Mehrmandantenfähige Organisationsfähigkeiten in Microsoft Entra ID

Dieser Artikel bietet eine Übersicht über das Szenario mit einer mehrmandantenfähigen Organisation und die zugehörigen Funktionen in Microsoft Entra ID.

Was ist das Szenario für mehrmandantenfähige Organisationen?

Es handelt sich um ein Szenario mit einer mehrmandantenfähigen Organisation, wenn eine Organisation über mehr als eine Mandanteninstanz von Microsoft Entra ID verfügt. Dies sind die wichtigsten Gründe dafür, dass eine Organisation möglicherweise mehrere Mandanten benötigt:

  • Konglomerate: Organisationen mit mehreren Tochtergesellschaften oder Geschäftseinheiten, die unabhängig voneinander arbeiten.
  • Fusionen und Übernahmen: Organisationen, die Unternehmen zusammenführen oder erwerben.
  • Veräußerung: Bei einer Veräußerung spaltet eine Organisation einen Teil ihres Geschäfts ab, um eine neue Organisation zu bilden oder den Geschäftsteil an eine vorhandene Organisation zu verkaufen.
  • Mehrere Clouds: Organisationen, die aus Gründen der Compliance oder anderer gesetzlicher Anforderungen mehrere Cloudumgebungen benötigen.
  • Mehrere geografische Grenzen: Organisationen, die an mehreren geografischen Standorten mit unterschiedlichen Bestimmungen im Hinblick auf die Datenresidenz tätig sind.
  • Test- oder Stagingmandanten: Organisationen, die mehrere Mandanten zu Test- oder Stagingzwecken benötigen, bevor sie eine umfassendere Bereitstellung in primären Mandanten durchführen.
  • Von Abteilungen oder Mitarbeitern erstellte Mandanten: Organisationen, in denen Abteilungen oder Mitarbeiter Mandanten für Entwicklung, Tests oder eine separate Kontrolle erstellt haben.

Was ist ein Microsoft Entra-Mandant?

Ein Mandant ist eine Instanz von Microsoft Entra ID, in der sich Informationen zu einer einzelnen Organisation befinden, einschließlich Organisationsobjekten wie Benutzer*innen, Gruppen und Geräten sowie Anwendungsregistrierungen wie Microsoft 365- und Drittanbieteranwendungen. Ein Mandant enthält auch Zugriffs- und Compliancerichtlinien für Ressourcen, z. B. für Anwendungen, die im Verzeichnis registriert sind. Zu den primären Funktionen, die von einem Mandanten bereitgestellt werden, gehören die Identitätsauthentifizierung und die Ressourcenzugriffsverwaltung.

Aus Sicht von Microsoft Entra bildet ein Mandant einen Identitäts- und Zugriffsverwaltungsbereich. Beispielsweise macht ein Mandantenadministrator eine Anwendung für einige oder alle Benutzer im Mandanten verfügbar und erzwingt Zugriffsrichtlinien für diese Anwendung für Benutzer in diesem Mandanten. Darüber hinaus enthält ein Mandant Brandingdaten der Organisation, die das Endbenutzererlebnis unterstützen, z. B. die E-Mail-Domänen der Organisation und SharePoint-URLs, die von Mitarbeitern in dieser Organisation verwendet werden. Aus Sicht von Microsoft 365 bildet ein Mandant die Standardgrenze für Zusammenarbeit und Lizenzierung. Beispielsweise können Benutzer in Microsoft Teams oder Microsoft Outlook problemlos andere Benutzer in ihrem Mandanten finden und mit ihnen zusammenarbeiten, aber sie haben nicht die Möglichkeit, Benutzer in anderen Mandanten zu finden oder zu sehen.

Mandanten enthalten Organisationsdaten, die Zugriffsberechtigungen erfordern, und sind sicher von anderen Mandanten isoliert. Darüber hinaus können Mandanten so konfiguriert werden, dass Daten in einer bestimmten Region oder Cloud gespeichert und verarbeitet werden, sodass Organisationen Mandanten als Mechanismus verwenden können, um Datenresidenz- und Complianceanforderungen zu erfüllen.

