Einrichten von Mandanteneinschränkungen v2

Gilt für: Mitarbeitermandanten externe Mandanten (weitereInformationen)

Hinweis

Bestimmte in diesem Artikel beschriebene Features sind Previewfunktionen. Weitere Informationen zu Vorschauversionen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

Um die Sicherheit zu erhöhen, können Sie einschränken, worauf Ihre Benutzer zugreifen können, wenn sie ein externes Konto für die Anmeldung über Ihre Netzwerke oder Geräte verwenden. Mit den Einstellungen für Mandanteneinschränkungen, die in mandantenübergreifenden Zugriffseinstellungen enthalten sind, können Sie eine Richtlinie erstellen, um den Zugriff auf externe Apps zu steuern.

Angenommen, ein Benutzer in Ihrer Organisation hat ein separates Konto in einem unbekannten Mandanten erstellt, oder eine externe Organisation hat Ihrem Benutzer ein Konto zugewiesen, mit dem er sich bei seiner Organisation anmelden kann. Sie können Mandanteneinschränkungen verwenden, um zu verhindern, dass der Benutzer einige oder alle externen Apps verwendet, während er mit dem externen Konto in Ihrem Netzwerk oder Auf Ihren Geräten angemeldet ist.

Schritte	Beschreibung
1	Contoso konfiguriert Mandanteneinschränkungen in seinen mandantenübergreifenden Zugriffseinstellungen, um alle externen Konten und externen Apps zu blockieren. Contoso fügt TRv2-Erzwingungssignal mit TRv2-Header entweder über universelle TRv2 oder einen Unternehmensproxy hinzu, und Microsoft Entra ID erzwingt die TRv2-Richtlinie, wenn der Header auf der Anforderung vorhanden ist.
2	Ein Benutzer, der ein von Contoso verwaltetes Gerät verwendet, versucht, sich mit einem Konto von einem unbekannten Mandanten bei einer externen App anzumelden. Der TRv2-HTTP-Header mit der Mandanten-ID von Contoso und der Richtlinien-ID für Mandanteneinschränkungen wird der Authentifizierungsanforderung hinzugefügt.
3	Schutz auf Authentifizierungsebene: Die Microsoft Entra-ID erzwingt die TRv2-Richtlinie von Contoso und blockiert den Zugriff externer Konten auf externe Mandanten während der Authentifizierung gemäß der Contoso TRv2-Richtlinie.
4	Datenschutz (Vorschau): Die Microsoft Entra-ID blockiert den anonymen Zugriff auf SharePoint-Dateien oder anonyme Teams-Besprechungen sowie den Benutzerzugriff auf die Ressource mit einem infiltrierten Token.

Mandanteneinschränkungen v2 bieten Optionen für den Schutz der Authentifizierungsebene und für den Schutz der Datenebene.

• Der Schutz der Authentifizierungsebene bezieht sich auf die Verwendung einer Mandanteneinschränkungen v2-Richtlinie, um Anmeldungen mit externen Identitäten zu blockieren. So können Sie beispielsweise verhindern, dass ein böswilliger Insider Daten über externe E-Mails weitergibt, indem Sie den Angreifer daran hindern, sich bei seinem böswilligen Mandanten anzumelden. Der Authentifizierungsebenenschutz von Mandanteneinschränkungen v2 ist allgemein verfügbar.

• Datenebenenschutz bezieht sich auf die Verhinderung von Angriffen, die die Authentifizierung umgehen. Beispielsweise kann ein Angreifer versuchen, den Zugriff auf schädliche Mandanten-Apps zuzulassen, indem er den anonymen Besprechungsbeitritt in Teams oder den anonymen Dateizugriff in SharePoint verwendet. Oder der Angreifer kopiert ein Zugriffstoken von einem Gerät in einem böswilligen Mandanten und importiert es in Ihr Organisationsgerät. Der Datenebenenschutz von Mandanteneinschränkungen v2 zwingt den Benutzer, sich beim Zugriff auf eine Ressource zu authentifizieren, und blockiert den Zugriff, wenn die Authentifizierung fehlschlägt.

Während Mandanteneinschränkungen v1 den Schutz der Authentifizierungsebene über eine Mandanten-Positivliste bietet, die für Ihren Unternehmensproxy konfiguriert ist, bietet Mandanteneinschränkungen v2 Optionen für die granulare Authentifizierung und den Schutz der Datenebene mit oder ohne Unternehmensproxy. Wenn Sie einen Unternehmensproxy für die Header Injection verwenden, umfassen Optionen nur den Schutz auf Authentifizierungsebene.

Übersicht über Mandanteneinschränkungen v2

In den mandantenübergreifenden Zugriffseinstellungen Ihrer Organisation können Sie eine Mandanteneinschränkungen v2-Richtlinie konfigurieren. Nachdem Sie die Richtlinie erstellt haben, gibt es drei Möglichkeiten, die Richtlinie in Ihrer Organisation anzuwenden.

• Universelle Mandanteneinschränkungen v2. Diese Option bietet sowohl Schutz für die Authentifizierungsebene als auch für die Datenebene ohne Unternehmensproxy. Universelle Mandanteneinschränkungen verwendet Global Secure Access (Preview), um den gesamten Datenverkehr unabhängig vom Betriebssystem, Browser oder Geräteformfaktor zu kennzeichnen. Dies ermöglicht eine Unterstützung für Client- und Remotenetzwerkkonnektivität.
• Mandanteneinschränkungen v2 auf Authentifizierungsebene. Sie können einen Unternehmensproxy in Ihrer Organisation bereitstellen und den Proxy so konfigurieren, dass Mandanteneinschränkungen v2-Signale für den gesamten Datenverkehr an Microsoft Entra ID und Microsoft-Konten (MSA) festgelegt werden.
• Windows-Mandanteneinschränkungen v2. Für Ihre unternehmenseigenen Windows-Geräte können Sie sowohl den Schutz der Authentifizierungsebene als auch den der Datenebene erzwingen, indem Sie Mandanteneinschränkungen direkt auf Geräten erzwingen. Mandanteneinschränkungen werden beim Ressourcenzugriff erzwungen und bieten Datenpfadabdeckung und Schutz vor Tokeninfiltration. Ein Unternehmensproxy ist für die Richtlinienerzwingung nicht erforderlich. Geräte können in Microsoft Entra ID verwaltete oder in die Domäne eingebundene Geräte sein, die über Gruppenrichtlinie verwaltet werden.

Hinweis

In diesem Artikel wird die Konfiguration von Mandanteneinschränkungen v2 über das Microsoft Entra Admin Center beschrieben. Sie können auch die mandantenübergreifende Zugriffs-API von Microsoft Graph verwenden, um dieselben Richtlinien für Mandanteneinschränkungen zu erstellen.

