![]()
AuthorPatrick Lamber- KategorieStory
- Zuletzt aktualisiert02/18/2024
- Lesezeit7 Minuten
Serie
Von der Einrichtung zum Erfolg: Externe Zusammenarbeit in Microsoft 365 professionell gestalten
1: Einführung in die externe Zusammenarbeit in Microsoft 365
2: Externe Zusammenarbeit in Microsoft 365 konfigurieren: Einstellungen, Sicherheit und Gastzugriff (Du liest diesen Artikel)
Externe Zusammenarbeit ist im heutigen digitalen Arbeitsumfeld unverzichtbar. In Microsoft 365 muss sie richtig konfiguriert werden, um Produktivität und Sicherheit in Balance zu halten. In Teil 1: Einführung in die externe Zusammenarbeit in Microsoft 365 haben wir die Grundlagen von Gastkonten erklärt. In diesem zweiten Artikel gehen wir auf die Konfiguration des Gastzugriffs ein: Microsoft Entra ID-Einstellungen, Einladungen, Domänenkontrollen und SharePoint-Freigabeeinstellungen.
Vorteile von B2B-Gastkonten für externe Zusammenarbeit in Microsoft 365
B2B-Gastkonten in Microsoft 365 sind entscheidend für die Zusammenarbeit mit externen Partnern. Die wichtigsten Vorteile:
-
Nahtlose Zusammenarbeit mit externen Beteiligten: Gastkonten ermöglichen die Zusammenarbeit mit Personen ausserhalb deiner Organisation bei Projekten, der Dokumentenfreigabe und der Teilnahme an Teams mit Kunden, Lieferanten oder anderen externen Partnern.
-
Einfacher Zugriff auf freigegebene Ressourcen: Gäste können freigegebene Ressourcen wie Dateien, Dokumente und Kalender in deiner Microsoft 365-Umgebung problemlos aufrufen.
-
Teamzusammenarbeit in Microsoft Teams: Gäste können aktiv an Diskussionen, Meetings und der gemeinsamen Dateibearbeitung teilnehmen.
-
Vereinfachtes Identitätsmanagement: Gäste verwenden ihre bestehenden Anmeldedaten aus ihrer eigenen Organisation.
-
Robuste Sicherheitsmassnahmen: Admins können Gastberechtigungen steuern, Richtlinien für bedingten Zugriff anwenden und sicherstellen, dass Gastbenutzer bestimmte Sicherheitskriterien erfüllen.
-
Single Sign-On (SSO): Gäste profitieren von Single Sign-On für mehrere Microsoft 365-Dienste.
-
Audit- und Berichtsfunktionen: Microsoft 365 bietet leistungsstarke Audit- und Berichtsfunktionen zur Überwachung von Gastbenutzeraktivitäten.
-
Einheitliche Benutzererfahrung: Gäste erleben eine konsistente Nutzung von Microsoft 365, unabhängig von ihrer Organisationszugehörigkeit.
Während Gastkonten viele Vorteile bieten, müssen Organisationen auf Sicherheitsrisiken bei Gastkonten in Microsoft 365 und Compliance-Anforderungen achten.
