung |
---|---|---|
Benutzerlebenszyklusverwaltung | ||
Dateifreigabe und App-Zugriff | ||
Unterstützung der Synchronisierung mit/aus Sovereign Clouds | ||
Steuern der Synchronisierung aus dem Ressourcenmandanten | ||
Synchronisierungsgruppenobjekte | ||
Synchronisierungs-Manager-Links | ||
Autoritätsquelle auf Attributebene | ||
Microsoft Entra schreibt in Microsoft Windows Server Active Directory zurück |
Überlegungen zu Verzeichnisobjekten
Einladen eines externen Benutzers mit UPN oder SMTP-Adresse
Microsoft Entra B2B erwartet, dass der UserPrincipalName (UPN) eines Benutzers die primäre Simple Mail Transfer Protocol (SMTP) (E-Mail) Adresse für den Versand von Einladungen ist. Wenn der UPN des Benutzers mit der primären SMTP-Adresse identisch ist, zeigt B2B die erwartete Funktion. Wenn der UPN jedoch von der primären SMTP-Adresse des externen Benutzers abweicht, kann er möglicherweise nicht aufgelöst werden, wenn ein Benutzer eine Einladung annimmt. Dieses Problem kann eine Herausforderung darstellen, wenn Sie den tatsächlichen UPN des Benutzers nicht kennen. Sie müssen den UPN ermitteln und verwenden, wenn Sie Einladungen für B2B senden.
Im Abschnitt Microsoft Exchange Online dieses Artikels wird erläutert, wie Sie die standardmäßige primäre SMTP-Adresse für externe Benutzer ändern. Dieses Verfahren ist hilfreich, wenn alle E-Mails und Benachrichtigungen für einen externen Benutzer an die tatsächliche primäre SMTP-Adresse und nicht an den UPN gesendet werden sollen. Dies kann erforderlich sein, wenn die UPN nicht für den Nachrichtenfluss geroutet werden kann.
Konvertieren des Benutzertyps (UserType) eines externen Benutzers
Wenn Sie die Konsole zum manuellen Erstellen einer Einladung für ein externes Benutzerkonto verwenden, wird das Benutzerobjekt mit dem Typ „Gastbenutzer“ erstellt. Mit anderen Verfahren zum Erstellen von Einladungen können Sie statt einem externen Gastkonto einen anderen Benutzertyp festlegen. Wenn Sie die API verwenden, können Sie beispielsweise konfigurieren, ob es sich um ein externes Mitgliedskonto oder ein externes Gastkonto handelt.
- Einige Einschränkungen für die Gastfunktionalität können entfernt werden.
- Sie können Gastkonten in den Benutzertyp „Mitglied“ konvertieren.
Wenn Sie ein externes Gastkonto in ein externes Mitgliedsbenutzerkonto konvertieren, können Probleme bei der Behandlung von B2B-Konten durch Exchange Online auftreten. Sie können Konten, die Sie als externe Mitgliedsbenutzer eingeladen haben, nicht per E-Mail aktivieren. Um ein externes Mitgliedskonto per E-Mail zu aktivieren, verwenden Sie am besten den folgenden Ansatz.
- Laden Sie die organisationsübergreifenden Benutzer als externe Gastbenutzerkonten ein.
- Zeigen Sie die Konten in der GAL an.
- Legen Sie „UserType“ auf „Member“ fest.
Wenn Sie diesen Ansatz verwenden, werden die Konten in Exchange Online und Office 365 als MailUser-Objekte angezeigt. Beachten Sie außerdem, dass es ein Timingproblem gibt. Stellen Sie sicher, dass der Benutzer in der GAL angezeigt wird. Überprüfen Sie dazu, ob die Microsoft Entra-Benutzereigenschaft „ShowInAddressList“ mit der Exchange Online PowerShell-Eigenschaft „HiddenFromAddressListsEnabled“ übereinstimmt (die beiden Eigenschaften verhalten sich umgekehrt zueinander). Der Abschnitt Microsoft Exchange Online dieses Artikels enthält weitere Informationen zum Ändern der Sichtbarkeit.
