Governance von Microsoft Teams-Gastbenutzer*innen

Dieses Beispielszenario unterstützt Benutzer*innen bei der Zusammenarbeit mit anderen Organisationen, indem identitäts- und Governancesteuerelemente für externe Benutzer*innen bereitgestellt werden, wenn Sie B2B-Zusammenarbeit von Microsoft Entra verwenden.

Aufbau

Laden Sie eine Visio-Datei dieser Architektur herunter.

Workflow

1. Ressourcenverzeichnis: Dies ist das Microsoft Entra-Verzeichnis, das Ressourcen wie Microsoft 365-Gruppen und -Teams enthält. In diesem Beispiel ist die Ressource ein Projektteam, das dem Zugriffspaket hinzugefügt wird, sodass externe Benutzer*innen außerhalb der Organisation Zugriff darauf anfordern können.

2. Externes Verzeichnis (verbundene Organisation): Dies ist das externe Microsoft Entra-Verzeichnis, das externe Benutzer*innen aus der verbundenen Organisation enthält. Diesen Benutzer*innen kann durch eine Richtlinie gestattet werden, Zugriff auf das Projektteam anzufordern.

3. Katalog 1: Ein Katalog ist ein Container für zugehörige Ressourcen und Zugriffspakete. Katalog 1 enthält das Projektteam und dessen Zugriffspaket.

   Kataloge ermöglichen die Delegierung, sodass Nicht-Administrator*innen Zugriffspakete erstellen können. Katalogbesitzer*innen können Ressourcen, die sie besitzen, zu einem Katalog hinzufügen.

4. Ressourcen: Dies sind die Ressourcen, die in den Zugriffspaketen angezeigt werden. Sie können Sicherheitsgruppen, Anwendungen und SharePoint Online-Websites umfassen. In diesem Beispiel ist es das Projektteam.

5. Zugriffspaket 1: Ein Zugriffspaket ist eine Sammlung von Ressourcen mit jeweiligen Zugriffstypen. Zugriffspakete werden verwendet, um den Zugriff für interne und externe Benutzer*innen zu steuern. In diesem Beispiel ist das Projektteam die Ressource mit einer einzelnen Richtlinie, die externen Benutzer*innen das Anfordern des Zugriffs ermöglicht. In diesem Beispiel müssen interne Benutzer*innen nicht die Microsoft Entra-Berechtigungsverwaltung verwenden. Sie werden dem Projektteam mithilfe von Microsoft Teams hinzugefügt.

6. Gruppe 1-Ressourcenrolle: Ressourcenrollen sind Berechtigungen, die einer Ressource zugeordnet und von ihr definiert werden. Eine Gruppe umfasst zwei Rollen: „Mitglied“ und „Besitzer“. SharePoint-Websites verfügen in der Regel über drei Rollen, können aber zusätzliche benutzerdefinierte Rollen aufweisen. Anwendungen können über benutzerdefinierte Rollen verfügen.

7. Externe Zugriffsrichtlinie: Dies ist die Richtlinie, die die Regeln für die Zuweisung zu einem Zugriffspaket definiert. In diesem Beispiel wird eine Richtlinie verwendet, um sicherzustellen, dass Benutzer*innen aus verbundenen Organisationen Zugriff auf das Projektteam anfordern können. Nachdem eine Anforderung gestellt wurde, ist wie in der Richtlinie definiert eine Genehmigung durch genehmigende Personen erforderlich. Die Richtlinie gibt auch Zeitlimits und Verlängerungseinstellungen an.

8. Genehmigende Person: Eine genehmigende Person genehmigt die Zugriffsanforderung. Dies können interne oder externe Benutzer*innen sein.

9. Anfordernde Person: Dies sind externe Benutzer*innen, die den Zugriff über das Mein Zugriff-Portal anfordern. Im Portal werden nur die Zugriffspakete angezeigt, die die anfordernde Person anfordern darf.

Anfordern des Zugriffs auf eine Ressource für Benutzer*innen außerhalb des Organisationsflows

Im Folgenden finden Sie einen allgemeinen Workflow, der zeigt, wie externen Benutzer*innen der Zugriff auf Microsoft 365-Gruppen oder -Teams gewährt wird. Dies schließt das Entfernen eines Gastkontos ein, wenn der Zugriff nicht mehr erforderlich ist oder ein Zeitlimit erreicht wird.