Unterstützte Szenarios

Mandanteneinschränkungen v2 können auf bestimmte Benutzer, Gruppen, Organisationen oder externe Apps beschränkt werden. Apps, die auf dem Netzwerkstapel des Windows-Betriebssystems basieren, sind geschützt. Die folgenden Szenarien werden unterstützt:

• Alle Office-Apps (alle Versionen/Releasekanäle).
• Universelle Windows-Plattform .NET-Anwendungen (UWP).
• Schutz der Authentifizierungsebene für alle Anwendungen, die sich bei Microsoft Entra ID authentifizieren, einschließlich aller Anwendungen von Erstanbietern von Microsoft und Anwendungen von Drittanbietern, die Microsoft Entra ID für die Authentifizierung verwenden.
• Schutz der Datenebene für SharePoint Online und Exchange Online.
• Anonymer Zugriffsschutz für SharePoint Online, OneDrive und Teams (mit konfigurierten Verbundsteuerelementen).
• Authentifizierung und Schutz der Datenebene für Microsoft-Mandanten- oder Consumerkonten.
• Bei Verwendung der universellen Mandanteneinschränkungen in Global Secure Access (Preview) alle Browser und Plattformen.
• Bei Verwendung von Windows Gruppenrichtlinie, Microsoft Edge und alle Websites in Microsoft Edge.

Nicht unterstützte Szenarien

• Anonyme Blockierung für das OneDrive-Konto des Consumers. Kunden können auf Proxyebene umgehen, indem sie https://onedrive.live.com/ blockieren.
• Wenn ein Benutzer über einen anonymen Link oder ein Nicht-Azure AD-Konto auf eine Drittanbieter-App wie Slack zugreift.
• Wenn ein Benutzer ein von Microsoft Entra ID ausgestelltes Token von einem Heimcomputer auf einen Arbeitscomputer kopiert und es für den Zugriff auf eine Drittanbieter-App wie Slack verwendet.
• Benutzerspezifische Mandanteneinschränkungen für Microsoft-Konten.

Vergleichen der Mandanteneinschränkungen v1 und v2

In der folgenden Tabelle werden die in den einzelnen Versionen enthaltenen Features miteinander verglichen.

	Mandanteneinschränkungen v1	Mandanteneinschränkungen v2
Richtlinienerzwingung	Der Unternehmensproxy erzwingt die Richtlinie zur Mandanteneinschränkung auf der Microsoft Entra ID-Steuerungsebene.	Optionen: - Universelle Mandanteneinschränkungen in Global Secure Access (Preview), bei der Richtliniensignalisierung verwendet wird, um den gesamten Datenverkehr zu kennzeichnen, wodurch sowohl Authentifizierungs- als auch Datenebenenunterstützung auf allen Plattformen bereitgestellt werden. - Nur-Authentifizierungsebenenschutz, bei dem der Unternehmensproxy Mandanteneinschränkungen v2-Signale für den gesamten Datenverkehr festlegt. - Windows-Geräteverwaltung, bei der Geräte so konfiguriert werden, dass der Microsoft-Datenverkehr auf die Mandanteneinschränkungen-Richtlinie verweist, und die Richtlinie in der Cloud durchgesetzt wird.
Einschränkungen der Richtlinienerzwingung	Verwalten Sie Unternehmensproxys, indem Sie Mandanten zur Zulassungsliste für Microsoft Entra ID-Datenverkehr hinzufügen. Die Zeichenbeschränkung des Headerwerts in Restrict-Access-To-Mandanten: <allowed-tenant-list> beschränkt die Anzahl der Mandanten, die hinzugefügt werden können.	Verwaltet von einer Cloudrichtlinie in der mandantenübergreifenden Zugriffsrichtlinie. Für jeden externen Mandanten wird eine Partnerrichtlinie erstellt. Derzeit ist die Konfiguration für alle externen Mandanten in einer Richtlinie mit einer Größenbeschränkung von 25 KB enthalten.
Böswillige Mandantenanforderungen	Microsoft Entra ID blockiert böswillige Mandantenauthentifizierungsanforderungen, um Schutz auf Authentifizierungsebene bereitzustellen.	Microsoft Entra ID blockiert böswillige Mandantenauthentifizierungsanforderungen, um Schutz auf Authentifizierungsebene bereitzustellen.
Granularität	Beschränkt auf Mandanten- und alle Microsoft-Konten.	Granularität von Mandanten, Benutzern, Gruppen und Anwendungen. (Granularität auf Benutzerebene wird bei Microsoft-Konten nicht unterstützt.)
Anonymer Zugriff	Anonymer Zugriff auf Teams-Besprechungen und Dateifreigabe ist zulässig.	Der anonyme Zugriff auf Teams-Besprechungen wird blockiert. Der Zugriff auf anonym freigegebene Ressourcen („Jeder mit dem Link“) wird blockiert.
Microsoft-Konten	Verwendet einen Restrict-MSA-Header, um den Zugriff auf Consumerkonten zu blockieren.	Ermöglicht die Steuerung der Microsoft-Kontoauthentifizierung (MSA und Live ID) auf Identitäts- und Datenebene. Wenn Sie beispielsweise Mandanteneinschränkungen standardmäßig erzwingen, können Sie eine Richtlinie für Microsoft-Konten erstellen, die es Benutzern ermöglicht, mit ihren Microsoft-Konten auf bestimmte Apps zuzugreifen, z. B.: Microsoft Learn (App-ID 18fbca16-2224-45f6-85b0-f7bf2b39b3f3) oder Microsoft Enterprise Skills Initiative (App-ID 195e7f27-02f9-4045-9a91-cd2fa1c2af2f).
Proxyverwaltung	Verwalten Sie Unternehmensproxys, indem Sie Mandanten zur Zulassungsliste für Microsoft Entra ID-Datenverkehr hinzufügen.	Konfigurieren Sie für den Schutz der Unternehmensproxy-Authentifizierungsebene den Proxy, um Mandanteneinschränkungen v2-Signale für den gesamten Datenverkehr festzulegen.
Plattformunterstützung	Wird auf allen Plattformen unterstützt. Bietet nur Schutz auf Authentifizierungsebene.	Universelle Mandanteneinschränkungen in Global Secure Access (Preview) unterstützen alle Betriebssysteme, Browser oder Geräteformfaktoren. Der Schutz für die Unternehmensproxy-Authentifizierungsebene unterstützt macOS, den Chrome-Browser und .NET-Anwendungen. Die Windows-Geräteverwaltung unterstützt Windows-Betriebssysteme und Microsoft Edge.
Portal-Unterstützung	Keine Benutzeroberfläche im Microsoft Entra Admin Center zum Konfigurieren der Richtlinie.	Benutzeroberfläche, die im Microsoft Entra Admin Center zum Einrichten der Cloudrichtlinie verfügbar ist.
Nicht unterstützte Apps	–	Blockieren Sie die Verwendung nicht unterstützter Apps mit Microsoft-Endpunkten mithilfe von Windows Defender-Anwendungssteuerung (WDAC) oder Windows-Firewall (z. B. für Chrome, Firefox usw.). Weitere Informationen finden Sie unter Blockieren von Chrome-, Firefox- und .NET-Anwendungen wie PowerShell.