Herausforderungen bei mehreren Mandanten

Möglicherweise hat Ihre Organisation gerade ein neues Unternehmen erworben, mit einem anderen Unternehmen fusioniert oder eine Umstrukturierung basierend auf neu gebildeten Geschäftseinheiten durchgeführt. Wenn es unterschiedliche Identitätsverwaltungssysteme gibt, kann es für Benutzer in verschiedenen Mandanten schwierig sein, auf Ressourcen zuzugreifen und zusammenzuarbeiten.

Das folgende Diagramm zeigt, dass Benutzer in anderen Mandanten möglicherweise nicht mandantenübergreifend auf Anwendungen in Ihrer Organisation zugreifen können.

Diagramm: kein mandantenübergreifender Benutzerzugriff auf Anwendungen

Wenn Ihre Organisation sich weiterentwickelt, muss sich Ihr IT-Team anpassen, um die sich ändernden Anforderungen zu erfüllen. Dazu gehört häufig die Integration in einen vorhandenen Mandanten oder die Bildung eines neuen Mandanten. Unabhängig davon, wie die Identitätsinfrastruktur verwaltet wird, ist es wichtig, dass Benutzer nahtlos auf Ressourcen zugreifen und zusammenarbeiten können. Heute verwenden Sie möglicherweise benutzerdefinierte Skripts oder lokale Lösungen, um die Mandanten zu verbinden und so eine nahtlose Umgebung über alle Mandanten hinweg zu bieten.

Mehrmandantenfunktionen für mehrmandantenfähige Organisationen

Mehrmandantenfähige Organisationen in Microsoft Entra ID bieten ein Portfolio von Multitenant-Funktionen, die Sie verwenden können, um sicher mit Benutzern in Ihrer Organisation mit mehreren Mandanten zu interagieren und diese Benutzer automatisch in Ihren Mandanten bereitzustellen und zu verwalten.

Mehrere dieser Mehrmandantenfunktionen teilen einen gemeinsamen Technologiestapel mit Microsoft Entra External ID für Business-Gäste und der App-Bereitstellung in Microsoft Entra ID, sodass Sie häufig Querverweise auf diese anderen Bereiche finden können. Microsoft 365 Enterprise verwendet Funktionen für mehrere Mandanten, um nahtlose Mehrmanantenzusammenarbeit in Microsoft Teams und in Microsoft 365-Anwendungen zu ermöglichen oder zu vereinfachen.

Die folgenden Funktionen für mehrere Mandanten unterstützen die Anforderungen von mehrmandantenfähigen Organisationen:

  • Einstellungen für den mandantenübergreifenden Zugriff – Verwaltet, wie Ihr Mandant den Zugriff auf Ihren Mandanten von anderen Mandanten in Ihrer Organisation oder umgekehrt zulässt. Sie steuern die B2B-Zusammenarbeit, direkte B2B-Verbindungen und mandantenübergreifende Synchronisierung und geben an, ob ein anderer Mandant Ihrer Organisation als Teil Ihrer mehrmandantenfähigen Organisation bekannt ist.

  • Direkte B2B-Verbindung – Richtet eine gegenseitige bidirektionale Vertrauensstellung zu einem anderen Microsoft Entra-Mandanten ein, um eine nahtlose Zusammenarbeit zu ermöglichen. Benutzer mit direkter B2B-Verbindung werden in Ihrem Verzeichnis nicht dargestellt, sind jedoch in Teams für die Zusammenarbeit in freigegebenen Teams-Kanälen sichtbar.

  • B2B-Zusammenarbeit – Bietet Anwendungszugriff und Zusammenarbeit für externe Benutzer. B2B-Zusammenarbeitsbenutzer werden in Ihrem Verzeichnis angezeigt. Sie sind in Microsoft Teams für die Zusammenarbeit verfügbar, sofern diese aktiviert ist. Sie sind auch in Microsoft 365-Anwendungen verfügbar.

