Freigeben über


Einlösen der Einladung für die B2B-Zusammenarbeit

Gilt für: Grüner Kreis mit weißem Häkchen. Mitarbeitermandanten Weißer Kreis mit grauem X. Externe Mandanten (weitere Informationen)

In diesem Artikel wird der Einlösungsprozess für Microsoft Entra B2B-Einladungen für Gastbenutzer erläutert, einschließlich der Art, wie sie auf Ihre Ressourcen zugreifen und die erforderlichen Zustimmungsschritte ausführen. Unabhängig davon, ob Sie eine Einladungs-E-Mail senden oder einen direkten Link angeben, werden Gäste durch einen sicheren Anmelde- und Zustimmungsprozess geführt, um die Einhaltung der Datenschutzbedingungen und Nutzungsbedingungen Ihrer Organisation sicherzustellen.

Wenn Sie Ihrem Verzeichnis einen Gastbenutzer hinzufügen, hat das Gastbenutzerkonto einen Zustimmungsstatus (in PowerShell einsehbar), der zunächst auf PendingAcceptance festgelegt ist. Diese Einstellung bleibt bestehen, bis der Gast Ihre Einladung annimmt und Ihrer Datenschutzerklärung und Ihren Nutzungsbedingungen zustimmt. Danach ändert sich der Zustimmungsstatus in Accepted (Akzeptiert), und die Zustimmungsseiten werden dem Gast nicht mehr angezeigt.

Wichtig

  • Wenn Microsoft Entra B2B-Kundschaft neue Google-Integrationen zur Verwendung mit der Self-Service-Registrierung für ihre benutzerdefinierten oder branchenspezifischen Anwendungen einrichtet, funktioniert die Authentifizierung mit Google-Identitäten ab dem 12. Juli 2021 nicht mehr, bis die Authentifizierungen in System-Webansichten verschoben werden. Erfahren Sie mehr
  • Ab dem 30. September 2021 wird Google die Unterstützung für die Anmeldung in der eingebetteten Webansicht einstellen. Wenn Ihre Apps Benutzer mit einer eingebetteten Webansicht authentifizieren und Sie den Google-Verbund mit Azure AD B2C oder Microsoft Entra B2B für externe Benutzereinladungen oder die Self-Service-Registrierung verwenden, können sich Google Gmail-Benutzer nicht authentifizieren. Erfahren Sie mehr
  • Die Funktion Einmalkennung per E-Mail ist jetzt standardmäßig bei allen neuen Mandanten und allen bestehenden Mandanten aktiviert, die sie nicht explizit deaktiviert haben. Wenn diese Funktion deaktiviert ist, fordert die alternative Authentifizierungsmethode eingeladene Personen auf, ein Microsoft-Konto zu erstellen.

Einlösung und Anmeldung über einen gemeinsamen Endpunkt

Gastbenutzer können sich jetzt über einen gemeinsamen Endpunkt (URL, z. B. https://myapps.microsoft.com) bei Ihren mehrinstanzenfähigen Anwendungen oder Microsoft-Erstanbieter-Apps anmelden. Bisher wurden Gastbenutzende über eine gemeinsame URL zur Authentifizierung an den Basismandanten und nicht an den Ressourcenmandanten geleitet, sodass ein mandantenspezifischer Link erforderlich war (z. B. https://myapps.microsoft.com/?tenantid=<tenant id>). Jetzt kann ein Gastbenutzer zur gemeinsamen URL der Anwendung wechseln, dann Anmeldeoptionen und danach Bei einer Organisation anmelden auswählen. Die Benutzer*innen geben dann den Namen Ihrer Organisation ein.

Screenshot des Microsoft Entra B2B-Einlösungsflussdiagramms für Einladungen.

Der Benutzer wird dann an den mandantenspezifischen Endpunkt umgeleitet, wo er sich entweder mit seiner E-Mail-Adresse anmelden oder einen von Ihnen konfigurierten Identitätsanbieter auswählen kann.

