Verwalten von mandantenübergreifenden Zugriffseinstellungen für die B2B-Zusammenarbeit

Gilt für: Mitarbeitermandanten Externe Mandanten (weitere Informationen)

Verwenden Sie Einstellungen für den mandantenübergreifenden External Identities-Zugriff, um die Zusammenarbeit mit anderen Microsoft Entra-Organisationen über B2B Collaboration zu verwalten. Diese Einstellungen bestimmen sowohl die Ebene des eingehenden Zugriffs von Benutzern in externen Microsoft Entra-Organisationen für Ihre Ressourcen, als auch die Ebene des ausgehenden Zugriffs, die Ihre Benutzer für externe Organisationen benötigen. Sie ermöglichen es Ihnen auch, mehrstufige Authentifizierung (MFA) und Geräteansprüche (kompatible Ansprüche und microsoft Entra Hybrid-verbundene Ansprüche) von anderen Microsoft Entra-Organisationen zu vertrauen. Ausführliche Informationen und Planungsaspekte finden Sie unter "Mandantenübergreifender Zugriff" in der externen Microsoft Entra-ID.

Zusammenarbeit über Clouds hinweg: Partnerorganisationen in verschiedenen Microsoft-Clouds können die B2B-Zusammenarbeit miteinander einrichten. Zunächst müssen beide Organisationen die Zusammenarbeit miteinander aktivieren, wie unter "Konfigurieren von Microsoft-Cloudeinstellungen" beschrieben. Anschließend kann jede Organisation optional ihre Einstellungen für den eingehenden Zugriff und die Einstellungen für ausgehenden Zugriff ändern, wie unten beschrieben.

Wichtig

Microsoft beginnt am 30. August 2023 mit der Umstellung von Kunden mit mandantenübergreifenden Zugriffseinstellungen auf ein neues Speichermodell. Möglicherweise bemerken Sie einen Eintrag in Ihren Überwachungsprotokollen, der Sie darüber informiert, dass Ihre mandantenübergreifenden Zugriffseinstellungen aktualisiert wurden, während ihre Einstellungen von unserer automatisierten Aufgabe migriert werden. Für ein kurzes Zeitfenster können Sie während der Migrationsprozesse keine Änderungen an Ihren Einstellungen vornehmen. Wenn Sie keine Änderung vornehmen können, sollten Sie einige Augenblicke warten und es erneut versuchen. Nach Abschluss der Migration werden Sie nicht mehr mit 25 KB Speicherplatz begrenzt , und es gibt keine weiteren Grenzwerte für die Anzahl der Partner, die Sie hinzufügen können.

Voraussetzungen

Achtung

Das Ändern der Standardeinstellungen für eingehende oder ausgehende Einstellungen zum Blockieren des Zugriffs könnte den vorhandenen geschäftskritischen Zugriff auf Apps in Ihrer Organisation oder Partnerorganisationen blockieren. Achten Sie darauf, die tools zu verwenden, die im mandantenübergreifenden Zugriff in microsoft Entra External ID beschrieben sind, und wenden Sie sich an Ihre Geschäftsbeteiligten, um den erforderlichen Zugriff zu identifizieren.

• Lesen Sie den Abschnitt "Wichtige Überlegungen " in der Übersicht über den mandantenübergreifenden Zugriff , bevor Sie Ihre mandantenübergreifenden Zugriffseinstellungen konfigurieren.
• Verwenden Sie die Tools, und befolgen Sie die Empfehlungen unter "Identifizieren von eingehenden und ausgehenden Anmeldungen ", um zu verstehen, auf welche externen Microsoft Entra-Organisationen und Ressourcen benutzer derzeit zugreifen.
• Legen Sie die Standardzugriffsebene fest, die Sie auf alle externen Microsoft Entra-Organisationen anwenden möchten.
• Identifizieren Sie alle Microsoft Entra-Organisationen, die angepasste Einstellungen benötigen, damit Sie organisationsspezifische Einstellungen konfigurieren können.
• Wenn Sie Zugriffseinstellungen auf bestimmte Benutzer, Gruppen oder Anwendungen in einer externen Organisation anwenden möchten, müssen Sie sich vor dem Konfigurieren der Einstellungen an die Organisation wenden, um erforderliche Informationen zu erhalten. Rufen Sie ihre Benutzerobjekt-IDs, Gruppenobjekt-IDs oder Anwendungs-IDs (Client-App-IDs oder Ressourcen-App-IDs) ab, damit Sie Ihre Einstellungen richtig ausrichten können.
• Wenn Sie die B2B-Zusammenarbeit mit einer Partnerorganisation in einer externen Microsoft Azure-Cloud einrichten möchten, führen Sie die Schritte unter Konfigurieren der Microsoft-Cloudeinstellungen aus. Ein Administrator in der Partnerorganisation muss denselben Vorgang für Ihren Mandanten ausführen.
• Sowohl die Einstellungen für die Erlaubnis-/Blockierliste als auch für den mandantenübergreifenden Zugriff werden zum Zeitpunkt der Einladung überprüft. Wenn sich die Domäne eines Benutzers in der Zulassungsliste befindet, kann er bzw. sie eingeladen werden, sofern die Domäne nicht ausdrücklich in den mandantenübergreifenden Zugriffseinstellungen blockiert ist. Wenn sich die Domäne eines Benutzers in der Blockliste befindet, kann er bzw. sie unabhängig von den Einstellungen für den mandantenübergreifenden Zugriff nicht eingeladen werden. Wenn ein Benutzer nicht in einer Liste enthalten ist, werden die Einstellungen für den mandantenübergreifenden Zugriff überprüft, um zu ermitteln, ob er bzw. sie eingeladen werden kann.

Konfigurieren von Standardeinstellungen

Mandantenübergreifende Standardzugriffseinstellungen gelten für alle externen Organisationen, für die Sie keine organisationsspezifischen benutzerdefinierten Einstellungen erstellt haben. Wenn Sie die von Microsoft Entra ID bereitgestellten Standardeinstellungen ändern möchten, führen Sie die folgenden Schritte aus.

1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

2. NavigierenSie zu den Einstellungen für den> der Entra-ID>, und wählen Sie dann einstellungen für den mandantenübergreifenden Zugriff aus.

3. Wählen Sie die Registerkarte "Standardeinstellungen " aus, und überprüfen Sie die Zusammenfassungsseite.

   

4. Um die Einstellungen zu ändern, wählen Sie den Link " Eingehende Standardeinstellungen bearbeiten " oder den Link " Ausgehende Standardeinstellungen bearbeiten " aus.

   

5. Ändern Sie die Standardeinstellungen anhand der ausführlichen Schritte in diesen Abschnitten:

   • Ändern der Einstellungen für den eingehenden Zugriff
   • Ändern der Einstellungen für ausgehenden Zugriff

Hinzufügen einer Organisation

Führen Sie die folgenden Schritte aus, um benutzerdefinierte Einstellungen für bestimmte Organisationen zu konfigurieren:

1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu den Einstellungen für denmandantenübergreifenden Zugriff von >> und wählen Sie dann "Organisationseinstellungen" aus.

3. Wählen Sie "Organisation hinzufügen" aus.

4. Geben Sie im Bereich " Organisation hinzufügen " den vollständigen Domänennamen (oder die Mandanten-ID) für die Organisation ein.

   

5. Wählen Sie die Organisation in den Suchergebnissen und dann "Hinzufügen" aus.

6. Die Organisation wird in der Liste " Organisationseinstellungen " angezeigt. An diesem Punkt werden alle Zugriffseinstellungen für diese Organisation von Ihren Standardeinstellungen geerbt. Wenn Sie die Einstellungen für diese Organisation ändern möchten, wählen Sie den geerbten Standardlink unter der Spalte " Eingehender Zugriff " oder " Ausgehender Zugriff " aus.

   

7. Ändern Sie die Einstellungen der Organisation anhand der ausführlichen Schritte in diesen Abschnitten:

   • Ändern der Einstellungen für den eingehenden Zugriff
   • Ändern der Einstellungen für ausgehenden Zugriff

Ändern der Einstellungen für eingehenden Zugriff

Mit den Einstellungen für eingehenden Zugriff wählen Sie aus, welche externen Benutzer und Gruppen auf die von Ihnen ausgewählten internen Anwendungen zugreifen können. Unabhängig davon, ob Sie Standardeinstellungen oder organisationsspezifische Einstellungen konfigurieren, sind die Schritte zum Ändern der mandantenübergreifenden Einstellungen für den eingehenden Zugriff identisch. Wie in diesem Abschnitt beschrieben, navigieren Sie entweder zur Registerkarte "Standard " oder zu einer Organisation auf der Registerkarte " Organisationseinstellungen ", und nehmen Sie dann Ihre Änderungen vor.

1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu denMandantenübergreifenden Zugriffseinstellungen für >>.

3. Navigieren Sie zu den Einstellungen, die Sie ändern möchten:

   • Standardeinstellungen: Um die Standardeinstellungen für eingehende Einstellungen zu ändern, wählen Sie die Registerkarte " Standardeinstellungen " aus, und wählen Sie dann unter " Einstellungen für eingehenden Zugriff" die Option "Eingehende Standardeinstellungen bearbeiten" aus.
   • Organisationseinstellungen: Um Einstellungen für eine bestimmte Organisation zu ändern, wählen Sie die Registerkarte " Organisationseinstellungen " aus, suchen Sie die Organisation in der Liste (oder fügen Sie eins hinzu), und wählen Sie dann den Link in der Spalte " Eingehender Zugriff " aus.