  • Mandantenübergreifende Synchronisierung – Stellt einen Synchronisierungsdienst bereit, der das Erstellen, Aktualisieren und Löschen von B2B-Zusammenarbeitsbenutzern in Ihrer Organisation mit mehreren Mandanten automatisiert. Der Dienst kann zum Angeben des Bereichs für die Microsoft 365-Personensuche in Zielmandanten verwendet werden. Der Dienst wird durch mandantenübergreifende Synchronisierungseinstellungen unter mandantenübergreifenden Zugriffseinstellungen gesteuert.

  • Mandantenübergreifende Microsoft 365-Personensuche – Zusammenarbeit mit B2B-Zusammenarbeitsbenutzern. Wenn sie in der Adressliste angezeigt werden, stehen B2B-Zusammenarbeitsbenutzer als Kontakte in Outlook zur Verfügung. Wenn sie auf den Benutzertyp „Mitglied“ hochgestuft werden, stehen B2B-Mitgliedsbenutzer für die Zusammenarbeit in den meisten Microsoft 365-Anwendungen zur Verfügung.

  • Mehrmandantenfähige Organisation – Definiert eine Grenze um die Microsoft Entra-Mandanten, die Ihre Organisation besitzt, was durch einen Einladungs- und Annahmeablauf unterstützt wird. In Verbindung mit der B2B-Mitgliedsbereitstellung ermöglicht dies die nahtlose Zusammenarbeit in Microsoft Teams- und Microsoft 365-Anwendungen wie Microsoft Viva Engage. Mandantenübergreifende Zugriffseinstellungen bieten ein Flag für die Mandanten in Ihrer mehrmandantenfähigen Organisation.

  • Microsoft 365 Admin Center für die mandantenübergreifende Zusammenarbeit – Bietet eine intuitive Verwaltungsportalumgebung, um eine mehrmandantenfähige Organisation zu erstellen. Für kleinere mehrmandantenfähige Organisationen bietet dies auch eine vereinfachte Erfahrung zum Synchronisieren von Benutzern mit Mandanten in mehrmandantenfähigen Organisationen als Alternative zur Verwendung des Microsoft Entra Admin Centers.

In den folgenden Abschnitten werden diese Funktionen ausführlicher beschrieben.

Mandantenübergreifende Zugriffseinstellungen

Microsoft Entra-Mandantenadministratoren, die die Kontrolle über ihre mandantenbezogenen Ressourcen behalten, sind ein Leitprinzip, auch innerhalb Ihrer Organisation mit mehreren Mandanten. Daher sind Einstellungen für den mandantenübergreifenden Zugriff für jede Mandant-zu-Mandant-Beziehung erforderlich, und Mandantenadministratoren konfigurieren jede mandantenübergreifende Zugriffsbeziehung explizit gemäß den Anforderungen.

Das folgende Diagramm zeigt die grundlegenden Einstellungen für den mandantenübergreifenden Zugriff (eingehend und ausgehend).

Übersichtsdiagramm zu mandantenübergreifenden Zugangseinstellungen.

Weitere Informationen finden Sie unter Übersicht über mandantenübergreifenden Zugriff.

Direkte B2B-Verbindung

Damit Benutzer mandantenübergreifend in gemeinsam genutzten Teams Connect-Kanälen zusammenarbeiten können, können Sie eine direkte B2B-Verbindung in Microsoft Entra verwenden. Die direkte B2B-Verbindung ist ein Feature von External ID, mit dem Sie eine gegenseitige Vertrauensstellung mit einem anderen Microsoft Entra-Mandanten für eine nahtlose Zusammenarbeit in Teams einrichten können. Sobald die Vertrauensstellung eingerichtet wurde, können Benutzer sich über die direkte B2B-Verbindung per SSO (Single Sign-On, einmaliges Anmelden) mit den Anmeldeinformationen ihres Ursprungsmandanten anmelden.

Die folgenden wesentlichen Einschränkungen gelten bei der Verwendung einer direkten B2B-Verbindung über mehrere Mandanten hinweg:

  • Derzeit funktioniert eine direkte B2B-Verbindung nur mit gemeinsam genutzten Teams Connect-Kanälen.

Diagramm: direkte B2B-Verbindung über mehrere Mandanten hinweg

Weitere Informationen finden Sie unter Übersicht über direkte B2B-Verbindungen.

