Freigeben über

Anfordern des bedingten Zugriffs für Personen außerhalb Ihrer Organisation

Sie können eine der folgenden Optionen für bedingten Zugriff für Personen außerhalb Ihrer Organisation anfordern:

  • Mehrstufige Authentifizierung
  • Kompatible Geräte
  • In Microsoft Entra hybrid eingebundene Geräte

Wenn Sie microsoft Entra B2B direct connect verwenden , z. B. mit freigegebenen Kanälen in Teams, können Sie die Einstellungen für bedingten Zugriff anderer Organisationen für diese Optionen als vertrauenswürdig festlegen. Beachten Sie, dass die Richtlinien für bedingten Zugriff nur für den Zugriff auf die Registerkarte Dateien im freigegebenen Kanal und die zugehörige SharePoint-Website verwendet werden.

Planungsüberlegungen für bedingten Zugriff

Die mehrstufige Authentifizierung kann mit jedem externen Konto verwendet werden. Wenn Ihre Organisation der mehrstufigen Authentifizierung von anderen Microsoft Entra-Organisationen nicht vertraut, müssen Benutzer aus diesen Organisationen beim Zugriff auf Ressourcen in Ihrer Organisation eine mehrstufige Authentifizierung durchführen. Personen mit nicht von Microsoft gehosteten E-Mail-Adressen werden immer zur mehrstufigen Authentifizierung aufgefordert.

Die Optionen Konforme Geräte vertrauen und Hybrid eingebundenes Microsoft Entra-Gerät vertrauen erfordern Geräte, die in Microsoft Entra ID verwaltet werden. Wenn Sie diese Optionen aktivieren möchten, müssen Personen außerhalb Ihrer Organisation Geräte verwenden, die von Ihrer Organisation oder einer vertrauenswürdigen Organisation verwaltet werden. Personen ohne verwaltete Geräte werden blockiert, einschließlich:

  • Personen mit E-Mail-Adressen, die nicht von Microsoft gehostet werden, einschließlich Consumer-E-Mail-Adressen
  • Personen aus Microsoft 365- oder Microsoft Entra-Organisationen, die keine Geräte verwalten
  • Personen aus Microsoft 365- oder Microsoft Entra-Organisationen, die verwaltete Geräte benötigen, bei denen Ihre Organisation ihren Einstellungen für bedingten Zugriff nicht vertraut.

Es wird empfohlen, vorsichtig zu sein, wenn kompatible oder in Microsoft Entra hybrid eingebundene Geräte erforderlich sind, da dies viele szenarien für die externe Zusammenarbeit blockiert. Stellen Sie sicher, dass alle Ihre Partnerorganisationen ihre Geräte verwalten und dass Ihre Organisation ihren Einstellungen vertraut.

Einrichten von Anforderungen für bedingten Zugriff für Personen außerhalb Ihrer Organisation

Gehen Sie wie folgt vor, um bedingten Zugriff für Personen außerhalb Ihrer Organisation zu verlangen:

  1. Wählen Sie Einstellungen für bedingten Zugriff aus, um anderen Organisationen zu vertrauen.
  2. Richten Sie den bedingten Zugriff für Personen außerhalb Ihrer Organisation ein.

Auswählen von Einstellungen für bedingten Zugriff, die von anderen Organisationen als vertrauenswürdig eingestuft werden sollen

Sie können die Einstellungen für bedingten Zugriff aus allen anderen Microsoft 365- und Microsoft Entra-Organisationen oder nur aus den von Ihnen angegebenen Organisationen als vertrauenswürdig festlegen.

Hinweis

Änderungen an mandantenübergreifenden Zugriffseinstellungen können bis zu zwei Stunden beanspruchen, bis sie wirksam werden.

Vertrauenswürdige Einstellungen für bedingten Zugriff aus allen Microsoft Entra-Organisationen

Wenn Sie einstellungen für bedingten Zugriff aus allen Organisationen als vertrauenswürdig festlegen möchten, gehen Sie wie folgt vor.

