Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die externe Microsoft Entra-ID kombiniert leistungsstarke Lösungen für die Arbeit mit Personen außerhalb Ihrer Organisation. Mit Funktionen der externen ID können Sie externen Identitäten den sicheren Zugriff auf Ihre Apps und Ressourcen ermöglichen.
Unabhängig davon, ob Sie mit externen Partnern, Verbrauchern oder Geschäftskunden arbeiten, können Benutzer ihre eigenen Identitäten mitbringen. Diese Identitäten können Unternehmenskonten oder von Behörden ausgestellte Konten und Social Identity-Anbieter wie Google oder Facebook umfassen.
Diese Szenarien liegen im Bereich der externen ID:
Wenn Sie eine Organisation oder ein Entwickler sind, der Consumer-Apps erstellt, verwenden Sie externe ID, um Ihrer Anwendung schnell Authentifizierung und Kundenidentitäts- und Zugriffsverwaltung (CIAM) hinzuzufügen. Registrieren Sie Ihre App, erstellen Sie benutzerdefinierte Anmeldeoberflächen, und verwalten Sie Ihre App-Benutzer in einem Microsoft Entra-Mandanten in einer externen Konfiguration. Dieser Mandant ist von Ihren Mitarbeitern und Organisationsressourcen getrennt.
Wenn Sie Ihren Mitarbeitern die Zusammenarbeit mit Geschäftspartnern und Gästen ermöglichen möchten, verwenden Sie die B2B-Zusammenarbeit in externer ID. Ermöglichen Sie den sicheren Zugriff auf Ihre Unternehmens-Apps über Einladungs- oder Self-Service-Registrierung. Bestimmen Sie die Zugriffsebene, über die Gäste auf den Microsoft Entra-Mandanten zugreifen können, der Ihre Mitarbeiter und Organisationsressourcen enthält, und der sich in einer Personalkonfiguration befindet.
Die externe ID ist eine flexible Lösung für beide:
- Verbraucherorientierte App-Entwickler, die Authentifizierung und CIAM benötigen
- Unternehmen, die sichere B2B-Zusammenarbeit suchen
Schützen Sie Ihre Apps für Verbraucher und Geschäftskunden
Organisationen und Entwickler können External ID in einem externen Mandanten als CIAM-Lösung einsetzen, wenn sie ihre Apps an Verbraucher und Geschäftskunden veröffentlichen.
Sie können einen separaten Microsoft Entra-Mandanten in einer externen Konfiguration erstellen, um Ihre Apps und Benutzerkonten separat von Ihren Mitarbeitern zu verwalten. In diesem Mandanten können Sie markenspezifische Registrierungserlebnisse und Benutzerverwaltungsfunktionen konfigurieren.
Richten Sie Self-Service-Registrierungsabläufe ein, die die von Kunden ausgeführten Registrierungsschritte und die von ihnen verwendeten Anmeldemethoden definieren. Zu diesen Methoden gehören E-Mail und Kennwort, einmalige Passcodes oder Soziale Konten von Google oder Facebook.
Erstellen Sie eine benutzerdefinierte Benutzeroberfläche für Benutzer, die sich bei Ihren Apps anmelden, indem Sie Brandingeinstellungen für Ihren Mandanten konfigurieren. Mit diesen Einstellungen können Sie eigene Hintergrundbilder, Farben, Firmenlogos und Text für Anmeldungen in Ihren Apps hinzufügen.
Sammeln Sie Informationen von Kunden während der Registrierung, indem Sie aus integrierten Benutzerattributen auswählen oder eigene benutzerdefinierte Attribute hinzufügen.
Analyiseren Sie Benutzeraktivitäten und Bindungsdaten, um wertvolle Erkenntnisse aufzudecken, die strategische Entscheidungen unterstützen und das Geschäftswachstum fördern können.
Mit der externen ID können sich Kunden mit einer Identität anmelden, die sie bereits besitzen. Sie können anpassen und steuern, wie sich Kunden registrieren und sich anmelden, wenn sie Ihre Anwendungen verwenden. Da diese CIAM-Funktionen in die externe ID integriert sind, profitieren Sie auch von Microsoft Entra-Plattformfeatures wie verbesserter Sicherheit, Compliance und Skalierbarkeit.
