Konfigurieren mandantenübergreifender Zugriffseinstellungen für die B2B-Zusammenarbeit

Verwenden Sie mandantenübergreifende External Identities-Zugriffseinstellungen, um die Zusammenarbeit mit anderen Azure AD-Organisationen über B2B-Zusammenarbeit zu verwalten. Diese Einstellungen bestimmen sowohl die Ebene des eingehenden Zugriffs, über den Benutzer in externen Azure AD-Organisationen auf Ihre Ressourcen verfügen, als auch die Ebene des ausgehenden Zugriffs, den Ihre Benutzer auf externe Organisationen haben. Darüber hinaus können Sie den MFA-Ansprüchen (Multi-Faktor-Authentifizierung) und Geräteansprüchen (Ansprüche von konformen Geräten und von in Azure AD eingebundenen Hybridgeräten) von anderen Azure AD-Organisationen vertrauen. Ausführliche Informationen und Überlegungen zur Planung finden Sie unter Übersicht: Mandantenübergreifender Zugriff mit Azure AD External Identities (Vorschau).

Vorbereitung

Achtung

Wenn Sie die Standardeinstellungen für eingehenden oder ausgehenden Zugriff in Zugriff blockieren ändern, kann der vorhandene unternehmenskritische Zugriff auf Apps in Ihrer Organisation oder Partnerorganisation blockiert werden. Verwenden Sie unbedingt die unter Übersicht: Mandantenübergreifender Zugriff mit Azure AD External Identities (Vorschau) beschriebenen Tools, und wenden Sie sich an die Beteiligten in Ihrem Unternehmen, um den erforderlichen Zugriff zu ermitteln.

  • Lesen Sie den Abschnitt Wichtige Überlegungen unter Übersicht: Mandantenübergreifender Zugriff mit Azure AD External Identities (Vorschau), bevor Sie Ihre mandantenübergreifenden Zugriffseinstellungen konfigurieren.
  • Verwenden Sie die Tools, und befolgen Sie die Empfehlungen unter Identifizieren von eingehenden und ausgehenden Anmeldungen, um zu verstehen, auf welche externen Azure AD-Organisationen und Ressourcen Benutzer derzeit zugreifen.
  • Legen Sie die Standardzugriffsebene fest, die Sie auf alle externen Azure AD-Organisationen anwenden möchten.
  • Identifizieren Sie alle Azure AD-Organisationen, für die benutzerdefinierte Einstellungen erforderlich sind, damit Sie Organisationseinstellungen für sie konfigurieren können.
  • Wenn Sie Zugriffseinstellungen auf bestimmte Benutzer, Gruppen oder Anwendungen in einer externen Organisation anwenden möchten, müssen Sie sich vor dem Konfigurieren der Einstellungen an die Organisation wenden, um erforderliche Informationen zu erhalten. Erfragen Sie die Benutzerobjekt-IDs, Gruppenobjekt-IDs oder Anwendungs-IDs (Client-App-IDs oder Ressourcen-App-IDs), damit Sie Ihre Einstellungen korrekt festlegen können.
  • Wenn Sie die B2B-Zusammenarbeit mit einer Partnerorganisation in einer externen Microsoft Azure-Cloud einrichten möchten, führen Sie die Schritte unter Konfigurieren der Microsoft-Cloudeinstellungen aus. Ein Administrator in der Partnerorganisation muss denselben Vorgang für Ihren Mandanten ausführen.

Konfigurieren von Standardeinstellungen

Mandantenübergreifende Standardzugriffseinstellungen gelten für alle externen Mandanten, für die Sie keine organisationsspezifischen benutzerdefinierten Einstellungen erstellt haben. Wenn Sie die von Azure AD bereitgestellten Standardeinstellungen ändern möchten, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich mit dem Konto eines globalen Administrators oder Sicherheitsadministrators beim Azure-Portal an. Öffnen Sie den Dienst Azure Active Directory.

  2. Wählen Sie External Identities und dann Mandantenübergreifende Zugriffseinstellungen aus.

  3. Wählen Sie die Registerkarte Standardeinstellungen aus, und sehen Sie sich die Seite mit der Zusammenfassung an.

    Screenshot: Einstellungen für den mandantenübergreifenden Zugriff „Registerkarte Standardeinstellungen“

  4. Wählen Sie zum Ändern der Einstellungen den Link Standardwerte für Eingangsdaten bearbeiten oder Standardwerte für Ausgangsdaten bearbeiten aus.