B2B-Zusammenarbeit

Um Benutzern eine mandantenübergreifende Zusammenarbeit zu ermöglichen, können Sie die B2B-Zusammenarbeit von Microsoft Entra nutzen. Die B2B-Zusammenarbeit ist ein Feature von External ID, mit dem Sie Gastbenutzer zur Zusammenarbeit mit Ihrer Organisation einladen können. Sobald externe Benutzer ihre Einladung eingelöst oder die Registrierung abgeschlossen haben, werden sie in Ihrem Mandanten als Benutzerobjekte dargestellt. Mithilfe der B2B-Zusammenarbeit können Sie Anwendungen und Dienste Ihres Mandanten auf sichere Weise für externe Benutzer freigeben und gleichzeitig die Kontrolle über die Daten Ihres Mandanten behalten.

Dies sind die wichtigsten Einschränkungen bei der Verwendung der B2B-Zusammenarbeit über mehrere Mandanten hinweg:

  • Administratoren müssen Benutzer über den B2B-Einladungsprozess einladen oder mithilfe des Einladungs-Managers der B2B-Zusammenarbeit eine Onboardingfunktion erstellen.
  • Administratoren müssen möglicherweise Benutzer mithilfe von benutzerdefinierten Skripts synchronisieren.
  • Abhängig von den Einstellungen für eine automatische Einlösung von Einladungen müssen Benutzer möglicherweise in jedem Mandanten eine Einwilligungsaufforderung akzeptieren und einen Einlösungsprozess befolgen.

Diagramm: B2B-Zusammenarbeit über mehrere Mandanten hinweg

Weitere Informationen finden Sie unter Übersicht über die B2B-Zusammenarbeit.

Mandantenübergreifende Synchronisierung

Wenn Sie möchten, dass Benutzer nahtlos über mehrere Mandanten hinweg zusammenarbeiten, können Sie die mandantenübergreifende Synchronisierung in Microsoft Entra ID nutzen. Die mandantenübergreifende Synchronisation ist ein Einweg-Synchronisationsdienst in Microsoft Entra ID, der das Erstellen, Aktualisieren und Löschen von Benutzern für die B2B-Zusammenarbeit in verschiedenen Mandanten eines Unternehmens automatisiert. Die mandantenübergreifende Synchronisierung baut auf der B2B-Zusammenarbeitsfunktion auf und nutzt vorhandene mandantenübergreifende Einstellungen für den B2B-Zugriff. Benutzer werden im Zielmandanten als Benutzerobjekt in der B2B-Zusammenarbeit dargestellt.

Dies sind die wichtigsten Vorteile der mandantenübergreifenden Synchronisierung:

  • B2B-Zusammenarbeitsbenutzer werden automatisch in Ihrer Organisation erstellt und erhalten Zugriff auf die benötigten Anwendungen, ohne dass Sie benutzerdefinierte Skripts erstellen und verwalten müssen.
  • Sie verbessert die Benutzerfreundlichkeit und stellt sicher, dass Benutzer auf Ressourcen zugreifen können, ohne für jeden Mandanten eine Einladungs-E-Mail zu erhalten und eine Einwilligungsaufforderung akzeptieren zu müssen.
  • Benutzer werden automatisch aktualisiert und bei Verlassen der Organisation entfernt.

Dies sind die wichtigsten Einschränkungen bei der Verwendung der mandantenübergreifenden Synchronisierung über mehrere Mandanten hinweg:

  • Synchronisierte Benutzer können dieselben mandantenübergreifenden Teams- und Microsoft 365-Funktionen nutzen, die für alle anderen Benutzer der B2B-Zusammenarbeit verfügbar sind.
  • Gruppen, Geräte und Kontakte werden nicht synchronisiert.

Diagramm: Verwendung der mandantenübergreifenden Synchronisierung über mehrere Mandanten hinweg

Weitere Informationen finden Sie unter Was ist mandantenübergreifende Synchronisierung?.

B2B-Zusammenarbeitsbenutzer können jetzt für die Zusammenarbeit in Microsoft 365 aktiviert werden, über die bekannte Erfahrung für B2B-Zusammenarbeitsgastbenutzer hinaus.