Es ist möglich, einen Mitgliedsbenutzer in einen Gastbenutzer zu konvertieren. Dies ist hilfreich bei internen Benutzern, deren Berechtigungen auf die Gastebene beschränkt werden sollen. Interne Gastbenutzer sind Benutzer, die keine Mitarbeiter Ihrer Organisation sind, für die Sie jedoch Benutzer- und Anmeldeinformationen verwalten. Dadurch können Sie möglicherweise die Lizenzierung des internen Gastbenutzers vermeiden.
Probleme bei der Verwendung von E-Mail-Kontaktobjekten anstelle von externen Benutzern oder Mitgliedern
Sie können Benutzer aus einem anderen Mandanten mithilfe einer herkömmlichen GAL-Synchronisierung darstellen. Wenn Sie nicht die Microsoft Entra B2B-Zusammenarbeit verwenden, sondern eine GAL-Synchronisierung ausführen, wird ein E-Mail-Kontaktobjekt erstellt.
- Ein E-Mail-Kontaktobjekt und ein E-Mail-aktiviertes externes Mitglied bzw. Gastbenutzer können nicht gleichzeitig im selben Mandanten mit derselben E-Mail-Adresse vorhanden sein.
- Wenn bei einem eingeladenen Benutzer für dieselbe E-Mail-Adresse ein E-Mail-Kontaktobjekt vorhanden ist, wird der externe Benutzer zwar erstellt, jedoch nicht E-Mail-aktiviert.
- Wenn der E-Mail-aktivierte externer Benutzer mit derselben E-Mail-Adresse vorhanden ist, löst der Versuch, ein E-Mail-Kontaktobjekt zu erstellen, zum Erstellungszeitpunkt eine Ausnahme aus.
Wichtig
Die Verwendung von E-Mail-Kontakten erfordert Active Directory Services (AD DS) oder Exchange Online PowerShell. Microsoft Graph stellt keinen API-Aufruf zum Verwalten von Kontakten bereit.
In der folgenden Tabelle werden die Ergebnisse von E-Mail-Kontaktobjekten und externen Benutzerstatus angezeigt.
Vorhandener Zustand | Bereitstellungsszenario | Effektives Ergebnis |
---|---|---|
Keine | B2B-Mitglied einladen | Nicht-E-Mail aktivierter Mitgliedsbenutzer. Siehe wichtiger Hinweis. |
Keine | B2B-Gastbenutzer einladen | E-Mail-aktivierter externer Benutzer. |
E-Mail-Kontaktobjekt vorhanden | B2B-Mitglied einladen | Fehler. Konflikt von Proxyadressen. |
E-Mail-Kontaktobjekt vorhanden | B2B-Gastbenutzer einladen | E-Mail-Kontakt und Nicht-E-Mail-aktivierter externer Benutzer. Siehe wichtiger Hinweis. |
E-Mail-aktivierter externer Gastbenutzer | E-Mail-Kontaktobjekt erstellen | Fehler |
E-Mail-aktivierter externer Mitgliedsbenutzer vorhanden | E-Mail-Kontakt erstellen | Fehler |
Microsoft empfiehlt die Verwendung der Microsoft Entra B2B-Zusammenarbeit (anstelle der herkömmlichen GAL-Synchronisierung), um Folgendes zu erstellen:
- Externe Benutzer, die Sie für die Anzeige in der GAL aktivieren.
- Externe Mitgliedsbenutzer, die standardmäßig in der GAL angezeigt werden, aber nicht E-Mail-aktiviert sind.
Sie können optional das E-Mail-Kontaktobjekt verwenden, um Benutzer in der GAL anzuzeigen. Bei diesem Ansatz wird eine GAL integriert, ohne weitere Berechtigungen bereitzustellen, da E-Mail-Kontakte keine Sicherheitsprinzipale sind.
Verwenden Sie den empfohlenen Ansatz für folgende Zielsetzungen:
- Einladen von Gastbenutzern.
- Anzeigen der Gastbenutzer in der GAL.
- Deaktivieren der Gastbenutzer durch Blockieren der Anmeldung.
