External Identities in Microsoft Entra

Dieser Blog-Artikel gibt Microsoft 365-Administratoren einen Überblick über den Bereich “Azure AD External Identities” in Entra (ehem. Azure Active Directory).

External Identities bezieht sich auf eine Sammlung von Funktionen, die Unternehmen dabei helfen sollen, Benutzer, die nicht zu deinem Unternehmen gehören sicher zu verwalten und im Blick zu behalten. Dazu können z.B. Kunden oder Geschäftspartner gehören. Diese Funktionen erweitern die in Microsoft Entra ID verfügbaren Tools für die B2B Collaboration (Business-to-Business) durch zusätzliche Optionen für die Einbindung und den Aufbau von Verbindungen mit Benutzern außerhalb deines Unternehmens.

Im Wesentlichen geht es darum, die Interaktion mit Personen, die Zugang zu bestimmten Teilen deiner IT-Umgebung benötigen, aber nicht deine Mitarbeiter sind, einfacher und sicherer zu machen.

Ohne eine Strategie für External Identities und Gastzugriff häufen sich in Unternehmen hunderte oder tausende unverwaltete Gäste in Microsoft 365, unklare Zuständigkeiten und Risiken bei Sicherheit und Compliance. Admins verbringen viel Zeit damit herauszufinden, wer welchen Gast eingeladen hat, ob ein Zugang noch benötigt wird und wie sich Governance über Tenants und Anwendungen hinweg einheitlich umsetzen lässt.

In unserer Fallstudie erfährst du, wie der Maschinenhersteller GROB das Gäste-Management in M365 automatisiert hat.

In diesem Blogpost sehen wir uns die External Identities-Funktionen im Microsoft Entra Admin Center unter https://entra.microsoft.com/ genauer an.

Während das Entra Admin Center die meisten Themen rund um Gäste abdeckt, findest du einige wichtige Einstellungen in verschiedenen anderen Microsoft Admin Centern.

Hier hilft der External User Manager: Er ist ein umfassendes Tool für die einfache Verwaltung externer Identitäten in Microsoft 365, das alle Sicherheits- und Compliance-Funktionen in einer benutzerfreundlichen App vereint.

Warum sind External Identities wichtig für IT-Admins und Security-Teams?

Externe Benutzer und Gäste sind häufig zentraler Bestandteil der täglichen Arbeit: Partner, Lieferanten, Agenturen und Kunden benötigen Zugriff auf Microsoft 365-Ressourcen wie SharePoint-Sites, Microsoft Teams oder Business-Applikationen. Gleichzeitig stellt jede externe Identität ein potenzielles Risiko für deine Daten dar, wenn sie nicht korrekt verwaltet wird.

Typische Herausforderungen für IT-Admins:

• Keine zentrale Übersicht über alle externen Identitäten in Microsoft Entra und Microsoft 365
• Uneinheitliche Einladungsprozesse über Abteilungen und Projekte hinweg
• Manuelles Onboarding und Offboarding von Gastbenutzern in Microsoft Teams und SharePoint
• Fehlende oder unregelmäßige Access Reviews für externe Benutzer und Anwendungen
• Compliance- und Audit-Vorgaben (z. B. ISO 27001, interne Richtlinien), die volle Kontrolle über Gastzugänge verlangen

Microsoft Entra External ID bildet die technische Basis für sichere externe Zusammenarbeit. Durch die Kombination dieser Möglichkeiten mit einer Lösung wie External User Manager lassen sich daraus standardisierte, automatisierte Prozesse mit klaren Verantwortlichkeiten und weniger manuellem Aufwand schaffen.

Was lässt sich mit External Identities im Entra Admin Center umsetzen?

Nachdem du Entra bzw. das Entra Admin Center unter dem Link https://entra.microsoft.com/ geöffnet hast, wähle den Punkt “External Identities” im Navigationsmenü auf der linken Seite, direkt unter “Identity Governance”.

Die Option “Übersicht” ist der Ausgangspunkt für die Arbeit mit External Identities und gibt einen Überblick über die verschiedenen Unterpunkte.

