Share via

Allgemeine Überlegungen zur mandantenfähigen Benutzerverwaltung

  • Artikel

Dieser Artikel ist der dritte in einer Reihe von Artikeln, die Anleitungen für die Konfiguration und Bereitstellung von Benutzerlebenszyklusverwaltung in mandantenfähigen Microsoft Entra-Umgebungen enthalten. In den folgenden Artikeln der Reihe finden Sie weitere Informationen wie beschrieben.

Diese Anleitung hilft Ihnen, eine konsistente Benutzerlebenszyklusverwaltung zu erreichen. Die Lebenszyklusverwaltung umfasst das mandantenübergreifende Bereitstellen, Verwalten und Aufheben der Bereitstellung von Benutzer*innen mithilfe der verfügbaren Azure-Tools, einschließlich Microsoft Entra B2B Collaboration (B2B) und die mandantenübergreifende Synchronisierung.

Die Synchronisierungsanforderungen richten sich nach dem speziellen Bedarf Ihrer Organisation. Wenn Sie eine Lösung für die Anforderungen Ihrer Organisation entwerfen, können Ihnen die folgenden Überlegungen in diesem Artikel bei der Identifizierung der optimalen Möglichkeiten helfen.

  • Mandantenübergreifende Synchronisierung
  • Verzeichnisobjekt
  • Bedingter Microsoft Entra-Zugriff
  • Zusätzliche Zugriffssteuerung
  • Office 365

Mandantenübergreifende Synchronisierung

Die mandantenübergreifende Synchronisierung kann die Probleme der Zusammenarbeit und des Zugriffs in Organisationen mit mehreren Mandanten lösen. Die folgende Tabelle enthält häufige Anwendungsfälle für die Synchronisierung. Bei Anwendungsfällen, bei denen Überlegungen in Hinblick auf mehrere Zusammenarbeitsmuster eine Rolle spielen, können Sie sowohl die mandantenübergreifende Synchronisierung als auch die benutzerdefinierte Entwicklung verwenden.

Anwendungsfall Mandantenübergreifende Synchronisierung Benutzerdefinierte Entwicklung
Benutzerlebenszyklusverwaltung Check mark icon Check mark icon
Dateifreigabe und App-Zugriff Check mark icon Check mark icon
Unterstützung der Synchronisierung mit/aus Sovereign Clouds Check mark icon
Steuern der Synchronisierung aus dem Ressourcenmandanten Check mark icon
Synchronisierungsgruppenobjekte Check mark icon
Synchronisierungs-Manager-Links Check mark icon Check mark icon
Autoritätsquelle auf Attributebene Check mark icon
Microsoft Entra schreibt in Microsoft Windows Server Active Directory zurück Check mark icon

Überlegungen zu Verzeichnisobjekten

Einladen eines externen Benutzers mit UPN oder SMTP-Adresse

Microsoft Entra B2B erwartet, dass der UserPrincipalName (UPN) eines Benutzers die primäre Simple Mail Transfer Protocol (SMTP) (E-Mail) Adresse für den Versand von Einladungen ist. Wenn der UPN des Benutzers mit der primären SMTP-Adresse identisch ist, zeigt B2B die erwartete Funktion. Wenn der UPN jedoch von der primären SMTP-Adresse des externen Benutzers abweicht, kann er möglicherweise nicht aufgelöst werden, wenn ein Benutzer eine Einladung annimmt, was eine Herausforderung sein kann, wenn Sie den echten UPN des Benutzers nicht kennen. Sie müssen den UPN ermitteln und verwenden, wenn Sie Einladungen für B2B senden.

Im Abschnitt Microsoft Exchange Online dieses Artikels wird erläutert, wie Sie die standardmäßige primäre SMTP-Adresse für externe Benutzer ändern. Dieses Verfahren ist hilfreich, wenn alle E-Mails und Benachrichtigungen für einen externen Benutzer an die tatsächliche primäre SMTP-Adresse und nicht an den UPN gesendet werden sollen. Dies kann erforderlich sein, wenn die UPN nicht für den Nachrichtenfluss geroutet werden kann.

