Mit Azure Active Directory B2B ist es einfach, Externen Zugriff auf Unternehmensressourcen zu gewähren. Weitere Tipps für sicheren Gastnutzerzugriff finden Sie in diesen Beiträgen:
Viele Unternehmen arbeiten nicht nur intern, sondern auch extern auf verschiedene Weise zusammen, z. B. durch gemeinsame Nutzung von Dateien, Partnertreffen, Zugang zu Bibliotheken und vieles mehr. Diese Zusammenarbeit steigert das Wachstum von Unternehmen und erweitert gleichzeitig ihr Netzwerk. In diesem Beitrag sehen wir uns an, wie Azure AD die externe Zusammenarbeit durch Gastnutzerzugriff handhabt und wie Sie externe Nutzer zu den Ressourcen Ihres Tenants einladen können.
Was ist Azure Active Directory B2B-Gastnutzerzugriff?
Azure AD Business-to-Business (B2B)-Zusammenarbeit ist eine Funktion innerhalb von External Identities, die es Organisationen ermöglicht, Gastnutzer zur externen Zusammenarbeit einzuladen. Organisationen können ihre Anwendungen, Ressourcen und Dienste sicher mit Nutzern aus anderen Organisationen teilen, die die Erlaubnis haben, ihre eigene Identität (als Autorisierung) beim Zugriff auf die Umgebung des Tenants zu verwenden. Diese Funktion unterstützt eine breite Palette von Identitäten wie Google, Facebook, Microsoft-Konten und andere Unternehmensidentitäten.
Wie funktioniert das?
Die freigebende Organisation kann eine Einladung an externe B2B-Nutzer als Gruppe an das Verzeichnis einer Anwendung oder eines Tenants senden. Sobald die Einladung versendet wurde, wird das Konto des externen Nutzers zu Azure Active Directory (Azure AD) als Nutzer vom Typ Gast hinzugefügt. Anschließend muss er die Einladung einlösen, um den Prozess abzuschließen und Zugriff auf gemeinsame Ressourcen, Anwendungen und/oder Dienste zu erhalten. Die Einladung an den Gastnutzer läuft nicht ab.
Da diese Verbindung es externen Nutzern ermöglicht, ihre eigene Identität zu verwenden – sei es die berufliche, schulische oder soziale -, wird es für die Nutzer einfacher, extern zusammenzuarbeiten. Außerdem werden die Administratoren bei der Verwaltung dieser externen Konten entlastet. Sie müssen weder externe Anmeldeinformationen noch Synchronisierungskonten oder Kontolebenszyklen überwachen und verwalten, da diese von den eigenen Administratoren des Gastnutzers verwaltet werden.
Einladen von Gastnutzern über das Azure AD-Portal
Bevor Sie fortfahren, vergewissern Sie sich, dass Sie die richtige Berechtigung zum Erstellen von Nutzern in Ihrem Tenantverzeichnis haben. Achten Sie auf Rollen wie Global Administrator oder eingeschränkte Admin-Verzeichnisrollen wie Guest Inviter oder User Administrator. Sie können zunächst auch einige Tests durchführen, indem Sie eine Einladung an Ihr eigenes externes E-Mail-Konto senden.
Die Einladung von Gastnutzern kann einfach über das Azure AD-Portal erfolgen. Dies ist auch über PowerShell möglich.
Melden Sie sich im Azure-Portal als Azure AD-Administrator an und gehen Sie im linken Bereich zu Azure Active Directory.
Gehen Sie zu Verwalten > Nutzer
Screenshot von Microsoft.
Wählen Sie Neuer Gastnutzer
Wählen Sie anschließend Nutzer einladen und geben Sie die geforderten Gastinformationen ein:
Name –Vor- und Nachname des Gastnutzers.
E-Mail-Adresse(erforderlich) – Die E-Mail-Adresse des Gastnutzers.
Persönliche Nachricht (optional) – Fügen Sie eine persönliche Willkommensnachricht für den Gastnutzer hinzu.
Gruppen – Sie können den Gastnutzer zu einer oder mehreren bestehenden Gruppen hinzufügenoder dies später tun.
Verzeichnisrolle – Wenn Sie Azure AD-Verwaltungsberechtigungen für den Nutzer benötigen, können Sie ihn zu einer Azure AD-Rolle hinzufügen.