    Screenshot: Bearbeitungsschaltflächen für Standardeinstellungen.

  5. Ändern Sie die Standardeinstellungen anhand der ausführlichen Schritte in diesen Abschnitten:

Hinzufügen einer Organisation

Führen Sie die folgenden Schritte aus, um benutzerdefinierte Einstellungen für bestimmte Organisationen zu konfigurieren:

  1. Melden Sie sich mit dem Konto eines globalen Administrators oder Sicherheitsadministrators beim Azure-Portal an. Öffnen Sie den Dienst Azure Active Directory.

  2. Wählen Sie External Identities und dann Mandantenübergreifende Zugriffseinstellungen aus.

  3. Wählen Sie Organisationseinstellungen aus.

  4. Wählen Sie Organisation hinzufügen aus.

  5. Geben Sie im Bereich Organisation hinzufügen den vollständigen Domänennamen (oder die Mandanten-ID) für die Organisation ein.

    Screenshot: Hinzufügen einer Organisation.

  6. Wählen Sie die Organisation in den Suchergebnissen und dann Hinzufügen aus.

  7. Die Organisation wird in der Liste Organisationseinstellungen angezeigt. An diesem Punkt werden alle Zugriffseinstellungen für diese Organisation von Ihren Standardeinstellungen geerbt. Um die Einstellungen für diese Organisation zu ändern, wählen Sie in der Spalte Zugriff auf eingehenden Datenverkehr oder Zugriff auf ausgehenden Datenverkehr den Link Geerbt von Standard aus.

    Screenshot: Hinzufügen einer Organisation mit Standardeinstellungen.

  8. Ändern Sie die Einstellungen der Organisation anhand der ausführlichen Schritte in diesen Abschnitten:

Ändern der Einstellungen für eingehenden Zugriff

Mit den Einstellungen für eingehenden Zugriff wählen Sie aus, welche externen Benutzer und Gruppen auf die von Ihnen ausgewählten internen Anwendungen zugreifen können. Unabhängig davon, ob Sie Standardeinstellungen oder organisationsspezifische Einstellungen konfigurieren, sind die Schritte zum Ändern der mandantenübergreifenden Einstellungen für den eingehenden Zugriff identisch. Wie in diesem Abschnitt beschrieben, navigieren Sie entweder zur Registerkarte Standard oder zu einer Organisation auf der Registerkarte Organisationseinstellungen und nehmen dann Ihre Änderungen vor.

  1. Melden Sie sich mit dem Konto eines globalen Administrators oder Sicherheitsadministrators beim Azure-Portal an. Öffnen Sie den Dienst Azure Active Directory.

  2. Wählen Sie External Identities>Mandantenübergreifende Zugriffseinstellungen aus.

  3. Navigieren Sie zu den Einstellungen, die Sie ändern möchten:

    • Standardeinstellungen: Wählen Sie zum Ändern der Standardeinstellungen für den eingehenden Zugriff die Registerkarte Standardeinstellungen und dann unter Einstellungen für Zugriff auf eingehenden Datenverkehr die Option Standardwerte für Eingangsdaten bearbeiten aus.
    • Organisationseinstellungen: Um Einstellungen für eine bestimmte Organisation zu ändern, wählen Sie die Registerkarte Organisationseinstellungen aus, suchen Sie die Organisation in der Liste (oder fügen Sie eine hinzu), und wählen Sie dann den Link in der Spalte Zugriff auf eingehenden Datenverkehr aus.
  4. Führen Sie die ausführlichen Schritte für die Einstellungen für den eingehenden Zugriff aus, die Sie ändern möchten:

So ändern Sie die Einstellungen für die B2B-Zusammenarbeit in eingehender Richtung

  1. Melden Sie sich mit dem Konto eines globalen Administrators oder Sicherheitsadministrators beim Azure-Portal an. Öffnen Sie den Dienst Azure Active Directory.

