Microsoft Entra B2B-Zusammenarbeit – FAQs

Weitere Informationen zum Anpassen der Anmeldeseite Ihrer Organisation finden Sie unter Hinzufügen von Unternehmensbranding zu Anmelde- und Zugriffsbereichsseiten.

Ja. Allerdings ist die Möglichkeit, in SharePoint Online mithilfe der Personenauswahl nach vorhandenen Gastbenutzern zu suchen, standardmäßig auf Aus gesetzt. Um die Option zum Suchen nach vorhandenen Gastbenutzern zu aktivieren, setzen Sie ShowPeoplePickerSuggestionsForGuestUsers auf Ein. Sie können diese Einstellung entweder auf Mandantenebene oder Websitesammlungsebene aktivieren. Sie können diese Einstellung mithilfe der Cmdlets „Set-SPOTenant“ und „Set-SPOSite“ ändern. Mit diesen Cmdlets können Mitglieder nach allen vorhandenen Gastbenutzern im Verzeichnis suchen. Änderungen im Mandantenbereich wirken sich nicht auf SharePoint Online-Websites aus, die bereits bereitgestellt wurden.

Ja, Sie können Power BI-Inhalte mithilfe von B2B Collaboration an externe Gastbenutzer verteilen. Wenn Sie Power BI-Inhalte über Microsoft-Clouds freigeben möchten, können Sie Microsoft-Cloudeinstellungen verwenden, um eine gegenseitige B2B-Zusammenarbeit zwischen Ihrer Cloud und einer externen Cloud einzurichten.

Ja. Weitere Informationen zur Verwendung der Funktion zum Hochladen von CSV-Dateien finden Sie in diesem PowerShell-Beispiel.

Mithilfe der B2B-Einladungs-APIs können Sie nahezu jedes Element des Einladungsprozesses anpassen.

Ja. Gastbenutzer können ihre MFA-Methode auf dieselbe Weise zurücksetzen wie normale Benutzer.

Die einladende Organisation führt MFA durch. Die einladende Organisation muss sicherstellen, dass die Organisation genügend Lizenzen für B2B-Benutzer besitzt, die MFA verwenden.

Mit den mandantenübergreifenden Zugriffseinstellungen können Sie der Multi-Faktor-Authentifizierung und den Geräteansprüchen (konforme Ansprüche und Microsoft Entra-Hybrid-Verbundansprüche) von anderen Microsoft Entra-Organisationen vertrauen.

Mandantenübergreifende Zugriffseinstellungen sind eine Richtlinie im Verzeichnis, in der Ihre Einstellungen für die Zusammenarbeit mit anderen Organisationen gespeichert werden. Diese Richtliniendatei hat eine Größenbeschränkung von 25 KB, und sobald diese Grenze erreicht ist, können keine weiteren Organisationen oder Änderungen vorgenommen werden, die die Dateigröße weiter erhöhen würden. Aufgrund der Art und Weise, wie die Inhalte in dieser Richtlinie gespeichert werden, gibt es keine definierte Anzahl von Organisationen, die Sie in den mandantenübergreifenden Zugriffseinstellungen hinzufügen können. Wenn Sie die Einstellungen auf eine große Anzahl von Organisationen anwenden müssen, empfiehlt es sich, diese Einstellungen als Standardeinstellungen zu implementieren. Führen Sie die folgenden Schritte aus, um die aktuelle Größe Ihrer Richtlinie zu berechnen und festzustellen, ob Sie kurz davor sind, die Dateigrößenbeschränkung von 25 KB zu erreichen.

Es kann vorkommen, dass eine Organisation Benutzer der B2B-Zusammenarbeit hinzufügen, diese bei Bedarf für Anwendungen bereitstellen und erst dann die Einladungen senden möchte. Sie können die Einladungs-API für die B2B-Zusammenarbeit verwenden, um den Onboardingworkflow benutzerdefiniert anzupassen.

Ja. Standardmäßig sind Gastobjekte in der globalen Adressliste Ihrer Organisation nicht sichtbar, Sie können sie jedoch sichtbar machen. Weitere Informationen finden Sie im Artikel Verhindern, dass Gäste einer bestimmten Microsoft 365-Gruppe oder einem Microsoft Teams-Team hinzugefügt werden unter „Hinzufügen von Gästen zur globalen Adressliste“.

Absolut. Weitere Informationen finden Sie unter Zuweisen einer Rolle für Gastbenutzer.

