Microsoft Entra Externe Identitäten: B2B-Zusammenarbeit für kleine Unternehmen in Berlin
Jedes Berliner KMU arbeitet mit externen Parteien zusammen: Kunden, Auftragnehmer, Wirtschaftsprüfer, Rechtsberater, Technologiepartner, Lieferanten. Diesen externen Nutzern Zugang zu geteilten Ressourcen zu geben — SharePoint-Sites, Teams-Kanäle, Anwendungen — ohne ordentliches Identitätsmanagement schafft ein unkontrolliertes Zugriffsrisiko. Microsoft Entra Externe Identitäten bietet den Rahmen für sichere, verwaltete Zusammenarbeit mit Personen außerhalb Ihrer Organisation, während diese externen Konten im Governance-Bereich Ihrer Conditional-Access- und Zugriffsüberprüfungsrichtlinien bleiben.
Was sind Microsoft Entra Externe Identitäten?
Microsoft Entra Externe Identitäten ist die Identitätsplattform für externe Zugriffsszenarien. Sie umfasst zwei primäre Anwendungsfälle: B2B-Zusammenarbeit (Partner, Auftragnehmer und Lieferanten, die auf Ihre Microsoft-365-Ressourcen zugreifen) und B2C (Kundenidentität für öffentlich zugängliche Anwendungen). Für Berliner KMUs ist B2B-Zusammenarbeit die relevante Funktion — sie ermöglicht externen Nutzern die Authentifizierung mit ihrer eigenen Identität und den Zugriff auf bestimmte Ressourcen in Ihrem Tenant, ohne dass Sie ein separates Konto für sie erstellen und verwalten müssen.
B2B-Gastzugang: Funktionsweise
Wenn Sie einen externen Nutzer als Gast in Ihren Microsoft-365-Mandanten einladen, erstellt Entra Externe Identitäten ein Gastkonto-Objekt in Ihrem Verzeichnis. Der Gast authentifiziert sich mit seiner eigenen Identität — dem Entra ID seines Heimatunternehmens, einem persönlichen Microsoft-Konto oder einer föderativen Identität. Aus der Perspektive des Gastes melden sie sich mit bereits vorhandenen Anmeldedaten an. Aus Ihrer Perspektive handelt es sich um ein verwaltetes Verzeichnisobjekt, dem Sie Ressourcenberechtigungen zuweisen, Conditional-Access-Richtlinien anwenden und Zugriffsüberprüfungen durchführen können.
Gastkonten verursachen minimalen Overhead: keine Lizenzzuweisung für grundlegenden Zusammenarbeitszugriff erforderlich, kein Passwort zu verwalten, keine MFA-Registrierung erforderlich — es sei denn, Ihre Conditional-Access-Richtlinien verlangen dies. Das Gastkonto ist mit der externen Identität verknüpft: Wenn das Konto des Gastes in seiner Heimatorganisation gelöscht oder deaktiviert wird, bricht der Zugriff auf Ihre Ressourcen automatisch ab.
Mandantenübergreifende Zugriffseinstellungen
Entra Externe Identitäten enthält Mandantenübergreifende Zugriffseinstellungen (Cross-Tenant Access Settings), die eine feingranulare Kontrolle darüber ermöglichen, welchen externen Organisationen Sie vertrauen und in welchem Umfang. Für jede Partnerorganisation können Sie eingehende Einstellungen konfigurieren (ob ihre Nutzer auf Ihre Ressourcen zugreifen können und unter welchen MFA-Vertrauensbedingungen) sowie ausgehende Einstellungen (ob Ihre Nutzer auf deren Ressourcen zugreifen können).
Vertrauenseinstellungen legen fest, ob Sie den MFA-Behauptungen des Heimatmandanten des Gastes vertrauen. Wenn ja, muss ein Gast, der MFA bei seiner Heimatorganisation abgeschlossen hat, keine separate MFA-Methode in Ihrem Mandanten registrieren. Für Berliner KMUs mit langfristigen strategischen Partnern — Steuerberater, ausgelagerter IT-Support, Dauerrechtsberatung — reduziert die Konfiguration expliziten Mandantenübergreifenden Vertrauens für diese spezifischen Organisationen die Zugriffsreibung ohne Abstriche an der Sicherheitslage.
Conditional Access für externe Nutzer
Gastkonten unterliegen Conditional-Access-Richtlinien. Das ist eine kritische Sicherheitskontrolle: Sie verhindert das häufige Muster, einem externen Nutzer Zugang zu SharePoint zu geben und diesen Zugang dann alle Sicherheitskontrollen umgehen zu lassen, weil das Gastkonto nicht explizit in CA-Richtlinien einbezogen ist.
Empfohlene Conditional-Access-Richtlinien für Gastkonten: MFA für den gesamten Gastzugang verlangen (wenn Sie den MFA-Behauptungen des Heimatmandanten nicht vertrauen), Gerätecompliance-Anforderungen für den Zugriff auf sensible SharePoint-Sites, und Blockierung des Zugriffs von Hochrisikostandorten. Diese Richtlinien gelten für Gastkonten ebenso wie für interne Mitarbeiter.