Migrieren von v1-Richtlinien für Mandanteneinschränkungen zu v2 auf dem Proxy

Das Migrieren von Mandanteneinschränkungsrichtlinien von v1 zu v2 ist ein einmaliger Vorgang. Nach der Migration sind keine clientseitigen Änderungen erforderlich. Sie können nachfolgende serverseitige Richtlinienänderungen über das Microsoft Entra Admin Center vornehmen.

Wenn Sie TRv2 für Proxy aktivieren, können Sie TRv2 nur auf Authentifizierungsebene erzwingen. Um TRv2 sowohl für die Authentifizierung als auch für die Datenebene zu aktivieren, sollten Sie die clientseitige TRv2-Signalisierung mit universellem TRv2 aktivieren.

Schritt 1: Konfigurieren der Liste zulässiger Partnermandanten

TRv1: Mit Mandanteneinschränkungen v1 (TRv1) können Sie eine Zulassungsliste von Mandanten-IDs und Microsoft-Anmeldeendpunkten erstellen, um sicherzustellen, dass Benutzer*innen auf externe Mandanten zugreifen, die Ihre Organisation autorisiert. TRv1 erreichte dies durch Hinzufügen des Headers Restrict-Access-To-Tenants: <allowed-tenant-list> auf dem Proxy. Beispiel: `Restrict-Access-To-Tenants: " contoso.com, fabrikam.com, dogfood.com". Weitere Informationen zu Mandanteneinschränkungen v1.

TRv2: Mit Mandanteneinschränkungen v2 (TRv2) wird die Konfiguration in die serverseitige Cloudrichtlinie verschoben, und der TRv1-Header ist nicht mehr erforderlich.

• Sie sollten auf Ihrem Unternehmensproxy den Header Restrict-Access-To-Tenants: <allowed-tenant-list> der Mandanteneinschränkungen v1 entfernen.
• Erstellen Sie für jeden Mandanten, der in der Zulassungsliste aufgeführt ist, eine Partnermandantenrichtlinie, indem Sie die Schritte unter Schritt 2: Konfigurieren von Mandanteneinschränkungen v2 für bestimmte Partner ausführen. Beachten Sie diese Richtlinien:

Hinweis

• Behalten Sie die Standardrichtlinie für Mandanteneinschränkungen v2 bei, die den Zugriff auf externe Mandanten mithilfe von Fremdidentitäten blockiert (z. B. user@externaltenant.com).
• Erstellen Sie eine Partnermandantenrichtlinie für jeden Mandanten, der in Ihrer v1-Zulassungsliste aufgeführt ist, indem Sie die Schritte unter Schritt 2: Konfigurieren von Mandanteneinschränkungen v2 für bestimmte Partner ausführen.
• Achten Sie darauf, dass Sie nur bestimmten Benutzern den Zugriff auf bestimmte Anwendungen erlauben. Dieses Design erhöht Ihren Sicherheitsstatus, indem der Zugriff nur auf die erforderlichen Benutzer beschränkt wird.

Schritt 2: Blockieren des Consumerkontos oder des Microsoft-Kontomandanten

TRv1: Um zu verhindern, dass Benutzer*innen sich bei Consumeranwendungen anmelden, muss für TRv1 der Header „sec-Restrict-Tenant-Access-Policy“ in den Datenverkehr an login.live.com eingefügt werden, z. B. sec-Restrict-Tenant-Access-Policy: restrict-msa`.

TRv2: Mit TRv2 wird die Konfiguration in die serverseitige Cloudrichtlinie verschoben, und der TRv1-Header ist nicht mehr erforderlich.

• Sie sollten auf Ihrem Unternehmensproxy den Header sec-Restrict-Tenant-Access-Policy: restrict-msa` der Mandanteneinschränkungen v1 entfernen.
• Erstellen Sie eine Partnermandantenkonfiguration für den Microsoft-Kontomandanten, indem Sie Schritt 2: Konfigurieren von Mandanteneinschränkungen v2 für bestimmte Partner ausführen. Da die Zuweisung auf Benutzerebene für MSA-Mandanten nicht verfügbar ist, gilt die Richtlinie für alle MSA-Benutzer. Die Granularität auf Anwendungsebene ist jedoch verfügbar, und Sie sollten die Anwendungen einschränken, auf die MSA- oder Consumerkonten nur auf die Anwendungen zugreifen können, die erforderlich sind.

Hinweis

Das Blockieren des MSA-Mandanten blockiert nicht den Datenverkehr ohne Benutzer für Geräte, einschließlich:

• Datenverkehr für Autopilot, Windows Update und Organisationstelemetrie.
• B2B-Authentifizierung von Consumerkonten oder „Passthrough“-Authentifizierung, bei der Azure-Apps und Office.com-Apps Microsoft Entra ID verwenden, um Consumer in einem Consumerkontext anzumelden.

Schritt 3: Aktivieren der Mandanteneinschränkungen v2 auf dem Unternehmensproxy

TRv2: Sie können den Unternehmensproxy so konfigurieren, dass clientseitige Tags der V2-Header für Mandanteneinschränkungen aktiviert werden, indem Sie die folgende Unternehmensproxyeinstellung verwenden: sec-Restrict-Tenant-Access-Policy: <DirectoryID>:<policyGUID>

dabei ist <DirectoryID>Ihre Microsoft Entra-Mandanten-ID und <policyGUID> die Objekt-ID für Ihre mandantenübergreifende Zugriffsrichtlinie ist.

Mandanteneinschränkungen im Vergleich zu ein- und ausgehenden Einstellungen

Mandanteneinschränkungen werden zwar zusammen mit Ihren mandantenübergreifenden Zugriffseinstellungen konfiguriert, funktionieren jedoch getrennt von den Einstellungen für ein- und ausgehenden Zugriff. Mit mandantenübergreifenden Zugriffseinstellungen können Sie steuern, wann sich Benutzer mit einem Konto aus Ihrer Organisation anmelden. Im Gegensatz dazu können Sie durch Mandanteneinschränkungen steuern, wann Benutzer ein externes Konto verwenden. Ihre Einstellungen für ein- und ausgehende Verbindungen für die B2B-Zusammenarbeit und die direkte B2B-Verbindung wirken sich nicht auf Ihre Einstellungen für Mandanteneinschränkungen aus (und sind von diesen nicht betroffen).

Stellen Sie sich die verschiedenen mandantenübergreifenden Zugriffseinstellungen wie folgt vor:

• Eingehende Einstellungen steuern den Zugriff externer Konten auf Ihre internen Apps.
• Ausgehende Einstellungen steuern den internen Kontozugriff auf externe Apps.
• Mandanteneinschränkungen steuern den Zugriff externer Konten auf externe Apps.

Mandanteneinschränkungen im Vergleich zur B2B-Zusammenarbeit

Wenn Ihre Benutzer Zugriff auf externe Organisationen und Apps benötigen, empfehlen wir, Mandanteneinschränkungen zu aktivieren, um externe Konten zu blockieren und stattdessen B2B-Zusammenarbeit zu verwenden. Die B2B-Zusammenarbeit ermöglicht Folgendes:

• Sie können den bedingten Zugriff verwenden und die Multi-Faktor-Authentifizierung für B2B Collaboration-Benutzer erzwingen.
• Sie können ein- und ausgehende Verbindungen verwalten.
• Sie können Sitzungen beenden und Anmeldedaten löschen, wenn sich der Beschäftigungsstatus eines B2B Collaboration-Benutzers ändert oder seine Anmeldedaten missbraucht werden.
• Verwenden Sie Anmeldeprotokolle, um Details zum Benutzer von B2B-Zusammenarbeit anzuzeigen.

