Übersicht: Mandantenübergreifender Zugriff mit Azure AD External Identities

Azure AD-Organisationen können mandantenübergreifende External Identities-Zugriffseinstellungen verwenden, um die Zusammenarbeit mit anderen Azure AD-Organisationen und anderen Microsoft Azure-Clouds über B2B-Zusammenarbeit und eine direkte B2B-Verbindung zu verwalten. Mithilfe von mandantenübergreifenden Zugriffseinstellungen haben Sie präzise Kontrolle darüber, wie externe Azure AD-Organisationen mit Ihnen zusammenarbeiten (eingehender Zugriff) und wie Ihre Benutzer mit externen Azure AD-Organisationen zusammenarbeiten (ausgehender Zugriff). Darüber hinaus können Sie mit diesen Einstellungen den MFA-Ansprüchen (Multi-Faktor-Authentifizierung) und Geräteansprüchen (Ansprüche von konformen Geräten und von in Azure AD eingebundenen Hybridgeräten) von anderen Azure AD-Organisationen vertrauen.

In diesem Artikel werden mandantenübergreifende Zugriffseinstellungen beschrieben, die zum Verwalten der B2B-Zusammenarbeit und der direkten B2B-Verbindung mit externen Azure AD-Organisationen, z. B. anderen Microsoft-Clouds, verwendet werden. Zusätzliche Einstellungen stehen für die B2B-Zusammenarbeit mit Azure AD-fremden Identitäten (z. B. Identitäten sozialer Netzwerke und nicht von der IT verwaltete externe Konten) zur Verfügung. Diese Einstellungen für externe Zusammenarbeit umfassen Optionen zum Einschränken des Gastbenutzerzugriffs, zum Angeben der Benutzer, die Gäste einladen dürfen, und zum Zulassen oder Blockieren von Domänen.

Verwalten des externen Zugriffs mit Einstellungen für eingehenden und ausgehenden Zugriff

Über die mandantenübergreifenden Zugriffseinstellungen für externe Identitäten wird verwaltet, wie Sie mit anderen Azure AD-Organisationen zusammenarbeiten. Diese Einstellungen bestimmen sowohl die Ebene des eingehenden Zugriffs, über den Benutzer in externen Azure AD-Organisationen auf Ihre Ressourcen verfügen, als auch die Ebene des ausgehenden Zugriffs, den Ihre Benutzer auf externe Organisationen haben.

Das folgende Diagramm zeigt die Einstellungen für den mandantenübergreifenden Zugriff (eingehend und ausgehend). Der Azure AD-Ressourcenmandant ist der Mandant, der die Ressourcen enthält, die freigegeben werden sollen. Bei der B2B-Zusammenarbeit ist der Ressourcenmandant der einladende Mandant (z. B. Ihr Unternehmensmandant, zu dem Sie die externen Benutzer einladen möchten). Der Azure AD-Stammmandant des Benutzers ist der Mandant, in dem die externen Benutzer verwaltet werden.

Übersichtsdiagramm zu mandantenübergreifenden Zugangseinstellungen.

Standardmäßig ist die B2B-Zusammenarbeit mit anderen Azure AD-Organisationen aktiviert, und die direkte B2B-Verbindung ist blockiert. Mit den folgenden umfangreichen Verwaltungseinstellungen können Sie jedoch beide Funktionen verwalten.

  • Einstellungen für Zugriff auf ausgehenden Datenverkehr steuern, ob Ihre Benutzer auf Ressourcen in einer externen Organisation zugreifen können. Sie können diese Einstellungen auf alle Benutzer anwenden oder einzelne Benutzer, Gruppen und Anwendungen angeben.

  • Mithilfe von Einstellungen für Zugriff auf eingehenden Datenverkehr wird gesteuert, ob Benutzer aus externen Azure AD-Organisationen auf Ressourcen in Ihrer Organisation zugreifen können. Sie können diese Einstellungen auf alle Benutzer anwenden oder einzelne Benutzer, Gruppen und Anwendungen angeben.

  • Vertrauenseinstellungen (eingehend) bestimmen, ob Ihre Richtlinien für bedingten Zugriff den Ansprüchen der Multi-Faktor-Authentifizierung (MFA), von konformen Geräten und von in Azure AD eingebundenen Hybridgeräten einer externen Organisation vertrauen, wenn deren Benutzer diese Voraussetzungen bereits in ihren Basismandanten erfüllt haben. Beispiel: Wenn Sie Ihre Vertrauenseinstellungen so konfigurieren, dass sie MFA vertrauen, werden Ihre MFA-Richtlinien dennoch auf externe Benutzer angewendet. Benutzer, die die MFA bereits in ihren Basismandanten durchgeführt haben, müssen die MFA in Ihrem Mandanten nicht erneut ausführen.