  2. Wählen Sie External Identities>Mandantenübergreifende Zugriffseinstellungen aus.

  3. Wählen Sie unter Organisationseinstellungen den Link in der Spalte Eingehender Zugriff und auf der Registerkarte B2B-Zusammenarbeit aus.

  4. Wenn Sie Einstellungen für den eingehenden Zugriff für eine bestimmte Organisation konfigurieren, wählen Sie eine der folgenden Optionen aus:

    • Standardeinstellungen: Wählen Sie diese Option aus, wenn die Organisation die Standardeinstellungen für den eingehenden Zugriff verwenden soll (wie auf der Registerkarte Standardeinstellungen konfiguriert). Wenn bereits benutzerdefinierte Einstellungen für diese Organisation konfiguriert wurden, müssen Sie Ja auswählen, um zu bestätigen, dass alle Einstellungen durch die Standardeinstellungen ersetzt werden sollen. Wählen Sie dann Speichern aus, und überspringen Sie die übrigen Schritte in diesem Verfahren.

    • Einstellungen anpassen: Wählen Sie diese Option aus, wenn Sie die Einstellungen für diese Organisation anpassen möchten, die für diese Organisation anstelle der Standardeinstellungen erzwungen werden. Fahren Sie mit den übrigen Schritten in diesem Verfahren fort.

  5. Wählen Sie Externe Benutzer und Gruppen aus.

  6. Wählen Sie unter Zugriffsstatus eine der folgenden Optionen aus:

    • Zugriff zulassen: Lässt zu, dass die unter Gilt für angegebenen Benutzer und Gruppen für die B2B-Zusammenarbeit eingeladen werden.
    • Zugriff blockieren: Verhindert, dass die unter Gilt für angegebenen Benutzer und Gruppen für die B2B-Zusammenarbeit eingeladen werden.

    Screenshot: Auswahl des Benutzerzugriffsstatus für die B2B-Kollaboration.

  7. Wählen Sie unter Gilt für eine der folgenden Optionen aus:

    • Alle externen Benutzer und Gruppen: Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle Benutzer und Gruppen aus externen Azure AD-Organisationen an.
    • Ausgewählte Benutzer und Gruppen (erfordert ein Azure AD Premium-Abonnement): Mit dieser Option können Sie die unter Zugriffsstatus ausgewählte Aktion auf bestimmte Benutzer und Gruppen in der externen Organisation anwenden.

    Hinweis

    Wenn Sie den Zugriff für alle externen Benutzer und Gruppen blockieren, müssen Sie auch den Zugriff auf alle Ihre internen Anwendungen blockieren (auf der Registerkarte Anwendungen).

    Screenshot: Auswahl der Zielbenutzer und -gruppen.

  8. Wenn Sie Ausgewählte Benutzer und Gruppen ausgewählt haben, gehen Sie für jeden Benutzer oder jede Gruppe, den bzw. die Sie hinzufügen möchten, wie folgt vor:

    • Wählen Sie Externe Benutzer und Gruppen hinzufügen aus.
    • Geben Sie im Bereich Weitere Benutzer und Gruppen hinzufügen im Suchfeld die Benutzerobjekt-ID oder Gruppenobjekt-ID ein, die Sie von Ihrer Partnerorganisation erhalten haben.
    • Wählen Sie im Menü neben dem Suchfeld entweder Benutzer oder Gruppe aus.
    • Wählen Sie Hinzufügen.

    Screenshot: Hinzufügen von Benutzern und Gruppen.

  9. Wenn Sie mit dem Hinzufügen von Benutzern und Gruppen fertig sind, wählen Sie Übermitteln aus.

    Screenshot: Senden von Benutzern und Gruppen.

  10. Klicken Sie auf die Registerkarte Anwendungen.

  11. Wählen Sie unter Zugriffsstatus eine der folgenden Optionen aus:

    • Zugriff zulassen: Ermöglicht es, dass Benutzer der B2B-Zusammenarbeit auf die unter Gilt für angegebenen Anwendungen zugreifen können.
    • Zugriff blockieren: Verhindert, dass Benutzer der B2B-Zusammenarbeit auf die unter Gilt für angegebenen Anwendungen zugreifen können.

    Screenshot: Zugriffsstatus der Anwendungen.