Komponenten

• Microsoft Entra ID bietet cloudbasierte Identitäts- und Zugriffsverwaltungsdienste, die Benutzer*innen die Möglichkeit bieten, sich anzumelden und auf Ressourcen zuzugreifen. Der Dienst verfügt über die folgenden Features und Funktionen:
  • Die Microsoft Entra-Berechtigungsverwaltung ist ein Identity Governance-Feature, mit dem Organisationen Identitäts- und Zugriffslebenszyklen nach Bedarf verwalten können, indem sie Workflows für Zugriffsanforderungen, Zugriffszuweisungen, Überprüfungen und Ablauf automatisieren.
  • Die Microsoft Entra B2B-Zusammenarbeit (Business-to-Business) wird von der Microsoft Entra-Berechtigungsverwaltung zum Erteilen des Zugriffs verwendet, sodass interne Benutzer*innen mit externen Benutzer*innen zusammenarbeiten können.
  • Mithilfe von Microsoft Entra-Zugriffsüberprüfungen können Unternehmen Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen sowie Rollenzuweisungen effizient verwalten. Der Benutzerzugriff kann regelmäßig überprüft werden, um sicherzustellen, dass nur die richtigen Personen weiterhin Zugriff haben.
  • Der Microsoft Teams-Gastzugriff ermöglicht externen Benutzer*innen den Zugriff auf Teams, Kanäle, Ressourcen, Chats und Anwendungen, während Sie die Kontrolle über Ihre Unternehmensressourcen behalten.
  • Mit dem bedingten Zugriff von Microsoft Entra werden zur Entscheidungsfindung und zum Durchsetzen von Organisationsrichtlinien Signale zusammengeführt. Der bedingte Zugriff wurde in dieser Lösung zum Erzwingen der Zustimmung zu Nutzungsbedingungen und der Multi-Faktor-Authentifizierung sowie zum Festlegen von Sitzungstimeouts für Gastkonten verwendet.

Alternativen

Eine alternative Lösung für die Microsoft Entra-Berechtigungsverwaltung besteht darin, internen Benutzer*innen das Einladen externer Benutzer*innen zu einem Team zu erlauben. Eingeladene Benutzer*innen können dann ein Gastkonto im Ressourcenverzeichnis erstellen.

Diese Alternative bietet nicht die Identitäts- und Governancekontrollen, die der Kunde benötigte. Im Vergleich zur AD-Berechtigungsverwaltung weist diese Lösung die folgenden Defizite auf:

• Externe Benutzer*innen können keinen Zugriff anfordern und müssen daher eingeladen werden. Externe Benutzer*innen müssen wissen, wie eine Einladung angefordert wird. Dieser Prozess kann je nach Team variieren und sich im Laufe der Zeit ändern.
• Es gibt keine geschäftlichen Begründungen, E-Mail-Benachrichtigungen, Überprüfungsprozesse oder Genehmigungsprozesse, was ein Überwachungsproblem darstellt.
• Der Zugriff auf bestimmte Ressourcen kann nicht einfach verwaltet, entfernt oder aktualisiert werden. Da sich Projektressourcen wahrscheinlich ändern werden, sorgt dies für ein Effizienzproblem.
• Wenn externe Benutzer*innen eingeladen werden, die Organisation der Benutzer*innen jedoch nicht zulässig ist, wird ihnen der Zugriff verweigert, was zu Verwirrung führt.
• Gastkonten werden nicht automatisch entfernt, und es ist kein Ablaufdatum festgelegt. Ein manueller Prozess zur Verwaltung des Ablaufdatums ist fehleranfällig und weniger effizient als ein automatischer Prozess, für den bei der Kontoerstellung Grenzwerte festgelegt werden müssen. Dies stellt ein Sicherheits- und ein Effizienzproblem dar.

Es ist unwahrscheinlich, dass das Erstellen einer benutzerdefinierten Lösung zur Behandlung dieser Probleme im Vergleich zur AD-Berechtigungsverwaltung preislich wettbewerbsfähig und hinsichtlich der Features vergleichbar ist.

Szenariodetails

Dieses Beispielszenario wurde während der COVID-19-Pandemie erstellt, als ein Kunde eine sofortige Anforderung hinsichtlich der Zusammenarbeit mit anderen Organisationen hatte. Dies erforderte die Bereitstellung von Identitäts- und Governancekontrollen für externe Benutzer*innen.

Microsoft Teams war das primäre Tool des Kunden für die Unternehmenskommunikation. Benutzer*innen nutzten Teams für Chats, Besprechungen und Anrufe. Durch Teams-Kanäle erhielten sie Zugriff auf Dateien und Konversationen.

