Freigeben über


Was ist eine mehrmandantenfähige Organisation in Microsoft Entra ID?

Mehrmandantenfähige Organisationen sind ein Feature in Microsoft Entra ID und Microsoft 365, mit dem Sie eine Grenze um die Microsoft Entra-Mandanten definieren können, die Ihrer Organisation gehören. Im Verzeichnis hat dies die Form einer Mandantengruppe, die Ihre Organisation darstellt. Jedes Mandantenpaar in der Gruppe wird durch mandantenübergreifende Zugriffseinstellungen gesteuert, die Sie zum Konfigurieren der B2B-Zusammenarbeit verwenden können.

Warum sollten Sie mehrmandantenfähige Organisation verwenden?

Dies sind die primären Ziele einer mehrmandantenfähige Organisation:

  • Definieren einer Grenze um die Mandanten, die zu Ihrer Organisation gehören
  • Mandantenübergreifende Zusammenarbeit im neuen Microsoft Teams
  • Mandantenübergreifende Zusammenarbeit in Microsoft Viva Engage

Wer sollte es benutzen?

Organisationen, die mehrere Microsoft Entra-Mandanten besitzen und den organisationsinternen, mandantenübergreifenden Anwendungszugriff in Microsoft 365 optimieren möchten.

Die Funktion für die mehrmandantenfähige Organisation in Microsoft Teams basiert auf der Annahme der gegenseitigen Bereitstellung von Mitgliedsbenutzern für die B2B-Zusammenarbeit über mehrere Mandanten innerhalb der mehrmandantenfähigen Organisation.

Die Funktion für die mehrmandantenfähige Organisation in Viva Engage basiert auf der Annahme einer zentralen Bereitstellung von Mitgliedsbenutzern für die B2B-Zusammenarbeit in einem Hubmandanten.

Die Funktion für die mehrmandantenfähige Organisation wird daher am besten mit einem Massenbereitstellungsmodul für B2B-Zusammenarbeitsbenutzer bereitgestellt, z. B. mit mandantenübergreifender Synchronisierung.

Vorteile

Hier werden die primären Vorteile einer mehrmandantenfähigen Organisation aufgeführt:

Wer sind die Mitgliedsbenutzer in einer mehrmandantenfähigen Organisation?

Wenn Sie eine mehrmandantenfähige Organisation definieren, werden externe Benutzer (B2B-Zusammenarbeitsbenutzer) auf die folgende Weise basierend auf der userType-Eigenschaft segmentiert:

  • Externe Mitglieder, die aus einer mehrmandantenfähigen Organisation stammen
  • Externe Gäste, die aus einer mehrmandantenfähigen Organisation stammen
  • Externe Mitglieder, die nicht aus Ihrer Organisation stammen
  • Externe Gäste, die nicht aus Ihrer Organisation stammen

Durch diese Segmentierung externer Benutzer können Sie in einer mehrmandantenfähigen Organisation besser zwischen externen Benutzern von innerhalb und außerhalb der Organisation unterscheiden.

Externe Mitglieder, die aus einer mehrmandantenfähigen Organisation stammen, werden manchmal als Mitgliedsbenutzer der mehrmandantenfähigen Organisation bezeichnet.

Die Funktionen für die mandantenübergreifende Zusammenarbeit in Microsoft 365 sind dafür konzipiert, eine nahtlose Zusammenarbeit über Mandantengrenzen hinweg zu ermöglichen, wenn diese mit den Mitgliedsbenutzern einer mehrmandantenfähigen Organisation erfolgt.

Wie funktioniert eine mehrmandantenfähige Organisation?

Mithilfe der Funktion für mehrmandantenfähige Organisationen können Sie eine Grenze um die Microsoft Entra-Mandanten definieren, die Ihre Organisation besitzt. Dies geschieht durch einen Einladungs- und Annahmeablauf zwischen Mandantenadministratoren. In der folgenden Liste wird der grundlegende Lebenszyklus einer mehrmandantenfähige Organisation beschrieben.

  • Definieren einer mehrmandantenfähige Organisation

    Ein Mandantenadministrator definiert eine mehrmandantenfähige Organisation als Gruppierung von Mandanten. Die Gruppierung der Mandanten erfolgt erst dann gegenseitig, wenn jeder aufgelistete Mandant der mehrmandantenfähige Organisation beitritt. Ziel ist eine gegenseitige Vereinbarung zwischen allen gelisteten Mandanten.

  • Mehrmandantenfähiger Organisation beitreten

    Mandantenadministrator*innen von aufgelisteten Mandanten ergreifen Maßnahmen, um der mehrmandantenfähige Organisation beizutreten. Nach dem Beitritt ist die Beziehung der mehrmandantenfähigen Organisation zwischen allen Mandanten gegenseitig, die der mehrmandantenfähigen Organisation beitreten.

  • Eine mehrmandantenfähige Organisation verlassen

    Mandantenadministrator*innen von aufgelisteten Mandanten können eine mehrmandantenfähige Organisation jederzeit verlassen. Mandantenadministrator*innen, die eine mehrmandantenfähige Organisation definiert haben, können aufgelistete Mandanten hinzufügen und entfernen, aber die anderen Mandanten nicht steuern.

