Häufig gestellte Fragen zur Azure Active Directory B2B-Zusammenarbeit

Diese häufig gestellten Fragen (FAQs) zur Azure AD B2B-Zusammenarbeit (Azure Active Directory Business-to-Business) werden regelmäßig mit neuen Themen aktualisiert.

Wichtig

Können wir unsere Anmeldeseite anpassen, damit sie für Gastbenutzer der B2B-Zusammenarbeit intuitiver ist?

Auf jeden Fall. Lesen Sie unseren Blogbeitrag zu diesem Feature. Weitere Informationen zum Anpassen der Anmeldeseite Ihrer Organisation finden Sie unter Hinzufügen von Unternehmensbranding zu Anmelde- und Zugriffsbereichsseiten.

Können B2B-Zusammenarbeitsbenutzer auf SharePoint Online und OneDrive zugreifen?

Ja. Allerdings ist die Möglichkeit, in SharePoint Online mithilfe der Personenauswahl nach vorhandenen Gastbenutzern zu suchen, standardmäßig auf Aus gesetzt. Um die Option zum Suchen nach vorhandenen Gastbenutzern zu aktivieren, setzen Sie ShowPeoplePickerSuggestionsForGuestUsers auf Ein. Sie können diese Einstellung entweder auf Mandantenebene oder Websitesammlungsebene aktivieren. Sie können diese Einstellung mithilfe der Cmdlets „Set-SPOTenant“ und „Set-SPOSite“ ändern. Mit diesen Cmdlets können Mitglieder nach allen vorhandenen Gastbenutzern im Verzeichnis suchen. Änderungen im Mandantenbereich wirken sich nicht auf SharePoint Online-Websites aus, die bereits bereitgestellt wurden.

Können Benutzer von B2B Collaboration auf Power BI-Inhalte zugreifen?

Ja, Sie können Power BI-Inhalte mithilfe von B2B Collaboration an externe Gastbenutzer verteilen. Wenn Sie Power BI-Inhalte über Microsoft-Clouds freigeben möchten, können Sie Microsoft-Cloudeinstellungen verwenden, um eine gegenseitige B2B-Zusammenarbeit zwischen Ihrer Cloud und einer externen Cloud einzurichten.

Wird die Funktion zum Hochladen von CSV-Dateien noch unterstützt?

Ja. Weitere Informationen zur Verwendung der Funktion zum Hochladen von CSV-Dateien finden Sie in diesem PowerShell-Beispiel.

Wie kann ich meine Einladungs-E-Mails anpassen?

Mithilfe der B2B-Einladungs-APIs können Sie nahezu jedes Element des Einladungsprozesses anpassen.

Können Gastbenutzer ihre MFA-Methode zurücksetzen?

Ja. Gastbenutzer können ihre MFA-Methode auf dieselbe Weise zurücksetzen wie normale Benutzer.

Welche Organisation ist für MFA-Lizenzen verantwortlich?

Die einladende Organisation führt MFA durch. Die einladende Organisation muss sicherstellen, dass die Organisation genügend Lizenzen für B2B-Benutzer besitzt, die MFA verwenden.

Was geschieht, wenn eine Partnerorganisation bereits MFA eingerichtet hat? Können wir der Multi-Faktor-Authentifizierung vertrauen?

Mit mandantenübergreifenden Zugriffseinstellungen können Sie den MFA-Ansprüchen (Multi-Faktor-Authentifizierung) und Geräteansprüchen (Ansprüche von konformen Geräten und von in Azure AD eingebundenen Hybridgeräten) von anderen Azure AD-Organisationen vertrauen.

Wie viele Organisationen kann ich in den mandantenübergreifenden Zugriffseinstellungen hinzufügen?

Mandantenübergreifende Zugriffseinstellungen sind eine Richtlinie im Verzeichnis, in der Ihre Einstellungen für die Zusammenarbeit mit anderen Organisationen gespeichert werden. Diese Richtliniendatei hat eine Größenbeschränkung von 25 KB, und sobald diese Grenze erreicht ist, können keine weiteren Organisationen oder Änderungen vorgenommen werden, die die Dateigröße weiter erhöhen würden. Aufgrund der Art und Weise, wie die Inhalte in dieser Richtlinie gespeichert werden, gibt es keine definierte Anzahl von Organisationen, die Sie in den mandantenübergreifenden Zugriffseinstellungen hinzufügen können. Wenn Sie die Einstellungen auf eine große Anzahl von Organisationen anwenden müssen, empfiehlt es sich, diese Einstellungen als Standardeinstellungen zu implementieren. Führen Sie die folgenden Schritte aus, um die aktuelle Größe Ihrer Richtlinie zu berechnen und festzustellen, ob Sie kurz davor sind, die Dateigrößenbeschränkung von 25 KB zu erreichen.