Standardeinstellungen

Die mandantenübergreifenden Standardzugriffseinstellungen gelten für alle Azure AD-Organisationen außerhalb Ihres Mandanten, mit Ausnahme derjenigen, für die Sie Organisationseinstellungen konfiguriert haben. Sie können Ihre Standardeinstellungen ändern, aber die anfänglichen Standardeinstellungen für die B2B-Zusammenarbeit und die B2B-Verbindung lauten wie folgt:

  • B2B-Zusammenarbeit: Für alle Ihre internen Benutzer ist standardmäßig die B2B-Zusammenarbeit aktiviert. Das bedeutet, dass Ihre Benutzer externe Gäste einladen können, auf Ihre Ressourcen zuzugreifen. Im Gegenzug können Ihre Benutzer als Gäste in externe Organisationen eingeladen werden. MFA- und Geräteansprüche von anderen Azure AD Organisationen sind nicht vertrauenswürdig.

  • Direkte B2B-Verbindung: Standardmäßig werden keine Beziehungen mit Vertrauensstellungen für direkte B2B-Verbindungen eingerichtet. Standardmäßig blockiert Azure AD alle eingehenden und ausgehenden Funktionen für direkte B2B-Verbindungen für alle externen Azure AD-Mandanten.

  • Organisationseinstellungen: Ihren Organisationseinstellungen werden standardmäßig keine Organisationen hinzugefügt. Das bedeutet, dass für alle externen Azure AD-Organisationen die B2B-Zusammenarbeit mit Ihrer Organisation aktiviert ist.

Die oben beschriebenen Verhaltensweisen gelten für die B2B-Zusammenarbeit mit anderen Azure AD-Mandanten in der gleichen Microsoft Azure-Cloud. In cloudübergreifenden Szenarien funktionieren Standardeinstellungen etwas anders. Weitere Informationen finden Sie weiter unten in diesem Artikel unter Microsoft-Cloudeinstellungen.

Organisationseinstellungen

Sie können organisationsspezifische Einstellungen konfigurieren, indem Sie eine Organisation hinzufügen und die Einstellungen für ein- und ausgehenden Zugriff für diese Organisation ändern. Organisationseinstellungen haben Vorrang vor Standardeinstellungen.

  • Für die B2B-Zusammenarbeit mit anderen Azure AD-Organisationen können Sie mandantenübergreifende Zugriffseinstellungen verwenden, um die B2B-Zusammenarbeit in ein- und ausgehender Richtung zu verwalten und den Zugriff auf bestimmte Benutzer, Gruppen und Anwendungen zu beschränken. Sie können eine Standardkonfiguration festlegen, die für alle externen Organisationen gilt, und dann nach Bedarf individuelle organisationsspezifische Einstellungen erstellen. Darüber hinaus können Sie mithilfe mandantenübergreifender Zugriffseinstellungen den MFA-Ansprüchen (Multi-Faktor-Authentifizierung) und Geräteansprüchen (Ansprüche von konformen Geräten und von in Azure AD eingebundenen Hybridgeräten) von anderen Azure AD-Organisationen vertrauen.

    Tipp

    Es wird empfohlen, externe Benutzer*innen aus der MFA-Registrierungsrichtlinie für Identity Protection auszuschließen, wenn Sie der Multi-Faktor-Authentifizierung für externe Benutzer*innen vertrauen. Wenn beide Richtlinien aktiviert sind, können externe Benutzer*innen die Zugriffsanforderungen nicht erfüllen.

  • Verwenden Sie für direkte B2B-Verbindungen Organisationseinstellungen, um eine Beziehung mit gegenseitiger Vertrauensstellung mit einer anderen Azure AD-Organisation einzurichten. Sowohl Ihre Organisation als auch die externe Organisation müssen direkte B2B-Verbindungen gegenseitig aktivieren, indem Sie mandantenübergreifende Zugriffseinstellungen in ein- und ausgehender Richtung konfigurieren.

  • Mithilfe der Einstellungen für externe Zusammenarbeit können Sie einschränken, wer externe Benutzer einladen darf, B2B-spezifische Domänen zulassen oder blockieren und Einschränkungen für den Gastbenutzerzugriff auf Ihr Verzeichnis festlegen.