Ausführliche Informationen finden Sie in der Übersicht über die Microsoft Entra External ID in externen Tenants.
Zusammenarbeit mit Geschäftsgästen
Die B2B-Zusammenarbeit mit externer ID ermöglicht Ihren Mitarbeitern die Zusammenarbeit mit externen Geschäftspartnern. Sie können jeden einladen, sich bei Ihrer Microsoft Entra-Organisation anzumelden, indem Sie ihre eigenen Anmeldeinformationen verwenden, damit sie auf die Apps und Ressourcen zugreifen können, die Sie für sie freigeben möchten.
Verwenden Sie B2B-Zusammenarbeit, wenn Sie Geschäftsgästen den Zugriff auf Ihre Office 365-Apps, SaaS-Apps (Software-as-a-Service) und Branchen-Apps ermöglichen müssen. Geschäftsgästen sind keine Anmeldeinformationen zugeordnet. Stattdessen authentifizieren sie sich bei ihrer Heimorganisation oder ihrem Identitätsanbieter, und dann überprüft Ihre Organisation ihre Berechtigung für die Gastzusammenarbeit.
Es gibt verschiedene Möglichkeiten, Geschäftspartner für die Zusammenarbeit in Ihre Organisation aufzunehmen:
Laden Sie Benutzer ein, mit ihren Microsoft Entra-Konten, Microsoft-Konten oder sozialen Medien-Identitäten zusammenzuarbeiten, die von Ihnen aktiviert werden, z. B. Google. Ein Administrator kann das Microsoft Entra Admin Center oder PowerShell verwenden, um Benutzer zur Zusammenarbeit einzuladen. Benutzer melden sich für die freigegebenen Ressourcen an, indem sie mit ihrem Geschäfts-, Schul- oder einem anderen E-Mail-Konto einen einfachen Einlösungsprozess durchlaufen.
Nutzen Sie Benutzerflows für die Self-Service-Registrierung, damit sich Gäste eigenständig für Anwendungen registrieren können. Die Umgebung kann angepasst werden, um die Registrierung mit einer Geschäfts-, Schul- oder Uni-Identität oder mit einer Social Media-Identität (wie Google oder Facebook) zu ermöglichen. Sie können auch während des Registrierungsvorgangs Informationen zu Benutzern sammeln.
Verwenden Sie die Verwaltung von Microsoft Entra-Berechtigungen, ein Feature zum Verwalten von Identität und Zugriff für externe Benutzer im großen Maßstab. Sie können diese Funktion verwenden, um Zugriffsanforderungsworkflows, Zugriffszuweisungen, Überprüfungen und Ablaufdaten zu automatisieren.
Ein Benutzerobjekt wird für Geschäftsgäste im selben Verzeichnis erstellt, das Sie für Ihre Mitarbeiter verwenden. Sie können dieses Benutzerobjekt wie andere Benutzerobjekte in Ihrem Verzeichnis verwalten. Sie können sie beispielsweise gruppen hinzufügen. Sie können dem Benutzerobjekt Berechtigungen für die Autorisierung zuweisen, während Benutzer ihre vorhandenen Anmeldeinformationen für die Authentifizierung verwenden können.
Sie können mandantenübergreifende Zugriffseinstellungen verwenden, um die Zusammenarbeit mit anderen Microsoft Entra-Organisationen und in Microsoft Azure-Clouds zu verwalten. Verwenden Sie für die Zusammenarbeit mit externen Benutzern und Organisationen außerhalb von Microsoft Entra die Einstellungen für die externe Zusammenarbeit.
Was sind Arbeitskräfte und externe Benutzer?
Ein Mandant ist eine dedizierte und vertrauenswürdige Instanz von Microsoft Entra ID. Sie enthält die Ressourcen einer Organisation, einschließlich registrierter Apps und eines Verzeichnisses von Benutzern. Es gibt zwei Möglichkeiten zum Konfigurieren eines Mandanten, je nachdem, wie die Organisation den Mandanten und die Ressourcen verwenden möchte, die Sie verwalten möchten:
- Eine Mitarbeiter-Mandantenkonfiguration ist ein standardmäßiger Microsoft Entra-Mandant, der Ihre Mitarbeiter, internen Geschäftsanwendungen und andere Organisationsressourcen enthält. In einem Mitarbeitermandanten können Ihre internen Benutzer mit externen Geschäftspartnern und Gästen über die B2B-Zusammenarbeit in Verbindung treten.
