Mehrmandantenfähige Organisationsfähigkeiten in Microsoft Entra ID
Dieser Artikel bietet eine Übersicht über das Szenario mit einer mehrmandantenfähigen Organisation und die zugehörigen Funktionen in Microsoft Entra ID.
Was ist ein Mandant?
Ein Mandant ist eine Instanz von Microsoft Entra ID, in der sich Informationen zu einer einzelnen Organisation befinden, einschließlich Organisationsobjekten wie Benutzer*innen, Gruppen und Geräten sowie Anwendungsregistrierungen wie Microsoft 365- und Drittanbieteranwendungen. Ein Mandant enthält auch Zugriffs- und Compliancerichtlinien für Ressourcen, z. B. für Anwendungen, die im Verzeichnis registriert sind. Zu den primären Funktionen, die von einem Mandanten bereitgestellt werden, gehören die Identitätsauthentifizierung und die Ressourcenzugriffsverwaltung.
Aus Sicht von Microsoft Entra bildet ein Mandant einen Identitäts- und Zugriffsverwaltungsbereich. Beispielsweise macht ein Mandantenadministrator eine Anwendung für einige oder alle Benutzer im Mandanten verfügbar und erzwingt Zugriffsrichtlinien für diese Anwendung für Benutzer in diesem Mandanten. Darüber hinaus enthält ein Mandant Brandingdaten der Organisation, die das Endbenutzererlebnis unterstützen, z. B. die E-Mail-Domänen der Organisation und SharePoint-URLs, die von Mitarbeitern in dieser Organisation verwendet werden. Aus Sicht von Microsoft 365 bildet ein Mandant die Standardgrenze für Zusammenarbeit und Lizenzierung. Beispielsweise können Benutzer in Microsoft Teams oder Microsoft Outlook problemlos andere Benutzer in ihrem Mandanten finden und mit ihnen zusammenarbeiten, aber sie haben nicht die Möglichkeit, Benutzer in anderen Mandanten zu finden oder zu sehen.
Mandanten enthalten Organisationsdaten, die Zugriffsberechtigungen erfordern, und sind sicher von anderen Mandanten isoliert. Darüber hinaus können Mandanten so konfiguriert werden, dass Daten in einer bestimmten Region oder Cloud gespeichert und verarbeitet werden, sodass Organisationen Mandanten als Mechanismus verwenden können, um Datenresidenz- und Complianceanforderungen zu erfüllen.
Was ist eine mehrmandantenfähige Organisation?
Eine mehrmandantenfähige Organisation ist eine Organisation, die über mehr als eine Instanz von Microsoft Entra ID verfügt. Dies sind die wichtigsten Gründe dafür, dass eine Organisation möglicherweise mehrere Mandanten benötigt:
- Konglomerate: Organisationen mit mehreren Tochtergesellschaften oder Geschäftseinheiten, die unabhängig voneinander arbeiten.
- Fusionen und Übernahmen: Organisationen, die Unternehmen zusammenführen oder erwerben.
- Veräußerung: Bei einer Veräußerung spaltet eine Organisation einen Teil ihres Geschäfts ab, um eine neue Organisation zu bilden oder den Geschäftsteil an eine vorhandene Organisation zu verkaufen.
- Mehrere Clouds: Organisationen, die aus Gründen der Compliance oder anderer gesetzlicher Anforderungen mehrere Cloudumgebungen benötigen.
- Mehrere geografische Grenzen: Organisationen, die an mehreren geografischen Standorten mit unterschiedlichen Bestimmungen im Hinblick auf die Datenresidenz tätig sind.
- Test- oder Stagingmandanten: Organisationen, die mehrere Mandanten zu Test- oder Stagingzwecken benötigen, bevor sie eine umfassendere Bereitstellung in primären Mandanten durchführen.
- Von Abteilungen oder Mitarbeitern erstellte Mandanten: Organisationen, in denen Abteilungen oder Mitarbeiter Mandanten für Entwicklung, Tests oder eine separate Kontrolle erstellt haben.
Herausforderungen bei mehreren Mandanten
Möglicherweise hat Ihre Organisation gerade ein neues Unternehmen erworben, mit einem anderen Unternehmen fusioniert oder eine Umstrukturierung basierend auf neu gebildeten Geschäftseinheiten durchgeführt. Wenn es unterschiedliche Identitätsverwaltungssysteme gibt, kann es für Benutzer in verschiedenen Mandanten schwierig sein, auf Ressourcen zuzugreifen und zusammenzuarbeiten.