Ein E-Mail-Kontaktobjekt kann nicht in ein Benutzerobjekt konvertiert werden. Daher können Eigenschaften, die einem E-Mail-Kontaktobjekt zugeordnet sind, nicht übertragen werden (z. B. Gruppenmitgliedschaften und andere Ressourcenzugriffe). Bei der Verwendung eines E-Mail-Kontaktobjekts zur Darstellung eines Benutzers gibt es folgende Probleme.
- Office 365-Gruppen. Office 365-Gruppen unterstützen Richtlinien zur Steuerung der Benutzertypen, die Mitglieder von Gruppen sein und mit Inhalten interagieren dürfen, die Gruppen zugeordnet sind. Eine Gruppe kann zum Beispiel nicht erlauben, dass Gastbenutzer ihr beitreten. Diese Richtlinien können keine E-Mail-Kontaktobjekte steuern.
- Microsoft Entra Self-Service Group Management (SSGM). E-Mail-Kontaktobjekte sind nicht berechtigt, Mitglieder von Gruppen zu sein, die das SSGM-Feature verwenden. Für die Verwaltung von Gruppen mit Empfängern, die als Kontakte und nicht als Benutzerobjekte dargestellt werden, benötigen Sie möglicherweise weitere Tools.
- Microsoft Entra ID Governance, Access Reviews. Sie können die Zugriffsüberprüfungsfunktion verwenden, um die Mitgliedschaft einer Office 365-Gruppe zu überprüfen und zu bestätigen. Zugriffsüberprüfungen basieren auf Benutzerobjekten. Durch E-Mail-Kontaktobjekte dargestellte Mitglieder fallen nicht in den Bereich der Zugriffsüberprüfungen.
- Microsoft Entra ID Governance, Entitlement Management (EM). Wenn Sie die Berechtigungsverwaltung (Entitlement Management, EM) verwenden, um im EM-Portal des Unternehmens Self-Service-Zugriffsanforderungen für externe Benutzer zu aktivieren, wird zeitgleich mit der Anforderung ein Benutzerobjekt erstellt. E-Mail-Kontaktobjekte werden nicht unterstützt.
Überlegungen zum bedingten Zugriff in Microsoft Entra
Der Status des Benutzers, Geräts oder Netzwerks im Basismandanten des Benutzers wird nicht an den Ressourcenmandanten übermittelt. Daher erfüllt ein externer Benutzer möglicherweise nicht die Richtlinien für bedingten Zugriff, welche die folgenden Kontrollen verwendet.
Wo dies zulässig ist, können Sie dieses Verhalten mit mandantenübergreifenden Zugriffseinstellungen (CTAS) außer Kraft setzen, welche die Multi-Faktor-Authentifizierung und die Gerätekonformität des Hauptmandanten berücksichtigen.
- Erfordern, dass eine mehrstufige Authentifizierung vorhanden ist. Wenn CTAS nicht konfiguriert ist, muss ein externer Benutzer die Multi-Faktor-Authentifizierung im Ressourcenmandanten registrieren/reagieren (auch wenn die Multi-Faktor-Authentifizierung im Hauptmandanten erfüllt wurde). Dieses Szenario führt zu mehreren Herausforderungen bei Multi-Faktor-Authentifizierung. Wenn sie ihre Multi-Faktor-Authentifizierungsnachweise zurücksetzen müssen, sind sie sich möglicherweise nicht bewusst, dass mehrere Multi-Faktor-Authentifizierungsnachweise in verschiedenen Mandanten registriert sind. Aus diesem Grund muss sich der Benutzer möglicherweise an einen Administrator im Basismandanten, Ressourcenmandanten oder in beiden Mandanten wenden.
- Kennzeichnung des Geräts als Compliance-konform. Ohne die Konfiguration von mandantenübergreifenden Zugriffseinstellungen wird die Geräteidentität nicht im Ressourcenmandanten registriert, sodass der externe Benutzer nicht auf Ressourcen zugreifen kann, die dieses Steuerelement erfordern.
