Konfigurieren mandantenübergreifender Zugriffseinstellungen für die B2B-Zusammenarbeit

Verwenden Sie Einstellungen für den mandantenübergreifenden External Identities-Zugriff, um die Zusammenarbeit mit anderen Microsoft Entra-Organisationen über B2B Collaboration zu verwalten. Diese Einstellungen bestimmen sowohl den Grad des eingehenden Zugriffs, den Benutzer in externen Microsoft Entra Organisationen auf Ihre Ressourcen haben, als auch den Grad des ausgehenden Zugriffs, den Ihre Benutzer auf externe Organisationen haben. Darüber hinaus können Sie den MFA-Ansprüchen (Multi-Faktor-Authentifizierung) und Geräteansprüchen (Ansprüche von konformen Geräten und von Microsoft Entra Hybrid Join-Geräten) von anderen Microsoft Entra-Organisationen vertrauen. Ausführliche Informationen und Überlegungen zur Planung finden Sie unter Übersicht: Mandantenübergreifender Zugriff mit Microsoft Entra External ID.

Wichtig

Microsoft beginnt am 30. August 2023 mit der Umstellung von Kunden mit mandantenübergreifenden Zugriffseinstellungen auf ein neues Speichermodell. Möglicherweise bemerken Sie einen Eintrag in Ihren Überwachungsprotokollen, der Sie darüber informiert, dass Ihre mandantenübergreifenden Zugriffseinstellungen aktualisiert wurden, während ihre Einstellungen von unserer automatisierten Aufgabe migriert werden. Für ein kurzes Zeitfenster können Sie während der Migrationsprozesse keine Änderungen an Ihren Einstellungen vornehmen. Wenn Sie keine Änderung vornehmen können, sollten Sie einige Augenblicke warten und es erneut versuchen. Nach Abschluss der Migration sind Sie nicht mehr auf 25 KB Speicherplatz begrenzt, und die Anzahl der Partner, die Sie hinzufügen können, ist nicht mehr begrenzt.

Voraussetzungen

Achtung

Wenn Sie die Standardeinstellungen für eingehenden oder ausgehenden Zugriff in Zugriff blockieren ändern, kann der vorhandene unternehmenskritische Zugriff auf Apps in Ihrer Organisation oder Partnerorganisation blockiert werden. Verwenden Sie unbedingt die beschriebenen Tools unter Mandantenübergreifender Zugriff in Microsoft Entra External ID und konsultieren Sie die Interessengruppen Ihres Unternehmens, um den erforderlichen Zugang zu ermitteln.

  • Lesen Sie den Abschnitt Wichtige Überlegungen unter Übersicht: Mandantenübergreifender Zugriff mit Azure AD External Identities (Vorschau), bevor Sie Ihre mandantenübergreifenden Zugriffseinstellungen konfigurieren.
  • Verwenden Sie die Tools und befolgen Sie die Empfehlungen in Identifizierung von eingehenden und ausgehenden Anmeldungen um zu verstehen, auf welche externen Microsoft Entra Organisationen und Ressourcen die Benutzer gerade zugreifen.
  • Legen Sie die Standardzugriffsebene fest, die Sie auf alle externen Microsoft Entra-Organisationen anwenden möchten.
  • Identifizieren Sie alle Microsoft Entra-Organisationen, die angepasste Einstellungen benötigen, damit Sie Organisationsbezogen Einstellungen für sie konfigurieren können.
  • Wenn Sie Zugriffseinstellungen auf bestimmte Benutzer, Gruppen oder Anwendungen in einer externen Organisation anwenden möchten, müssen Sie sich vor dem Konfigurieren der Einstellungen an die Organisation wenden, um erforderliche Informationen zu erhalten. Erfragen Sie die Benutzerobjekt-IDs, Gruppenobjekt-IDs oder Anwendungs-IDs (Client-App-IDs oder Ressourcen-App-IDs), damit Sie Ihre Einstellungen korrekt festlegen können.
  • Wenn Sie die B2B-Zusammenarbeit mit einer Partnerorganisation in einer externen Microsoft Azure-Cloud einrichten möchten, führen Sie die Schritte unter Konfigurieren der Microsoft-Cloudeinstellungen aus. Ein Administrator in der Partnerorganisation muss denselben Vorgang für Ihren Mandanten ausführen.
  • Sowohl die Einstellungen für die Erlaubnis-/Blockierliste als auch für den mandantenübergreifenden Zugriff werden zum Zeitpunkt der Einladung überprüft. Wenn sich die Domäne eines Benutzers in der Zulassungsliste befindet, kann er bzw. sie eingeladen werden, sofern die Domäne nicht ausdrücklich in den mandantenübergreifenden Zugriffseinstellungen blockiert ist. Wenn sich die Domäne eines Benutzers in der Blockliste befindet, kann er bzw. sie unabhängig von den Einstellungen für den mandantenübergreifenden Zugriff nicht eingeladen werden. Wenn ein Benutzer nicht in einer Liste enthalten ist, werden die Einstellungen für den mandantenübergreifenden Zugriff überprüft, um zu ermitteln, ob er bzw. sie eingeladen werden kann.