Zusätzlich zu den Hauptnavigationspunkten finden sich hier noch Links zu drei weiteren Themen:

Externe Benutzer zur Zusammenarbeit einladen

Hier findest du eine Liste aller Benutzer in deinem Tenant und kannst neue externe Benutzer einladen.

Für die Einrichtung eines angepassten Einladungsprozesses mit automatisierten Genehmigungsabläufen ist External User Manager das richtige Tool für dich.

Richtlinie für bedingten Zugriff zum Schutz deiner Anwendungen und Marke

Mit den erweiterten Sicherheitsfunktionen von Microsoft Entra Conditional Access lässt sich kontrollieren, wie externe Benutzer auf deine Anwendungen und Daten zugreifen. Außerdem kannst du hiermit sicherstellen, dass sie die Sicherheitsstandards deines Unternehmens einhalten.

Bereitstellung, Zugriff & Zugriffsüberprüfungen im Entra Admin Center

Identity Governance bietet die notwendigen Tools für die Verwaltung externer Benutzer. Sie optimiert das Hinzufügen (Onboarding) und Entfernen (Offboarding) dieser Benutzer durch Entitlement Management. Darüber hinaus lassen sich hier regelmäßige Zugriffsüberprüfungen einrichten, um sicherzustellen, dass nur diejenigen, die den Zugriff benötigen, diesen auch erhalten. So ist eine angemessene Kontrolle darüber gewährleistet, wer in deinem Unternehmen auf was zugreifen darf.

Für die Provisionierung und die Zugriffsverwaltung automatisiert External User Manager das Onboarding externer Benutzer ebenso wie den Offboarding-Prozess. Administratoren können Lebenszyklen für externe Benutzer einrichten, einschließlich regelmäßiger Zugriffsüberprüfungen für durchgängige Compliance oder sogar automatisches Entfernen aus dem Tenant und dem AD / Entra.

Welche realen Anwendungsfälle profitieren von Entra External Identities?

Typische Szenarien für External Identities in Microsoft Entra und für Gastmanagement in Microsoft 365 sind:

Partner-Kollaboration in Microsoft Teams

Externe Projektpartner erhalten Zugriff auf dedizierte Teams und SharePoint-Bibliotheken, während IT die Kontrolle über Entra External ID und Conditional Access behält.

Kundenportale und externe Anwendungen

Kunden melden sich mit Social-Accounts oder bestehenden Identitäten über Identity Provider und User Flows an.

Lieferanten- und Vendor-Zugriff

Lieferanten arbeiten in geteilten Workspaces mit klar definiertem Gastzugang und regelmäßigen Access Reviews.

Multi-Tenant- und Konzernstrukturen

Große Organisationen mit mehreren Tenants nutzen Cross-Tenant Access und Synchronisation, um Identitäten konsistent zu halten.

Microsoft Entra External ID liefert die IAM-Basis, während External User Manager standardisierte Prozesse, automatisierte Lebenszyklen und Reporting für M365 Gastmanagement ergänzt.

Was findest du unter “Alle Identitätsanbieter”?

Hier legst du fest, wie die Benutzer ihre Identität für den Zugriff auf deine Ressourcen authentifizieren. Dazu gehört auch die Verwendung von Konten aus sozialen Netzwerken wie Facebook und Google.

Konfigurierte Identitätsanbieter

Microsoft Entra ID

Benutzer mit einem Microsoft Entra-Konto können per E-Mail zum Zugriff auf deine Ressourcen eingeladen werden. Sie können sich direkt anmelden, ohne dass eine weitere Einrichtung erforderlich ist. Sie haben auch die Möglichkeit, sich selbst über die Self-Service-Anmeldung und die Benutzerflows zu registrieren.

Microsoft-Konto

Ähnlich wie bei einem MS Entra-Konto können auch Benutzer mit einem Microsoft-Konto eingeladen werden und sich ohne zusätzliche Schritte anmelden. Auch sie können die Self-Service-Anmeldung mit User Flows für die Registrierung verwenden.