Konvertieren des Benutzertyps (UserType) eines externen Benutzers

Wenn Sie die Konsole zum manuellen Erstellen einer Einladung für ein externes Benutzerkonto verwenden, wird das Benutzerobjekt mit dem Typ „Gastbenutzer“ erstellt. Mit anderen Verfahren zum Erstellen von Einladungen können Sie statt einem externen Gastkonto einen anderen Benutzertyp festlegen. Wenn Sie die API verwenden, können Sie beispielsweise konfigurieren, ob es sich um ein externes Mitgliedskonto oder ein externes Gastkonto handelt.

Wenn Sie ein externes Gastkonto in ein externes Mitgliedsbenutzerkonto konvertieren, können Probleme bei der Behandlung von B2B-Konten durch Exchange Online auftreten. Sie können Konten, die Sie als externe Mitgliedsbenutzer eingeladen haben, nicht per E-Mail aktivieren. Um ein externes Mitgliedskonto per E-Mail zu aktivieren, verwenden Sie am besten den folgenden Ansatz.

  • Laden Sie die organisationsübergreifenden Benutzer als externe Gastbenutzerkonten ein.
  • Zeigen Sie die Konten in der GAL an.
  • Legen Sie „UserType“ auf „Member“ fest.

Wenn Sie diesen Ansatz verwenden, werden die Konten in Exchange Online und Office 365 als MailUser-Objekte angezeigt. Beachten Sie außerdem, dass es ein Timingproblem gibt. Stellen Sie sicher, dass der Benutzer in der GAL angezeigt wird. Überprüfen Sie dazu, ob die Microsoft Entra-Benutzereigenschaft „ShowInAddressList“ mit der Exchange Online PowerShell-Eigenschaft „HiddenFromAddressListsEnabled“ übereinstimmt (die beiden Eigenschaften verhalten sich umgekehrt zueinander). Der Abschnitt Microsoft Exchange Online dieses Artikels enthält weitere Informationen zum Ändern der Sichtbarkeit.

Es ist möglich, einen Mitgliedsbenutzer in einen Gastbenutzer zu konvertieren. Dies ist hilfreich bei internen Benutzern, deren Berechtigungen auf die Gastebene beschränkt werden sollen. Interne Gastbenutzer sind Benutzer, die keine Mitarbeiter Ihrer Organisation sind, für die Sie jedoch Benutzer- und Anmeldeinformationen verwalten. Dadurch können Sie möglicherweise die Lizenzierung des internen Gastbenutzers vermeiden.

Probleme bei der Verwendung von E-Mail-Kontaktobjekten anstelle von externen Benutzern oder Mitgliedern

Sie können Benutzer aus einem anderen Mandanten mithilfe einer herkömmlichen GAL-Synchronisierung darstellen. Wenn Sie nicht die Microsoft Entra B2B-Zusammenarbeit verwenden, sondern eine GAL-Synchronisierung ausführen, wird ein E-Mail-Kontaktobjekt erstellt.

  • Ein E-Mail-Kontaktobjekt und ein E-Mail-aktiviertes externes Mitglied bzw. Gastbenutzer können nicht gleichzeitig im selben Mandanten mit derselben E-Mail-Adresse vorhanden sein.
  • Wenn bei einem eingeladenen Benutzer für dieselbe E-Mail-Adresse ein E-Mail-Kontaktobjekt vorhanden ist, wird der externe Benutzer zwar erstellt, jedoch nicht E-Mail-aktiviert.
  • Wenn der E-Mail-aktivierte externer Benutzer mit derselben E-Mail-Adresse vorhanden ist, löst der Versuch, ein E-Mail-Kontaktobjekt zu erstellen, zum Erstellungszeitpunkt eine Ausnahme aus.

Hinweis

Die Verwendung von E-Mail-Kontakten erfordert Active Directory Services (AD DS) oder Exchange Online PowerShell. Microsoft Graph stellt keinen API-Aufruf zum Verwalten von Kontakten bereit.

In der folgenden Tabelle werden die Ergebnisse von E-Mail-Kontaktobjekten und externen Benutzerstatus angezeigt.