4. Führen Sie die ausführlichen Schritte für die Einstellungen für den eingehenden Zugriff aus, die Sie ändern möchten:

   • So ändern Sie eingehende B2B-Einstellungen für die Zusammenarbeit
   • So ändern Sie eingehende Vertrauenseinstellungen für die Annahme von MFA- und Geräteansprüchen

Hinweis

Wenn Sie die systemeigenen Freigabefunktionen in Microsoft SharePoint und Microsoft OneDrive mit aktivierter Microsoft Entra B2B-Integration verwenden, müssen Sie die externen Domänen zu den Einstellungen für die externe Zusammenarbeit hinzufügen. Andernfalls können Einladungen aus diesen Anwendungen fehlschlagen, auch wenn der externe Mandant in den mandantenübergreifenden Zugriffseinstellungen hinzugefügt wurde.

So ändern Sie die Einstellungen für die B2B-Zusammenarbeit in eingehender Richtung

1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu den Einstellungenfür den mandantenübergreifenden Zugriff von >> und wählen Sie dann "Organisationseinstellungen" aus.

3. Wählen Sie den Link in der Spalte " Eingehender Zugriff " und die B2B-Zusammenarbeit aus, wenn Sie den Zugriff für alle externen Benutzer und Gruppen blockieren, müssen Sie auch den Zugriff auf alle internen Anwendungen blockieren.

4. Wenn Sie Einstellungen für den eingehenden Zugriff für eine bestimmte Organisation konfigurieren, wählen Sie eine Option aus:

   • Standardeinstellungen: Wählen Sie diese Option aus, wenn die Organisation die Standardeinstellungen für eingehende Einstellungen verwenden soll (wie unter den Standardeinstellungen konfiguriert, wenn Sie den Zugriff für alle externen Benutzer und Gruppen blockieren, müssen Sie auch den Zugriff auf alle internen Anwendungen blockieren. Wenn angepasste Einstellungen bereits für diese Organisation konfiguriert wurden, müssen Sie "Ja " auswählen, um zu bestätigen, dass alle Einstellungen durch die Standardeinstellungen ersetzt werden sollen. Wählen Sie dann "Speichern" aus, und überspringen Sie die restlichen Schritte in diesem Verfahren.

   • Einstellungen anpassen: Wählen Sie diese Option aus, wenn Sie die Einstellungen anpassen möchten, die für diese Organisation anstelle der Standardeinstellungen erzwungen werden sollen. Fahren Sie mit den übrigen Schritten in diesem Verfahren fort.

5. Wählen Sie externe Benutzer und Gruppen aus.

6. Wählen Sie unter Access-Status eine der folgenden Optionen aus:

   • Zugriff zulassen: Ermöglicht benutzern und Gruppen, die unter "Gilt für die Einladung zur B2B-Zusammenarbeit" angegeben sind.
   • Zugriff blockieren: Blockiert die unter "Gilt für die Einladung zur B2B-Zusammenarbeit" angegebenen Benutzer und Gruppen.

   

7. Wählen Sie unter "Gilt für" eine der folgenden Optionen aus:

   • Alle externen Benutzer und Gruppen: Wendet die Aktion an, die Sie unter Access-Status für alle Benutzer und Gruppen von externen Microsoft Entra-Organisationen ausgewählt haben.
   • Auswählen externer Benutzer und Gruppen (erfordert ein Microsoft Entra ID P1- oder P2-Abonnement): Hiermit können Sie die Aktion anwenden, die Sie unter Access-Status für bestimmte Benutzer und Gruppen innerhalb der externen Organisation ausgewählt haben.

   Hinweis

   Wenn Sie den Zugriff für alle externen Benutzer und Gruppen blockieren, müssen Sie auch den Zugriff auf alle internen Anwendungen (auf der Registerkarte "Anwendungen ") blockieren. Wenn Sie die mandantenübergreifende Synchronisierung konfiguriert haben, kann das Blockieren des Zugriffs für alle externen Benutzer und Gruppen die mandantenübergreifende Synchronisierung blockieren.

   

8. Wenn Sie "Externe Benutzer und Gruppen auswählen" ausgewählt haben, führen Sie die folgenden Schritte für jeden Benutzer oder jede Gruppe aus, die Sie hinzufügen möchten:

   • Wählen Sie "Externe Benutzer und Gruppen hinzufügen" aus.
   • Geben Sie im Bereich "Weitere Benutzer und Gruppen hinzufügen " im Suchfeld die Benutzerobjekt-ID oder gruppenobjekt-ID ein, die Sie von Ihrer Partnerorganisation erhalten haben.
   • Wählen Sie im Menü neben dem Suchfeld entweder den Benutzer oder die Gruppe aus.
   • Wählen Sie "Hinzufügen" aus.

   Hinweis

   Sie können keine Benutzer oder Gruppen in den Standardeinstellungen für eingehenden Datenverkehr anvisieren.

   

9. Wenn Sie mit dem Hinzufügen von Benutzern und Gruppen fertig sind, wählen Sie "Absenden" aus.

   

10. Wählen Sie die Registerkarte "Anwendungen " aus.

11. Wählen Sie unter Access-Status eine der folgenden Optionen aus:

    • Zugriff zulassen: Ermöglicht den Zugriff auf die unter "Gilt" angegebenen Anwendungen für den Zugriff durch B2B-Zusammenarbeitsbenutzer.
    • Zugriff blockieren: Blockiert die unter "Gilt für den Zugriff durch Benutzer der B2B-Zusammenarbeit" angegebenen Anwendungen.

    

12. Wählen Sie unter "Gilt für" eine der folgenden Optionen aus:

    • Alle Anwendungen: Wendet die Aktion an, die Sie unter Access-Status für alle Ihre Anwendungen ausgewählt haben.
    • Auswählen von Anwendungen (erfordert ein Microsoft Entra ID P1- oder P2-Abonnement): Hiermit können Sie die Aktion anwenden, die Sie unter Access-Status auf bestimmte Anwendungen in Ihrer Organisation ausgewählt haben.

    Hinweis

    Wenn Sie den Zugriff auf alle Anwendungen blockieren, müssen Sie auch den Zugriff für alle externen Benutzer und Gruppen blockieren (auf der Registerkarte "Externe Benutzer und Gruppen ").

    

13. Wenn Sie "Anwendungen auswählen" ausgewählt haben, führen Sie die folgenden Schritte für jede Anwendung aus, die Sie hinzufügen möchten:

    • Wählen Sie "Microsoft-Anwendungen hinzufügen " oder "Andere Anwendungen hinzufügen" aus.
    • Geben Sie im Auswahlbereich den Anwendungsnamen oder die Anwendungs-ID (entweder die Client-App-ID oder die Ressourcen-App-ID) in das Suchfeld ein. Wählen Sie dann die Anwendung in den Suchergebnissen aus. Wiederholen Sie diesen Schritt für jede Anwendung, die Sie hinzufügen möchten.
    • Wenn Sie mit der Auswahl von Anwendungen fertig sind, wählen Sie "Auswählen" aus.

    

14. Wählen Sie "Speichern" aus.

Überlegungen zum Zulassen von Microsoft-Anwendungen

Wenn Sie mandantenübergreifende Zugriffseinstellungen so konfigurieren möchten, dass nur eine bestimmte Gruppe von Anwendungen zulässig ist, sollten Sie die in der folgenden Tabelle gezeigten Microsoft-Anwendungen hinzufügen. Wenn Sie beispielsweise eine Zulassungsliste konfigurieren und SharePoint Online nur zulassen, kann der Benutzer nicht auf "Meine Apps" zugreifen oder sich für MFA im Ressourcenmandanten registrieren. Um eine reibungslose Endbenutzerumgebung sicherzustellen, fügen Sie die folgenden Anwendungen in Ihre Einstellungen für die eingehende und ausgehende Zusammenarbeit ein.

Anwendung	Ressourcen-ID	Im Portal verfügbar	Einzelheiten
Meine Apps	2793995E-0A7D-40D7-BD35-6968BA142197	Ja	Standardmäßige Startseite nach eingelöster Einladung. Definiert den Zugriff auf myapplications.microsoft.com.
Microsoft-App-Zugriffspanel	0000000c-0000-0000-c000-000000000000	Nein	Wird bei einigen verspätet gebundenen Anrufen beim Laden bestimmter Seiten in "Meine Anmeldungen" verwendet. Beispielsweise das Blatt "Sicherheitsinformationen" oder "Organisationen".
Mein Profil	8C59EAD7-D703-4A27-9E55-C96A0054C8D2	Ja	Definiert den Zugriff auf myaccount.microsoft.com das Einschließen von "Meine Gruppen" und "Meine Zugriffsportale". Einige Registerkarten in "Mein Profil" erfordern die hier aufgeführten anderen Apps, um zu funktionieren.
Meine Anmeldungen	19db86c3-b2b9-44cc-b339-36da233a3be2	Nein	Definiert den Zugriff auf den Zugriff mysignins.microsoft.com auf Sicherheitsinformationen. Lassen Sie diese App zu, wenn Benutzer sich für MFA im Ressourcenmandanten registrieren und verwenden müssen (z. B. ist MFA nicht vom Heimmandanten vertrauenswürdig).

Einige der Anwendungen in der vorherigen Tabelle lassen keine Auswahl über das Microsoft Entra Admin Center zu. Um sie zuzulassen, fügen Sie sie mit der Microsoft Graph-API hinzu, wie im folgenden Beispiel gezeigt:

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

Hinweis

Achten Sie darauf, alle zusätzlichen Anwendungen einzuschließen, die Sie in der PATCH-Anforderung zulassen möchten, da dadurch alle zuvor konfigurierten Anwendungen überschrieben werden. Bereits konfigurierte Anwendungen können manuell aus dem Portal oder durch Ausführen einer GET-Anforderung für die Partnerrichtlinie abgerufen werden. Beispiel: GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

Hinweis

Anwendungen, die über die Microsoft Graph-API hinzugefügt werden, die keiner im Microsoft Entra Admin Center verfügbaren Anwendung zugeordnet sind, werden als App-ID angezeigt.

