Entwerfen einer Lösung für externe Identitäten
Microsoft Entra External ID umfasst alle Möglichkeiten zur sicheren Interaktion mit Benutzer*innen außerhalb Ihres Unternehmens. Wenn Sie mit Partnern, Händlern, Lieferanten oder Anbietern zusammenarbeiten möchten, können Sie Ihre Ressourcen gemeinsam nutzen und festlegen, wie Ihre internen Benutzer auf externe Organisationen zugreifen können. Als Entwickler von Consumer-Apps können Sie die Identitätsfunktionen für Ihre Kunden verwalten.
Mit External Identities können externe Benutzer ihre eigenen Identitäten nutzen (Bring Your Own Identity, BYOI): Unabhängig davon, ob sie über eine von Unternehmen oder Behörden ausgegebene digitale Identität oder über eine nicht verwaltete Social Media-Identität (z. B. für Google oder Facebook) verfügen, können sie sich mit ihren eigenen Anmeldedaten anmelden. Der Identitätsanbieter für externe Benutzer*innen verwaltet deren Identität, und Sie verwalten den Zugriff auf Ihre Apps mit Microsoft Entra ID oder Azure AD B2C, um Ihre Ressourcen zu schützen.
External Identities umfasst die folgenden Funktionen:
B2B Collaboration: Arbeiten Sie mit externen Benutzern zusammen, indem Sie ihnen die Möglichkeit geben, sich mit ihrer bevorzugten Identität bei Ihren Microsoft-Anwendungen oder anderen Unternehmensanwendungen (SaaS-Apps, individuell entwickelte Apps usw.) anzumelden. B2B Collaboration-Benutzer werden in Ihrem Verzeichnis üblicherweise als Gastbenutzer angezeigt.
Direkte B2B-Verbindung – Richten Sie eine gegenseitige bidirektionale Vertrauensstellung zu einer anderen Microsoft Entra-Organisation ein, um eine nahtlose Zusammenarbeit zu ermöglichen. Direkte B2B-Verbindung unterstützt derzeit freigegebene Teams-Kanäle, sodass externe Benutzer in ihren eigenen Instanzen von Teams aus auf Ihre Ressourcen zugreifen können. Benutzer mit direkter B2B-Verbindung werden in Ihrem Verzeichnis nicht dargestellt, sind jedoch im freigegebenen Teams-Kanal sichtbar und können in Admin Center-Berichten für Teams überwacht werden.
Azure AD B2C: Veröffentlichen Sie moderne SaaS-Apps oder individuell entwickelte Apps (mit Ausnahme von Microsoft-Apps) für Consumer und Kunden, und nutzen Sie dabei Azure AD B2C für die Identitäts- und Zugriffsverwaltung.
Microsoft Entra-Organisation mit mehreren Mandanten: Arbeiten Sie über die mandantenübergreifende Synchronisierung mit mehreren Mandanten in einer einzelnen Microsoft Entra-Organisation zusammen.
Je nachdem, wie Sie mit externen Organisationen interagieren möchten und welche Arten von Ressourcen Sie freigeben müssen, können Sie eine Kombination dieser Funktionen verwenden.
B2B-Zusammenarbeit
Mit der B2B-Zusammenarbeit können Sie beliebige Personen einladen, sich mit ihren eigenen Anmeldedaten bei Ihrer Microsoft Entra-Organisation anzumelden, damit sie auf die Apps und Ressourcen zugreifen können, die Sie für sie freigeben möchten. Verwenden Sie die B2B-Zusammenarbeit, wenn Sie externen Benutzern den Zugriff auf Ihre Office 365-Apps, SaaS-Apps (Software-as-a-Service) und Branchenanwendungen ermöglichen müssen, insbesondere wenn der Partner nicht Microsoft Entra verwendet oder es für Administratoren unpraktisch ist, eine gegenseitige Verbindung über direkte B2B-Verbindungen herzustellen. B2B Collaboration-Benutzern sind keine Anmeldeinformationen zugeordnet. Stattdessen authentifizieren sich die Benutzer bei ihrer eigenen Organisation oder ihrem Identitätsanbieter, und Ihre Organisation prüft anschließend, ob der Gastbenutzer zur Nutzung von B2B Collaboration berechtigt ist.