Stanardeinstellungen konfigurieren

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Mandantenübergreifende Standardzugriffseinstellungen gelten für alle externen Mandanten, für die Sie keine organisationsspezifischen benutzerdefinierten Einstellungen erstellt haben. Wenn Sie die von Microsoft Entra ID bereitgestellten Standardeinstellungen ändern möchten, führen Sie die folgenden Schritte aus.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

  2. Navigieren Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen, und wählen Sie dann Mandantenübergreifende Zugriffseinstellungen aus.

  3. Wählen Sie die Registerkarte Standardeinstellungen aus, und sehen Sie sich die Seite mit der Zusammenfassung an.

    Screenshot showing the Cross-tenant access settings Default settings tab.

  4. Wählen Sie zum Ändern der Einstellungen den Link Standardwerte für Eingangsdaten bearbeiten oder Standardwerte für Ausgangsdaten bearbeiten aus.

    Screenshot showing edit buttons for Default settings.

  5. Ändern Sie die Standardeinstellungen anhand der ausführlichen Schritte in diesen Abschnitten:

Hinzufügen einer Organisation

Führen Sie die folgenden Schritte aus, um benutzerdefinierte Einstellungen für bestimmte Organisationen zu konfigurieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

  2. Navigieren Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen, und wählen Sie dann Organisationseinstellungen aus.

  3. Wählen Sie Organisation hinzufügen aus.

  4. Geben Sie im Bereich Organisation hinzufügen den vollständigen Domänennamen (oder die Mandanten-ID) für die Organisation ein.

    Screenshot showing adding an organization.

  5. Wählen Sie die Organisation in den Suchergebnissen und dann Hinzufügen aus.

  6. Die Organisation wird in der Liste Organisationseinstellungen angezeigt. An diesem Punkt werden alle Zugriffseinstellungen für diese Organisation von Ihren Standardeinstellungen geerbt. Um die Einstellungen für diese Organisation zu ändern, wählen Sie in der Spalte Zugriff auf eingehenden Datenverkehr oder Zugriff auf ausgehenden Datenverkehr den Link Geerbt von Standard aus.

    Screenshot showing an organization added with default settings.

  7. Ändern Sie die Einstellungen der Organisation anhand der ausführlichen Schritte in diesen Abschnitten:

Ändern der Einstellungen für eingehenden Zugriff

Mit den Einstellungen für eingehenden Zugriff wählen Sie aus, welche externen Benutzer und Gruppen auf die von Ihnen ausgewählten internen Anwendungen zugreifen können. Unabhängig davon, ob Sie Standardeinstellungen oder organisationsspezifische Einstellungen konfigurieren, sind die Schritte zum Ändern der mandantenübergreifenden Einstellungen für den eingehenden Zugriff identisch. Wie in diesem Abschnitt beschrieben, navigieren Sie entweder zur Registerkarte Standard oder zu einer Organisation auf der Registerkarte Organisationseinstellungen und nehmen dann Ihre Änderungen vor.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

  2. Browsen Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen.

  3. Navigieren Sie zu den Einstellungen, die Sie ändern möchten:

    • Standardeinstellungen: Wählen Sie zum Ändern der Standardeinstellungen für den eingehenden Zugriff die Registerkarte Standardeinstellungen und dann unter Einstellungen für Zugriff auf eingehenden Datenverkehr die Option Standardwerte für Eingangsdaten bearbeiten aus.
    • Organisationseinstellungen: Um Einstellungen für eine bestimmte Organisation zu ändern, wählen Sie die Registerkarte Organisationseinstellungen aus, suchen Sie die Organisation in der Liste (oder fügen Sie eine hinzu), und wählen Sie dann den Link in der Spalte Zugriff auf eingehenden Datenverkehr aus.
  4. Führen Sie die ausführlichen Schritte für die Einstellungen für den eingehenden Zugriff aus, die Sie ändern möchten:

So ändern Sie die Einstellungen für die B2B-Zusammenarbeit in eingehender Richtung

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

  2. Browsen Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen, und wählen Sie dann Organisationseinstellungen aus

  3. Wählen Sie den Link in der Spalte Eingehender Zugriff und die Registerkarte B2B-Zusammenarbeit aus.

  4. Wenn Sie Einstellungen für den eingehenden Zugriff für eine bestimmte Organisation konfigurieren, wählen Sie eine Option aus:

    • Standardeinstellungen: Wählen Sie diese Option aus, wenn die Organisation die Standardeinstellungen für den eingehenden Zugriff verwenden soll (wie auf der Registerkarte Standardeinstellungen konfiguriert). Wenn bereits benutzerdefinierte Einstellungen für diese Organisation konfiguriert wurden, müssen Sie Ja auswählen, um zu bestätigen, dass alle Einstellungen durch die Standardeinstellungen ersetzt werden sollen. Wählen Sie dann Speichern aus, und überspringen Sie die übrigen Schritte in diesem Verfahren.

    • Einstellungen anpassen: Wählen Sie diese Option aus, wenn Sie die Einstellungen anpassen möchten, die für diese Organisation anstelle der Standardeinstellungen erzwungen werden sollen. Fahren Sie mit den übrigen Schritten in diesem Verfahren fort.

  5. Wählen Sie Externe Benutzer und Gruppen aus.

  6. Wählen Sie unter Zugriffsstatus eine der folgenden Optionen aus:

    • Zugriff zulassen: Lässt zu, dass die unter Gilt für angegebenen Benutzer und Gruppen für die B2B-Zusammenarbeit eingeladen werden.
    • Zugriff blockieren: Verhindert, dass die unter Gilt für angegebenen Benutzer und Gruppen für die B2B-Zusammenarbeit eingeladen werden.

    Screenshot showing selecting the user access status for B2B collaboration.

  7. Wählen Sie unter Gilt für eine der folgenden Optionen aus:

    • Alle externen Benutzer und Gruppen: wendet die unter Zugriffsstatus ausgewählte Aktion auf alle Benutzer*innen und Gruppen aus externen Microsoft Entra-Organisationen an.
    • Externe Benutzer und Gruppen auswählen (erfordert ein Microsoft Entra ID P1 oder P2 Abonnement): Ermöglicht die Anwendung der Aktion, die Sie unter Zugriffsstatus für bestimmte Benutzer und Gruppen innerhalb der externen Organisation.

    Hinweis

    Wenn Sie den Zugriff für alle externen Benutzer und Gruppen blockieren, müssen Sie auch den Zugriff auf alle Ihre internen Anwendungen blockieren (auf der Registerkarte Anwendungen).

    Screenshot showing selecting the target users and groups.

  8. Wenn Sie Ausgewählte Benutzer und Gruppen ausgewählt haben, gehen Sie für jeden Benutzer oder jede Gruppe, den bzw. die Sie hinzufügen möchten, wie folgt vor:

    • Wählen Sie Externe Benutzer und Gruppen hinzufügen aus.
    • Geben Sie im Bereich Weitere Benutzer und Gruppen hinzufügen im Suchfeld die Benutzerobjekt-ID oder Gruppenobjekt-ID ein, die Sie von Ihrer Partnerorganisation erhalten haben.
    • Wählen Sie im Menü neben dem Suchfeld entweder Benutzer oder Gruppe aus.
    • Wählen Sie Hinzufügen.

    Hinweis

    Sie können keine Benutzer oder Gruppen in den Standardeinstellungen für eingehenden Datenverkehr anvisieren.

    Screenshot showing adding users and groups.

  9. Wenn Sie mit dem Hinzufügen von Benutzern und Gruppen fertig sind, wählen Sie Übermitteln aus.

    Screenshot showing submitting users and groups.

