Übersicht: Mandantenübergreifender Zugriff mit Azure AD External Identities
Azure AD-Organisationen können mandantenübergreifende External Identities-Zugriffseinstellungen verwenden, um die Zusammenarbeit mit anderen Azure AD-Organisationen und anderen Microsoft Azure-Clouds über B2B-Zusammenarbeit und eine direkte B2B-Verbindung zu verwalten. Mithilfe von mandantenübergreifenden Zugriffseinstellungen haben Sie präzise Kontrolle darüber, wie externe Azure AD-Organisationen mit Ihnen zusammenarbeiten (eingehender Zugriff) und wie Ihre Benutzer mit externen Azure AD-Organisationen zusammenarbeiten (ausgehender Zugriff). Darüber hinaus können Sie mit diesen Einstellungen den MFA-Ansprüchen (Multi-Faktor-Authentifizierung) und Geräteansprüchen (Ansprüche von konformen Geräten und von in Azure AD eingebundenen Hybridgeräten) von anderen Azure AD-Organisationen vertrauen.
In diesem Artikel werden mandantenübergreifende Zugriffseinstellungen beschrieben, die zum Verwalten der B2B-Zusammenarbeit und der direkten B2B-Verbindung mit externen Azure AD-Organisationen, z. B. anderen Microsoft-Clouds, verwendet werden. Zusätzliche Einstellungen stehen für die B2B-Zusammenarbeit mit Azure AD-fremden Identitäten (z. B. Identitäten sozialer Netzwerke und nicht von der IT verwaltete externe Konten) zur Verfügung. Diese Einstellungen für externe Zusammenarbeit umfassen Optionen zum Einschränken des Gastbenutzerzugriffs, zum Angeben der Benutzer, die Gäste einladen dürfen, und zum Zulassen oder Blockieren von Domänen.
Verwalten des externen Zugriffs mit Einstellungen für eingehenden und ausgehenden Zugriff
Über die mandantenübergreifenden Zugriffseinstellungen für externe Identitäten wird verwaltet, wie Sie mit anderen Azure AD-Organisationen zusammenarbeiten. Diese Einstellungen bestimmen sowohl die Ebene des eingehenden Zugriffs, über den Benutzer in externen Azure AD-Organisationen auf Ihre Ressourcen verfügen, als auch die Ebene des ausgehenden Zugriffs, den Ihre Benutzer auf externe Organisationen haben.
Das folgende Diagramm zeigt die Einstellungen für den mandantenübergreifenden Zugriff (eingehend und ausgehend). Der Azure AD-Ressourcenmandant ist der Mandant, der die Ressourcen enthält, die freigegeben werden sollen. Bei der B2B-Zusammenarbeit ist der Ressourcenmandant der einladende Mandant (z. B. Ihr Unternehmensmandant, zu dem Sie die externen Benutzer einladen möchten). Der Azure AD-Stammmandant des Benutzers ist der Mandant, in dem die externen Benutzer verwaltet werden.
Standardmäßig ist die B2B-Zusammenarbeit mit anderen Azure AD-Organisationen aktiviert, und die direkte B2B-Verbindung ist blockiert. Mit den folgenden umfangreichen Verwaltungseinstellungen können Sie jedoch beide Funktionen verwalten.
Einstellungen für Zugriff auf ausgehenden Datenverkehr steuern, ob Ihre Benutzer auf Ressourcen in einer externen Organisation zugreifen können. Sie können diese Einstellungen auf alle Benutzer anwenden oder einzelne Benutzer, Gruppen und Anwendungen angeben.
Mithilfe von Einstellungen für Zugriff auf eingehenden Datenverkehr wird gesteuert, ob Benutzer aus externen Azure AD-Organisationen auf Ressourcen in Ihrer Organisation zugreifen können. Sie können diese Einstellungen auf alle Benutzer anwenden oder einzelne Benutzer, Gruppen und Anwendungen angeben.