Vorhandener Zustand Bereitstellungsszenario Effektives Ergebnis
Ohne B2B-Mitglied einladen Nicht-E-Mail aktivierter Mitgliedsbenutzer. Beachten Sie den wichtigen Hinweis weiter oben.
Ohne B2B-Gastbenutzer einladen E-Mail-aktivierter externer Benutzer.
E-Mail-Kontaktobjekt vorhanden B2B-Mitglied einladen Fehler. Konflikt von Proxyadressen.
E-Mail-Kontaktobjekt vorhanden B2B-Gastbenutzer einladen E-Mail-Kontakt und Nicht-E-Mail-aktivierter externer Benutzer. Beachten Sie den wichtigen Hinweis weiter oben.
E-Mail-aktivierter externer Gastbenutzer E-Mail-Kontaktobjekt erstellen Fehler
E-Mail-aktivierter externer Mitgliedsbenutzer vorhanden E-Mail-Kontakt erstellen Fehler

Microsoft empfiehlt die Verwendung der Microsoft Entra B2B-Zusammenarbeit (anstelle der herkömmlichen GAL-Synchronisierung), um Folgendes zu erstellen:

  • Externe Benutzer, die Sie für die Anzeige in der GAL aktivieren.
  • Externe Mitgliedsbenutzer, die standardmäßig in der GAL angezeigt werden, aber nicht E-Mail-aktiviert sind.

Sie können optional das E-Mail-Kontaktobjekt verwenden, um Benutzer in der GAL anzuzeigen. Bei diesem Ansatz wird eine GAL integriert, ohne weitere Berechtigungen bereitzustellen, da E-Mail-Kontakte keine Sicherheitsprinzipale sind.

Verwenden Sie den empfohlenen Ansatz für folgende Zielsetzungen:

  • Einladen von Gastbenutzern.
  • Anzeigen der Gastbenutzer in der GAL.
  • Deaktivieren der Gastbenutzer durch Blockieren der Anmeldung.

Ein E-Mail-Kontaktobjekt kann nicht in ein Benutzerobjekt konvertiert werden. Daher können Eigenschaften, die einem E-Mail-Kontaktobjekt zugeordnet sind, nicht übertragen werden (z. B. Gruppenmitgliedschaften und andere Ressourcenzugriffe). Bei der Verwendung eines E-Mail-Kontaktobjekts zur Darstellung eines Benutzers gibt es folgende Probleme.

  • Office 365-Gruppen Office 365-Gruppen unterstützen Richtlinien zur Steuerung der Benutzertypen, die Mitglieder von Gruppen sein und mit Inhalten interagieren dürfen, die Gruppen zugeordnet sind. Eine Gruppe kann zum Beispiel nicht erlauben, dass Gastbenutzer ihr beitreten. Diese Richtlinien können keine E-Mail-Kontaktobjekte steuern.
  • Microsoft Entra Self-Service Group Management (SSGM). E-Mail-Kontaktobjekte sind nicht berechtigt, Mitglieder von Gruppen zu sein, die das SSGM-Feature verwenden. Für die Verwaltung von Gruppen mit Empfängern, die als Kontakte und nicht als Benutzerobjekte dargestellt werden, benötigen Sie möglicherweise weitere Tools.
  • Microsoft Entra ID Governance, Access Reviews. Sie können die Zugriffsüberprüfungsfunktion verwenden, um die Mitgliedschaft einer Office 365-Gruppe zu überprüfen und zu bestätigen. Zugriffsüberprüfungen basieren auf Benutzerobjekten. Durch E-Mail-Kontaktobjekte dargestellte Mitglieder fallen nicht in den Bereich der Zugriffsüberprüfungen.
  • Microsoft Entra ID Governance, Entitlement Management (EM). Wenn Sie die Berechtigungsverwaltung (Entitlement Management, EM) verwenden, um im EM-Portal des Unternehmens Self-Service-Zugriffsanforderungen für externe Benutzer zu aktivieren, wird zeitgleich mit der Anforderung ein Benutzerobjekt erstellt. E-Mail-Kontaktobjekte werden nicht unterstützt.

Überlegungen zum bedingten Zugriff in Microsoft Entra

Der Status des Benutzers, Geräts oder Netzwerks im Basismandanten des Benutzers wird nicht an den Ressourcenmandanten übermittelt. Daher erfüllt ein externer Benutzer möglicherweise nicht die Richtlinien für bedingten Zugriff, welche die folgenden Kontrollen verwendet.

