Was ist eine mehrmandantenfähige Organisation in Microsoft Entra ID?
Mehrmandantenfähige Organisationen sind ein Feature in Microsoft Entra ID und Microsoft 365, mit dem Sie eine Grenze um die Microsoft Entra-Mandanten definieren können, die Ihrer Organisation gehören. Im Verzeichnis hat dies die Form einer Mandantengruppe, die Ihre Organisation darstellt. Jedes Mandantenpaar in der Gruppe wird durch mandantenübergreifende Zugriffseinstellungen gesteuert, die Sie zum Konfigurieren der B2B-Zusammenarbeit verwenden können.
Warum sollten Sie mehrmandantenfähige Organisation verwenden?
Dies sind die primären Ziele einer mehrmandantenfähige Organisation:
- Definieren einer Grenze um die Mandanten, die zu Ihrer Organisation gehören
- Mandantenübergreifende Zusammenarbeit im neuen Microsoft Teams
- Mandantenübergreifende Zusammenarbeit in Microsoft Viva Engage
Wer sollte es benutzen?
Organisationen, die mehrere Microsoft Entra-Mandanten besitzen und den organisationsinternen, mandantenübergreifenden Anwendungszugriff in Microsoft 365 optimieren möchten.
Die Funktion für die mehrmandantenfähige Organisation in Microsoft Teams basiert auf der Annahme der gegenseitigen Bereitstellung von Mitgliedsbenutzern für die B2B-Zusammenarbeit über mehrere Mandanten innerhalb der mehrmandantenfähigen Organisation.
Die Funktion für die mehrmandantenfähige Organisation in Viva Engage basiert auf der Annahme einer zentralen Bereitstellung von Mitgliedsbenutzern für die B2B-Zusammenarbeit in einem Hubmandanten.
Die Funktion für die mehrmandantenfähige Organisation wird daher am besten mit einem Massenbereitstellungsmodul für B2B-Zusammenarbeitsbenutzer bereitgestellt, z. B. mit mandantenübergreifender Synchronisierung.
Vorteile
Hier werden die primären Vorteile einer mehrmandantenfähigen Organisation aufgeführt:
Unterscheiden zwischen organisationsinternen und organisationsexternen Benutzer*innen
In Microsoft Entra ID können externe Benutzer*innen, die aus einer Organisation mit mehreren Mandanten stammen, von externen Benutzer*innen unterschieden werden, die nicht aus der mehrmandantenfähige Organisation stammen. Diese Unterscheidung erleichtert die Anwendung unterschiedlicher Richtlinien organisationsinterne und organisationsexterne Benutzer*innen.
Verbesserte Zusammenarbeit in Microsoft Teams
Im neuen Microsoft Teams erleben Benutzer*innen in mehrmandantenfähige Organisationen eine verbesserte Zusammenarbeit über die verschiedenen Mandanten hinweg – mit Benachrichtigungen für Chats, Telefongespräche und den Beginn einer Besprechung aus allen verbundenen Mandanten in der Organisation mit mehreren Mandanten. Der Wechsel zwischen Mandanten erfolgt nahtloser und schneller. Weitere Informationen finden Sie unter:
Verbesserte Zusammenarbeit in Viva Engage
Viva Engage für mehrmandantenfähige Organisationen ermöglicht komplexen und verteilten Organisationen die Kommunikation als einheitliches Netzwerk. Von mehrmandantenfähigen Organisationsgemeinschaften, Kampagnen und Ereignissen bis hin zu Analysen eröffnet Viva Engage Mitarbeitern und Führungskräften neue Möglichkeiten, um sich zu verbinden, Inhalte zu teilen und die Teilnahme in ihrer mehrmandantenfähigen Organisation zu messen. Weitere Informationen finden Sie unter:
Wer sind die Mitgliedsbenutzer in einer mehrmandantenfähigen Organisation?
Wenn Sie eine mehrmandantenfähige Organisation definieren, werden externe Benutzer (B2B-Zusammenarbeitsbenutzer) auf die folgende Weise basierend auf der userType-Eigenschaft segmentiert:
- Externe Mitglieder, die aus einer mehrmandantenfähigen Organisation stammen
- Externe Gäste, die aus einer mehrmandantenfähigen Organisation stammen
- Externe Mitglieder, die nicht aus Ihrer Organisation stammen
- Externe Gäste, die nicht aus Ihrer Organisation stammen
Durch diese Segmentierung externer Benutzer können Sie in einer mehrmandantenfähigen Organisation besser zwischen externen Benutzern von innerhalb und außerhalb der Organisation unterscheiden.