Vertrauenseinstellungen (eingehend) bestimmen, ob Ihre Richtlinien für bedingten Zugriff den Ansprüchen der Multi-Faktor-Authentifizierung (MFA), von konformen Geräten und von in Azure AD eingebundenen Hybridgeräten einer externen Organisation vertrauen, wenn deren Benutzer diese Voraussetzungen bereits in ihren Basismandanten erfüllt haben. Beispiel: Wenn Sie Ihre Vertrauenseinstellungen so konfigurieren, dass sie MFA vertrauen, werden Ihre MFA-Richtlinien dennoch auf externe Benutzer angewendet. Benutzer, die die MFA bereits in ihren Basismandanten durchgeführt haben, müssen die MFA in Ihrem Mandanten nicht erneut ausführen.
Standardeinstellungen
Die mandantenübergreifenden Standardzugriffseinstellungen gelten für alle Azure AD-Organisationen außerhalb Ihres Mandanten, mit Ausnahme derjenigen, für die Sie Organisationseinstellungen konfiguriert haben. Sie können Ihre Standardeinstellungen ändern, aber die anfänglichen Standardeinstellungen für die B2B-Zusammenarbeit und die B2B-Verbindung lauten wie folgt:
B2B-Zusammenarbeit: Für alle Ihre internen Benutzer ist standardmäßig die B2B-Zusammenarbeit aktiviert. Das bedeutet, dass Ihre Benutzer externe Gäste einladen können, auf Ihre Ressourcen zuzugreifen. Im Gegenzug können Ihre Benutzer als Gäste in externe Organisationen eingeladen werden. MFA- und Geräteansprüche von anderen Azure AD Organisationen sind nicht vertrauenswürdig.
Direkte B2B-Verbindung: Standardmäßig werden keine Beziehungen mit Vertrauensstellungen für direkte B2B-Verbindungen eingerichtet. Standardmäßig blockiert Azure AD alle eingehenden und ausgehenden Funktionen für direkte B2B-Verbindungen für alle externen Azure AD-Mandanten.
Organisationseinstellungen: Ihren Organisationseinstellungen werden standardmäßig keine Organisationen hinzugefügt. Das bedeutet, dass für alle externen Azure AD-Organisationen die B2B-Zusammenarbeit mit Ihrer Organisation aktiviert ist.
Mandantenübergreifende Synchronisierung: Mit der mandantenübergreifenden Synchronisierung werden keine Benutzer aus anderen Mandanten mit Ihrem Mandanten synchronisiert.
Die oben beschriebenen Verhaltensweisen gelten für die B2B-Zusammenarbeit mit anderen Azure AD-Mandanten in der gleichen Microsoft Azure-Cloud. In cloudübergreifenden Szenarien funktionieren Standardeinstellungen etwas anders. Weitere Informationen finden Sie weiter unten in diesem Artikel unter Microsoft-Cloudeinstellungen.
Organisationseinstellungen
Sie können organisationsspezifische Einstellungen konfigurieren, indem Sie eine Organisation hinzufügen und die Einstellungen für ein- und ausgehenden Zugriff für diese Organisation ändern. Organisationseinstellungen haben Vorrang vor Standardeinstellungen.
B2B-Zusammenarbeit: Für die B2B-Zusammenarbeit mit anderen Azure AD-Organisationen können Sie mandantenübergreifende Zugriffseinstellungen verwenden, um die B2B-Zusammenarbeit in ein- und ausgehender Richtung zu verwalten und den Zugriff auf bestimmte Benutzer, Gruppen und Anwendungen zu beschränken. Sie können eine Standardkonfiguration festlegen, die für alle externen Organisationen gilt, und dann nach Bedarf individuelle organisationsspezifische Einstellungen erstellen. Darüber hinaus können Sie mithilfe mandantenübergreifender Zugriffseinstellungen den MFA-Ansprüchen (Multi-Faktor-Authentifizierung) und Geräteansprüchen (Ansprüche von konformen Geräten und von in Azure AD eingebundenen Hybridgeräten) von anderen Azure AD-Organisationen vertrauen.
Tipp
Es wird empfohlen, externe Benutzer*innen aus der MFA-Registrierungsrichtlinie für Identity Protection auszuschließen, wenn Sie der Multi-Faktor-Authentifizierung für externe Benutzer*innen vertrauen. Wenn beide Richtlinien aktiviert sind, können externe Benutzer*innen die Zugriffsanforderungen nicht erfüllen.