E-Mail-Einmal-Passcode

Diese Option ist für Benutzer, die kein Microsoft- oder Microsoft Entra-Konto haben. Sie können auf deine Umgebung zugreifen, indem sie jedes Mal, wenn sie sich anmelden, einen einmaligen Passcode per E-Mail erhalten, ohne ein neues Konto erstellen zu müssen. Diese Methode kann auch für die Self-Service-Anmeldung für bestimmte Anwendungen innerhalb deiner Benutzerflows verwendet werden.

SAML/WS-Fed Identitätsanbieter

SAML (Security Assertion Markup Language)

SAML ist ein Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Parteien, z.B. zwischen einem Identitätsanbieter und einem Dienstanbieter. Durch die Verwendung von SAML können sich Benutzer mit einem Satz von Anmeldedaten, die von ihrer Organisation verwaltet werden, bei mehreren Anwendungen anmelden. SAML wird häufig für Single Sign-On (SSO)-Prozesse für den Zugriff auf Webanwendungen verwendet, z.B. bei AWS (Amazon Web Services) oder Okta.

WS-Fed (WS-Federation)

Ähnlich wie SAML ist WS-Federation ein Protokoll, das für die Identitäts- und Zugriffsverwaltung verwendet wird. Es ermöglicht verschiedenen Organisationen, ihre bestehenden Identitätsverwaltungsprozesse zu nutzen, um Benutzer zu authentifizieren, ohne sensible Informationen preiszugeben. WS-Fed wird häufig in Unternehmensumgebungen für den nahtlosen Zugang zu einer Reihe von Anwendungen und Diensten eingesetzt. Single Sign-On mit WS-Fed wird z.B. von OneLogin unterstützt.

Wie kannst du Benutzerflows in Entra einrichten?

Mit einem Benutzerflow zur Self-Service-Registrierung kannst du ein System einrichten, in dem sich Personen außerhalb deines Unternehmens selbst für die Nutzung deiner Anwendungen registrieren können. Das bedeutet, dass du einen auf deine Bedürfnisse zugeschnittenen Registrierungsprozess entwerfen kannst, der es externen Benutzern wie Kunden oder Partnern ermöglicht, Konten zu erstellen und Zugang zu deinen Anwendungen zu erhalten, ohne dass sie Hilfe von deinem IT-Team benötigen.

Bitte beachte: Die Self-Service-Registrierung für Gastbenutzer muss aktiviert sein, bevor du Benutzerflows erstellen kannst.

• Lies mehr über Benutzerflows bei Microsoft Learn

User Flows reduzieren manuellen Aufwand und unterstützen das Management einer großen Anzahl von Gästen. In Kombination mit Governance-Regeln behalten Admins die Kontrolle, selbst wenn täglich viele neue externe Identitäten entstehen.

Was sind benutzerdefinierte Authentifizierungserweiterungen in Entra?

Mit benutzerdefinierten Authentifizierungserweiterungen kannst du festlegen, wie sich Benutzer bei MS Entra anmelden, indem du es mit externen Systemen verbindest. Wenn du eine bestimmte Methode für die Anmeldung von Benutzern oder die Überprüfung ihrer Identität verwenden möchtest, die nicht standardmäßig zur Verfügung steht, kannst du mit diesen Erweiterungen einen solchen benutzerdefinierten Prozess mit Web-APIs erstellen.

• Erfahre mehr über benutzerdefinierte Authentifizierungserweiterungen bei Microsoft Learn

Besonders interessant ist diese Methode für:

• interne Freigabeworkflows
• zusätzliche Risikoprüfungen
• erweiterte Verifizierung sensibler oder privilegierter externer Konten

Wozu dienen mandantenübergreifende Zugriffseinstellungen?

Organisationseinstellungen

Mit den Einstellungen für den mandantenübergreifenden Zugriff in Microsoft Entra kannst du festlegen, wie dein Unternehmen mit bestimmten externen Microsoft Entra-Mandanten interagiert. Wenn du mit Unternehmen zusammenarbeitest, die MS Entra nicht nutzen, solltest du stattdessen deine allgemeinen Einstellungen für die Zusammenarbeit anpassen.