Es gibt verschiedene Möglichkeiten, externe Benutzer für die B2B-Zusammenarbeit in Ihr Unternehmen aufzunehmen:
Laden Sie Benutzer über ihre Microsoft Entra-Konten, Microsoft-Konten oder die von Ihnen aktivierten Social Media-Identitäten (z. B. Google) zu B2B Collaboration ein. Ein Administrator kann das Azure-Portal oder PowerShell verwenden, um Benutzer zu B2B Collaboration einzuladen. Benutzer melden sich bei den freigegebenen Ressourcen über ein einfaches Einlösungsverfahren mit ihrem Geschäfts-, Schul- oder Unikonto oder mit einem anderen E-Mail-Konto an.
Nutzen Sie Benutzerflows für die Self-Service-Registrierung, damit sich externe Benutzer eigenständig für Anwendungen registrieren können. Die Umgebung kann angepasst werden, um die Registrierung mit einer Geschäfts-, Schul- oder Uni-Identität oder mit einer Social Media-Identität (wie Google oder Facebook) zu ermöglichen. Im Rahmen des Registrierungsprozesses können auch zusätzliche Benutzerinformationen erfasst werden.
Die Microsoft Entra-Berechtigungsverwaltung ist ein Identitätsgovernance-Feature, mit dem Organisationen Identitäten und Zugriff für externe Benutzer bedarfsgerecht verwalten können, indem sie Workflows für Zugriffsanforderungen, Zugriffszuweisungen, Überprüfungen und den Ablauf von Berechtigungen automatisieren.
Ein Benutzerobjekt wird für den B2B-Zusammenarbeitsbenutzer im gleichen Verzeichnis wie für Ihre Mitarbeiter erstellt. Dieses Benutzerobjekt kann wie andere Benutzerobjekte in Ihrem Verzeichnis verwaltet werden, zu Gruppen hinzugefügt werden usw. Sie können dem Benutzerobjekt Berechtigungen (für die Autorisierung) zuweisen und zugleich gestatten, dass der Benutzer seine vorhandenen Anmeldedaten (für die Authentifizierung).
Sie können mandantenübergreifende Zugriffseinstellungen verwenden, um die B2B-Zusammenarbeit mit anderen Microsoft Entra-Organisationen und in Microsoft Azure-Clouds zu verwalten. Für die B2B-Zusammenarbeit mit externen Benutzern und Organisationen, die nicht in Azure AD eingebunden sind, verwenden Sie die Einstellungen für die externe Zusammenarbeit.
Direkte B2B-Verbindung
Direkte B2B-Verbindung ist eine neue Möglichkeit für die Zusammenarbeit mit anderen Microsoft Entra-Organisationen. Dieses Feature funktioniert derzeit mit freigegebenen Microsoft Teams-Kanälen. Mit direkten B2B-Verbindungen erstellen Sie bidirektionale Vertrauensstellungen zu anderen Microsoft Entra-Organisationen, damit sich Benutzer nahtlos bei Ihren freigegebenen Ressourcen anmelden können und umgekehrt. Benutzer mit direkten B2B-Verbindungen werden nicht als Gäste zum Microsoft Entra-Verzeichnis hinzugefügt. Wenn zwei Organisationen gegenseitig direkte B2B-Verbindungen aktivieren, authentifizieren sich Benutzer in ihrer eigenen Organisation und erhalten für den Zugriff ein Token von der Ressourcenorganisation. Weitere Informationen finden Sie unter Direkte B2B-Verbindung in Microsoft Entra ID.