Microsoft-Cloudeinstellungen

Hinweis

Microsoft-Cloudeinstellungen sind Previewfunktionen von Azure Active Directory. Weitere Informationen zu Vorschauversionen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

Microsoft-Cloudeinstellungen ermöglichen die Zusammenarbeit mit Organisationen in anderen Microsoft Azure-Clouds. Mit Microsoft-Cloudeinstellungen können Sie eine bidirektionale B2B-Zusammenarbeit zwischen den folgenden Clouds einrichten:

  • Kommerzielle Microsoft Azure-Cloud und Microsoft Azure Government
  • Kommerzielle Microsoft Azure-Cloud und Microsoft Azure China (betrieben von 21Vianet)

Hinweis

Microsoft Azure Government umfasst die Clouds Office GCC-High und DoD.

Um die B2B-Zusammenarbeit einzurichten, konfigurieren beide Organisationen ihre Microsoft-Cloudeinstellungen so, dass die Cloud des Partners aktiviert wird. Anschließend verwendet jede Organisation die Mandanten-ID des Partners, um den Partner zu suchen und zu den Organisationseinstellungen hinzuzufügen. Danach kann jede Organisation ihre standardmäßigen mandantenübergreifenden Zugriffseinstellungen für den Partner zulassen oder partnerspezifische Einstellungen für eingehenden und ausgehenden Datenverkehr konfigurieren. Nachdem Sie eine B2B-Zusammenarbeit mit einem Partner in einer anderen Cloud eingerichtet haben, haben Sie folgende Möglichkeiten:

  • Verwenden Sie die B2B-Zusammenarbeit, um einen Benutzer im Partnermandanten einzuladen, auf Ressourcen in Ihrer Organisation zuzugreifen, z. B. branchenspezifische Web-Apps, SaaS-Apps und SharePoint Online-Websites, -Dokumente und -Dateien.
  • Verwenden Sie B2B Collaboration, um Power BI-Inhalte für Benutzer im Partnermandanten freizugeben.
  • Wenden Sie Richtlinien für bedingten Zugriff auf B2B Collaboration-Benutzer*innen an, und geben Sie an, dass die Multi-Faktor-Authentifizierung oder Geräteansprüche (konforme Ansprüche und hybride, in Azure AD eingebundene Ansprüche) vom Basismandanten der Benutzer*innen als vertrauenswürdig gelten.

Hinweis

Für die Zusammenarbeit mit Azure AD-Mandanten in einer anderen Microsoft-Cloud werden direkte B2B-Verbindungen nicht unterstützt.

Informationen zu Konfigurationsschritten finden Sie unter Konfigurieren von Microsoft-Cloudeinstellungen für die B2B-Zusammenarbeit (Vorschau).

Standardeinstellungen in cloudübergreifenden Szenarien

Um mit einem Partnermandanten in einer anderen Microsoft Azure Cloud zusammenzuarbeiten, müssen beide Organisationen gegenseitig die B2B-Zusammenarbeit aktivieren. Der erste Schritt besteht darin, die Cloud des Partners in den mandantenübergreifenden Einstellungen zu aktivieren. Wenn Sie zuerst eine andere Cloud aktivieren, wird die B2B-Zusammenarbeit für alle Mandanten in der betreffenden Cloud blockiert. Sie müssen den Mandanten, mit dem zusammenarbeiten möchten, zu Ihren Organisationseinstellungen hinzufügen. Dadurch werden Ihre Standardeinstellungen nur für diesen Mandanten wirksam. Sie können erlauben, dass die Standardeinstellungen wirksam bleiben, oder die Organisationseinstellungen für den Mandanten ändern.

Wichtige Hinweise

Wichtig

Wenn Sie die Standardeinstellungen für eingehenden oder ausgehenden Zugriff in Zugriff blockieren ändern, kann der vorhandene unternehmenskritische Zugriff auf Apps in Ihrer Organisation oder Partnerorganisation blockiert werden. Verwenden Sie unbedingt die in diesem Artikel beschriebenen Tools, und wenden Sie sich an die Beteiligten in Ihrem Unternehmen, um den erforderlichen Zugriff zu ermitteln.

  • Zum Konfigurieren mandantenübergreifender Zugriffseinstellungen im Azure-Portal benötigen Sie ein Konto mit der Rolle „Globaler Administrator“ oder „Sicherheitsadministrator“.