Direkte B2B-Verbindung: Verwenden Sie für eine direkte B2B-Verbindung Organisationseinstellungen, um eine Beziehung mit gegenseitiger Vertrauensstellung mit einer anderen Azure AD-Organisation einzurichten. Sowohl Ihre Organisation als auch die externe Organisation müssen direkte B2B-Verbindungen gegenseitig aktivieren, indem Sie mandantenübergreifende Zugriffseinstellungen in ein- und ausgehender Richtung konfigurieren.
Mithilfe der Einstellungen für externe Zusammenarbeit können Sie einschränken, wer externe Benutzer einladen darf, B2B-spezifische Domänen zulassen oder blockieren und Einschränkungen für den Gastbenutzerzugriff auf Ihr Verzeichnis festlegen.
Einstellung für automatische Einlösung
Die Einstellung für die automatische Einlösung ist eine Einstellung für eingehende und ausgehende Organisationsvertrauensverhältnisse, mit der Einladungen automatisch eingelöst werden, sodass Benutzer beim ersten Zugriff auf den Ressourcen-/den Zielmandanten die Zustimmungsaufforderung nicht akzeptieren müssen. Bei dieser Einstellung handelt es sich um ein Kontrollkästchen mit dem folgenden Namen, je nachdem, ob sie ein- oder ausgehend ist:
- Unterdrücken von Einwilligungsaufforderungen für Benutzer des anderen Mandanten, wenn sie auf Apps und Ressourcen in meinem Mandanten zugreifen
- Unterdrücken der Einwilligungsaufforderungen für Benutzer aus meinem Mandanten, wenn sie auf Apps und Ressourcen im anderen Mandanten zugreifen
Vergleichen der Einstellung für verschiedene Szenarien
Die Einstellung für die automatische Einlösung gilt für die mandantenübergreifende Synchronisierung, B2B-Zusammenarbeit und die direkte B2B-Verbindung in den folgenden Situationen:
- Wenn Benutzer mithilfe der mandantenübergreifenden Synchronisierung in einem Zielmandanten erstellt werden.
- Wenn Benutzer mithilfe der B2B-Zusammenarbeit einem Ressourcenmandanten hinzugefügt werden.
- Wenn Benutzer mithilfe der direkten B2B-Verbindung auf Ressourcen in einem Ressourcenmandanten zugreifen.
In der folgenden Tabelle wird die Wirkung der aktivierten Einstellung für folgende Szenarien verglichen:
| Element | Mandantenübergreifende Synchronisierung | B2B-Zusammenarbeit | Direkte B2B-Verbindung |
|---|---|---|---|
| Einstellung für automatische Einlösung | Erforderlich | Optional | Optional |
| Benutzer erhalten eine Einladung per E-Mail zur B2B-Zusammenarbeit. | Nein | Nein | – |
| Benutzer müssen eine Einwilligungsaufforderung akzeptieren. | Nein | Nein | Nein |
| Benutzer erhalten eine Benachrichtigung-E-Mail zur B2B-Zusammenarbeit. | Nein | Ja | – |
Diese Einstellung wirkt sich nicht auf die Anwendungseinwilligung aus. Weitere Informationen finden Sie unter Einwilligungserfahrung für Anwendungen in Azure Active Directory. Diese Einstellung wird nicht für Organisationen in verschiedenen Microsoft-Cloudumgebungen unterstützt (z. B. Azure Commercial und Azure Government).
Wann wird die Einwilligungsaufforderung unterdrückt?
Die Einstellung für die automatische Einlösung unterdrückt die Einwilligungsaufforderung und die Einladungs-E-Mail nur, wenn sowohl der Basis-/Quellmandant (ausgehend) als auch der Ressourcen-/Zielmandant (eingehend) diese Einstellung überprüft.