Derzeit unterstützen direkte B2B-Verbindungen das Feature für freigegebene Teams Connect-Kanäle, mit dem Ihre Benutzer über einen freigegebenen Teams-Kanal für Chat, Anrufe, Dateifreigabe und App-Freigabe mit externen Benutzern aus mehreren Organisationen zusammenarbeiten können. Nachdem Sie die direkte B2B-Verbindung mit einer externen Organisation eingerichtet haben, stehen ihnen die folgenden Teams-Funktionen für freigegebene Kanäle zur Verfügung:
In Teams kann ein Besitzer eines freigegebenen Kanals nach zulässigen Benutzern in der externen Organisation suchen und sie zum freigegebenen Kanal hinzufügen.
Externe Benutzer können auf den freigegebenen Teams-Kanal zugreifen, ohne Organisationen wechseln oder sich mit einem anderen Konto anmelden zu müssen. In Teams kann der externe Benutzer über die Registerkarte „Dateien“ auf Dateien und Apps zugreifen. Der Zugriff des Benutzers wird durch die Richtlinien des freigegebenen Kanals bestimmt.
Sie verwenden mandantenübergreifende Zugriffseinstellungen, um Vertrauensstellungen mit anderen Microsoft Entra-Organisationen zu verwalten sowie Richtlinien für eingehende und ausgehende direkte B2B-Verbindungen zu definieren.
Ausführliche Informationen zu den Ressourcen, Dateien und Anwendungen, die den Benutzer*innen einer direkten B2B-Verbindung über den freigegebenen Teams-Kanal zur Verfügung stehen, finden Sie unter Chat, Teams, Kanäle und Apps in Microsoft Teams.
Azure AD B2C
Azure AD B2C ist eine CIAM-Lösung (Customer Identity and Access Management, Kundenidentitäts- und Zugriffsverwaltung), mit der Sie User Journeys für Consumer- und Kunden-Apps erstellen können. Unternehmen oder Entwickler, die kundenorientierte Apps erstellen, können diese mithilfe von Azure AD B2C für Millionen von Consumern, Kunden oder Bürgern skalieren. Entwickler können Azure AD B2C als umfassend ausgestattetes CIAM-System für ihre Anwendungen nutzen.
Mit Azure AD B2C können sich Kunden mit einer bereits eingerichteten Identität (z. B. Facebook oder Gmail) anmelden. Sie können vollständig anpassen und steuern, wie sich Kunden bei Nutzung Ihrer Anwendungen registrieren, anmelden und ihre Profile verwalten.
Obwohl Azure AD B2C auf derselben Technologie wie Microsoft Entra ID basiert, ist es ein separater Dienst mit einigen Featureunterschieden. Weitere Informationen dazu, wie sich ein Azure AD B2C-Mandant von einem Microsoft Entra-Mandanten unterscheidet, finden Sie unter Unterstützte Microsoft Entra-Features in der Azure AD B2C-Dokumentation.
Vergleich der External Identities-Featuregruppen
Die folgende Tabelle enthält einen detaillierten Vergleich der Szenarien, die mit Microsoft Entra External ID möglich sind. In B2B-Szenarien ist jeder, der nicht in Ihre Microsoft Entra-Organisation eingebunden ist, ein externer Benutzer.