  • Um Vertrauenseinstellungen zu konfigurieren oder Zugriffseinstellungen auf bestimmte Benutzer, Gruppen oder Anwendungen anzuwenden, benötigen Sie eine Azure AD Premium P1-Lizenz. Die Lizenz ist für den von Ihnen konfigurierten Mandanten erforderlich. Bei einer direkten B2B-Verbindung, bei der eine gegenseitige Vertrauensstellung zwischen Ihnen und einer anderen Azure AD-Organisation erforderlich ist, benötigen Sie eine Azure AD Premium P1-Lizenz für beide Mandanten.

  • Mandantenübergreifende Zugriffseinstellungen bieten die Möglichkeit, die B2B-Zusammenarbeit und direkte B2B-Verbindungen mit anderen Azure AD-Organisationen zu verwalten. Verwenden Sie für die B2B-Zusammenarbeit mit Azure AD-fremden Identitäten (etwa Identitäten sozialer Netzwerke und nicht von der IT verwaltete externe Konten) Einstellungen für externe Zusammenarbeit. Einstellungen für externe Zusammenarbeit umfassen Optionen der B2B-Zusammenarbeit zum Einschränken des Gastbenutzerzugriffs, zum Angeben der Benutzer, die Gäste einladen dürfen, und zum Zulassen oder Blockieren von Domänen.

  • Wenn Sie Zugriffseinstellungen auf bestimmte Benutzer, Gruppen oder Anwendungen in einer externen Organisation anwenden möchten, müssen Sie sich vor dem Konfigurieren der Einstellungen an die Organisation wenden, um erforderliche Informationen zu erhalten. Erfragen Sie die Benutzerobjekt-IDs, Gruppenobjekt-IDs oder Anwendungs-IDs (Client-App-IDs oder Ressourcen-App-IDs), damit Sie Ihre Einstellungen korrekt festlegen können.

    Tipp

    Unter Umständen finden Sie die Anwendungs-IDs für Apps in externen Organisationen in Ihren Anmeldeprotokollen. Weitere Informationen finden Sie im Abschnitt Identifizieren von eingehenden und ausgehenden Anmeldungen.

  • Die für Benutzer und Gruppen konfigurierten Zugriffseinstellungen müssen mit den Zugriffseinstellungen für Anwendungen übereinstimmen. In Konflikt stehende Einstellungen sind nicht zulässig. Es werden Warnmeldungen angezeigt, wenn Sie versuchen, derartige Einstellungen zu konfigurieren.

    • Beispiel 1: Wenn Sie den Zugriff in eingehender Richtung für alle externen Benutzer und Gruppen blockieren, muss auch der Zugriff auf alle Ihre Anwendungen blockiert werden.

    • Beispiel 2: Wenn Sie den Zugriff in ausgehender Richtung für alle Ihre Benutzer (oder spezifische Benutzer oder Gruppen) zulassen, wird verhindert, dass Sie den gesamten Zugriff auf externe Anwendungen blockieren. Der Zugriff auf mindestens eine Anwendung muss zugelassen werden.

  • Wenn Sie eine direkte B2B-Verbindung mit einer externen Organisation zulassen möchten und Ihre Richtlinien für bedingten Zugriff MFA vorschreiben, müssen Sie Ihre Vertrauenseinstellungen so konfigurieren, dass Ihre Richtlinien für bedingten Zugriff MFA-Ansprüche von der externen Organisation akzeptieren.

  • Wenn Sie den Zugriff auf alle Apps standardmäßig blockieren, können Benutzer keine E-Mails lesen, die mit Microsoft Rights Management Service (auch als „Office 365-Nachrichtenverschlüsselung“ oder „OME“ bezeichnet) verschlüsselt wurden. Zur Vermeidung dieses Problems empfehlen wir, Ihre Einstellungen für „Ausgehend“ so zu konfigurieren, dass Ihre Benutzer auf diese App-ID zugreifen können: „00000012-0000-0000-c000-000000000000“. Wenn dies die einzige von Ihnen zugelassene Anwendung ist, wird der Zugriff auf alle anderen Apps standardmäßig blockiert.