Geben Sie als Alternative zur allgemeinen URL der Einladungs-E-Mail oder einer Anwendung einem Gast einen direkten Link zu Ihrer App oder Ihrem Portal. Fügen Sie zuerst den Gastbenutzer über das Microsoft Entra Admin Center oder PowerShell zu Ihrem Verzeichnis hinzu. Verwenden Sie dann eine der anpassbaren Methoden zum Bereitstellen von Anwendungen für Benutzer, einschließlich direkter Anmeldelinks. Wenn ein Gast einen direkten Link anstelle der Einladungs-E-Mail verwendet, wird er immer noch durch die erstmalige Zustimmung geführt.

Hinweis

Ein direkter Link ist mandantenspezifisch. Mit anderen Worten: Er enthält eine Mandanten-ID oder eine überprüfte Domäne, damit sich der Gast bei Ihrem Mandanten, in dem sich die freigegebene App befindet, authentifizieren kann. Hier sind einige Beispiele für direkte Links mit Mandantenkontext:

  • App-Zugriffsbereich: https://myapps.microsoft.com/?tenantid=<tenant id>
  • App-Zugriffsbereich für eine überprüfte Domäne: https://myapps.microsoft.com/<;verified domain>
  • Microsoft Entra Admin Center: https://entra.microsoft.com/<tenant id>
  • Einzelne App: Lesen Sie, wie ein direkter Anmeldelink verwendet wird.

Hier sind einige Punkte, die Sie bei der Verwendung eines direkten Links im Vergleich zu einer Einladungs-E-Mail beachten sollten:

  • E-Mail-Aliase: Gäste, die einen Alias der eingeladenen E-Mail-Adresse verwenden, benötigen eine E-Mail-Einladung. (Ein Alias ist eine zusätzliche E-Mail-Adresse, die einem E-Mail-Konto zugeordnet ist.) Der Benutzer muss die Einlösungs-URL in der Einladungs-E-Mail auswählen.

  • Widersprüchliche Kontaktobjekte: Der Einlösungsprozess wurde angepasst, um Anmeldeprobleme zu verhindern, wenn ein Gastbenutzerobjekt in Konflikt mit einem Kontaktobjekt im Verzeichnis steht. Wenn Sie einen Gast mit einer E-Mail-Adresse hinzufügen oder einladen, die mit der eines vorhandenen Kontakts übereinstimmt, bleibt die proxyAddresses-Eigenschaft des Gastbenutzerobjekts leer. Bisher wurde bei einer externen ID nur die proxyAddresses-Eigenschaft durchsucht, sodass die Einlösung eines direkten Links fehlgeschlagen ist, wenn keine Übereinstimmung gefunden wurde. Nun werden bei einer externen ID sowohl die proxyAddresses-Eigenschaft als auch die E-Mail-Eigenschaft aus der Einladung durchsucht.

Einlösung über die Einladungs-E-Mail

Wenn Sie Ihrem Verzeichnis mithilfe des Microsoft Entra Admin Centers einen Gastbenutzer hinzufügen, wird eine Einladungs-E-Mail an den Gast gesendet. Sie können auch Einladungs-E-Mails senden, wenn Sie Ihrem Verzeichnis mit PowerShell Gastbenutzer hinzufügen. Hier ist eine Beschreibung der Erfahrungen des Gasts, wenn er den Link in der E-Mail einlöst.

  1. Der Gast erhält eine Einladungs-E-Mail, die über Microsoft-Einladungen gesendet wird.
  2. Der Gast wählt Einladung annehmen in der E-Mail aus.
  3. Der Gast verwendet seine eigenen Anmeldeinformationen, um sich bei Ihrem Verzeichnis anzumelden. Wenn der Gast nicht über ein Konto verfügt, das mit Ihrem Verzeichnis verbunden werden kann und das E-Mail-Feature zur einmaligen Kennung (ONE-Time Passcode, OTP) nicht aktiviert ist, wird der Gast aufgefordert, ein persönliches Microsoft-Konto (MSA) zu erstellen. Ausführliche Informationen finden Sie unter Flow beim Einlösen der Einladung.
  4. Der Gast wird schrittweise durch die im Folgenden beschriebene Zustimmungsbenutzeroberfläche geführt.