| B2B-Zusammenarbeit | Direkte B2B-Verbindung | Azure AD B2C | |
|---|---|---|---|
| Primäres Szenario | Sie arbeiten mit externen Benutzern zusammen, indem Sie ihnen ermöglichen, ihre bevorzugte Identität zu verwenden, um sich bei Ressourcen in Ihrer Microsoft Entra-Organisation anzumelden. Dies ermöglicht Zugriff auf Microsoft-Anwendungen oder Ihre eigenen Anwendungen zuzugreifen (SaaS-Apps, selbstentwickelte Apps usw.). Beispiel: Sie laden einen externen Benutzer ein, sich bei Ihren Microsoft-Anwendungen anzumelden oder ein Gastmitglied in Teams zu werden. |
Arbeiten Sie mit Benutzern aus anderen Microsoft Entra-Organisationen zusammen, indem Sie eine gegenseitige Verbindung herstellen. Dies ist derzeit mit freigegebenen Teams-Kanälen möglich, auf die externe Benutzer in ihren eigenen Instanzen von Teams zugreifen können. Beispiel: Fügen Sie einen externen Benutzer zu einem freigegebenen Teams-Kanal hinzu, der einen Bereich zum Chatten, Anrufen und Freigeben von Inhalten umfasst. |
Sie veröffentlichen Apps für Consumer und Kunden mithilfe von Azure AD B2C-Identitätsfunktionen. Dies ermöglicht die Identitäts- und Zugriffsverwaltung für moderne SaaS- oder benutzerdefinierte Apps (keine Microsoft-Erstanbieter-Apps). |
| Vorgesehen für | Zusammenarbeit mit Geschäftspartnern aus externen Organisationen wie Lieferanten, Partner und Zulieferer. Diese Benutzer können über Microsoft Entra ID oder eine verwaltete IT verfügen, dies ist aber nicht zwingend erforderlich. | Zusammenarbeit mit Geschäftspartnern aus externen Organisationen, die Microsoft Entra ID verwenden, wie Lieferanten, Partner und Zulieferer. | Kunden Ihres Produkts. Diese Benutzer werden in einem separaten Microsoft Entra-Verzeichnis verwaltet. |
| Benutzerverwaltung | B2B Collaboration-Benutzer werden im gleichen Verzeichnis verwaltet wie Mitarbeiter, sind aber üblicherweise als Gastbenutzer gekennzeichnet. Gastbenutzer können genau wie Mitarbeiter verwaltet und beispielsweise den gleichen Gruppen hinzugefügt werden. Anhand von mandantenübergreifende Zugriffseinstellungen kann festgelegt werden, welche Benutzer Zugriff auf B2B Collaboration haben. | In Ihrem Microsoft Entra-Verzeichnis wird kein Benutzerobjekt erstellt. Mandantenübergreifende Zugriffseinstellungen bestimmen, welche Benutzer Zugriff auf die B2B-Zusammenarbeit haben. Direkte Verbindung. Benutzer freigegebener Kanäle können in Teams verwaltet werden, und der Zugriff der Benutzer wird durch die Richtlinien des freigegebenen Teams-Kanals bestimmt. | Benutzerobjekte werden für Consumerbenutzer in Ihrem Azure AD B2C-Verzeichnis erstellt. Sie werden getrennt vom Verzeichnis für Mitarbeiter und Partner (sofern vorhanden) der Organisation verwaltet. |
| Unterstützte Identitätsanbieter | Externe Benutzer können für die Zusammenarbeit Geschäfts-, Schul- oder Unikonten, eine beliebige E-Mail-Adresse, SAML- und WS-Fed-basierte Identitätsanbieter sowie Social Media-Identitätsanbieter wie z. B. Gmail und Facebook verwenden. | Externe Benutzer arbeiten mithilfe von Microsoft Entra ID-Geschäftskonten oder -Schulkonten zusammen. | Consumerbenutzer mit lokalen Anwendungskonten (beliebige E-Mail-Adresse, Benutzername oder Telefonnummer), Microsoft Entra ID, verschiedene unterstützte Social Media-Identitäten sowie Benutzer mit Unternehmensidentität und behördlich ausgegebener Identität über einen SAML/WS-Fed-Identitätsanbieterverbund. |