B2B Collaboration-Benutzer*innen benötigen keinen Zugriff auf das Microsoft Entra Admin Center, sofern ihnen nicht die Rolle eines eingeschränkten Administrators bzw. einer eingeschränkten Administratorin zugewiesen ist. Wenn ihnen diese Rolle jedoch zugewiesen ist, können sie auf das Portal zugreifen. Auch wenn ein Gastbenutzer, dem keine dieser Administratorrollen zugewiesen ist, auf das Portal zugreift, kann der Benutzer möglicherweise auf bestimmte Funktionen zugreifen. Die Rolle des Gastbenutzers ist mit einigen Berechtigungen im Verzeichnis versehen.

Ja, Sie können eine Richtlinie für bedingten Zugriff erstellen, durch die der Zugriff auf das Microsoft Entra Admin Center für Gast- und externe Benutzer*innen blockiert wird. Gehen Sie beim Konfigurieren dieser Richtlinie umsichtig vor, um zu vermeiden, dass versehentlich der Zugriff für Mitglieder und Administratoren gesperrt wird.

1. Melden Sie sich beim Microsoft Entra Admin Center als Sicherheitsadministrator oder als Administrator für bedingten Zugriff an.
2. Wählen Sie im Microsoft Entra Admin Center unter Schutz die Option Security Center aus.
3. Wählen Sie unter Schützen die Option Bedingter Zugriff aus. Wählen Sie Neue Richtlinie.
4. Geben Sie auf der Seite Neu im Textfeld Name einen Namen für die Richtlinie ein (z. B. „Blockieren des Zugriffs auf das Portal durch Gastbenutzer“).
5. Klicken Sie unter Zuweisungen auf Benutzer und Gruppen.
6. Wählen Sie auf der Registerkarte Einschließen die Option Benutzer und Gruppen auswählen aus, und wählen Sie dann Alle Gast- und externen Benutzer (Vorschau) aus.
7. Wählen Sie Fertigaus.
8. Wählen Sie auf der Seite Neu im Abschnitt Zuweisungen die Option Cloud-Apps oder -aktionen aus.
9. Wählen Sie auf der Seite Cloud-Apps oder -aktionen die Option Apps auswählen aus, und wählen Sie dann Auswählen aus.
10. Wählen Sie auf der Seite Auswählen die Option Windows Azure Dienstverwaltungs-API und dann Auswählen aus.
11. Wählen Sie auf der Seite Cloud-Apps oder -aktionen die Option Fertig aus.

Ja. Sowohl die Multi-Faktor-Authentifizierung als auch E-Mail-Konten für Consumer werden für die Microsoft Entra B2B-Zusammenarbeit unterstützt.

Wenn Ihr Microsoft Entra-Mandant das Stammverzeichnis für einen Benutzer ist, können Sie über das Microsoft Entra Admin Center das Kennwort des Benutzers zurücksetzen. Sie können aber das Kennwort für einen Gastbenutzer nicht direkt zurücksetzen, wenn er sich mit einem Konto anmeldet, das von einem anderen Microsoft Entra-Verzeichnis oder einem externen Identitätsanbieter verwaltet wird. Nur der Gastbenutzer oder ein Administrator im Basisverzeichnis des Benutzers kann das Kennwort zurücksetzen. Hier sind einige Beispiele für die Funktionsweise der Kennwortzurücksetzung für Gastbenutzer:

• Gastbenutzer in einem Microsoft Entra-Mandanten, die als „Gast“ (UserType==Guest) gekennzeichnet sind, können sich nicht über https://aka.ms/ssprsetup für SSPR registrieren. Diese Art von Gastbenutzer kann SSPR nur über https://aka.ms/sspr ausführen.

• Gastbenutzer, die sich mit einem Microsoft-Konto anmelden (z.B. guestuser@live.com), können ihre eigenen Kennwörter über die Self-Service-Kennwortzurücksetzung (SSPR) für Microsoft-Konten zurücksetzen. Informationen finden Sie unter Zurücksetzen des Kennworts Ihres Microsoft-Kontos.

• Gastbenutzer, die sich mit einem Google-Konto oder einem anderen externen Identitätsanbieter anmelden, können ihre eigenen Kennwörter mit der SSPR-Methode ihres Identitätsanbieters zurücksetzen. Beispielsweise kann ein Gastbenutzer mit dem Google-Konto guestuser@gmail.com sein Kennwort mithilfe der Anweisungen in Passwort ändern oder zurücksetzen zurücksetzen.

