Microsoft Entra External ID: B2B-Gastzugang für kleine Unternehmen in Berlin
Externe Mitarbeiter, Lieferanten und Geschäftspartner benötigen regelmäßig Zugriff auf interne Microsoft 365-Ressourcen — doch unkontrollierter Gastzugang ist ein erhebliches Sicherheitsrisiko. Microsoft Entra External ID (früher Azure AD B2B) löst dieses Problem mit identitätsbasiertem Gastzugang: Externe Nutzer authentifizieren sich über ihre eigene Unternehmensidentität oder ein Microsoft-Konto, und der Zugriff wird durch dieselben Conditional Access-Richtlinien gesteuert, die für interne Mitarbeiter gelten.
Für kleine und mittlere Unternehmen in Berlin, die mit externen Dienstleistern, Steuerberatern oder internationalen Partnern zusammenarbeiten, bietet Entra External ID eine sichere Alternative zu gemeinsam genutzten Konten, E-Mail-weitergeleiteten Dokumenten und ungesicherten SharePoint-Links.
Was ist Microsoft Entra External ID?
Entra External ID ist die Plattform von Microsoft für externe Identitäten — also Nutzer außerhalb Ihrer eigenen Organisation. Sie umfasst zwei Hauptszenarien:
- B2B-Zusammenarbeit: Externe Nutzer aus anderen Unternehmen erhalten als Gastbenutzer Zugriff auf Ihre Microsoft 365-Ressourcen (Teams, SharePoint, Apps).
- B2C/External Identities: Kundenidentitäten für externe Web- und Mobile-Apps (für die meisten KMU weniger relevant).
Im KMU-Kontext ist B2B-Zusammenarbeit der zentrale Anwendungsfall. Gastbenutzer werden im Entra ID-Mandanten Ihres Unternehmens als externe Objekte angelegt — mit eigenem Gastkonto, aber ohne vollständige Lizenz. Sie melden sich mit ihrer eigenen Identität an (z. B. ihr Unternehmensmicrosoft365-Konto oder Google-Konto) und werden dann in Ihre Ressourcen weitergeleitet.
Kernfunktionen von Entra External ID / B2B
Identitätsbasierte Authentifizierung
Der Gastbenutzer authentifiziert sich nicht mit einem von Ihnen erstellten Konto, sondern mit seiner eigenen Identität. Unterstützte Identitätsanbieter umfassen Microsoft-Konten, Unternehmens-Azure-AD-Konten anderer Organisationen, Google und E-Mail-OTP (Einmalpasswort). Das bedeutet: Kein Passwort-Management für externe Nutzer auf Ihrer Seite, und der externe Nutzer muss sich kein weiteres Konto merken.
Conditional Access für Gastbenutzer
Gastbenutzer unterliegen denselben Conditional Access-Richtlinien wie interne Mitarbeiter — oder Sie erstellen dedizierte Richtlinien für externe Nutzer. Sie können MFA erzwingen, bestimmte Standorte blockieren oder den Zugriff auf konforme Geräte beschränken. Dies ist ein wesentlicher Sicherheitsvorteil gegenüber anonymen Freigabe-Links.
Zugriffsüberprüfungen (Access Reviews)
Über Microsoft Entra ID Governance können Sie regelmäßige Zugriffsüberprüfungen für Gastbenutzer einplanen. Gastkonten, die nicht mehr benötigt werden, werden automatisch deaktiviert — ein häufig übersehenes Risiko in Unternehmen, die mit vielen externen Partnern zusammenarbeiten.
Cross-Tenant-Synchronisierung
Für Unternehmen mit mehreren Azure AD-Mandanten (z. B. Muttergesellschaft und Tochtergesellschaft) ermöglicht die Cross-Tenant-Synchronisierung eine nahtlose Zusammenarbeit, ohne dass Benutzer manuell als Gäste eingeladen werden müssen.
Einladungsworkflow und Self-Service
Administratoren oder autorisierte Benutzer laden externe Nutzer per E-Mail ein. Die Einladung enthält einen Link zur Einlösung, bei der der Gastbenutzer seine Identität bestätigt. Optional können Sie einen Self-Service-Anmeldeportal konfigurieren, über den externe Partner sich selbst registrieren.
