B2B-Synchronisierung
Die OneDrive-Synchronisierungs-App ermöglicht jetzt Benutzern, Bibliotheken oder Ordner in Microsoft SharePoint oder Microsoft OneDrive zu synchronisieren, die von anderen Organisationen geteilt wurden. Dieses Szenario wird häufig als B2B-Zusammenarbeit (Business-to-Business) bezeichnet. Wir nennen dieses neue Feature in der OneDrive-Synchronisierungs-App "B2B-Synchronisation".
Microsoft Entra-Gastkonten spielen eine schlüsselrolle bei der Möglichkeit der B2B-Zusammenarbeit. Ein Gastkonto in einer Organisation verweist auf ein Mitgliedskonto in einer anderen Organisation. Nach der Erstellung ermöglicht ein Gastkonto Microsoft 365-Diensten wie OneDrive und SharePoint Gastberechtigungen für Sites und Ordner auf die gleiche Weise zu erteilen, wie das bei einem Mitglied innerhalb der Organisation möglich ist. Da die Konten bei zwei Organisationen verknüpft sind, muss sich der Benutzer lediglich den Benutzernamen und das Kennwort für das Konto in seiner Organisation merken. Daher ermöglicht eine einmalige Anmeldung bei ihrem Konto den Zugriff auf Inhalte aus ihrer eigenen Organisation und aus allen anderen Organisationen, die Gastkonten für sie erstellt haben.
Wichtig
Es wird empfohlen, die SharePoint- und OneDrive-Integration mit Microsoft Entra B2B zu aktivieren, um sicherzustellen, dass das erforderliche Microsoft Entra-Gastkonto für den Freigabeempfänger im Verzeichnis Ihrer Organisation erstellt wird.
Damit Personen außerhalb Ihrer Organisation geteilte Bibliotheken und Ordner synchronisieren können:
- Muss das externe Teilen für Ihre Organisation aktiviert sein.
- Muss das externe Teilen für die Website oder OneDrive aktiviert sein.
- Der Inhalt muss mit Personen außerhalb der Organisation auf Website- oder Ordnerebene geteilt werden. Wenn ein Ordner geteilt wird, so muss das über einen Link erfolgen, der eine Anmeldung erfordert.
- Freigabeempfänger müssen über ein Microsoft 365-Geschäfts-, Schul- oder Unikonto (in Microsoft Entra ID) in derselben Cloud wie der Inhaltsmandant verfügen – Microsoft Azure Commercial, Microsoft Azure Government oder Microsoft Azure China. (Beachten Sie, dass Microsoft Azure Commercial die kommerziellen Microsoft 365- und GCC-Cloudumgebungen enthält und Microsoft Azure Government die GCC High- und DoD-Cloudumgebungen enthält.)
- Alle Microsoft Entra-Richtlinien für bedingten Zugriff müssen mit Gästen kompatibel sein (weitere Informationen unten).
- Falls Builds vor 19.086* verwendet werden, darf ADAL nicht aktiviert sein.
Dieser Artikel bietet eine Übersicht über die B2B-Synchronisierungsoberfläche und beschreibt diese Anforderungen detaillierter.
- Inhalte, die von einem Mandanten in einer Cloud (z. B. Microsoft Azure China) freigegeben wurden, können nicht von einem Benutzer in einer anderen Cloud (z. B. Microsoft Azure Commercial) synchronisiert werden.
- Auf dem Mac werden die Miniaturansichten von Dateien auf Anforderung nicht auf den Websites der externen Organisation angezeigt. Miniaturansichten werden für Dateien aus der eigenen Organisation des Benutzers ordnungsgemäß angezeigt.
- Wenn das Gastkonto auf dem Mac mit einem anderen e-Mail-Adressformat als dem mit der Synchronisierungs-App verwendeten Format erstellt wurde, kann der Inhalt der externen Website nicht synchronisiert werden. Beispiel: first.last@fabrikam.com vs alias@fabrikam.com.
- Auf dem Mac werden die externen Inhalte möglicherweise auf dem lokalen Computer im Ordner der eigenen Organisation abgelegt, statt in einem Ordner mit dem Namen der externen Organisation.