Organisationseinstellungen beziehen sich in diesem Zusammenhang auf die spezifischen Zugriffsberechtigungen und Richtlinien, die du für bestimmte Microsoft Entra-Umgebungen, mit denen du zusammenarbeitest, festlegst. Diese Einstellungen stellen sicher, dass deine Regeln für die Zusammenarbeit genau auf diese Tenants angewendet werden. Für alle MS Entra-Umgebungen, die nicht ausdrücklich von diesen maßgeschneiderten Einstellungen abgedeckt werden, gelten automatisch die Standardeinstellungen deines Unternehmens.

• Microsoft Learn zu Organisationseinstellungen für mandantenübergreifenden Zugriff

Die detaillierten Einstellungen findest du unter Einstellungen für die externe Zusammenarbeit.

Standardeinstellungen

In Microsoft Entra dienen die Standardeinstellungen als Grundlage für die Interaktion deiner Organisation mit externen Microsoft Entra-Umgebungen, die du nicht speziell in den Organisationseinstellungen festgelegt hast. Du kannst diese Standardeinstellungen zwar ändern, um sie besser an die Sicherheits- oder Kooperationsanforderungen deines Unternehmens anzupassen, jedoch nicht vollständig entfernen.

So ist sichergestellt, dass dein System immer auf eine vorgegebene Art und Weise mit externen Microsoft Entra-Tenants interagiert, die nicht ausdrücklich von deinen benutzerdefinierten Einstellungen abgedeckt werden.

• Lies mehr über die Standardeinstellungen für mandantenübergreifenden Zugriff bei Microsoft Learn  

Standardeinstellungen für Zugriff auf eingehenden Datenverkehr

In diesem Abschnitt findest du verschiedene Möglichkeiten, wie du den Zugriff externer Benutzer auf deine MS Entra-Umgebung verwalten kannst. Dabei geht es vor allem darum, wie du diesen Zugriff kontrollieren und welche Art von Benutzererfahrung du bieten möchtest.

Eingehender Datenverkehr Typ: B2B-Collaboration

Mit den Standardeinstellungen für den eingehenden Zugriff für B2B Collaboration kannst du externen Personen erlauben, sich mit ihren eigenen Anmeldedaten anzumelden. Diese externen Benutzer werden in deinem Microsoft Entra-Tenant als Gäste behandelt. Du kannst diese externen Benutzer entweder manuell einladen oder einen Self-Service-Registrierungsprozess aktivieren, bei dem sie den Zugang selbst anfordern können.

Du kannst festlegen, ob du diesen Benutzern den Zugriff auf bestimmte oder alle Anwendungen in deiner Umgebung gestatten oder verweigern möchtest, und die Reihenfolge festlegen, in der primäre Identitätsanbieter und alternative Identitätsanbieter verwendet werden.

Eingehender Datenverkehr Typ: direkte B2B-Verbindung

Bei dieser Einstellung geht es darum, eine einfachere Verbindung mit Benutzern aus anderen Microsoft Entra-Tenant zu ermöglichen, so dass diese auf deine Ressourcen zugreifen können, ohne dass sie als Gäste hinzugefügt werden müssen. Wenn du die Option “Zugriff zulassen” wählst, öffnest du die Tür für Benutzer und Gruppen aus anderen Organisationen, um sich direkt mit deinen Ressourcen zu verbinden, vorausgesetzt, die andere Partei hat ebenfalls B2B-Direktverbindungen aktiviert.

