Microsoft Entra External Identities – Sicherer B2B-Gastzugriff für kleine Unternehmen in Berlin
Jedes Berliner KMU muss früher oder später externen Nutzern kontrollierten Zugriff auf interne Ressourcen ermöglichen — ein Kunde, der ein Projekt in SharePoint prüft, ein Partner, der einen geteilten Teams-Kanal einsieht, oder ein Auftragnehmer, der temporären Zugang zu einer bestimmten Anwendung benötigt. Microsoft Entra External Identities ist die Identitätsplattform, die genau dies ermöglicht, ohne dass Sie für Gastbenutzer vollständige interne Konten anlegen müssen. Sie umfasst B2B-Zusammenarbeit, Mandantengreif-Zugriffsrichtlinien und die Infrastruktur, um externen Nutzern dieselben Zero-Trust-Kontrollen anzuwenden wie Ihren eigenen Mitarbeitern.
Was Entra External Identities abdeckt
Der Begriff „External Identities“ im Entra-Portal umfasst drei Szenarien:
| Szenario | Anwendungsfall | Identitätsquelle |
|---|---|---|
| B2B-Zusammenarbeit | Apps/Ressourcen mit Partnerorganisationen teilen | Home-Mandant des Gasts oder MSA |
| B2B Direct Connect | Geteilte Teams-Kanäle mandantübergreifend | Nutzer verbleibt im eigenen Mandanten |
| External ID für Kunden | Konsumenten-App-Anmeldung (CIAM) | Social IdP, E-Mail-OTP, benutzerdefiniert |
Für Berliner KMU ist B2B-Zusammenarbeit das primäre Szenario. B2B Direct Connect ist relevant, wenn Sie geteilte Teams-Kanäle mit einem Partner nutzen, der ebenfalls Microsoft 365 betreibt. Kunden-CIAM (das frühere Azure AD B2C) ist für die meisten Unternehmen mit weniger als 100 Arbeitsplätzen außer Betracht, es sei denn, Sie betreiben eine Webanwendung.
Funktionsweise der B2B-Zusammenarbeit
Wenn Sie einen Gastbenutzer einladen:
- Eine Einladungs-E-Mail wird an die externe E-Mail-Adresse gesendet (oder Sie teilen einen direkten Einladungslink)
- Der Gast löst die Einladung ein und stimmt zu
- Ein Shadow-Konto (Benutzerobjekt mit userType = Guest) wird in Ihrem Entra-Mandanten angelegt — dies ist kein echtes Konto mit Passwort in Ihrem Verzeichnis, sondern ein Verweisobjekt, das auf die Home-Identität des Nutzers zeigt
- Der Gast authentifiziert sich gegen seinen eigenen Identitätsanbieter (eigenen Microsoft 365-Mandanten, Google oder beliebigen SAML/OIDC-Anbieter), anschließend vertraut Entra dieser Aussage und gewährt Zugriff auf Ressourcen in Ihrem Mandanten
Das bedeutet: Sie verwalten nie das Anmeldedaten des Gasts. Passwortzurücksetzungen, MFA-Status und Änderungen der Authentifizierungsmethode erfolgen alle in der Home-Organisation des Gasts. Ihre Verantwortung besteht darin, zu steuern, worauf der authentifizierte Gast in Ihrem Mandanten zugreifen kann.
Mandantübergreifende Zugriffsrichtlinien
Die mandantübergreifenden Zugriffseinstellungen (Entra ID → External Identities → Cross-tenant access settings) geben Ihnen präzise Kontrolle darüber, welchen externen Mandanten Sie wie weit vertrauen:
- Eingehende Vertrauenseinstellungen: Ob MFA-Angaben des Partnermandanten vertraut werden soll (damit Gasts in Ihrem Mandanten nicht erneut MFA durchlaufen müssen), ob konformen Geräte- oder Hybrid-Azure-AD-Join-Angaben vertraut wird
- Ausgehende Einstellungen: Welche Ihrer Nutzer auf externe Mandanten zugreifen dürfen und was bei B2B Direct Connect erlaubt ist
- Mandantenspezifische Überschreibungen: Sie können partnerspezifische Richtlinien zusätzlich zur Standardrichtlinie definieren — nützlich für langfristige Vertrauenspartner versus Einzel-Gasts
Die zentrale Architekturentscheidung ist, ob Sie der MFA Ihres Partners vertrauen. Wenn der Partnermandant starke MFA erzwingt, reduziert das Vertrauen in deren MFA-Angabe die Reibung für Gastbenutzer. Wenn Sie die MFA-Qualität des Partners nicht verifizieren können, ist es sicherer, MFA in der Conditional-Access-Richtlinie Ihres Mandanten für Gastnutzer zu verlangen.