Typische Anwendungsfälle für KMU in Berlin
- Steuerberater und Wirtschaftsprüfer: Lesezugriff auf SharePoint-Dokumentenbibliotheken für Jahresabschlüsse, Buchungsunterlagen und DATEV-relevante Dokumente — ohne Weitergabe von Passwörtern oder unsicheren Links.
- Externe IT-Dienstleister: Zeitlich begrenzter Zugriff auf spezifische Teams-Kanäle oder Azure-Ressourcen für Projektzeiträume — mit automatischer Deaktivierung nach Ablauf.
- Rechtsanwälte und Notare: Sicherer Dokumentenaustausch über SharePoint statt per E-Mail-Anhang — mit Prüfprotokoll für Compliance-Zwecke.
- Internationale Geschäftspartner: Projektbasierte Zusammenarbeit in Teams mit externen Nutzern aus dem EU-Ausland — Entra External ID unterstützt alle Azure-AD-Mandanten weltweit.
- Freelancer und Agenturen: Marketing-Agenturen oder Entwickler erhalten Zugriff auf benötigte M365-Ressourcen ohne vollständige Mitarbeiterlizenz.
Sicherheitsarchitektur: Wie Entra B2B Gastrisiken begrenzt
Standardmäßig haben Gastbenutzer eingeschränkte Berechtigungen im Verzeichnis. Sie können keine anderen Benutzer oder Gruppen aufzählen, keine Anwendungen registrieren und keine Administratorkonfigurationen sehen. Dies ist das Prinzip der minimalen Berechtigung (Least Privilege) auf Verzeichnisebene.
Darüber hinaus können Sie externe Zusammenarbeit in den Entra ID-Einstellungen präzise steuern:
- Einladungsberechtigungen einschränken: Nur Administratoren dürfen Gäste einladen — nicht alle Benutzer.
- Zulässige Domänen festlegen: Nur Einladungen an bestimmte Unternehmensdomänen erlauben (z. B. nur @partner-firma.de).
- Gastbenutzer-Berechtigungen einschränken: Gäste können andere Gäste nicht einladen.
- Cross-Tenant-Zugriffseinstellungen: Granulare Steuerung, welche externen Mandanten überhaupt Zugriff erhalten dürfen.
Entra External ID einrichten: Schritt-für-Schritt
Schritt 1: Einstellungen für externe Zusammenarbeit konfigurieren
Entra Admin Center → External Identities → External collaboration settings. Legen Sie fest, wer Gäste einladen darf, und aktivieren Sie bei Bedarf die Domänenbeschränkung.
Schritt 2: Conditional Access-Richtlinie für Gäste erstellen
Erstellen Sie eine CA-Richtlinie, die speziell auf Gastbenutzer (Benutzertyp = Gast) abzielt und MFA erzwingt. Optional: Anmelderisiko-Bedingung einschließen, um riskante Gastsitzungen zu blockieren.
Schritt 3: Gast einladen
Entra Admin Center → Users → Invite external user. Alternativ direkt in Teams einen Gast zu einem Kanal oder einer Besprechung einladen — Teams löst den Einladungsworkflow automatisch aus.
Schritt 4: Ressourcenzugriff zuweisen
Fügen Sie den Gastbenutzer der gewünschten Microsoft 365-Gruppe, dem Teams-Team oder der SharePoint-Website hinzu. Für granularen Ressourcenzugriff: Entra ID Governance-Zugriffspakete (Access Packages) nutzen, um gebündelte Berechtigungen mit Ablaufdatum zu vergeben.
Schritt 5: Zugriffsüberprüfungen einplanen
Entra Admin Center → Identity Governance → Access Reviews → New access review. Quartalsweise oder halbjährliche Überprüfung aller Gastbenutzer einplanen — nicht mehr benötigte Zugänge werden automatisch deaktiviert.