Zugriffsüberprüfungen für Gäste
Entra-ID-Governance-Zugriffsüberprüfungen erstrecken sich auf Gastkonten. Periodische Überprüfungen — vierteljährlich oder jährlich — fordern bestimmte Prüfer auf zu bestätigen, ob jeder Gast noch Zugriff benötigt. Nicht bestätigte Gäste werden automatisch entfernt. Das beseitigt das häufige Problem, dass ehemalige Auftragnehmerkonten nach Abschluss eines Projekts unbegrenzt Zugriff behalten.
Für Berliner KMUs, die ISO-27001- oder DSGVO-Audits unterliegen, liefern periodische Zugriffsüberprüfungen für externe Konten dokumentierte Nachweise der Zugriffssteuerungs-Governance — eine konkrete Antwort auf Prüferfragen zur Verwaltung der Gastkonto-Proliferation.
Einmalpasscode-Authentifizierung
Für externe Nutzer ohne Microsoft-Konto, Google-Konto oder Entra-ID-Mandanten — individuelle Auftragnehmer mit persönlichen E-Mail-Adressen etwa — unterstützt Entra Externe Identitäten die E-Mail-Einmalpasscode-Authentifizierung (OTP). Der Gast gibt seine E-Mail-Adresse ein, erhält einen zeitlich begrenzten Passcode und authentifiziert sich, ohne ein neues Konto erstellen zu müssen. Das beseitigt die frühere Anforderung, dass externe Nutzer ein Microsoft-Konto ausschließlich für den Zugriff auf Ihre Ressourcen erstellen — eine häufige Reibungsquelle und Adoptionshürde.
Praktische Konfiguration für Berliner KMUs
Initiale Konfigurationsschritte: Gastzugangseinstellungen überprüfen und einschränken, um unkontrollierte Gastproliferation zu verhindern; Mandantenübergreifende Zugriffseinstellungen für bekannte strategische Partner konfigurieren; sicherstellen, dass Conditional-Access-Richtlinien Gastkonten einschließen; mindestens eine Zugriffsüberprüfung für bestehende Gastkonten erstellen; und E-Mail-OTP für Gäste ohne Microsoft- oder Sozialkonten aktivieren.
Fazit
Microsoft Entra Externe Identitäten bietet Berliner KMUs einen professionellen, richtliniengesteuerten Rahmen für externe Zusammenarbeit, der informelle Ansätze ersetzt — geteilte Passwörter, interne Konten für Auftragnehmer, pauschaler Zugang ohne Governance. Über Externe Identitäten verwaltete Gastkonten unterliegen denselben Conditional-Access-Richtlinien, Zugriffsüberprüfungen und Audit-Protokollierungen wie interne Konten. Für jedes Berliner Unternehmen, das regelmäßig mit externen Parteien zusammenarbeitet und Microsoft 365 nutzt, ist die ordnungsgemäße Konfiguration von Externen Identitäten eine direkte Verbesserung sowohl der Sicherheits- als auch der Compliance-Position.
Weiterführende Artikel
- Microsoft Entra Conditional Access: Conditional-Access-Richtlinien auf Gastkonten anwenden – MFA für den gesamten externen Benutzerzugang verlangen, Geräte-Compliance für sensible SharePoint-Sites durchsetzen, und riskante externe Anmeldungen mit derselben Richtlinien-Engine wie für interne Mitarbeiter blockieren
- Microsoft Entra Connect: Über Entra Connect synchronisierte Hybrid-Identitäten können als Sponsoren und Zugriffsprüfer für B2B-Gastkonten fungieren – lokale AD-Nutzer nehmen an der externen Zusammenarbeitsverwaltung teil ohne separate Cloud-only-Konten
- Microsoft Entra ID Protection: Externe Identitätsrisikosignale werden für Gastkonten ausgewertet – kompromittierte Gast-Zugangsdaten oder anomales Anmeldeverhalten löst Risikorichtlinien aus, die externe Nutzer blockieren oder zusätzliche Authentifizierung verlangen
Auch zu diesem Thema
- Microsoft Entra Verified ID: Verified ID und Externe Identitäten ergänzen sich – Externe Identitäten verwaltet B2B-Gastzugang für Partnermitarbeiter über deren eigenen Identitätsanbieter, Verified ID ermöglicht kryptografisch verifizierten Nachweis ohne föderierte Vertrauensbeziehung
- Microsoft Azure AD B2C (CIAM): Externe Identitäten verwaltet vertrauenswürdige Partner-B2B-Zugriffe auf Unternehmensressourcen, Azure AD B2C ist die spezialisierte Plattform für anonyme Kundenregistrierungen in Consumer- und SaaS-Anwendungen – zwei eigenständige Microsoft-Identitätsplattformen für unterschiedliche externe Nutzergruppen