- Anfordern eines Microsoft Entra hybrid eingebundenen Geräts. Ohne die Konfiguration von mandantenübergreifenden Zugriffseinstellungen wird die Geräteidentität nicht im Ressourcenmandanten (oder im lokalen Active Directory, das mit dem Ressourcenmandanten verbunden ist) registriert. Daher kann der externe Benutzer nicht auf Ressourcen zugreifen, die dieses Steuerelement erfordern.
- Genehmigte Client-App oder App-Schutzrichtlinie erforderlich. Wenn CTAS nicht konfiguriert ist, können externe Benutzer die Verwaltung mobiler Anwendungen von Intune (MAM)-Richtlinie für den Ressourcenmandanten nicht anwenden, da sie ebenfalls eine Geräteregistrierung erfordert. Die Richtlinie für den bedingten Zugriff des Ressourcenmandanten, die diese Kontrolle verwendet, erlaubt es dem MAM-Schutz des Basismandanten nicht, die Richtlinie zu erfüllen. Schließen Sie externe Benutzer von jeder MAM-basierten Richtlinie für bedingten Zugriff aus.
Obwohl Sie die folgenden Bedingungen für bedingten Zugriff verwenden können, müssen Sie sich außerdem der möglichen Auswirkungen bewusst sein.
- Anmelderisiko und Benutzerrisiko. Das Benutzerverhalten im Basismandanten bestimmt zum Teil das Anmelde- und Benutzerrisiko. Im Basismandanten werden die Daten und die Risikobewertung gespeichert. Wenn die Richtlinien eines Ressourcenmandanten einen externen Benutzer blockieren, kann ein Ressourcenmandantenadministrator den Zugriff möglicherweise nicht aktivieren. Unter Microsoft Entra ID Protection und B2B-Benutzer wird erläutert, wie Microsoft Entra ID Protection kompromittierte Anmeldeinformationen für Microsoft Entra-Benutzer erkennt.
- Standorte. Die im Ressourcenmandanten festgelegten Definitionen benannter Standorte werden zum Bestimmen des Geltungsbereichs der Richtlinie verwendet. Im Geltungsbereich der Richtlinie werden vertrauenswürdige Standorte, die im Basismandanten verwaltet werden, nicht ausgewertet. Wenn Ihre Organisation vertrauenswürdige Standorte mandantenübergreifend freigeben möchte, definieren Sie die Standorte in jedem Mandanten, für den Sie Ressourcen und Richtlinien für bedingten Zugriff definieren.
Absicherung Ihrer mandantenfähigen Umgebung
Die Sicherung einer mandantenfähigen Umgebung beginnt damit, dass Sie sicherstellen, dass jeder Mandant die besten Sicherheitsverfahren einhält. Die Sicherheitsprüfliste und die bewährten Methoden enthalten Anleitungen zum Schutz Ihres Mandanten. Stellen Sie sicher, dass diese bewährten Methoden befolgt werden, und überprüfen Sie sie für alle Mandanten, mit denen Sie eng zusammenarbeiten.
Schützen von Administratorkonten und Sicherstellen der geringsten Rechte
- Suchen und Beheben von Lücken in der Abdeckung der starken Authentifizierung für Administrierende
- Verbessern Sie die Sicherheit mit dem Prinzip der geringsten Rechte sowohl für Benutzende als auch für Anwendungen. Prüfen Sie die Rollen mit geringsten Rechten nach Aufgabe in Microsoft Entra ID.
- Minimieren Sie den dauerhaften Administratorzugriff, indem Sie Privileged Identity Management aktivieren.
Überwachen Ihrer mandantenfähigen Umgebung
- Überwachen mithilfe der Benutzeroberfläche für Überwachungsprotokolle, der API oder der Azure Monitor-Integration (für proaktive Warnungen) Sie Änderungen an mandantenübergreifenden Zugriffsrichtlinien. Die Überwachungsereignisse verwenden die Kategorien „CrossTenantAccessSettings“ und „CrossTenantIdentitySyncSettings“. Durch die Überwachung von Überwachungsereignissen unter diesen Kategorien können Sie alle mandantenübergreifenden Änderungen der Zugriffsrichtlinien in Ihrem Mandanten identifizieren und Maßnahmen ergreifen. Beim Erstellen von Warnungen in Azure Monitor können Sie eine Abfrage wie die folgende erstellen, um mandantenübergreifende Zugriffsrichtlinienänderungen zu erkennen.