  10. Klicken Sie auf die Registerkarte Anwendungen.

  11. Wählen Sie unter Zugriffsstatus eine der folgenden Optionen aus:

    • Zugriff zulassen: Ermöglicht es, dass Benutzer der B2B-Zusammenarbeit auf die unter Gilt für angegebenen Anwendungen zugreifen können.
    • Zugriff blockieren: Verhindert, dass Benutzer der B2B-Zusammenarbeit auf die unter Gilt für angegebenen Anwendungen zugreifen können.

    Screenshot showing applications access status.

  12. Wählen Sie unter Gilt für eine der folgenden Optionen aus:

    • Alle Anwendungen: Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle Ihre Anwendungen an.
    • Anwendungen auswählen (erfordert ein Microsoft Entra ID-P1- oder -P2-Abonnement): Mit dieser Option können Sie die unter Zugriffsstatus ausgewählte Aktion auf bestimmte Anwendungen in Ihrer Organisation anwenden.

    Hinweis

    Wenn Sie den Zugriff auf alle Anwendungen blockieren, müssen Sie auch den Zugriff für alle externen Benutzer und Gruppen blockieren (auf der Registerkarte Externe Benutzer und Gruppen).

    Screenshot showing target applications.

  13. Wenn Sie Anwendungen auswählen ausgewählt haben, gehen Sie für jede Anwendung, die Sie hinzufügen möchten, wie folgt vor:

    • Wählen Sie Add Microsoft applications (Microsoft-Anwendungen hinzufügen) oder Weitere Anwendungen hinzufügen aus.
    • Geben Sie im Bereich Auswählen den Anwendungsnamen oder die Anwendungs-ID (entweder die Client-App-ID oder die Ressourcen-App-ID) in das Suchfeld ein. Wählen Sie dann die Anwendung in den Suchergebnissen aus. Wiederholen Sie diesen Schritt für jede Anwendung, die Sie hinzufügen möchten.
    • Wenn Sie die Anwendungen ausgewählten haben, wählen Sie Auswählen aus.

    Screenshot showing selecting applications.

  14. Wählen Sie Speichern.

Hinzufügen der Microsoft Admin Portal-App zu B2B Collaboration

Sie können die Microsoft Admin Portal-App nicht direkt den Einstellungen für den ein- und ausgehenden mandantenübergreifenden Zugriff im Microsoft Entra Admin Center hinzufügen. Sie können die unten aufgeführten Apps jedoch einzeln mithilfe der Microsoft Graph-API hinzufügen.

Die folgenden Apps sind Teil der Gruppe „Microsoft Admin Portal-App“:

  • Azure-Portal (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Microsoft Entra Admin Center (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Microsoft 365 Defender-Portal (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Microsoft Intune Admin Center (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Microsoft Purview-Complianceportal (80ccca67-54bd-44ab-8625-4b79c4dc7775)

Konfigurieren der Einlösungsreihenfolge (Vorschau)

Um die Reihenfolge der Identitätsanbieter anzupassen, mit denen sich Ihre Gastbenutzer anmelden können, wenn sie Ihre Einladung annehmen, befolgen Sie diese Schritte.

  1. Melden Sie sich beim Microsoft Entra Admin Center mit dem Konto eines „Globalen Administrators“ oder „Sicherheitsadministrators“ an. Öffnen Sie dann den Identitätsdienst auf der linken Seite.

  2. Wählen Sie External Identities>Mandantenübergreifende Zugriffseinstellungen aus.

  3. Wählen Sie unter Organisationseinstellungen den Link in der Spalte Eingehender Zugriff und auf der Registerkarte B2B-Zusammenarbeit aus.

  4. Wählen Sie die Registerkarte Einlösungsreihenfolge aus.

  5. Verschieben Sie die Identitätsanbieter nach oben oder unten, um die Reihenfolge zu ändern, in der sich Ihre Gastbenutzer anmelden können, wenn sie Ihre Einladung annehmen. Sie können die Einlösungsreihenfolge auch hier auf die Standardeinstellungen zurücksetzen.

    Screenshot showing the redemption order tab.

  6. Klicken Sie auf Speichern.

Sie können die Einlösungsreihenfolge auch über die Microsoft Graph-API anpassen.

  1. Öffnen Sie den Microsoft Graph-Explorer.

  2. Melden Sie sich mit dem Konto eines „Globalen Administrators“ oder „Sicherheitsadministrators“ bei Ihrem Ressourcenmandanten an.

