SharePoint- und OneDrive-Integration in Azure AD B2B

Dieser Artikel beschreibt, wie Sie die Integration von Microsoft Office SharePoint Online und Microsoft OneDrive mit Azure AD B2B aktivieren.

Azure AD B2B bietet Authentifizierung und Verwaltung von Gästen. Die Authentifizierung erfolgt über eine Einmalkennung, wenn sie nicht bereits über ein Geschäfts-, Schul- Uni- oder Microsoft-Konto verfügen.

Wenn die SharePoint- und OneDrive-Integration mit Azure B2B-Einladungs-Manager aktiviert ist, kann Azure B2B-Einladungs-Manager für die Freigabe von Dateien, Ordnern, Listenelementen, Dokumentenbibliotheken und Websites für Personen außerhalb Ihrer Organisation verwendet werden. Dieses Feature bietet ein Benutzeroberflächen-Upgrade von der bestehenden sicheren externen Freigabeoberfläche für Empfänger. Darüber hinaus ermöglicht das Feature „Einmalkennung“ des Azure B2B-Einladungs-Managers, dass Benutzer ohne Geschäfts-, Schul oder Unikonto bzw. ohne Microsoft-Konto, kein Konto erstellen müssen, um sich zu authentifizieren, sondern ihre Identität stattdessen mit der Einmalkennung verifizieren.

Die Aktivierung dieser Integration ändert nicht Ihre Freigabeeinstellungen. Wenn Sie zum Beispiel über Websitesammlungen mit deaktivierter externer Freigabe verfügen, bleibt diese deaktiviert.

Sobald die Integration aktiviert ist, müssen Sie und Ihre Benutzer die Daten nicht erneut freigeben oder eine manuelle Migration der Daten für Gastbenutzer durchführen, für die diese zuvor freigegeben waren. Wenn eine Person außerhalb Ihrer Organisation stattdessen auf einen Link klickt, der vor der Aktivierung der Azure AD B2B-Integration erstellt wurde, erstellt SharePoint automatisch ein B2B-Gastkonto. Dieses Gastkonto wird für den Benutzer erstellt, der den Freigabelink ursprünglich erstellt hat. (Wenn die/der ursprüngliche Ersteller/in des Links nicht mehr in der Organisation ist oder nicht mehr die Berechtigung zur Freigabe hat, wird das Gastkonto nicht zum Verzeichnis hinzugefügt und die Datei muss erneut freigegeben werden).

Die SharePoint- und OneDrive-Integration in das Einmalkennungsfeature von Azure AD B2B ist derzeit standardmäßig nicht aktiviert.

Zu den Vorteilen von Azure AD B2B gehören:

  • Eingeladene externe Benutzer erhalten jeweils ein Konto im Verzeichnis und unterliegen Azure AD-Zugriffsrichtlinien wie der mehrstufigen Authentifizierung.
  • Bei Einladungen zu einer SharePoint-Website wird Azure AD B2B verwendet und die Benutzer müssen kein Microsoft-Konto mehr besitzen oder erstellen.
  • Wenn Sie Google-Verbund in Azure AD konfiguriert haben, können Verbundbenutzer nun auf SharePoint- und OneDrive-Ressourcen zugreifen, die Sie für sie freigegeben haben.
  • Die SharePoint- und OneDrive-Freigabe unterliegt den Azure AD-Einstellungen für Organisationsbeziehungen wie Mitglieder können einladen und Gäste können einladen. Wenn die Einstellung für Azure AD-Organisationsbeziehungen restriktiver ist als die SharePoint- oder OneDrive-Einstellung, hat, wie bei Microsoft 365-Gruppen und -Teams, die Einstellung für Azure AD Vorrang.

Diese Integration wird in den folgenden Microsoft 365-Diensten nicht unterstützt:

  • Office 365, betrieben von 21Vianet
  • GCC High und DoD

Hinweis

Derzeit können Kunden in nationalen und eingeschränkten Clouds, die die Azure B2B-Integration mit SharePoint Online aktivieren, keine Dateien und Ordner für Empfänger außerhalb dieser Umgebungen freigeben.