Externe Mitglieder, die aus einer mehrmandantenfähigen Organisation stammen, werden manchmal als Mitgliedsbenutzer der mehrmandantenfähigen Organisation bezeichnet.
Die Funktionen für die mandantenübergreifende Zusammenarbeit in Microsoft 365 sind dafür konzipiert, eine nahtlose Zusammenarbeit über Mandantengrenzen hinweg zu ermöglichen, wenn diese mit den Mitgliedsbenutzern einer mehrmandantenfähigen Organisation erfolgt.
Wie funktioniert eine mehrmandantenfähige Organisation?
Mithilfe der Funktion für mehrmandantenfähige Organisationen können Sie eine Grenze um die Microsoft Entra-Mandanten definieren, die Ihre Organisation besitzt. Dies geschieht durch einen Einladungs- und Annahmeablauf zwischen Mandantenadministratoren. In der folgenden Liste wird der grundlegende Lebenszyklus einer mehrmandantenfähige Organisation beschrieben.
Definieren einer mehrmandantenfähige Organisation
Ein Mandantenadministrator definiert eine mehrmandantenfähige Organisation als Gruppierung von Mandanten. Die Gruppierung der Mandanten erfolgt erst dann gegenseitig, wenn jeder aufgelistete Mandant der mehrmandantenfähige Organisation beitritt. Ziel ist eine gegenseitige Vereinbarung zwischen allen gelisteten Mandanten.
Mehrmandantenfähiger Organisation beitreten
Mandantenadministrator*innen von aufgelisteten Mandanten ergreifen Maßnahmen, um der mehrmandantenfähige Organisation beizutreten. Nach dem Beitritt ist die Beziehung der mehrmandantenfähigen Organisation zwischen allen Mandanten gegenseitig, die der mehrmandantenfähigen Organisation beitreten.
Eine mehrmandantenfähige Organisation verlassen
Mandantenadministrator*innen von aufgelisteten Mandanten können eine mehrmandantenfähige Organisation jederzeit verlassen. Mandantenadministrator*innen, die eine mehrmandantenfähige Organisation definiert haben, können aufgelistete Mandanten hinzufügen und entfernen, aber die anderen Mandanten nicht steuern.
Eine mehrmandantenfähige Organisation ist als Zusammenarbeit auf Augenhöhe konzipiert. Alle Mandantenadministrator*innen behalten die Kontrolle über ihre eigenen Mandanten und deren Mitgliedschaft in der mehrmandantenfähigen Organisation.
Beispiel für eine mehrmandantenfähige Organisation
Das folgende Diagramm zeigt die drei Mandanten A, B und C, die eine mehrmandantenfähige Organisation bilden.
Mandant | Beschreibung |
---|---|
Ein | Administrator*innen sehen eine mehrmandantenfähige Organisation, die aus A, B, C besteht. Sie sehen auch mandantenübergreifende Zugriffseinstellungen für B und C. |
b | Administrator*innen sehen eine mehrmandantenfähige Organisation, die aus A, B, C besteht. Sie sehen auch mandantenübergreifende Zugriffseinstellungen für A und C. |
C | Administrator*innen sehen eine mehrmandantenfähige Organisation, die aus A, B, C besteht. Sie sehen auch mandantenübergreifende Zugriffseinstellungen für A und B. |
Rolle und Zustand der Mandanten
Um die Verwaltung einer mehrmandantenfähigen Organisation zu vereinfachen, verfügt jeder Mandant in einer solchen Organisation über eine zugeordnete Rolle und einen zugeordneten Zustand.