| Einmaliges Anmelden (Single Sign-On, SSO) | Einmaliges Anmelden für alle Microsoft Entra verbundenen Apps wird unterstützt. Beispielsweise können Sie den Zugriff auf Microsoft 365 oder lokale Apps und auf andere SaaS-Apps wie z. B. Salesforce oder Workday bereitstellen. | SSO bei einem freigegebenen Teams-Kanal. | Einmaliges Anmelden bei Kunden-Apps innerhalb der Azure AD B2C-Mandanten wird unterstützt. Einmaliges Anmelden bei Microsoft 365 oder anderen SaaS-Apps von Microsoft wird nicht unterstützt. |
| Lizenzierung und Abrechnung | Basierend auf monatlich aktiven Benutzern (MAU), B2B Collaboration- und Azure AD B2C-Benutzer eingeschlossen. | Basierend auf monatlich aktiven Benutzern (MAU), B2B-Zusammenarbeitsbenutzer, Benutzer mit direkten B2B-Verbindungen und Azure AD B2C-Benutzer eingeschlossen. | Basierend auf monatlich aktiven Benutzern (MAU), B2B Collaboration- und Azure AD B2C-Benutzer eingeschlossen. |
| Sicherheitsrichtlinie und Compliance | Wird von der Hostorganisation/einladenden Organisation verwaltet (beispielsweise über Richtlinien für den bedingten Zugriff und mithilfe von mandantenübergreifenden Zugriffseinstellungen). | Wird von der Hostorganisation/einladenden Organisation verwaltet (beispielsweise über Richtlinien für den bedingten Zugriff und mithilfe von mandantenübergreifenden Zugriffseinstellungen). | Wird von der Organisation über bedingten Zugriff und Identity Protection verwaltet. |
| Multi-Faktor-Authentifizierung (MFA) | Wenn Einstellungen für eingehende Vertrauensstellungen so konfiguriert sind, dass MFA-Ansprüche vom Basismandanten des Benutzers akzeptiert werden, und MFA-Richtlinien im Basismandanten des Benutzers bereits erfüllt wurden, kann sich der externe Benutzer anmelden. Wenn die MFA-Vertrauensstellung nicht aktiviert ist, wird dem Benutzer eine MFA-Abfrage von der Ressourcenorganisation vorgelegt. | Wenn Einstellungen für eingehende Vertrauensstellungen so konfiguriert sind, dass MFA-Ansprüche vom Basismandanten des Benutzers akzeptiert werden, und MFA-Richtlinien im Basismandanten des Benutzers bereits erfüllt wurden, kann sich der externe Benutzer anmelden. Wenn die MFA-Vertrauensstellung nicht aktiviert ist und Richtlinien für bedingten Zugriff eine MFA erfordern, wird der Zugriff des Benutzers auf Ressourcen blockiert. Sie müssen Ihre Einstellungen für eingehende Vertrauensstellungen so konfigurieren, dass MFA-Ansprüche von der Organisation akzeptiert werden. | Direkte Integration mit der Multi-Faktor-Authentifizierung von Microsoft Entra. |
| Microsoft-Cloudeinstellungen | Unterstützt. | Wird nicht unterstützt. | Nicht zutreffend. |
| Berechtigungsverwaltung | Unterstützt. | Wird nicht unterstützt. | Nicht zutreffend. |
| Branchenspezifische Apps | Unterstützt. | Wird nicht unterstützt. Es können nur Apps gemeinsam genutzt werden, die für die direkte B2B-Verbindung aktiviert sind (derzeit sind es freigegebene Teams Connect-Kanäle). | Funktioniert mit der RESTful-API. |
| Bedingter Zugriff | Wird von der Hostorganisation/einladenden Organisation verwaltet. | Wird von der Hostorganisation/einladenden Organisation verwaltet. | Wird von der Organisation über bedingten Zugriff und Identity Protection verwaltet. |
| Branding | Das Branding der Hostorganisation/einladenden Organisation wird verwendet. | Für Anmeldebildschirme wird das Branding der Basisorganisation des Benutzers verwendet. Im freigegebenen Kanal wird das Branding der Ressourcenorganisation verwendet. | Vollständig anpassbares Branding pro Anwendung oder Organisation. |
Basierend auf den Anforderungen Ihrer Organisation können Sie die mandantenübergreifende Synchronisierung (Vorschau) in Organisationen mit mehreren Mandanten verwenden. Weitere Informationen zu diesem neuen Feature finden Sie in der Dokumentation zu Organisationen mit mehreren Mandanten und im Featurevergleich.