Teams-Besprechungen boten eine effektive Möglichkeit für den Austausch mit externen Benutzer*innen. Externe Benutzer*innen konnten jedoch nicht auf die Teams und Kanäle zugreifen, sodass die Zusammenarbeit mit ihnen schwierig war und die Produktivität beeinträchtigt wurde. Der Kunde benötigte eine bessere Lösung.

Teams bietet zwei Optionen für die Kommunikation und Zusammenarbeit mit externen Benutzer*innen:

• Externer Zugriff: Dies ist ein Verbundtyp, der es internen Benutzer*innen ermöglicht, externe Benutzer*innen zu suchen, sie anzurufen und mit ihnen zu schreiben. Benutzer*innen mit externem Zugriff können Teams nur dann hinzugefügt werden, wenn sie mithilfe des Gastzugriffs als Gäste eingeladen werden.
• Gastzugriff: Hiermit können interne Benutzer*innen externe Benutzer*innen einladen, einem Team beizutreten. Die eingeladenen Benutzer*innen erhalten ein Gastkonto in Microsoft Entra ID. Der Gastzugriff ermöglicht es externen Benutzer*innen in Teams eingeladen zu werden und Zugriff auf Dokumente in Kanälen sowie Ressourcen, Chats und Anwendungen zu erhalten. Kund*innen behalten bei Bedarf die Kontrolle über Unternehmensdaten.

Der Gastzugriff erfüllte die Anforderungen des Kunden an die Zusammenarbeit, führte jedoch zu Sicherheits- und Governancebedenken:

• Gäste dürfen nur bei Bedarf und nur für den erforderlichen Zeitraum Zugriff auf bestimmte Teams haben. Wenn ein Projekt abgeschlossen ist, muss das Gastkonto entfernt werden.
• Zum Erstellen von Gastkonten, die die Überwachungsanforderungen erfüllen, muss ein Genehmigungsprozess durchgeführt werden. Interne Benutzer*innen müssen Anforderungen überprüfen und entsprechend genehmigen.
• Es muss möglich sein, die Lösung schnell zu erstellen und zu automatisieren. Es können keine Gastkonten erstellt werden, bis entsprechende Sicherheits- und Governancekontrollen eingerichtet sind.

Die Microsoft Entra-Berechtigungsverwaltung war das primäre Tool, um die Sicherheits- und Governanceanforderungen zu erfüllen:

• Sie hilft dabei, den Zugriff auf Microsoft 365-Gruppen (einschließlich Teams, Anwendungen und SharePoint Online-Websites) sowohl für interne als auch für externe Benutzer*innen effizient zu verwalten.
• Das Feature bietet die Möglichkeit, Zugriffsanforderungsworkflows, Zugriffszuweisungen, Überprüfungen und das Ablaufdatum zu automatisieren.

Der Gastzugriff und die Microsoft Entra-Berechtigung erfüllten zusammen die Zusammenarbeitsanforderungen des Kunden. Externe Benutzer*innen können ausgewählten Teams beitreten, und der Zugriff wird verwaltet. Darüber hinaus bietet die Microsoft Entra-Berechtigungsverwaltung Funktionen für eine mögliche zukünftige Verwendung (z. B. die Verwaltung des Zugriffs auf andere Ressourcen nicht für Teams).

Mögliche Anwendungsfälle

Diese Lösung eignet sich für jede Situation, in der die Verwaltung des Zugriffs für interne und externe Benutzer auf Gruppen, Anwendungen und SharePoint Online-Websites erforderlich ist. Die Microsoft Entra-Berechtigungsverwaltung bietet die folgenden Features und Vorteile:

• Es gibt ein vereinfachtes Onboarding und eine vereinfachte Verwaltung für den Mitarbeiterzugriff beispielsweise auf die folgenden Ressourcen:
  • Microsoft Entra-Sicherheitsgruppen
  • Microsoft 365-Gruppen:
  • Microsoft 365-Teams
  • Anwendungen, einschließlich SaaS-Anwendungen
  • Benutzerdefinierte Anwendungen, die geeignete Sicherheitsmaßnahmen implementieren
  • SharePoint Online-Websites
• Es gibt vereinfachte Verfahren für externe Benutzer*innen, um Zugriff auf die benötigten Ressourcen zu erhalten.
• Sie können festlegen, welche verbundenen Organisationen externe Benutzer*innen angeben dürfen, die Zugriff anfordern können.
• Benutzer*innen, die Zugriffsberechtigungen anfordern, werden bei entsprechender Bestätigung automatisch in das Teamverzeichnis eingeladen und erhalten Zugriff auf Ressourcen.
• Ein Zeitlimit kann für den Zugriff von Benutzer*innen auf Ressourcen festgelegt werden, wobei die Berechtigung bei Erreichen des Grenzwerts automatisch entfernt wird.
• Wenn der Zugriff für externe Benutzer*innen abläuft, die über keine anderen Zugriffspaketzuweisungen verfügen, kann das Konto der Benutzer*innen automatisch entfernt werden.
• Sie können sicherstellen, dass Benutzer*innen nicht mehr Zugriff haben, als sie benötigen.
• Es gibt einen Genehmigungsprozess für Zugriffsanforderungen, der die Genehmigung durch bestimmte Personen umfasst (z. B. Vorgesetzte).
• Sie können den Zugriff auf andere Ressourcen verwalten, die auf Microsoft Entra-Sicherheitsgruppen oder Microsoft 365-Gruppen basieren. Ein Beispiel hierfür ist das Erteilen von Lizenzen für Benutzer*innen mithilfe der gruppenbasierten Lizenzierung.
• Sie können die Berechtigung zum Erstellen von Zugriffspaketen, die Ressourcen enthalten, die Benutzer*innen anfordern können, an Nicht-Administrator*innen delegieren.

Überlegungen

Diese Überlegungen beruhen auf den Säulen des Azure Well-Architected Frameworks, d. h. einer Reihe von Grundsätzen, mit denen die Qualität von Workloads verbessert werden kann. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Ein wichtiger Implementierungsschritt ist das Konfigurieren von Mandanteneinstellungen für externe Benutzer*innen.

1. Aktivieren des Katalogs für externe Benutzer*innen: Stellen Sie sicher, dass Für externe Benutzer aktiviert für den Katalog auf Ja festgelegt ist. Wenn Sie einen neuen Katalog im Rahmen der Microsoft Entra-Berechtigungsverwaltung erstellen, ist dieser standardmäßig aktiviert, damit externe Benutzer*innen Zugriff auf Pakete im Katalog anfordern können.
2. Einstellungen für externe Microsoft Entra-B2B-Zusammenarbeit: Die Einstellungen für die externe Azure-B2B-Zusammenarbeit können sich darauf auswirken, ob Sie die Microsoft Entra-Berechtigungsverwaltung verwenden können, um externe Benutzer*innen zu Ressourcen einzuladen. Überprüfen Sie diese Einstellungen:
   • Überprüfen Sie, ob Gäste andere Gäste in Ihr Verzeichnis einladen dürfen. Es wird empfohlen, die Einstellung Gäste können einladen auf Nein festzulegen, sodass nur gesteuerte Einladungen möglich sind.
   • Stellen Sie sicher, dass Sie Einladungen entsprechend zulassen oder blockieren. Weitere Informationen finden Sie unter Zulassen oder Blockieren von Einladungen für B2B-Benutzer von bestimmten Organisationen.
3. Überprüfen der Richtlinien für bedingten Zugriff: Überprüfen Sie den bedingten Zugriff, um sicherzustellen, dass Gastbenutzer*innen von Richtlinien für bedingten Zugriff ausgeschlossen werden, die sie nicht erfüllen können. Andernfalls können sie sich nicht bei Ihrem Verzeichnis anmelden und haben keinen Zugriff auf die Ressource.
4. Überprüfen der Einstellungen für die externe SharePoint Online-Freigabe: Wenn Sie SharePoint Online-Websites in ein Zugriffspaket für externe Benutzer*innen einschließen, stellen Sie sicher, dass Sie die Einstellung für die externe Freigabe auf Organisationsebene konfigurieren. Legen Sie die Einstellung auf Jeder fest, wenn keine Anmeldung erforderlich ist. Legen Sie sie für eingeladene Benutzer*innen auf Vorhandene Gäste fest. Weitere Informationen finden Sie unter Ändern der Einstellung für die externe Freigabe auf Organisationsebene.
5. Überprüfen der Einstellungen für die Microsoft 365-Gruppenfreigabe: Wenn Sie Microsoft 365-Gruppen oder -Teams in ein Zugriffspaket für externe Benutzer*innen einschließen, stellen Sie sicher, dass Benutzer dürfen neue Gäste zur Organisation hinzufügen auf Ein festgelegt ist, um den Gastzugriff zuzulassen.
6. Überprüfen der Teams-Freigabeeinstellungen: Wenn Sie Teams in ein Zugriffspaket für externe Benutzer*innen einschließen, stellen Sie sicher, dass Allow guest access in Microsoft Teams (Gastzugriff in Microsoft Teams zulassen) auf Ein festgelegt ist, um den Gastzugriff zuzulassen. Überprüfen Sie außerdem, ob die Teams-Einstellungen für den Gastzugriff konfiguriert sind.
7. Verwalten des Lebenszyklus externer Benutzer*innen: Sie können festlegen, was geschieht, wenn externe Benutzer*innen über keine Zugriffspaketzuweisungen mehr verfügt. Dies geschieht, wenn alle Zuweisungen entweder von Benutzer*innen aufgehoben werden oder abgelaufen sind. Standardmäßig wird die Anmeldung von Benutzer*innen bei Ihrem Verzeichnis blockiert. Nach 30 Tagen wird das Gastbenutzerkonto aus Ihrem Verzeichnis entfernt.