AuditLogs
| where Category contains "CrossTenant"
- Überwachen Sie, ob neue Partner zu den mandantenübergreifenden Zugriffseinstellungen hinzugefügt wurden.
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
- Überwachen Sie die Änderungen der mandantenübergreifenden Zugriffsrichtlinien, die eine Synchronisierung zulassen oder verbieten.
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
- Überwachen Sie den Anwendungszugriff in Ihrem Mandanten mithilfe des Dashboards für mandantenübergreifende Zugriffsaktivitäten. Mit der Überwachung können Sie sehen, wer auf Ressourcen in Ihrem Mandanten zugreift und woher diese Benutzer*innen stammen.
Gruppen mit dynamischer Mitgliedschaft
Wenn Ihre Organisation die Bedingung Alle Benutzer dynamische Mitgliedschaftsgruppe in Ihrer vorhandenen Richtlinie für bedingten Zugriff verwendet, wirkt sich diese Richtlinie auf externe Benutzer aus, da sie im Geltungsbereich Alle Benutzer enthalten sind.
Verweigern Sie den Zugriff standardmäßig
- Verlangen Sie die Benutzerzuweisung für Anwendungen. Wenn für eine Anwendung die Eigenschaft Benutzerzuweisung erforderlich?auf Nein festgelegt ist, können externe Benutzer auf die Anwendung zugreifen. Anwendungsadministratoren müssen die Auswirkungen der Zugriffssteuerung kennen, insbesondere dann, wenn die Anwendung vertrauliche Informationen enthält. Unter Beschränken Ihrer Microsoft Entra-App auf eine Gruppe von Benutzern in einem Microsoft Entra-Mandanten wird erläutert, wie registrierte Anwendungen in einem Mandanten für alle Benutzer des Mandanten verfügbar sind, die sich erfolgreich authentifizieren. Diese Einstellung ist standardmäßig eingeschaltet.
Tiefgehende Verteidigung
Bedingter Zugriff.
- Definieren Sie Zugriffssteuerungsrichtlinien zum Steuern des Zugriffs auf Ressourcen.
- Entwerfen Sie die Richtlinien für bedingten Zugriff unter Berücksichtigung externer Benutzer.
- Erstellen Sie Richtlinien speziell für externe Benutzer.
- Erstellen Sie dedizierte Richtlinien für bedingten Zugriff für externe Konten. Wenn Ihre Organisation die Bedingung Alle Benutzer dynamische Mitgliedschaftsgruppe in Ihrer vorhandenen Richtlinie für bedingten Zugriff verwendet, wirkt sich diese Richtlinie auf externe Benutzer aus, da sie im Geltungsbereich Alle Benutzer enthalten sind.
Eingeschränkte Verwaltungseinheiten
Wenn Sie Sicherheitsgruppen verwenden, um zu steuern, wer sich im Bereich der mandantenübergreifenden Synchronisierung befindet, schränken Sie ein, wer Änderungen an der Sicherheitsgruppe vornehmen kann. Minimieren Sie die Anzahl der Besitzer*innen der Sicherheitsgruppen, die dem Auftrag für die mandantenübergreifende Synchronisierung zugewiesen sind, und schließen Sie die Gruppen in eine eingeschränkte Verwaltungseinheit ein. Dieses Szenario schränkt die Anzahl der Personen ein, die Gruppenmitglieder hinzufügen oder entfernen und Konten mandantenübergreifend bereitstellen können.
Weitere Überlegungen zur Zugriffssteuerung
Geschäftsbedingungen
Die Nutzungsbedingungen für Microsoft Entra bieten Organisationen eine einfache Möglichkeit, Informationen für Endbenutzer anzuzeigen. Sie können anhand der Nutzungsbedingungen festlegen, dass externe Benutzer die Nutzungsbedingungen genehmigen müssen, bevor sie Zugriff auf Ihre Ressourcen erhalten.