Aktivieren der Integration

Diese Integration setzt voraus, dass Ihre Organisation die Einmalkennungsauthentifizierung per E-Mail von Azure AD ebenfalls aktiviert hat.

Hinweis

Wenn die Integration aktiviert ist, werden Personen von außerhalb der Organisation über die Azure B2B-Plattform eingeladen, wenn die Freigabe über SharePoint erfolgt. Wenn die Azure B2B-Option „Einmalkennung“ aktiviert ist, erhalten Empfänger ohne kennwortgeschützte Konten eine Anmeldeerfahrung über Azure AD, die Einmalkennungen verwendet. Andernfalls werden sie über ihr eigenes Azure AD-Konto oder über ein MSA-Konto authentifiziert. Wenn die Integration nicht aktiviert ist, verwenden Personen von außerhalb der Organisation weiterhin ihre vorhandenen Konten, die bei der früheren Einladung zum Mandanten erstellt wurden. Jede Freigabe für neue Personen außerhalb der Organisation kann entweder zu Azure AD-unterstützten Konten oder Gästen mit nur für SharePoint bereitgestellter E-Mail-Authentifizierung führen, die sich über eine SharePoint-Einmalkennung anmelden.

Hinweis

Überprüfen Sie alle benutzerdefinierten Domänenfreigabeeinschränkungen in SharePoint und OneDrive, und entscheiden Sie, ob sie in die Azure AD B2B-Zulassungs-/Verweigerungsliste verschoben werden sollen. Die Azure AD-Zulassungs-/Verweigerungsliste wirkt sich auch auf andere Microsoft 365-Dienste wie Teams und Microsoft 365-Gruppen aus.

So aktivieren Sie die Azure AD-Kennungsauthentifizierung

  1. Melden Sie sich beim Azure-Portal als globaler Azure AD-Administrator an.
  2. Klicken Sie im Navigationsbereich auf Azure Active Directory.
  3. Unter Verwalten, klicken Sie auf Externe Identitäten.
  4. Klicken Sie auf Alle Identitätsanbieter.
  5. Wählen Sie unter Konfigurierte Identitätsanbieter die Option Einmalige E-Mail-Kennung und wählen Sie Einmalige E-Mail-Kennung für Gäste jetzt aktivieren aus.
  6. Klicken Sie auf Speichern.

So ermöglichen Sie die SharePoint- und OneDrive-Integration in Azure AD B2B.

  1. Neueste Microsoft Office SharePoint Online-Verwaltungsshell herunterladen.

    Hinweis

    Wenn Sie eine frühere Version der Microsoft Office SharePoint Online-Verwaltungsshell installiert haben, gehen Sie zu Programme hinzufügen oder entfernen und deinstallieren Sie "SharePoint Online-Verwaltungsshell".

  2. Stellen Sie eine Verbindung mit SharePoint als globaler Administrator oder SharePoint-Administrator in Microsoft 365 her. Eine Anleitung dazu finden Sie unter Erste Schritte mit der Microsoft Office SharePoint Online-Verwaltungsshell.

  3. Führen Sie die folgenden Cmdlets aus:

    Set-SPOTenant -EnableAzureADB2BIntegration $true
    Set-SPOTenant -SyncAadB2BManagementPolicy $true
    

Deaktivieren der Integration

Sie können die Integration deaktivieren, indem Sie „Set-SPOTenant -EnableAzureADB2BIntegration $false“ ausführen.

Wichtig

Nach der Deaktivierung sind Benutzer, für die freigegeben wurde, während die Integration aktiviert war, für zukünftige Freigaben immer ein AAD-Gastbenutzer. Um einen Benutzer von einem AAD-Gastbenutzer zurück in einen SharePoint-OTP-Benutzer zu konvertieren, müssen Sie den Gast in AAD löschen und alle SPUser-Objekte in Ihrer Organisation entfernen, die auf diesen Gastbenutzer verweisen.

Siehe auch

Set-SPOTenant

Übersicht über die externe Freigabe