Vertrauenseinstellungen

Diese Einstellungen beziehen sich darauf, wie deine Richtlinien für bedingten Zugriff Anfragen von anderen Microsoft Entra-Tenants behandeln. Im Wesentlichen kannst du entscheiden, ob du der Multifaktor-Authentifizierung, den konformen Geräten und den mit Microsoft Entra verbundenen Hybridgeräten von externen Mandanten vertrauen. Dieses Vertrauen ist entscheidend für die Durchsetzung deiner Sicherheitsrichtlinien, wenn externe Benutzer auf deine Ressourcen zugreifen. Die Standard-Vertrauenseinstellungen gelten universell, mit Ausnahme der externen Mandanten, für die du spezifische Organisationseinstellungen eingerichtet hast.

Um die Sicherheit für den Gastzugang zu erhöhen, kannst du eine Multifaktor-Authentifizierung oder Geräte-Compliance für alle Cloud-Anwendungen verlangen.

Einstellungen für Zugriff auf ausgehenden Datenverkehr

Konfiguriere hier den ausgehenden Zugriff für deine Benutzer und lege fest, wie diese über MS Entra mit externen Organisationen interagieren können. Dabei liegt der Fokus auf der B2B-Collaboration und den Einstellungen für direkte B2B-Verbindungen.

• Microsoft Learn bietet weitere Details zu den Standardeinstellungen für ausgehenden Zugriff

Ausgehender Datenverkehr Typ: B2B-Collaboration

Die Einstellungen für den ausgehenden Zugriff für B2B-Collaboration legen fest, ob deine Benutzer zur Zusammenarbeit mit externen Microsoft Entra-Tenants eingeladen werden können, d.h. ob sie als Gäste zu diesen externen Verzeichnissen hinzugefügt werden können. Diese Einstellungen gelten standardmäßig für alle externen Tenants, sofern du keine spezifischen Einstellungen für bestimmte Tenants eingerichtet hast. Hier bestimmst du, ob deine Benutzer und Gruppen zu diesen externen Tenants eingeladen werden können und auf welche externen Anwendungen sie zugreifen dürfen.

Ausgehender Datenverkehr Typ: direkte B2B-Verbindung

Diese Einstellungen verwalten den Zugriff deiner Benutzer und Gruppen auf Anwendungen und Ressourcen, die von externen Organisationen gehostet werden. Die Standardkonfiguration wird in allen Situationen angewendet, in denen deine Benutzer mit externen Tenants interagieren, es sei denn, du hast für bestimmte externe Organisationen andere Einstellungen festgelegt. Du kannst diese Standardeinstellungen an deine Anforderungen anpassen, sie aber nicht vollständig löschen.

• Informiere dich über die Einstellungen für den ausgehenden Zugriff bei direkten B2B-Verbindungen in Microsoft Learn

Die direkte B2B-Verbindung bestimmt den Zugriff deiner Benutzer und Gruppen auf Ressourcen in einer anderen Organisation. Damit dieser Zugriff gewährt werden kann, muss ein Administrator auf der externen Seite ebenfalls die direkte B2B-Verbindung aktiviert haben. Wenn du diese Funktion aktivierst, wird eine geringe Menge an Informationen über deine Benutzer an die externe Organisation weitergegeben, um Funktionen wie die Benutzersuche zu ermöglichen. Die Menge der freigegebenen Daten kann sich erhöhen, wenn deine Benutzer den Datenschutzrichtlinien der externen Organisation zustimmen.

• Hier ist ein weiterer Artikel in Microsoft Learn, der eine gute Übersicht über direkte B2B-Verbindungen bietet

Standardmäßige Mandanteneinschränkungen

Bei Mandanteneinschränkungen geht es darum, Regeln innerhalb deines Netzwerks aufzustellen, um zu kontrollieren, ob und wie deine Benutzer externe Anwendungen mit unternehmensfremden Konten nutzen können. Dazu gehören sowohl Konten, die sie von anderen Unternehmen erhalten haben, als auch persönliche Konten, die sie unter anderen Microsoft Entra-Tenants erstellt haben. Du kannst den Zugriff auf bestimmte externe Anwendungen gezielt erlauben oder verweigern.

Diese Standardeinstellungen sind deine Grundregeln für den Umgang mit allen externen MS Entra-Tenants, es sei denn, du hast spezielle Richtlinien für bestimmte Tenants erstellt. Im Wesentlichen legst du eine allgemeine, universell geltende Richtlinie fest und hast die Möglichkeit, Richtlinien für bestimmte externe Partner oder Dienste anzupassen.

