Blacklist und Whitelist externer Domains in Microsoft 365 – so steuerst du Gastzugriffe effektiv
Viele Unternehmen arbeiten täglich mit externen Partnern, Lieferanten oder Kunden in Microsoft Teams zusammen. Doch was passiert, wenn jemand aus einer unbekannten oder unerwünschten Domain Zugriff erhält?
Unkontrollierte Gastzugriffe können Sicherheitsrisiken und Compliance-Verstöße verursachen. Die gute Nachricht: Mit Microsoft 365 kannst du externe Domains gezielt blacklisten oder whitelisten – und mit dem External User Manager diesen Prozess sogar automatisieren.
Was bedeutet Blacklist und Whitelist in Microsoft 365?
Mit einer Blacklist blockierst du bestimmte externe Domains, sodass keine Benutzer von dort eingeladen werden können.
Mit einer Whitelist erreichst du das Gegenteil: Nur bestimmte, freigegebene Domains dürfen eingeladen werden. Alle anderen werden automatisch ausgeschlossen.
Beide Optionen helfen, Gastzugriffe zu kontrollieren – die Wahl hängt von deinem Sicherheitsansatz ab:
- Blacklist: sinnvoll, wenn du nur einzelne Domains ausschließen willst.
- Whitelist: ideal, wenn du ausschließlich bekannte Partner zulassen möchtest.
Warum sind Domainfilter für externe Benutzer so wichtig?
In vielen Organisationen werden externe Gäste ohne zentrale Kontrolle hinzugefügt. Mitarbeiter laden Projektpartner selbstständig ein – oft, ohne zu prüfen, ob die Domain vertrauenswürdig ist.
Die Folge:
- Ungewollte Zugriffe auf vertrauliche Teams oder SharePoint-Bibliotheken
- Fehlende Nachvollziehbarkeit und Auditing
- Erhöhter Aufwand für IT-Administratoren
Gerade in regulierten Branchen wie Finanzwesen, Energie oder Bauwesen ist eine klare Kontrolle über externe Zugriffe unerlässlich.
Domainfilter in Microsoft Entra (vormals Azure AD) schaffen hier eine erste Schutzebene.
Wie funktioniert die Blacklist- und Whitelist-Verwaltung in Microsoft 365?
Microsoft bietet die Möglichkeit, Gastzugriffe über Microsoft Entra ID (Azure Active Directory) zu steuern.
Hier kannst du festlegen, welche Domains für Gastzugriffe erlaubt oder gesperrt sind.
Zeitaufwand: 2 Minuten
- Auf Microsoft Entra zugreifen
Gehe zunächst zu entra.microsoft.com und melde dich mit Ihren Administrator-Anmeldedaten an. Microsoft Entra ist dein Tor zur Verwaltung des Zugriffs auf das Microsoft-Ökosystem, das für die Verwaltung des Gastzugangs unerlässlich ist.
- Navigation zu den Azure AD External Identities
Wenn du angemeldet bist, suche im Menü nach “Azure AD External Identities” und klicke darauf. Diese Phase ist wichtig für die Verwaltung von Personen außerhalb deines Unternehmens und bildet die Grundlage für die teamübergreifende Verwaltung des Gastzugangs.
- Suche nach den Einstellungen für externe Zusammenarbeit
Suche in der Liste der externen Verbindungen nach “Einstellungen für externe Zusammenarbeit” und wähle diese aus. In diesem Feld kannst du festlegen, wie deine Organisation mit externen Benutzern, einschließlich Gästen, interagiert.
- Einstellungen anpassen
Navigiere schließlich am Ende der Seite zu “Einschränkungen für die Zusammenarbeit”. Dort findest du drei wichtige Einstellungen:
Senden von Einladungen an beliebige Domäne zulassen (inklusivste Einstellung): Gäste aus allen Domänen können eingeladen werden, was sich für große Kooperationsnetzwerke eignet.
Einladungen für die angegebenen Domänen verweigern: Blockiert Einladungen an aufgelistete Domänen und erstellt eine schwarze Liste.
Einladungen nur für die angegebenen Domänen zulassen (restriktivste Einstellung): Nur im Voraus aufgelistete Domänen können Einladungen erhalten, ideal für eine strenge Kontrolle der Zusammenarbeit.
Bei der zweiten und dritten Option wirst du aufgefordert, eine Domäne anzugeben, um einen einheitlichen Zugriff zu gewährleisten. Wenndu beispielsweise eine bestimmte Domäne verweigern möchtest, kannst du “google.com” eingeben, um Nutzer von Google zu sperren. Umgekehrt bedeutet die Eingabe von “yourcompany.com”, dass nur Nutzer aus dieser Domäne eingeladen werden können, wenn nur bestimmte Felder erlaubt sind.
Blacklist oder Whitelist – welche Methode ist besser?