Die folgende Tabelle zeigt das Einwilligungsaufforderungsverhalten für Quellmandantenbenutzer, wenn die Einstellung für die automatische Einlösung für verschiedene mandantenübergreifende Zugriffseinstellungskombinationen aktiviert wird:
| Basis-/Quellmandant | Ressourcen-/Zielmandant | Einwilligungsaufforderungsverhalten für Quellmandantenbenutzer |
|---|---|---|
| Ausgehend | Eingehend | |
 |
|
Unterdrückt |
|
 |
Nicht unterdrückt |
|
|
Nicht unterdrückt |
|
|
Nicht unterdrückt |
| Eingehend | Ausgehend | |
|
|
Nicht unterdrückt |
|
|
Nicht unterdrückt |
|
|
Nicht unterdrückt |
|
|
Nicht unterdrückt |
Informationen zum Konfigurieren dieser Einstellung mithilfe von Microsoft Graph finden Sie in der API Aktualisieren von crossTenantAccessPolicyConfigurationPartner. Informationen zum Erstellen einer eigenen Onboardingumgebung finden Sie unter Azure AD Microsoft Graph-API für B2B-Zusammenarbeit.
Weitere Informationen finden Sie unter Konfigurieren der mandantenübergreifenden Synchronisierung (Vorschau), Konfigurieren mandantenübergreifender Zugriffseinstellungen für die B2B-Zusammenarbeit sowie unter Konfigurieren mandantenübergreifender Zugriffseinstellungen für direkte B2B-Verbindungen.
Einstellung der mandantenübergreifenden Synchronisierung
Die Einstellung der mandantenübergreifenden Synchronisierung ist eine organisationsübergreifende Einstellung, die nur eingehende Nachrichten betrifft und mit der der Administrator eines Quellmandanten Benutzer mit einem Zielmandanten synchronisieren kann. Bei dieser Einstellung handelt es sich um ein Kontrollkästchen mit dem Namen Erlauben Sie Benutzern, sich mit diesem Mandanten zu synchronisieren im Zielmandanten. Diese Einstellung wirkt sich nicht auf B2B-Einladungen aus, die über andere Prozesse wie manuelle Einladungen oder die Azure AD-Berechtigungsverwaltung erstellt wurden.
Informationen zum Konfigurieren dieser Einstellung mithilfe von Microsoft Graph finden Sie in der API Aktualisieren von crossTenantIdentitySyncPolicyPartner. Weitere Informationen finden Sie unter Konfigurieren der mandantenübergreifenden Synchronisierung (Vorschau).
Mandanteneinschränkungen
Mit Einstellungen für Mandanteneinschränkungen können Sie steuern, welche Arten von externen Konten Ihre Benutzer auf den von Ihnen verwalteten Geräten verwenden können, einschließlich:
- Konten, die Benutzer unter Verwendung unbekannter Mandanten erstellt haben
- Konten, die Benutzer von externen Organisationen erhalten haben, damit sie auf die Ressourcen dieser Organisation zugreifen können
Es wird empfohlen, Ihre Mandanteneinschränkungen so zu konfigurieren, dass diese Art von externen Konten nicht zulässig ist, und stattdessen die B2B Collaboration zu nutzen. Die B2B Collaboration bietet folgende Möglichkeiten:
- Sie können den bedingten Zugriff verwenden und die Multi-Faktor-Authentifizierung für B2B Collaboration-Benutzer erzwingen.
- Sie können ein- und ausgehende Verbindungen verwalten.
- Sie können Sitzungen beenden und Anmeldedaten löschen, wenn sich der Beschäftigungsstatus eines B2B Collaboration-Benutzers ändert oder seine Anmeldedaten missbraucht werden.
- Sie können Anmeldeprotokolle verwenden, um Details zu B2B Collaboration-Benutzern anzuzeigen.
Mandanteneinschränkungen sind unabhängig von anderen mandantenübergreifenden Zugriffseinstellungen. Daher haben die von Ihnen konfigurierten Einstellungen für eingehende, ausgehende oder vertrauenswürdige Verbindungen keine Auswirkungen auf Mandanteneinschränkungen. Ausführliche Informationen zum Konfigurieren von Mandanteneinschränkungen finden Sie unter Einrichten von Mandanteneinschränkungen V2.