- Eine externe Mandantenkonfiguration ist ausschließlich für Apps vorgesehen, die Sie an Verbraucher oder Geschäftskunden veröffentlichen möchten. Dieser unterschiedliche Mandant folgt dem standardmäßigen Microsoft Entra-Mandantenmodell, ist jedoch für Verbraucherszenarien konfiguriert. Er enthält Ihre App-Registrierungen und ein Verzeichnis von Consumer- oder Kundenkonten.
Details finden Sie unter Konfigurationen für Mitarbeiter- und externe Mandanten in Microsoft Entra External ID.
Vergleich der Funktionsumfänge von External IDs
In der folgenden Tabelle werden die Szenarien verglichen, die Sie mit der externen ID aktivieren können.
| Szenario | External ID in Mitarbeiter-Tenants | Externe ID in externen Mandaten |
|---|---|---|
| Primäres Szenario | Ermöglichen Sie es Ihren Mitarbeitern, mit Geschäftsgästen zusammenzuarbeiten. Ermöglichen Sie Gästen die Verwendung ihrer bevorzugten Identitäten, um sich bei Ressourcen in Ihrer Microsoft Entra-Organisation anzumelden. Externe ID bietet Zugriff auf Microsoft-Anwendungen oder Ihre eigenen Anwendungen, einschließlich SaaS-Apps oder benutzerdefinierten Apps. Beispiel: Sie laden einen Gast ein, sich bei Ihren Microsoft-Anwendungen anzumelden oder ein Gastmitglied in Teams zu werden. |
Veröffentlichen Sie Apps für externe Verbraucher und Geschäftskunden, indem Sie External ID für Identitätserlebnisse verwenden. Externe ID bietet Identitäts- und Zugriffsverwaltung für moderne SaaS- oder benutzerdefinierte Apps (nicht Microsoft-Apps). Beispiel: Erstellen einer benutzerdefinierten Anmeldeoberfläche für Benutzer Ihrer mobilen Consumer-App und Überwachen der App-Nutzung. |
| Vorgesehen für | Zusammenarbeit mit Geschäftspartnern von externen Organisationen wie Lieferanten, Partnern und Verkäufern. Diese Benutzer haben möglicherweise eine Microsoft Entra-ID oder eine verwaltete IT. | Verbraucher und Geschäftskunden Ihrer App. Diese Benutzer werden in einem Microsoft Entra-Mandanten verwaltet, der für externe Apps und Benutzer konfiguriert ist. |
| Benutzerverwaltung | Sie verwalten Benutzer für B2B-Zusammenarbeit im selben Mandanten wie die Mitarbeiter, kennzeichnen diese jedoch üblicherweise als Gastbenutzer. Sie können Gastbenutzer auf die gleiche Weise wie Mitarbeiter verwalten und sie zu den gleichen Gruppen hinzufügen. Sie können mandantenübergreifende Zugriffseinstellungen verwenden, um zu bestimmen, welche Benutzer Zugriff auf die B2B-Zusammenarbeit haben. | Sie verwalten App-Benutzer in einem externen Mandanten, den Sie für Verbraucher Ihrer Anwendung erstellen. Benutzer in einem externen Mandanten weisen andere Standardberechtigungen als Benutzer in einem Mitarbeitermandanten auf. Der externe Mandant ist vom Mitarbeiterverzeichnis der Organisation getrennt. |
| Einmaliges Anmelden (Single Sign-On, SSO) | SSO für alle mit Microsoft Entra verbundenen Apps wird unterstützt. Beispielsweise können Sie den Zugriff auf Microsoft 365 oder lokale Apps und auf andere SaaS-Apps wie z. B. Salesforce oder Workday bereitstellen. | SSO für Apps, die im externen Mandanten registriert sind, wird unterstützt. SSO bei Microsoft 365 oder anderen Microsoft SaaS-Anwendungen wird nicht unterstützt. |
| Unternehmensbranding | Der Standardstatus für die Authentifizierungsumgebung ist ein Microsoft-Design. Administratoren können die Gastanmeldung mit ihrem Unternehmensbranding anpassen. | Das Standardbranding für den externen Mandanten ist neutral und enthält kein vorhandenes Microsoft-Branding. Administratoren können das Branding für die Organisation oder pro Anwendung anpassen. Weitere Informationen |
| Microsoft-Cloudeinstellungen | Unterstützt. | Nicht zutreffend. |
| Berechtigungsverwaltung | Unterstützt. | Nicht zutreffend. |
Verwandte Technologien
Mehrere Microsoft Entra-Technologien beziehen sich auf die Zusammenarbeit mit externen Benutzern und Organisationen. Berücksichtigen Sie diese zusätzlichen Features bei der Gestaltung Ihres External ID-Modells für die Zusammenarbeit.