• Wenn der Identitätsmandant ein Just-In-Time-Mandant (JIT) oder ein „viraler“ Mandant ist (es sich also um einen separaten, nicht verwalteten Azure-Mandanten handelt), kann nur der Gastbenutzer sein Kennwort zurücksetzen. In einigen Fällen übernimmt die Organisation die Verwaltung der viralen Mandanten, die erstellt werden, wenn Mitarbeiter ihre geschäftliche E-Mail-Adresse für die Anmeldung bei Diensten verwenden. Wenn die Organisation einen viralen Mandanten übernommen hat, kann nur ein Administrator in dieser Organisation das Kennwort des Benutzers zurücksetzen oder SSPR aktivieren. Bei Bedarf können Sie als einladende Organisation das Gastkonto für den Benutzer aus dem Verzeichnis entfernen und erneut eine Einladung senden.

• Wenn das Basisverzeichnis des Gastbenutzers Ihr Microsoft Entra-Mandant ist, können Sie das Kennwort des Benutzers zurücksetzen. Sie könnten beispielsweise einen Benutzer erstellen oder einen Benutzer über Ihr lokales Active Directory-Verzeichnis synchronisieren und „UserType“ auf „Gast“ festlegen. Da sich diese/r Benutzer*in in Ihrem Verzeichnis befindet, können Sie ihr/sein Kennwort über das Microsoft Entra Admin Center zurücksetzen.

Ja, Dynamics 365 (online) unterstützt die Microsoft Entra B2B-Zusammenarbeit. Weitere Informationen finden Sie im Dynamics 365-Artikel Einladen von Benutzern mit der Microsoft Entra B2B-Zusammenarbeit.

Microsoft Entra ID verfügt über einen festen Satz von Anforderungen an Zeichen, Kennwortstärke und Kontosperre, die gleichermaßen für alle Microsoft Entra-Cloudbenutzerkonten gelten. Cloudbenutzerkonten sind Konten, die nicht mit einem anderen Identitätsanbieter verbunden sind, z.B.

• Microsoft-Konto
• Facebook
• Active Directory-Verbunddienste (AD FS)
• Ein anderer Cloudmandant (für B2B-Zusammenarbeit)

Bei Verbundkonten richtet sich die Kennwortrichtlinie nach der Richtlinie, die im lokalen Mandanten und den Einstellungen des Microsoft-Kontos des Benutzers angewendet wird.

Ein Gastbenutzer kann einem beliebigen Identitätsanbieter zur Authentifizierung verwenden. Weitere Informationen finden Sie unter Eigenschaften eines B2B-Zusammenarbeitsbenutzers. Verwenden Sie die UserType-Eigenschaft, um die Benutzerfreundlichkeit zu bestimmen. Der UserType-Anspruch ist derzeit nicht im Token enthalten. Anwendungen sollten zur Abfrage des Verzeichnisses nach dem Benutzer und zum Abrufen seiner UserType-Eigenschaft die Microsoft Graph-API verwenden.

Ihr Feedback zur Verbesserung der B2B-Zusammenarbeit nehmen wir sehr ernst. Bitte teilen Sie uns Ihre Benutzerszenarien und bewährten Methoden mit, und lassen Sie uns wissen, was Ihnen an der Microsoft Entra B2B-Zusammenarbeit gefällt. Werden Sie Teil der Microsoft Tech Community und posten Sie Diskussionsbeiträge.

Senden Sie uns zudem über die Website B2B Collaboration Ideas Ihre Anregungen und Ideen, und stimmen Sie über zukünftige Features ab.

Sie können andere Benutzer aus der Partnerorganisation über die Benutzeroberfläche, über PowerShell-Skripts oder über APIs einladen. Dann können Sie dem Gastbenutzer einen direkten Link zu einer freigegebenen App senden. In den meisten Fällen muss der Eingeladene keine E-Mail-Einladung mehr öffnen und auf eine Einlösungs-URL klicken. Weitere Informationen dazu finden Sie unter Microsoft Entra B2B-Zusammenarbeit – Einlösen von Einladungen.

Wenn der Partner über einen Microsoft Entra-Mandanten verfügt, der über einen Verbund in die lokale Authentifizierungsinfrastruktur eingebunden ist, wird automatisch lokales einmaliges Anmelden (SSO) ermöglicht. Wenn der Partner über keinen Microsoft Entra-Mandanten verfügt, wird ein Microsoft Entra-Konto für neue Benutzer erstellt.