Mandantenrolle | Beschreibung |
---|---|
Besitzer | Ein Mandant erstellt die mehrmandantenfähige Organisation. Der Mandant, der die mehrmandantenfähige Organisation erstellt, erhält die Rolle „Besitzer“. Der Besitzermandant verfügt über die Berechtigung, Mandanten im Zustand „Ausstehend“ hinzuzufügen und Mandanten aus der mehrmandantenfähigen Organisation zu entfernen. Außerdem kann der Besitzermandant die Rolle anderer Mandanten in der Organisation ändern. |
Member | Nach dem Hinzufügen von Mandanten im Zustand „Ausstehend“ zur mehrmandantenfähigen Organisation müssen diese Mandanten der Organisation beitreten, um ihren Zustand von „Ausstehend“ zu „Aktiv“ zu ändern. Beigetretene Mandanten haben anfangs in der Regel die Rolle „Mitglied“ inne. Jedes Mitglied hat die Berechtigung, die mehrmandantenfähige Organisation zu verlassen. |
Mandantenzustand | Beschreibung |
---|---|
Ausstehend | Ein Mandant im Status „Ausstehend“ muss einer mehrmandantenfähigen Organisation noch beitreten. Ein ausstehender Mandant wird zwar in der Administratoransicht der mehrmandantenfähigen Organisation aufgelistet, ist aber noch nicht Teil der Organisation – daher ist er für Endbenutzer*innen in der Organisation noch nicht sichtbar. |
Aktiv | Nach dem Hinzufügen von Mandanten im Zustand „Ausstehend“ zur mehrmandantenfähigen Organisation müssen diese Mandanten der Organisation beitreten, um ihren Zustand von „Ausstehend“ zu „Aktiv“ zu ändern. Beigetretene Mandanten haben anfangs in der Regel die Rolle „Mitglied“ inne. Jedes Mitglied hat die Berechtigung, die mehrmandantenfähige Organisation zu verlassen. |
Mandantenübergreifende Zugriffseinstellungen
Dass Administrator*innen die Kontrolle über ihre Ressourcen behalten, ist ein Leitprinzip für die Zusammenarbeit in mehrmandantenfähigen Organisationen. Mandantenübergreifende Zugriffseinstellungen sind für jede Beziehung zwischen den einzelnen Mandanten erforderlich. Mandantenadministrator*innen konfigurieren die folgenden Richtlinien explizit nach Bedarf:
Partnerkonfigurationen für den mandantenübergreifenden Zugriff
Weitere Informationen finden Sie unter Konfigurieren mandantenübergreifender Zugriffseinstellungen für die B2B-Zusammenarbeit und Ressourcentyp „crossTenantAccessPolicyConfigurationPartner“.
Mandantenübergreifende Synchronisierung von Zugriffsidentitäten
Weitere Informationen finden Sie unter Konfigurieren der mandantenübergreifenden Synchronisierung und Ressourcentyp „crossTenantIdentitySyncPolicyPartner“.
Vorlagen für mandantenübergreifende Zugriffseinstellungen
Um die Einrichtung von homogenen mandantenübergreifenden Zugriffseinstellungen zu vereinfachen, die auf Partnermandanten in der Organisation mit mehreren Mandanten angewendet werden, können die Administrator*innen der einzelnen Mandanten optionale Vorlagen für mandantenübergreifende Zugriffseinstellungen konfigurieren, die für die mehrmandantenfähige Organisation vorgesehen sind. Mit diesen Vorlagen lassen sich mandantenübergreifende Zugriffseinstellungen vorab konfigurieren, die auf alle Partnermandanten angewendet werden, die der mehrmandantenfähige Organisation neu beitreten.
Einschränkungen
Das Feature „mehrmandantenfähige Organisation“ weist folgende absichtlich konzipierte Einschränkungen auf:
- Jeder Mandant kann nur eine mehrmandantenfähige Organisation erstellen oder einer solchen beitreten.
- Mandanten, die sich in einer Beziehung mit granularen delegierten Administratorberechtigungen (GDAP) befinden, können keine mehrinstanzenfähige Organisation erstellen und keiner beitreten.
- Jede mehrmandantenfähige Organisation muss über mindestens einen aktiven Besitzermandanten verfügen.
- Jeder aktive Mandant muss über mandantenübergreifende Zugriffseinstellungen für alle aktiven Mandanten verfügen.
- Jeder aktive Mandant kann eine mehrmandantenfähige Organisation verlassen, indem er sich selbst daraus entfernt.
- Eine mehrmandantenfähige Organisation wird gelöscht, wenn der letzte aktive Mandant (Besitzer) sie verlässt.
Grenzwerte
Resource | Begrenzung | Hinweise |
---|---|---|
Maximal fünf aktive Mandanten, einschließlich des Besitzermandanten | 100 | Der Besitzermandant kann mehr als 100 ausstehende Mandanten hinzufügen, aber der mehrinstanzenfähigen Organisation nicht beitreten, wenn der Grenzwert überschritten wird. Dieser Grenzwert wird zum Zeitpunkt angewendet, wenn ein ausstehender Mandant einer mehrinstanzenfähigen Organisation beitritt. Dieser Grenzwert ist spezifisch für die Anzahl der Mandanten in einer mehrmandantenfähigen Organisation. Das gilt nicht für die mandantenübergreifende Synchronisierung selbst. Um diesen Grenzwert zu erhöhen, senden Sie eine Supportanfrage im Microsoft Entra oder Microsoft 365 Admin Center. |
Erste Schritte
Hier finden Sie die grundlegenden Schritte, die für den Einstieg in die Arbeit mit einer mehrmandantenfähigen Organisation erforderlich sind.
