Bewährte Methoden für Microsoft Entra B2B

Gilt für: Grüner Kreis mit weißem Häkchen. Mitarbeitermandanten Weißer Kreis mit grauem X. Externe Mandanten (weitere Informationen)

Dieser Artikel enthält Empfehlungen und Best Practices für die B2B-Zusammenarbeit (Business-to-Business) in Microsoft Entra External ID.

Wichtig

Die Funktion Einmalkennung per E-Mail ist jetzt standardmäßig bei allen neuen Mandanten und allen bestehenden Mandanten aktiviert, die sie nicht explizit deaktiviert haben. Wenn diese Funktion deaktiviert ist, fordert die alternative Authentifizierungsmethode eingeladene Personen auf, ein Microsoft-Konto zu erstellen.

B2B-Empfehlungen

Empfehlung Kommentare
Lesen Sie den Microsoft Entra-Leitfaden zum Schützen Ihrer Zusammenarbeit mit externen Partnern. Hier erfahren Sie, wie Sie einen ganzheitlichen Governanceansatz für die Zusammenarbeit Ihrer Organisation mit externen Partnern verfolgen, indem Sie die Empfehlungen unter Schützen der externen Zusammenarbeit in Microsoft Entra ID und Microsoft 365 befolgen.
Planen Sie Ihre Einstellungen für den mandantenübergreifenden Zugriff und die externen Zusammenarbeit sorgfältig. Microsoft Entra External ID bietet Ihnen flexible Steuerelemente für die Verwaltung der Zusammenarbeit mit externen Benutzern und Organisationen. Sie können die Zusammenarbeit insgesamt zulassen oder blockieren oder die Zusammenarbeit nur für bestimmte Organisationen, Benutzer und Apps konfigurieren. Bevor Sie Einstellungen für den mandantenübergreifenden Zugriff und die externe Zusammenarbeit konfigurieren, sollten Sie eine sorgfältige Bestandsaufnahme der Organisationen durchführen, mit denen Sie zusammenarbeiten. Legen Sie dann fest, ob Sie eine direkte B2B-Verbindung oder die B2B-Zusammenarbeit mit anderen Microsoft Entra-Mandanten aktivieren möchten.
Einschränken des Zugriffs auf das Verzeichnis für Gastbenutzer Standardmäßig haben Gastbenutzer eingeschränkten Zugriff auf Ihr Microsoft Entra-Verzeichnis. Sie können ihr eigenes Profil verwalten und einige Informationen zu anderen Benutzern, Gruppen und Apps abrufen. Sie können den Zugriff weiter einschränken, sodass Gäste nur ihre eigenen Profilinformationen einsehen können. Erfahren Sie mehr über Standard-Gastberechtigungen und wie Sie Einstellungen für die externe Zusammenarbeit konfigurieren.
Festlegen, wer Gäste einladen kann Standardmäßig können alle Benutzer in Ihrem Unternehmen, B2B Collaboration-Gastbenutzer eingeschlossen, externe Benutzer zur B2B-Zusammenarbeit einladen. Wenn Sie die Möglichkeit zum Versenden von Einladungen einschränken möchten, können Sie die Funktion für alle Benutzer aktivieren oder deaktivieren oder auf bestimmte Rollen beschränken, indem Sie Einstellungen für die externe Zusammenarbeit konfigurieren.
Verwenden Sie Mandanteneinschränkungen, um zu steuern, wie externe Konten in Ihren Netzwerken und auf Ihren verwalteten Geräten verwendet werden. Mit Mandanteneinschränkungen können Sie verhindern, dass Benutzer Konten verwenden, die sie unter Verwendung unbekannter Mandanten erstellt haben, oder Konten, die sie von externen Organisationen erhalten haben. Sie sollten diese Konten nicht zulassen und stattdessen die B2B Collaboration nutzen.