Wo dies zulässig ist, können Sie dieses Verhalten mit mandantenübergreifenden Zugriffseinstellungen (CTAS) außer Kraft setzen, welche die Multi-Faktor-Authentifizierung und die Gerätekonformität des Hauptmandanten berücksichtigen.

  • Mehrstufige Authentifizierung erforderlich Wenn CTAS nicht konfiguriert ist, muss ein externer Benutzer die Multi-Faktor-Authentifizierung im Ressourcenmandanten registrieren/reagieren (auch wenn die Multi-Faktor-Authentifizierung im Hauptmandanten erfüllt wurde), was zu mehreren Multi-Faktor-Authentifizierungsproblemen führt. Wenn sie ihre Multi-Faktor-Authentifizierungsnachweise zurücksetzen müssen, sind sie sich möglicherweise nicht bewusst, dass mehrere Multi-Faktor-Authentifizierungsnachweise in verschiedenen Mandanten registriert sind. Aus diesem Grund muss sich der Benutzer möglicherweise an einen Administrator im Basismandanten, Ressourcenmandanten oder in beiden Mandanten wenden.
  • Markieren des Geräts als konform erforderlich Ohne die Konfiguration von mandantenübergreifenden Zugriffseinstellungen wird die Geräteidentität nicht im Ressourcenmandanten registriert, sodass der externe Benutzer nicht auf Ressourcen zugreifen kann, die dieses Steuerelement erfordern.
  • Anfordern eines Microsoft Entra hybrid eingebundenen Geräts. Ohne die Konfiguration von mandantenübergreifenden Zugriffseinstellungen wird die Geräteidentität nicht im Ressourcenmandanten (oder im lokalen Active Directory, das mit dem Ressourcenmandanten verbunden ist) registriert, sodass der externe Benutzer nicht auf Ressourcen zugreifen kann, die dieses Steuerelement erfordern.
  • Genehmigte Client-App oder App-Schutzrichtlinie erforderlich. Wenn CTAS nicht konfiguriert ist, können externe Benutzer die Verwaltung mobiler Anwendungen von Intune (MAM)-Richtlinie für den Ressourcenmandanten nicht anwenden, da sie ebenfalls eine Geräteregistrierung erfordert. Die Richtlinie für den bedingten Zugriff des Ressourcenmandanten, die diese Kontrolle verwendet, erlaubt es dem MAM-Schutz des Basismandanten nicht, die Richtlinie zu erfüllen. Schließen Sie externe Benutzer von jeder MAM-basierten Richtlinie für bedingten Zugriff aus.

Obwohl Sie die folgenden Bedingungen für bedingten Zugriff verwenden können, müssen Sie sich außerdem der möglichen Auswirkungen bewusst sein.

  • Anmelderisiko und Benutzerrisiko. Das Benutzerverhalten im Basismandanten bestimmt zum Teil das Anmelde- und Benutzerrisiko. Im Basismandanten werden die Daten und die Risikobewertung gespeichert. Wenn die Richtlinien eines Ressourcenmandanten einen externen Benutzer blockieren, kann ein Ressourcenmandantenadministrator den Zugriff möglicherweise nicht aktivieren. Unter Identity Protection und B2B-Benutzer wird erläutert, wie Identity Protection kompromittierte Anmeldeinformationen für Microsoft Entra-Benutzer erkennt.
  • Standorte. Die im Ressourcenmandanten festgelegten Definitionen benannter Standorte werden zum Bestimmen des Geltungsbereichs der Richtlinie verwendet. Im Geltungsbereich der Richtlinie werden vertrauenswürdige Standorte, die im Basismandanten verwaltet werden, nicht ausgewertet. Wenn Ihre Organisation vertrauenswürdige Standorte mandantenübergreifend freigeben möchte, definieren Sie die Standorte in jedem Mandanten, für den Sie Ressourcen und Richtlinien für bedingten Zugriff definieren.