Microsoft-Cloudeinstellungen
Microsoft-Cloudeinstellungen ermöglichen die Zusammenarbeit mit Organisationen in anderen Microsoft Azure-Clouds. Mit Microsoft-Cloudeinstellungen können Sie eine bidirektionale B2B-Zusammenarbeit zwischen den folgenden Clouds einrichten:
- Kommerzielle Microsoft Azure-Cloud und Microsoft Azure Government
- Kommerzielle Microsoft Azure-Cloud und Microsoft Azure China (betrieben von 21Vianet)
Hinweis
Microsoft Azure Government umfasst die Clouds Office GCC-High und DoD.
Um die B2B-Zusammenarbeit einzurichten, konfigurieren beide Organisationen ihre Microsoft-Cloudeinstellungen so, dass die Cloud des Partners aktiviert wird. Anschließend verwendet jede Organisation die Mandanten-ID des Partners, um den Partner zu suchen und zu den Organisationseinstellungen hinzuzufügen. Danach kann jede Organisation ihre standardmäßigen mandantenübergreifenden Zugriffseinstellungen für den Partner zulassen oder partnerspezifische Einstellungen für eingehenden und ausgehenden Datenverkehr konfigurieren. Nachdem Sie eine B2B-Zusammenarbeit mit einem Partner in einer anderen Cloud eingerichtet haben, haben Sie folgende Möglichkeiten:
- Verwenden Sie die B2B-Zusammenarbeit, um einen Benutzer im Partnermandanten einzuladen, auf Ressourcen in Ihrer Organisation zuzugreifen, z. B. branchenspezifische Web-Apps, SaaS-Apps und SharePoint Online-Websites, -Dokumente und -Dateien.
- Verwenden Sie B2B Collaboration, um Power BI-Inhalte für Benutzer im Partnermandanten freizugeben.
- Wenden Sie Richtlinien für bedingten Zugriff auf B2B Collaboration-Benutzer*innen an, und geben Sie an, dass die Multi-Faktor-Authentifizierung oder Geräteansprüche (konforme Ansprüche und hybride, in Azure AD eingebundene Ansprüche) vom Basismandanten der Benutzer*innen als vertrauenswürdig gelten.
Hinweis
Für die Zusammenarbeit mit Azure AD-Mandanten in einer anderen Microsoft-Cloud werden direkte B2B-Verbindungen nicht unterstützt.
Informationen zu Konfigurationsschritten finden Sie unter Konfigurieren von Microsoft-Cloudeinstellungen für die B2B-Zusammenarbeit.
Standardeinstellungen in cloudübergreifenden Szenarien
Um mit einem Partnermandanten in einer anderen Microsoft Azure Cloud zusammenzuarbeiten, müssen beide Organisationen gegenseitig die B2B-Zusammenarbeit aktivieren. Der erste Schritt besteht darin, die Cloud des Partners in den mandantenübergreifenden Einstellungen zu aktivieren. Wenn Sie zuerst eine andere Cloud aktivieren, wird die B2B-Zusammenarbeit für alle Mandanten in der betreffenden Cloud blockiert. Sie müssen den Mandanten, mit dem zusammenarbeiten möchten, zu Ihren Organisationseinstellungen hinzufügen. Dadurch werden Ihre Standardeinstellungen nur für diesen Mandanten wirksam. Sie können erlauben, dass die Standardeinstellungen wirksam bleiben, oder die Organisationseinstellungen für den Mandanten ändern.
Wichtige Hinweise
Wichtig
Wenn Sie die Standardeinstellungen für eingehenden oder ausgehenden Zugriff in Zugriff blockieren ändern, kann der vorhandene unternehmenskritische Zugriff auf Apps in Ihrer Organisation oder Partnerorganisation blockiert werden. Verwenden Sie unbedingt die in diesem Artikel beschriebenen Tools, und wenden Sie sich an die Beteiligten in Ihrem Unternehmen, um den erforderlichen Zugriff zu ermitteln.
Zum Konfigurieren mandantenübergreifender Zugriffseinstellungen im Azure-Portal benötigen Sie ein Konto mit der Rolle „Globaler Administrator“ oder „Sicherheitsadministrator“.