Wie kann ich verzögerte Einladungen senden?

Es kann vorkommen, dass eine Organisation Benutzer der B2B-Zusammenarbeit hinzufügen, diese bei Bedarf für Anwendungen bereitstellen und erst dann die Einladungen senden möchte. Sie können die Einladungs-API für die B2B-Zusammenarbeit verwenden, um den Onboardingworkflow benutzerdefiniert anzupassen.

Kann ich Gastbenutzer in der globalen Adressliste von Exchange sichtbar machen?

Ja. Gastobjekte sind in der globalen Adressliste Ihres Unternehmens standardmäßig nicht sichtbar. Sie können jedoch Azure Active Directory PowerShell verwenden, um diese sichtbar zu machen. Weitere Informationen finden Sie im Artikel Verhindern, dass Gäste einer bestimmten Microsoft 365-Gruppe oder einem Microsoft Teams-Team hinzugefügt werden unter „Hinzufügen von Gästen zur globalen Adressliste“.

Kann ich einen Gastbenutzer in einen eingeschränkten Administrator konvertieren?

Absolut. Weitere Informationen finden Sie unter Zuweisen einer Rolle für Gastbenutzer.

Erlaubt die Azure AD B2B-Zusammenarbeit B2B-Benutzern den Zugriff auf das Azure-Portal?

B2B Collaboration-Benutzer benötigen keinen Zugriff auf das Azure-Portal, falls ihnen nicht die Rolle eines eingeschränkten Administrators zugewiesen ist. Wenn ihnen diese Rolle jedoch zugewiesen ist, können sie auf das Portal zugreifen. Auch wenn ein Gastbenutzer, dem keine dieser Administratorrollen zugewiesen ist, auf das Portal zugreift, kann der Benutzer möglicherweise auf bestimmte Funktionen zugreifen. Die Rolle des Gastbenutzers ist mit einigen Berechtigungen im Verzeichnis versehen.

Kann ich den Zugriff auf das Azure-Portal für Gastbenutzer sperren?

Ja, Sie können eine Richtlinie für bedingten Zugriff erstellen, durch die der Zugriff auf das Azure-Portal für alle Gastbenutzer und externen Benutzer blockiert wird. Gehen Sie beim Konfigurieren dieser Richtlinie umsichtig vor, um zu vermeiden, dass versehentlich der Zugriff für Mitglieder und Administratoren gesperrt wird.

  1. Melden Sie sich am Azure-Portal als Sicherheitsadministrator oder Administrator für bedingten Zugriff an.
  2. Wählen Sie im Azure-Portal die Option Azure Active Directory aus.
  3. Wählen Sie unter Verwalten die Option Sicherheit aus.
  4. Wählen Sie unter Schützen die Option Bedingter Zugriff aus. Wählen Sie Neue Richtlinie.
  5. Geben Sie auf der Seite Neu im Textfeld Name einen Namen für die Richtlinie ein (z. B. „Blockieren des Zugriffs auf das Portal durch Gastbenutzer“).
  6. Klicken Sie unter Zuweisungen auf Benutzer und Gruppen.
  7. Wählen Sie auf der Registerkarte Einschließen die Option Benutzer und Gruppen auswählen aus, und wählen Sie dann Alle Gast- und externen Benutzer (Vorschau) aus.
  8. Wählen Sie Fertigaus.
  9. Wählen Sie auf der Seite Neu im Abschnitt Zuweisungen die Option Cloud-Apps oder -aktionen aus.
  10. Wählen Sie auf der Seite Cloud-Apps oder -aktionen die Option Apps auswählen aus, und wählen Sie dann Auswählen aus.
  11. Wählen Sie auf der Seite Auswählen die Option Microsoft Azure-Verwaltung und dann Auswählen aus.
  12. Wählen Sie auf der Seite Cloud-Apps oder -aktionen die Option Fertig aus.