Das folgende Diagramm zeigt, dass Benutzer in anderen Mandanten möglicherweise nicht mandantenübergreifend auf Anwendungen in Ihrer Organisation zugreifen können.
Wenn Ihre Organisation sich weiterentwickelt, muss sich Ihr IT-Team anpassen, um die sich ändernden Anforderungen zu erfüllen. Dazu gehört häufig die Integration in einen vorhandenen Mandanten oder die Bildung eines neuen Mandanten. Unabhängig davon, wie die Identitätsinfrastruktur verwaltet wird, ist es wichtig, dass Benutzer nahtlos auf Ressourcen zugreifen und zusammenarbeiten können. Heute verwenden Sie möglicherweise benutzerdefinierte Skripts oder lokale Lösungen, um die Mandanten zu verbinden und so eine nahtlose Umgebung über alle Mandanten hinweg zu bieten.
Direkte B2B-Verbindung
Damit Benutzer mandantenübergreifend in gemeinsam genutzten Teams Connect-Kanälen zusammenarbeiten können, können Sie eine direkte B2B-Verbindung in Microsoft Entra verwenden. Die direkte B2B-Verbindung ist ein Feature von External Identities, mit dem Sie eine gegenseitige Vertrauensstellung mit einer anderen Microsoft Entra-Organisation für eine nahtlose Zusammenarbeit in Teams einrichten können. Sobald die Vertrauensstellung eingerichtet wurde, können Benutzer sich über die direkte B2B-Verbindung per SSO (Single Sign-On, einmaliges Anmelden) mit den Anmeldeinformationen ihres Ursprungsmandanten anmelden.
Die folgenden wesentlichen Einschränkungen gelten bei der Verwendung einer direkten B2B-Verbindung über mehrere Mandanten hinweg:
- Derzeit funktioniert eine direkte B2B-Verbindung nur mit gemeinsam genutzten Teams Connect-Kanälen.
Weitere Informationen finden Sie unter Übersicht über direkte B2B-Verbindungen.
B2B-Zusammenarbeit
Um Benutzern eine mandantenübergreifende Zusammenarbeit zu ermöglichen, können Sie die B2B-Zusammenarbeit von Microsoft Entra nutzen. Die B2B-Zusammenarbeit ist ein Feature von External Identities, mit dem Sie Gastbenutzer zur Zusammenarbeit mit Ihrer Organisation einladen können. Sobald externe Benutzer ihre Einladung eingelöst oder die Registrierung abgeschlossen haben, werden sie in Ihrem Mandanten als Benutzerobjekte dargestellt. Mit der B2B-Zusammenarbeit können Sie die Anwendungen und Dienste Ihres Unternehmens auf sichere Weise mit externen Benutzern teilen und gleichzeitig die Kontrolle über Ihre eigenen Unternehmensdaten behalten.
Dies sind die wichtigsten Einschränkungen bei der Verwendung der B2B-Zusammenarbeit über mehrere Mandanten hinweg:
- Administratoren müssen Benutzer über den B2B-Einladungsprozess einladen oder mithilfe des Einladungs-Managers der B2B-Zusammenarbeit eine Onboardingfunktion erstellen.
- Administratoren müssen möglicherweise Benutzer mithilfe von benutzerdefinierten Skripts synchronisieren.
- Abhängig von den Einstellungen für eine automatische Einlösung von Einladungen müssen Benutzer möglicherweise in jedem Mandanten eine Einwilligungsaufforderung akzeptieren und einen Einlösungsprozess befolgen.
- Standardmäßig wird Benutzern der Typ „externer Gast“ zugewiesen – dieser verfügt über andere Berechtigungen als ein externes Mitglied und bietet möglicherweise nicht das gewünschte Benutzererlebnis.
Weitere Informationen finden Sie unter Übersicht über die B2B-Zusammenarbeit.