Eine mehrmandantenfähige Organisation ist als Zusammenarbeit auf Augenhöhe konzipiert. Alle Mandantenadministrator*innen behalten die Kontrolle über ihre eigenen Mandanten und deren Mitgliedschaft in der mehrmandantenfähigen Organisation.

Beispiel für eine mehrmandantenfähige Organisation

Das folgende Diagramm zeigt die drei Mandanten A, B und C, die eine mehrmandantenfähige Organisation bilden.

Diagramm: Topologie einer Organisation mit mehreren Mandanten und mandantenübergreifende Zugriffseinstellungen.

Mandant Beschreibung
Ein Administrator*innen sehen eine mehrmandantenfähige Organisation, die aus A, B, C besteht.
Sie sehen auch mandantenübergreifende Zugriffseinstellungen für B und C.
b Administrator*innen sehen eine mehrmandantenfähige Organisation, die aus A, B, C besteht.
Sie sehen auch mandantenübergreifende Zugriffseinstellungen für A und C.
C Administrator*innen sehen eine mehrmandantenfähige Organisation, die aus A, B, C besteht.
Sie sehen auch mandantenübergreifende Zugriffseinstellungen für A und B.

Rolle und Zustand der Mandanten

Um die Verwaltung einer mehrmandantenfähigen Organisation zu vereinfachen, verfügt jeder Mandant in einer solchen Organisation über eine zugeordnete Rolle und einen zugeordneten Zustand.

Mandantenrolle Beschreibung
Besitzer Ein Mandant erstellt die mehrmandantenfähige Organisation. Der Mandant, der die mehrmandantenfähige Organisation erstellt, erhält die Rolle „Besitzer“. Der Besitzermandant verfügt über die Berechtigung, Mandanten im Zustand „Ausstehend“ hinzuzufügen und Mandanten aus der mehrmandantenfähigen Organisation zu entfernen. Außerdem kann der Besitzermandant die Rolle anderer Mandanten in der Organisation ändern.
Member Nach dem Hinzufügen von Mandanten im Zustand „Ausstehend“ zur mehrmandantenfähigen Organisation müssen diese Mandanten der Organisation beitreten, um ihren Zustand von „Ausstehend“ zu „Aktiv“ zu ändern. Beigetretene Mandanten haben anfangs in der Regel die Rolle „Mitglied“ inne. Jedes Mitglied hat die Berechtigung, die mehrmandantenfähige Organisation zu verlassen.
Mandantenzustand Beschreibung
Ausstehend Ein Mandant im Status „Ausstehend“ muss einer mehrmandantenfähigen Organisation noch beitreten. Ein ausstehender Mandant wird zwar in der Administratoransicht der mehrmandantenfähigen Organisation aufgelistet, ist aber noch nicht Teil der Organisation – daher ist er für Endbenutzer*innen in der Organisation noch nicht sichtbar.
Aktiv Nach dem Hinzufügen von Mandanten im Zustand „Ausstehend“ zur mehrmandantenfähigen Organisation müssen diese Mandanten der Organisation beitreten, um ihren Zustand von „Ausstehend“ zu „Aktiv“ zu ändern. Beigetretene Mandanten haben anfangs in der Regel die Rolle „Mitglied“ inne. Jedes Mitglied hat die Berechtigung, die mehrmandantenfähige Organisation zu verlassen.

Mandantenübergreifende Zugriffseinstellungen

Dass Administrator*innen die Kontrolle über ihre Ressourcen behalten, ist ein Leitprinzip für die Zusammenarbeit in mehrmandantenfähigen Organisationen. Mandantenübergreifende Zugriffseinstellungen sind für jede Beziehung zwischen den einzelnen Mandanten erforderlich. Mandantenadministrator*innen konfigurieren die folgenden Richtlinien explizit nach Bedarf:

Vorlagen für mandantenübergreifende Zugriffseinstellungen

Um die Einrichtung von homogenen mandantenübergreifenden Zugriffseinstellungen zu vereinfachen, die auf Partnermandanten in der Organisation mit mehreren Mandanten angewendet werden, können die Administrator*innen der einzelnen Mandanten optionale Vorlagen für mandantenübergreifende Zugriffseinstellungen konfigurieren, die für die mehrmandantenfähige Organisation vorgesehen sind. Mit diesen Vorlagen lassen sich mandantenübergreifende Zugriffseinstellungen vorab konfigurieren, die auf alle Partnermandanten angewendet werden, die der mehrmandantenfähige Organisation neu beitreten.

Einschränkungen

Das Feature „mehrmandantenfähige Organisation“ weist folgende absichtlich konzipierte Einschränkungen auf:

  • Jeder Mandant kann nur eine mehrmandantenfähige Organisation erstellen oder einer solchen beitreten.
  • Mandanten, die sich in einer Beziehung mit granularen delegierten Administratorberechtigungen (GDAP) befinden, können keine mehrinstanzenfähige Organisation erstellen und keiner beitreten.
  • Jede mehrmandantenfähige Organisation muss über mindestens einen aktiven Besitzermandanten verfügen.
  • Jeder aktive Mandant muss über mandantenübergreifende Zugriffseinstellungen für alle aktiven Mandanten verfügen.
  • Jeder aktive Mandant kann eine mehrmandantenfähige Organisation verlassen, indem er sich selbst daraus entfernt.
  • Eine mehrmandantenfähige Organisation wird gelöscht, wenn der letzte aktive Mandant (Besitzer) sie verlässt.