Die Personensuche in mehrmandantenfähigen Organisationen ist ein Zusammenarbeitsfeature, das die Suche nach und Ermittlung von Personen über mehrere Mandanten hinweg ermöglicht. Wenn sie in der Adressliste angezeigt werden, stehen B2B-Zusammenarbeitsbenutzer als Kontakte in Outlook zur Verfügung. B2B-Benutzer werden in der Adressliste angezeigt, und wenn sie auf den Benutzertyp „Mitglied“ hochgestuft werden, stehen sie für die Zusammenarbeit in den meisten Microsoft 365-Anwendungen zur Verfügung.

Dies sind die wichtigsten Vorteile der Verwendung der Microsoft 365-Personensuche über mehrere Mandanten hinweg:

  • B2B-Zusammenarbeitsbenutzer können für die Zusammenarbeit in Outlook zur Verfügung gestellt werden. Dies kann mithilfe der showInAddressList-Eigenschaft aktiviert werden, die für Exchange Online-E-Mail-Benutzer im Hostmandanten auf „true“ festgelegt wird, oder mit der mandantenübergreifenden Synchronisierung vom Quellmandanten.
  • B2B-Zusammenarbeitsbenutzer, die bereits in Adresslisten angezeigt werden, können für die Zusammenarbeit in den meisten Microsoft 365-Anwendungen verfügbar gemacht werden, indem die userType-Eigenschaft auf „Member“ festgelegt wird. Dies wird im Microsoft Entra Admin Center des Hostmandanten verwaltet oder über die mandantenübergreifende Synchronisierung vom Quellmandanten.

Dies sind die wichtigsten Einschränkungen bei der Verwendung der Microsoft 365-Personensuche über mehrere Mandanten hinweg:

Weitere Informationen finden Sie unter Microsoft 365: Personensuche auf mehrmandantenfähigen Instanzen.

Mehrmandantenfähige Organisation

Mehrmandantenfähige Organisationen sind ein Feature in Microsoft Entra ID und Microsoft 365, mit dem Sie eine Grenze um die Microsoft Entra-Mandanten definieren können, die Ihrer Organisation gehören. Im Verzeichnis wird dies durch eine Mandantengruppe dargestellt, die Ihre Organisation darstellt. Jedes Mandantenpaar in der Gruppe wird durch mandantenübergreifende Zugriffseinstellungen gesteuert, die Sie zum Konfigurieren der B2B-Zusammenarbeit verwenden können.

Hier werden die primären Vorteile einer mehrmandantenfähigen Organisation aufgeführt:

  • Unterscheiden zwischen organisationsinternen und organisationsexternen Benutzer*innen
  • Verbesserte Zusammenarbeit im neuen Microsoft Teams
  • Verbesserte Zusammenarbeit in Viva Engage

Dies sind die primären Einschränkungen beim Verwenden einer mehrmandantenfähigen Organisation:

  • Wenn Sie bereits über B2B-Mitgliedsbenutzer für die Zusammenarbeit in Mandanten verfügen, die Teil der mehrmandantenfähigen Organisation sind, werden diese Benutzer bei der Erstellung einer mehrmandantenfähigen Organisation sofort zu Mitgliedern dieser Organisation. Daher erkennen Anwendungen mit Funktionen für mehrmandantenfähige Organisationen vorhandene B2B-Mitgliederbenutzer für die Zusammenarbeit als Benutzer einer mehrmandantenfähigen Organisation.
  • Die verbesserte Zusammenarbeit in Microsoft Teams basiert auf der gegenseitigen Bereitstellung von B2B-Mitgliedsbenutzern für die Zusammenarbeit.
  • Die verbesserte Viva Engage-Zusammenarbeit basiert auf der zentralen Bereitstellung von B2B-Zusammenarbeitsmitgliedern.
  • Weitere Einschränkungen finden Sie unter Einschränkungen in mehrmandantenfähigen Organisationen.

Diagramm: Topologie einer Organisation mit mehreren Mandanten und mandantenübergreifende Zugriffseinstellungen.

Weitere Informationen finden Sie unterWas ist eine mehrmandantenfähige Organisation in Microsoft Entra ID?.