Identifizieren von eingehenden und ausgehenden Anmeldungen

Bevor Sie Einstellungen für den eingehenden und ausgehenden Zugriff festlegen, können Sie mithilfe verschiedener verfügbarer Tools den Zugriff identifizieren, den Ihre Benutzer und Partner benötigen. Sie können das aktuelle Anmeldeverhalten untersuchen, um sicherzustellen, dass Sie den von Ihren Benutzern und Partnern benötigten Zugriff nicht entfernen. Durch diesen vorbereitenden Schritt können Sie den Verlust des gewünschten Zugriffs für Ihre Endbenutzer und Partnerbenutzer verhindern. In einigen Fällen werden diese Protokolle jedoch nur 30 Tage lang aufbewahrt. Daher wird dringend empfohlen, mit den Beteiligten im Unternehmen zu sprechen, um sicherzustellen, dass der erforderliche Zugriff nicht verloren geht.

Hinweis

Während der Vorschau der Microsoft-Cloudeinstellungen werden Anmeldeereignisse für cloudübergreifende Szenarien im Ressourcenmandanten, aber nicht im Basismandanten gemeldet.

PowerShell-Skript für mandantenübergreifende Anmeldeaktivitäten

Zum Überprüfen der Benutzeranmeldeaktivität, die externen Mandanten zugeordnet ist, können Sie das PowerShell-Skript für die mandantenübergreifende Benutzeranmeldeaktivität verwenden. Führen Sie beispielsweise den folgenden Befehl aus, um alle verfügbaren Anmeldeereignisse für eingehende Aktivitäten (externe Benutzer, die auf Ressourcen im lokalen Mandanten zugreifen) und ausgehende Aktivitäten (lokale Benutzer, die auf Ressourcen in einem externen Mandanten zugreifen) anzuzeigen:

Get-MSIDCrossTenantAccessActivity -SummaryStats -ResolveTenantId

Die Ausgabe ist eine Zusammenfassung aller verfügbaren Anmeldeereignisse für ein- und ausgehende Aktivitäten, die nach externer Mandanten-ID und externem Mandantennamen aufgelistet sind.

PowerShell-Skript für Anmeldeprotokolle

Um den Zugriff Ihrer Benutzer auf externe Azure AD-Organisationen zu bestimmen, können Sie das Cmdlet Get-MgAuditLogSignIn im Microsoft Graph PowerShell-SDK verwenden, um Daten aus Ihren Anmeldeprotokollen für die letzten 30 Tage anzuzeigen. Führen Sie beispielsweise den folgenden Befehl aus:

#Initial connection
Connect-MgGraph -Scopes "AuditLog.Read.All"
Select-MgProfile -Name "beta"

#Get external access
$TenantId = "<replace-with-your-tenant-ID>"

Get-MgAuditLogSignIn -Filter "ResourceTenantId ne '$TenantID'" -All:$True |
Group-Object ResourceTenantId,AppDisplayName,UserPrincipalName |
Select-Object count,@{n='Ext TenantID/App User Pair';e={$_.name}}

Die Ausgabe ist eine Liste der ausgehenden Anmeldungen, die von Ihren Benutzern für Apps in externen Mandanten initiiert wurden.

Azure Monitor

Wenn Ihre Organisation den Azure Monitor-Dienst abonniert, können Sie die Arbeitsmappe für mandantenübergreifende Zugriffsaktivitäten (verfügbar im Azure-Portal im Katalog mit Überwachungsarbeitsmappen) verwenden, um eingehende und ausgehende Anmeldungen für längere Zeiträume visuell zu untersuchen.

SIEM-Systeme (Security Information & Event Management)

Wenn Ihre Organisation Anmeldeprotokolle in ein SIEM-System (Security Information & Event Management) exportiert, können Sie die erforderlichen Informationen aus Ihrem SIEM-System abrufen.

Ermitteln von Änderungen an den mandantenübergreifenden Zugriffseinstellungen

Die Azure AD-Überwachungsprotokolle erfassen alle Aktivitäten im Rahmen mandantenübergreifender Zugriffseinstellungsänderungen und Aktivitäten. Um Änderungen an Ihren mandantenübergreifenden Zugriffseinstellungen zu überprüfen, verwenden Sie die Kategorie namens CrossTenantAccessSettings, um alle Aktivitäten so zu filtern, dass Änderungen an den mandantenübergreifenden Zugriffseinstellungen angezeigt werden.

Screenshot: Überwachungsprotokolle für mandantenübergreifende Zugriffseinstellungen.

Nächste Schritte

Konfigurieren mandantenübergreifender Zugriffseinstellungen für die B2B-ZusammenarbeitKonfiguriert mandantenübergreifende Zugriffseinstellungen für direkte B2B-Verbindungen