Konfigurieren der Einstellungen für externe Zusammenarbeit
Mithilfe der Einstellungen für die externe Zusammenarbeit können Sie angeben, welche Rollen in Ihrer Organisation externe Benutzer zur B2B-Zusammenarbeit einladen können. Diese Einstellungen umfassen auch Optionen zum Zulassen oder Blockieren bestimmter Domänen sowie Optionen zum Einschränken der Elemente, die externen Gastbenutzern in Ihrem Azure AD-Verzeichnis angezeigt werden. Die folgenden Optionen sind verfügbar:
Determine guest user access (Gastbenutzerzugriff bestimmen): Mit Azure AD können Sie einschränken, was externe Gastbenutzer in Ihrem Azure AD-Verzeichnis sehen können. Sie können zum Beispiel die Anzeige von Gruppenmitgliedschaften für Gastbenutzer einschränken oder Gastbenutzern nur die Anzeige ihrer eigenen Profilinformationen erlauben.
Specify who can invite guests (Angeben, wer Gäste einladen kann): Standardmäßig können alle Benutzer in Ihrem Unternehmen, einschließlich Gastbenutzer für B2B-Zusammenarbeit, externe Benutzer zur B2B-Zusammenarbeit einladen. Wenn Sie die Möglichkeit zum Versenden von Einladungen einschränken möchten, können Sie die Funktion für alle Benutzer aktivieren bzw. deaktivieren oder auf bestimmte Rollen beschränken.
Self-Service-Registrierung von Gästen über Benutzerflows aktivieren: Für selbst erstellte Anwendungen können Sie Benutzerflows erstellen, die es einem Benutzer ermöglichen, sich für eine App zu registrieren und ein neues Gastkonto zu erstellen. Sie können das Feature in den Einstellungen für die externe Zusammenarbeit aktivieren und dann Ihrer App einen Benutzerflow für die Self-Service-Anmeldung hinzufügen.
Allow or block domains (Domänen zulassen oder blockieren): Sie können Einschränkungen für die Zusammenarbeit verwenden, um Einladungen an die von Ihnen angegebenen Domänen zuzulassen oder zu verweigern. Ausführliche Informationen finden Sie unter Zulassen oder Blockieren von Einladungen für B2B-Benutzer von bestimmten Organisationen.
Für die B2B-Zusammenarbeit mit anderen Azure AD-Organisationen sollten Sie auch die mandantenübergreifende Zugriffseinstellungen überprüfen, um die B2B-Zusammenarbeit in ein- und ausgehender Richtung zu gewährleisten und den Zugriff auf bestimmte Benutzer, Gruppen und Anwendungen zu beschränken.
Konfigurieren von Einstellungen im Portal
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Externer Identitätsanbieteradministrator an.
Browsen Sie zu Identität>Externe Identitäten>Externe Zusammenarbeitseinstellungen.
Wählen Sie unter Gastbenutzerzugriff die Zugriffsebene aus, die Gastbenutzern zugewiesen werden soll:
Gastbenutzer haben denselben Zugriff wie Mitglieder (umfassendste Einstellung) : Diese Option gibt Gästen den gleichen Zugriff auf die Ressourcen und Verzeichnisdaten von Azure AD wie Mitgliedsbenutzern.
Gastbenutzer haben eingeschränkten Zugriff auf Eigenschaften und Mitgliedschaften von Verzeichnisobjekten: (Standard) Diese Einstellung verhindert, dass Gäste bestimmte Verzeichnisaufgaben ausführen können, z. B. Benutzer, Gruppen oder andere Verzeichnisressourcen aufzulisten. Gäste können die Mitgliedschaft in allen nicht ausgeblendeten Gruppen anzeigen. Erfahren Sie mehr über die Standardberechtigungen für Gastbenutzer.
Der Gastbenutzerzugriff ist auf Eigenschaften und Mitgliedschaften eigener Verzeichnisobjekte beschränkt (restriktivste Einstellung) : Mit dieser Einstellung können Gäste nur auf Ihre eigenen Profile zugreifen. Gäste dürfen die Profile, Gruppen oder Gruppenmitgliedschaften anderer Benutzer nicht sehen.
Wählen Sie unter Einstellungen für Gasteinladungen die entsprechenden Einstellungen aus:
- Jeder in der Organisation kann Gastbenutzer einladen, einschließlich Gäste und Nicht-Administratoren (die meisten einschließlich): Um Gästen in der Organisation zu erlauben, andere Gäste einzuladen, einschließlich solcher, die keine Mitglieder einer Organisation sind, aktivieren Sie dieses Optionsfeld.
- Mitgliedsbenutzer und Benutzer, die bestimmten Administratorrollen zugewiesen sind, können Gastbenutzer einladen, einschließlich Gästen mit Mitgliedsberechtigungen: Damit Mitgliedsbenutzer und Benutzer mit bestimmten Administratorrollen Gäste einladen können, müssen Sie dieses Optionsfeld aktivieren.