  12. Wählen Sie unter Gilt für eine der folgenden Optionen aus:

    • Alle Anwendungen: Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle Ihre Anwendungen an.
    • Anwendungen auswählen (erfordert ein Azure AD Premium-Abonnement): Mit dieser Option können Sie die unter Zugriffsstatus ausgewählte Aktion auf bestimmte Anwendungen in Ihrer Organisation anwenden.

    Hinweis

    Wenn Sie den Zugriff auf alle Anwendungen blockieren, müssen Sie auch den Zugriff für alle externen Benutzer und Gruppen blockieren (auf der Registerkarte Externe Benutzer und Gruppen).

    Screenshot: Zielanwendungen.

  13. Wenn Sie Anwendungen auswählen ausgewählt haben, gehen Sie für jede Anwendung, die Sie hinzufügen möchten, wie folgt vor:

    • Wählen Sie Add Microsoft applications (Microsoft-Anwendungen hinzufügen) oder Weitere Anwendungen hinzufügen aus.
    • Geben Sie im Bereich Auswählen den Anwendungsnamen oder die Anwendungs-ID (entweder die Client-App-ID oder die Ressourcen-App-ID) in das Suchfeld ein. Wählen Sie dann die Anwendung in den Suchergebnissen aus. Wiederholen Sie diesen Schritt für jede Anwendung, die Sie hinzufügen möchten.
    • Wenn Sie die Anwendungen ausgewählten haben, wählen Sie Auswählen aus.

    Screenshot: Auswahl der Anwendungen.

  14. Wählen Sie Speichern aus.

So ändern Sie Einstellungen für eingehende Vertrauensstellungen für MFA- und Geräteansprüche

  1. Wählen Sie die Registerkarte Vertrauenseinstellungen aus.

  2. (Dieser Schritt gilt nur für Organisationseinstellungen.) Wenn Sie Einstellungen für eine Organisation konfigurieren, wählen Sie eine der folgenden Optionen aus:

    • Standardeinstellungen: Die Organisation verwendet die auf der Registerkarte Standardeinstellungen konfigurierten Einstellungen. Wenn für diese Organisation bereits benutzerdefinierte Einstellungen konfiguriert wurden, müssen Sie Ja auswählen, um zu bestätigen, dass alle Einstellungen durch die Standardeinstellungen ersetzt werden sollen. Wählen Sie dann Speichern aus, und überspringen Sie die übrigen Schritte in diesem Verfahren.

    • Einstellungen anpassen: Sie können die Einstellungen für diese Organisation anpassen, die für diese Organisation anstelle der Standardeinstellungen erzwungen werden. Fahren Sie mit den übrigen Schritten in diesem Verfahren fort.

  3. Wählen Sie eine oder mehrere der folgenden Optionen aus:

    • Vertrauen der Multi-Faktor-Authentifizierung von Azure AD-Mandanten: Aktivieren Sie dieses Kontrollkästchen, um zuzulassen, dass Ihre Richtlinien für bedingten Zugriff MFA-Ansprüchen externer Organisationen vertrauen. Während der Authentifizierung überprüft Azure AD die Anmeldeinformationen eines Benutzers auf einen Anspruch, dass er die MFA abgeschlossen hat. Falls nicht, wird im Basismandanten des Benutzers eine MFA-Abfrage initiiert.

    • Konformen Geräten vertrauen: Diese Option ermöglicht es Ihren Richtlinien für bedingten Zugriff, Ansprüchen konformer Geräte einer externen Organisation zu vertrauen, wenn deren Benutzer auf Ihre Ressourcen zugreifen.

    • Hybride, in Azure AD eingebundene Geräte vertrauen: Diese Option ermöglicht es Ihren Richtlinien für bedingten Zugriff, Ansprüchen von in Azure AD eingebundenen Hybridgeräten einer externen Organisation zu vertrauen, wenn deren Benutzer auf Ihre Ressourcen zugreifen.

    Screenshot: Vertrauenseinstellungen

  4. Wählen Sie Speichern aus.

Ändern der Einstellungen für ausgehenden Zugriff

Mit den Einstellungen für ausgehenden Zugriff wählen Sie aus, welche Benutzer und Gruppen auf die von Ihnen ausgewählten externen Anwendungen zugreifen können. Unabhängig davon, ob Sie Standardeinstellungen oder organisationsspezifische Einstellungen konfigurieren, sind die Schritte zum Ändern der mandantenübergreifenden Einstellungen für den ausgehenden Zugriff identisch. Wie in diesem Abschnitt beschrieben, navigieren Sie entweder zur Registerkarte Standard oder zu einer Organisation auf der Registerkarte Organisationseinstellungen und nehmen dann Ihre Änderungen vor.