Lizenzierung und Kosten
B2B-Zusammenarbeit ist in allen Microsoft Entra ID-Plänen (einschließlich Free) verfügbar — Sie benötigen keine zusätzliche Lizenz für Gastbenutzer, solange Sie keine Microsoft 365-Lizenzen auf Gäste anwenden. Für erweiterte Funktionen wie Zugriffsüberprüfungen oder Zugriffspakete (Access Packages) ist Entra ID P2 erforderlich, das in Microsoft 365 Business Premium enthalten ist.
Wichtig: Wenn ein Gastbenutzer auf lizenzpflichtige Features zugreift (z. B. Exchange Online für E-Mail), benötigt er eine entsprechende Lizenz in Ihrem Mandanten — oder die Funktion muss durch den Heimatmandanten des Gastbenutzers abgedeckt sein.
Häufige Fehler und wie man sie vermeidet
- Gäste ohne MFA-Erzwingung: Ohne CA-Richtlinie für Gäste können externe Nutzer ohne zweiten Faktor auf Ihre Ressourcen zugreifen — erhebliches Risiko bei kompromittierten Heimatkonten.
- Unbegrenzte Gasteinladungen durch alle Benutzer: Ohne Einschränkung kann jeder Mitarbeiter externe Nutzer einladen — Shadow-IT-Risiko durch unkontrollierten Zugang.
- Vergessene Gastkonten: Ehemalige Projektpartner oder Dienstleister behalten dauerhaften Zugriff. Zugriffsüberprüfungen sind der einzige skalierbare Weg, dies zu verhindern.
- Zu weitreichende SharePoint-Berechtigungen: Gastbenutzer auf Ressourcen-/Ordnerebene berechtigen, nicht auf Websiteebene.
Entra External ID im Vergleich zu alternativen Ansätzen
| Ansatz | Sicherheit | Verwaltungsaufwand | Prüfbarkeit |
|---|---|---|---|
| Gemeinsam genutztes Konto | Sehr niedrig | Niedrig | Keine |
| Anonymer SharePoint-Link | Niedrig | Niedrig | Begrenzt |
| Vollständige Gastlizenz | Hoch | Hoch | Vollständig |
| Entra B2B (Gastkonto) | Hoch | Mittel | Vollständig |
Fazit: Kontrollierter externer Zugang ohne Kompromisse
Microsoft Entra External ID ist die richtige Antwort auf eine der häufigsten Sicherheitslücken in KMU: unkontrollierter Gastzugang. Mit B2B-Zusammenarbeit erhalten externe Partner sicheren, identitätsbasierten Zugriff auf genau die Ressourcen, die sie benötigen — nicht mehr und nicht weniger. Conditional Access, Zugriffsüberprüfungen und granulare Einladungssteuerung machen es zu einer vollständig governancefähigen Lösung, die auch Audit-Anforderungen erfüllt.
IT Experts Berlin unterstützt kleine und mittlere Unternehmen bei der Einrichtung und Verwaltung von Entra External ID — von der initialen Konfiguration über CA-Richtlinien bis hin zu quartalsweisen Zugriffsüberprüfungen. Kontaktieren Sie uns für eine unverbindliche Beratung.
Weiterfuehrende Artikel
- Conditional Access: B2B-Gastbenutzer-Zugriff mit Conditional Access absichern – MFA und Gerätekonformität für externe Nutzer erzwingen, riskante Gastsitzungen blockieren und standortbasierte Zugriffsbedingungen für Partner und Lieferanten konfigurieren
- Microsoft Entra ID Governance: Regelmäßige Zugriffsprüfungen für B2B-Gastbenutzer einrichten – vergessene Gastkonten ehemaliger Partner automatisch deaktivieren und Least-Privilege-Zugriff für externe Nutzer dauerhaft sicherstellen
- Entra ID Protection: Entra ID Protection-Risikosignale auf B2B-Gastbenutzer anwenden – riskante externe Anmeldungen erkennen, Gastkonten mit anomalem Anmeldeverhalten blockieren und Sicherheitsvorfälle bei externen Identitäten frühzeitig eskalieren