• Erfahre mehr über Standard-Mandanteneinschränkungen

In diesem Zusammenhang kannst du auch detaillierte Richtlinien für bestimmte Szenarien entwickeln, z.B. Zugriffsberechtigungen für externe Benutzer und Gruppen oder für bestimmte externe Anwendungen. Auf diese Weise hast du eine genaue Kontrolle darüber, wie dein Unternehmen mit externen digitalen Umgebungen interagiert.

Microsoft Cloud-Einstellungen

Die Microsoft Cloud-Einstellungen ermöglichen die Zusammenarbeit mit Organisationen, die sich in verschiedenen Microsoft Cloud-Umgebungen befinden. Sobald du diese Einstellungen aktiviert hast, kannst du Organisationen aus diesen spezifischen Clouds mit Hilfe der B2B-Collaboration-Funktion von Microsoft Entra in deine externe Zusammenarbeit einbinden.

Folgende Optionen stehen zur Verfügung:

Microsoft Azure Government

Dies ist auf US-amerikanische Regierungsbehörden zugeschnitten und bietet eine Cloud-Umgebung, die den Vorschriften der US-Regierung entspricht.

Microsoft Azure China (betrieben von 21Vianet)

Hierbei handelt es sich um eine Version der Cloud-Dienste von Microsoft, die von 21Vianet in China betrieben wird, um den chinesischen Vorschriften zu entsprechen.

Mit diesen Einstellungen ermöglichst du deinem Unternehmen, sichere Kanäle für die Zusammenarbeit mit Partnern einzurichten und zu verwalten, die in diesen unterschiedlichen Microsoft Cloud-Umgebungen arbeiten.

• Hier findest du weitere Informationen zu den Microsoft Cloud-Einstellungen

Wie konfiguriert man Einstellungen für externe Zusammenarbeit?

Konfiguriere die Regeln und Berechtigungen dafür, wie externe Benutzer mit den Ressourcen deines Unternehmens interagieren können, d.h. wie sie eingeladen werden, worauf sie zugreifen können und welche Einschränkungen für ihre Aktivitäten gelten.

Gastbenutzerzugriff

Wähle den Grad der Zugriffseinschränkungen für Gastbenutzer, der für dein Unternehmen am besten geeignet ist:

• Gewähre Gästen die gleichen Rechte wie vollwertigen eigenen Mitgliedern (größtmöglicher Zugang).
• Erlaube ihnen begrenzten Zugriff auf und Interaktion mit Verzeichnisinhalten.
• Beschränke den Zugriff auf die Anzeige und Interaktion mit den eigenen Verzeichnisobjekten (strengste Kontrolle).

Einstellungen für Gasteinladungen

Hiermit legst du fest, wer in deinem Unternehmen in der Lage sein soll, Gastbenutzer in dein Verzeichnis einzuladen, um z.B. an SharePoint-Seiten oder Azure-Ressourcen mitzuarbeiten. Wählen aus, welche dieser Einschränkungen für Gasteinladungen deinen Anforderungen am besten entspricht. In diesem Abschnitt kannst du auch die Selbstanmeldung von Gästen über Benutzerflows aktivieren oder deaktivieren.

• Erlaube allen, einschließlich aktuellen Gästen und Nicht-Administratoren, Einladungen zu versenden (sehr offen).
• Beschränke die Einladungsrechte auf Mitglieder und bestimmte Administratoren, einschließlich Gäste mit Mitgliedsrechten.
• Schränke diese Funktion auf Benutzer mit bestimmten administrativen Rollen ein.
• Sperre alle Mitglieder der Organisation dafür, Gäste einzuladen (strengste Einstellung).

In diesem Bereich kannst du auch die Möglichkeit ein- oder ausschalten, dass sich Gäste über Benutzerflows selbst für den Zugang anmelden können.