Direkte B2B-Verbindung
Sie können B2B Direct Connect verwenden, um bidirektionale Vertrauensbeziehungen mit anderen Microsoft Entra-Organisationen zu erstellen, um das Feature für gemeinsame Teams Connect-Kanäle zu aktivieren. Mit dieser Funktion können sich Benutzer nahtlos bei freigegebenen Teams-Kanälen anmelden, um zu chatten, Anrufe zu tätigen sowie Dateien und Apps zu teilen.
Wenn zwei Organisationen gegenseitig direkte B2B-Verbindungen aktivieren, authentifizieren sich Benutzer in ihrer eigenen Organisation und erhalten für den Zugriff ein Token von der Ressourcenorganisation. Anders als bei B2B Collaboration werden Benutzer mit direkten B2B-Verbindungen nicht als Gäste zum Mitarbeiterverzeichnis hinzugefügt. Erfahren Sie mehr über B2B Direct Connect in microsoft Entra External ID.
Nachdem Sie B2B direct connect mit einer externen Organisation eingerichtet haben, stehen die folgenden Funktionen für freigegebene Teams-Kanäle zur Verfügung:
Ein Besitzer eines freigegebenen Kanals kann in Teams nach zulässigen Benutzern in der externen Organisation suchen und sie zum freigegebenen Kanal hinzufügen.
Externe Benutzer können auf den freigegebenen Teams-Kanal zugreifen, ohne organisationen wechseln oder sich mit einem anderen Konto anmelden zu müssen. Innerhalb von Teams kann ein externer Benutzer über die Registerkarte "Dateien " auf Dateien und Apps zugreifen. Die Richtlinien des freigegebenen Kanals bestimmen den Zugriff des Benutzers.
Sie verwenden mandantenübergreifende Zugriffseinstellungen , um Vertrauensstellungen mit anderen Microsoft Entra-Organisationen zu verwalten und eingehende und ausgehende Richtlinien für B2B Direct Connect zu definieren.
Ausführliche Informationen zu den Ressourcen, Dateien und Anwendungen, die Benutzern von B2B direct connect über den freigegebenen Teams-Kanal zur Verfügung stehen, finden Sie unter "Chat", "Teams", "Kanäle" und "Apps" in Microsoft Teams.
Lizenzierung und Abrechnung basieren auf monatlich aktiven Benutzern (Monthly Active Users, MAU). Erfahren Sie mehr über das Abrechnungsmodell für die externe Microsoft Entra-ID.
Azure Active Directory B2C (Azure AD B2C)
Von Bedeutung
Ab dem 1. Mai 2025 steht Azure Active Directory B2C (Azure AD B2C) nicht mehr für neue Kunden zum Kauf zur Verfügung. Weitere Informationen finden Sie in unseren häufig gestellten Fragen unter Ist Azure AD B2C noch erhältlich?.
Azure AD B2C ist eine Legacylösung für die Identitäts- und Zugriffsverwaltung von Kunden. Azure AD B2C enthält ein separates consumerbasiertes Verzeichnis, das Sie im Azure-Portal über den Azure AD B2C-Dienst verwalten. Jeder Azure AD B2C-Mandant ist eigenständig und getrennt von anderen Microsoft Entra ID- und Azure AD B2C-Mandanten.
