Freigeben über

Onboarding vertrauenswürdiger Anbieter für die Zusammenarbeit in Microsoft 365

  • Artikel

Wenn Ihre Organisation über einen Genehmigungsprozess für externe Anbieter oder andere Organisationen verfügt, können Sie Features in Microsoft Entra ID und Teams verwenden, um den Zugriff von Personen in nicht genehmigten Organisationen zu blockieren und neue Organisationen hinzuzufügen, sobald sie genehmigt wurden.

Mithilfe von Domänenzulassungslisten können Sie domänen von Organisationen blockieren, die nicht über Ihre internen Prozesse genehmigt wurden. Dies kann dazu beitragen, dass Benutzer in Ihrer Organisation nur mit genehmigten Anbietern zusammenarbeiten.

In diesem Artikel werden die Features beschrieben, die Sie als Teil Ihres Genehmigungsprozesses für das Onboarding neuer Anbieter verwenden können.

Wenn Sie die Gastfreigabe für Ihre Organisation nicht konfiguriert haben, finden Sie weitere Informationen unter Zusammenarbeit mit Gästen auf einer Website oder Zusammenarbeit mit Gästen in einem Team (IT-Administratoren).

SharePoint- und OneDrive-Integration mit Microsoft Entra B2B

Bei den Verfahren in diesem Artikel wird davon ausgegangen, dass Sie die SharePoint- und OneDrive-Integration in Microsoft Entra B2B aktiviert haben. Wenn Sie die Microsoft Entra B2B-Integration für SharePoint und OneDrive nicht aktiviert haben, wirken sich Zulassungs- und Sperrlisten für Microsoft Entra B2B-Domänen nicht auf die Datei- und Ordnerfreigabe aus. Verwenden Sie in diesem Fall Die Freigabe von SharePoint- und OneDrive-Inhalten nach Domäne einschränken.

Zulassen der Domäne des Anbieters in den Einstellungen für die externe Microsoft Entra-Zusammenarbeit

Mit den Einstellungen für die externe Zusammenarbeit von Microsoft Entra können Sie Einladungen für bestimmte Domänen zulassen oder blockieren. Durch das Erstellen einer Positivliste lassen Sie Gasteinladungen nur für diese Domänen zu, und alle anderen werden blockiert. Sie können dies verwenden, um Gastinladungen an Anbieter zuzulassen, die Sie genehmigt haben, während diese an Anbieter blockiert werden, die Sie nicht haben.

So lassen Sie die Freigabe von Einladungen nur aus angegebenen Domänen zu:

  1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für externe Identitätsanbieter an.

  2. Erweitern Sie Identität und dann Externe Identitäten.

  3. Wählen Sie Einstellungen für externe Zusammenarbeit aus.

  4. Wählen Sie unter Einschränkungen für die Zusammenarbeit die Option Einladungen nur für die angegebenen Domänen zulassen aus, und geben Sie dann die Domänen ein, die Sie zulassen möchten.

  5. Klicken Sie auf Speichern.

    Screenshot der Einstellungen für Einschränkungen für die Zusammenarbeit in Microsoft Entra ID.

Weitere Informationen zur Verwendung von Zulassungs- oder Sperrlisten in Microsoft Entra ID finden Sie unter Zulassen oder Blockieren von Einladungen für B2B-Benutzer aus bestimmten Organisationen.

Zulassen von Domänen für andere Microsoft 365-Organisationen

Wenn Ihr genehmigter Anbieter auch Microsoft 365 verwendet, gibt es zusätzliche Einstellungen in Microsoft Entra ID und Teams, die Sie konfigurieren können, um diese Domänen zu verwalten und eine besser integrierte Benutzeroberfläche für Ihre Benutzer zu erstellen.

Durch Hinzufügen der Anbieterorganisation zu den Mandantenübergreifenden Zugriffseinstellungen von Microsoft Entra können Sie Folgendes angeben:

  • Welche Benutzer in der Anbieterorganisation zu Ihrer Organisation eingeladen werden können
  • Welche Benutzer in der Anbieterorganisation an freigegebenen Kanälen in Microsoft Teams teilnehmen können
  • Auf welche Anwendungen diese Benutzer in Ihrer Organisation Zugriff haben
  • Gibt an, ob Ihre Richtlinien für bedingten Zugriff Ansprüche von anderen Microsoft Entra-Organisationen akzeptieren, wenn Benutzer aus der anderen Organisation auf Ihre Ressourcen zugreifen.