Sie können die Microsoft Admin Portals-App nicht zu den Einstellungen für den eingehenden und ausgehenden mandantenübergreifenden Zugriff im Microsoft Entra Admin Center hinzufügen. Verwenden Sie die Microsoft Graph-API, um externen Zugriff auf Microsoft-Verwaltungsportale zu ermöglichen, um die folgenden Apps einzeln hinzuzufügen, die Teil der Microsoft Admin Portals-App-Gruppe sind:

• Azure-Portal (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Microsoft Entra Admin Center (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Microsoft 365 Defender-Portal (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Microsoft Intune Admin Center (80ccca67-54bd-44ab-8625-4b79c4dc775)
• Microsoft Purview-Complianceportal (80ccca67-54bd-44ab-8625-4b79c4dc7775)

Konfigurieren der Einlösungsreihenfolge

Um die Reihenfolge der Identitätsanbieter anzupassen, mit denen sich Ihre Gastbenutzer anmelden können, wenn sie Ihre Einladung annehmen, befolgen Sie diese Schritte.

1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu denMandantenübergreifenden Zugriffseinstellungen für >>.

3. Wählen Sie auf der Registerkarte "Standardeinstellungen " unter " Einstellungen für eingehenden Zugriff" die Option " Eingehende Standardeinstellungen bearbeiten" aus.

4. Wählen Sie auf der Registerkarte "B2B-Zusammenarbeit " die Registerkarte " Einlösungsreihenfolge " aus.

5. Verschieben Sie die Identitätsanbieter nach oben oder unten, um die Reihenfolge zu ändern, in der sich Ihre Gastbenutzer anmelden können, wenn sie Ihre Einladung annehmen. Sie können die Einlösungsreihenfolge auch hier auf die Standardeinstellungen zurücksetzen.

   

6. Wählen Sie "Speichern" aus.

Sie können die Einlösungsreihenfolge auch über die Microsoft Graph-API anpassen.

1. Öffnen Sie den Microsoft Graph-Explorer.

2. Melden Sie sich als Sicherheitsadministrator bei Ihrem Ressourcenmandanten an.

3. Führen Sie die folgende Abfrage aus, um die aktuellen Einlösungsreihenfolge abzurufen:

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default

4. In diesem Beispiel verschieben wir den SAML/WS-Fed IdP-Verbund an den Anfang der Einlösungsreihenfolge über den Microsoft Entra-Identitätsanbieter. Patchen Sie den gleichen URI mit diesem Anforderungstext:

{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}

5. Führen Sie die GET-Abfrage erneut aus, um die Änderungen zu überprüfen.

6. Führen Sie die folgende Abfrage aus, um die Einlösungsreihenfolge auf die Standardeinstellungen zurückzusetzen:

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

SAML/WS-Fed-Partnerverbund (Direkter Partnerverbund) für überprüfte Microsoft Entra ID-Domänen

Sie können nun Ihre verifizierte Microsoft Entra ID-Domäne hinzufügen, um die direkte Föderationsbeziehung einzurichten. Zuerst müssen Sie die Konfiguration des direkten Partnerverbunds im Admin Center oder über die API einrichten. Stellen Sie sicher, dass die Domäne nicht im selben Mandanten verifiziert wird. Sobald die Konfiguration eingerichtet ist, können Sie die Einlösungsreihenfolge anpassen. Der SAML/WS-Fed IdP wird als letzter Eintrag zur Einlösungsreihenfolge hinzugefügt. Sie können es in der Einlösungsreihenfolge nach oben verschieben, um sie über dem Microsoft Entra-Identitätsanbieter festzulegen.

Verhindern Sie, dass Ihre B2B-Benutzer und -Benutzerinnen Einladungen mit Microsoft-Konten einlösen

Um zu verhindern, dass Ihre B2B-Gastbenutzer ihre Einladung mit ihren vorhandenen Microsoft-Konten einlösen oder eine neue Einladung erstellen, um die Einladung anzunehmen, befolgen Sie die Schritte unten.

1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu denMandantenübergreifenden Zugriffseinstellungen für >>.

3. Wählen Sie auf der Registerkarte "Standardeinstellungen " unter " Einstellungen für eingehenden Zugriff" die Option " Eingehende Standardeinstellungen bearbeiten" aus.

4. Wählen Sie auf der Registerkarte "B2B-Zusammenarbeit " die Registerkarte " Einlösungsreihenfolge " aus.

5. Deaktivieren Sie unter Fallback-Identitätsanbieter das Microsoft-Dienstkonto (MSA).

   

6. Wählen Sie "Speichern" aus.

Sie müssen zu jedem Zeitpunkt mindestens einen Fallback-Identitätsanbieter aktiviert haben. Wenn Sie Microsoft-Konten deaktivieren möchten, müssen Sie den Einmal-Passcode per E-Mail aktivieren. Sie können nicht beide Fallbackidentitätsanbieter deaktivieren. Alle vorhandenen Gastbenutzer, die mit Microsoft-Konten angemeldet sind, verwenden sie bei nachfolgenden Anmeldungen weiterhin. Sie müssen deren Einlösungsstatus zurücksetzen , damit diese Einstellung angewendet werden kann.

So ändern Sie Einstellungen für eingehende Vertrauensstellungen für MFA- und Geräteansprüche

1. Wählen Sie die Registerkarte " Vertrauensstellungseinstellungen " aus.

2. (Dieser Schritt gilt nur für Organisationseinstellungen .) Wenn Sie Einstellungen für eine Organisation konfigurieren, wählen Sie eine der folgenden Optionen aus:

   • Standardeinstellungen: Die Organisation verwendet die auf der Registerkarte "Standardeinstellungen " konfigurierten Einstellungen. Wenn angepasste Einstellungen bereits für diese Organisation konfiguriert wurden, wählen Sie "Ja " aus, um zu bestätigen, dass alle Einstellungen durch die Standardeinstellungen ersetzt werden sollen. Wählen Sie dann "Speichern" aus, und überspringen Sie die restlichen Schritte in diesem Verfahren.

   • Anpassen von Einstellungen: Sie können die Einstellungen anpassen, um diese Organisation anstelle der Standardeinstellungen zu erzwingen. Fahren Sie mit den übrigen Schritten in diesem Verfahren fort.

3. Wählen Sie eine oder mehrere der folgenden Optionen aus:

   • Mehrstufige Authentifizierung von Microsoft Entra-Mandanten vertrauen: Aktivieren Sie dieses Kontrollkästchen, damit Ihre Richtlinien für bedingten Zugriff MFA-Ansprüche von externen Organisationen vertrauen können. Während der Authentifizierung überprüft Microsoft Entra ID die Anmeldeinformationen von Benutzer*innen auf einen Anspruch, dass die MFA abgeschlossen wurde. Falls nicht, wird im Basismandanten des Benutzers bzw. der Benutzerin eine MFA-Abfrage initiiert. Diese Einstellung wird nicht angewendet, wenn sich ein externer Benutzer mit granularen delegierten Administratorrechten (GDAP) anmeldet, z. B. von einem Techniker bei einem Clouddienstanbieter, der Dienste in Ihrem Mandanten verwaltet. Wenn sich ein externer Benutzender über GDAP anmeldet, ist MFA im Mandanten des Benutzenden immer erforderlich und im Mandanten der Ressource immer vertrauenswürdig. Die MFA-Registrierung eines GDAP-Benutzers wird außerhalb des Mandanten des Benutzers nicht unterstützt. Wenn Ihre Organisation den Zugriff auf Techniker des Dienstanbieters basierend auf MFA im Heimmandanten des Benutzers verbieten muss, können Sie die GDAP-Beziehung im Microsoft 365 Admin Center entfernen.

   • Vertrauenswürdige Geräte: Ermöglicht Es Ihren Richtlinien für den bedingten Zugriff, vertrauenswürdige Geräteansprüche aus einer externen Organisation zu vertrauen, wenn ihre Benutzer auf Ihre Ressourcen zugreifen.

   • Vertrauen Sie mit microsoft Entra hybrid verbundenen Geräten: Ermöglicht Es Ihren Richtlinien für den bedingten Zugriff, microsoft Entra hybrid verbundene Geräteansprüche aus einer externen Organisation zu vertrauen, wenn ihre Benutzer auf Ihre Ressourcen zugreifen.

   

4. (Dieser Schritt gilt nur für Organisationseinstellungen .) Überprüfen Sie die Option "Automatische Einlösung ":

   • Automatisches Einlösen von Einladungen mit dem Mandanten<mandant>: Überprüfen Sie diese Einstellung, wenn Sie Einladungen automatisch einlösen möchten. In diesem Fall müssen Benutzer des angegebenen Mandanten die Einwilligungsaufforderung nicht akzeptieren, wenn sie zum ersten Mal über mandantenübergreifende Synchronisierung, B2B-Zusammenarbeit oder direkte B2B-Verbindung auf diesen Mandanten zugreifen. Diese Einstellung unterdrückt die Einwilligungsaufforderung nur, wenn der angegebene Mandant diese Einstellung auch für den ausgehenden Zugriff überprüft.