Die Azure AD B2C-Portalumgebung ähnelt der Microsoft Entra-ID, aber es gibt wichtige Unterschiede. Beispielsweise können Sie Ihre Benutzerreisen mithilfe des Identity Experience Framework anpassen.
Weitere Informationen zu den Unterschieden zwischen einem Azure AD B2C-Mandanten und einem Microsoft Entra-Mandanten finden Sie unter Unterstützte Microsoft Entra-Features in Azure AD B2C. Weitere Informationen zum Konfigurieren und Verwalten von Azure AD B2C finden Sie in der Azure AD B2C-Dokumentation.
Microsoft Entra-Befugnisverwaltung für die Registrierung von Geschäftsgästen
Möglicherweise wissen Sie nicht im Voraus, welche einzelnen externen Mitarbeiter Zugriff auf Ihre Ressourcen benötigen. Benutzer von Partnerunternehmen müssen sich selbstständig registrieren können, und die Registrierung muss Richtlinien unterliegen, die von Ihnen gesteuert werden.
Um Benutzern aus anderen Organisationen das Anfordern des Zugriffs zu ermöglichen, können Sie Microsoft Entra-Berechtigungsverwaltung verwenden, um Richtlinien zu konfigurieren, die den Zugriff für externe Benutzer verwalten. Nach Genehmigung werden diese Benutzer mit Gastkonten bereitgestellt und Gruppen, Apps und SharePoint Online-Websites zugewiesen.
Bedingter Zugriff
Organisationen können Microsoft Entra-Richtlinien für bedingten Zugriff verwenden, um ihre Sicherheit zu verbessern, indem sie die entsprechenden Zugriffskontrollen auf externe Benutzer anwenden. Zu diesen Steuerelementen gehören die mehrstufige Authentifizierung (MFA).
Bedingter Zugriff und MFA in externen Mandanten
In externen Mandanten können Organisationen MFA für Kunden erzwingen, indem sie eine Richtlinie für bedingten Zugriff erstellen und MFA zu Registrierungs- und Anmeldebenutzerflüssen hinzufügen. Externe Tenants unterstützen zwei Authentifizierungsmethoden als zweiten Faktor:
- Einmalkennung per E-Mail senden. Nachdem sich Benutzer mit ihrer E-Mail und ihrem Kennwort angemeldet haben, werden sie zur Eingabe einer Kennung aufgefordert, die an ihre E-Mail gesendet wird.
- SMS-basierte Authentifizierung. SMS ist als zweitstufige Authentifizierungsmethode für MFA für Benutzer in externen Mandanten verfügbar. Benutzer, die sich mit E-Mail und Kennwort, E-Mail und Einmalkennung oder identitäten wie Google oder Facebook anmelden, werden per SMS zur zweiten Überprüfung aufgefordert.
Erfahren Sie mehr über Authentifizierungsmethoden in externen Mandanten.
Bedingter Zugriff für B2B-Zusammenarbeit und direkte B2B-Verbindung
Bei einer Mandantenumgebung für die Belegschaft können Organisationen Richtlinien für bedingten Zugang für die externe B2B-Zusammenarbeit und B2B-Direktverbindungsnutzer auf die gleiche Weise durchsetzen wie für Vollzeitmitarbeiter und Mitglieder der Organisation. Bei mandantenübergreifenden Microsoft Entra-Szenarien können Sie – falls Ihre Richtlinien für den bedingten Zugriff MFA- oder Gerätekonformität erfordern – jetzt MFA- und Gerätekonformitätsansprüchen der eigenen Organisation eines externen Benutzers vertrauen.
Wenn die Vertrauenseinstellungen aktiviert sind, prüft Microsoft Entra ID während der Authentifizierung die Anmeldeinformationen eines Benutzers auf einen MFA-Anspruch oder eine Geräte-ID, um festzustellen, ob die Richtlinien bereits erfüllt wurden. Falls ja, wird dem externen Benutzer eine nahtlose Anmeldung bei Ihrer gemeinsam genutzten Ressource ermöglicht. Andernfalls wird eine MFA- oder Geräteanforderung im Heimmandanten des Benutzers initiiert. Erfahren Sie mehr über den Authentifizierungsprozess und den Conditional Access für externe Benutzer in Arbeitsmandanten.