Absicherung Ihrer mandantenfähigen Umgebung

Die Sicherheitsprüfliste und die bewährten Methoden enthalten Anleitungen zum Schutz Ihres Mandanten. Stellen Sie sicher, dass diese bewährten Methoden befolgt werden, und überprüfen Sie sie für alle Mandanten, mit denen Sie eng zusammenarbeiten.

Bedingter Zugriff

Überlegungen zum Konfigurieren der Zugriffssteuerung sind im Folgenden aufgeführt.

  • Definieren Sie Zugriffssteuerungsrichtlinien zum Steuern des Zugriffs auf Ressourcen.
  • Entwerfen Sie die Richtlinien für bedingten Zugriff unter Berücksichtigung externer Benutzer.
  • Erstellen Sie Richtlinien speziell für externe Benutzer.
  • Erstellen Sie dedizierte Richtlinien für bedingten Zugriff für externe Konten.

Überwachung Ihrer mandantenfähigen Umgebung

  • Überwachen mithilfe der Benutzeroberfläche für Überwachungsprotokolle, der API oder der Azure Monitor-Integration (für proaktive Warnungen) Sie Änderungen an mandantenübergreifenden Zugriffsrichtlinien. Die Überwachungsereignisse verwenden die Kategorien „CrossTenantAccessSettings“ und „CrossTenantIdentitySyncSettings“. Durch die Überwachung von Überwachungsereignissen unter diesen Kategorien können Sie alle mandantenübergreifenden Änderungen der Zugriffsrichtlinien in Ihrem Mandanten identifizieren und Maßnahmen ergreifen. Beim Erstellen von Warnungen in Azure Monitor können Sie eine Abfrage wie die folgende erstellen, um mandantenübergreifende Zugriffsrichtlinienänderungen zu erkennen.
AuditLogs
| where Category contains "CrossTenant"
  • Überwachen Sie den Anwendungszugriff in Ihrem Mandanten mithilfe des Dashboards für mandantenübergreifende Zugriffsaktivitäten. So können Sie sehen, wer auf Ressourcen in Ihrem Mandanten zugreift und woher diese Benutzer*innen stammen.

Dynamische Gruppen

Wenn Ihre Organisation die Bedingung Alle Benutzer dynamische Gruppe in Ihrer vorhandenen Richtlinie für bedingten Zugriff verwendet, wirkt sich diese Richtlinie auf externe Benutzer aus, da sie im Geltungsbereich Alle Benutzer enthalten sind.

Anfordern der Benutzerzuweisung für Anwendungen

Wenn für eine Anwendung die Eigenschaft Benutzerzuweisung erforderlich?auf Nein festgelegt ist, können externe Benutzer auf die Anwendung zugreifen. Anwendungsadministratoren müssen die Auswirkungen der Zugriffssteuerung kennen, insbesondere dann, wenn die Anwendung vertrauliche Informationen enthält. Unter Beschränken Ihrer Microsoft Entra-App auf eine Gruppe von Benutzern in einem Microsoft Entra-Mandanten wird erläutert, wie registrierte Anwendungen in einem Microsoft Entra-Mandanten standardmäßig für alle Benutzer des Mandanten verfügbar sind, die sich erfolgreich authentifizieren.

Privileged Identity Management

Minimieren Sie den dauerhaften Administratorzugriff, indem Sie Privileged Identity Management aktivieren.

Eingeschränkte Verwaltungseinheiten

Wenn Sie Sicherheitsgruppen verwenden, um zu steuern, wer sich im Bereich der mandantenübergreifenden Synchronisierung befindet, sollten Sie einschränken, wer Änderungen an der Sicherheitsgruppe vornehmen kann. Minimieren Sie die Anzahl der Besitzer*innen der Sicherheitsgruppen, die dem Auftrag für die mandantenübergreifende Synchronisierung zugewiesen sind, und schließen Sie die Gruppen in eine eingeschränkte Verwaltungseinheit ein. Dadurch wird die Anzahl der Personen begrenzt, die Gruppenmitglieder hinzufügen oder entfernen und Konten mandantenübergreifend bereitstellen können.