Microsoft 365 Admin Center für die mandantenübergreifende Zusammenarbeit

Das Microsoft 365 Admin Center für die mandantenübergreifende Zusammenarbeit bietet eine intuitive Verwaltungsportalumgebung, um eine mehrmandantenfähige Organisation zu erstellen.

Nach der Erstellung einer mehrmandantenfähigen Organisation bietet Microsoft zwei Methoden zum Bereitstellen von Mitarbeitern in benachbarten Organisationen mit mehreren Mandanten im großen Maßstab.

Wenn Sie bereits über ein eigenes großes Benutzerbereitstellungsmodul verfügen, können Sie die neuen Vorteile für mehrmandantenfähige Organisationen nutzen, während Sie weiterhin Ihr eigenes Modul verwenden, um den Lebenszyklus Ihrer Mitarbeiter zu verwalten.

Hier sind die wichtigsten Vorteile der Verwendung des Microsoft 365 Admin Centers zum Erstellen Ihrer mehrmandantenfähigen Organisation und zum Bereitstellen von Mitarbeitern.

  • Das Microsoft 365 Admin Center bietet eine grafische Benutzeroberfläche zum Erstellen der mehrmandantenfähigen Organisation.
  • Das Microsoft 365 Admin Center konfiguriert Ihre Mandanten vorab für die automatische Einlösung von B2B-Einladungen für die Zusammenarbeit.
  • Das Microsoft 365 Admin Center konfiguriert Ihre Mandanten vorab für die eingehende Benutzersynchronisierung, wobei die Verwendung der mandantenübergreifenden Synchronisierung optional bleibt.
  • Das Microsoft 365 Admin Center ermöglicht die einfache Bereitstellung von Mitarbeitern in mehreren Mandanten Ihrer mehrmandantenfähigen Organisation.

Hier sind die wichtigsten Einschränkungen bei der Verwendung des Microsoft 365 Admin Centers zum Erstellen Ihrer mehrmandantenfähigen Organisation oder dem Bereitstellen von Mitarbeitern:

  • Das Microsoft 365 Admin Center konfiguriert mandantenübergreifende Synchronisierungsaufträge vor, startet sie aber nicht, auch wenn Sie die mandantenübergreifende Synchronisierung im Microsoft Entra Admin Center verwenden möchten.
  • Komplexe Identitätstopologien wie Multi-Hub-/Multi-Spoke-Systeme werden besser mithilfe der mandantenübergreifenden Synchronisierung im Microsoft Entra-Verwaltungsportal bereitgestellt.

Weitere Informationen finden Sie im Artikel zur mandantenübergreifenden Zusammenarbeit in Microsoft 365.

Vergleichen von Funktionen für mehrere Mandanten

Je nach Anforderungen Ihrer Organisation können Sie eine beliebige Kombination aus direkter B2B-Verbindung, B2B-Zusammenarbeit, mandantenübergreifender Synchronisierung, und Funktionen für mehrmandantenfähige Organisationen verwenden. Direkte B2B-Verbindung und B2B-Zusammenarbeit sind unabhängige Funktionen. Mandantenübergreifende Synchronisierung und Funktionen für mehrmandantenfähige Organisationen hingegen sind zwar voneinander unabhängig, basieren aber beide auf der zugrunde liegenden B2B-Zusammenarbeit.

In der folgenden Tabelle werden die Funktionen der einzelnen Features verglichen. Weitere Informationen zu verschiedenen Szenarien mit externen Identitäten finden Sie unter Vergleich der External ID-Featuregruppen.