  3. Führen Sie die folgende Abfrage aus, um die aktuellen Einlösungsreihenfolge abzurufen:

    GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
    
  4. In diesem Beispiel verschieben wir den SAML/WS-Fed IdP-Verbund an den Anfang der Einlösungsreihenfolge über den Microsoft Entra-Identitätsanbieter. Patchen Sie den gleichen URI mit diesem Anforderungstext:

    {
      "invitationRedemptionIdentityProviderConfiguration":
      {
      "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
      "fallbackIdentityProvider": "defaultConfiguredIdp "
      }
    }
    
  5. Führen Sie die GET-Abfrage erneut aus, um die Änderungen zu überprüfen.

  6. Führen Sie die folgende Abfrage aus, um die Einlösungsreihenfolge auf die Standardeinstellungen zurückzusetzen:

       {
       "invitationRedemptionIdentityProviderConfiguration": {
       "primaryIdentityProviderPrecedenceOrder": [
       "azureActiveDirectory",
       "externalFederation",
       "socialIdentityProviders"
       ],
       "fallbackIdentityProvider": "defaultConfiguredIdp"
       }
       }
    

SAML/WS-Fed-Partnerverbund (Direkter Partnerverbund) für überprüfte Microsoft Entra ID-Domänen (Vorschau)

Sie können nun Ihre verifizierte Microsoft Entra ID-Domäne hinzufügen, um die direkte Föderationsbeziehung einzurichten. Zuerst müssen Sie die Konfiguration des direkten Partnerverbunds im Admin Center oder über die API einrichten. Stellen Sie sicher, dass die Domäne nicht im selben Mandanten verifiziert wird. Sobald die Konfiguration eingerichtet ist, können Sie die Einlösungsreihenfolge anpassen. Der SAML/WS-Fed IdP wird als letzter Eintrag zur Einlösungsreihenfolge hinzugefügt. Sie können es in der Einlösungsreihenfolge nach oben verschieben, um sie über dem Microsoft Entra-Identitätsanbieter festzulegen.

Verhindern Sie, dass Ihre B2B-Benutzer Einladungen mit Microsoft-Konten einlösen (Vorschau)

Um zu verhindern, dass Ihre B2B-Gastbenutzer ihre Einladung mit ihren vorhandenen Microsoft-Konten einlösen oder eine neue Einladung erstellen, um die Einladung anzunehmen, befolgen Sie die Schritte unten.

  1. Melden Sie sich beim Microsoft Entra Admin Center mit dem Konto eines „Globalen Administrators“ oder „Sicherheitsadministrators“ an. Öffnen Sie dann den Identitätsdienst auf der linken Seite.

  2. Wählen Sie External Identities>Mandantenübergreifende Zugriffseinstellungen aus.

  3. Wählen Sie unter Organisationseinstellungen den Link in der Spalte Eingehender Zugriff und auf der Registerkarte B2B-Zusammenarbeit aus.

  4. Wählen Sie die Registerkarte Einlösungsreihenfolge aus.

  5. Deaktivieren Sie unter Fallback-Identitätsanbieter das Microsoft-Dienstkonto (MSA).

    Screenshot of the fallback identity providers option.

  6. Klicken Sie auf Speichern.

Sie müssen zu jedem Zeitpunkt mindestens einen Fallback-Identitätsanbieter aktiviert haben. Wenn Sie Microsoft-Konten deaktivieren möchten, müssen Sie den Einmal-Passcode per E-Mail aktivieren. Sie können nicht beide Fallbackidentitätsanbieter deaktivieren. Alle vorhandenen Gastbenutzer, die mit Microsoft-Konten angemeldet sind, werden diese weiterhin bei folgenden Anmeldungen verwenden. Sie müssen ihren Einlösungsstatus zurücksetzen, damit diese Einstellung angewendet wird.

So ändern Sie Einstellungen für eingehende Vertrauensstellungen für MFA- und Geräteansprüche

  1. Wählen Sie die Registerkarte Vertrauenseinstellungen aus.

  2. (Dieser Schritt gilt nur für Organisationseinstellungen.) Wenn Sie Einstellungen für eine Organisation konfigurieren, wählen Sie eine der folgenden Optionen aus:

    • Standardeinstellungen: Die Organisation verwendet die Einstellungen, die auf der Registerkarte Standardeinstellungen konfiguriert sind. Wenn bereits benutzerdefinierte Einstellungen für diese Organisation konfiguriert wurden, wählen Sie Ja aus, um zu bestätigen, dass alle Einstellungen durch die Standardeinstellungen ersetzt werden sollen. Wählen Sie dann Speichern aus, und überspringen Sie die übrigen Schritte in diesem Verfahren.