- Die interaktive Authentifizierungsoberfläche für Gastkonten aus einer externen Organisation wird vom Synchronisierungsclient nicht unterstützt.
Nachfolgend finden Sie ein Beispiel dafür, was geschieht, nachdem jemand bei „Contoso“ eine Website oder einen Ordner mit einer Person bei „Fabrikam“ geteilt hat:
Der Empfänger bei Fabrikam empfängt eine e-Mail-Nachricht ähnlich der folgenden.
Wenn der Empfänger auf den Link in der E-Mail klickt, um zum geteilten Element zu wechseln, muss er auf „Organisationskonto“ klicken, um sich mit seinem Fabrikam-Konto anzumelden. Im Hintergrund wird dadurch das Contoso-Gastkonto in der Microsoft Entra-ID erstellt.
Möglicherweise muss der Empfänger seinen Fabrikam-Benutzernamen oder das Kennwort eingeben und kann erst dann das geteilte Element anzeigen. Wenn nicht alle geteilten Elemente synchronisiert werden sollen, können Sie zu der Bibliothek oder dem Ordner navigieren, die oder den Sie synchronisieren möchten. Wenn Sie die Synchronisierung einrichten möchten, müssen Sie auf die Schaltfläche „synchronisieren“ klicken.
Im Browser des Gastes wird eine Meldung angezeigt, in der er gefragt wird, ob er "Microsoft OneDrive" öffnen möchte. Dem muss er zustimmen.
Wenn dies das erste Mal ist, dass der Gast die Synchronisierungs-App mit seinem Fabrikam-Konto verwendet, muss er sich anmelden. Die E-Mail-Adresse wird automatisch auf das in den vorherigen Schritten verwendete Fabrikam-Konto festgelegt. Der Gast muss "Anmelden" auswählen.
Möglicherweise ist der Gast in der Lage, sich bei der Synchronisierungs-App anzumelden, ohne sein Fabrikam-Kennwort einzugeben, falls er bei Windows mit demselben Konto angemeldet ist. Andernfalls muss er sein Kennwort eingeben.
Der Gast legt dann fest, wo auf seinem Computer das geteilte Element synchronisiert werden soll.
Hinweis
Der Inhalt wird in einen Ordner gespeichert, dessen Name den Namen der Organisation (in diesem Beispiel „SharePoint-Contoso“) enthält. Wenn der Benutzer zudem SharePoint-Inhalte von Fabrikam synchronisiert, erhält er auch einen Ordner "SharePoint-Fabrikam".
Der Gast wird über die Einrichtung der OneDrive-Synchronisierungs-App fortgesetzt.
Nachdem der Gast das Setup abgeschlossen hat, beginnt die Synchronisierung der Website. Der Benutzer kann auf das blaue Wolken-Symbol im Infobereich klicken, um das OneDrive-Synchronisierungs-Aktivitätscenter zu öffnen und die Dateien zu synchronisieren, den lokalen Ordner mit den Dateien zu öffnen oder die SharePoint-Website in einem Webbrowser zu öffnen.
Damit die Benutzer in Ihrer Organisation die Möglichkeit haben, Dateien mit ihren Partnern in anderen Organisationen zu teilen, muss das externe Teilen auf Organisationsebene aktiviert sein. Dazu müssen Sie globaler Administrator oder SharePoint-Administrator in Microsoft 365 sein. Nachdem Sie das externe Teilen auf Organisationsebene aktiviert haben, können Sie es für die einzelnen Websites einschränken. Die Einstellung einer Website kann entweder dieselbe sein wie die der Gesamtorganisation oder sie kann restriktiver sein, jedoch nicht offener.
Sie können Ihre Freigabeeinstellungen auf Organisationsebene an zwei verschiedenen Stellen ändern (beide steuern dasselbe):
- Navigieren Sie zur Seite "Freigabe" im SharePoint Admin Center. Weitere Informationen finden Sie unter Ändern der Einstellung für die externe Freigabe auf Organisationsebene.
- Im Microsoft 365 Admin Center auf der Seite > Organisationseinstellungen SharePoint.
Wichtig
Wenn Sie Anyone-Links (manchmal auch als "anonyme Zugriffslinks" bezeichnet) zulassen, erstellen diese Links keine Gastkonten, sodass der externe Freigabeempfänger die B2B-Synchronisierung beim Empfang dieses Linktyps nicht nutzen kann.