Durch Hinzufügen der Anbieterorganisation zur Positivliste für den externen Microsoft Teams-Zugriff:

  • Benutzer in Ihrer Organisation und der Anbieterorganisation können chatten und sich treffen, ohne dass sich der Anbieter als Gast anmelden muss.

Zulassen der Domäne des Anbieters in den Einstellungen für den mandantenübergreifenden Microsoft Entra-Zugriff

Um Einstellungen anzugeben, z. B. wer von der Anbieterorganisation eingeladen werden kann und welche Anwendungen sie verwenden können, fügen Sie zuerst die Organisation in den Mandantenzugriffseinstellungen von Microsoft Entra hinzu.

So fügen Sie eine Organisation hinzu:

  1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für externe Identitätsanbieter an.

  2. Erweitern Sie Identität und dann Externe Identitäten.

  3. Wählen Sie mandantenübergreifende Zugriffseinstellungen aus.

  4. Wählen Sie Organisationseinstellungen aus.

  5. Wählen Sie Organisation hinzufügen aus.

  6. Geben Sie im Bereich Organisation hinzufügen den vollständigen Domänennamen (oder die Mandanten-ID) für die Organisation ein.

  7. Wählen Sie die Organisation in den Suchergebnissen aus, und wählen Sie dann Hinzufügen aus.

    Screenshot: Mandantenübergreifende Zugriffseinstellungen in Microsoft Entra ID mit zwei konfigurierten externen Organisationen

So geben Sie an, wen Ihre Benutzer als Gäste aus der Anbieterorganisation einladen können:

  1. Wählen Sie auf der Registerkarte Organisationseinstellungen den Link Eingehender Zugriff für die Organisation aus, die Sie konfigurieren möchten.

  2. Wählen Sie auf der Registerkarte B2B-Zusammenarbeitdie Option Einstellungen anpassen aus.

  3. Wählen Sie auf der Registerkarte Externe Benutzer und Gruppendie Option Organisationsbenutzer> und -gruppen auswählen <und dann Externe Benutzer und Gruppen hinzufügen aus.

  4. Fügen Sie die IDs der Benutzer und Gruppen hinzu, die Sie einschließen möchten, und wählen Sie dann Absenden aus.

  5. Klicken Sie auf Speichern.

    Screenshot einer zulässigen Gruppe in den Einstellungen für den mandantenübergreifenden eingehenden Zugriff für eine externe Organisation.

So geben Sie an, welche Anwendungen Gäste aus der Anbieterorganisation verwenden können:

  1. Wählen Sie auf der Registerkarte Organisationseinstellungen den Link Eingehender Zugriff für die Organisation aus, die Sie konfigurieren möchten.

  2. Wählen Sie auf der Registerkarte B2B-Zusammenarbeitdie Option Einstellungen anpassen aus.

  3. Wählen Sie auf der Registerkarte Anwendungendie Option Anwendungen auswählen und dann Microsoft-Anwendungen hinzufügen oder Andere Anwendungen hinzufügen aus.

  4. Wählen Sie die Anwendungen aus, die Sie zulassen möchten, und wählen Sie dann Auswählen aus.

  5. Klicken Sie auf Speichern.

    Screenshot einer zulässigen Anwendung in den Einstellungen für den mandantenübergreifenden eingehenden Zugriff für eine externe Organisation.

Weitere Informationen zu den Optionen, die in mandantenübergreifenden Zugriffseinstellungen verfügbar sind, einschließlich des Akzeptierens von Ansprüchen für bedingten Zugriff von anderen Organisationen, finden Sie unter Konfigurieren mandantenübergreifender Zugriffseinstellungen für die B2B-Zusammenarbeit.

Wenn Sie planen, freigegebene Teams-Kanäle mit der Anbieterorganisation zu verwenden, müssen beide Organisationen mandantenübergreifende Zugriffseinstellungen für Microsoft Entra B2B Direct Connect einrichten. Weitere Informationen finden Sie unter Zusammenarbeit mit externen Teilnehmern in einem freigegebenen Kanal.