   

5. Wählen Sie "Speichern" aus.

Zulassen der Benutzersynchronisierung mit diesem Mandanten

Wenn Sie den eingehenden Zugriff der hinzugefügten Organisation auswählen, wird die Registerkarte " Mandantenübergreifende Synchronisierung " und das Kontrollkästchen "Benutzer synchronisieren mit diesem Mandanten zulassen " angezeigt. Die mandantenübergreifende Synchronisation ist ein Einweg-Synchronisationsdienst in Microsoft Entra ID, der das Erstellen, Aktualisieren und Löschen von Benutzern für die B2B-Zusammenarbeit in verschiedenen Mandanten eines Unternehmens automatisiert. Weitere Informationen finden Sie unter Configure cross-tenant synchronization and the Multitenant organizations documentation.

Ändern der Einstellungen für ausgehenden Zugriff

Mit den Einstellungen für ausgehenden Zugriff wählen Sie aus, welche Benutzer und Gruppen auf die von Ihnen ausgewählten externen Anwendungen zugreifen können. Unabhängig davon, ob Sie Standardeinstellungen oder organisationsspezifische Einstellungen konfigurieren, sind die Schritte zum Ändern der mandantenübergreifenden Einstellungen für den ausgehenden Zugriff identisch. Wie in diesem Abschnitt beschrieben, navigieren Sie entweder zur Registerkarte "Standard " oder zu einer Organisation auf der Registerkarte " Organisationseinstellungen ", und nehmen Sie dann Ihre Änderungen vor.

1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu denMandantenübergreifenden Zugriffseinstellungen für >>.

3. Navigieren Sie zu den Einstellungen, die Sie ändern möchten:

   • Um die standardmäßigen ausgehenden Einstellungen zu ändern, wählen Sie die Registerkarte "Standardeinstellungen" und dann unter "Einstellungen für ausgehenden Zugriff" die Option "Ausgehende Standardeinstellungen bearbeiten" aus.

   • Wenn Sie Einstellungen für eine bestimmte Organisation ändern möchten, wählen Sie die Registerkarte " Organisationseinstellungen " aus, suchen Sie die Organisation in der Liste (oder fügen Sie eins hinzu), und wählen Sie dann den Link in der Spalte " Ausgehender Zugriff " aus.

4. Wählen Sie die Registerkarte "B2B-Zusammenarbeit " aus.

5. (Dieser Schritt gilt nur für Organisationseinstellungen .) Wenn Sie Einstellungen für eine Organisation konfigurieren, wählen Sie eine Option aus:

   • Standardeinstellungen: Die Organisation verwendet die auf der Registerkarte "Standardeinstellungen " konfigurierten Einstellungen. Wenn angepasste Einstellungen bereits für diese Organisation konfiguriert wurden, müssen Sie "Ja " auswählen, um zu bestätigen, dass alle Einstellungen durch die Standardeinstellungen ersetzt werden sollen. Wählen Sie dann "Speichern" aus, und überspringen Sie die restlichen Schritte in diesem Verfahren.

   • Anpassen von Einstellungen: Sie können die Einstellungen anpassen, um diese Organisation anstelle der Standardeinstellungen zu erzwingen. Fahren Sie mit den übrigen Schritten in diesem Verfahren fort.

6. Wählen Sie "Benutzer und Gruppen" aus.

7. Wählen Sie unter Access-Status eine der folgenden Optionen aus:

   • Zugriff zulassen: Ermöglicht Benutzern und Gruppen, die unter "Gilt für die Einladung zu externen Organisationen für die B2B-Zusammenarbeit" angegeben sind.
   • Zugriff blockieren: Blockiert Ihre Unter "Gilt für die Einladung zur B2B-Zusammenarbeit" angegebenen Benutzer und Gruppen. Wenn Sie den Zugriff für alle Benutzer und Gruppen blockieren, wird dadurch auch der Zugriff auf alle externen Anwendungen über die B2B-Zusammenarbeit blockiert.

   

8. Wählen Sie unter "Gilt für" eine der folgenden Optionen aus:

   • Alle <Benutzer Ihrer Organisation>: Wendet die Aktion an, die Sie unter Access-Status für alle Ihre Benutzer und Gruppen ausgewählt haben.
   • Wählen Sie <Benutzer und Gruppen Ihrer Organisation> aus (erfordert ein Microsoft Entra ID P1- oder P2-Abonnement): Hier können Sie die Aktion anwenden, die Sie unter Access-Status für bestimmte Benutzer und Gruppen ausgewählt haben.

   Hinweis

   Wenn Sie den Zugriff für alle Ihre Benutzer und Gruppen blockieren, müssen Sie auch den Zugriff auf alle externen Anwendungen blockieren (auf der Registerkarte "Externe Anwendungen ").

   

9. Wenn Sie "Benutzer und Gruppen Ihrer Organisation< auswählen>" ausgewählt haben, führen Sie die folgenden Schritte für jeden Benutzer oder jede Gruppe aus, die Sie hinzufügen möchten:

   • Wählen Sie "Benutzer und Gruppen Ihrer Organisation< hinzufügen>" aus.
   • Geben Sie im Auswahlbereich den Benutzernamen oder gruppennamen in das Suchfeld ein.
   • Wählen Sie den Benutzer oder die Gruppe in den Suchergebnissen aus.
   • Wenn Sie damit fertig sind, die Benutzer und Gruppen auszuwählen, die Sie hinzufügen möchten, wählen Sie "Auswählen" aus.

   Hinweis

   Wenn Sie auf Ihre Benutzer und Gruppen abzielen, können Sie keine Benutzer auswählen, die die SMS-basierte Authentifizierung konfiguriert haben. Dies liegt daran, dass Benutzer, die über „Verbundanmeldeinformationen“ für ihr Benutzerobjekt verfügen, blockiert werden, um zu verhindern, dass externe Benutzer zu ausgehenden Zugriffseinstellungen hinzugefügt werden. Als Problemumgehung können Sie die Microsoft Graph-API verwenden, um die Objekt-ID des Benutzers direkt hinzuzufügen oder eine Gruppe anzuzielen, zu der der Benutzer gehört.

10. Wählen Sie die Registerkarte "Externe Anwendungen " aus.

11. Wählen Sie unter Access-Status eine der folgenden Optionen aus:

    • Zugriff zulassen: Ermöglicht den Zugriff auf die unter "Gilt" angegebenen externen Anwendungen, um von Ihren Benutzern über die B2B-Zusammenarbeit auf sie zugreifen zu können.
    • Zugriff blockieren: Blockiert die unter "Gilt für den Zugriff durch Ihre Benutzer über die B2B-Zusammenarbeit angegebenen externen Anwendungen".

    

12. Wählen Sie unter "Gilt für" eine der folgenden Optionen aus:

    • Alle externen Anwendungen: Wendet die Aktion an, die Sie unter Access-Status für alle externen Anwendungen ausgewählt haben.
    • Wählen Sie externe Anwendungen aus: Wendet die Aktion an, die Sie unter Access-Status für alle externen Anwendungen ausgewählt haben.

    Hinweis

    Wenn Sie den Zugriff auf alle externen Anwendungen blockieren, müssen Sie auch den Zugriff für alle Benutzer und Gruppen blockieren (auf der Registerkarte " Benutzer und Gruppen ").

    

13. Wenn Sie "Externe Anwendungen auswählen" ausgewählt haben, führen Sie die folgenden Schritte für jede Anwendung aus, die Sie hinzufügen möchten:

    • Wählen Sie "Microsoft-Anwendungen hinzufügen " oder "Andere Anwendungen hinzufügen" aus.
    • Geben Sie im Suchfeld den Anwendungsnamen oder die Anwendungs-ID (entweder die Client-App-ID oder die Ressourcen-App-ID) ein. Wählen Sie dann die Anwendung in den Suchergebnissen aus. Wiederholen Sie diesen Schritt für jede Anwendung, die Sie hinzufügen möchten.
    • Wenn Sie mit der Auswahl von Anwendungen fertig sind, wählen Sie "Auswählen" aus.

    

14. Wählen Sie "Speichern" aus.

So ändern Sie die Einstellungen für ausgehenden Vertrauensstellungen

(Dieser Abschnitt gilt nur für Organisationseinstellungen .)

1. Wählen Sie die Registerkarte " Vertrauensstellungseinstellungen " aus.

2. Überprüfen Sie die Option "Automatische Einlösung ":

   • Automatisches Einlösen von Einladungen mit dem Mandanten<mandant>: Überprüfen Sie diese Einstellung, wenn Sie Einladungen automatisch einlösen möchten. In diesem Fall müssen Benutzer dieses Mandanten die Einwilligungsaufforderung nicht akzeptieren, wenn sie zum ersten Mal über mandantenübergreifende Synchronisierung, B2B-Zusammenarbeit oder direkte B2B-Verbindung auf den angegebenen Mandanten zugreifen. Diese Einstellung unterdrückt die Einwilligungsaufforderung nur, wenn der angegebene Mandant diese Einstellung auch für den eingehenden Zugriff überprüft.

     

3. Wählen Sie "Speichern" aus.

Entfernen einer Organisation

Wenn Sie eine Organisation aus ihren Organisationseinstellungen entfernen, werden die mandantenübergreifenden Standardzugriffseinstellungen für diese Organisation wirksam.

Hinweis

Wenn die Organisation ein Clouddienstanbieter für Ihre Organisation ist (die isServiceProvider-Eigenschaft in der partnerspezifischen Konfiguration von Microsoft Graph ist wahr), können Sie die Organisation nicht entfernen.

1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu denMandantenübergreifenden Zugriffseinstellungen für >>.