  1. Melden Sie sich mit dem Konto eines globalen Administrators oder Sicherheitsadministrators beim Azure-Portal an. Öffnen Sie den Dienst Azure Active Directory.

  2. Wählen Sie External Identities und dann Mandantenübergreifende Zugriffseinstellungen aus.

  3. Navigieren Sie zu den Einstellungen, die Sie ändern möchten:

    • Wählen Sie zum Ändern der Standardeinstellungen für den ausgehenden Zugriff die Registerkarte Standardeinstellungen und dann unter Einstellungen für Zugriff auf ausgehenden Datenverkehr die Option Standardwerte für Ausgangsdaten bearbeiten aus.

    • Um Einstellungen für eine bestimmte Organisation zu ändern, wählen Sie die Registerkarte Organisationseinstellungen aus, suchen Sie die Organisation in der Liste (oder fügen Sie eine hinzu), und wählen Sie dann den Link in der Spalte Zugriff auf ausgehenden Datenverkehr aus.

  4. Wählen Sie die Registerkarte B2B-Zusammenarbeit aus.

  5. (Dieser Schritt gilt nur für Organisationseinstellungen.) Wenn Sie Einstellungen für eine Organisation konfigurieren, wählen Sie eine der folgenden Optionen aus:

    • Standardeinstellungen: Die Organisation verwendet die auf der Registerkarte Standardeinstellungen konfigurierten Einstellungen. Wenn für diese Organisation bereits benutzerdefinierte Einstellungen konfiguriert wurden, müssen Sie Ja auswählen, um zu bestätigen, dass alle Einstellungen durch die Standardeinstellungen ersetzt werden sollen. Wählen Sie dann Speichern aus, und überspringen Sie die übrigen Schritte in diesem Verfahren.

    • Einstellungen anpassen: Sie können die Einstellungen für diese Organisation anpassen, die für diese Organisation anstelle der Standardeinstellungen erzwungen werden. Fahren Sie mit den übrigen Schritten in diesem Verfahren fort.

  6. Wählen Sie Benutzer und Gruppen.

  7. Wählen Sie unter Zugriffsstatus eine der folgenden Optionen aus:

    • Zugriff zulassen: Lässt zu, dass die unter Gilt für angegebenen Benutzern und Gruppen in externe Organisationen für die B2B-Zusammenarbeit eingeladen werden.
    • Zugriff blockieren: Verhindert, dass die unter Gilt für angegebenen Benutzer und Gruppen für die B2B-Zusammenarbeit eingeladen werden. Wenn Sie den Zugriff für alle Benutzer und Gruppen blockieren, wird dadurch auch der Zugriff auf alle externen Anwendungen über die B2B-Zusammenarbeit blockiert.

    Screenshot: Zugriffsstatus von Benutzern und Gruppen für die B2B-Kollaboration.

  8. Wählen Sie unter Gilt für eine der folgenden Optionen aus:

    • All your organization> users (Alle -Benutzer): Wendet die unter > ausgewählte Aktion auf alle Ihre Benutzer und Gruppen an.
    • Select your organization> users and groups (Ausgewählte -Benutzer) (erfordert ein Azure AD Premium-Abonnement): Mit dieser Option können Sie die unter > ausgewählte Aktion auf bestimmte Benutzer und Gruppen anwenden.

    Hinweis

    Wenn Sie den Zugriff für alle Ihre Benutzer und Gruppen blockieren, müssen Sie auch den Zugriff auf alle externen Anwendungen blockieren (auf der Registerkarte Externe Anwendungen).

    Screenshot: Auswahl der Zielbenutzer für B2B-Kollaboration.