Lizenzierungsüberlegungen für Gastbenutzer mit Microsoft Entra-ID P1- oder P2-Features
Die Preise für Microsoft Entra External ID werden anhand der monatlich aktiven Benutzer (Monthly Active Users, MAU) ermittelt. Die Anzahl aktiver Benutzer entspricht der Anzahl eindeutiger Benutzer mit Authentifizierungsaktivität innerhalb eines Kalendermonats. Das Abrechnungsmodell für Microsoft Entra External ID beschreibt, wie die Preise auf MAU basieren.
Überlegungen zu Office 365
Die folgenden Informationen gelten für Office 365 im Zusammenhang mit den Szenarien in diesem Artikel. Ausführliche Informationen finden Sie unter Microsoft 365-mandantenübergreifende Zusammenarbeit. Dieser Artikel beschreibt Optionen wie die Verwendung eines zentralen Speicherorts für Dateien und Konversationen, die gemeinsame Nutzung von Kalendern, die Verwendung von IM, Audio-/Videoanrufen für die Kommunikation und die Sicherung des Zugangs zu Ressourcen und Anwendungen.
Microsoft Exchange Online
In Exchange Online werden bestimmte Funktionen für externe Benutzer eingeschränkt. Sie können die Grenzwerte senken, indem Sie externe Mitgliedsbenutzer anstelle von externen Gastbenutzern erstellen. Die Unterstützung für externe Benutzer weist die folgenden Einschränkungen auf.
- Sie können einem externen Benutzer eine Exchange Online-Lizenz zuweisen. Sie können für ihn jedoch kein Token für Exchange Online ausstellen. Im Ergebnis kann er nicht auf die Ressource zugreifen.
- Externe Benutzer können keine freigegebenen oder delegierten Exchange Online-Postfächer im Ressourcenmandanten verwenden.
- Sie können einem freigegebenen Postfach zwar externe Benutzer zuweisen, die jedoch nicht darauf zugreifen können.
- Sie müssen externe Benutzer einblenden, um sie in die GAL aufzunehmen. Standardmäßig sind sie ausgeblendet.
- Ausgeblendete externe Benutzer werden zeitgleich mit der Einladung erstellt. Die Erstellung ist unabhängig davon, ob der Benutzer seine Einladung eingelöst hat. Wenn also alle externen Benutzer eingeblendet werden, enthält die Liste Benutzerobjekte von externen Benutzern, die eine Einladung nicht eingelöst haben. Je nach Szenario können Sie die aufgelisteten Objekte gebrauchen oder nicht.
- Externe Benutzer können mit der Exchange Online PowerShell ausgeblendet werden. Sie können das PowerShell-Cmdlet Set-MailUser ausführen, um die Eigenschaft HiddenFromAddressListsEnabled auf den Wert $false festzulegen.
Zum Beispiel:
Set-MailUser [ExternalUserUPN] -HiddenFromAddressListsEnabled:\$false\
Dabei entspricht ExternalUserUPN dem berechneten Attribut UserPrincipalName.
Zum Beispiel:
Set-MailUser externaluser1_contoso.com#EXT#@fabricam.onmicrosoft.com\ -HiddenFromAddressListsEnabled:\$false
Externe Benutzer können im Microsoft 365 Admin Center sichtbar gemacht werden.
- Aktualisierungen von Exchange-spezifischen Eigenschaften wie PrimarySmtpAddress, ExternalEmailAddress, EmailAdresses und MailTip können nur mithilfe von Exchange Online PowerShell festgelegt werden. Das Exchange Online Admin Center erlaubt es Ihnen nicht, die Attribute über die grafische Benutzeroberfläche (GUI) zu ändern.
Wie im Beispiel gezeigt, können Sie das PowerShell-Cmdlet Set-MailUser für E-Mail-spezifische Eigenschaften verwenden. Es gibt Benutzereigenschaften, die Sie mit dem PowerShell-Cmdlet Set-User ändern können. Die meisten Eigenschaften können Sie mit den Microsoft Graph-APIs bearbeiten.