Unterstützt die Azure AD B2B-Zusammenarbeit MFA und E-Mail-Konten für Consumer?

Ja. Sowohl MFA als auch E-Mail-Konten für Consumer werden für die Azure AD B2B-Zusammenarbeit unterstützt.

Wird die Kennwortzurücksetzung für Azure AD B2B-Zusammenarbeitsbenutzer unterstützt?

Wenn Ihr Azure AD-Mandant das Basisverzeichnis für einen Benutzer ist, können Sie das Kennwort des Benutzers über das Azure-Portal zurücksetzen. Aber Sie können das Kennwort für einen Gastbenutzer nicht direkt zurücksetzen, wenn er sich mit einem Konto anmeldet, das von einem anderen Azure AD-Verzeichnis oder einem externen Identitätsanbieter verwaltet wird. Nur der Gastbenutzer oder ein Administrator im Basisverzeichnis des Benutzers kann das Kennwort zurücksetzen. Hier sind einige Beispiele für die Funktionsweise der Kennwortzurücksetzung für Gastbenutzer:

  • Gastbenutzer in einem Azure AD-Mandanten, die als „Gast“ (UserType==Guest) gekennzeichnet sind, können sich nicht über https://aka.ms/ssprsetup für SSPR registrieren. Diese Art von Gastbenutzer kann SSPR nur über https://aka.ms/sspr ausführen.

  • Gastbenutzer, die sich mit einem Microsoft-Konto anmelden (z.B. guestuser@live.com), können ihre eigenen Kennwörter über die Self-Service-Kennwortzurücksetzung (SSPR) für Microsoft-Konten zurücksetzen. Informationen finden Sie unter Zurücksetzen des Kennworts Ihres Microsoft-Kontos.

  • Gastbenutzer, die sich mit einem Google-Konto oder einem anderen externen Identitätsanbieter anmelden, können ihre eigenen Kennwörter mit der SSPR-Methode ihres Identitätsanbieters zurücksetzen. Beispielsweise kann ein Gastbenutzer mit dem Google-Konto guestuser@gmail.com sein Kennwort mithilfe der Anweisungen in Passwort ändern oder zurücksetzen zurücksetzen.

  • Wenn der Identitätsmandant ein Just-In-Time-Mandant (JIT) oder ein „viraler“ Mandant ist (es sich also um einen separaten, nicht verwalteten Azure-Mandanten handelt), kann nur der Gastbenutzer sein Kennwort zurücksetzen. In einigen Fällen übernimmt die Organisation die Verwaltung der viralen Mandanten, die erstellt werden, wenn Mitarbeiter ihre geschäftliche E-Mail-Adresse für die Anmeldung bei Diensten verwenden. Wenn die Organisation einen viralen Mandanten übernommen hat, kann nur ein Administrator in dieser Organisation das Kennwort des Benutzers zurücksetzen oder SSPR aktivieren. Bei Bedarf können Sie als einladende Organisation das Gastkonto für den Benutzer aus dem Verzeichnis entfernen und erneut eine Einladung senden.

  • Wenn das Basisverzeichnis des Gastbenutzers Ihr Azure AD-Mandant ist, können Sie das Kennwort des Benutzers zurücksetzen. Sie könnten beispielsweise einen Benutzer erstellen oder einen Benutzer über Ihr lokales Active Directory-Verzeichnis synchronisieren und „UserType“ auf „Gast“ festlegen. Da sich dieser Benutzer in Ihrem Verzeichnis befindet, können Sie sein Kennwort über das Azure-Portal zurücksetzen.

Bietet Microsoft Dynamics 365 Onlineunterstützung für die Azure AD B2B-Zusammenarbeit?

Ja, Dynamics 365 (online) unterstützt die Azure AD B2B-Zusammenarbeit. Weitere Informationen finden Sie im Dynamics 365-Artikel Laden Sie Benutzer zu Dynamics 365 mit Azure Active Directory B2B Zusammenarbeit ein.

Wie lang ist ein anfängliches Kennwort für einen neu erstellten B2B-Zusammenarbeitsbenutzer gültig?

Azure AD verfügt über einen festen Satz von Anforderungen an Zeichen, Kennwortstärke und Kontosperre, die gleichermaßen für alle Azure AD-Cloudbenutzerkonten gelten. Cloudbenutzerkonten sind Konten, die nicht mit einem anderen Identitätsanbieter verbunden sind, z.B.

