Konfigurieren der Einstellungen für externe Zusammenarbeit

Mithilfe der Einstellungen für die externe Zusammenarbeit können Sie angeben, welche Rollen in Ihrer Organisation externe Benutzer zur B2B-Zusammenarbeit einladen können. Diese Einstellungen umfassen auch Optionen zum Zulassen oder Blockieren bestimmter Domänen sowie Optionen zum Einschränken, was externen Gastbenutzer in Ihrem Microsoft Entra-Verzeichnis sehen können. Die folgenden Optionen stehen zur Verfügung:

• Bestimmen des Gastbenutzerzugriffs: Mit Microsoft Entra External ID können Sie einschränken, was externe Gastbenutzer in Ihrem Microsoft Entra-Verzeichnis sehen können. Sie können zum Beispiel die Anzeige von Gruppenmitgliedschaften für Gastbenutzer einschränken oder Gastbenutzern nur die Anzeige ihrer eigenen Profilinformationen erlauben.

• Specify who can invite guests (Angeben, wer Gäste einladen kann): Standardmäßig können alle Benutzer in Ihrem Unternehmen, einschließlich Gastbenutzer für B2B-Zusammenarbeit, externe Benutzer zur B2B-Zusammenarbeit einladen. Wenn Sie die Möglichkeit zum Versenden von Einladungen einschränken möchten, können Sie die Funktion für alle Benutzer aktivieren bzw. deaktivieren oder auf bestimmte Rollen beschränken.

• Self-Service-Registrierung von Gästen über Benutzerflows aktivieren: Für selbst erstellte Anwendungen können Sie Benutzerflows erstellen, die es einem Benutzer ermöglichen, sich für eine App zu registrieren und ein neues Gastkonto zu erstellen. Sie können das Feature in den Einstellungen für die externe Zusammenarbeit aktivieren und dann Ihrer App einen Benutzerflow für die Self-Service-Anmeldung hinzufügen.

• Allow or block domains (Domänen zulassen oder blockieren): Sie können Einschränkungen für die Zusammenarbeit verwenden, um Einladungen an die von Ihnen angegebenen Domänen zuzulassen oder zu verweigern. Ausführliche Informationen finden Sie unter Zulassen oder Blockieren von Einladungen für B2B-Benutzer von bestimmten Organisationen.

Für die B2B-Zusammenarbeit mit anderen Microsoft Entra-Organisationen sollten Sie auch die mandantenübergreifenden Zugriffseinstellungen überprüfen, um die B2B-Zusammenarbeit in ein- und ausgehender Richtung zu gewährleisten und den Zugriff auf bestimmte Benutzer, Gruppen und Anwendungen zu beschränken.

Für Endbenutzer der B2B-Zusammenarbeit, die mandantenübergreifende Anmeldungen durchführen, wird das Branding des Basismandanten angezeigt, auch wenn kein benutzerdefiniertes Branding angegeben ist. Im folgenden Beispiel wird das Unternehmensbranding für Woodgrove Groceries auf der linken Seite angezeigt. Im Beispiel auf der rechten Seite wird das Standardbranding für den Basismandanten des Benutzers angezeigt.

Konfigurieren von Einstellungen im Portal

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Externer Identitätsanbieteradministrator an.

2. Browsen Sie zu Identität>Externe Identitäten>Externe Zusammenarbeitseinstellungen.

3. Wählen Sie unter Gastbenutzerzugriff die Zugriffsebene aus, die Gastbenutzern zugewiesen werden soll:

   

   • Gastbenutzer haben denselben Zugriff wie Mitglieder (umfassendste Einstellung): Diese Option gibt Gästen den gleichen Zugriff auf Microsoft Entra-Ressourcen und -Verzeichnisdaten wie Mitgliedsbenutzern.

   • Gastbenutzer haben eingeschränkten Zugriff auf Eigenschaften und Mitgliedschaften von Verzeichnisobjekten: (Standard) Diese Einstellung verhindert, dass Gäste bestimmte Verzeichnisaufgaben ausführen können, z. B. Benutzer, Gruppen oder andere Verzeichnisressourcen aufzulisten. Gäste können die Mitgliedschaft in allen nicht ausgeblendeten Gruppen anzeigen. Erfahren Sie mehr über die Standardberechtigungen für Gastbenutzer.

   • Der Gastbenutzerzugriff ist auf Eigenschaften und Mitgliedschaften eigener Verzeichnisobjekte beschränkt (restriktivste Einstellung) : Mit dieser Einstellung können Gäste nur auf Ihre eigenen Profile zugreifen. Gäste dürfen die Profile, Gruppen oder Gruppenmitgliedschaften anderer Benutzer nicht sehen.