Um für ein optimales Benutzererlebnis bei der Anmeldung zu sorgen, erstellen Sie einen Verbund mit Identitätsanbietern. Erstellen Sie nach Möglichkeit einen direkten Verbund mit Identitätsanbietern, um eingeladenen Benutzern die Anmeldung bei Ihren freigegebenen Apps und Ressourcen zu ermöglichen, ohne dass sie Microsoft-Konten (Microsoft Accounts, MSAs) oder Microsoft Entra-Konten erstellen müssen. Sie können das Feature zum Erstellen eines Verbunds mit Google verwenden, um B2B-Gastbenutzern die Anmeldung mit ihren Google-Konten zu ermöglichen. Alternativ dazu können Sie das Feature für einen SAML/WS-Fed-Identitätsanbieter (Vorschau) verwenden, um einen Verbund mit einer beliebigen Organisation einzurichten, deren Identitätsanbieter das SAML 2.0- oder WS-Fed-Protokoll unterstützt.
Verwenden Sie das Feature für das Senden einer Einmalkennung per E-Mail für B2B-Gastbenutzer, die sich auf andere Weise nicht authentifizieren können. Mit der Funktion Einmalkennung per E-Mail werden B2B-Gastbenutzer authentifiziert, wenn sie über andere Wege (z. B. über Microsoft Entra ID, ein Microsoft-Konto (MSA) oder den Verbund mit Google) nicht authentifiziert werden können. Wenn der Gastbenutzer eine Einladung einlöst oder auf eine freigegebene Ressource zugreift, kann er einen temporären Code anfordern, der an seine E-Mail-Adresse gesendet wird. Anschließend gibt er diesen Code ein, um den Anmeldevorgang fortzusetzen.
Hinzufügen eines Unternehmensbrandings zu Ihrer Anmeldeseite Sie können Ihre Anmeldeseite anpassen, damit sie für B2B-Gastbenutzer intuitiver ist. Informationen dazu finden Sie unter Hinzufügen von Unternehmensbranding zur Anmelde- und Zugriffsbereichsseite.
Fügen Sie Ihre Datenschutzerklärung zum Einlösungsprozess der B2B-Gastbenutzer hinzu. Sie können die URL zur Datenschutzerklärung Ihrer Organisation in den Prozess zum Einlösen einer Einladung einfügen, sodass ein eingeladener Benutzer diesen Bestimmungen zustimmen muss, um fortfahren zu können. Siehe Hinzufügen der Datenschutzinformationen Ihrer Organisation in Microsoft Entra ID.
Verwenden Sie das Feature für Masseneinladungen (Vorschau), um mehrere B2B-Gastbenutzer gleichzeitig einzuladen. Laden Sie mithilfe des Features für Masseneinladungen (Vorschau) im Azure-Portal mehrere Gastbenutzer gleichzeitig in Ihre Organisation ein. Mit diesem Feature können Sie eine CSV-Datei hochladen, um per Massenvorgang B2B-Gastbenutzer zu erstellen und Einladungen zu senden. Weitere Informationen finden Sie unter Tutorial: Masseneinladen von B2B-Benutzern.
Erzwingen von Richtlinien für bedingten Zugriff für Microsoft Entra-Multi-Faktor-Authentifizierung Es wird empfohlen, MFA-Richtlinien in den Apps zu erzwingen, die Sie für B2B-Benutzer von Partnern freigeben möchten. Auf diese Weise wird die MFA in allen Apps in Ihrem Mandanten erzwungen, unabhängig davon, ob die Partnerorganisation die MFA verwendet. Weitere Informationen finden Sie unter Bedingter Zugriff für Benutzer von B2B Collaboration. Wenn Sie über eine enge Geschäftsbeziehung mit einer Organisation verfügen und deren MFA-Praktiken überprüft haben, können Sie mandantenübergreifende Zugriffseinstellungen konfigurieren, um ihre MFA-Ansprüche zu akzeptieren (weitere Informationen).