- Nur Benutzer, die bestimmten Administratorrollen zugewiesen sind, können Gastbenutzer einladen: Wenn Sie nur Benutzern mit Administratorrollen das Einladen von Gästen erlauben möchten, aktivieren Sie dieses Optionsfeld. Zu den Administratorrollen gehören globaler Administrator,Benutzeradministrator und Gasteinladender.
- Niemand in der Organisation kann Gastbenutzer einladen, einschließlich Administratoren (restriktivste Einstellung) : Wenn Sie allen Benutzern in der Organisation das Einladen von Gästen verweigern möchten, aktivieren Sie dieses Optionsfeld.
Wählen Sie unter Self-Service-Registrierung von Gästen über Benutzerflows aktivieren die Option Ja aus, wenn Sie Benutzerflows erstellen möchten, über die sich Benutzer für Apps registrieren können. Weitere Informationen zu dieser Einstellung finden Sie unter Hinzufügen eines Benutzerflows für die Self-Service-Registrierung zu einer App.
Unter Externe Benutzer verlassen Einstellungen können Sie steuern, ob externe Benutzer sich selbst aus Ihrer Organisation entfernen können. Wenn Sie diese Option auf Nein setzen, müssen sich externe Benutzer an Ihren Administrator oder Datenschutzkontakt wenden, um entfernt zu werden.
- Ja: Benutzer können die Organisation selbst verlassen, ohne dass sie von Ihrem Administrator oder Datenschutzkontakt genehmigt werden.
- Nein: Benutzer können Ihre Organisation nicht selbst verlassen. Sie sehen eine Nachricht, die sie leitet, um Ihren Administrator oder Datenschutzkontakt zu kontaktieren, um die Entfernung von Ihrer Organisation anzufordern.
Wichtig
Sie können Einstellungen für externe Benutzer nur konfigurieren, wenn Sie Ihrem Azure AD-Mandanten Ihre Datenschutzinformationen hinzugefügt haben. Andernfalls ist diese Einstellung nicht verfügbar.
Unter Einschränkungen für die Zusammenarbeit können Sie auswählen, ob Sie Einladungen für die von Ihnen angegebenen Domänen zulassen oder verweigern möchten. Sie können außerdem in den Textfeldern bestimmte Domänennamen eingeben. Geben Sie für mehrere Domänen jede Domäne in einer neuen Zeile ein. Weitere Informationen finden Sie unter Zulassen oder Blockieren von Einladungen für B2B-Benutzer von bestimmten Organisationen.
Konfigurieren von Einstellungen mit Microsoft Graph
Einstellungen für die externe Zusammenarbeit können mithilfe der Microsoft Graph-API konfiguriert werden:
- Verwenden Sie für Einschränkungen des Gastbenutzerzugriffs und Einschränkungen für Gasteinladungen den Ressourcentyp authorizationPolicy.
- Verwenden Sie den Ressourcentyp authenticationFlowsPolicy, um die Self-Service-Registrierung für Gäste über Benutzerflüsse zu ermöglichen.
- Für Einstellungen für die Einmalkennung per E-Mail (jetzt auf der Seite Alle Identitätsanbieter im Microsoft Entra Admin Center) verwenden Sie den Ressourcentyp emailAuthenticationMethodConfiguration.
Zuweisen der Rolle „Gasteinladender“ an einen Benutzer
Über die Rolle „Gasteinladender“ können Sie einzelnen Benutzern die Möglichkeit geben, Gäste einzuladen, ohne ihnen dafür eine globale Administratorrolle oder eine andere Administratorrolle zuweisen zu müssen. Weisen Sie die Rolle „Gasteinladender“ einzelnen Benutzern zu. Stellen Sie dann sicher, dass die Richtlinie Administratoren und Benutzer mit der Rolle „Gasteinladender“ können einladen auf Ja festgelegt ist.
Hier ist ein Beispiel, das zeigt, wie PowerShell verwendet wird, um einen Benutzer der Rolle „Gasteinladender“ hinzuzufügen:
Add-MsolRoleMember -RoleObjectId 95e79109-95c0-4d8e-aee3-d01accf2d47b -RoleMemberEmailAddress <RoleMemberEmailAddress>
Anmeldeprotokolle für B2B-Benutzer
Wenn sich ein B2B-Benutzer für die Zusammenarbeit bei einem Ressourcenmandanten anmeldet, wird sowohl im Stammmandanten als auch im Ressourcenmandanten ein Anmeldeprotokoll generiert. Diese Protokolle enthalten Informationen wie die verwendete Anwendung, E-Mail-Adressen, den Mandantennamen und die Mandanten-ID für den Stammmandanten und den Ressourcenmandanten.
Nächste Schritte
Weitere Artikel zur Azure AD B2B-Zusammenarbeit: