Einführung in die mehrstufige Benutzerverwaltung

  • Artikel

Dieser Artikel ist der erste in einer Reihe von Artikeln, die Leitfäden für die Konfiguration und Bereitstellung von Benutzerlebenszyklusverwaltung in mandantenfähigen Microsoft Entra-Umgebungen enthalten. In den folgenden Artikeln der Reihe finden Sie weitere Informationen wie beschrieben.

Diese Anleitung hilft Ihnen, eine konsistente Benutzerlebenszyklusverwaltung zu erreichen. Die Lebenszyklusverwaltung umfasst das mandantenübergreifende Bereitstellen, Verwalten und Aufheben der Bereitstellung von Benutzer*innen mithilfe der verfügbaren Azure-Tools, einschließlich Microsoft Entra B2B Collaboration (B2B) und die mandantenübergreifende Synchronisierung.

Die Bereitstellung von Benutzern in einem einzelnen Microsoft Entra-Mandanten bietet eine einheitliche Ansicht der Ressourcen und einen Richtlinien- bzw. Steuerelementsatz. Dieser Ansatz ermöglicht eine konsistente Benutzerlebenszyklusverwaltung.

Von Microsoft wird nach Möglichkeit ein einzelner Mandant empfohlen. Mehrere Mandanten zu haben, kann einzigartige Anforderungen an die mandantenübergreifende Zusammenarbeit und Verwaltung mit sich bringen. Wenn eine Konsolidierung auf einen einzigen Microsoft Entra-Mandanten nicht möglich ist, können Unternehmen mit mehreren Mandanten aus folgenden Gründen zwei oder mehr Microsoft Entra-Mandanten umfassen.

  • Fusionen
  • Käufe
  • Desinvestitionen
  • Zusammenarbeit über öffentliche, souveräne und regionale Clouds hinweg
  • Politische oder organisatorische Strukturen, welche die Konsolidierung in einem einzelnen Microsoft Entra-Mandanten verbieten

Microsoft Entra B2B Collaboration

Mit der Microsoft Entra B2B-Zusammenarbeit (B2B) können Sie die Anwendungen und Dienste Ihres Unternehmens sicher mit externen Benutzer teilen. Wenn Benutzer aus einem beliebigen Organisation stammen können, hilft Ihnen B2B dabei, die Kontrolle über den Zugriff auf Ihre IT-Umgebung und Ihre Daten zu behalten.

Sie können die B2B-Zusammenarbeit verwenden, um den Benutzern Ihrer Organisation externen Zugriff auf mehrere von Ihnen verwaltete Mandanten bereitzustellen. Traditionell kann der Zugriff externer B2B-Benutzer den Zugriff für Benutzer autorisieren, die nicht von Ihrem eigenen Unternehmen verwaltet werden. Der Zugriff externer Benutzer kann jedoch den Zugriff über mehrere Mandanten hinweg verwalten, die von Ihrer Organisation verwaltet werden.

Ein Bereich, der bei der B2B-Zusammenarbeit mit Microsoft Entra für Verwirrung sorgt, sind die Eigenschaften eines B2B-Gastbenutzers. Der Unterschied zwischen internen und externen Benutzerkonten und zwischen Mitglieds- und Gastbenutzertypen trägt zur Verwirrung bei. Anfänglich sind alle internen Benutzer Mitgliederbenutzer, deren UserType-Attribut auf Member (Mitgliederbenutzer) festgelegt ist. Ein interner Benutzer verfügt in Microsoft Entra ID über ein Konto, das autoritativ ist und sich bei dem Mandanten authentifiziert, in dem sich der Benutzer befindet. Ein Mitgliederbenutzer ist ein lizenzierter Benutzer mit standardmäßigen Berechtigungen auf Mitgliederebene im Mandanten. Behandeln Sie Mitgliederbenutzer als Mitarbeiter Ihrer Organisation.

Sie können einen internen Benutzer eines Mandanten als externen Benutzer in einen anderen Mandanten einladen. Ein externer Benutzer meldet sich mit einem externen Microsoft Entra-Konto, einer sozialen Identität oder einem anderen externen Identitätsanbieter an. Externe Benutzer authentifizieren sich außerhalb des Mandanten, zu dem Sie ihn einladen. Bei der ersten B2B-Version waren alle externen Benutzer von UserTypeGuest (Gastbenutzer). Gastbenutzer haben eingeschränkte Berechtigungen im Mandanten. Gastbenutzer können zum Beispiel nicht die Liste aller Benutzer oder Gruppen im Mandantenverzeichnis auflisten.

Für die UserType-Eigenschaft für Benutzer unterstützt B2B das Umdrehen des Bits von intern zu extern und umgekehrt, was zur Verwirrung beiträgt.

Sie können einen internen Benutzer von einem Mitgliederbenutzer in einen Gastbenutzer ändern. Sie können zum Beispiel einen nicht lizenzierten internen Gastbenutzer mit Berechtigungen auf Gastebene im Mandanten haben, was nützlich ist, wenn Sie ein Benutzerkonto und Anmeldeinformationen für eine Person bereitstellen, die nicht Mitarbeiter Ihrer Organisation ist.

Sie können einen externen Benutzer von Gastbenutzer zu Mitgliederbenutzer ändern, wodurch dem externen Benutzer Berechtigungen auf Mitgliederebene gewährt werden. Diese Änderung vorzunehmen ist nützlich, wenn Sie mehrere Mandanten für Ihre Organisation verwalten und einem Benutzer Berechtigungen auf Mitgliederebene für alle Mandanten erteilen müssen. Dieses Bedürfnis kann unabhängig davon auftreten, ob es sich um einen internen oder externen Benutzer in einem bestimmten Mandanten handelt. Mitgliedsbenutzer benötigen möglicherweise mehr Lizenzen.

Die meisten Dokumentationen für B2B bezeichnen einen externen Benutzer als Gastbenutzer. Die UserType-Eigenschaft wird so zusammengeführt, dass davon ausgegangen wird, dass alle Gastbenutzer extern sind. Wenn in der Dokumentation über einen Gastbenutzer spricht, wird davon ausgegangen, dass es sich um einen externen Gastbenutzer handelt. Dieser Artikel bezieht sich ausdrücklich und absichtlich auf externe und interne Benutzer sowie Mitgliedsbenutzer und Gastbenutzer.

Mandantenübergreifende Synchronisierung

Die mandantenübergreifende Synchronisierung ermöglicht es Organisationen mit mehreren Mandanten, Endbenutzern nahtlosen Zugriff und Zusammenarbeit zu ermöglichen, indem sie die bestehenden B2B-Funktionen für externe Zusammenarbeit nutzen. Das Feature ermöglicht keine mandantenübergreifende Synchronisierung zwischen Microsoft Sovereign Clouds (z. B. Microsoft 365 US Government GCC High, DOD oder Office 365 in China). Unter Allgemeine Überlegungen zur mandantenübergreifenden Benutzerverwaltung finden Sie Hilfe bei automatischen und benutzerdefinierten mandantenübergreifenden Synchronisierungsszenarien.

Sehen Sie, wie Arvind Harinder über die mandantenübergreifende Synchronisierungsfunktion in Microsoft Entra ID spricht (unten eingebettet).

Die folgenden konzeptionellen und Gewusst-wie-Artikel enthalten Informationen zur Microsoft Entra B2B-Zusammenarbeit und zur mandantenübergreifenden Synchronisierung.