Conditional Access für Gastbenutzer
Gastbenutzer unterliegen den Conditional-Access-Richtlinien im Ressourcenmandanten (Ihrem Mandanten). Ein Gast von einem nicht verwalteten persönlichen Microsoft-Konto umgeht nichts — Ihre CA-Richtlinien gelten für ihn genauso wie für einen Mitarbeiter, sofern Sie ihn nicht explizit ausschließen.
Empfohlene CA-Grundlage für B2B-Gasts:
- MFA für alle Gasts verlangen: CA-Richtlinie für userType = Guest erstellen, MFA fordern
- Legacy-Authentifizierung blockieren: Gasts sollten nicht über IMAP, POP oder Basic Auth zugreifen
- Sitzungskontrollen für sensible Apps: App-erzwungene Einschränkungen oder Defender for Cloud Apps-Sitzungsrichtlinien für Gasts nutzen, die auf SharePoint oder Teams mit sensiblen Inhalten zugreifen
- Zugriffsprüfungen: Mit Entra Identity Governance kombinieren, um regelmäßig zu überprüfen, ob Gastkonten noch aktiv und berechtigt sind
Lebenszyklus-Management für Gastkonten
Der operativ am meisten vernachlässigte Aspekt der B2B-Zusammenarbeit in KMU ist die Anhäufung veralteter Gastkonten. Ein Gast, der vor zwei Jahren ein einmaliges Projekt durchgeführt hat, hat noch ein Shadow-Konto in Ihrem Mandanten, sofern es nicht explizit entfernt wird. Best Practices:
- Zugriffsprüfungen (erfordert Entra ID P2) für Gastbenutzer im Quartalstakt aktivieren
- Ablaufrichtlinie für Gastkonten konfigurieren (Entra ID → External Identities → External collaboration settings → Guest user access expiry)
- Lifecycle-Workflows (bei entsprechender Lizenz) nutzen, um das Offboarding von Gasts zu automatisieren, wenn Zugriffsprüfungen ergeben, dass ein Gast nicht mehr aktiv ist
- Last-Sign-In-Eigenschaft in Entra ID überwachen, um Gasts zu identifizieren, die sich seit 90+ Tagen nicht mehr authentifiziert haben
Externe Zusammenarbeitseinstellungen
| Einstellung | Empfohlener Wert für KMU |
|---|---|
| Gasteinladungsberechtigungen | Admins und Benutzer in bestimmten Einladerrollen (nicht alle Benutzer) |
| Gastzugriffsbeschränkungen | Gasts haben eingeschränkten Zugriff auf Verzeichnisobjekteigenschaften |
| B2B-Einladungen auf bestimmte Domänen beschränken | Bekannte Partnerdomänen auf Whitelist setzen |
| Zusammenarbeitsbeschränkungen | Einladungen an Privat-E-Mail-Domänen (gmail.com, outlook.com) ablehnen, sofern nicht ausdrücklich erforderlich |
Implementierungs-Checkliste
- Externe Zusammenarbeitseinstellungen prüfen — einschränken, wer Gasts einladen kann
- Mandantübergreifende Zugriffseinstellungen für bekannte Partnermandanten konfigurieren
- CA-Richtlinie erstellen, die MFA für alle Gastbenutzer (userType = Guest) verlangt
- Ablaufrichtlinie für Gastkonten konfigurieren (90–180 Tage Inaktivität)
- Viertteljährliche Zugriffsprüfungen für Gastkonten aktivieren (Entra ID P2)
- Gasteinlader-Gruppe mit eingeschränkter Rolle einrichten — Endnutzern keine uneingeschränkte Einladefähigkeit geben
- Offboarding-Verfahren für Gasts bei Projektabschluss dokumentieren
Entra External Identities löst ein reales Betriebsproblem für Berliner KMU: Externen Stakeholdern den notwendigen Zugriff zu geben, ohne vollständige Mitarbeiterkonten anzulegen, ohne Ihre Zero-Trust-Position zu kompromittieren und ohne eine Grube vergessener Gastkonten anzuhäufen, die dauerhafte Lateral-Movement-Risiken darstellen.
Weiterfuehrende Artikel