Mandantenübergreifende Synchronisierung
Wenn Sie möchten, dass Benutzer nahtlos über mehrere Mandanten hinweg zusammenarbeiten, können Sie die mandantenübergreifende Synchronisierung nutzen. Die mandantenübergreifende Synchronisation ist ein Einweg-Synchronisationsdienst in Microsoft Entra ID, der das Erstellen, Aktualisieren und Löschen von Benutzern für die B2B-Zusammenarbeit in verschiedenen Mandanten eines Unternehmens automatisiert. Die mandantenübergreifende Synchronisierung baut auf der B2B-Zusammenarbeitsfunktion auf und nutzt vorhandene mandantenübergreifende Einstellungen für den B2B-Zugriff. Benutzer werden im Zielmandanten als Benutzerobjekt in der B2B-Zusammenarbeit dargestellt.
Dies sind die wichtigsten Vorteile der mandantenübergreifenden Synchronisierung:
- B2B-Zusammenarbeitsbenutzer werden automatisch in Ihrer Organisation erstellt und erhalten Zugriff auf die benötigten Anwendungen, ohne dass Sie benutzerdefinierte Skripts erstellen und verwalten müssen.
- Sie verbessert die Benutzerfreundlichkeit und stellt sicher, dass Benutzer auf Ressourcen zugreifen können, ohne für jeden Mandanten eine Einladungs-E-Mail zu erhalten und eine Einwilligungsaufforderung akzeptieren zu müssen.
- Benutzer werden automatisch aktualisiert und bei Verlassen der Organisation entfernt.
Dies sind die wichtigsten Einschränkungen bei der Verwendung der mandantenübergreifenden Synchronisierung über mehrere Mandanten hinweg:
- Die aktuellen Teams- oder Microsoft 365-Umgebungen werden nicht verbessert. Synchronisierte Benutzer können dieselben mandantenübergreifenden Teams- und Microsoft 365-Funktionen nutzen, die für alle anderen Benutzer der B2B-Zusammenarbeit verfügbar sind.
- Gruppen, Geräte und Kontakte werden nicht synchronisiert.
Weitere Informationen finden Sie unter Was ist mandantenübergreifende Synchronisierung?.
Mehrmandantenfähige Organisation
Mehrmandantenfähige Organisationen sind ein Feature in Microsoft Entra ID und Microsoft 365, mit dem Sie eine Mandantengruppe innerhalb Ihrer Organisation bilden können. Jedes Mandantenpaar in der Gruppe wird durch mandantenübergreifende Zugriffseinstellungen gesteuert, die Sie zum Konfigurieren der B2B- oder mandantenübergreifenden Synchronisierung verwenden können.
Dies sind die primären Vorteile einer mehrmandantenfähigen Organisation aufgeführt:
- Unterscheiden zwischen organisationsinternen und organisationsexternen Benutzer*innen
- Verbesserte Zusammenarbeit im neuen Microsoft Teams
- Verbesserte Personensuche über mehrere Mandanten hinweg
Weitere Informationen finden Sie unterWas ist eine mehrmandantenfähige Organisation in Microsoft Entra ID?.
Vergleichen von Funktionen für mehrere Mandanten
Je nach Anforderungen Ihrer Organisation können Sie eine beliebige Kombination aus direkter B2B-Verbindung, B2B-Zusammenarbeit, mandantenübergreifender Synchronisierung, und Funktionen für mehrmandantenfähige Organisationen verwenden. Direkte B2B-Verbindung und B2B-Zusammenarbeit sind unabhängige Funktionen. Mandantenübergreifende Synchronisierung und Funktionen für mehrmandantenfähige Organisationen hingegen sind zwar voneinander unabhängig, basieren aber beide auf der zugrunde liegenden B2B-Zusammenarbeit.
In der folgenden Tabelle werden die Funktionen der einzelnen Features verglichen. Weitere Informationen zu verschiedenen Szenarien mit externen Identitäten finden Sie unter Vergleich der External Identities-Featuregruppen.