Weitere Überlegungen zur Zugriffssteuerung

Geschäftsbedingungen

Die Nutzungsbedingungen für Microsoft Entra bieten Organisationen eine einfache Möglichkeit, Informationen für Endbenutzer anzuzeigen. Sie können anhand der Nutzungsbedingungen festlegen, dass externe Benutzer die Nutzungsbedingungen genehmigen müssen, bevor sie Zugriff auf Ihre Ressourcen erhalten.

Lizenzierungsüberlegungen für Gastbenutzer mit Microsoft Entra-ID P1- oder P2-Features

Die Preise für Microsoft Entra External ID werden anhand der monatlich aktiven Benutzer (Monthly Active Users, MAU) ermittelt. Die Anzahl aktiver Benutzer entspricht der Anzahl eindeutiger Benutzer mit Authentifizierungsaktivität innerhalb eines Kalendermonats. Unter Abrechnungsmodell für Microsoft Entra External ID wird die Preisgestaltung auf Basis der monatlich aktiven Benutzer (MAU) beschrieben. Dabei handelt es sich um die Anzahl eindeutiger Benutzer mit Authentifizierungsaktivität innerhalb eines Kalendermonats.

Überlegungen zu Office 365

Die folgenden Informationen gelten für Office 365 im Zusammenhang mit den Szenarien in diesem Artikel. Ausführliche Informationen finden Sie unter Microsoft-mandantenübergreifende Zusammenarbeit 365 beschreibt Optionen wie die Verwendung eines zentralen Speicherorts für Dateien und Konversationen, die gemeinsame Nutzung von Kalendern, die Verwendung von IM, Audio-/Videoanrufen für die Kommunikation und die Sicherung des Zugangs zu Ressourcen und Anwendungen.

Microsoft Exchange Online

In Exchange Online werden bestimmte Funktionen für externe Benutzer eingeschränkt. Sie können die Grenzwerte senken, indem Sie externe Mitgliedsbenutzer anstelle von externen Gastbenutzern erstellen. Die Unterstützung für externe Benutzer weist die folgenden Einschränkungen auf.

  • Sie können einem externen Benutzer eine Exchange Online-Lizenz zuweisen. Sie können für ihn jedoch kein Token für Exchange Online ausstellen. Im Ergebnis kann er nicht auf die Ressource zugreifen.
    • Externe Benutzer können keine freigegebenen oder delegierten Exchange Online-Postfächer im Ressourcenmandanten verwenden.
    • Sie können einem freigegebenen Postfach zwar externe Benutzer zuweisen, die jedoch nicht darauf zugreifen können.
  • Sie müssen externe Benutzer einblenden, um sie in die GAL aufzunehmen. Standardmäßig sind sie ausgeblendet.
    • Ausgeblendete externe Benutzer werden zeitgleich mit der Einladung erstellt. Die Erstellung ist unabhängig davon, ob der Benutzer seine Einladung eingelöst hat. Wenn also alle externen Benutzer eingeblendet werden, enthält die Liste Benutzerobjekte von externen Benutzern, die eine Einladung nicht eingelöst haben. Je nach Szenario können Sie die aufgelisteten Objekte gebrauchen oder nicht.
    • Externe Benutzer können mit der Exchange Online PowerShell ausgeblendet werden. Sie können das PowerShell-Cmdlet Set-MailUser ausführen, um die Eigenschaft HiddenFromAddressListsEnabled auf den Wert $false festzulegen.

Beispiel:

Set-MailUser [ExternalUserUPN] -HiddenFromAddressListsEnabled:\$false\

Dabei entspricht ExternalUserUPN dem berechneten Attribut UserPrincipalName.

Beispiel:

Set-MailUser externaluser1_contoso.com#EXT#@fabricam.onmicrosoft.com\ -HiddenFromAddressListsEnabled:\$false

Externe Benutzer können im Microsoft 365 Admin Center sichtbar gemacht werden.

  • Aktualisierungen von Exchange-spezifischen Eigenschaften wie PrimarySmtpAddress, ExternalEmailAddress, EmailAdresses und MailTip können nur mithilfe von Exchange Online PowerShell festgelegt werden. Das Exchange Online Admin Center erlaubt es Ihnen nicht, die Attribute über die grafische Benutzeroberfläche (GUI) zu ändern.