3. Wählen Sie die Registerkarte " Organisationseinstellungen " aus.

4. Suchen Sie die Organisation in der Liste, und wählen Sie dann das Papierkorbsymbol in der betreffenden Zeile aus.

Zugehöriger Inhalt

• Konfigurieren der Einstellungen für externe Zusammenarbeit
• Konfigurieren mandantenübergreifender Zugriffseinstellungen für direkte B2B-Verbindungen

Gilt für: Mitarbeitermandanten Externe Mandanten (weitere Informationen)

Verwenden Sie Einstellungen für den mandantenübergreifenden External Identities-Zugriff, um die Zusammenarbeit mit anderen Microsoft Entra-Organisationen über B2B Collaboration zu verwalten. Diese Einstellungen bestimmen sowohl die Ebene des eingehenden Zugriffs von Benutzern in externen Microsoft Entra-Organisationen für Ihre Ressourcen, als auch die Ebene des ausgehenden Zugriffs, die Ihre Benutzer für externe Organisationen benötigen. Sie ermöglichen es Ihnen auch, mehrstufige Authentifizierung (MFA) und Geräteansprüche (kompatible Ansprüche und microsoft Entra Hybrid-verbundene Ansprüche) von anderen Microsoft Entra-Organisationen zu vertrauen. Ausführliche Informationen und Planungsaspekte finden Sie unter "Mandantenübergreifender Zugriff" in der externen Microsoft Entra-ID.

Zusammenarbeit über Clouds hinweg: Partnerorganisationen in verschiedenen Microsoft-Clouds können die B2B-Zusammenarbeit miteinander einrichten. Zunächst müssen beide Organisationen die Zusammenarbeit miteinander aktivieren, wie unter "Konfigurieren von Microsoft-Cloudeinstellungen" beschrieben. Anschließend kann jede Organisation optional ihre Einstellungen für den eingehenden Zugriff und die Einstellungen für ausgehenden Zugriff ändern, wie unten beschrieben.

Wichtig

Microsoft beginnt am 30. August 2023 mit der Umstellung von Kunden mit mandantenübergreifenden Zugriffseinstellungen auf ein neues Speichermodell. Möglicherweise bemerken Sie einen Eintrag in Ihren Überwachungsprotokollen, der Sie darüber informiert, dass Ihre mandantenübergreifenden Zugriffseinstellungen aktualisiert wurden, während ihre Einstellungen von unserer automatisierten Aufgabe migriert werden. Für ein kurzes Zeitfenster können Sie während der Migrationsprozesse keine Änderungen an Ihren Einstellungen vornehmen. Wenn Sie keine Änderung vornehmen können, sollten Sie einige Augenblicke warten und es erneut versuchen. Nach Abschluss der Migration werden Sie nicht mehr mit 25 KB Speicherplatz begrenzt , und es gibt keine weiteren Grenzwerte für die Anzahl der Partner, die Sie hinzufügen können.

Achtung

Das Ändern der Standardeinstellungen für eingehende oder ausgehende Einstellungen zum Blockieren des Zugriffs könnte den vorhandenen geschäftskritischen Zugriff auf Apps in Ihrer Organisation oder Partnerorganisationen blockieren. Achten Sie darauf, die tools zu verwenden, die im mandantenübergreifenden Zugriff in microsoft Entra External ID beschrieben sind, und wenden Sie sich an Ihre Geschäftsbeteiligten, um den erforderlichen Zugriff zu identifizieren.

• Lesen Sie den Abschnitt "Wichtige Überlegungen " in der Übersicht über den mandantenübergreifenden Zugriff , bevor Sie Ihre mandantenübergreifenden Zugriffseinstellungen konfigurieren.
• Verwenden Sie die Tools, und befolgen Sie die Empfehlungen unter "Identifizieren von eingehenden und ausgehenden Anmeldungen ", um zu verstehen, auf welche externen Microsoft Entra-Organisationen und Ressourcen benutzer derzeit zugreifen.
• Legen Sie die Standardzugriffsebene fest, die Sie auf alle externen Microsoft Entra-Organisationen anwenden möchten.
• Identifizieren Sie alle Microsoft Entra-Organisationen, die angepasste Einstellungen benötigen, damit Sie organisationsspezifische Einstellungen konfigurieren können.
• Wenn Sie Zugriffseinstellungen auf bestimmte Benutzer, Gruppen oder Anwendungen in einer externen Organisation anwenden möchten, müssen Sie sich vor dem Konfigurieren der Einstellungen an die Organisation wenden, um erforderliche Informationen zu erhalten. Rufen Sie ihre Benutzerobjekt-IDs, Gruppenobjekt-IDs oder Anwendungs-IDs (Client-App-IDs oder Ressourcen-App-IDs) ab, damit Sie Ihre Einstellungen richtig ausrichten können.
• Wenn Sie die B2B-Zusammenarbeit mit einer Partnerorganisation in einer externen Microsoft Azure-Cloud einrichten möchten, führen Sie die Schritte unter Konfigurieren der Microsoft-Cloudeinstellungen aus. Ein Administrator in der Partnerorganisation muss denselben Vorgang für Ihren Mandanten ausführen.
• Sowohl die Einstellungen für die Erlaubnis-/Blockierliste als auch für den mandantenübergreifenden Zugriff werden zum Zeitpunkt der Einladung überprüft. Wenn sich die Domäne eines Benutzers in der Zulassungsliste befindet, kann er bzw. sie eingeladen werden, sofern die Domäne nicht ausdrücklich in den mandantenübergreifenden Zugriffseinstellungen blockiert ist. Wenn sich die Domäne eines Benutzers in der Blockliste befindet, kann er bzw. sie unabhängig von den Einstellungen für den mandantenübergreifenden Zugriff nicht eingeladen werden. Wenn ein Benutzer nicht in einer Liste enthalten ist, werden die Einstellungen für den mandantenübergreifenden Zugriff überprüft, um zu ermitteln, ob er bzw. sie eingeladen werden kann.

Mandantenübergreifende Standardzugriffseinstellungen gelten für alle externen Organisationen, für die Sie keine organisationsspezifischen benutzerdefinierten Einstellungen erstellt haben. Wenn Sie die von Microsoft Entra ID bereitgestellten Standardeinstellungen ändern möchten, führen Sie die folgenden Schritte aus.

1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

2. NavigierenSie zu den Einstellungen für den> der Entra-ID>, und wählen Sie dann einstellungen für den mandantenübergreifenden Zugriff aus.

3. Wählen Sie die Registerkarte "Standardeinstellungen " aus, und überprüfen Sie die Zusammenfassungsseite.

   

4. Um die Einstellungen zu ändern, wählen Sie den Link " Eingehende Standardeinstellungen bearbeiten " oder den Link " Ausgehende Standardeinstellungen bearbeiten " aus.

   

5. Ändern Sie die Standardeinstellungen anhand der ausführlichen Schritte in diesen Abschnitten:

   • Ändern der Einstellungen für den eingehenden Zugriff
   • Ändern der Einstellungen für ausgehenden Zugriff

Führen Sie die folgenden Schritte aus, um benutzerdefinierte Einstellungen für bestimmte Organisationen zu konfigurieren:

1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu den Einstellungen für denmandantenübergreifenden Zugriff von >> und wählen Sie dann "Organisationseinstellungen" aus.

3. Wählen Sie "Organisation hinzufügen" aus.

4. Geben Sie im Bereich " Organisation hinzufügen " den vollständigen Domänennamen (oder die Mandanten-ID) für die Organisation ein.

   

5. Wählen Sie die Organisation in den Suchergebnissen und dann "Hinzufügen" aus.

6. Die Organisation wird in der Liste " Organisationseinstellungen " angezeigt. An diesem Punkt werden alle Zugriffseinstellungen für diese Organisation von Ihren Standardeinstellungen geerbt. Wenn Sie die Einstellungen für diese Organisation ändern möchten, wählen Sie den geerbten Standardlink unter der Spalte " Eingehender Zugriff " oder " Ausgehender Zugriff " aus.

   

7. Ändern Sie die Einstellungen der Organisation anhand der ausführlichen Schritte in diesen Abschnitten:

   • Ändern der Einstellungen für den eingehenden Zugriff
   • Ändern der Einstellungen für ausgehenden Zugriff

Mit den Einstellungen für eingehenden Zugriff wählen Sie aus, welche externen Benutzer und Gruppen auf die von Ihnen ausgewählten internen Anwendungen zugreifen können. Unabhängig davon, ob Sie Standardeinstellungen oder organisationsspezifische Einstellungen konfigurieren, sind die Schritte zum Ändern der mandantenübergreifenden Einstellungen für den eingehenden Zugriff identisch. Wie in diesem Abschnitt beschrieben, navigieren Sie entweder zur Registerkarte "Standard " oder zu einer Organisation auf der Registerkarte " Organisationseinstellungen ", und nehmen Sie dann Ihre Änderungen vor.

1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu denMandantenübergreifenden Zugriffseinstellungen für >>.

3. Navigieren Sie zu den Einstellungen, die Sie ändern möchten:

   • Standardeinstellungen: Um die Standardeinstellungen für eingehende Einstellungen zu ändern, wählen Sie die Registerkarte " Standardeinstellungen " aus, und wählen Sie dann unter " Einstellungen für eingehenden Zugriff" die Option "Eingehende Standardeinstellungen bearbeiten" aus.
   • Organisationseinstellungen: Um Einstellungen für eine bestimmte Organisation zu ändern, wählen Sie die Registerkarte " Organisationseinstellungen " aus, suchen Sie die Organisation in der Liste (oder fügen Sie eins hinzu), und wählen Sie dann den Link in der Spalte " Eingehender Zugriff " aus.