So vertrauen Sie Einstellungen für bedingten Zugriff aus allen Microsoft Entra-Organisationen

  1. Melden Sie sich mit einem Sicherheitsadministratorkonto bei Microsoft Entra ID an.
  2. Erweitern Sie Externe Identitäten, und wählen Sie dann Mandantenübergreifende Zugriffseinstellungen aus.
  3. Wählen Sie die Registerkarte Standardeinstellungen aus.
  4. Wählen Sie unter Einstellungen für eingehenden Zugriff die Option Standardwerte für eingehenden Datenverkehr bearbeiten aus.
  5. Wählen Sie die Registerkarte Vertrauenseinstellungen aus.
  6. Wählen Sie aus, welche Einstellungen Ihre Richtlinien für bedingten Zugriff von anderen Organisationen akzeptieren sollen.
  7. Wählen Sie Speichern aus, und schließen Sie das Blatt Standardeinstellungen .

Vertrauenswürdige Einstellungen für bedingten Zugriff aus einer bestimmten Organisation

Wenn Sie Einstellungen für bedingten Zugriff aus einer bestimmten Organisation als vertrauenswürdig festlegen möchten, gehen Sie wie folgt vor.

So vertrauen Sie Einstellungen für bedingten Zugriff aus einer bestimmten Organisation

  1. Melden Sie sich mit einem Sicherheitsadministratorkonto bei Microsoft Entra ID an.
  2. Erweitern Sie Externe Identitäten, und wählen Sie dann Mandantenübergreifende Zugriffseinstellungen aus.
  3. Wählen Sie die Einstellungen für eingehenden Zugriff für die Organisation aus, in der Sie den Einstellungen für bedingten Zugriff vertrauen möchten.
  4. Wählen Sie die Registerkarte Vertrauenseinstellungen aus.
  5. Wählen Sie die Option Einstellungen anpassen aus.
  6. Wählen Sie aus, welche Einstellungen Ihre Richtlinien für bedingten Zugriff von anderen Organisationen akzeptieren sollen.
  7. Wählen Sie Speichern aus, und schließen Sie das Blatt Eingehende Zugriffseinstellungen.

Einrichten des bedingten Zugriffs für Personen außerhalb Ihrer Organisation

Das Einrichten einer Richtlinie für bedingten Zugriff für Personen außerhalb Ihrer Organisation wirkt sich auf Folgendes aus:

  • Personen, die Gastkonten verwenden (Microsoft Entra B2B-Zusammenarbeitsbenutzer)
  • Externe Teilnehmer in freigegebenen Teams-Kanälen (Microsoft Entra B2B Direct Connect-Benutzer)

Wichtig

Wählen Sie nur die Option Gerät muss als konform gekennzeichnet werden oder Microsoft Entra hybrid eingebundenes Gerät anfordern aus, wenn alle personen außerhalb Ihrer Organisation ein Gerät verwenden, das von Ihrer Organisation oder von einer vertrauenswürdigen Microsoft 365- oder Microsoft Entra-Organisation verwaltet wird.

So richten Sie den bedingten Zugriff für Personen außerhalb Ihrer Organisation ein

  1. Melden Sie sich beim Microsoft Entra Admin Centeran.
  2. Navigieren Sie zu Schutz>bedingter Zugriff.
  3. Wählen Sie Neue Richtlinie erstellen aus.
  4. Benennen Sie Ihre Richtlinie.
  5. Wählen Sie unter Zuweisungen die Option Benutzer oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließendie Option Alle Gast- und externen Benutzer aus.
    2. Wählen Sie unter Ausschließendie Option Benutzer und Gruppen aus, und wählen Sie die Notfallzugriffs- oder Break-Glass-Konten Ihrer Organisation aus.
  6. Wählen Sie unter Zielressourcen>Cloud-Apps>einschließen die Option Alle Cloud-Apps aus.
    1. Wählen Sie unter Ausschließen alle Anwendungen aus, die keine mehrstufige Authentifizierung erfordern.
  7. Wählen Sie unter Zugriffssteuerungszuweisung>die Option Zugriff gewähren, Mehrstufige Authentifizierung erforderlich aus, und wählen Sie Auswählen aus.
  8. Wählen Sie aus, ob Sie die Richtlinie aktivieren möchten, und wählen Sie Erstellen aus.

Tutorial: Erzwingen der mehrstufigen Authentifizierung für B2B-Gäste