    • Einstellungen anpassen: Sie können die Einstellungen anpassen, die Sie für diese Organisation anstelle der Standardeinstellungen erzwingen möchten. Fahren Sie mit den übrigen Schritten in diesem Verfahren fort.

  3. Wählen Sie eine oder mehrere der folgenden Optionen aus:

    • Vertrauen Sie der Multi-Faktor-Authentifizierung von Microsoft Entra-Mandanten: Aktivieren Sie dieses Kontrollkästchen, um zuzulassen, dass Ihre Richtlinien für den bedingten Zugriff MFA-Ansprüchen von externen Organisationen vertrauen. Während der Authentifizierung überprüft Microsoft Entra ID die Anmeldeinformationen von Benutzern auf eine Aussage, dass sie die MFA abgeschlossen haben. Falls nicht, wird im Basismandanten des Benutzers bzw. der Benutzerin eine MFA-Abfrage initiiert.

    • Konformen Geräten vertrauen: Diese Option ermöglicht es Ihren Richtlinien für bedingten Zugriff, konformen Geräteansprüchen einer externen Organisation zu vertrauen, wenn deren Benutzer auf Ihre Ressourcen zugreifen.

    • Hybriden, in Microsoft Entra eingebundenen Geräten vertrauen: Diese Option ermöglicht es Ihren Richtlinien für bedingten Zugriff, Ansprüchen von in Microsoft Entra eingebundenen Hybridgeräten einer externen Organisation zu vertrauen, wenn deren Benutzer*innen auf Ihre Ressourcen zugreifen.

    Screenshot showing trust settings.

  4. (Dieser Schritt gilt nur für Organisationseinstellungen.) Überprüfen Sie die Option Automatische Einlösung:

    • Einladungen automatisch beim Mandanten<Mandanten> einlösen: Überprüfen Sie diese Einstellung, wenn Sie Einladungen automatisch einlösen möchten. In diesem Fall müssen Benutzer des angegebenen Mandanten die Einwilligungsaufforderung nicht akzeptieren, wenn sie zum ersten Mal über mandantenübergreifende Synchronisierung, B2B-Zusammenarbeit oder direkte B2B-Verbindung auf diesen Mandanten zugreifen. Diese Einstellung unterdrückt die Einwilligungsaufforderung nur, wenn der angegebene Mandant diese Einstellung auch für den ausgehenden Zugriff überprüft.

    Screenshot that shows the inbound Automatic redemption check box.

  5. Wählen Sie Speichern.

Zulassen der Benutzersynchronisierung mit diesem Mandanten

Wenn Sie eingehenden Zugriff für die hinzugefügte Organisation auswählen, werden die Registerkarte Mandantenübergreifende Synchronisierung und das Kontrollkästchen Erlauben Sie Benutzern, sich mit diesem Mandanten zu synchronisieren angezeigt. Die mandantenübergreifende Synchronisation ist ein Einweg-Synchronisationsdienst in Microsoft Entra ID, der das Erstellen, Aktualisieren und Löschen von Benutzern für die B2B-Zusammenarbeit in verschiedenen Mandanten eines Unternehmens automatisiert. Weitere Informationen finden Sie unter Konfigurieren der mandantenübergreifenden Synchronisierung und in der Dokumentation zu Organisationen mit mehreren Mandanten.

Screenshot that shows the Cross-tenant sync tab with the Allow users sync into this tenant check box.