Voraussetzungen

Zum Konfigurieren von Mandanteneinschränkungen benötigen Sie:

• Microsoft Entra ID P1 oder P2
• Konto mit mindestens der Rolle Sicherheitsadministrator
• Windows-Geräte, auf denen Windows 10 oder Windows 11 mit den neuesten Updates ausgeführt wird

Konfigurieren der serverseitigen Mandanteneinschränkungen v2-Cloudrichtlinie

Schritt 1: Konfigurieren von Standardmandanteneinschränkungen v2

Einstellungen für Mandanteneinschränkungen v2 befinden sich im Microsoft Entra Admin Center unter Einstellungen für mandantenübergreifenden Zugriff. Konfigurieren Sie zunächst die Standardmandanteneinschränkungen, die Sie für alle Benutzer, Gruppen, Apps und Organisationen anwenden möchten. Wenn Sie dann partnerspezifische Konfigurationen benötigen, können Sie die Organisation eines Partners hinzufügen und alle Einstellungen anpassen, die sich von Ihren Standardeinstellungen unterscheiden.

So konfigurieren Sie Standardmandanteneinschränkungen

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

2. Navigieren Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen, und wählen Sie dann Mandantenübergreifende Zugriffseinstellungen aus.

3. Wählen Sie die Registerkarte Standardeinstellungen aus.

   

4. Navigieren Sie zum Abschnitt Mandanteneinschränkungen.

5. Wählen Sie den Link Standardeinstellungen für Mandanteneinschränkungen bearbeiten aus.

   

6. Wenn im Mandanten noch keine Standardrichtlinie vorhanden ist, wird neben der Richtlinien-ID der Link Richtlinie erstellen angezeigt. Wählen Sie diese Verknüpfung aus.

   

7. Auf der Seite Mandanteneinschränkungen werden sowohl Ihre Mandanten-ID als auch Ihre Richtlinien-ID für Mandanteneinschränkungen angezeigt. Verwenden Sie die Kopiersymbole, um beide Werte zu kopieren. Sie verwenden sie später, wenn Sie Windows-Clients so konfigurieren, dass Mandanteneinschränkungen aktiviert werden.

   

8. Wählen Sie die Registerkarte Externe Benutzer und Gruppen aus. Wählen Sie unter Zugriffsstatus eine der folgenden Optionen aus:

   • Zugriff zulassen: Ermöglicht allen Benutzern, die mit externen Konten angemeldet sind, den Zugriff auf externe Apps (angegeben auf der Registerkarte Externe Anwendungen ).
   • Zugriff blockieren: Verhindert, dass alle Benutzer, die mit externen Konten angemeldet sind, auf externe Apps zugreifen (angegeben auf der Registerkarte Externe Anwendungen ).

   

   Hinweis

   Standardeinstellungen können nicht für einzelne Konten oder Gruppen festgelegt werden, sodass Gilt für immer gleich Alle <Mandanten>-Benutzer und -Gruppen ist. Wenn Sie den Zugriff für alle Ihre Benutzer und Gruppen blockieren, müssen Sie auch den Zugriff auf alle externen Anwendungen blockieren (auf der Registerkarte Externe Anwendungen).

9. Wählen Sie die Registerkarte Externe Anwendungen aus. Wählen Sie unter Zugriffsstatus eine der folgenden Optionen aus:

   • Zugriff zulassen: Ermöglicht allen Benutzern, die mit externen Konten angemeldet sind, den Zugriff auf die im Abschnitt Gilt für angegebenen Apps.
   • Zugriff blockieren: Verhindert, dass alle Benutzer, die mit externen Konten angemeldet sind, auf die im Abschnitt Gilt für angegebenen Apps zugreifen.

   

10. Wählen Sie unter Gilt für eine der folgenden Optionen aus:

    • Alle externen Anwendungen: Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle externen Anwendungen an. Wenn Sie den Zugriff auf alle externen Anwendungen blockieren, müssen Sie auch den Zugriff für alle Ihre Benutzer und Gruppen blockieren (auf der Registerkarte Benutzer und Gruppen).
    • Externe Anwendungen auswählen: Hiermit können Sie die externen Anwendungen auswählen, auf die die Aktion unter Zugriffsstatus angewendet werden soll. Um Anwendungen auszuwählen, wählen Sie Microsoft-Anwendungen hinzufügen oder Andere Anwendungen hinzufügen aus. Geben Sie den Anwendungsnamen oder die Anwendungs-ID (entweder die Client-App-ID oder die Ressourcen-App-ID) in das Suchfeld ein. (Siehe eine Liste der IDs für häufig verwendete Microsoft-Anwendungen.) Wenn Sie weitere Apps hinzufügen möchten, verwenden Sie die Schaltfläche Hinzufügen. Klicken Sie auf Senden, wenn Sie fertig sind.

    

11. Wählen Sie Speichern aus.

Schritt 2: Konfigurieren von Mandanteneinschränkungen v2 für bestimmte Partner

Angenommen, Sie verwenden Mandanteneinschränkungen, um den Zugriff standardmäßig zu blockieren, aber Sie möchten Benutzern den Zugriff auf bestimmte Anwendungen mit ihren eigenen externen Konten ermöglichen. Angenommen, Sie möchten, dass Benutzer mit ihren eigenen Microsoft-Konten auf Microsoft Learn zugreifen können. In den Anweisungen in diesem Abschnitt wird beschrieben, wie Sie organisationsspezifische Einstellungen hinzufügen, die Vorrang vor den Standardeinstellungen haben.

Beispiel: Konfigurieren von Mandanteneinschränkungen v2 zum Zulassen von Microsoft-Konten

1. Melden Sie sich im Microsoft Entra Admin Center mindestens als Sicherheitsadministrator oder als Administrator für bedingten Zugriff an.

2. Navigieren Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen.

3. Wählen Sie Organisationseinstellungen aus.

   Hinweis

   Wenn die Organisation, die Sie hinzufügen möchten, der Liste bereits hinzugefügt wurde, können Sie das Hinzufügen überspringen und direkt zum Ändern der Einstellungen wechseln.

4. Wählen Sie Organisation hinzufügen aus.

5. Geben Sie im Bereich Organisation hinzufügen den vollständigen Domänennamen (oder die Mandanten-ID) für die Organisation ein.

   Beispiel: Suchen Sie nach der folgenden Mandanten-ID für Microsoft-Konten:

   9188040d-6c67-4c5b-b112-36a304b66dad
   

   

6. Wählen Sie die Organisation in den Suchergebnissen und dann Hinzufügen aus.

7. Ändern der Einstellungen: Suchen Sie die Organisation in der Liste Organisationseinstellungen, und scrollen Sie dann horizontal, um die Spalte Mandanteneinschränkungen anzuzeigen. An diesem Punkt werden alle Zugriffseinstellungen für diese Organisation von Ihren Standardeinstellungen geerbt. Um die Einstellungen für diese Organisation zu ändern, wählen Sie unter der Spalte Mandanteneinschränkungen den Link Geerbt von Standard.