Verwenden von Authentifizierungsstärkerichtlinien für bedingten Zugriff für Gäste Die Authentifizierungsstärke ist ein Element der bedingten Zugriffssteuerung, mit dem Sie eine bestimmte Kombination von Multi-Faktor-Authentifizierungsmethoden (MFA) definieren können, die ein externer Microsoft Entra-Benutzer durchlaufen muss, um auf Ihre Ressourcen zuzugreifen. Sie wirkt mit MFA-Vertrauenseinstellungen in Ihren mandantenübergreifenden Zugriffseinstellungen zusammen, um zu bestimmen, wo und wie der externe Benutzer eine Multi-Faktor-Authentifizierung durchführen muss. Weitere Informationen finden Sie unter Richtlinien zur Authentifizierungsstärke für externe Benutzer.
Wenn Sie gerätebasierte Richtlinien für bedingten Zugriff erzwingen, verwenden Sie Ausschlusslisten, um B2B-Benutzern Zugriff zu gewähren. Wenn in Ihrer Organisation gerätebasierte Richtlinien für bedingten Zugriff aktiviert sind, werden Geräte von B2B-Gastbenutzern blockiert, weil sie nicht von Ihrer Organisation verwaltet werden. Sie können jedoch Ausschlusslisten mit bestimmten Partnerbenutzern erstellen, die von der gerätebasierten Richtlinie für bedingten Zugriff ausgeschlossen werden sollen. Weitere Informationen finden Sie unter Bedingter Zugriff für Benutzer von B2B Collaboration.
Verwenden Sie beim Bereitstellen von direkten Links für Ihre B2B-Gastbenutzer eine mandantenspezifische URL. Alternativ zur Einladungs-E-Mail können Sie einem Gast einen direkten Link zu Ihrer App oder Ihrem Portal zur Verfügung stellen. Dieser direkte Link muss mandantenspezifisch sein, also eine Mandanten-ID oder eine überprüfte Domäne enthalten, damit der Gast in Ihrem Mandanten, in dem sich die freigegebene App befindet, authentifiziert werden kann. Weitere Informationen finden Sie unter Einlösung von Einladungen.
Verwenden Sie beim Entwickeln einer App die UserType-Eigenschaft, um die Funktionalität für Gastbenutzer festzulegen. Wenn Sie eine Anwendung entwickeln und für Mandantenbenutzer und Gastbenutzer unterschiedliche Funktionalitäten bereitstellen möchten, verwenden Sie die Eigenschaft „UserType“. Der UserType-Anspruch ist derzeit nicht im Token enthalten. Anwendungen sollten die Microsoft Graph-API verwenden, um zum Abrufen der UserType-Eigenschaft eines Benutzers das Verzeichnis abzufragen.
Ändern Sie die Eigenschaft „UserType“ nur, wenn sich die Beziehung eines Benutzers zur Organisation ändert. Sie können zwar die UserType-Eigenschaft eines Benutzers in PowerShell von „Mitglied“ zu „Gast“ (und umgekehrt) konvertieren, aber Sie sollten diese Eigenschaft nur ändern, wenn sich die Beziehung des Benutzers zu Ihrer Organisation ändert. Weitere Informationen finden Sie unter Eigenschaften eines B2B-Gastbenutzers.
Ermitteln Sie, ob Ihre Umgebung von den Microsoft Entra-Verzeichnislimits betroffen ist. Microsoft Entra B2B unterliegt den Beschränkungen des Microsoft Entra-Dienstverzeichnisses. Ausführliche Informationen zur Anzahl von Verzeichnissen, die ein Benutzer erstellen kann, und der Anzahl von Verzeichnissen, zu denen ein Benutzer oder Gastbenutzer gehören kann, finden Sie unter Dienstgrenzwerte und Einschränkungen für Microsoft Entra.
Verwalten des B2B-Kontolebenszyklus mit dem Feature „Sponsoren“ Ein Sponsor ist ein Benutzer oder eine Benutzerin oder eine Gruppe, der bzw. die für seine Gastbenutzer*innen verantwortlich ist. Weitere Informationen zu diesem neuen Feature finden Sie unter Feld „Sponsoren“ für B2B-Benutzer.

Nächste Schritte

Verwalten der B2B-Freigabe