4. Führen Sie die ausführlichen Schritte für die Einstellungen für den eingehenden Zugriff aus, die Sie ändern möchten:

   • So ändern Sie eingehende B2B-Einstellungen für die Zusammenarbeit
   • So ändern Sie eingehende Vertrauenseinstellungen für die Annahme von MFA- und Geräteansprüchen

Hinweis

Wenn Sie die systemeigenen Freigabefunktionen in Microsoft SharePoint und Microsoft OneDrive mit aktivierter Microsoft Entra B2B-Integration verwenden, müssen Sie die externen Domänen zu den Einstellungen für die externe Zusammenarbeit hinzufügen. Andernfalls können Einladungen aus diesen Anwendungen fehlschlagen, auch wenn der externe Mandant in den mandantenübergreifenden Zugriffseinstellungen hinzugefügt wurde.

So ändern Sie die Einstellungen für die B2B-Zusammenarbeit in eingehender Richtung

1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu den Einstellungenfür den mandantenübergreifenden Zugriff von >> und wählen Sie dann "Organisationseinstellungen" aus.

3. Wählen Sie den Link in der Spalte " Eingehender Zugriff " und die B2B-Zusammenarbeit aus, wenn Sie den Zugriff für alle externen Benutzer und Gruppen blockieren, müssen Sie auch den Zugriff auf alle internen Anwendungen blockieren.

4. Wenn Sie Einstellungen für den eingehenden Zugriff für eine bestimmte Organisation konfigurieren, wählen Sie eine Option aus:

   • Standardeinstellungen: Wählen Sie diese Option aus, wenn die Organisation die Standardeinstellungen für eingehende Einstellungen verwenden soll (wie unter den Standardeinstellungen konfiguriert, wenn Sie den Zugriff für alle externen Benutzer und Gruppen blockieren, müssen Sie auch den Zugriff auf alle internen Anwendungen blockieren. Wenn angepasste Einstellungen bereits für diese Organisation konfiguriert wurden, müssen Sie "Ja " auswählen, um zu bestätigen, dass alle Einstellungen durch die Standardeinstellungen ersetzt werden sollen. Wählen Sie dann "Speichern" aus, und überspringen Sie die restlichen Schritte in diesem Verfahren.

   • Einstellungen anpassen: Wählen Sie diese Option aus, wenn Sie die Einstellungen anpassen möchten, die für diese Organisation anstelle der Standardeinstellungen erzwungen werden sollen. Fahren Sie mit den übrigen Schritten in diesem Verfahren fort.

5. Wählen Sie externe Benutzer und Gruppen aus.

6. Wählen Sie unter Access-Status eine der folgenden Optionen aus:

   • Zugriff zulassen: Ermöglicht benutzern und Gruppen, die unter "Gilt für die Einladung zur B2B-Zusammenarbeit" angegeben sind.
   • Zugriff blockieren: Blockiert die unter "Gilt für die Einladung zur B2B-Zusammenarbeit" angegebenen Benutzer und Gruppen.

   

7. Wählen Sie unter "Gilt für" eine der folgenden Optionen aus:

   • Alle externen Benutzer und Gruppen: Wendet die Aktion an, die Sie unter Access-Status für alle Benutzer und Gruppen von externen Microsoft Entra-Organisationen ausgewählt haben.
   • Auswählen externer Benutzer und Gruppen (erfordert ein Microsoft Entra ID P1- oder P2-Abonnement): Hiermit können Sie die Aktion anwenden, die Sie unter Access-Status für bestimmte Benutzer und Gruppen innerhalb der externen Organisation ausgewählt haben.

   Hinweis

   Wenn Sie den Zugriff für alle externen Benutzer und Gruppen blockieren, müssen Sie auch den Zugriff auf alle internen Anwendungen (auf der Registerkarte "Anwendungen ") blockieren. Wenn Sie die mandantenübergreifende Synchronisierung konfiguriert haben, kann das Blockieren des Zugriffs für alle externen Benutzer und Gruppen die mandantenübergreifende Synchronisierung blockieren.

   

8. Wenn Sie "Externe Benutzer und Gruppen auswählen" ausgewählt haben, führen Sie die folgenden Schritte für jeden Benutzer oder jede Gruppe aus, die Sie hinzufügen möchten:

   • Wählen Sie "Externe Benutzer und Gruppen hinzufügen" aus.
   • Geben Sie im Bereich "Weitere Benutzer und Gruppen hinzufügen " im Suchfeld die Benutzerobjekt-ID oder gruppenobjekt-ID ein, die Sie von Ihrer Partnerorganisation erhalten haben.
   • Wählen Sie im Menü neben dem Suchfeld entweder den Benutzer oder die Gruppe aus.
   • Wählen Sie "Hinzufügen" aus.

   Hinweis

   Sie können keine Benutzer oder Gruppen in den Standardeinstellungen für eingehenden Datenverkehr anvisieren.

   

9. Wenn Sie mit dem Hinzufügen von Benutzern und Gruppen fertig sind, wählen Sie "Absenden" aus.

   

10. Wählen Sie die Registerkarte "Anwendungen " aus.

11. Wählen Sie unter Access-Status eine der folgenden Optionen aus:

    • Zugriff zulassen: Ermöglicht den Zugriff auf die unter "Gilt" angegebenen Anwendungen für den Zugriff durch B2B-Zusammenarbeitsbenutzer.
    • Zugriff blockieren: Blockiert die unter "Gilt für den Zugriff durch Benutzer der B2B-Zusammenarbeit" angegebenen Anwendungen.

    

12. Wählen Sie unter "Gilt für" eine der folgenden Optionen aus:

    • Alle Anwendungen: Wendet die Aktion an, die Sie unter Access-Status für alle Ihre Anwendungen ausgewählt haben.
    • Auswählen von Anwendungen (erfordert ein Microsoft Entra ID P1- oder P2-Abonnement): Hiermit können Sie die Aktion anwenden, die Sie unter Access-Status auf bestimmte Anwendungen in Ihrer Organisation ausgewählt haben.

    Hinweis

    Wenn Sie den Zugriff auf alle Anwendungen blockieren, müssen Sie auch den Zugriff für alle externen Benutzer und Gruppen blockieren (auf der Registerkarte "Externe Benutzer und Gruppen ").

    

13. Wenn Sie "Anwendungen auswählen" ausgewählt haben, führen Sie die folgenden Schritte für jede Anwendung aus, die Sie hinzufügen möchten:

    • Wählen Sie "Microsoft-Anwendungen hinzufügen " oder "Andere Anwendungen hinzufügen" aus.
    • Geben Sie im Auswahlbereich den Anwendungsnamen oder die Anwendungs-ID (entweder die Client-App-ID oder die Ressourcen-App-ID) in das Suchfeld ein. Wählen Sie dann die Anwendung in den Suchergebnissen aus. Wiederholen Sie diesen Schritt für jede Anwendung, die Sie hinzufügen möchten.
    • Wenn Sie mit der Auswahl von Anwendungen fertig sind, wählen Sie "Auswählen" aus.

    

14. Wählen Sie "Speichern" aus.

Überlegungen zum Zulassen von Microsoft-Anwendungen

Wenn Sie mandantenübergreifende Zugriffseinstellungen so konfigurieren möchten, dass nur eine bestimmte Gruppe von Anwendungen zulässig ist, sollten Sie die in der folgenden Tabelle gezeigten Microsoft-Anwendungen hinzufügen. Wenn Sie beispielsweise eine Zulassungsliste konfigurieren und SharePoint Online nur zulassen, kann der Benutzer nicht auf "Meine Apps" zugreifen oder sich für MFA im Ressourcenmandanten registrieren. Um eine reibungslose Endbenutzerumgebung sicherzustellen, fügen Sie die folgenden Anwendungen in Ihre Einstellungen für die eingehende und ausgehende Zusammenarbeit ein.

Anwendung	Ressourcen-ID	Im Portal verfügbar	Einzelheiten
Meine Apps	2793995E-0A7D-40D7-BD35-6968BA142197	Ja	Standardmäßige Startseite nach eingelöster Einladung. Definiert den Zugriff auf myapplications.microsoft.com.
Microsoft-App-Zugriffspanel	0000000c-0000-0000-c000-000000000000	Nein	Wird bei einigen verspätet gebundenen Anrufen beim Laden bestimmter Seiten in "Meine Anmeldungen" verwendet. Beispielsweise das Blatt "Sicherheitsinformationen" oder "Organisationen".
Mein Profil	8C59EAD7-D703-4A27-9E55-C96A0054C8D2	Ja	Definiert den Zugriff auf myaccount.microsoft.com das Einschließen von "Meine Gruppen" und "Meine Zugriffsportale". Einige Registerkarten in "Mein Profil" erfordern die hier aufgeführten anderen Apps, um zu funktionieren.
Meine Anmeldungen	19db86c3-b2b9-44cc-b339-36da233a3be2	Nein	Definiert den Zugriff auf den Zugriff mysignins.microsoft.com auf Sicherheitsinformationen. Lassen Sie diese App zu, wenn Benutzer sich für MFA im Ressourcenmandanten registrieren und verwenden müssen (z. B. ist MFA nicht vom Heimmandanten vertrauenswürdig).

Einige der Anwendungen in der vorherigen Tabelle lassen keine Auswahl über das Microsoft Entra Admin Center zu. Um sie zuzulassen, fügen Sie sie mit der Microsoft Graph-API hinzu, wie im folgenden Beispiel gezeigt:

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

Hinweis

Achten Sie darauf, alle zusätzlichen Anwendungen einzuschließen, die Sie in der PATCH-Anforderung zulassen möchten, da dadurch alle zuvor konfigurierten Anwendungen überschrieben werden. Bereits konfigurierte Anwendungen können manuell aus dem Portal oder durch Ausführen einer GET-Anforderung für die Partnerrichtlinie abgerufen werden. Beispiel: GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

Hinweis

Anwendungen, die über die Microsoft Graph-API hinzugefügt werden, die keiner im Microsoft Entra Admin Center verfügbaren Anwendung zugeordnet sind, werden als App-ID angezeigt.