Wir heben die Unterschiede zwischen der B2B- und B2C-Zusammenarbeit (Business-to-Consumer) im Hinblick auf die unterstützten Identitäten auf. Die verwendete Identität ist kein gutes Kriterium für die Entscheidung zwischen der Verwendung von B2B und B2C. Informationen zur Auswahl der Zusammenarbeitsoption finden Sie unter Vergleich der B2B- und B2C-Zusammenarbeit in Microsoft Entra ID.

Nein. Ein lokales Azure AD B2C-Konto kann nur für die Anmeldung beim Azure AD B2C-Mandanten verwendet werden. Das Konto kann nicht zum Anmelden bei einem Microsoft Entra AD-Mandanten verwendet werden. Das Einladen eines lokalen Azure AD B2C-Kontos zu einem Microsoft Entra-Mandanten für die B2B-Zusammenarbeit wird nicht unterstützt.

Alle in Microsoft Entra integrierten Anwendungen unterstützen Azure B2B-Gastbenutzer, aber sie müssen einen als Mandant eingerichteten Endpunkt verwenden, um Gastbenutzer zu authentifizieren. Sie müssen möglicherweise auch die Ansprüche im SAML-Token anpassen, das ausgegeben wird, wenn sich ein Gastbenutzer bei der App authentifiziert.

Ja. Weitere Informationen finden Sie unter Bedingter Zugriff für Benutzer der B2B-Zusammenarbeit.

Ja. Die Microsoft Entra B2B-Zusammenarbeit unterstützt Positivlisten und Sperrlisten.

Informationen darüber, welche Lizenzen Ihre Organisation für die Verwendung von Microsoft Entra B2B benötigt, finden Sie unter Preise für External ID.

Das ist unterschiedlich. Standardmäßig erlaubt Microsoft Entra nur einen UPN als Anmelde-ID. Wenn der UPN und die E-Mail identisch sind, funktionieren Microsoft Entra B2B-Einladungen und nachfolgende Anmeldungen wie erwartet. Es kann jedoch zu Problemen kommen, wenn die E-Mail und der UPN eines Benutzers nicht übereinstimmen und die E-Mail anstelle des UPN für die Anmeldung verwendet wird. Wenn ein Benutzer mit einer Nicht-UPN-E-Mail eingeladen wird, kann er die Einladung einlösen, wenn er den Einladungslink in der E-Mail verwendet, aber die Einlösung über einen direkten Link wird fehlschlagen. Selbst wenn der Benutzer die Einladung erfolgreich einlöst, schlagen nachfolgende Anmeldungen mittels der Nicht-UPN-E-Mail fehl, es sei denn, der Identitätsanbieter (entweder Microsoft Entra ID oder ein Verbundidentitätsanbieter) ist so konfiguriert, dass E-Mails als alternative Anmelde-ID zulässig sind. Dieses Problem kann mit folgenden Maßnahmen vermieden werden:

1. Aktivieren von E-Mails als alternative Anmelde-ID im eingeladenen/home Microsoft Entra-Mandanten
2. Aktivieren des Verbundidentitätsanbieters zum Unterstützen von E-Mails als Anmelde-ID (wenn Microsoft Entra ID mit einem anderen Identitätsanbieter verbunden ist) oder
3. Weisen Sie den Benutzer an, sich mit seinem UPN einzulösen/anzumelden.

Um dieses Problem vollständig zu vermeiden, sollten Administratoren sicherstellen, dass die UPN und E-Mails der Benutzer den gleichen Wert haben.

Im Workflow der B2B-Zusammenarbeit werden Benutzer*innen zum Verzeichnis hinzugefügt und während der Einlösung der Einladung, der App-Zuweisung usw. dynamisch aktualisiert. Die Aktualisierungs- und Schreibvorgänge erfolgen im Allgemeinen in einer Verzeichnisinstanz und müssen in allen Instanzen repliziert werden. Die Replikation wird durchgeführt, nachdem alle Instanzen aktualisiert wurden. Wenn das Objekt in einer Instanz geschrieben oder aktualisiert wurde und der Aufruf zum Abrufen dieses Objekts in einer anderen Instanz erfolgt ist, können bei der Replikation Wartezeiten auftreten. Wenn dies der Fall ist, führen Sie eine Aktualisierung aus, oder wiederholen Sie den Vorgang. Wenn Sie mit unserer API eine App schreiben, ist die Wiederholung des Vorgangs mit einem Backoff-Intervall ein sinnvolles Verfahren, um dieses Problem zu verringern.

Nächste Schritte

Was ist die Microsoft Entra B2B-Zusammenarbeit?