Eines der nützlichsten Features von Set-MailUser ist die Möglichkeit, die Eigenschaft EmailAddresses zu bearbeiten. Dieses mehrwertige Attribut kann mehrere Proxyadressen für den externen Benutzer enthalten (z. B. SMTP, X500, Session Initiation Protocol (SIP)). Standardmäßig verfügt ein externer Benutzer über die primäre SMTP-Adresse, die mit UserPrincipalName (UPN) korreliert ist. Wenn Sie das primäre SMTP ändern oder SMTP-Adressen hinzufügen möchten, können Sie diese Eigenschaft einstellen. Sie können nicht das Exchange Admin Center verwenden, sondern müssen Exchange Online PowerShell nutzen. Unter Hinzufügen oder Entfernen von E-Mail-Adressen für ein Postfach in Exchange Online werden verschiedene Möglichkeiten zum Ändern einer mehrwertigen Eigenschaft wie EmailAddresses aufgezeigt.
Microsoft SharePoint in Microsoft 365
SharePoint in Microsoft 365 hat seine eigenen dienstspezifischen Berechtigungen, je nachdem, ob der Benutzer (intern oder extern) vom Typ Mitglied oder Gast im Microsoft Entra-Mandanten ist. Unter Externe Microsoft 365-Freigaben und Microsoft Entra B2B-Zusammenarbeit wird beschrieben, wie Sie die Integration mit SharePoint und OneDrive zum Freigeben von Dateien, Ordnern, Listenelementen, Dokumentbibliotheken und Websites für Personen außerhalb Ihrer Organisation aktivieren. Microsoft 365 führt dies aus, während Azure B2B für die Authentifizierung und Verwaltung verwendet wird.
Nachdem Sie die externe Freigabe in SharePoint in Microsoft 365 aktiviert haben, ist die Möglichkeit, in der Personenauswahl von SharePoint in Microsoft 365 nach Gastbenutzern zu suchen, standardmäßig OFF. Diese Einstellung verhindert, dass Gastbenutzer auffindbar sind, wenn sie aus der Exchange Online-GAL ausgeblendet werden. Sie können Gastbenutzer auf zwei Arten sichtbar machen (die sich nicht gegenseitig ausschließen):
- Sie können die Möglichkeit zum Suchen nach Gastbenutzern auf verschiedene Weise aktivieren:
- Ändern Sie die Einstellung ShowPeoplePickerSuggestionsForGuestUsers auf Mandanten- und Websitesammlungsebene.
- Legen Sie die Funktion mit den PowerShell-Cmdlets Set-SPOTenant und Set-SPOSite SharePoint in Microsoft 365 PowerShell fest.
- Gastbenutzer, die in der Exchange Online GAL sichtbar sind, sind auch in der Personenauswahl von SharePoint in Microsoft 365 sichtbar. Die Konten werden unabhängig von der Einstellung für ShowPeoplePickerSuggestionsForGuestUsers angezeigt.
Microsoft Teams
Microsoft Teams verfügt über Features zum Einschränken des Zugriffs basierend auf dem Benutzertyp. Änderungen am Benutzertyp können sich auf den Inhaltszugriff und die verfügbaren Features auswirken. Microsoft Teams fordert die Benutzer auf, mit dem Mechanismus „Mandantenwechsel“ ihres Team-Clients ihren Kontext zu ändern, wenn sie außerhalb ihres Basismandanten in Teams arbeiten.
Für den Mechanismus „Mandantenwechsel“ von Microsoft Teams werden Benutzer möglicherweise aufgefordert, den Kontext ihres Teams-Clients manuell zu ändern, wenn sie außerhalb ihres Basismandanten in Teams arbeiten.
Mithilfe eines Teams-Verbunds können Sie Teams-Benutzern aus einer anderen externen Domäne die Möglichkeit geben, Ihre Benutzern zu suchen, anzurufen, mit ihnen zu chatten und Besprechungen einzurichten. Unter Verwalten externer Besprechungen und Chats mit Personen und Organisationen mithilfe von Microsoft-Identitäten wird beschrieben, wie Sie Benutzern in Ihrer Organisation Besprechungen und Chats mit Personen außerhalb der Organisation, die Microsoft als Identitätsanbieter verwenden, erlauben können.