Weitere Informationen finden Sie unter Übersicht über das externe Teilen.
Wenn Sie es Benutzern erlauben, Inhalte aus Ihrer Organisation extern freizugeben, können Sie in Microsoft 365 über mehrere Funktionen steuern, wer auf die Inhalte zugreifen kann. Administratoren und Sitebesitzer können Berechtigungen überprüfen und den Zugriff auf Sites überwachen. Informationen hierzu finden Sie unter Suchen nach extern freigegebenen Siteinhalten und Aktivieren von Benachrichtigungen über externe Freigaben. Sie können das externe Teilen auch nur für bestimmte Internetdomänen aktivieren oder bestimmte Domänen blockieren. Informationen dazu finden Sie in Exklusives Teilen für bestimmte Domänen. Sie können auch ausschließlich Mitgliedern bestimmter Sicherheitsgruppen das externe Teilen erlauben. Einzelheiten finden Sie unter Aktivieren oder Deaktivieren des externen Teilens.
Es wird empfohlen, separate Websites (Websitesammlungen, keine Unterwebsites) für jede Arbeitseinheit zu erstellen, die extern geteilt werden soll. Auf diese Weise können Sie die Websites eindeutig kommentieren, um anzugeben, dass externe Benutzer Zugriff haben, und die unbeabsichtigte Offenlegung von Informationen vermeiden. Für einzelne Benutzer, die Inhalte aus ihrem OneDrive freigeben, empfiehlt es sich, separate Ordner für verschiedene Projekte oder Zusammenarbeitsgruppen zu erstellen.
Sie können die Berechtigung eines Gastes für eine Website oder einen Ordner entfernen oder das Gastkonto löschen, um die Berechtigungen für alle Inhalte Ihrer Organisation zu entfernen.
Wichtig
Alle synchronisierten Inhalte verbleiben auf dem Computer des Benutzers, nachdem Berechtigungen entfernt wurden.
Um die Einstellungen zum Teilen für eine beliebige Website anzuzeigen oder zu ändern, verwenden Sie das neue SharePoint Admin Center.
Wechseln Sie zu Aktive Websites im SharePoint Admin Center, und melden Sie sich mit einem Konto an, das über Administratorberechtigungen für Ihre Organisation verfügt.
Hinweis
Wenn Sie Office 365 (betrieben von 21Vianet, China) verwenden, melden Sie sich beim Microsoft 365 Admin Center an, wechseln Sie zum SharePoint Admin Center, und öffnen Sie die Seite "Aktive Sites".
Passen Sie die Ansicht nach Bedarf an, damit die Spalte "Externe Freigabe" angezeigt wird.
Ändern Sie bei Bedarf die Einstellung für das externe Teilen einer Website.
Stellen Sie sicher, dass alle Microsoft Entra-Richtlinien für bedingten Zugriff (Ca) mit externem Zugriff kompatibel sind.
Der Mandantenadministrator kann verschiedene Arten von Richtlinien für bedingten Zugriff auf seinen Mandanten aktivieren. Wenn ein Gast auf die Inhalte eines Mandanten zugreifen möchte, müssen diese Richtlinien möglicherweise für die Gäste angepasst werden, damit sie Zugriff erhalten.
Derzeit unterstützt der Synchronisierungsclient keine interaktive Authentifizierungsbenutzeroberfläche beim Synchronisieren externer Inhalte. Jede Richtlinie, die eine Anmeldebenutzeroberfläche wie MFA (Multi-Factor Authentication) oder TOU (Nutzungsbedingungen) erfordern würde, verhindert die Synchronisierung der externen Inhalte dieses Mandanten. Wenn ein Mandantenadministrator eine solche Richtlinie bereitstellt, bevor ein Gast mit der Synchronisierung von diesem Mandanten aus beginnt, kann der Benutzer die Synchronisierungsbeziehung nicht einrichten. Wenn die Richtlinie bereitgestellt wird, nachdem ein Gast Inhalte aus dem Mandanten synchronisiert hat, erhält dieser Gast eine Fehlermeldung und kann die Synchronisierung vom Mandanten nicht fortsetzen.