Unterschied zwischen B2B-Gastkonten und internen Mitgliedern
| Aspekt | B2B-Gastkonten | Interne Mitglieder |
|---|---|---|
| Zugriffsbereich | Eingeschränkter Zugriff auf bestimmte freigegebene Ressourcen und gemeinsame Projekte. | Umfassendere Zugriffsrechte innerhalb der Organisation auf interne Systeme, Dokumente und Anwendungen. |
| Identitätsverwaltung | Behalten ihre ursprüngliche Organisationsidentität und Anmeldedaten, ohne Teil des internen Verzeichnisses der Organisation zu werden. | Vollständig in das interne Verzeichnis der Organisation integriert mit spezifischen Benutzerrollen und Berechtigungen. |
| Zusammenarbeitsgrenzen | Arbeiten nahtlos mit internen Mitgliedern in gemeinsamen Bereichen zusammen. | Interaktion innerhalb der internen Umgebung ohne die Einschränkungen externer Zusammenarbeit. |
Lifecycle eines B2B-Gastkontos
| Schritt | Beschreibung |
|---|---|
| Einladung | Ein internes Mitglied lädt einen externen Partner ein und gibt die benötigten Ressourcen oder Anwendungen an. |
| Annahme | Das B2B-Gastkonto nimmt die Einladung an und schliesst die Authentifizierungsprozesse ab. Je nach Organisationseinstellungen muss der Gast ggf. Nutzungsbedingungen akzeptieren und MFA einrichten. |
| Zugriffskonfiguration | Die Organisation konfiguriert Zugriffsrechte und legt Berechtigungen für die benötigten Ressourcen fest. |
| Zusammenarbeit | B2B-Gastkonten arbeiten mit internen Mitgliedern zusammen, tragen zu Projekten bei und nehmen an Kommunikationskanälen teil. |
| Ablauf oder Widerruf | Zugriff kann nach einem festgelegten Zeitraum ablaufen oder jederzeit widerrufen werden. |
| Offboarding | Nach Abschluss der Zusammenarbeit wird der Zugriff durch Löschen des B2B-Gastkontos beendet. |
Schritt für Schritt: Gastkontoeinstellungen in Microsoft 365 Entra ID konfigurieren
Microsoft Entra ID ist das Herzstück der externen Zusammenarbeit in Microsoft 365. Die Gastzugriffsbeschränkungen von Entra ID haben Vorrang vor den Konfigurationen in anderen Microsoft 365-Diensten.
Entra ID-Integration für SharePoint-Gastfreigabe aktivieren
Für Tenants, die vor März 2023 erstellt wurden, nutzen SharePoint und OneDrive möglicherweise noch das ältere SharePoint-only-Gastmodell mit E-Mail-basierten Einmalkennwörtern (OTPs). Dieses Modell arbeitet ausserhalb der Microsoft Entra ID-Governance ohne bedingten Zugriff, MFA und Compliance-Kontrollen.
Du kannst die moderne Integration direkt über die SharePoint Online Management Shell prüfen und aktivieren:
### Mit einem Admin-Konto mit SharePoint Online verbinden
Connect-SPOService -Url https://<tenant>-admin.sharepoint.com
Get-SPOTenant | Select EnableAzureADB2BIntegration
# Wenn das Ergebnis zeigt:
EnableAzureADB2BIntegration : False
# Verwendest du noch das ältere Gastmodell.
# Zur Modernisierung und Sicherung der externen Zusammenarbeit ausführen:
Set-SPOTenant -EnableAzureADB2BIntegration $trueSobald aktiviert, erstellen SharePoint und OneDrive automatisch Entra ID-Gastkonten für neue Freigabeeinladungen, ersetzen OTP-basierte Gäste und bringen alle externen Benutzer unter die vollständige Entra ID-Governance.
⚠️ Wichtig: Die Aktivierung dieser Einstellung kann bestehende Links für ältere Gäste ungültig machen. Exportiere vor der Aktivierung bestehende SharePoint-Gäste, erstelle einen Migrationsplan und informiere betroffene Benutzer.
Kontrollieren, wer Gäste in Microsoft 365 einladen darf
| Einladungseinstellung | Beschreibung |
|---|---|
| Alle in der Organisation (am offensten) | Alle Benutzer, einschliesslich Gäste und Nicht-Admins, können externe Benutzer einladen. |
| Mitgliedsbenutzer und Benutzer mit bestimmten Administratorrollen (Standard) | Bestimmte Benutzer mit Administratorrollen können Gäste mit Mitgliederberechtigungen einladen. |
| Nur Benutzer mit bestimmten Administratorrollen | Nur Benutzer mit Administratorrollen können Gäste einladen. |
| Niemand in der Organisation (am restriktivsten) | Alle Einladungen in der Organisation werden blockiert. |
Diese Einstellung bestimmt, wer Personen als Gäste einladen kann. Ich empfehle, die Einstellung Alle in der Organisation nicht zu verwenden und stattdessen den Zugriff auf interne Benutzer zu beschränken.
Manche Organisationen möchten überhaupt keine Gastkonten einladen. Du kannst dies mit Niemand in der Organisation steuern. Das betrifft nur neue Einladungen, nicht bestehende Gastkonten.
