Einschränken von Gastzugriffsberechtigungen in Microsoft Entra ID

Microsoft Entra ID, Teil von Microsoft Entra, ermöglicht es Ihnen, einzuschränken, was externe Gastbenutzer*innen in ihrer Organisation in Microsoft Entra ID anzeigen können. Gastbenutzer*innen ist in Microsoft Entra ID standardmäßig eine eingeschränkte Berechtigungsstufe zugewiesen, während die Standardeinstellung für Mitgliedsbenutzer*innen den vollständigen Satz von Berechtigungen für Benutzer*innen umfasst. Es gibt eine neue Berechtigungsstufe für Gastbenutzer*innen in den Einstellungen für die externe Zusammenarbeit Ihrer Microsoft Entra-Organisation, die einen noch eingeschränkteren Zugriff bietet. Somit sind für den Gastzugriff jetzt folgende Ebenen vorhanden:

Berechtigungsstufe Zugriffsebene Wert
Mit Mitgliedsbenutzern identisch Gäste haben denselben Zugriff auf Microsoft Entra-Ressourcen wie Mitgliedsbenutzer*innen a0b1b346-4d3e-4e8b-98f8-753987be4970
Beschränkter Zugriff (Standardeinstellung) Gäste können die Mitgliedschaft in allen nicht ausgeblendeten Gruppen sehen. 10dae51f-b6af-4016-8d66-8c2a99b929b3
Eingeschränkter Zugriff (neu) Gäste können keine Mitgliedschaft in Gruppen sehen. 2af84b1e-32c8-42b7-82bc-daa82404023b

Wenn der Gastzugriff eingeschränkt ist, können Gäste nur das eigene Benutzerprofil anzeigen. Die Berechtigung zum Anzeigen anderer Benutzer ist auch dann nicht gegeben, wenn der Gast nach Benutzerprinzipalname oder objectId sucht. Bei eingeschränktem Zugriff ist für Gastbenutzer auch die Anzeige der Mitgliedschaft in Gruppen, denen sie zugeordnet sind, eingeschränkt. Weitere Informationen zu den allgemeinen Berechtigungen für Standardbenutzer*innen, einschließlich der Berechtigungen für Gastbenutzer*innen, finden Sie unter Welche Berechtigungen für Standardbenutzer*innen gibt es in Microsoft Entra ID?.

Berechtigungen und Lizenzen

Sie müssen über die Rolle „Globaler Administrator“ verfügen, um den Gastbenutzerzugriff zu konfigurieren. Zum Einschränken des Gastzugriffs bestehen keine zusätzlichen Lizenzierungsanforderungen.

Aktualisieren im Azure-Portal

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Es wurden Änderungen an den vorhandenen Azure-Portalsteuerelementen für Gastbenutzerberechtigungen vorgenommen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Globaler Administrator an.

  2. Wählen Sie Microsoft Entra ID >Benutzer*innen>Alle Benutzer*innen aus.

  3. Wählen Sie unter Externe Benutzer die Option Externe Einstellungen zur Zusammenarbeit verwalten aus.

  4. Wählen Sie auf der Seite Einstellungen für externe Zusammenarbeit die Option Der Gastbenutzerzugriff ist auf Eigenschaften und Mitgliedschaften eigener Verzeichnisobjekte beschränkt aus.

    Screenshot of Microsoft Entra external collaboration settings page.

  5. Wählen Sie Speichern aus. Es kann bis zu 15 Minuten dauern, bis die Änderungen für Gastbenutzer wirksam werden.

Aktualisieren mit der Microsoft Graph-API

Es wurde eine neue Microsoft Graph-API zum Konfigurieren von Gastberechtigungen in Ihrer Microsoft Entra-Organisation hinzugefügt. Mit den folgenden API-Aufrufen kann eine beliebige Berechtigungsebene zugewiesen werden. Der hier verwendete Wert für „guestUserRoleId“ dient zur Veranschaulichung der Einstellung für Gastbenutzer mit der größten Einschränkung. Weitere Informationen zum Festlegen von Gastberechtigungen mithilfe von Microsoft Graph finden Sie unter dem Ressourcentyp authorizationPolicy.