Mandanten können ihre Nutzungsbedingungen von Zeit zu Zeit aktualisieren. Eine Richtlinie kann den Benutzer dazu veranlassen, die aktualisierte Nutzungsbedingungen über eine interaktive Authentifizierungsaufforderung anzuzeigen und zu akzeptieren. Da die Synchronisierung die Anmeldebenutzeroberfläche für externe Mandanten nicht unterstützt, gibt die Synchronisierung an, dass der Inhalt der externen Website nicht synchronisiert werden kann.
Die Gerätekonformität erfordert, dass Benutzercomputer vom Mandanten verwaltet werden und dann mit den Anforderungen auf dem neuesten Stand sind. Für Gäste werden ihre Computer wahrscheinlich von ihrer eigenen Organisation verwaltet und sind daher nicht mit der Anforderung kompatibel, dass ihre Computer vom Mandanten für die Inhaltsfreigabe verwaltet werden.
Standortbasierte Richtlinien für bedingten Zugriff werden in der Regel verwendet, um zusätzliche Anforderungen wie MFA zu erzwingen, wenn der Benutzer keine Verbindung von einem vertrauenswürdigen Standort (z. B. dem Büronetzwerk des Mandanten) aus herstellt. In einem Gastszenario befindet sich der Clientcomputer in der Regel nicht an den vertrauenswürdigen Speicherorten, und da die Synchronisierung MFA nicht unterstützt, soll diese Richtlinie wahrscheinlich nicht auf Ihre Gäste angewendet werden.
Weitere Informationen finden Sie unter Authentifizierung und bedingter Zugriff für externe Identitäten.
Websites und Ordner können in SharePoint und OneDrive auf unterschiedliche Weise geteilt werden:
- Wenn Benutzer einen Ordner synchronisieren, können sie im Datei-Explorer mit der rechten Maustaste darauf klicken, um ihn freizugeben.
- Benutzer können zur SharePoint-Website oder zum SharePoint-Ordner im Web wechseln und auf die Schaltfläche "Freigeben" klicken, um sie bzw. ihn freizugeben.
- Benutzer können Websites und Ordner in den mobilen SharePoint- und OneDrive-Apps teilen.
- Administratoren können Gastkonten erstellen und das Admin Center oder PowerShell verwenden, um diese zu Websites hinzuzufügen.
Hinweis
Weitere Informationen zu diesen Methoden finden Sie unter Informationen zum Teilen einer Website und Informationen zum Teilen eines Ordners.
Die B2B-Synchronisierung funktioniert mit all diesen Methoden für das Teilen. Es gibt lediglich die folgenden Anforderungen:
- Wenn Sie als Gast geteilte Inhalte synchronisieren möchten, müssen die Inhalte auf der Website- oder Ordnerebene geteilt werden. Gäste können keine Dateien synchronisieren, die einzeln geteilt werden (z. B. aus den Office-Apps).
- Die B2B-Synchronisierung funktioniert nur, wenn Gastkonten in der Organisation erstellt werden und der Empfänger über ein Microsoft Entra-Konto verfügt. Dies funktioniert nicht, wenn Benutzer freigeben, indem sie einen Anyone-Link (auch als "anonymer Zugriff"-Link bezeichnet) erstellen oder wenn sie die Freigabe mit Personen teilen, die über ein Microsoft-Konto oder ein anderes persönliches Konto verfügen.
Als Administrator in Microsoft 365 können Sie für Personen außerhalb der Organisation freigeben, indem Sie Gäste einzeln im Microsoft Entra Admin Center erstellen und diese dann einzeln zu einer SharePoint-Teamwebsite hinzufügen oder sie einer Sicherheitsgruppe hinzufügen, die bereits über Berechtigungen für die Website verfügt, die Sie freigeben möchten. Wenn Sie Berechtigungen über die Seite „Erweiterte Berechtigungen“ erteilen (anstatt die Schaltfläche „Website teilen“ zu verwenden), müssen Sie den Gast informieren, dass Sie ihm die Berechtigung für die Website erteilt haben. Er wird keine Einladungs-E-Mail erhalten.