Wie oben gezeigt, können Sie das PowerShell-Cmdlet Set-MailUser für E-Mail-spezifische Eigenschaften verwenden. Es gibt Benutzereigenschaften, die Sie mit dem PowerShell-Cmdlet Set-User ändern können. Die meisten Eigenschaften können Sie mit den Azure AD Graph-APIs bearbeiten.

Eines der nützlichsten Features von Set-MailUser ist die Möglichkeit, die Eigenschaft EmailAddresses zu bearbeiten. Dieses mehrwertige Attribut kann mehrere Proxyadressen für den externen Benutzer enthalten (z. B. SMTP, X500, Session Initiation Protocol (SIP)). Standardmäßig verfügt ein externer Benutzer über die primäre SMTP-Adresse, die mit UserPrincipalName (UPN) korreliert ist. Wenn Sie das primäre SMTP ändern oder SMTP-Adressen hinzufügen möchten, können Sie diese Eigenschaft einstellen. Sie können nicht das Exchange Admin Center verwenden, sondern müssen Exchange Online PowerShell nutzen. Unter Hinzufügen oder Entfernen von E-Mail-Adressen für ein Postfach in Exchange Online werden verschiedene Möglichkeiten zum Ändern einer mehrwertigen Eigenschaft wie EmailAddresses aufgezeigt.

Microsoft SharePoint in Microsoft 365

SharePoint in Microsoft 365 hat seine eigenen dienstspezifischen Berechtigungen, je nachdem, ob der Benutzer (intern oder extern) vom Typ Mitglied oder Gast im Microsoft Entra-Mandanten ist. Unter Externe Office 365-Freigaben und Microsoft Entra B2B-Zusammenarbeit wird beschrieben, wie Sie die Integration mit SharePoint und OneDrive zum Freigeben von Dateien, Ordnern, Listenelementen, Dokumentbibliotheken und Websites für Personen außerhalb Ihrer Organisation aktivieren und gleichzeitig Azure B2B für die Authentifizierung und Verwaltung verwenden können.

Nachdem Sie die externe Freigabe in SharePoint in Microsoft 365 aktiviert haben, ist die Möglichkeit, in der Personenauswahl von SharePoint in Microsoft 365 nach Gastbenutzern zu suchen, standardmäßig OFF. Diese Einstellung verhindert, dass Gastbenutzer auffindbar sind, wenn sie aus der Exchange Online-GAL ausgeblendet werden. Sie können Gastbenutzer auf zwei Arten sichtbar machen (die sich nicht gegenseitig ausschließen):

  • Sie können die Möglichkeit zum Suchen nach Gastbenutzern auf verschiedene Weise aktivieren:
  • Gastbenutzer, die in der Exchange Online GAL sichtbar sind, sind auch in der Personenauswahl von SharePoint in Microsoft 365 sichtbar. Die Konten werden unabhängig von der Einstellung für ShowPeoplePickerSuggestionsForGuestUsers angezeigt.

Microsoft Teams

Microsoft Teams verfügt über Features zum Einschränken des Zugriffs basierend auf dem Benutzertyp. Änderungen am Benutzertyp können sich auf den Inhaltszugriff und die verfügbaren Features auswirken. Microsoft Teams fordert die Benutzer auf, mit dem Mechanismus „Mandantenwechsel“ ihres Team-Clients ihren Kontext zu ändern, wenn sie außerhalb ihres Basismandanten in Teams arbeiten.

Für den Mechanismus „Mandantenwechsel“ von Microsoft Teams werden Benutzer möglicherweise aufgefordert, den Kontext ihres Teams-Clients manuell zu ändern, wenn sie außerhalb ihres Basismandanten in Teams arbeiten.

Mithilfe eines Teams-Verbunds können Sie Teams-Benutzern aus einer anderen externen Domäne die Möglichkeit geben, Ihre Benutzern zu suchen, anzurufen, mit ihnen zu chatten und Besprechungen einzurichten. Unter Verwalten externer Besprechungen und Chats mit Personen und Organisationen mithilfe von Microsoft-Identitäten wird beschrieben, wie Sie Benutzern in Ihrer Organisation Besprechungen und Chats mit Personen außerhalb der Organisation, die Microsoft als Identitätsanbieter verwenden, erlauben können.