Konzeptionelle Beiträge

  • Der Artikel B2B Best Practices enthält Empfehlungen, um Benutzern und Administratoren eine möglichst reibungslose Erfahrung zu bieten.
  • Der Artikel Externe B2B- und Office 365-Freigabe erläutert die Ähnlichkeiten und Unterschiede zwischen der Freigabe von Ressourcen über B2B, Office 365 und SharePoint/OneDrive.
  • Der Artikel Eigenschaften eines Microsoft Entra B2B-Zusammenarbeitsbenutzers beschreibt die Eigenschaften und Zustände des externen Benutzerobjekts in Microsoft Entra ID. Die Beschreibung enthält Details vor und nach dem Einlösen der Einladung.
  • Der Artikel B2B-Benutzertoken enthält Beispiele für die Bearertoken für B2B für einen externen Benutzer.
  • Der bedingte Zugriff für B2B beschreibt, wie der bedingte Zugriff und die Multi-Faktor-Authentifizierung für externe Benutzer funktionieren.
  • Die mandantenübergreifenden Zugriffseinstellungen bieten eine detaillierte Kontrolle darüber, wie externe Microsoft Entra-Organisationen mit Ihnen zusammenarbeiten (eingehender Zugriff) und wie Ihre Benutzer mit externen Microsoft Entra-Organisationen zusammenarbeiten (ausgehender Zugriff).
  • Der Artikel Übersicht über die mandantenübergreifende Synchronisierung erläutert, wie Sie die Erstellung, Aktualisierung und Löschung von Microsoft Entra B2B-Zusammenarbeitsbenutzern über mehrere Mandanten in einer Organisation hinweg automatisieren können.

Artikel mit Schrittanleitungen

Terminologie

Die folgenden Begriffe in Microsoft-Inhalten beziehen sich auf die mandantenfähige Zusammenarbeit in Microsoft Entra ID.

  • Ressourcenmandant: Der Microsoft Entra-Mandant, der die Ressourcen enthält, die Benutzer für andere Benutzer freigeben möchten.
  • Heimmandant: Der Microsoft Entra-Mandant, der Benutzer enthält, die Zugriff auf die Ressourcen im Ressourcenmandanten benötigen.
  • Interner Benutzer: Ein interner Benutzer verfügt über ein Konto, das autoritativ ist und sich bei dem Mandanten authentifiziert, in dem sich der Benutzer befindet.
  • Externer Benutzer: Ein externer Benutzer besitzt ein externes Microsoft Entra-Konto, eine soziale Identität oder einen anderen externen Identitätsanbieter, um sich anzumelden. Der externe Benutzer authentifiziert sich irgendwo außerhalb des Mandanten, zu dem Sie ihn eingeladen haben.
  • Mitgliederbenutzer: Ein interner oder externer Mitgliederbenutzer ist ein lizenzierter Benutzer mit standardmäßigen Berechtigungen auf Mitgliederebene im Mandanten. Behandeln Sie Mitgliederbenutzer als Mitarbeiter Ihrer Organisation.
  • Gastbenutzer: Ein interner oder externer Gastbenutzer verfügt über eingeschränkte Berechtigungen im Mandanten. Gastbenutzer sind keine Mitarbeiter Ihrer Organisation (z. B. Benutzer für Partner). Die meisten B2B-Dokumentationen beziehen sich auf B2B-Gäste, was sich in erster Linie auf externe Gastbenutzerkonten bezieht.
  • Benutzerlebenszyklusverwaltung: Dies ist der Prozess der Bereitstellung, Verwaltung und Aufheben der Bereitstellung des Benutzerzugriffs auf Ressourcen.
  • Einheitliche GAL: Jeder Benutzer in jedem Mandanten kann Benutzer aus jeder Organisation in ihrer globalen Adressliste (Global Address List, GAL) sehen.

Entscheidung, wie Ihre Anforderungen erfüllt werden

Die individuellen Anforderungen Ihrer Organisation beeinflussen Ihre Strategie für die mandantenübergreifende Verwaltung Ihrer Benutzer. Um eine wirksame Strategie zu entwickeln, sollten Sie die folgenden Anforderungen berücksichtigen.