Flow beim Einlösen der Einladung

Wenn ein Benutzer den Link " Einladung annehmen" in einer Einladungs-E-Mail auswählt, löst Die Microsoft Entra-ID die Einladung automatisch basierend auf der Standardeinlösungsbestellung ein:

Screenshot: Diagramm des Einlösungsprozesses

  1. Microsoft Entra ID führt eine benutzerbasierte Ermittlung durch, um festzustellen, ob der Benutzer bereits in einem verwalteten Microsoft Entra-Mandanten vorhanden ist. (Nicht verwaltete Microsoft Entra-Konten können nicht mehr für den Einlösungsfluss verwendet werden.) Wenn der Benutzerprinzipalname (USER Principal Name, UPN) sowohl mit einem vorhandenen Microsoft Entra-Konto als auch mit einem persönlichen MSA übereinstimmt, wird der Benutzer aufgefordert, auszuwählen, mit welchem Konto er einlösen möchte.

  2. Wenn ein Administrator SAML/WS-Fed IdP-Partnerverbund aktiviert hat, überprüft die Microsoft Entra-ID, ob das Domänensuffix des Benutzers mit der Domäne eines konfigurierten SAML/WS-Fed-Identitätsanbieters übereinstimmt und den Benutzer an den vorkonfigurierten Identitätsanbieter weiterleitet.

  3. Wenn ein Administrator Verbund mit Google aktiviert hat, prüft Microsoft Entra ID, ob das Domänensuffix des Benutzers gmail.com oder googlemail.com ist und leitet den Benutzer zu Google um.

  4. Beim Einlösungsprozess wird geprüft, ob der Benutzer bereits ein persönliches Microsoft-Konto (Microsoft Account, MSA) hat. Wenn der Benutzer bereits über eine vorhandene MSA verfügt, meldet er sich mit seiner vorhandenen MSA an.

  5. Sobald das Basisverzeichnis des Benutzers bestimmt wurde, wird der Benutzer zur Anmeldung an den entsprechenden Identitätsanbieter weitergeleitet.

  6. Wenn kein Stammverzeichnis gefunden wird und die Funktion „Einmalkennung per E-Mail“ für Gäste aktiviert ist, wird über die eingeladene E-Mail-Adresse eine Kennung an den Benutzer gesendet. Der Benutzer ruft diese Kennung ab und gibt sie auf der Anmeldeseite von Microsoft Entra ein.

  7. Wenn kein Stammverzeichnis gefunden wird und der Einmal-Passcode per E-Mail für Gäste deaktiviert ist, werden Benutzende aufgefordert, mit der eingeladenen E-Mail-Adresse ein Microsoft-Konto für Verbraucher zu erstellen. Wir unterstützen das Erstellen eines Microsoft-Kontos mit geschäftlichen E-Mail-Adressen in Domänen, die in Microsoft Entra ID nicht überprüft werden.

  8. Nach Authentifizierung beim richtigen Identitätsanbieter wird der Benutzer zu Microsoft Entra ID umgeleitet, um den Einwilligungsvorgang abzuschließen.

Konfigurierbare Einlösung

Mit konfigurierbarer Einlösung können Sie die Reihenfolge von Identitätsanbietern anpassen, die Gästen angezeigt werden, wenn sie Ihre Einladungen einlösen. Wenn ein Gast den Link Einladung annehmen auswählt, löst die Microsoft Entra-ID die Einladung automatisch basierend auf der Standardbestellung ein. Sie können dies außer Kraft setzen, indem Sie die Einlösungsreihenfolge des Identitätsanbieters in Ihren mandantenübergreifenden Zugriffseinstellungen ändern.