| Direkte B2B-Verbindung (extern oder intern zwischen Organisationen) |
B2B-Zusammenarbeit (extern oder intern zwischen Organisationen) |
Mandantenübergreifende Synchronisierung (Organisationsintern) |
Mehrmandantenfähige Organisation (Organisationsintern) |
|
|---|---|---|---|---|
| Zweck | Benutzer können auf gemeinsam genutzte Teams Connect-Kanäle zugreifen, die in externen Mandanten gehostet werden. | Benutzer können auf Apps/Ressourcen zugreifen, die in externen Mandanten gehostet werden, in der Regel mit eingeschränkten Gastberechtigungen. Abhängig von den Einstellungen für die automatische Einlösung müssen Benutzer möglicherweise in jedem Mandanten eine Einwilligungsaufforderung akzeptieren. | Benutzer können nahtlos auf Apps/Ressourcen in derselben Organisation zugreifen, auch wenn sie in verschiedenen Mandanten gehostet werden. | Benutzer können nahtlos in einer mehrmandantenfähige Organisation in neuen Teams und in der Personensuche zusammenarbeiten. |
| Wert | Ermöglicht nur die externe Zusammenarbeit in gemeinsam genutzten Teams Connect-Kanälen. Bequemer für Administratoren, da sie keine B2B-Benutzer verwalten müssen. | Ermöglicht die externe Zusammenarbeit. Mehr Kontrolle und Überwachung für Administratoren durch Verwaltung der B2B-Zusammenarbeitsbenutzer. Administratoren können den Zugriff dieser externen Benutzer auf ihre Apps/Ressourcen einschränken. | Ermöglicht die Zusammenarbeit über Organisationsmandanten hinweg. Administratoren müssen Benutzer nicht manuell einladen und zwischen Mandanten synchronisieren, um den kontinuierlichen Zugriff auf Apps/Ressourcen innerhalb der Organisation sicherzustellen. | Ermöglicht die Zusammenarbeit über Organisationsmandanten hinweg. Administrator*innen verfügen über mandantenübergreifende Zugriffseinstellungen weiterhin über vollständige Konfigurationsmöglichkeiten. Optionale mandantenübergreifende Zugriffsvorlagen ermöglichen die Vorkonfiguration von mandantenübergreifenden Zugriffseinstellungen. |
| Primärer Administratorworkflow | Konfigurieren des mandantenübergreifenden Zugriffs, um externen Benutzern eingehenden Zugriff auf den Mandanten mit den Anmeldeinformationen für ihren Ursprungsmandanten zu ermöglichen. | Hinzufügen externer Benutzer zum Ressourcenmandanten über den B2B-Einladungsprozess oder Erstellen einer eigenen Onboardingfunktion mit dem Einladungs-Manager der B2B-Zusammenarbeit. | Konfigurieren der mandantenübergreifenden Synchronisierungs-Engine, um Benutzer zwischen mehreren Mandanten als B2B-Zusammenarbeitsbenutzer zu synchronisieren. | Erstellen Sie eine mehrmandantenfähige Organisation, fügen Sie Mandanten hinzu (einladen), und treten Sie einer mehrmandantenfähigen Organisation bei. Nutzen Sie vorhandene B2B-Zusammenarbeitsbenutzer*innen oder mandantenübergreifende Synchronisierung, um B2B-Zusammenarbeitsbenutzer*innen bereitzustellen. |
| Vertrauensebene | Mittleres Level. Benutzer mit direkter B2B-Verbindung lassen sich weniger einfach nachverfolgen, was ein gewisses Maß an Vertrauen in die externe Organisation bedingt. | Niedriges bis mittleres Level. Benutzerobjekte können einfach nachverfolgt und mit differenzierten Steuerungsmechanismen verwaltet werden. | Hohes Level. Alle Mandanten sind Teil derselben Organisation, und Benutzern wird in der Regel Mitgliedszugriff auf alle Apps/Ressourcen gewährt. | Hohes Level. Alle Mandanten sind Teil derselben Organisation, und Benutzern wird in der Regel Mitgliedszugriff auf alle Apps/Ressourcen gewährt. |
| Auswirkungen für Benutzer | Benutzer greifen mit den Anmeldeinformationen für ihren Ursprungsmandanten auf den Ressourcenmandanten zu. Im Ressourcenmandanten werden keine Benutzerobjekte erstellt. | Externe Benutzer werden einem Mandanten als B2B-Zusammenarbeitsbenutzer hinzugefügt. | Benutzer werden innerhalb ein und derselben Organisation von ihrem Ursprungsmandanten mit dem Ressourcenmandanten als B2B-Zusammenarbeitsbenutzer synchronisiert. | Innerhalb derselben mehrmandantenfähigen Organisation profitieren B2B-Zusammenarbeitsbenutzern (insbesondere Mitgliedsbenutzern) von einer verbesserten, nahtlosen Zusammenarbeit in Microsoft 365. |
| Benutzertyp | Benutzer mit direkter B2B-Verbindung - nicht verfügbar |
B2B-Zusammenarbeitsbenutzer - externes Mitglied - externer Gast (Standard) |
B2B-Zusammenarbeitsbenutzer - externes Mitglied (Standard) - externer Gast |
B2B-Zusammenarbeitsbenutzer - externes Mitglied (Standard) - externer Gast |
Das folgende Diagramm zeigt, wie die direkte B2B-Verbindung, B2B-Zusammenarbeit und mandantenübergreifende Synchronisierung zusammen verwendet werden können.