Erstmaliges Konfigurieren

POST https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

Die Antwort sollte „Success 204“ lauten.

Wichtig

Die Unterstützung von Azure AD PowerShell wird voraussichtlich am 30. März 2024 eingestellt. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Microsoft Graph PowerShell ermöglicht den Zugriff auf alle Microsoft Graph-APIs und ist in PowerShell 7 verfügbar. Antworten auf allgemeine Migrationsfragen finden Sie unter Häufig gestellte Fragen zur Migration.

Aktualisieren des vorhandenen Werts

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

Die Antwort sollte „Success 204“ lauten.

Anzeigen des aktuellen Werts

GET https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

Beispielantwort:

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#policies/authorizationPolicy/$entity",
    "id": "authorizationPolicy",
    "displayName": "Authorization Policy",
    "description": "Used to manage authorization related settings across the company.",
    "enabledPreviewFeatures": [],
    "guestUserRoleId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "permissionGrantPolicyIdsAssignedToDefaultUserRole": [
        "user-default-legacy"
    ]
}

Aktualisieren mit PowerShell-Cmdlets

Bei diesem Feature besteht die Möglichkeit, die eingeschränkten Berechtigungen über PowerShell v2-Cmdlets zu konfigurieren. In Version 2.0.2.85 wurden PowerShell-Cmdlets vom Typ „Get“ und „Set“ veröffentlicht.

Befehl abrufen: Get-MgPolicyAuthorizationPolicy

Beispiel:

Get-MgPolicyAuthorizationPolicy | Format-List
AllowEmailVerifiedUsersToJoinOrganization : True
AllowInvitesFrom                          : everyone
AllowUserConsentForRiskyApps              :
AllowedToSignUpEmailBasedSubscriptions    : True
AllowedToUseSspr                          : True
BlockMsolPowerShell                       : False
DefaultUserRolePermissions                : Microsoft.Graph.PowerShell.Models.MicrosoftGraphDefaultUserRolePermissions
DeletedDateTime                           :
Description                               : Used to manage authorization related settings across the company.
DisplayName                               : Authorization Policy
GuestUserRoleId                           : 10dae51f-b6af-4016-8d66-8c2a99b929b3
Id                                        : authorizationPolicy
AdditionalProperties                      : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/authorizationPolicy/$entity]}

Updatebefehl: Update-MgPolicyAuthorizationPolicy

Beispiel:

Update-MgPolicyAuthorizationPolicy -GuestUserRoleId '2af84b1e-32c8-42b7-82bc-daa82404023b'

Unterstützte Microsoft 365-Dienste

Unterstützte Dienste

„Unterstützt“ bedeutet, dass die Benutzeroberfläche erwartungsgemäß angezeigt wird. Das heißt insbesondere, dass sie der aktuellen Gastbenutzeroberfläche entspricht.

  • Teams
  • Outlook (OWA)
  • SharePoint
  • Planner in Teams
  • Planner, mobile App
  • Planner, Web-App
  • Project for the web
  • Project Operations

Derzeit nicht unterstützte Dienste

Dienste, die aktuell nicht unterstützt werden, weisen möglicherweise Kompatibilitätsprobleme mit der neuen Einschränkungseinstellung für Gäste auf.

  • Formularen
  • Project Online
  • Yammer
  • Planner in SharePoint

Häufig gestellte Fragen (FAQ)