Um Vertrauenseinstellungen zu konfigurieren oder Zugriffseinstellungen auf bestimmte Benutzer, Gruppen oder Anwendungen anzuwenden, benötigen Sie eine Azure AD Premium P1-Lizenz. Die Lizenz ist für den von Ihnen konfigurierten Mandanten erforderlich. Bei einer direkten B2B-Verbindung, bei der eine gegenseitige Vertrauensstellung zwischen Ihnen und einer anderen Azure AD-Organisation erforderlich ist, benötigen Sie eine Azure AD Premium P1-Lizenz für beide Mandanten.
Mandantenübergreifende Zugriffseinstellungen bieten die Möglichkeit, die B2B-Zusammenarbeit und direkte B2B-Verbindungen mit anderen Azure AD-Organisationen zu verwalten. Verwenden Sie für die B2B-Zusammenarbeit mit Azure AD-fremden Identitäten (etwa Identitäten sozialer Netzwerke und nicht von der IT verwaltete externe Konten) Einstellungen für externe Zusammenarbeit. Einstellungen für externe Zusammenarbeit umfassen Optionen der B2B-Zusammenarbeit zum Einschränken des Gastbenutzerzugriffs, zum Angeben der Benutzer, die Gäste einladen dürfen, und zum Zulassen oder Blockieren von Domänen.
Wenn Sie Zugriffseinstellungen auf bestimmte Benutzer, Gruppen oder Anwendungen in einer externen Organisation anwenden möchten, müssen Sie sich vor dem Konfigurieren der Einstellungen an die Organisation wenden, um erforderliche Informationen zu erhalten. Erfragen Sie die Benutzerobjekt-IDs, Gruppenobjekt-IDs oder Anwendungs-IDs (Client-App-IDs oder Ressourcen-App-IDs), damit Sie Ihre Einstellungen korrekt festlegen können.
Tipp
Unter Umständen finden Sie die Anwendungs-IDs für Apps in externen Organisationen in Ihren Anmeldeprotokollen. Weitere Informationen finden Sie im Abschnitt Identifizieren von eingehenden und ausgehenden Anmeldungen.
Die für Benutzer und Gruppen konfigurierten Zugriffseinstellungen müssen mit den Zugriffseinstellungen für Anwendungen übereinstimmen. In Konflikt stehende Einstellungen sind nicht zulässig. Es werden Warnmeldungen angezeigt, wenn Sie versuchen, derartige Einstellungen zu konfigurieren.
Beispiel 1: Wenn Sie den Zugriff in eingehender Richtung für alle externen Benutzer und Gruppen blockieren, muss auch der Zugriff auf alle Ihre Anwendungen blockiert werden.
Beispiel 2: Wenn Sie den Zugriff in ausgehender Richtung für alle Ihre Benutzer (oder spezifische Benutzer oder Gruppen) zulassen, wird verhindert, dass Sie den gesamten Zugriff auf externe Anwendungen blockieren. Der Zugriff auf mindestens eine Anwendung muss zugelassen werden.
Wenn Sie eine direkte B2B-Verbindung mit einer externen Organisation zulassen möchten und Ihre Richtlinien für bedingten Zugriff MFA vorschreiben, müssen Sie Ihre Vertrauenseinstellungen so konfigurieren, dass Ihre Richtlinien für bedingten Zugriff MFA-Ansprüche von der externen Organisation akzeptieren.
Wenn Sie den Zugriff auf alle Apps standardmäßig blockieren, können Benutzer keine E-Mails lesen, die mit Microsoft Rights Management Service (auch als „Office 365-Nachrichtenverschlüsselung“ oder „OME“ bezeichnet) verschlüsselt wurden. Zur Vermeidung dieses Problems empfehlen wir, Ihre Einstellungen für „Ausgehend“ so zu konfigurieren, dass Ihre Benutzer auf diese App-ID zugreifen können: „00000012-0000-0000-c000-000000000000“. Wenn dies die einzige von Ihnen zugelassene Anwendung ist, wird der Zugriff auf alle anderen Apps standardmäßig blockiert.