Für einen gesteuerten Prozess mit Genehmigung empfehle ich die Einstellung Nur Benutzer mit bestimmten Administratorrollen und danach den gewünschten Prozess zu definieren. EasyLife 365 Collaboration unterstützt diese Szenarien.
Domänen zulassen oder blockieren
Admins können steuern, welche E-Mail-Domänen beim Einladen von Gästen erlaubt oder blockiert sind. Das hilft, einen sicheren und massgeschneiderten Zusammenarbeitsraum zu schaffen.
SharePoint-Freigabeeinstellungen für Dokumente und Sites
SharePoint-Freigabeeinstellungen spielen eine wichtige Rolle bei der Steuerung der Inhaltsfreigabe in OneDrive und SharePoint Online. Microsoft Teams und Viva Engage nutzen SharePoint Online als Dateispeicher, daher wirken sich diese Einstellungen auch auf diese Tools aus.
So konfigurierst du die Freigabeeinstellungen auf Organisationsebene:
- SharePoint Admin Center öffnen.
- Zu "Richtlinien" navigieren und "Freigabe" wählen.
- Die externen Freigabeeinstellungen für SharePoint oder OneDrive prüfen.
- Bei Änderungen auf "Speichern" klicken.
Eine wichtige Funktion sind "Jeder"-Links, die das Teilen von Dateien und Ordnern über anonyme Links ohne Authentifizierung ermöglichen. Um Oversharing-Risiken in Microsoft Teams zu vermeiden, ist es wichtig, das Standard-Ablaufdatum für diese Links zu verwalten.
| Szenario | Beschreibung |
|---|---|
| Neue und bestehende Gäste | Verwende diese Einstellung, um neue Gastkonten einzuladen, auch wenn der Gast noch nicht in der Organisation eingeladen wurde. |
| Bestehende Gäste | Diese Einstellung gilt, wenn du nur Personen Zugriff geben möchtest, die bereits zu deinem Verzeichnis hinzugefügt wurden. |
| Nur Personen in deiner Organisation | Wähle diese Option, um eine Site ausschliesslich für interne Nutzung zu beschränken. |
Für site-spezifische Freigabeeinstellungen navigiere zur Registerkarte "Aktive Sites", wähle die gewünschte Site aus und konfiguriere die Freigabeeinstellungen.
Zugriff in Microsoft 365-Gruppen und Teams steuern
Moderne SharePoint-Sites nutzen Microsoft 365-Gruppen für die Zugriffskontrolle. Aktiviere die Gasteinstellungen für Microsoft 365-Gruppen, um den Gastzugriff in Gruppen-SharePoint-Sites, Microsoft Teams und Microsoft 365-Gruppen zu ermöglichen.
Gehe dazu im Microsoft 365 Admin Center zu Einstellungen > Organisationseinstellungen und dann zu Microsoft 365-Gruppen.
Microsoft Teams Gastzugriffseinstellungen
Microsoft Teams nutzt Microsoft 365-Gruppen als Basis. Du kannst mit einem Ein-/Aus-Schalter steuern, ob Gastzugriff in Teams erlaubt ist.
Aktiviere oder deaktiviere den Gastzugriff im Teams Admin Center unter Benutzer > Gastzugriff.
Gastberechtigungen für Teamkanäle
Gäste in einem Team haben weniger Möglichkeiten als Teammitglieder, können aber trotzdem in Kanälen mitarbeiten. Team-Eigentümer können Gastberechtigungen für Kanäle in den Team-Einstellungen verwalten.
Fazit: Sichere externe Zusammenarbeit in Microsoft 365
Wir haben die wichtigsten Einstellungen zur Steuerung von Gastkonten in Microsoft 365 behandelt: Sichtbarkeit, Einladungskontrollen, Domänenbeschränkungen und Freigabeeinstellungen. In den nächsten Blogbeiträgen werden wir weitere Lifecycle-Themen und bewährte Methoden für die Verwaltung von Gastkonten behandeln.
Dieser Beitrag ist Teil einer Serie über B2B-Gastkontenverwaltung.
- Einführung
- Konfiguration (dieser Beitrag)
- Bewährte Methoden