Sie können die Microsoft Admin Portals-App nicht zu den Einstellungen für den eingehenden und ausgehenden mandantenübergreifenden Zugriff im Microsoft Entra Admin Center hinzufügen. Verwenden Sie die Microsoft Graph-API, um externen Zugriff auf Microsoft-Verwaltungsportale zu ermöglichen, um die folgenden Apps einzeln hinzuzufügen, die Teil der Microsoft Admin Portals-App-Gruppe sind:

• Azure-Portal (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Microsoft Entra Admin Center (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Microsoft 365 Defender-Portal (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Microsoft Intune Admin Center (80ccca67-54bd-44ab-8625-4b79c4dc775)
• Microsoft Purview-Complianceportal (80ccca67-54bd-44ab-8625-4b79c4dc7775)

Konfigurieren der Einlösungsreihenfolge

Um die Reihenfolge der Identitätsanbieter anzupassen, mit denen sich Ihre Gastbenutzer anmelden können, wenn sie Ihre Einladung annehmen, befolgen Sie diese Schritte.

1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu denMandantenübergreifenden Zugriffseinstellungen für >>.

3. Wählen Sie auf der Registerkarte "Standardeinstellungen " unter " Einstellungen für eingehenden Zugriff" die Option " Eingehende Standardeinstellungen bearbeiten" aus.

4. Wählen Sie auf der Registerkarte "B2B-Zusammenarbeit " die Registerkarte " Einlösungsreihenfolge " aus.

5. Verschieben Sie die Identitätsanbieter nach oben oder unten, um die Reihenfolge zu ändern, in der sich Ihre Gastbenutzer anmelden können, wenn sie Ihre Einladung annehmen. Sie können die Einlösungsreihenfolge auch hier auf die Standardeinstellungen zurücksetzen.

   

6. Wählen Sie "Speichern" aus.

Sie können die Einlösungsreihenfolge auch über die Microsoft Graph-API anpassen.

1. Öffnen Sie den Microsoft Graph-Explorer.

2. Melden Sie sich als Sicherheitsadministrator bei Ihrem Ressourcenmandanten an.

3. Führen Sie die folgende Abfrage aus, um die aktuellen Einlösungsreihenfolge abzurufen:

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default

4. In diesem Beispiel verschieben wir den SAML/WS-Fed IdP-Verbund an den Anfang der Einlösungsreihenfolge über den Microsoft Entra-Identitätsanbieter. Patchen Sie den gleichen URI mit diesem Anforderungstext:

{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}

5. Führen Sie die GET-Abfrage erneut aus, um die Änderungen zu überprüfen.

6. Führen Sie die folgende Abfrage aus, um die Einlösungsreihenfolge auf die Standardeinstellungen zurückzusetzen:

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

SAML/WS-Fed-Partnerverbund (Direkter Partnerverbund) für überprüfte Microsoft Entra ID-Domänen

Sie können nun Ihre verifizierte Microsoft Entra ID-Domäne hinzufügen, um die direkte Föderationsbeziehung einzurichten. Zuerst müssen Sie die Konfiguration des direkten Partnerverbunds im Admin Center oder über die API einrichten. Stellen Sie sicher, dass die Domäne nicht im selben Mandanten verifiziert wird. Sobald die Konfiguration eingerichtet ist, können Sie die Einlösungsreihenfolge anpassen. Der SAML/WS-Fed IdP wird als letzter Eintrag zur Einlösungsreihenfolge hinzugefügt. Sie können es in der Einlösungsreihenfolge nach oben verschieben, um sie über dem Microsoft Entra-Identitätsanbieter festzulegen.

Verhindern Sie, dass Ihre B2B-Benutzer und -Benutzerinnen Einladungen mit Microsoft-Konten einlösen

Um zu verhindern, dass Ihre B2B-Gastbenutzer ihre Einladung mit ihren vorhandenen Microsoft-Konten einlösen oder eine neue Einladung erstellen, um die Einladung anzunehmen, befolgen Sie die Schritte unten.

1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu denMandantenübergreifenden Zugriffseinstellungen für >>.

3. Wählen Sie auf der Registerkarte "Standardeinstellungen " unter " Einstellungen für eingehenden Zugriff" die Option " Eingehende Standardeinstellungen bearbeiten" aus.

4. Wählen Sie auf der Registerkarte "B2B-Zusammenarbeit " die Registerkarte " Einlösungsreihenfolge " aus.

5. Deaktivieren Sie unter Fallback-Identitätsanbieter das Microsoft-Dienstkonto (MSA).

   

6. Wählen Sie "Speichern" aus.

Sie müssen zu jedem Zeitpunkt mindestens einen Fallback-Identitätsanbieter aktiviert haben. Wenn Sie Microsoft-Konten deaktivieren möchten, müssen Sie den Einmal-Passcode per E-Mail aktivieren. Sie können nicht beide Fallbackidentitätsanbieter deaktivieren. Alle vorhandenen Gastbenutzer, die mit Microsoft-Konten angemeldet sind, verwenden sie bei nachfolgenden Anmeldungen weiterhin. Sie müssen deren Einlösungsstatus zurücksetzen , damit diese Einstellung angewendet werden kann.

So ändern Sie Einstellungen für eingehende Vertrauensstellungen für MFA- und Geräteansprüche

1. Wählen Sie die Registerkarte " Vertrauensstellungseinstellungen " aus.

2. (Dieser Schritt gilt nur für Organisationseinstellungen .) Wenn Sie Einstellungen für eine Organisation konfigurieren, wählen Sie eine der folgenden Optionen aus:

   • Standardeinstellungen: Die Organisation verwendet die auf der Registerkarte "Standardeinstellungen " konfigurierten Einstellungen. Wenn angepasste Einstellungen bereits für diese Organisation konfiguriert wurden, wählen Sie "Ja " aus, um zu bestätigen, dass alle Einstellungen durch die Standardeinstellungen ersetzt werden sollen. Wählen Sie dann "Speichern" aus, und überspringen Sie die restlichen Schritte in diesem Verfahren.

   • Anpassen von Einstellungen: Sie können die Einstellungen anpassen, um diese Organisation anstelle der Standardeinstellungen zu erzwingen. Fahren Sie mit den übrigen Schritten in diesem Verfahren fort.

3. Wählen Sie eine oder mehrere der folgenden Optionen aus:

   • Mehrstufige Authentifizierung von Microsoft Entra-Mandanten vertrauen: Aktivieren Sie dieses Kontrollkästchen, damit Ihre Richtlinien für bedingten Zugriff MFA-Ansprüche von externen Organisationen vertrauen können. Während der Authentifizierung überprüft Microsoft Entra ID die Anmeldeinformationen von Benutzer*innen auf einen Anspruch, dass die MFA abgeschlossen wurde. Falls nicht, wird im Basismandanten des Benutzers bzw. der Benutzerin eine MFA-Abfrage initiiert. Diese Einstellung wird nicht angewendet, wenn sich ein externer Benutzer mit granularen delegierten Administratorrechten (GDAP) anmeldet, z. B. von einem Techniker bei einem Clouddienstanbieter, der Dienste in Ihrem Mandanten verwaltet. Wenn sich ein externer Benutzender über GDAP anmeldet, ist MFA im Mandanten des Benutzenden immer erforderlich und im Mandanten der Ressource immer vertrauenswürdig. Die MFA-Registrierung eines GDAP-Benutzers wird außerhalb des Mandanten des Benutzers nicht unterstützt. Wenn Ihre Organisation den Zugriff auf Techniker des Dienstanbieters basierend auf MFA im Heimmandanten des Benutzers verbieten muss, können Sie die GDAP-Beziehung im Microsoft 365 Admin Center entfernen.

   • Vertrauenswürdige Geräte: Ermöglicht Es Ihren Richtlinien für den bedingten Zugriff, vertrauenswürdige Geräteansprüche aus einer externen Organisation zu vertrauen, wenn ihre Benutzer auf Ihre Ressourcen zugreifen.

   • Vertrauen Sie mit microsoft Entra hybrid verbundenen Geräten: Ermöglicht Es Ihren Richtlinien für den bedingten Zugriff, microsoft Entra hybrid verbundene Geräteansprüche aus einer externen Organisation zu vertrauen, wenn ihre Benutzer auf Ihre Ressourcen zugreifen.

   

4. (Dieser Schritt gilt nur für Organisationseinstellungen .) Überprüfen Sie die Option "Automatische Einlösung ":

   • Automatisches Einlösen von Einladungen mit dem Mandanten<mandant>: Überprüfen Sie diese Einstellung, wenn Sie Einladungen automatisch einlösen möchten. In diesem Fall müssen Benutzer des angegebenen Mandanten die Einwilligungsaufforderung nicht akzeptieren, wenn sie zum ersten Mal über mandantenübergreifende Synchronisierung, B2B-Zusammenarbeit oder direkte B2B-Verbindung auf diesen Mandanten zugreifen. Diese Einstellung unterdrückt die Einwilligungsaufforderung nur, wenn der angegebene Mandant diese Einstellung auch für den ausgehenden Zugriff überprüft.