   

8. Die Seite Mandanteneinschränkungen für die Organisation wird angezeigt. Kopieren Sie die Werte für Mandanten-ID und Richtlinien-ID. Sie verwenden sie später, wenn Sie Windows-Clients so konfigurieren, dass Mandanteneinschränkungen aktiviert werden.

   

9. Wählen Sie Einstellungen anpassen und dann die Registerkarte Externe Benutzer und Gruppen aus. Wählen Sie unter Zugriffsstatus eine Option aus:

   • Zugriff zulassen: Ermöglicht Benutzern und Gruppen, die unter Gilt für die Angemeldeten mit externen Konten angegeben sind, den Zugriff auf externe Apps (angegeben auf der Registerkarte Externe Anwendungen).
   • Zugriff blockieren: Verhindert, dass Benutzer und Gruppen, die unter Gilt für externe Konten angemeldet sind, auf externe Apps zugreifen (angegeben auf der Registerkarte Externe Anwendungen).

   Hinweis

   Für unser Microsoft-Kontobeispiel wählen wir Zugriff zulassen aus.

   

10. Wählen Sie unter Anwendungsbereich die Option Alle <Organisation>-Benutzer und -Gruppen.

    Hinweis

    Die Benutzergranularität wird mit Microsoft-Konten nicht unterstützt, sodass die Funktion <Organisation>-Benutzer und -Gruppen auswählen nicht verfügbar ist. Für andere Organisationen können Sie <Organisation>-Benutzer und -Gruppen auswählen wählen, und dann für jeden Benutzer oder jede Gruppe, den bzw. die Sie hinzufügen möchten, die folgenden Schritte ausführen:

    • Wählen Sie Externe Benutzer und Gruppen hinzufügen aus.
    • Geben Sie im Bereich Auswählen den Benutzernamen oder den Gruppennamen in das Suchfeld ein.
    • Wählen Sie den Benutzer oder die Gruppe in den Suchergebnissen aus.
    • Wenn Sie weitere hinzufügen möchten, wählen Sie Hinzufügen aus, und wiederholen Sie diese Schritte. Wenn Sie die Benutzer und Gruppen ausgewählt haben, die Sie hinzufügen möchten, wählen Sie Auswählen aus.

    

11. Wählen Sie die Registerkarte Externe Anwendungen aus. Wählen Sie unter Zugriffsstatus aus, ob der Zugriff auf externe Anwendungen zugelassen oder blockiert werden soll.

    • Zugriff zulassen: Ermöglicht den Zugriff auf die unter Gilt für angegebenen externen Anwendungen durch Ihre Benutzer, wenn diese externe Konten verwenden.
    • Zugriff blockieren: Blockiert die unter Gilt für angegebenen externen Anwendungen für den Zugriff durch Ihre Benutzer, wenn diese externe Konten verwenden.

    Hinweis

    Für unser Microsoft-Kontobeispiel wählen wir Zugriff zulassen aus.

    

12. Wählen Sie unter Gilt für eine der folgenden Optionen aus:

    • Alle externen Anwendungen: Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle externen Anwendungen an.
    • Externe Anwendungen auswählen: Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle externen Anwendungen an.

    Hinweis

    • In unserem Microsoft-Kontobeispiel wählen Sie Externe Anwendungen auswählen aus.
    • Wenn Sie den Zugriff auf alle externen Anwendungen blockieren, müssen Sie auch den Zugriff für alle Ihre Benutzer und Gruppen blockieren (auf der Registerkarte Benutzer und Gruppen).

    

13. Wenn Sie Externe Anwendungen auswählen ausgewählt haben, gehen Sie für jede Anwendung, die Sie hinzufügen möchten, wie folgt vor:

    • Wählen Sie Add Microsoft applications (Microsoft-Anwendungen hinzufügen) oder Weitere Anwendungen hinzufügen aus. In unserem Microsoft Learn-Beispiel wählen Sie Weitere Anwendungen hinzufügen aus.
    • Geben Sie den Anwendungsnamen oder die Anwendungs-ID (entweder die Client-App-ID oder die Ressourcen-App-ID) in das Suchfeld ein. (Siehe eine Liste der IDs für häufig verwendete Microsoft-Anwendungen.) Für unser Microsoft Learn-Beispiel geben wir die Anwendungs-ID 18fbca16-2224-45f6-85b0-f7bf2b39b3f3ein.
    • Wählen Sie die Anwendung in den Suchergebnissen aus, und wählen Sie dann Hinzufügen aus.
    • Wiederholen Sie diesen Schritt für jede Anwendung, die Sie hinzufügen möchten.
    • Wenn Sie die Anwendungen ausgewählt haben, wählen Sie Auswählen aus.

    

14. Die von Ihnen ausgewählten Anwendungen werden auf der Registerkarte Externe Anwendungen aufgeführt. Wählen Sie Speichern aus.

    

Hinweis

Durch das Blockieren des MSA-Mandanten wird Folgendes nicht blockiert:

• Benutzerloser Datenverkehr für Geräte. Dies schließt den Datenverkehr für Autopilot, Windows Update und Organisationstelemetrie ein.
• B2B-Authentifizierung von Consumerkonten.
• „Passthrough“-Authentifizierung, die von vielen Azure-Apps und Office.com verwendet wird, wobei Apps Microsoft Entra ID zum Anmelden von Consumerbenutzern in einem Consumerkontext verwenden.

Konfigurieren clientseitiger Mandanteneinschränkungen v2

Es gibt drei Optionen zum Erzwingen von Mandanteneinschränkungen v2 für Clients:

• Option 1: Universelle Mandanteneinschränkungen v2 als Teil von Microsoft Entra Global Secure Access (Preview)
• Option 2: Einrichten von Mandanteneinschränkungen v2 für Ihren Unternehmensproxy
• Option 3: Aktivieren von Mandanteneinschränkungen auf verwalteten Windows-Geräten (Preview)

Option 1: Universelle Mandanteneinschränkungen v2 als Teil von Microsoft Entra Global Secure Access (Preview)

Universelle Mandanteneinschränkungen v2 als Teil von Microsoft Entra Global Secure Access wird empfohlen, da dies Schutz auf Authentifizierungs- und Datenebene für alle Geräte und Plattformen bietet. Diese Option bietet mehr Schutz vor komplexen Versuchen, die Authentifizierung zu umgehen. Beispielsweise können Angreifer versuchen, anonymen Zugriff auf die Apps eines böswilligen Mandanten zuzulassen, z. B. anonyme Besprechungsbeitritte in Teams. Oder Angreifer könnten versuchen, ein Zugriffstoken, das von einem Gerät im böswilligen Mandanten entwendet wurde, auf Ihr Organisationsgerät zu importieren. Universelle Mandanteneinschränkungen v2 verhindert diese Angriffe, indem Mandanteneinschränkungen v2-Signale auf Authentifizierungsebene (Microsoft Entra ID und Microsoft-Konto) und Datenebene (Microsoft-Cloudanwendungen) gesendet werden.