Zulassen des externen Zugriffs auf die Domäne des Anbieters in Teams

Damit Benutzer in Ihrer Organisation und der Anbieterorganisation chatten und sich treffen können, ohne dass sich der Anbieter als Gast anmelden muss, lassen Sie die Domäne in Teams externen Zugriff zu.

So erlauben Sie einer Organisation in Teams externen Zugriff:

  1. Erweitern Sie im Teams Admin Center die Option Benutzer, und wählen Sie dann Externer Zugriff aus.

  2. Wählen Sie unter Wählen Sie aus, auf welche Domänen Ihre Benutzer Zugriff haben, die Option Nur bestimmte externe Domänen zulassen aus.

  3. Wählen Sie Domänen zulassen aus.

  4. Geben Sie im Feld Domäne die Domäne ein, die Sie zulassen möchten, und klicken Sie dann auf Fertig.

  5. Wenn Sie eine weitere Domäne zulassen möchten, klicken Sie auf Domäne hinzufügen.

  6. Klicken Sie auf Speichern.

    Screenshot der Einstellungen für den externen Zugriff von Teams für Teams und Skype for Business-Benutzer in externen Organisationen mit einer zulässigen Domäne.

Die Seite mit den Einstellungen für den externen Zugriff im Teams Admin Center enthält Einstellungen für Teams-Konten, die nicht von einer Organisation verwaltet werden, und Skype Benutzern. Sie können diese Deaktivieren, wenn diese Konten die Anforderungen Ihrer Organisation für genehmigte Anbieter nicht erfüllen.

Weitere Informationen zu externen Zugriffsoptionen für Teams finden Sie unter Verwalten externer Besprechungen und Chatten mit Personen und Organisationen, die Microsoft-Identitäten verwenden.

Einschränken, wer Gäste einladen kann

Sie können einschränken, welche Benutzer in Ihrer Organisation Gäste von Ihren vertrauenswürdigen Anbietern einladen können. Dies kann nützlich sein, wenn Gasteinladungen eine Genehmigung erfordern oder Wenn Sie möchten, dass Ihre Benutzer einen Schulungskurs durchführen, bevor Sie Gäste einladen dürfen. Informationen dazu finden Sie unter Einschränken, wer Gäste einladen kann.

Verhindern des nicht authentifizierten Zugriffs

Es gibt zwei Features, die es personen außerhalb Ihrer Organisation ermöglichen, auf Ressourcen in Ihrer Organisation zuzugreifen, ohne sich anzumelden:

  • Anonyme Besprechungsbeitritte
  • Nicht authentifizierte Datei- und Ordnerfreigabe

Wenn ihre Anforderungen für vertrauenswürdige Anbieter erfordern, dass sich jeder benutzer vor dem Zugriff auf die Ressourcen Ihrer Organisation anmeldet, können Sie diese Optionen deaktivieren.

Um zu verhindern, dass Personen als anonyme Teilnehmer an Besprechungen teilnehmen, können Sie anonyme Benutzer können an einer Besprechung teilnehmen in Teams-Besprechungsrichtlinien deaktivieren. Weitere Informationen finden Sie unter Verwalten des anonymen Teilnehmerzugriffs auf Teams-Besprechungen (IT-Administratoren).

Um die Freigabe von nicht authentifizierten Dateien und Ordnern zu verhindern, müssen Sie die Verwendung von Links zur Freigabe von Jeder verhindern. Sie können dies für Ihre gesamte Organisation oder für bestimmte SharePoint-Websites tun. Weitere Informationen finden Sie unter Verwalten von Freigabeeinstellungen für SharePoint und OneDrive in Microsoft 365 und Ändern der Freigabeeinstellungen für eine Website.

Dokumentation zur externen Microsoft Entra-ID

Verwenden Sie den Gastzugriff und den externen Zugriff, um mit Personen außerhalb Ihres Unternehmens zusammenzuarbeiten

Microsoft Entra-Nutzungsbedingungen

Zulassen, dass nur Mitglieder in bestimmten Sicherheitsgruppen SharePoint- und OneDrive-Dateien und -Ordner extern freigeben können