Einstellungen für das Verlassen von externen Benutzern

Hier kannst du externen Benutzern erlauben, sich selbst aus deiner Organisation zu entfernen, oder diese Möglichkeit deaktivieren.

Wenn du diese Einstellung aktivierst, können sich externe Benutzer ohne die Zustimmung eines Administrators selbst aus deiner Organisation entfernen. Wenn du diese Einstellung deaktivierst, müssen die Gäste eine Datenschutzerklärung konsultieren oder einen Datenschutzbeauftragten um Erlaubnis bitten, das Unternehmen zu verlassen, wodurch zusätzliche Kontrollmechanismen hinzukommen.

Einschränkungen für die Zusammenarbeit

Hier kannst du Regeln für den mandantenübergreifenden Einladungsprozess basierend auf der Domain des Empfängers festlegen:

• Erlaube Einladungen an jede beliebige Domain für einen möglichst offenen Ansatz.
• Blockiere Einladungen zu bestimmten externen Domains – lege also eine Blacklist von externen Domains an -, um den Zugriff von bestimmten Organisationen zu verhindern.
• Erlaube nur Einladungen an bestimmte zugelassene Ziel-Domains für eine streng kontrollierte Umgebung und erstelle so eine Whitelist der zugelassenen externen Domains.

Der External User Manager bietet präzise Kontrollfunktionen für die Verwaltung des Zugriffs zwischen verschiedenen Tenants und gewährleistet so die Sicherheit und Effizienz der mandantenübergreifenden Zusammenarbeit. Administratoren können spezifische Richtlinien für den externen Zugriff festlegen und auch Blacklists und Whitelists für externe Domains erstellen.

Wie aktiviert man die mandantenübergreifende Synchronisierung?

Die mandantenübergreifende Synchronisierung ist eine Funktion in Microsoft Entra ID, die die Verwaltung von Benutzeridentitäten in verschiedenen Mandanten innerhalb deines Unternehmens vereinfacht. Diese Funktion stellt sicher, dass die Benutzeridentitäten über verschiedene interne Mandanten hinweg konsistent und aktuell sind.

Automatisierte Bereitstellung

Richte automatische Prozesse für die Erstellung und Verwaltung von Benutzeridentitäten in deinem Unternehmen ein. Dies vereinfacht den Onboarding-Prozess für neue Benutzer und stellt sicher, dass jeder Zugang zu den erforderlichen Ressourcen hat, ohne dass manuelle Schritte nötig sind.

Reibungslose Zusammenarbeit

Durch synchronisierte Identitäten können Benutzer leichter über verschiedene Bereiche deines Unternehmens hinweg zusammenarbeiten, selbst wenn diese Bereiche als separate Mandanten organisiert sind.

Lebenszyklus-Management für Konten

Automatisiere die Deaktivierung von Konten, wenn sie nicht mehr benötigt werden, und synchronisiere Benutzerkonten, um Status- oder Rollenänderungen innerhalb des Unternehmens zu berücksichtigen.

Die mandantenübergreifende Synchronisierung unterstützt Szenarien wie:

B2B-Benutzerverwaltung

Erstelle automatisch mandantenübergreifende Benutzerkonten für B2B-Szenarien, oder ergänze B2B-Benutzerprofile mit Daten aus ihrem primären (Haupt-)Mandanten.

Übergreifende Nutzung von Anwendungen

Erleichtere die übergreifende Nutzung von Anwendungen in verschiedenen Mandanten, indem du die Identitäts- und Zugriffsmanagement-Funktionen (IAM) von MS Entra ID nutzt, um den Zugriff einzurichten.

• Microsoft Learn bietet hier einen Überblick über die mandantenübergreifende Synchronisierung

Starte den Prozess, indem du eine neue Konfiguration erstellst. Dazu gehört die Einrichtung von Regeln und Prozessen für die automatische Verwaltung des Identitätslebenszyklus in Microsoft Entra, einschließlich der Erstellung, Aktualisierung und Löschung von Benutzerkonten, wenn Personen deinem Unternehmen beitreten, innerhalb des Unternehmens wechseln oder es verlassen.