Mehrinstanzenfähige Anwendungen
Wenn Sie eine SaaS-Anwendung anbieten, die für viele Organisationen bestimmt ist, können Sie Ihre Anwendung so konfigurieren, dass sie Anmeldungen von jedem beliebigen Microsoft Entra-Mandanten akzeptiert. Diese Konfiguration wird aufgerufen, um Ihre Anwendung mehrinstanzenfähig zu machen. Benutzer in jedem Microsoft Entra-Mandanten können sich bei Ihrer Anwendung anmelden, nachdem sie der Verwendung ihres Kontos mit Ihrer Anwendung zugestimmt haben. Erfahren Sie, wie Sie mehrinstanzenfähige Anmeldungen aktivieren.
Mehrmandantenfähige Organisationen
Eine mehrinstanzenfähige Organisation ist eine Organisation mit mehr als einer Instanz von Microsoft Entra ID. Es gibt verschiedene Gründe für die Verwendung mehrerer Mandanten. Ihre Organisation kann sich z. B. über mehrere Clouds oder geografische Grenzen erstrecken.
Die Funktion von Mehrinstanzenorganisationen ermöglicht eine nahtlose Zusammenarbeit in Microsoft 365. Darüber hinaus werden die Kooperationserfahrungen der Mitarbeiter in Ihrer mehrmandantenfähigen Organisation in Anwendungen wie Microsoft Teams und Microsoft Viva Engage verbessert.
Die mandantenübergreifende Synchronisierungsfunktion ist ein unidirektionaler Synchronisierungsdienst, mit dem Benutzer auf Ressourcen zugreifen können, ohne dass eine Einladungs-E-Mail oder eine Zustimmungsaufforderung in jedem Mandanten erforderlich ist.
Weitere Informationen zu mehrinstanzenfähigen Organisationen und mandantenübergreifender Synchronisierung finden Sie in der Dokumentation für mehrinstanzenfähige Organisationen und den Funktionsvergleich.
Microsoft Graph-APIs
Alle Features für externe ID werden auch für die Automatisierung über Microsoft Graph-APIs unterstützt, mit Ausnahme des Features, das im nächsten Abschnitt aufgeführt ist. Weitere Informationen finden Sie unter Verwalten der Microsoft Entra-Identität und des Netzwerkzugriffs mithilfe von Microsoft Graph.
In Microsoft Graph nicht unterstützte Funktionen
| „External ID“-Funktion | Unterstützt in | Problemumgehungen für die Automatisierung |
|---|---|---|
| Identifizieren Sie Organisationen, denen Sie angehören | Mitarbeitermandanten | Siehe die Mandanten – Liste der Azure Resource Manager-API. Verwenden Sie für freigegebene Teams-Kanäle und B2B Direct Connect die Get tenantReferences Microsoft Graph-API. |
Microsoft Graph-API für B2B-Zusammenarbeit
Mandantenübergreifende Zugriffs-APIs. Erstellen Sie programmgesteuert die gleichen B2B-Zusammenarbeits- und B2B-Richtlinien für direkte Verbindungen, die im Azure-Portal konfigurierbar sind.
Mithilfe dieser APIs können Sie Richtlinien für die eingehende und ausgehende Zusammenarbeit einrichten. Beispielsweise können Sie Funktionen für alle Benutzer standardmäßig zulassen oder sperren und den Zugriff auf bestimmte Organisationen, Gruppen, Benutzer und Anwendungen beschränken.
Sie können diese APIs auch verwenden, um MFA- und Geräteansprüche (kompatible Ansprüche und in Microsoft Entra hybrid eingebundene Ansprüche) von anderen Microsoft Entra-Organisationen zu akzeptieren.
Ressourcentyp für die Einladungsverwaltung. Erstellen Sie Ihre eigenen Onboarding-Erfahrungen für Business-Gäste. Sie können beispielsweise die Api zum Erstellen von Einladungen verwenden, um automatisch eine angepasste Einladungs-E-Mail direkt an den B2B-Benutzer zu senden. Oder Sie können den
inviteRedeemUrlin der Erstellungsantwort zurückgegebenen Wert verwenden, um Ihre eigene Einladung (über Ihren Kommunikationsmechanismus der Wahl) für den eingeladenen Benutzer zu erstellen.