  • Microsoft-Konto
  • Facebook
  • Active Directory-Verbunddienste (AD FS)
  • Ein anderer Cloudmandant (für B2B-Zusammenarbeit)

Bei Verbundkonten richtet sich die Kennwortrichtlinie nach der Richtlinie, die im lokalen Mandanten und den Einstellungen des Microsoft-Kontos des Benutzers angewendet wird.

Eine Organisation möchte ggf. verschiedene Funktionen in ihren Anwendungen für Mandanten- und Gastbenutzer bereitstellen. Gibt es dafür eine Standardanleitung? Ist das Vorhandensein des Identitätsanbieteranspruchs das richtige Modell dafür?

Ein Gastbenutzer kann einem beliebigen Identitätsanbieter zur Authentifizierung verwenden. Weitere Informationen finden Sie unter Eigenschaften eines B2B-Zusammenarbeitsbenutzers. Verwenden Sie die UserType-Eigenschaft, um die Benutzerfreundlichkeit zu bestimmen. Der UserType-Anspruch ist derzeit nicht im Token enthalten. Anwendungen sollten zur Abfrage des Verzeichnisses nach dem Benutzer und zum Abrufen seiner UserType-Eigenschaft die Microsoft Graph-API verwenden.

Wo finde ich eine Community für die B2B-Zusammenarbeit, um dort Lösungen und Ideen zu teilen?

Ihr Feedback zur Verbesserung der B2B-Zusammenarbeit nehmen wir sehr ernst. Teilen Sie uns Ihre Benutzerszenarien und bewährten Methoden mit, und lassen Sie uns wissen, was Ihnen an der Azure AD B2B-Zusammenarbeit gefällt. Werden Sie Teil der Microsoft Tech Community und posten Sie Diskussionsbeiträge.

Senden Sie uns zudem über die Website B2B Collaboration Ideas Ihre Anregungen und Ideen, und stimmen Sie über zukünftige Features ab.

Können eine automatisch eingelöste Einladung gesendet werden, damit der Benutzer sofort loslegen kann, oder muss sich der Benutzer stets bis zur Einlöse-URL durchklicken?

Sie können andere Benutzer aus der Partnerorganisation über die Benutzeroberfläche, über PowerShell-Skripts oder über APIs einladen. Dann können Sie dem Gastbenutzer einen direkten Link zu einer freigegebenen App senden. In den meisten Fällen muss der Eingeladene keine E-Mail-Einladung mehr öffnen und auf eine Einlösungs-URL klicken. Informationen finden Sie unter Azure Active Directory B2B-Zusammenarbeit: Einlösen von Einladungen.

Wie erfolgt die B2B-Zusammenarbeit, wenn der eingeladene Partner den Partnerverbund verwendet, um die eigene lokale Authentifizierung hinzuzufügen?

Wenn der Partner über einen Azure AD-Mandanten verfügt, der über einen Verbund in die lokale Authentifizierungsinfrastruktur eingebunden ist, wird automatisch lokales einmaliges Anmelden (Single Sign-On, SSO) ausgeführt. Wenn der Partner keinen Azure AD-Mandanten aufweist, wird für neue Benutzer ein Azure AD-Konto erstellt.

Stimmt es, dass Azure AD B2B keine E-Mail-Adressen von gmail.com und outlook.com akzeptiert und B2C für diese Arten von Konten verwendet wird?

Wir heben die Unterschiede zwischen der B2B- und B2C-Zusammenarbeit (Business-to-Consumer) im Hinblick auf die unterstützten Identitäten auf. Die verwendete Identität ist kein gutes Kriterium für die Entscheidung zwischen der Verwendung von B2B und B2C. Informationen zur Auswahl der Option für die Zusammenarbeit finden Sie unter Vergleich der B2B- und B2C-Zusammenarbeit in Azure Active Directory.

Kann ein lokales Azure AD B2C-Konto zu einem Azure AD-Mandanten für die B2B-Zusammenarbeit eingeladen werden?

Nein. Ein lokales Azure AD B2C-Konto kann nur für die Anmeldung beim Azure AD B2C-Mandanten verwendet werden. Das Konto kann nicht zum Anmelden bei einem Azure AD-Mandanten verwendet werden. Das Einladen eines lokalen Azure AD B2C-Kontos zu einem Azure AD-Mandanten für die B2B-Zusammenarbeit wird nicht unterstützt.