Lizenzierungsüberlegungen für Gastbenutzer in Teams

Wenn Sie Azure B2B mit Office 365-Workloads verwenden, zählen Instanzen, in denen Gastbenutzer (intern oder extern) nicht die gleiche Erfahrung wie Mitgliedsbenutzer haben, zu den wichtigsten Überlegungen.

  • Microsoft-Gruppen.Unter Hinzufügen von Gästen zu Office 365-Gruppen wird beschrieben, wie Sie und Ihr Team mithilfe des Gastzugriffs in Microsoft 365-Gruppen mit Personen, die sich außerhalb Ihrer Organisation befinden, zusammenarbeiten können, indem Sie ihnen Zugriff auf Gruppenunterhaltungen, Dateien, Kalendereinladungen und das Gruppennotizbuch gewähren.
  • Microsoft TeamsUnter Funktionen für Teambesitzer, Mitglieder und Gäste in Teams finden Sie weitere Informationen zur Gastkontofunktionalität in Microsoft Teams. Mithilfe externer Mitgliedsbenutzer können Sie eine realitätsgetreue Erfahrung in Teams aktivieren.
    • Bei mehreren Mandanten in unserer Commercial Cloud können Benutzer, die in ihrem Hauptmandanten lizenziert sind, auf Ressourcen in einem anderen Mandanten innerhalb derselben juristischen Person zugreifen. Über die Einstellung „Externe Mitglieder“ können Sie den Zugriff ohne weitere Lizenzgebühren gewähren. Diese Einstellung gilt für SharePoint, OneDrive for Business, Teams und Gruppen.
    • Für mehrere Mandanten in anderen Microsoft-Clouds und für mehrere Mandanten in verschiedenen Clouds sind B2B-Mitgliedslizenzprüfungen noch nicht verfügbar. Die Verwendung von B2B-Mitglied mit Teams erfordert eine zusätzliche Lizenz für jedes B2B-Mitglied. Dies kann sich auch auf andere Workloads wie Power BI auswirken.
    • Die Verwendung von B2B-Mitgliedern für Mandanten, die nicht Teil derselben juristischen Einheit sind, unterliegt zusätzlichen Lizenzanforderungen.
  • Identity Governance-Features. Für die Berechtigungsverwaltung und Zugriffsüberprüfungen sind möglicherweise weitere Lizenzen für externe Benutzer erforderlich.
  • Weitere Produkte. Produkte wie Dynamics Kundenbeziehungsmanagement (CRM) erfordern möglicherweise eine Lizenzierung in jedem Mandanten, in dem ein Benutzer vertreten ist.

Nächste Schritte

  • Einführung in die mandantenfähige Benutzerverwaltung ist der erste in einer Reihe von Artikeln, die Anleitungen für die Konfiguration und Bereitstellung der Benutzerlebenszyklusverwaltung in mandantenfähigen Microsoft Entra-Umgebungen enthalten.
  • Szenarien für die mandantenfähige Benutzerverwaltung beschreibt drei Szenarien, für die Sie die Funktionen der mandantenfähigen Benutzerverwaltung nutzen können: Vom Endbenutzer initiiert, per Skript gesteuert und automatisiert.
  • Gemeinsame Lösungen für die mandantenübergreifende Benutzerverwaltung, wenn eine einzelne Mandantenfähigkeit für Ihr Szenario nicht ausreicht. Dieser Artikel bietet einen Leitfaden für diese Herausforderungen: Automatische Benutzerlebenszyklusverwaltung und Ressourcenzuordnung über Mandanten hinweg, gemeinsame Nutzung von lokalen Anwendungen über Mandanten hinweg.
  • Microsoft Collaboration Framework für die US Defense Industrial Base beschreibt Referenzarchitekturen für Identitäten, die für mandantenfähige Organisationen (MTO) geeignet sind, insbesondere für solche, die in der US Sovereign Cloud mit Microsoft 365 US Government (GCC High) und Azure Government bereitgestellt werden. Es befasst sich auch mit der externen Zusammenarbeit in stark regulierten Umgebungen, einschließlich Organisationen, die entweder in der Commercial oder in der US Sovereign Cloud verwaltet werden.