Wichtig
Wenn Sie die Seite „Erweiterte Berechtigungen“ verwenden, empfiehlt es sich, Berechtigungen auf Websiteebene und nicht in der Dokumentenbibliothek oder auf der Ordnerebene zu erteilen.
Verwenden von PowerShell zum Erstellen großer Mengen von Benutzerkonten und zum Hinzufügen dieser Konten zu einer SharePoint-Gruppe
Wenn Sie viele Gastkonten erstellen und diesen Berechtigungen erteilen möchten, können Sie das folgende PowerShell-Skript verwenden, welches Gastkonten erstellt und ihnen Berechtigungen für eine Website erteilt. Das Skript verwendet eine CSV-Datei (mit durch Kommas getrennten Werte) als Eingabe, die eine Liste der Benutzeranzeigenamen und -E-Mail-Adressen enthält. Für jeden Namen mit E-Mail-Adresse wird ein Gastkonto erstellt, und dieses Konto wird einer Sicherheitsgruppe hinzugefügt, um ihm Berechtigungen zu erteilen. Das Skript ist so konzipiert, dass Sie die resultierende Ausgabe-CSV-Datei als Eingabe für das Skript bei einer nachfolgenden Ausführung verwenden können. Auf diese Weise können Sie Ihrer CSV-Datei weitere Benutzer hinzufügen oder das Erstellen eines fehlgeschlagenen Kontos erneut versuchen.
Hinweis
Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zu Einstellungen. Nach diesem Datum beschränkt sich der Support für diese Module auf Unterstützung bei der Migration zum Microsoft Graph PowerShell SDK und auf Sicherheitskorrekturen. Die veralteten Module werden noch bis zum 30. März 2025 zur Verfügung stehen.
Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Allgemeine Fragen zur Migration finden Sie in den Häufig gestellten Fragen zur Migration.
Beachten Sie, dass Versionen 1.0. x von MSOnline kann nach dem 30. Juni 2024 zu Einer Unterbrechung führen.
Wenn Benutzer der Microsoft Entra-Gruppe hinzugefügt werden, sollten sie eine E-Mail mit der Begrüßung in der Gruppe erhalten. Nachdem Sie das Skript ausgeführt haben, müssen Sie den Benutzern per E-Mail einen direkten Link zu der SharePoint-Website zukommen lassen, zu der Sie ihnen eine Berechtigung erteilt haben. Wenn sie auf den Link klicken, wird ihnen die nachstehende Benutzeroberfläche angezeigt, damit sie den Bedingungen der Einladung zustimmen können. Sobald sie akzeptiert haben, werden sie auf die von Ihnen geteilte Website weitergeleitet. An diesem Punkt können sie auf die Schaltfläche „Synchronisieren“ klicken, um die Synchronisierung der Website-Dateien mit Ihrem PC oder Mac zu starten.
# first line of InviteGuests.ps1 PowerShell script
# requires latest AzureADPreview
# Get-Module -ListAvailable AzureAD*
# Uninstall-Module AzureAD
# Uninstall-Module AzureADPreview
# Install-Module AzureADPreview
# customizable properties for this script
$csvDir = ''
$csvInput = $csvDir + 'BulkInvite.csv'
$csvOutput = $csvDir + 'BulkInviteResults.csv'
$domain = 'YourTenantOrganization.onmicrosoft.com'
$admin = "admin@$domain"
$redirectUrl = 'https://YourTenantOrganization.sharepoint.com/sites/SiteName/'
$groupName = 'SiteName'
# CSV file expected format (with the header row):
# Name,Email
# Jane Doe,jane@contoso.com
$csv = import-csv $csvInput
# will prompt for credentials for the tenantorganization admin account
# (who has permissions to send invites and add to groups)
Connect-AzureAD -TenantDomain $domain -AccountId $admin
$group = (Get-AzureADGroup -SearchString $groupName)
foreach ($row in $csv)
{
Try
{
if ((Get-Member -inputobject $row -name 'error') -and `
($row.error -eq 'success'))
{
$out = $row #nothing to do, user already invited and added to group
}
else
{
echo ("name='$($row.Name)' email='$($row.Email)'")