Welche Anwendungen und Dienste unterstützen Azure B2B-Gastbenutzer?

Alle in Azure AD integrierten Anwendungen unterstützen Azure B2B-Gastbenutzer, aber sie müssen einen als Mandant eingerichteten Endpunkt verwenden, um Gastbenutzer zu authentifizieren. Sie müssen möglicherweise auch die Ansprüche im SAML-Token anpassen, das ausgegeben wird, wenn sich ein Gastbenutzer bei der App authentifiziert.

Kann MFA für B2B-Gastbenutzer erzwungen werden, wenn unsere Partner nicht über MFA verfügen?

Ja. Weitere Informationen finden Sie unter Bedingter Zugriff für Benutzer der B2B-Zusammenarbeit.

In SharePoint können Listen für das Zulassen und Ablehnen des Zugriffs durch externe Benutzer definiert werden. Ist dies in Azure möglich?

Ja. Die Azure AD B2B-Zusammenarbeit unterstützt Positiv- und Sperrlisten.

Welche Lizenzen sind für die Verwendung von Azure AD B2B erforderlich?

Informationen darüber, welche Lizenzen Ihre Organisation für die Verwendung von Azure AD B2B benötigt, finden Sie unter Preise für externe Identitäten.

Was passiert, wenn ich einen Benutzer einlade, dessen E-Mail und UPN nicht übereinstimmen?

Das ist unterschiedlich. Standardmäßig erlaubt Azure AD nur UPN für die Anmelde-ID. Wenn UPN und E-Mails identisch sind, funktionieren Azure AD B2B-Einladungen und nachfolgende Anmeldungen wie erwartet. Es kann jedoch zu Problemen kommen, wenn die E-Mail und der UPN eines Benutzers nicht übereinstimmen und die E-Mail anstelle des UPN für die Anmeldung verwendet wird. Wenn ein Benutzer mit einer Nicht-UPN-E-Mail eingeladen wird, kann er die Einladung einlösen, wenn er den Einladungslink in der E-Mail verwendet, aber die Einlösung über einen direkten Link wird fehlschlagen. Selbst wenn der Benutzer die Einladung erfolgreich einlöst, schlägt die nachfolgende Anmeldung mit der Nicht-UPN-E-Mail fehl, es sei denn, der Identitätsanbieter (entweder Azure AD oder ein Partneridentitätsanbieter) ist so konfiguriert, dass E-Mails als alternative Anmelde-ID zulässig sind. Dieses Problem kann mit folgenden Maßnahmen vermieden werden:

  1. Aktivieren von E-Mails als alternative Anmelde-ID im eingeladenen/home Azure AD-Mandanten
  2. Aktivieren des Partneridentitätsanbieters zum Unterstützen von E-Mails als Anmelde-ID (wenn Azure AD mit einem anderen Identitätsanbieter verbunden ist) oder
  3. Weisen Sie den Benutzer an, sich mit seinem UPN einzulösen/anzumelden.

Um dieses Problem vollständig zu vermeiden, sollten Administratoren sicherstellen, dass die UPN und E-Mails der Benutzer den gleichen Wert haben.

Screenshot: Der Ablauf der Gasteinlösung.

Screenshot: Ablauf für nachfolgende Anmeldungen.

Instant-On: Wodurch kann Replikationswartezeit verursacht werden?

Im Workflow der B2B-Zusammenarbeit werden Benutzer zum Verzeichnis hinzugefügt und während der Einlösung der Einladung, der App-Zuweisung usw. dynamisch aktualisiert. Die Aktualisierungs- und Schreibvorgänge erfolgen im Allgemeinen in einer Verzeichnisinstanz und müssen in allen Instanzen repliziert werden. Die Replikation wird durchgeführt, nachdem alle Instanzen aktualisiert wurden. Wenn das Objekt in einer Instanz geschrieben oder aktualisiert wurde und der Aufruf zum Abrufen dieses Objekts in einer anderen Instanz erfolgt ist, können bei der Replikation Wartezeiten auftreten. Wenn dies der Fall ist, führen Sie eine Aktualisierung aus, oder wiederholen Sie den Vorgang. Wenn Sie mit unserer API eine App schreiben, ist die Wiederholung des Vorgangs mit einem Backoff-Intervall ein sinnvolles Verfahren, um dieses Problem zu verringern.