  • Anzahl der Mandanten
  • Organisationstyp
  • Aktuelle Topologien
  • Spezifische Benutzersynchronisierungsanforderungen

Allgemeine Anforderungen

Unternehmen konzentrieren sich zunächst auf die Anforderungen, die sie für eine sofortige Zusammenarbeit benötigen. Diese Anforderungen werden manchmal auch als Tag Eins-Anforderungen bezeichnet und konzentrieren sich darauf,den Endbenutzern eine reibungslose Zusammenführung zu ermöglichen, ohne ihre Fähigkeit zur Wertschöpfung zu beeinträchtigen. Bei der Festlegung der Anforderungen für den Tag Eins und die administrativen Anforderungen sollten Sie die folgenden Anforderungen und Bedürfnisse berücksichtigen.

Kommunikationsanforderungen

  • Vereinheitlichte globale Adressliste: Jeder Benutzer kann alle anderen Benutzer in der GAL in ihrem Heimmandanten anzeigen.
  • Frei/Gebucht-Informationen: Ermöglichen Sie es Benutzern, die Verfügbarkeit des jeweils anderen zu ermitteln. Dies ist mit Organisationsbeziehungen in Exchange Online möglich.
  • Chat und Anwesenheit: Ermöglichen Sie es Benutzern, die Anwesenheit anderer zu bestimmen und Sofortnachrichten zu initiieren. Konfigurieren Sie dies über externen Zugriff in Microsoft Teams.
  • Buchen von Ressourcen wie Besprechungsräume: Ermöglichen Sie es Benutzern, Konferenzräumen oder anderen Ressourcen in der gesamten Organisation zu buchen. Die mandantenübergreifende Buchung eines Konferenzraums ist derzeit in Exchange Online nicht verfügbar.
  • Einzelne E-Mail-Domäne: Ermöglichen Sie es allen Benutzern, E-Mails aus einer einzelnen E-Mail-Domäne (beispielsweise users@contoso.com) zu senden und zu empfangen. Das Senden erfordert eine Lösung zum Umschreiben von E-Mail-Adressen.

Erforderliche Zugriffsberechtigungen

  • Dokumentzugriff: Ermöglicht es Benutzer, Dokumenten aus SharePoint, OneDrive und Teams freizugeben.
  • Administration: Erlaubt Administratoren die Verwaltung der Konfiguration von Abonnements und Diensten über mehrere Mandanten hinweg.
  • Anwendungszugriff: Erlaubt Endbenutzern den Zugriff auf Anwendungen in der gesamten Organisation.
  • Einmaliges Anmelden: Ermöglicht es Benutzern, organisationsübergreifend auf Ressourcen zuzugreifen, ohne dass weitere Anmeldeinformationen eingegeben werden müssen.

Muster für die Kontoerstellung

Microsoft-Mechanismen zum Erstellen und Verwalten des Lebenszyklus Ihrer externen Benutzerkonten folgen drei gängigen Mustern. Sie können die Muster verwenden, um Ihre Anforderungen zu definieren und zu implementieren. Wählen Sie das Muster aus, das am besten zu Ihrem Szenario passt, und konzentrieren Sie sich dann auf die Musterdetails.

Mechanismus Beschreibung Beste Eignung wenn
Vom Benutzer initiiert Administratoren in Ressourcenmandanten delegieren die Möglichkeit, externe Benutzer zum Mandanten, zu einer App oder zu einer Ressource einzuladen, an Benutzer innerhalb des Ressourcenmandanten. Sie können Benutzer aus dem Heimmandanten einladen, oder diese können sich einzeln registrieren. Einheitliche globale Adressliste am Tag Eins nicht erforderlich.
Skript erstellt Administratoren für Ressourcenmandanten stellen einen skriptbasierten Pull-Prozess bereit, um die Ermittlung und Bereitstellung von externen Benutzern für die Unterstützung von Freigabeszenarios zu automatisieren. Kleine Anzahl von Mandanten (z. B. zwei).
Automatisiert Administrator*innen für Ressourcenmandanten verwenden ein Identitätsbereitstellungssystem, um die Prozesse für die Bereitstellung und Aufhebung der Bereitstellung zu automatisieren. Sie benötigen eine mandantenübergreifende einheitliche globale Adressliste.

Nächste Schritte