   

5. Wählen Sie "Speichern" aus.

Zulassen der Benutzersynchronisierung mit diesem Mandanten

Wenn Sie den eingehenden Zugriff der hinzugefügten Organisation auswählen, wird die Registerkarte " Mandantenübergreifende Synchronisierung " und das Kontrollkästchen "Benutzer synchronisieren mit diesem Mandanten zulassen " angezeigt. Die mandantenübergreifende Synchronisation ist ein Einweg-Synchronisationsdienst in Microsoft Entra ID, der das Erstellen, Aktualisieren und Löschen von Benutzern für die B2B-Zusammenarbeit in verschiedenen Mandanten eines Unternehmens automatisiert. Weitere Informationen finden Sie unter Configure cross-tenant synchronization and the Multitenant organizations documentation.

Ändern der Einstellungen für ausgehenden Zugriff

Mit den Einstellungen für ausgehenden Zugriff wählen Sie aus, welche Benutzer und Gruppen auf die von Ihnen ausgewählten externen Anwendungen zugreifen können. Unabhängig davon, ob Sie Standardeinstellungen oder organisationsspezifische Einstellungen konfigurieren, sind die Schritte zum Ändern der mandantenübergreifenden Einstellungen für den ausgehenden Zugriff identisch. Wie in diesem Abschnitt beschrieben, navigieren Sie entweder zur Registerkarte "Standard " oder zu einer Organisation auf der Registerkarte " Organisationseinstellungen ", und nehmen Sie dann Ihre Änderungen vor.

1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu denMandantenübergreifenden Zugriffseinstellungen für >>.

3. Navigieren Sie zu den Einstellungen, die Sie ändern möchten:

   • Um die standardmäßigen ausgehenden Einstellungen zu ändern, wählen Sie die Registerkarte "Standardeinstellungen" und dann unter "Einstellungen für ausgehenden Zugriff" die Option "Ausgehende Standardeinstellungen bearbeiten" aus.

   • Wenn Sie Einstellungen für eine bestimmte Organisation ändern möchten, wählen Sie die Registerkarte " Organisationseinstellungen " aus, suchen Sie die Organisation in der Liste (oder fügen Sie eins hinzu), und wählen Sie dann den Link in der Spalte " Ausgehender Zugriff " aus.

4. Wählen Sie die Registerkarte "B2B-Zusammenarbeit " aus.

5. (Dieser Schritt gilt nur für Organisationseinstellungen .) Wenn Sie Einstellungen für eine Organisation konfigurieren, wählen Sie eine Option aus:

   • Standardeinstellungen: Die Organisation verwendet die auf der Registerkarte "Standardeinstellungen " konfigurierten Einstellungen. Wenn angepasste Einstellungen bereits für diese Organisation konfiguriert wurden, müssen Sie "Ja " auswählen, um zu bestätigen, dass alle Einstellungen durch die Standardeinstellungen ersetzt werden sollen. Wählen Sie dann "Speichern" aus, und überspringen Sie die restlichen Schritte in diesem Verfahren.

   • Anpassen von Einstellungen: Sie können die Einstellungen anpassen, um diese Organisation anstelle der Standardeinstellungen zu erzwingen. Fahren Sie mit den übrigen Schritten in diesem Verfahren fort.

6. Wählen Sie "Benutzer und Gruppen" aus.

7. Wählen Sie unter Access-Status eine der folgenden Optionen aus:

   • Zugriff zulassen: Ermöglicht Benutzern und Gruppen, die unter "Gilt für die Einladung zu externen Organisationen für die B2B-Zusammenarbeit" angegeben sind.
   • Zugriff blockieren: Blockiert Ihre Unter "Gilt für die Einladung zur B2B-Zusammenarbeit" angegebenen Benutzer und Gruppen. Wenn Sie den Zugriff für alle Benutzer und Gruppen blockieren, wird dadurch auch der Zugriff auf alle externen Anwendungen über die B2B-Zusammenarbeit blockiert.

   

8. Wählen Sie unter "Gilt für" eine der folgenden Optionen aus:

   • Alle <Benutzer Ihrer Organisation>: Wendet die Aktion an, die Sie unter Access-Status für alle Ihre Benutzer und Gruppen ausgewählt haben.
   • Wählen Sie <Benutzer und Gruppen Ihrer Organisation> aus (erfordert ein Microsoft Entra ID P1- oder P2-Abonnement): Hier können Sie die Aktion anwenden, die Sie unter Access-Status für bestimmte Benutzer und Gruppen ausgewählt haben.

   Hinweis

   Wenn Sie den Zugriff für alle Ihre Benutzer und Gruppen blockieren, müssen Sie auch den Zugriff auf alle externen Anwendungen blockieren (auf der Registerkarte "Externe Anwendungen ").

   

9. Wenn Sie "Benutzer und Gruppen Ihrer Organisation< auswählen>" ausgewählt haben, führen Sie die folgenden Schritte für jeden Benutzer oder jede Gruppe aus, die Sie hinzufügen möchten:

   • Wählen Sie "Benutzer und Gruppen Ihrer Organisation< hinzufügen>" aus.
   • Geben Sie im Auswahlbereich den Benutzernamen oder gruppennamen in das Suchfeld ein.
   • Wählen Sie den Benutzer oder die Gruppe in den Suchergebnissen aus.
   • Wenn Sie damit fertig sind, die Benutzer und Gruppen auszuwählen, die Sie hinzufügen möchten, wählen Sie "Auswählen" aus.

   Hinweis

   Wenn Sie auf Ihre Benutzer und Gruppen abzielen, können Sie keine Benutzer auswählen, die die SMS-basierte Authentifizierung konfiguriert haben. Dies liegt daran, dass Benutzer, die über „Verbundanmeldeinformationen“ für ihr Benutzerobjekt verfügen, blockiert werden, um zu verhindern, dass externe Benutzer zu ausgehenden Zugriffseinstellungen hinzugefügt werden. Als Problemumgehung können Sie die Microsoft Graph-API verwenden, um die Objekt-ID des Benutzers direkt hinzuzufügen oder eine Gruppe anzuzielen, zu der der Benutzer gehört.

10. Wählen Sie die Registerkarte "Externe Anwendungen " aus.

11. Wählen Sie unter Access-Status eine der folgenden Optionen aus:

    • Zugriff zulassen: Ermöglicht den Zugriff auf die unter "Gilt" angegebenen externen Anwendungen, um von Ihren Benutzern über die B2B-Zusammenarbeit auf sie zugreifen zu können.
    • Zugriff blockieren: Blockiert die unter "Gilt für den Zugriff durch Ihre Benutzer über die B2B-Zusammenarbeit angegebenen externen Anwendungen".

    

12. Wählen Sie unter "Gilt für" eine der folgenden Optionen aus:

    • Alle externen Anwendungen: Wendet die Aktion an, die Sie unter Access-Status für alle externen Anwendungen ausgewählt haben.
    • Wählen Sie externe Anwendungen aus: Wendet die Aktion an, die Sie unter Access-Status für alle externen Anwendungen ausgewählt haben.

    Hinweis

    Wenn Sie den Zugriff auf alle externen Anwendungen blockieren, müssen Sie auch den Zugriff für alle Benutzer und Gruppen blockieren (auf der Registerkarte " Benutzer und Gruppen ").

    

13. Wenn Sie "Externe Anwendungen auswählen" ausgewählt haben, führen Sie die folgenden Schritte für jede Anwendung aus, die Sie hinzufügen möchten:

    • Wählen Sie "Microsoft-Anwendungen hinzufügen " oder "Andere Anwendungen hinzufügen" aus.
    • Geben Sie im Suchfeld den Anwendungsnamen oder die Anwendungs-ID (entweder die Client-App-ID oder die Ressourcen-App-ID) ein. Wählen Sie dann die Anwendung in den Suchergebnissen aus. Wiederholen Sie diesen Schritt für jede Anwendung, die Sie hinzufügen möchten.
    • Wenn Sie mit der Auswahl von Anwendungen fertig sind, wählen Sie "Auswählen" aus.

    

14. Wählen Sie "Speichern" aus.

So ändern Sie die Einstellungen für ausgehenden Vertrauensstellungen

(Dieser Abschnitt gilt nur für Organisationseinstellungen .)

1. Wählen Sie die Registerkarte " Vertrauensstellungseinstellungen " aus.

2. Überprüfen Sie die Option "Automatische Einlösung ":

   • Automatisches Einlösen von Einladungen mit dem Mandanten<mandant>: Überprüfen Sie diese Einstellung, wenn Sie Einladungen automatisch einlösen möchten. In diesem Fall müssen Benutzer dieses Mandanten die Einwilligungsaufforderung nicht akzeptieren, wenn sie zum ersten Mal über mandantenübergreifende Synchronisierung, B2B-Zusammenarbeit oder direkte B2B-Verbindung auf den angegebenen Mandanten zugreifen. Diese Einstellung unterdrückt die Einwilligungsaufforderung nur, wenn der angegebene Mandant diese Einstellung auch für den eingehenden Zugriff überprüft.

     

3. Wählen Sie "Speichern" aus.

Wenn Sie eine Organisation aus ihren Organisationseinstellungen entfernen, werden die mandantenübergreifenden Standardzugriffseinstellungen für diese Organisation wirksam.

Hinweis

Wenn die Organisation ein Clouddienstanbieter für Ihre Organisation ist (die isServiceProvider-Eigenschaft in der partnerspezifischen Konfiguration von Microsoft Graph ist wahr), können Sie die Organisation nicht entfernen.

1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu denMandantenübergreifenden Zugriffseinstellungen für >>.

3. Wählen Sie die Registerkarte " Organisationseinstellungen " aus.

4. Suchen Sie die Organisation in der Liste, und wählen Sie dann das Papierkorbsymbol in der betreffenden Zeile aus.