Option 2: Einrichten von Mandanteneinschränkungen v2 für Ihren Unternehmensproxy

Um sicherzustellen, dass Anmeldungen auf allen Geräten und Apps in Ihrem Unternehmensnetzwerk eingeschränkt sind, konfigurieren Sie Ihren Unternehmensproxy, um Mandanteneinschränkungen v2 zu erzwingen. Das Konfigurieren von Mandanteneinschränkungen für Ihren Unternehmensproxy bietet zwar keinen Schutz auf Datenebene, bietet jedoch Schutz auf Authentifizierungsebene.

Wichtig

Wenn Sie zuvor Mandanteneinschränkungen eingerichtet haben, müssen Sie das Senden von restrict-msa an login.live.com beenden. Andernfalls stehen die neuen Einstellungen in Konflikt mit Ihren vorhandenen Anweisungen für den MSA-Anmeldedienst.

1. Konfigurieren Sie den Mandanteneinschränkungen v2-Header wie folgt:

   Headername	Headerwert
   sec-Restrict-Tenant-Access-Policy	<TenantId>:<policyGuid>

   • TenantID ist Ihre Microsoft Entra-Mandanten-ID. Suchen Sie diesen Wert, indem Sie sich als Administrator beim Microsoft Entra Admin Center anmelden, zu Identität>Übersicht navigieren und die Registerkarte Übersicht auswählen.
   • policyGUID ist die Objekt-ID für Ihre mandantenübergreifende Zugriffsrichtlinie. Suchen Sie diesen Wert, indem Sie /crosstenantaccesspolicy/default aufrufen und das zurückgegebene Feld „id“ verwenden.

2. Senden Sie auf Ihrem Unternehmensproxy den Header „Mandanteneinschränkungen v2“ an die folgenden Microsoft-Anmeldedomänen:

   • login.live.com
   • login.microsoft.com
   • login.microsoftonline.com
   • login.windows.net

   Dieser Header erzwingt Ihre Richtlinie für Mandanteneinschränkungen v2 für alle Anmeldungen in Ihrem Netzwerk. Dieser Header blockiert nicht den anonymen Zugriff auf Teams-Besprechungen, SharePoint-Dateien oder andere Ressourcen, die keine Authentifizierung erfordern.

Mandanteneinschränkungen v2 ohne Unterstützung für Break and Inspect (Unterbrechungen und Überprüfungen)

Bei Nicht-Windows-Plattformen können Sie Datenverkehr unterbrechen und überprüfen, um die Parameter für Mandanteneinschränkungen v2 dem Header über einen Proxy hinzuzufügen. Einige Plattformen unterstützen jedoch keine Unterbrechungen und Überprüfungen, sodass Mandanteneinschränkungen v2 nicht funktioniert. Für diese Plattformen können die folgenden Features von Microsoft Entra ID Schutz bieten:

• Bedingter Zugriff: Nur die Verwendung verwalteter/konformer Geräte zulassen
• Bedingter Zugriff: Verwalten des Zugriffs für Gastbenutzer/externe Benutzer
• B2B Collaboration: Einschränken von Ausgangsregeln durch mandantenübergreifenden Zugriff für dieselben Mandanten, die im Parameter „Restrict-Access-To-Tenants“ aufgeführt sind
• B2B Collaboration: Beschränken von Einladungen an B2B-Benutzer auf dieselben Domänen, die im Parameter „Restrict-Access-To-Tenants“ aufgeführt sind
• Anwendungsverwaltung: Einschränken, wie Benutzer Anwendungen zustimmen
• Intune: Anwenden der App-Richtlinie über Intune, um die Verwendung verwalteter Apps nur auf den UPN des Kontos zu beschränken, welches das Gerät registriert hat (unter Nur konfigurierte Organisationskonten in Apps zulassen)

Obwohl diese Alternativen Schutz bieten, können bestimmte Szenarien nur durch Mandanteneinschränkungen abgedeckt werden, z. B. die Verwendung eines Browsers für den Zugriff auf Microsoft 365-Dienste über das Web anstelle der dedizierten App.

Option 3: Aktivieren von Mandanteneinschränkungen auf verwalteten Windows-Geräten (Preview)

Nachdem Sie eine Richtlinie für Mandanteneinschränkungen v2 erstellt haben, können Sie die Richtlinie auf jedem Windows 10-, Windows 11- und Windows Server 2022-Gerät erzwingen, indem Sie Ihre Mandanten-ID und die Richtlinien-ID zur Konfiguration der Mandanteneinschränkungen des Geräts hinzufügen. Wenn Mandanteneinschränkungen auf einem Windows-Gerät aktiviert sind, sind Unternehmensproxys für die Richtlinienerzwingung nicht erforderlich. Geräte müssen nicht von Microsoft Entra ID verwaltet werden, um Mandanteneinschränkungen v2 erzwingen zu können. In die Domäne eingebundene Geräte, die mit Gruppenrichtlinie verwaltet werden, werden ebenfalls unterstützt.

Hinweis

Mandanteneinschränkungen V2 unter Windows ist eine Teillösung, die die Authentifizierungs- und die Datenebene für einige Szenarien schützt. Sie funktioniert auf verwalteten Windows-Geräten und dient nicht zum Schutz des .NET-Stacks oder von Chrome oder Firefox. Die Windows-Lösung ist eine Übergangslösung bis zur allgemeinen Verfügbarkeit von universellen Mandanteneinschränkungen in Microsoft Entra Global Secure Access (Vorschau).

Administrative Vorlagen (.ADMX) für Windows 10 Update vom November 2021 (21H2) und Gruppenrichtlinieneinstellungen

Sie können Gruppenrichtlinie verwenden, um die Konfiguration der Mandanteneinschränkungen auf Windows-Geräten bereitzustellen. Weitere Informationen finden Sie in den folgenden Ressourcen:

• Administrative Vorlagen für Windows 10
• Referenztabelle für Gruppenrichtlinieneinstellungen für Windows 10

Testen der Richtlinien auf einem Gerät

Führen Sie die folgenden Schritte aus, um die Mandanteneinschränkungen v2-Richtlinie auf einem Gerät zu testen.

Hinweis

• Auf dem Gerät muss Windows 10 oder Windows 11 mit den neuesten Updates installiert sein.

1. Drücken Sie auf dem Windows-Computer auf die Windows-Taste, geben Sie gpeditein, und wählen Sie dann Gruppenrichtlinie bearbeiten (Systemsteuerung).

2. Wechseln Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Mandanteneinschränkungen.

3. Klicken Sie im rechten Bereich mit der rechten Maustaste auf Cloudrichtliniendetails, und wählen Sie dann Bearbeiten aus.