Schritt 1: Planen Ihrer Bereitstellung
Weitere Informationen finden Sie unter Planen für mehrmandantenfähige Organisationen in Microsoft 365 und Einschränkungen in mehrmandantenfähigen Organisationen.
Schritt 2: Erstellen Ihrer mehrmandantenfähigen Organisation
Erstellen Sie Ihre mehrinstanzenfähige Organisation mit Microsoft 365 Admin Center, Microsoft Graph PowerShell oder Microsoft Graph-API-:
- Der erste Mandant, der bald Besitzermandant wird, erstellt eine mehrmandantenfähige Organisation.
- Der Besitzermandant fügt mindestens einen Beitrittsmandanten hinzu.
Weitere Informationen dazu, wie Sie mit dem Microsoft 365 Admin Center eine mehrmandantenfähige Organisation erstellen, finden Sie unter Erstellen oder Beitreten bei einer mehrmandantenfähigen Organisation über das Microsoft 365 Admin Center.
Schritt 3: Beitreten einer mehrmandantenfähigen Organisation
Treten Sie einer mehrinstanzenfähigen Organisation mit Microsoft 365 Admin Center oder Microsoft Graph PowerShell oder Microsoft Graph-API bei:
- Beitrittsmandanten übermitteln eine Beitrittsanforderung, um der mehrmandantenfähigen Organisation des Besitzermandanten beizutreten.
- Warten Sie bis zu 2 Stunden, damit die asynchrone Verarbeitung abgeschlossen werden kann.
Ihre mehrmandantenfähige Organisation wird jetzt gebildet. Als Ergebnis werden alle vorhandenen externen Mitgliedsbenutzer innerhalb der mehrmandantenfähigen Organisation jetzt als Mitglieder der mehrmandantenfähigen Organisation erkannt. Dies ermöglicht eine verbesserte nahtlose Zusammenarbeit zwischen den aktiven Mandanten Ihrer mehrmandantenfähigen Organisation.
Weitere Informationen dazu, wie Sie mit dem Microsoft 365 Admin Center der mehrmandantenfähigen Organisation beitreten, finden Sie unter Erstellen oder Beitreten bei einer mehrmandantenfähigen Organisation über das Microsoft 365 Admin Center.
Schritt 4: Bereitstellen externer Mitgliedsbenutzer
Die Zusammenarbeit in mehrmandantenfähigen Organisationen in Microsoft 365 basiert auf der Bereitstellung von Mitgliedsbenutzern für die B2B-Zusammenarbeit. Je nach Anwendungsfall können Sie Benutzer mit einer oder mehreren der folgenden Methoden bereitstellen:
- Synchronisieren von Benutzern in mehrinstanzenfähigen Organisationen in Microsoft 365
- Konfigurieren der mandantenübergreifenden Synchronisierung im Microsoft Entra Admin Center
- Bereitstellen externer Mitgliedsbenutzer mithilfe Ihres bereits vorhandenen Massenbereitstellungsmoduls
- Bereitstellen eines einzelnen externen Mitgliedsbenutzers mit dem Microsoft Entra Admin Center
Weitere Informationen zum Bereitstellen von externen Mitgliedsbenutzern finden Sie unter Optionen für die Bereitstellung Ihrer externen Mitgliedsbenutzer.
Schritt 5: Abschließen der Microsoft 365-Anwendungsanforderungen
Die folgenden Anwendungen für die Zusammenarbeit in mehrmandantenfähigen Organisationen können zusätzliche Anforderungen haben:
- Anforderungen von Microsoft Teams für mehrmandantenfähige Organisationen
- Einrichtung von Viva Engage für mehrmandantenfähige Organisationen
Nachdem die Anforderungen Ihrer Microsoft 365-Anwendung abgeschlossen wurden, können Ihre Mitarbeiter nahtlos in Ihrer Organisation mit mehreren Mandanten zusammenarbeiten.
Lizenzanforderungen
Für die Mehrinstanzenorganisation sind Microsoft Entra ID P1-Lizenzen erforderlich. Je Mehrinstanzenorganisation ist nur eine Microsoft Entra ID P1-Lizenz erforderlich. Außerdem müssen Sie über mindestens eine Microsoft Entra ID P1-Lizenz pro Mandant verfügen. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.