Beide Varianten haben Vor- und Nachteile:
| Methode | Vorteil | Nachteil | Empfehlung |
|---|---|---|---|
| Blacklist | Schnell eingerichtet, blockiert bekannte Domains | Neue unerwünschte Domains müssen ständig ergänzt werden | Gut für dynamische Partnernetzwerke |
| Whitelist | Maximale Sicherheit, nur bekannte Partner zugelassen | Aufwändig in Pflege, da jede neue Domain manuell freigegeben werden muss | Ideal für regulierte Umgebungen mit festen Partnern |
Ein kombinierter Ansatz – also Whitelist für kritische Bereiche und Blacklist für offene Umgebungen – ist oft der beste Weg.
Grenzen der nativen Microsoft-Einstellungen
Die Domainfilter in Entra sind hilfreich, stoßen aber in der Praxis schnell an Grenzen:
- Keine automatisierte Aktualisierung der Listen
- Kein Überblick über bereits eingeladene Gäste
- Keine Benachrichtigung bei neuen Einladungen
- Keine Integration mit Genehmigungsprozessen
- Kein Lebenszyklusmanagement für bestehende Gäste
Gerade in größeren Unternehmen mit vielen Einladungen wird das manuelle Management schnell unübersichtlich.
Wie hilft der External User Manager von Solutions2Share?
Der External User Manager (EUM) ergänzt die nativen Funktionen von Microsoft 365 um genau diese fehlenden Elemente.
Automatische Verwaltung externer Gäste
EUM erkennt, wenn neue Gäste eingeladen werden, und prüft automatisch, ob deren Domain erlaubt ist.
So lassen sich Blacklist- und Whitelist-Regeln zentral durchsetzen – ganz ohne manuelle Pflege.
Genehmigungs-Workflows
Neue Gäste können über definierte Workflows genehmigt oder abgelehnt werden.
Admins behalten so jederzeit die Kontrolle über externe Zugriffe.
Übersicht und Reporting
EUM zeigt alle Gäste in einer übersichtlichen Oberfläche – inklusive Domain, Einladungsdatum und Teamzugehörigkeit.
So hast du jederzeit den Überblick, welche externen Benutzer aktiv sind.
Lebenszyklusmanagement
Abgelaufene oder inaktive Gastkonten können automatisch deaktiviert oder gelöscht werden.
Das reduziert Sicherheitsrisiken und erleichtert Audits.
Praxisbeispiel: Kontrolle behalten trotz hoher Gästezahl
Ein internationaler Hersteller mit über 8.000 M365-Nutzern hatte das Problem, dass regelmäßig Gäste aus unbekannten Domains Zugriff erhielten.
Manuell gepflegte Blacklists waren zu aufwendig und fehleranfällig.
Mit dem External User Manager konnte das Unternehmen:
- Domainregeln zentral verwalten
- automatisierte Genehmigungen einführen
- und regelmäßige Überprüfungen von Gastzugängen automatisieren
Das Ergebnis: 80 % weniger unautorisierte Zugriffe und eine deutliche Zeitersparnis für das IT-Team.
Best Practices für die Verwaltung externer Domains
- Starte mit einer Blacklist und wechsle zu einer Whitelist, sobald deine Partnerlandschaft stabil ist.
- Überprüfe regelmäßig deine Listen, um veraltete oder ungenutzte Einträge zu entfernen.
- Verwende automatisierte Tools wie External User Manager für Übersicht und Kontrolle.
- Dokumentiere Ausnahmen und Genehmigungen, um Audit-Anforderungen zu erfüllen.
- Kombiniere Domainfilter mit Lifecycle-Policies, um Gäste automatisch zu entfernen, wenn sie nicht mehr aktiv sind.
Fazit: Externe Zugriffe sicher steuern – automatisch mit External User Manager
Das Filtern externer Domains über Black- oder Whitelist ist ein wichtiger Schritt für mehr Sicherheit in Microsoft 365.
Doch manuell bleibt der Prozess fehleranfällig und zeitaufwendig.
Mit dem External User Manager automatisierst du Domainregeln, behältst den Überblick über alle Gäste und sorgst für sichere, nachvollziehbare Prozesse – ohne zusätzliche Tools außerhalb von Microsoft Teams.
Chief Technology Officer und Governance Experte bei Solutions2Share
Bastian John entwickelt seit über 15 Jahren Governance- und Provisioning-Lösungen, beginnend mit SharePoint 2010 und heute für Microsoft Teams.
Als Leiter der Produktentwicklung bei Solutions2Share verantwortet er unter anderem den Teams Manager – eine der führenden Governance-Anwendungen für Microsoft Teams.
Seine Schwerpunkte liegen auf Lifecycle-Automatisierung, Provisioning-Strategien und der Integration von KI in Governance-Prozesse, um IT-Administratoren die Verwaltung komplexer M365-Umgebungen zu erleichtern.