Terminologie
Die folgende Liste mit Begriffen hilft dabei, Microsoft Entra-Funktionen für das Szenario mit mehrmandantenfähigen Organisationen besser zu verstehen.
| Begriff | Definition |
|---|---|
| tenant | Eine Instanz von Microsoft Entra ID. |
| Organisation | Die oberste Ebene einer Geschäftshierarchie. |
| Mehrmandantenfähige Organisationen | Eine Organisation mit mehr als einer Microsoft Entra ID-Instanz sowie eine Funktion zum Gruppieren dieser Instanzen in Microsoft Entra ID. |
| Erstellermandant | Der Mandant, der die mehrmandantenfähige Organisation erstellt hat. |
| Besitzermandant | Ein Mandant mit der Rolle „Besitzer“. Ursprünglich der Erstellermandant |
| Hinzugefügter Mandant | Ein Mandant, der von einem Besitzermandanten hinzugefügt wurde |
| Beitrittsmandant | Ein Mandant, welcher der mehrmandantenfähigen Organisation beitritt. |
| Beitrittsanforderung | Ein Beitrittsmandant oder hinzugefügter Mandant sendet eine Beitrittsanforderung, um der mehrmandantenfähigen Organisation beizutreten. |
| Ausstehender Mandant | Ein Mandant, der von einem*r Besitzer*in hinzugefügt wurde, aber noch nicht beigetreten ist |
| Aktiver Mandant | Ein Mandant, der die mehrmandantenfähige Organisation erstellt hat oder dieser beigetreten ist. |
| Mitgliedsmandant | Ein Mandant mit der Mitgliedsrolle. Die meisten Beitrittsmandanten beginnen als Mitglieder. |
| Mandant einer mehrmandantenfähigen Organisation | Ein aktiver Mandant der mehrmandantenfähigen Organisation (nicht vom Typ „ausstehend“). |
| Mandantenübergreifende Synchronisierung | Ein unidirektionaler Synchronisierungsdienst in Microsoft Entra ID, der das Erstellen, Aktualisieren und Löschen von Benutzern der B2B-Zusammenarbeit über mehrere Mandanten in einer Organisation hinweg automatisiert. |
| Mandantenübergreifenden Zugriffseinstellungen | Einstellungen zum Verwalten der Zusammenarbeit für bestimmte Microsoft Entra-Organisationen. |
| Vorlage für mandantenübergreifende Zugriffseinstellungen | Eine optionale Vorlage für die Vorkonfiguration von mandantenübergreifenden Zugriffseinstellungen, die auf alle Partnermandanten angewendet werden, die der mehrmandantenfähigen Organisation neu beitreten. |
| Organisationseinstellungen | Mandantenübergreifende Zugriffseinstellungen für bestimmte Microsoft Entra-Organisationen. |
| Konfiguration | Eine Anwendung und ein zugrunde liegender Dienstprinzipal in Microsoft Entra ID, der die Einstellungen (z. B. Zielmandant, Benutzerbereich und Attributzuordnungen) enthält, die für die mandantenübergreifende Synchronisierung erforderlich sind. |
| Bereitstellung | Der Prozess der automatischen Erstellung oder Synchronisierung von Objekten über eine Grenze hinweg. |
| Automatische Einlösung | Eine B2B-Einstellung zum automatischen Einlösen von Einladungen, sodass neu erstellte Benutzer keine Einladungs-E-Mail erhalten oder eine Einwilligungsaufforderung akzeptieren müssen, wenn sie einem Zielmandanten hinzugefügt werden. |