4. Rufen Sie die Mandanten-ID und die Richtlinien-ID ab, die Sie zuvor (in Schritt 7 unter So konfigurieren Sie Standardmandanteneinschränkungen) aufgezeichnet haben, und geben Sie sie in die folgenden Felder ein (lassen Sie alle anderen Felder leer):

   • Microsoft Entra-Verzeichnis-ID: Geben Sie die Mandanten-ID ein, die Sie zuvor aufgezeichnet haben. indem Sie sich als Administrator beim Microsoft Entra Admin Center anmelden, zu Identität>Übersicht navigieren und die Registerkarte Übersicht auswählen.
   • Richtlinien-GUID: Die ID für Ihre mandantenübergreifende Zugriffsrichtlinie. Dies ist die zuvor aufgezeichnete Richtlinien-ID. Sie können diese ID auch mithilfe des Befehls https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/default Graph Explorer finden.

   

5. Wählen Sie OK aus.

Blockieren von Chrome-, Firefox- und .NET-Anwendungen wie PowerShell

Sie können die Windows-Firewallfunktion verwenden, um zu verhindern, dass nicht geschützte Apps über Chrome-, Firefox- und .NET-Anwendungen wie PowerShell auf Microsoft-Ressourcen zugreifen. Die Anwendungen, die gemäß der Richtlinie für Mandanteneinschränkungen v2 blockiert/zugelassen werden.

Wenn ein Kunde beispielsweise PowerShell zu seiner CIP-Richtlinie für Mandanteneinschränkungen v2 hinzufügt und graph.microsoft.com in seiner Endpunktliste für Mietereinschränkungen v2 aufgeführt ist, sollte PowerShell bei aktivierter Firewall darauf zugreifen können.

1. Drücken Sie auf dem Windows-Computer auf die Windows-Taste, geben Sie gpeditein, und wählen Sie dann Gruppenrichtlinie bearbeiten (Systemsteuerung).

2. Wechseln Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Mandanteneinschränkungen.

3. Klicken Sie im rechten Bereich mit der rechten Maustaste auf Cloudrichtliniendetails, und wählen Sie dann Bearbeiten aus.

4. Aktivieren Sie das Kontrollkästchen Firewallschutz von Microsoft-Endpunkten aktivieren, und klicken Sie dann auf OK.

Nachdem Sie die Firewalleinstellung aktiviert haben, versuchen Sie, sich mit einem Chrome-Browser anzumelden. Die Anmeldung sollte mit der folgenden Meldung fehlschlagen:

Anzeigen von Ereignissen für Mandanteneinschränkungen v2

Anzeigen von Ereignissen im Zusammenhang mit Mandanteneinschränkungen in der Ereignisanzeige.

1. Öffnen Sie in der Ereignisanzeige Anwendungs- und Dienstprotokolle.
2. Navigieren Sie zu Microsoft>Windows>TenantRestrictions>Operational, und suchen Sie nach Ereignissen.

Mandanteneinschränkungen und Unterstützung der Datenebene (Vorschau)

Trv2 wird durch die folgenden Ressourcen erzwungen, die Tokeninfiltrationsszenarien adressieren, in denen ein ungültiger Akteur direkt mit einem infiltrierten Token oder anonym auf die Ressource zugreift.

• Teams
• SharePoint Online wie OneDrive-App
• Exchange Online wie Outlook-App
• Office.com/Office-Apps

Mandanteneinschränkungen und Microsoft Teams (Preview)

Teams verfügt standardmäßig über einen offenen Verbund. Dies bedeutet, dass niemand gehindert wird, an einer Besprechung teilzunehmen, die von einem externen Mandanten gehostet wird. Für eine bessere Kontrolle über den Zugriff auf Teams-Besprechungen können Sie Verbundsteuerelemente in Teams verwenden, um bestimmte Mandanten zuzulassen oder zu blockieren, zusammen mit Mandanteneinschränkungen v2, um den anonymen Zugriff auf Teams-Besprechungen zu blockieren. Um Mandanteneinschränkungen für Teams zu erzwingen, müssen Sie Mandanteneinschränkungen v2 in Ihren Einstellungen für mandantenübergreifenden Microsoft Entra-Zugriff konfigurieren. Außerdem müssen Sie Verbundsteuerelemente im Teams-Admin-Portal einrichten und Teams neu starten. Mandanteneinschränkungen, die für den Unternehmensproxy implementiert werden, blockieren den anonymen Zugriff auf Teams-Besprechungen, SharePoint-Dateien und andere Ressourcen, die keine Authentifizierung erfordern.

• Teams ermöglicht Benutzern derzeit die Teilnahme an jeder extern gehosteten Besprechung mit der jeweiligen geschäftlichen/privaten Identität. Mit Einstellungen für den mandantenübergreifenden ausgehenden Zugriff können Sie die Teilnahme von Benutzern mit geschäftlichen/privaten Identitäten an extern gehosteten Teams-Besprechungen steuern.
• Mandanteneinschränkungen verhindern, dass Benutzer eine extern ausgestellte Identität verwenden, um an Teams-Besprechungen teilzunehmen.

Hinweis

Die Microsoft Teams-App ist von SharePoint Online- und Exchange Online-Apps abhängig. Es wird empfohlen, die TRv2-Richtlinie für die Office 365-App anstelle von Microsoft Teams Services, SharePoint Online oder Exchange Online separat festzulegen. Wenn Sie eine der Anwendungen (SPO oder EXO usw.) zulassen/blockieren, die Teil von Office 365 ist, wirkt sich dies auch auf Apps wie Microsoft Teams aus. Wenn die Microsoft Teams-App zulässig/blockiert ist, wirkt sich dies auf SPO und EXO in der Teams-App aus.

Teilnahme an rein anonymen Besprechungen

Mandanteneinschränkungen v2 blockiert automatisch alle Zugriffe von nicht authentifizierten und extern ausgestellten Identitäten auf extern gehostete Teams-Besprechungen. Angenommen, Contoso verwendet Teams-Verbundsteuerelemente, um den Fabrikam-Mandanten zu blockieren. Wenn eine Person mit einem Contoso-Gerät ein Fabrikam-Konto verwendet, um an einer Contoso Teams-Besprechung teilzunehmen, wird sie als anonymer Benutzer in die Besprechung zugelassen. Wenn Contoso nun auch Mandanteneinschränkungen v2 aktiviert, blockiert Teams den anonymen Zugriff, und der Benutzer kann nicht an der Besprechung teilnehmen.

Teilnahme an Besprechungen mit einer extern ausgestellten Identität

Sie können die Richtlinie für Mandanteneinschränkungen v2 so konfigurieren, dass bestimmte Benutzer oder Gruppen mit extern ausgestellten Identitäten an bestimmten extern gehosteten Teams-Besprechungen teilnehmen können. Bei dieser Konfiguration können sich Benutzer mit ihren extern ausgestellten Identitäten bei Teams anmelden und an den extern gehosteten Teams-Besprechungen des angegebenen Mandanten teilnehmen.