Ändern der Einstellungen für ausgehenden Zugriff

Mit den Einstellungen für ausgehenden Zugriff wählen Sie aus, welche Benutzer und Gruppen auf die von Ihnen ausgewählten externen Anwendungen zugreifen können. Unabhängig davon, ob Sie Standardeinstellungen oder organisationsspezifische Einstellungen konfigurieren, sind die Schritte zum Ändern der mandantenübergreifenden Einstellungen für den ausgehenden Zugriff identisch. Wie in diesem Abschnitt beschrieben, navigieren Sie entweder zur Registerkarte Standard oder zu einer Organisation auf der Registerkarte Organisationseinstellungen und nehmen dann Ihre Änderungen vor.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

  2. Browsen Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen.

  3. Navigieren Sie zu den Einstellungen, die Sie ändern möchten:

    • Wählen Sie zum Ändern der Standardeinstellungen für den ausgehenden Zugriff die Registerkarte Standardeinstellungen und dann unter Einstellungen für Zugriff auf ausgehenden Datenverkehr die Option Standardwerte für Ausgangsdaten bearbeiten aus.

    • Um Einstellungen für eine bestimmte Organisation zu ändern, wählen Sie die Registerkarte Organisationseinstellungen aus, suchen Sie die Organisation in der Liste (oder fügen Sie eine hinzu), und wählen Sie dann den Link in der Spalte Zugriff auf ausgehenden Datenverkehr aus.

  4. Wählen Sie die Registerkarte B2B-Zusammenarbeit aus.

  5. (Dieser Schritt gilt nur für Organisationseinstellungen.) Wenn Sie Einstellungen für eine Organisation konfigurieren, wählen Sie eine Optionen aus:

    • Standardeinstellungen: Die Organisation verwendet die Einstellungen, die auf der Registerkarte Standardeinstellungen konfiguriert sind. Wenn bereits benutzerdefinierte Einstellungen für diese Organisation konfiguriert wurden, müssen Sie Ja auswählen, um zu bestätigen, dass alle Einstellungen durch die Standardeinstellungen ersetzt werden sollen. Wählen Sie dann Speichern aus, und überspringen Sie die übrigen Schritte in diesem Verfahren.

    • Einstellungen anpassen: Sie können die Einstellungen anpassen, die Sie für diese Organisation anstelle der Standardeinstellungen erzwingen möchten. Fahren Sie mit den übrigen Schritten in diesem Verfahren fort.

  6. Wählen Sie Benutzer und Gruppen.

  7. Wählen Sie unter Zugriffsstatus eine der folgenden Optionen aus:

    • Zugriff zulassen: Lässt zu, dass die unter Gilt für angegebenen Benutzern und Gruppen in externe Organisationen für die B2B-Zusammenarbeit eingeladen werden.
    • Zugriff blockieren: Verhindert, dass die unter Gilt für angegebenen Benutzer und Gruppen für die B2B-Zusammenarbeit eingeladen werden. Wenn Sie den Zugriff für alle Benutzer und Gruppen blockieren, wird dadurch auch der Zugriff auf alle externen Anwendungen über die B2B-Zusammenarbeit blockiert.

    Screenshot showing users and groups access status for b2b collaboration.

  8. Wählen Sie unter Gilt für eine der folgenden Optionen aus:

    • All <your organization> users (Alle -Benutzer): Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle Ihre Benutzer und Gruppen an.
    • Ausgewählte <Organisation>-Benutzer*innen (erfordert ein Microsoft Entra ID-P1- oder -P2-Abonnement): Mit dieser Option können Sie die unter Zugriffsstatus ausgewählte Aktion auf bestimmte Benutzer*innen und Gruppen anwenden.

    Hinweis

    Wenn Sie den Zugriff für alle Ihre Benutzer und Gruppen blockieren, müssen Sie auch den Zugriff auf alle externen Anwendungen blockieren (auf der Registerkarte Externe Anwendungen).

    Screenshot showing selecting the target users for b2b collaboration.

  9. Wenn Sie Select <your organization> users and groups (Ausgewählte -Benutzer) ausgewählt haben, gehen Sie für jeden Benutzer oder jede Gruppe, den bzw. die Sie hinzufügen möchten, wie folgt vor:

    • Wählen Sie Add <your organization> users and groups (-Benutzer hinzufügen) aus.
    • Geben Sie im Bereich Auswählen den Benutzernamen oder den Gruppennamen in das Suchfeld ein.
    • Wählen Sie den Benutzer oder die Gruppe in den Suchergebnissen aus.
    • Wenn Sie die Benutzer und Gruppen ausgewählt haben, die Sie hinzufügen möchten, wählen Sie Auswählen aus.