Direkte B2B-Verbindung
(extern oder intern zwischen Organisationen)
B2B-Zusammenarbeit
(extern oder intern zwischen Organisationen)
Mandantenübergreifende Synchronisierung
(Organisationsintern)
Mehrmandantenfähige Organisation
(Organisationsintern)
Zweck Benutzer können auf gemeinsam genutzte Teams Connect-Kanäle zugreifen, die in externen Mandanten gehostet werden. Benutzer können auf Apps/Ressourcen zugreifen, die in externen Mandanten gehostet werden, in der Regel mit eingeschränkten Gastberechtigungen. Abhängig von den Einstellungen für die automatische Einlösung müssen Benutzer möglicherweise in jedem Mandanten eine Einwilligungsaufforderung akzeptieren. Benutzer können nahtlos auf Apps/Ressourcen in derselben Organisation zugreifen, auch wenn sie in verschiedenen Mandanten gehostet werden. Benutzer können nahtlos in einer mehrmandantenfähige Organisation im neuen Teams und in Viva Engage zusammenarbeiten.
Wert Ermöglicht nur die externe Zusammenarbeit in gemeinsam genutzten Teams Connect-Kanälen. Bequemer für Administratoren, da sie keine B2B-Benutzer verwalten müssen. Ermöglicht die externe Zusammenarbeit. Mehr Kontrolle und Überwachung für Administratoren durch Verwaltung der B2B-Zusammenarbeitsbenutzer. Administratoren können den Zugriff dieser externen Benutzer auf ihre Apps/Ressourcen einschränken. Ermöglicht die Zusammenarbeit über Organisationsmandanten hinweg. Administratoren müssen Benutzer nicht manuell einladen und zwischen Mandanten synchronisieren, um den kontinuierlichen Zugriff auf Apps/Ressourcen innerhalb der Organisation sicherzustellen. Ermöglicht die Zusammenarbeit über Organisationsmandanten hinweg. Administratoren verfügen durch die Einstellungen für den mandantenübergreifenden Zugriff weiterhin über umfassende Konfigurationsmöglichkeiten. Optionale Vorlagen für den mandantenübergreifenden Zugriff ermöglichen die Vorkonfiguration von mandantenübergreifenden Zugriffseinstellungen.
Primärer Administratorworkflow Konfigurieren des mandantenübergreifenden Zugriffs, um externen Benutzern eingehenden Zugriff auf den Mandanten mit den Anmeldeinformationen für ihren Ursprungsmandanten zu ermöglichen. Hinzufügen externer Benutzer zum Ressourcenmandanten über den B2B-Einladungsprozess oder Erstellen einer eigenen Onboardingfunktion mit dem Einladungs-Manager der B2B-Zusammenarbeit. Konfigurieren der mandantenübergreifenden Synchronisierungs-Engine, um Benutzer zwischen mehreren Mandanten als B2B-Zusammenarbeitsbenutzer zu synchronisieren. Erstellen Sie eine mehrmandantenfähige Organisation, fügen Sie Mandanten hinzu (einladen), und treten Sie einer mehrmandantenfähigen Organisation bei. Nutzen Sie vorhandene B2B-Zusammenarbeitsbenutzer oder die mandantenübergreifende Synchronisierung, um B2B-Zusammenarbeitsbenutzer bereitzustellen.
Vertrauensebene Mittleres Level. Benutzer mit direkter B2B-Verbindung lassen sich weniger einfach nachverfolgen, was ein gewisses Maß an Vertrauen in die externe Organisation bedingt. Niedriges bis mittleres Level. Benutzerobjekte können einfach nachverfolgt und mit differenzierten Steuerungsmechanismen verwaltet werden. Hohes Level. Alle Mandanten sind Teil derselben Organisation, und Benutzern wird in der Regel Mitgliedszugriff auf alle Apps/Ressourcen gewährt. Hohes Level. Alle Mandanten sind Teil derselben Organisation, und Benutzern wird in der Regel Mitgliedszugriff auf alle Apps/Ressourcen gewährt.
Auswirkungen für Benutzer Benutzer greifen mit den Anmeldeinformationen für ihren Ursprungsmandanten auf den Ressourcenmandanten zu. Im Ressourcenmandanten werden keine Benutzerobjekte erstellt. Externe Benutzer werden einem Mandanten als B2B-Zusammenarbeitsbenutzer hinzugefügt. Benutzer werden innerhalb ein und derselben Organisation von ihrem Ursprungsmandanten mit dem Ressourcenmandanten als B2B-Zusammenarbeitsbenutzer synchronisiert. Innerhalb derselben mehrmandantenfähigen Organisation profitieren B2B-Zusammenarbeitsbenutzern (insbesondere Mitgliedsbenutzern) von einer verbesserten, nahtlosen Zusammenarbeit in Microsoft 365.
Benutzertyp Benutzer mit direkter B2B-Verbindung
- nicht verfügbar
B2B-Zusammenarbeitsbenutzer
- externes Mitglied
- externer Gast (Standard)
B2B-Zusammenarbeitsbenutzer
- externes Mitglied (Standard)
- externer Gast
B2B-Zusammenarbeitsbenutzer
- externes Mitglied (Standard)
- externer Gast