Grenzwerte

Resource Begrenzung Hinweise
Maximal fünf aktive Mandanten, einschließlich des Besitzermandanten 100 Der Besitzermandant kann mehr als 100 ausstehende Mandanten hinzufügen, aber der mehrinstanzenfähigen Organisation nicht beitreten, wenn der Grenzwert überschritten wird. Dieser Grenzwert wird zum Zeitpunkt angewendet, wenn ein ausstehender Mandant einer mehrinstanzenfähigen Organisation beitritt. Dieser Grenzwert ist spezifisch für die Anzahl der Mandanten in einer mehrmandantenfähigen Organisation. Das gilt nicht für die mandantenübergreifende Synchronisierung selbst. Um diesen Grenzwert zu erhöhen, senden Sie eine Supportanfrage im Microsoft Entra oder Microsoft 365 Admin Center.

Erste Schritte

Hier finden Sie die grundlegenden Schritte, die für den Einstieg in die Arbeit mit einer mehrmandantenfähigen Organisation erforderlich sind.

Schritt 1: Planen Ihrer Bereitstellung

Weitere Informationen finden Sie unter Planen für mehrmandantenfähige Organisationen in Microsoft 365 und Einschränkungen in mehrmandantenfähigen Organisationen.

Schritt 2: Erstellen Ihrer mehrmandantenfähigen Organisation

Erstellen Sie Ihre mehrinstanzenfähige Organisation mit Microsoft 365 Admin Center, Microsoft Graph PowerShell oder Microsoft Graph-API-:

  • Der erste Mandant, der bald Besitzermandant wird, erstellt eine mehrmandantenfähige Organisation.
  • Der Besitzermandant fügt mindestens einen Beitrittsmandanten hinzu.

Weitere Informationen dazu, wie Sie mit dem Microsoft 365 Admin Center eine mehrmandantenfähige Organisation erstellen, finden Sie unter Erstellen oder Beitreten bei einer mehrmandantenfähigen Organisation über das Microsoft 365 Admin Center.

Schritt 3: Beitreten einer mehrmandantenfähigen Organisation

Treten Sie einer mehrinstanzenfähigen Organisation mit Microsoft 365 Admin Center oder Microsoft Graph PowerShell oder Microsoft Graph-API bei:

  • Beitrittsmandanten übermitteln eine Beitrittsanforderung, um der mehrmandantenfähigen Organisation des Besitzermandanten beizutreten.
  • Warten Sie bis zu 2 Stunden, damit die asynchrone Verarbeitung abgeschlossen werden kann.

Ihre mehrmandantenfähige Organisation wird jetzt gebildet. Als Ergebnis werden alle vorhandenen externen Mitgliedsbenutzer innerhalb der mehrmandantenfähigen Organisation jetzt als Mitglieder der mehrmandantenfähigen Organisation erkannt. Dies ermöglicht eine verbesserte nahtlose Zusammenarbeit zwischen den aktiven Mandanten Ihrer mehrmandantenfähigen Organisation.

Weitere Informationen dazu, wie Sie mit dem Microsoft 365 Admin Center der mehrmandantenfähigen Organisation beitreten, finden Sie unter Erstellen oder Beitreten bei einer mehrmandantenfähigen Organisation über das Microsoft 365 Admin Center.

Schritt 4: Bereitstellen externer Mitgliedsbenutzer

Die Zusammenarbeit in mehrmandantenfähigen Organisationen in Microsoft 365 basiert auf der Bereitstellung von Mitgliedsbenutzern für die B2B-Zusammenarbeit. Je nach Anwendungsfall können Sie Benutzer mit einer oder mehreren der folgenden Methoden bereitstellen:

Weitere Informationen zum Bereitstellen von externen Mitgliedsbenutzern finden Sie unter Optionen für die Bereitstellung Ihrer externen Mitgliedsbenutzer.

Schritt 5: Abschließen der Microsoft 365-Anwendungsanforderungen

Die folgenden Anwendungen für die Zusammenarbeit in mehrmandantenfähigen Organisationen können zusätzliche Anforderungen haben:

Nachdem die Anforderungen Ihrer Microsoft 365-Anwendung abgeschlossen wurden, können Ihre Mitarbeiter nahtlos in Ihrer Organisation mit mehreren Mandanten zusammenarbeiten.

Lizenzanforderungen

Für die Mehrinstanzenorganisation sind Microsoft Entra ID P1-Lizenzen erforderlich. Je Mehrinstanzenorganisation ist nur eine Microsoft Entra ID P1-Lizenz erforderlich. Außerdem müssen Sie über mindestens eine Microsoft Entra ID P1-Lizenz pro Mandant verfügen. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.

Nächste Schritte