Lizenzierungsüberlegungen für Gastbenutzer in Teams
Wenn Sie Azure B2B mit Office 365-Workloads verwenden, zählen Instanzen, in denen Gastbenutzer (intern oder extern) nicht die gleiche Erfahrung wie Mitgliedsbenutzer haben, zu den wichtigsten Überlegungen.
- Microsoft-Gruppen. Unter Hinzufügen von Gästen zu Office 365-Gruppen wird beschrieben, wie Sie und Ihr Team mithilfe des Gastzugriffs in Microsoft 365-Gruppen mit Personen, die sich außerhalb Ihrer Organisation befinden, zusammenarbeiten können, indem Sie ihnen Zugriff auf Gruppenunterhaltungen, Dateien, Kalendereinladungen und das Gruppennotizbuch gewähren.
- Microsoft Teams. Unter Funktionen für Teambesitzer, Mitglieder und Gäste in Teams finden Sie weitere Informationen zur Gastkontofunktionalität in Microsoft Teams. Mithilfe externer Mitgliedsbenutzer können Sie eine realitätsgetreue Erfahrung in Teams aktivieren.
- Bei mehreren Mandanten in unserer Commercial Cloud können Benutzer, die in ihrem Hauptmandanten lizenziert sind, auf Ressourcen in einem anderen Mandanten innerhalb derselben juristischen Person zugreifen. Über die Einstellung „Externe Mitglieder“ können Sie den Zugriff ohne weitere Lizenzgebühren gewähren. Diese Einstellung gilt für SharePoint und OneDrive Teams und Gruppen.
- Für mehrere Mandanten in anderen Microsoft-Clouds und für mehrere Mandanten in verschiedenen Clouds sind B2B-Mitgliedslizenzprüfungen noch nicht verfügbar. Die Verwendung von B2B-Mitglied mit Teams erfordert eine zusätzliche Lizenz für jedes B2B-Mitglied. Diese Anforderung kann sich auch auf andere Workloads wie Power BI auswirken.
- Die Verwendung von B2B-Mitgliedern für Mandanten, die nicht Teil derselben juristischen Einheit sind, unterliegt zusätzlichen Lizenzanforderungen.
- Identity Governance-Features. Für die Berechtigungsverwaltung und Zugriffsüberprüfungen sind möglicherweise weitere Lizenzen für externe Benutzer erforderlich.
- Weitere Produkte. Produkte wie Dynamics Kundenbeziehungsmanagement (CRM) erfordern möglicherweise eine Lizenzierung in jedem Mandanten, in dem ein Benutzer vertreten ist.
Nächste Schritte
- Einführung in die mandantenfähige Benutzerverwaltung ist der erste in einer Reihe von Artikeln, die Anleitungen für die Konfiguration und Bereitstellung der Benutzerlebenszyklusverwaltung in mandantenfähigen Microsoft Entra-Umgebungen enthalten.
- Szenarien für die Mandanten-fähige Benutzerverwaltung beschreibt drei Szenarien, für die Sie die Funktionen der Mandanten-fähigen Benutzerverwaltung nutzen können: Vom Endbenutzer initiiert, per Skript gesteuert und automatisiert.
- Gemeinsame Lösungen für die mandantenübergreifende Benutzerverwaltung, wenn eine einzelne Mandantenfähigkeit für Ihr Szenario nicht ausreicht. Dieser Artikel bietet einen Leitfaden für diese Herausforderungen: Automatische Benutzerlebenszyklusverwaltung und Ressourcenzuteilung über Mandanten hinweg sowie gemeinsame Nutzung von lokalen Anwendungen über Mandanten hinweg.
- Microsoft Collaboration Framework für die US-Verteidigungsindustrie beschreibt Kandidatenreferenzarchitekturen für Identität, um mehrinstanzenfähige Organisationen (MTO) aufzunehmen. Dieses Szenario gilt speziell für MTOs, die über eine Bereitstellung in der US Sovereign Cloud mit Microsoft 365 US Government (GCC High) und Azure Government verfügen. Es befasst sich auch mit der externen Zusammenarbeit in stark regulierten Umgebungen, einschließlich Organisationen, die entweder in der Commercial oder in der US Sovereign Cloud verwaltet werden.