Frage Antwort
Wo gelten diese Berechtigungen? Diese Berechtigungen auf Verzeichnisebene werden für alle Microsoft Entra-Dienste erzwungen, einschließlich Microsoft Graph, PowerShell v2, das Azure-Portal und das Portal „Meine Apps“. Microsoft 365-Dienste, die Microsoft 365-Gruppen für Zusammenarbeitsszenarien nutzen, sind ebenfalls betroffen, insbesondere Outlook, Microsoft Teams und SharePoint.
Wie wirken sich eingeschränkte Berechtigungen darauf aus, welche Gruppen Gäste sehen können? Unabhängig davon, ob Sie die standardmäßigen oder eingeschränkte Gastberechtigungen verwenden, können Gäste die Liste der Gruppen oder Benutzer nicht auflisten. Gäste können Gruppen anzeigen, in denen sie Mitglied sind. Abhängig von ihren Berechtigungen können sie dafür das Azure-Portal oder das Portal „Meine Apps“ verwenden:
  • Standardberechtigungen: Um im Azure-Portal die Gruppen zu finden, deren Mitglied sie sind, müssen Gäste in der Liste Alle Benutzer nach ihrer Objekt-ID suchen und dann Gruppen auswählen. Dort wird die Liste der Gruppen angezeigt, denen sie angehören. Dies schließt auch alle Gruppendetails wie Name, E-Mail-Adresse usw. ein. Im Portal „Meine Apps“ wird eine Liste der Gruppen angezeigt, deren Besitzer sie sind und in denen sie Mitglied sind.
  • Eingeschränkte Berechtigungen für Gastbenutzer: Sie können im Azure-Portal weiterhin die Liste der Gruppen finden, deren Mitglied sie sind, indem Sie in der Liste Alle Benutzer nach ihrer Objekt-ID suchen und dann Gruppen auswählen. Es werden jedoch nur sehr begrenzte Details zur Gruppe angezeigt, insbesondere die Objekt-ID. Die Spalten „Name“ und „E-Mail-Adresse“ sind standardmäßig leer, und der Gruppentyp lautet „Unbekannt“. Im Portal „Meine Apps“ können sie nicht auf die Liste der Gruppen zugreifen, deren Besitzer sie sind oder in denen sie Mitglied sind.

Einen ausführlicheren Vergleich der Verzeichnisberechtigungen aus der Graph-API finden Sie unter Standardbenutzerberechtigungen.
Auf welche Bereiche des Portals „Meine Apps“ wirkt sich auf dieses Feature aus? Diese neuen Berechtigungen werden in der Gruppenfunktion im Portal „Meine Apps“ berücksichtigt. Dies umfasst alle Pfade zum Anzeigen der Gruppenliste und Gruppenmitgliedschaften in „Meine Apps“. An der Verfügbarkeit der Gruppenkachel wurden keine Änderungen vorgenommen. Die Verfügbarkeit der Gruppenkachel wird weiterhin durch die vorhandene Gruppeneinstellung im Azure-Portal gesteuert.
Haben diese Berechtigungen Vorrang vor Gasteinstellungen in SharePoint oder Microsoft Teams? Nein. Diese vorhandenen Einstellungen steuern weiterhin die Benutzeroberfläche und den Zugriff in diesen Anwendungen. Wenn beispielsweise Probleme in SharePoint angezeigt werden, überprüfen Sie Ihre Einstellungen für externe Freigaben. Gäste, die von Teambesitzern auf Teamebene hinzugefügt wurden, haben nur Zugriff auf Kanal-Besprechungschats nur für Standardkanäle, ausgenommen private und freigegebene Kanäle.
Welche Kompatibilitätsprobleme sind in Yammer bekannt? Wenn die Berechtigungen auf „eingeschränkt“ festgelegt sind, können Gäste, die sich bei Yammer angemeldet haben, die Gruppe nicht verlassen.
Werden die vorhandenen Gastberechtigungen in meinem Mandanten geändert? An Ihren aktuellen Einstellungen wurden keine Änderungen vorgenommen. Die Abwärtskompatibilität mit Ihren vorhandenen Einstellungen bleibt gewahrt. Sie entscheiden, wann Sie Änderungen vornehmen möchten.
Werden diese Berechtigungen standardmäßig festgelegt? Nein. Die vorhandenen Standardberechtigungen bleiben unverändert. Sie können die Berechtigungen optional so festlegen, dass sie stärker einschränkend sind.
Gibt es Lizenzanforderungen für dieses Feature? Nein, für dieses Feature bestehen keine neuen Lizenzierungsanforderungen.

Nächste Schritte