Wählen Sie Einladen, um die Einladung automatisch an den Gastbenutzer zu senden.
Nachdem Sie die Einladung gesendet haben, wird das Nutzerkonto automatisch dem Verzeichnis als Gast hinzugefügt.
Durchsetzen von Richtlinien für eine sichere Gastnutzer-Zusammenarbeit
In unserem Haus wollen wir unsere Sicherheit durch die Installation von Sicherheitseinrichtungen gewährleisten. Das Gleiche gilt, wenn Sie externen Nutzern den Zugriff auf Ihre Ressourcen gestatten – Sie müssen sicherstellen, dass die Daten gut geschützt sind, während Sie die B2B-Zusammenarbeit genießen.
Sie können Autorisierungsrichtlinien durchsetzen, um Ihre Unternehmensinhalte und -ressourcen zu schützen. Richtlinien für den bedingten Zugriff können auch durch die Implementierung einer Multi-Faktor-Authentifizierung auf Tenantebene, auf Anwendungsebene oder für bestimmte Gastnutzer verwendet werden, um Unternehmensanwendungen und -daten zu schützen.
Zuweisung einer Anwendung oder eines Services an einen Gastnutzer
Melden Sie sich im Azure-Portal als Azure AD-Administrator an und wählen Sie dann im linken Bereich Unternehmensanwendungen.
Wählen Sie Neue Anwendung.
Suchen Sie unter Add from the gallery nach Salesforce und wählen Sie es dann aus.
Screenshot von Microsoft.
Wählen Sie Hinzufügen.
Wählen Sie unter Verwalten die Option Einzelanmeldung und unter Einzelanmeldungsmodus die Option Kennwortbasierte Anmeldung und klicken Sie auf Speichern.
Wählen Sie unter Verwalten die Option Nutzer und Gruppen > Nutzer hinzufügen > Nutzer und Gruppen.
Verwenden Sie das Suchfeld, um nach dem Gastnutzer zu suchen, und wählen Sie dann
Als Administrator könnte es jedoch mühsam sein, mehrere Einladungen zu bearbeiten, wenn Anfragen oder Bedürfnisse auftreten. Mit dieser Funktion können Sie die Verwaltung von Gastnutzern den App-Besitzern zuweisen, damit diese Gastnutzer direkt zu jeder Anwendung einladen können, die sie gemeinsam nutzen möchten.
Administratoren können Self-Service-Apps und eine Gruppenverwaltung einrichten.
Nicht-Administratoren verwenden ihr Access Panel, um Gastnutzer zu Anwendungen oder Gruppen hinzuzufügen.
Einlösen von Gastnutzer-Einladungen
Die Einlösung der Einladung zur Zusammenarbeit kann auf verschiedene Weise erfolgen: über einen direkten Link, über eine Einladungs-E-Mail oder durch Anmeldung auf der MyApps-Seite (mehr zu diesem Vorgang hier). Das folgende Diagramm zeigt den beispielhaften Ablauf des Einlösungsprozesses über eine E-Mail-Einladung.
Screenshot von Microsoft.
Der Entzug des Gastnutzerzugriffs auf die Ressourcen Ihrer Organisation kann ebenfalls einfach durchgeführt werden. Befolgen Sie die gleichen Schritte wie bei der Erstellung des Nutzers, aber wählen Sie dieses Mal Nutzer löschen, um den Vorgang abzuschließen. Eine vollständige Schritt-für-Schritt-Anleitung finden Sie in dieser Microsoft-Dokumentation.
Diese Azure AD B2B-Gastzugriffsfunktion kann eine große Hilfe für Mitarbeiter in Ihrem Unternehmen sein, um die Zusammenarbeit mit Partnern und externen Nutzern zu vereinfachen, die Anzahl der gemeinsamen Nutzung doppelter Dateien oder Dokumente zu reduzieren und gleichzeitig die Datensicherheit zu gewährleisten.
Adrian is currently a member of AvePoint's project management team. In his previous role as a Content Marketing specialist at AvePoint, Adrian covered the latest trends and topics on what’s new in technology, SaaS Management & Governance, SaaS Backup and Data Management.