    Hinweis

    Bei der Ausrichtung auf Ihre Benutzer und Gruppen können Sie keine Benutzer auswählen, die die SMS-basierte Authentifizierung konfiguriert haben. Dies liegt daran, dass Benutzer, die über „Verbundanmeldeinformationen“ für ihr Benutzerobjekt verfügen, blockiert werden, um zu verhindern, dass externe Benutzer zu ausgehenden Zugriffseinstellungen hinzugefügt werden. Als Problemumgehung können Sie die Microsoft-Graph-API verwenden, um die Objekt-ID des Benutzers direkt hinzuzufügen oder eine Gruppe anzufügen, zu der der Benutzer gehört.

  10. Wählen Sie die Registerkarte Externe Anwendungen aus.

  11. Wählen Sie unter Zugriffsstatus eine der folgenden Optionen aus:

    • Zugriff zulassen: Ermöglicht es, dass Ihre Benutzer über B2B-Zusammenarbeit auf die unter Gilt für angegebenen externen Anwendungen zugreifen können.
    • Zugriff blockieren: Verhindert, dass Ihre Benutzer über B2B-Zusammenarbeit auf die unter Gilt für angegebenen externen Anwendungen zugreifen können.

    Screenshot showing applications access status for b2b collaboration.

  12. Wählen Sie unter Gilt für eine der folgenden Optionen aus:

    • Alle externen Anwendungen: Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle externen Anwendungen an.
    • Externe Anwendungen auswählen: Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle externen Anwendungen an.

    Hinweis

    Wenn Sie den Zugriff auf alle externen Anwendungen blockieren, müssen Sie auch den Zugriff für alle Ihre Benutzer und Gruppen blockieren (auf der Registerkarte Benutzer und Gruppen).

    Screenshot showing application targets for b2b collaboration.

  13. Wenn Sie Externe Anwendungen auswählen ausgewählt haben, gehen Sie für jede Anwendung, die Sie hinzufügen möchten, wie folgt vor:

    • Wählen Sie Add Microsoft applications (Microsoft-Anwendungen hinzufügen) oder Weitere Anwendungen hinzufügen aus.
    • Geben Sie den Anwendungsnamen oder die Anwendungs-ID (entweder die Client-App-ID oder die Ressourcen-App-ID) in das Suchfeld ein. Wählen Sie dann die Anwendung in den Suchergebnissen aus. Wiederholen Sie diesen Schritt für jede Anwendung, die Sie hinzufügen möchten.
    • Wenn Sie die Anwendungen ausgewählten haben, wählen Sie Auswählen aus.

    Screenshot showing selecting applications for b2b collaboration.

  14. Wählen Sie Speichern aus.

So ändern Sie die Einstellungen für ausgehenden Vertrauensstellungen

(Dieser Abschnitt gilt nur für Organisationseinstellungen.)

  1. Wählen Sie die Registerkarte Vertrauenseinstellungen aus.

  2. Überprüfen Sie die Option Automatische Einlösung:

    • Einladungen automatisch beim Mandanten<Mandanten> einlösen: Überprüfen Sie diese Einstellung, wenn Sie Einladungen automatisch einlösen möchten. In diesem Fall müssen Benutzer dieses Mandanten die Einwilligungsaufforderung nicht akzeptieren, wenn sie zum ersten Mal über mandantenübergreifende Synchronisierung, B2B-Zusammenarbeit oder direkte B2B-Verbindung auf den angegebenen Mandanten zugreifen. Diese Einstellung unterdrückt die Einwilligungsaufforderung nur, wenn der angegebene Mandant diese Einstellung auch für den eingehenden Zugriff überprüft.

    Screenshot that shows the outbound Automatic redemption check box.

  3. Wählen Sie Speichern.

Entfernen einer Organisation

Wenn Sie eine Organisation aus ihren Organisationseinstellungen entfernen, werden die mandantenübergreifenden Standardzugriffseinstellungen für diese Organisation wirksam.

Hinweis

Wenn die Organisation ein Clouddienstanbieter für Ihre Organisation ist (die isServiceProvider-Eigenschaft in der partnerspezifischen Konfiguration von Microsoft Graph ist „true“), können Sie die Organisation nicht entfernen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

  2. Browsen Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen.

  3. Wählen Sie die Registerkarte Organisationseinstellungen aus.

  4. Suchen Sie die Organisation in der Liste, und wählen Sie dann das Papierkorbsymbol in der betreffenden Zeile aus.

Nächste Schritte