$inv = (New-AzureADMSInvitation -InvitedUserEmailAddress $row.Email -InvitedUserDisplayName $row.Name `
-InviteRedirectUrl $redirectUrl -SendInvitationMessage $false)
$out = $row
$out|Add-Member -MemberType ScriptProperty -force -name 'time' -Value {$(Get-Date -Format u)}
$out|Add-Member -MemberType ScriptProperty -force -name 'status' -Value {$inv.Status}
$out|Add-Member -MemberType ScriptProperty -force -name 'userId' -Value {$inv.InvitedUser.Id}
$out|Add-Member -MemberType ScriptProperty -force -name 'redeemUrl' -Value {$inv.inviteRedeemUrl}
$out|Add-Member -MemberType ScriptProperty -force -name 'inviteId' -Value {$inv.Id}
# this will send a welcome to the group email
Add-AzureADGroupMember -ObjectId $group.ObjectId -RefObjectId $inv.InvitedUser.Id
$out|Add-Member -MemberType ScriptProperty -force -name 'error' -Value {'success'}
}
}
Catch
{
$err = $PSItem.Exception.Message
$out|Add-Member -MemberType ScriptProperty -force -name 'error' -Value {$err}
}
Finally
{
$out | export-csv -Path $csvOutput -Append
}
}
# for more information please see
# https://learn.microsoft.com/azure/active-directory/b2b/b2b-tutorial-bulk-invite
# end of InviteGuests.ps1 powershell script
Weitere Informationen finden Sie unter:
Wenn das Gastkonto einer Person gelöscht oder ihre Berechtigung für freigegebene Inhalte entfernt wird, wird von der Synchronisierungs-App eine Fehlermeldung angezeigt.
Es wird eine Benachrichtigung angezeigt, die besagt, dass die Bibliothek nicht synchronisiert werden kann.
Auf dem OneDrive-Symbol im Infobereich wird ein Fehler angezeigt.
Wenn auf das Symbol geklickt wird, wird ein Fehler-Banner im Aktivitätscenter angezeigt.
Das Feature "B2B-Synchronisierung" der OneDrive-Synchronisierungs-App ermöglicht Benutzern in einer Organisation das Synchronisieren von Inhalten, die mit ihnen von einer anderen Organisation geteilt wurden. Wenn Sie verhindern möchten, dass die Benutzer in Ihrer Organisation die B2B-Synchronisierung nutzen können, können Sie einen Richtlinienwert für den Windows-PC oder Mac des Benutzers festlegen, um die externe Synchronisierung zu blockieren.
Sie müssen diese Aktionen nur ausführen, wenn Sie verhindern möchten, dass die Benutzer in Ihrer Organisation das B2B-Synchronisierungsfeature verwenden (um zu verhindern, dass Bibliotheken und Ordner synchronisiert werden, die von anderen Organisationen geteilt wurden).
Die neue Einstellung "BlockExternalSync" wird in den Dateien "adm\OneDrive.admx" und "OneDrive.adml" beschrieben, die als Bestandteil des OneDrive-Synchronisierungs-Produkts mit Build 19.086* oder höher installiert werden. Wenn Sie ADM zum Verwalten Ihrer Synchronisierungs-App-Richtlinien verwenden, importieren Sie die neuen Dateien wie gewohnt, um die neue Einstellung anzuzeigen.
Wenn Sie andere Verwaltungssysteme für die Bereitstellung von Richtlinien auf Windows-PCs Ihrer Benutzer nutzen, verwenden Sie den entsprechenden Befehl, um die B2B-Synchronisierung zu verhindern:
reg add "HKLM\SOFTWARE\Policies\Microsoft\OneDrive" /v BlockExternalSync /t REG_DWORD /d 1
Verwenden Sie auf einem Mac mit der Apple Store-Version von OneDrive die Entsprechung des folgenden Befehls, um zu verhindern, dass die B2B-Synchronisierung stattfindet:
defaults write com.microsoft.OneDrive-mac BlockExternalSync -bool YES
Verwenden Sie auf einem Mac mit der eigenständigen Version von OneDrive die Entsprechung des folgenden Befehls, um zu verhindern, dass die B2B-Synchronisierung stattfindet:
defaults write com.microsoft.OneDrive BlockExternalSync -bool YES