  9. Wenn Sie Select your organization> users and groups (Ausgewählte -Benutzer) ausgewählt haben, gehen Sie für jeden Benutzer oder jede Gruppe, den bzw. die Sie hinzufügen möchten, wie folgt vor:

    • Wählen Sie Add your organization> users and groups (-Benutzer hinzufügen) aus.
    • Geben Sie im Bereich Auswählen den Benutzernamen oder den Gruppennamen in das Suchfeld ein.
    • Wählen Sie den Benutzer oder die Gruppe in den Suchergebnissen aus.
    • Wenn Sie die Benutzer und Gruppen ausgewählt haben, die Sie hinzufügen möchten, wählen Sie Auswählen aus.

    Hinweis

    Bei der Ausrichtung auf Ihre Benutzer und Gruppen können Sie keine Benutzer auswählen, die die SMS-basierte Authentifizierung konfiguriert haben. Dies liegt daran, dass Benutzer, die über „Verbundanmeldeinformationen“ für ihr Benutzerobjekt verfügen, blockiert werden, um zu verhindern, dass externe Benutzer zu ausgehenden Zugriffseinstellungen hinzugefügt werden. Als Problemumgehung können Sie die Microsoft-Graph-API verwenden, um die Objekt-ID des Benutzers direkt hinzuzufügen oder eine Gruppe anzufügen, zu der der Benutzer gehört.

  10. Wählen Sie die Registerkarte Externe Anwendungen aus.

  11. Wählen Sie unter Zugriffsstatus eine der folgenden Optionen aus:

    • Zugriff zulassen: Ermöglicht es, dass Ihre Benutzer über B2B-Zusammenarbeit auf die unter Gilt für angegebenen externen Anwendungen zugreifen können.
    • Zugriff blockieren: Verhindert, dass Ihre Benutzer über B2B-Zusammenarbeit auf die unter Gilt für angegebenen externen Anwendungen zugreifen können.

    Screenshot: Zugriffsstatus von Anwendungen für die B2B-Kollaboration.

  12. Wählen Sie unter Gilt für eine der folgenden Optionen aus:

    • Alle externen Anwendungen: Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle externen Anwendungen an.
    • Externe Anwendungen auswählen: Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle externen Anwendungen an.

    Hinweis

    Wenn Sie den Zugriff auf alle externen Anwendungen blockieren, müssen Sie auch den Zugriff für alle Ihre Benutzer und Gruppen blockieren (auf der Registerkarte Benutzer und Gruppen).

    Screenshot: Anwendungsziele für B2B-Kollaboration.

  13. Wenn Sie Externe Anwendungen auswählen ausgewählt haben, gehen Sie für jede Anwendung, die Sie hinzufügen möchten, wie folgt vor:

    • Wählen Sie Add Microsoft applications (Microsoft-Anwendungen hinzufügen) oder Weitere Anwendungen hinzufügen aus.
    • Geben Sie den Anwendungsnamen oder die Anwendungs-ID (entweder die Client-App-ID oder die Ressourcen-App-ID) in das Suchfeld ein. Wählen Sie dann die Anwendung in den Suchergebnissen aus. Wiederholen Sie diesen Schritt für jede Anwendung, die Sie hinzufügen möchten.
    • Wenn Sie die Anwendungen ausgewählten haben, wählen Sie Auswählen aus.

    Screenshot: Auswahl der Anwendungen für B2B-Kollaboration.

  14. Wählen Sie Speichern aus.

Entfernen einer Organisation

Wenn Sie eine Organisation aus ihren Organisationseinstellungen entfernen, werden die mandantenübergreifenden Standardzugriffseinstellungen für diese Organisation wirksam.

Hinweis

Wenn die Organisation ein Clouddienstanbieter für Ihre Organisation ist (die isServiceProvider-Eigenschaft in der partnerspezifischen Konfiguration von Microsoft Graph ist „true“), können Sie die Organisation nicht entfernen.

  1. Melden Sie sich mit dem Konto eines globalen Administrators oder Sicherheitsadministrators beim Azure-Portal an. Öffnen Sie den Dienst Azure Active Directory.

  2. Wählen Sie External Identities und dann Mandantenübergreifende Zugriffseinstellungen aus.

  3. Wählen Sie die Registerkarte Organisationseinstellungen aus.

  4. Suchen Sie die Organisation in der Liste, und wählen Sie dann das Papierkorbsymbol in der betreffenden Zeile aus.

Nächste Schritte