Das folgende Diagramm zeigt, wie die direkte B2B-Verbindung, B2B-Zusammenarbeit und mandantenübergreifende Synchronisierung zusammen verwendet werden können.

Diagramm, das verschiedene Funktionen für mehrere Mandanten zeigt.

Terminologie

Die folgende Liste mit Begriffen hilft dabei, Microsoft Entra-Funktionen für das Szenario mit mehrmandantenfähigen Organisationen besser zu verstehen.

Begriff Definition
tenant Eine Instanz von Microsoft Entra ID.
Organisation Die oberste Ebene einer Geschäftshierarchie.
Mehrmandantenfähige Organisationen Eine Organisation mit mehr als einer Microsoft Entra ID-Instanz sowie eine Funktion zum Gruppieren dieser Instanzen in Microsoft Entra ID.
Erstellermandant Der Mandant, der die mehrmandantenfähige Organisation erstellt hat.
Besitzermandant Ein Mandant mit der Rolle „Besitzer“. Ursprünglich der Erstellermandant
Hinzugefügter Mandant Ein Mandant, der von einem Besitzermandanten hinzugefügt wurde
Beitrittsmandant Ein Mandant, welcher der mehrmandantenfähigen Organisation beitritt.
Beitrittsanforderung Ein Beitrittsmandant oder hinzugefügter Mandant sendet eine Beitrittsanforderung, um der mehrmandantenfähigen Organisation beizutreten.
Ausstehender Mandant Ein Mandant, der von einem*r Besitzer*in hinzugefügt wurde, aber noch nicht beigetreten ist
Aktiver Mandant Ein Mandant, der die mehrmandantenfähige Organisation erstellt hat oder dieser beigetreten ist.
Mitgliedsmandant Ein Mandant mit der Mitgliedsrolle. Die meisten Beitrittsmandanten beginnen als Mitglieder.
Mandant einer mehrmandantenfähigen Organisation Ein aktiver Mandant der mehrmandantenfähigen Organisation (nicht vom Typ „ausstehend“).
Mandantenübergreifende Synchronisierung Ein unidirektionaler Synchronisierungsdienst in Microsoft Entra ID, der das Erstellen, Aktualisieren und Löschen von Benutzern der B2B-Zusammenarbeit über mehrere Mandanten in einer Organisation hinweg automatisiert.
Mandantenübergreifenden Zugriffseinstellungen Einstellungen zum Verwalten der Zusammenarbeit für bestimmte Microsoft Entra-Organisationen.
Vorlage für mandantenübergreifende Zugriffseinstellungen Eine optionale Vorlage für die Vorkonfiguration von mandantenübergreifenden Zugriffseinstellungen, die auf alle Partnermandanten angewendet werden, die der mehrmandantenfähigen Organisation neu beitreten.
Organisationseinstellungen Mandantenübergreifende Zugriffseinstellungen für bestimmte Microsoft Entra-Organisationen.
Konfiguration Eine Anwendung und ein zugrunde liegender Dienstprinzipal in Microsoft Entra ID, der die Einstellungen (z. B. Zielmandant, Benutzerbereich und Attributzuordnungen) enthält, die für die mandantenübergreifende Synchronisierung erforderlich sind.
Bereitstellung Der Prozess der automatischen Erstellung oder Synchronisierung von Objekten über eine Grenze hinweg.
Automatische Einlösung Eine B2B-Einstellung zum automatischen Einlösen von Einladungen, sodass neu erstellte Benutzer keine Einladungs-E-Mail erhalten oder eine Einwilligungsaufforderung akzeptieren müssen, wenn sie einem Zielmandanten hinzugefügt werden.

Nächste Schritte