• Detaillierte Informationen findest du in der vollständigen Dokumentation zur Abwendungs- und Personalbereitstellung

Wann reicht Entra External ID? Und wann brauchst du mehr?

Microsoft Entra External Identities stellt dir die Grundlagen für eine sichere Zusammenarbeit mit externen Nutzern zur Verfügung. In vielen Umgebungen, besonders in kleineren Organisationen, können diese Funktionen ausreichen, wenn:

• du nur eine begrenzte Anzahl externer Nutzer hast
• Gast-Einladungen zentral von einem kleinen IT-Team verwaltet werden
• die Compliance-Anforderungen überschaubar und leicht zu dokumentieren sind

Viele Microsoft-365-Tenants stoßen jedoch schnell an Grenzen, wenn sie ausschließlich die nativen Funktionen für das Gästemanagement in Microsoft 365 und Microsoft Teams nutzen:

• Hunderte oder Tausende Gäste in vielen Teams, Websites und Gruppen
• Fachabteilungen, die eigenständig externe Nutzer einladen
• Bedarf an standardisierten Freigabe-Workflows für den Gastzugang
• Strenge Audit- und Compliance-Vorgaben (z. B. Access Reviews, ISO 27001, interne Richtlinien)
• Notwendigkeit, nachvollziehbar zu dokumentieren, wer welchen Gast eingeladen hat und warum Zugriff gewährt wurde

In solchen Fällen unterstützt dich eine spezialisierte Lösung wie External User Manager dabei, aus Entra External Identities einen steuerbaren und automatisierten Prozess für das Gästemanagement zu machen. Mit klaren Verantwortlichkeiten und transparenter Dokumentation.

Komplizierte Admin Center – oder eine einzige App

External User Manager bietet eine ganzheitliche Lösung für die Verwaltung von Gästen in Microsoft 365, die über die nativen Funktionen von Microsoft Entra und den anderen Verwaltungszentren hinausgeht. Die App verfügt über eine intuitive Oberfläche für die Automatisierung von Einladungen und Zugriffsüberprüfungen und reduziert den Verwaltungsaufwand für die Verwaltung externer Identitäten erheblich.

Die Funktionen für eine detaillierte Zugriffskontrolle und Sicherheits-Compliance gewährleisten, dass Unternehmen hohe Standards für Microsoft 365 Security einhalten und trotzdem offen für externe Zusammenarbeit bleiben können. Buche eine kostenlose Demo und erfahre mehr!

Microsoft Entra External Identities vs. External User Manager im Überblick

Szenario / Bedarf	Microsoft Entra External ID	External User Manager
Grundlegender Gastzugang und B2B-Zusammenarbeit	✔ Native Unterstützung	✔ Nutzt und erweitert die Entra-Konfiguration
Zentrale Übersicht aller Gäste über Teams und Sites	Eingeschränkt, mehrere Admin-Center nötig	✔ Eigene Dashboards und Berichte für Gastnutzer
Standardisierte Gästeinladung mit Freigaben	Möglich mit individueller Konfiguration und Tools	✔ Integrierte Einladungs- und Freigabe-Workflows
Automatischer Lifecycle und Access Reviews für Gäste	Möglich über Identity Governance, Einrichtung komplex	✔ Vorgefertigte Lifecycle-Regeln und automatisierte Access Reviews
Compliance-fähige Dokumentation von Zugriffsentscheidungen	Manuell oder über individuelle Lösungen	✔ Integrierte Historie und Dokumentation aller Gastzugriffe und Änderungen

Wenn du aktuell ausschließlich auf Entra External Identities setzt und dabei mit manuellen Aufgaben, fehlender Transparenz oder Audit-Findings zu Gastzugängen kämpfst, kann die Kombination aus Microsoft Entra External ID und External User Manager der sinnvolle nächste Schritt sein.

FAQ: External Identities in Microsoft Entra

Neugierig, wie sich External Identities einfacher verwalten lassen?