4. Wählen Sie unter Einstellungen für Gasteinladungen die entsprechenden Einstellungen aus:

   

   • Jeder Benutzer (auch Gäste und Nicht-Administratoren) in der Organisation kann Gastbenutzer einladen (umfassendste Einstellung): Um Gästen in der Organisation zu erlauben, andere Gäste einzuladen, einschließlich Benutzer*innen, die keine Mitglieder einer Organisation sind, aktivieren Sie dieses Optionsfeld.
   • Mitgliedsbenutzer und Benutzer, die bestimmten Administratorrollen zugewiesen sind, können Gastbenutzer einladen, einschließlich Gästen mit Mitgliedsberechtigungen: Damit Mitgliedsbenutzer und Benutzer mit bestimmten Administratorrollen Gäste einladen können, müssen Sie dieses Optionsfeld aktivieren.
   • Nur Benutzer, die bestimmten Administratorrollen zugewiesen sind, können Gastbenutzer einladen: Wenn Sie nur Benutzern mit Administratorrollen das Einladen von Gästen erlauben möchten, aktivieren Sie dieses Optionsfeld. Zu den Administratorrollen gehören globaler Administrator,Benutzeradministrator und Gasteinladender.
   • Niemand in der Organisation kann Gastbenutzer einladen, einschließlich Administratoren (restriktivste Einstellung) : Wenn Sie allen Benutzern in der Organisation das Einladen von Gästen verweigern möchten, aktivieren Sie dieses Optionsfeld.

5. Wählen Sie unter Self-Service-Registrierung von Gästen über Benutzerflows aktivieren die Option Ja aus, wenn Sie Benutzerflows erstellen möchten, über die sich Benutzer für Apps registrieren können. Weitere Informationen zu dieser Einstellung finden Sie unter Hinzufügen eines Benutzerflows für die Self-Service-Registrierung zu einer App.

   

6. Unter Externe Benutzer verlassen Einstellungen können Sie steuern, ob externe Benutzer sich selbst aus Ihrer Organisation entfernen können.

   • Ja: Benutzer können die Organisation selbst verlassen, ohne dass sie von Ihrem Administrator oder Datenschutzkontakt genehmigt werden.
   • Nein: Benutzer können Ihre Organisation nicht selbst verlassen. Es wird eine Nachricht angezeigt, in der sie aufgefordert werden, sich an Ihre Administratoren oder Datenschutzkontakte zu wenden, um aus Ihrer Organisation entfernt zu werden.

   Wichtig

   Sie können Einstellungen für externe Benutzer nur konfigurieren, wenn Sie Ihrem Microsoft Entra-Mandanten Ihre Datenschutzinformationen hinzugefügt haben. Andernfalls ist diese Einstellung nicht verfügbar.

   

7. Unter Einschränkungen für die Zusammenarbeit können Sie auswählen, ob Sie Einladungen für die von Ihnen angegebenen Domänen zulassen oder verweigern möchten. Sie können außerdem in den Textfeldern bestimmte Domänennamen eingeben. Geben Sie für mehrere Domänen jede Domäne in einer neuen Zeile ein. Weitere Informationen finden Sie unter Zulassen oder Blockieren von Einladungen für B2B-Benutzer von bestimmten Organisationen.

   

Konfigurieren von Einstellungen mit Microsoft Graph

Einstellungen für die externe Zusammenarbeit können mithilfe der Microsoft Graph-API konfiguriert werden:

• Verwenden Sie für Einschränkungen des Gastbenutzerzugriffs und Einschränkungen für Gasteinladungen den Ressourcentyp authorizationPolicy.
• Verwenden Sie den Ressourcentyp authenticationFlowsPolicy, um die Self-Service-Registrierung für Gäste über Benutzerflüsse zu ermöglichen.
• Für Einstellungen für die Einmalkennung per E-Mail (jetzt auf der Seite Alle Identitätsanbieter im Microsoft Entra Admin Center) verwenden Sie den Ressourcentyp emailAuthenticationMethodConfiguration.

Zuweisen der Rolle „Gasteinladender“ an einen Benutzer

Über die Rolle Gasteinladender können Sie einzelnen Benutzer*innen die Möglichkeit geben, Gäste einzuladen, ohne ihnen dafür die Rolle „Globaler Administrator“ oder eine andere Administratorrolle zuweisen zu müssen. Benutzer*innen mit der Rolle „Gasteinladender“ können Gäste auch dann einladen, wenn die Option Nur Benutzer mit bestimmten Administratorrollen können Gastbenutzer einladen (unter Einstellungen für Gasteinladungen) aktiviert ist.

Hier ist ein Beispiel, das zeigt, wie Sie Microsoft Graph PowerShell verwenden, um der Guest Inviter Rolle einen Benutzer hinzuzufügen:

Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

Anmeldeprotokolle für B2B-Benutzer

Wenn sich ein B2B-Benutzer für die Zusammenarbeit bei einem Ressourcenmandanten anmeldet, wird sowohl im Stammmandanten als auch im Ressourcenmandanten ein Anmeldeprotokoll generiert. Diese Protokolle enthalten Informationen wie die verwendete Anwendung, E-Mail-Adressen, den Mandantennamen und die Mandanten-ID für den Stammmandanten und den Ressourcenmandanten.

Nächste Schritte

Weitere Artikel zur Microsoft Entra B2B-Zusammenarbeit:

• Was ist Microsoft Entra B2B Collaboration?
• Hinzufügen eines B2B-Zusammenarbeitsbenutzers zu einer Rolle