Wenn sich ein Gast zum ersten Mal bei einer Ressourcen in einer Partnerorganisation anmeldet, wird ihm die folgende Umgebung zum Erteilen seiner Einwilligung angezeigt. Diese Seiten für die Einwilligung werden dem Gast nur nach der Anmeldung angezeigt. Sie werden nicht angezeigt, wenn der Benutzer sie bereits akzeptiert hat.

  1. Der Gast überprüft die Seite "Berechtigungen überprüfen" , auf der die Datenschutzbestimmungen der eingeladenen Organisation beschrieben werden. Ein Benutzer muss die Verwendung seiner Informationen gemäß den Datenschutzrichtlinien der eingeladenen Organisation akzeptieren , um den Vorgang fortzusetzen.

    Indem Sie dieser Zustimmungsaufforderung zustimmen, bestätigen Sie, dass bestimmte Elemente Ihres Kontos freigegeben werden. Dazu gehören Ihr Name, Ihr Foto und Ihre E-Mail-Adresse sowie Verzeichnis-IDs, die von der anderen Organisation verwendet werden können, um Ihr Konto besser zu verwalten und ihre organisationsübergreifende Erfahrung zu verbessern.

    Screenshot: Seite „Berechtigungen überprüfen“

    Hinweis

    Informationen dazu, wie Sie als Mandantenadministrator einen Link zu den Datenschutzbestimmungen Ihrer Organisation einrichten, finden Sie unter Hinzufügen der Datenschutzinformationen Ihrer Organisation in Microsoft Entra ID.

  2. Wenn Nutzungsbedingungen konfiguriert sind, öffnet und überprüft der Gast die Nutzungsbedingungen und wählt dann Ich stimme zu aus.

    Screenshot: Neue Nutzungsbedingungen.

    Sie können Nutzungsbedingungen unter External Identities>Nutzungsbedingungen konfigurieren.

  3. Sofern nicht anders angegeben, wird der Gast zum Zugriffsbereich für Apps weitergeleitet, der die Anwendungen auflistet, auf die der Gast zugreifen kann.

    Screenshot: Zugriffsbereich für Apps.

In Ihrem Verzeichnis ändert sich der Wert Invitation accepted (Einladung angenommen) des Gasts in Yes (Ja). Wenn ein MSA erstellt wurde, wird als Quelle des Gasts Microsoft-Konto angezeigt. Weitere Informationen zu den Eigenschaften des Gastbenutzerkontos finden Sie unter Eigenschaften eines Benutzers von Microsoft Entra B2B-Zusammenarbeit. Wenn beim Zugreifen auf eine Anwendung eine Fehlermeldung angezeigt wird, die besagt, dass eine Administratoreinwilligung erforderlich ist, lesen Sie Erteilen der Administratoreinwilligung für Apps.

Einstellung für die automatische Einlösung

Es wird empfohlen, Einladungen automatisch einzulösen, damit Benutzer die Einwilligungsaufforderung nicht akzeptieren müssen, wenn sie einem anderen Mandanten für die B2B-Zusammenarbeit hinzugefügt werden. Bei der Konfiguration wird eine Benachrichtigungs-E-Mail an den B2B-Zusammenarbeitsbenutzer gesendet, die keine Aktion des Benutzers erfordert. Benutzer erhalten die Benachrichtigungs-E-Mail direkt und müssen nicht zuerst auf den Mandanten zugreifen, damit sie die E-Mail empfangen.

Informationen zum automatischen Einlösen von Einladungen finden Sie unter Übersicht: Mandantenübergreifender Zugriff mit Azure AD External Identities und Konfigurieren mandantenübergreifender Zugriffseinstellungen für die B2B-Zusammenarbeit.

Nächste Schritte