Identifizieren von eingehenden und ausgehenden Anmeldungen
Bevor Sie Einstellungen für den eingehenden und ausgehenden Zugriff festlegen, können Sie mithilfe verschiedener verfügbarer Tools den Zugriff identifizieren, den Ihre Benutzer und Partner benötigen. Sie können das aktuelle Anmeldeverhalten untersuchen, um sicherzustellen, dass Sie den von Ihren Benutzern und Partnern benötigten Zugriff nicht entfernen. Durch diesen vorbereitenden Schritt können Sie den Verlust des gewünschten Zugriffs für Ihre Endbenutzer und Partnerbenutzer verhindern. In einigen Fällen werden diese Protokolle jedoch nur 30 Tage lang aufbewahrt. Daher wird dringend empfohlen, mit den Beteiligten im Unternehmen zu sprechen, um sicherzustellen, dass der erforderliche Zugriff nicht verloren geht.
PowerShell-Skript für mandantenübergreifende Anmeldeaktivitäten
Zum Überprüfen der Benutzeranmeldeaktivität, die externen Mandanten zugeordnet ist, können Sie das PowerShell-Skript für die mandantenübergreifende Benutzeranmeldeaktivität verwenden. Führen Sie beispielsweise den folgenden Befehl aus, um alle verfügbaren Anmeldeereignisse für eingehende Aktivitäten (externe Benutzer, die auf Ressourcen im lokalen Mandanten zugreifen) und ausgehende Aktivitäten (lokale Benutzer, die auf Ressourcen in einem externen Mandanten zugreifen) anzuzeigen:
Get-MSIDCrossTenantAccessActivity -SummaryStats -ResolveTenantId
Die Ausgabe ist eine Zusammenfassung aller verfügbaren Anmeldeereignisse für ein- und ausgehende Aktivitäten, die nach externer Mandanten-ID und externem Mandantennamen aufgelistet sind.
PowerShell-Skript für Anmeldeprotokolle
Um den Zugriff Ihrer Benutzer auf externe Azure AD-Organisationen zu bestimmen, können Sie das Cmdlet Get-MgAuditLogSignIn im Microsoft Graph PowerShell-SDK verwenden, um Daten aus Ihren Anmeldeprotokollen für die letzten 30 Tage anzuzeigen. Führen Sie beispielsweise den folgenden Befehl aus:
#Initial connection
Connect-MgGraph -Scopes "AuditLog.Read.All"
Select-MgProfile -Name "beta"
#Get external access
$TenantId = "<replace-with-your-tenant-ID>"
Get-MgAuditLogSignIn -Filter "ResourceTenantId ne '$TenantID'" -All:$True |
Group-Object ResourceTenantId,AppDisplayName,UserPrincipalName |
Select-Object count,@{n='Ext TenantID/App User Pair';e={$_.name}}
Die Ausgabe ist eine Liste der ausgehenden Anmeldungen, die von Ihren Benutzern für Apps in externen Mandanten initiiert wurden.
Azure Monitor
Wenn Ihre Organisation den Azure Monitor-Dienst abonniert, können Sie die Arbeitsmappe für mandantenübergreifende Zugriffsaktivitäten (verfügbar im Azure-Portal im Katalog mit Überwachungsarbeitsmappen) verwenden, um eingehende und ausgehende Anmeldungen für längere Zeiträume visuell zu untersuchen.
SIEM-Systeme (Security Information & Event Management)
Wenn Ihre Organisation Anmeldeprotokolle in ein SIEM-System (Security Information & Event Management) exportiert, können Sie die erforderlichen Informationen aus Ihrem SIEM-System abrufen.
Ermitteln von Änderungen an den mandantenübergreifenden Zugriffseinstellungen
Die Azure AD-Überwachungsprotokolle erfassen alle Aktivitäten im Rahmen mandantenübergreifender Zugriffseinstellungsänderungen und Aktivitäten. Um Änderungen an Ihren mandantenübergreifenden Zugriffseinstellungen zu überprüfen, verwenden Sie die Kategorie namens CrossTenantAccessSettings, um alle Aktivitäten so zu filtern, dass Änderungen an den mandantenübergreifenden Zugriffseinstellungen angezeigt werden.
Nächste Schritte
Konfigurieren mandantenübergreifender Zugriffseinstellungen für die B2B-ZusammenarbeitKonfiguriert mandantenübergreifende Zugriffseinstellungen für direkte B2B-Verbindungen