Weitere Überlegungen:

• Zugriffszuweisung: Zugriffspakete ersetzen keine anderen Mechanismen für die Zugriffszuweisung. Sie eignen sich am besten für folgende Situationen:
  • Mitarbeiter benötigen zeitlich begrenzten Zugriff für eine bestimmte Aufgabe.
  • Für den Zugriff ist die Genehmigung von Vorgesetzten oder einer anderen bestimmten Person erforderlich.
  • Abteilungen möchten ihre Ressourcen ohne Beteiligung des IT-Teams verwalten.
  • Zwei oder mehr Organisationen arbeiten an einem Projekt zusammen, sodass mehrere Benutzer*innen aus einer Organisation eingeladen werden müssen, um auf die Ressourcen einer anderen Organisation zuzugreifen.
• Aktualisieren von Ressourcen: Mit der Microsoft Entra-Berechtigungsverwaltung können Sie die Ressourcen in einem Zugriffspaket jederzeit ändern. Für die Benutzer*innen des Pakets wird der Ressourcenzugriff automatisch an das geänderte Paket angepasst.

Kostenoptimierung

Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Weitere Informationen finden Sie unter Übersicht über die Säule „Kostenoptimierung“.

• Die Verwendung der Microsoft Entra-Berechtigungsverwaltung erfordert eine Microsoft Entra ID P2-Lizenz.
• Der Gastzugriff kann für alle Microsoft 365 Business Standard-, Microsoft 365 Business Premium- und Microsoft 365 Education-Abonnements verwendet werden. Es ist keine zusätzliche Microsoft 365-Lizenz erforderlich.
• Das Abrechnungsmodell für Microsoft Entra External ID gilt für Gäste in Microsoft 365. Nur externe Benutzer*innen können als Gäste eingeladen werden.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

• Martin Boam | Associate Architect

Nächste Schritte

• Übersicht über Teams und Kanäle in Microsoft Teams
• Übersicht über Teams und Kanäle in Microsoft Teams
• Verwenden des Gastzugriffs und des externen Zugriffs für die Zusammenarbeit mit Personen außerhalb Ihrer Organisation
• Erstellen eines neuen Zugriffspakets in der Microsoft Entra-Berechtigungsverwaltung
• Tutorial: Verwalten des Zugriffs auf Ressourcen in der Microsoft Entra-Berechtigungsverwaltung
• Was ist Microsoft Entra-Berechtigungsverwaltung?
• Was ist Microsoft Entra ID Governance?
• Was sind Microsoft Entra-Zugriffsüberprüfungen?
• Typische Szenarios für die Microsoft Entra-Berechtigungsverwaltung
• Steuern des Zugriffs für externe Benutzer in der Microsoft Entra-Berechtigungsverwaltung
• Typische Szenarios für die Azure AD-Berechtigungsverwaltung
• Zusammenarbeit mit Gästen in einem Team
• Verwenden des Gastzugriffs und des externen Zugriffs für die Zusammenarbeit mit Personen außerhalb Ihrer Organisation
• Zusammenarbeiten mit Personen außerhalb Ihrer Organisation
• Was ist bedingter Zugriff?

Zugehörige Ressourcen

• Erstellen einer AD DS-Ressourcengesamtstruktur in Azure
• Bereitstellen von AD DS in einem virtuellen Azure-Netzwerk
• Hybrididentität
• Integrieren lokaler AD-Domänen mit Microsoft Entra ID.
• Microsoft Entra Identity Management und Zugriffsverwaltung für AWS