Authentifizierungsidentität	Authentifizierte Sitzung	Ergebnis
Mandantenmitgliedsbenutzer (authentifizierte Sitzung) Beispiel: Ein Benutzer verwendet seine Heimidentität als Mitgliedbenutzer (z. B. user@mytenant.com)	Authentifiziert	Der Zugriff auf die Teams-Besprechung wird durch Mandanteneinschränkungen v2 ermöglicht. TRv2 wird nie auf Mandantenmitgliedsbenutzer angewendet. Es gilt die Richtlinie für den mandantenübergreifenden Zugang (eingehend/ausgehend).
Anonym (keine authentifizierte Sitzung) Beispiel: Ein Benutzer versucht, eine nicht authentifizierte Sitzung zu verwenden, z. B. in einem InPrivate-Browserfenster, um auf eine Teams-Besprechung zuzugreifen.	Nicht authentifiziert	Der Zugriff auf die Teams-Besprechung wird durch Mandanteneinschränkungen v2 blockiert.
Extern ausgestellte Identität (authentifizierte Sitzung) Beispiel: Ein Benutzer verwendet eine andere Identität als seine private Identität (z. B. user@externaltenant.com).	Authentifiziert als extern ausgestellte Identität	Der Zugriff auf die Teams-Besprechung wird durch Mandanteneinschränkungen v2 zugelassen oder blockiert. Sofern von der Richtlinie zugelassen, kann der Benutzer an der Besprechung teilnehmen. Andernfalls wird der Zugriff blockiert.

Mandanteneinschränkungen v2 und SharePoint Online

SharePoint Online unterstützt Mandanteneinschränkungen v2 sowohl auf der Authentifizierungsebene als auch auf der Datenebene.

Authentifizierte Sitzungen

Wenn Mandanteneinschränkungen v2 für einen Mandanten aktiviert sind, wird der nicht autorisierte Zugriff während der Authentifizierung blockiert. Wenn ein Benutzer ohne authentifizierte Sitzung direkt auf eine SharePoint Online-Ressource zugreift, wird er aufgefordert, sich anzumelden. Wenn die Richtlinie für Mandanteneinschränkungen v2 den Zugriff zulässt, kann der Benutzer auf die Ressource zugreifen. Andernfalls wird der Zugriff blockiert.

Anonymer Zugriff (Preview)

Wenn Benutzer*innen versuchen, mithilfe der Basismandanten-/Unternehmensidentität auf eine anonyme Datei zuzugreifen, sind sie in Lage, auf die Datei zuzugreifen. Wenn der Benutzer jedoch versucht, mithilfe einer extern ausgestellten Identität auf die anonyme Datei zuzugreifen, wird der Zugriff blockiert.

Angenommen, ein Benutzer bzw. eine Benutzerin verwendet ein verwaltetes Gerät, das mit Mandanteneinschränkungen v2 für Mandant A konfiguriert ist. Wenn er bzw. sie einen anonymen Zugriffslink auswählt, der für eine Mandant-A-Ressource generiert wird, sollte er bzw. sie anonym auf die Ressource zugreifen können. Wenn sie jedoch einen anonymen Zugriffslink auswählen, der für Mandant B SharePoint Online generiert wurde, werden sie zur Anmeldung aufgefordert. Der anonyme Zugriff auf Ressourcen mit einer extern ausgestellten Identität wird immer blockiert.

Mandanteneinschränkungen v2 und OneDrive

Authentifizierte Sitzungen

Wenn Mandanteneinschränkungen v2 für einen Mandanten aktiviert sind, wird der nicht autorisierte Zugriff während der Authentifizierung blockiert. Wenn ein Benutzer direkt auf ein OneDrive ohne authentifizierte Sitzung zugreift, wird er aufgefordert, sich anzumelden. Wenn die Richtlinie für Mandanteneinschränkungen v2 den Zugriff zulässt, kann der Benutzer auf die Ressource zugreifen. Andernfalls wird der Zugriff blockiert.

Anonymer Zugriff (Preview)

Wie SharePoint unterstützt OneDrive Mandantenbeschränkungen v2 sowohl auf der Authentifizierungsebene als auch auf der Datenebene. Das Blockieren des anonymen Zugriffs auf OneDrive wird ebenfalls unterstützt. Die Erzwingung von Mandanteneinschränkungen v2-Richtlinien funktioniert beispielsweise am OneDrive-Endpunkt (microsoft-my.sharepoint.com).

Nicht behandelte Bereiche

OneDrive für Consumerkonten (über onedrive.live.com) unterstützt Mandanteneinschränkungen v2 nicht. Einige URLs (z. B. onedrive.live.com) sind unkonvergiert und verwenden unseren Legacystapel. Wenn ein Benutzer über diese URLs auf den OneDrive-Consumermandanten zugreift, wird die Richtlinie nicht erzwungen. Als Problemumgehung können Sie https://onedrive.live.com/ auf Proxyebene blockieren.

Anmeldeprotokolle

Mit Microsoft Entra-Anmeldeprotokollen können Sie Details zu Anmeldungen mit einer Mandanteneinschränkungen v2-Richtlinie anzeigen. Wenn sich ein B2B-Benutzer für die Zusammenarbeit bei einem Ressourcenmandanten anmeldet, wird sowohl im Stammmandanten als auch im Ressourcenmandanten ein Anmeldeprotokoll generiert. Diese Protokolle enthalten Informationen wie die verwendete Anwendung, E-Mail-Adressen, den Mandantennamen und die Mandanten-ID für den Stammmandanten und den Ressourcenmandanten. Das folgende Beispiel zeigt eine erfolgreiche Anmeldung:

Wenn die Anmeldung fehlschlägt, geben die Aktivitätsdetails Informationen über den Grund für den Fehler an:

Überwachungsprotokolle

Die Überwachungsprotokolle enthalten erfasste System- und Benutzeraktivitäten. Dazu zählen auch Aktivitäten, die von Gastbenutzer*innen initiiert wurden. Sie können Überwachungsprotokolle für den Mandanten unter „Überwachung“ anzeigen oder Überwachungsprotokolle für bestimmte Benutzer*innen anzeigen, indem Sie zum Profil der Benutzer*innen navigieren.

Wählen Sie ein Ereignis im Protokoll aus, um weitere Details zu diesem zu erhalten, z. B.:

Sie können diese Protokolle auch aus Microsoft Entra ID exportieren und ein Berichterstellungstool Ihrer Wahl verwenden, um benutzerdefinierte Berichte zu erstellen.

Microsoft Graph

Verwenden Sie Microsoft Graph, um Richtlinieninformationen abzurufen:

HTTP-Anforderung

• Abrufen der Standardrichtlinie

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
  

• Zurücksetzen auf den Systemstandard

  POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default/resetToSystemDefault
  

• Abrufen der Partnerkonfiguration

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners
  

• Abrufen einer bestimmten Partnerkonfiguration

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
  

• Aktualisieren eines bestimmten Partners

  PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
  

Anforderungstext

"tenantRestrictions": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}

Nächste Schritte

Unter Konfigurieren der Einstellungen für externe Zusammenarbeit finden Sie Informationen zur B2B-Zusammenarbeit mit Azure AD-fremden Identitäten, Identitäten sozialer Netzwerke und nicht von der IT verwalteten externen Konten.