Cross-Tenant-Access – mandatenübergreifende Zusammenarbeit mit externen Microsoft 365-Benutzern

Azure AD

In vielen Organisationen besteht das Bedürfnis, über die Grenzen des eigenen Microsoft 365-Mandanten hinweg mit externen Kollegen oder Kunden zusammenzuarbeiten. Microsoft hat dafür die mandantenübergreifende Zusammenarbeit (Cross Tenant Access) eingeführt. Einrichten können Sie diese über neue Funktionen im Microsoft Entra ID (früher Azur Active Directory).

Die Erweiterung der Mandantenübergreifende Zugriffseinstellungen (Cross-tenant access settings) wird von Anwendern schon lange gewünscht. Bisher beschränkte sich das Entra ID-Admin-Center auf drei Einstellungen: Ein- und ausgehende Zugriffe sowie Vertrauenseinstellungen.

Cross Tenant Access – mit externen Mandanten verbinden

Laut dem zugehörigen Microsoft-Blogpost stehen nun granularere Einstellungen zur Kontrolle aller Arten von Zugriffen zur Verfügung. Diese funktionieren über die Ebenen Organisation, Benutzer, Gruppen und Anwendungen. Auch Sicherheitseinstellungen lassen sich für externe Azure AD-Organisationen vorgeben, so zum Beispiel Multi-Faktor-Authentifizierung (MFA), Geräte-Compliance und Vertrauensstellung hybrider Azure AD-Geräte.

Microsoft führt die neuen Funktionen im Admin Center unter Cross-Tenant Access Settings auf (englisch), aktuell sind sie noch als Preview gekennzeichnet. Hierüber lassen sich Einstellungen sowohl allgemein wie auch je einzelnem Tenant konfigurieren. Als weitere Unterscheidung gibt es noch „Outbound“, also die Zugriffe interner Benutzer als externe Gastbenutzer, sowie „Inbound“, wenn Gästen auf die eigene Umgebung zugreifen.

Cross Tenant Access (mandantenübergreifende Zusammenarbeit)

Vertrauenseinstellungen und Sicherheit

Cross Tenant Access Settings 3

Zur Erhöhung der Anmeldesicherheit kann eine Multifaktor Authentifizierung von Extern anerkannt werden, wenn sie beim Anmelden in anderen Azure ADs bereits erfolgt ist. Ebenfalls berücksichtigt wird bei Bedarf der Status des verwendeten Geräts, indem dieser etwa in einer Conditional Access Policy (Bedingte Zugriffsregel) verifiziert wird. Dabei kann sowohl dem Status „Compliant Device“ als auch dem Status „Hybrid Azure AD Joined“ vertraut werden:

Mandantenübergreifenden Zugriff für vertraute Partner einrichten

Cross Tenant Access Settings 12

Im Menü Mandantenübergreifende Zugriffseinstellungen (Cross-tenant access settings) können Sie einerseits die Standardeinstellungen für Ihre Umgebung vornehmen, andererseits auch die Einstellungen pro Tenant, von dem aus Zugriffe erfolgen. Falls Sie mit Partnern oder ausgewählten Kunden regelmäßig zusammenarbeiten, wäre hier der Ort, um explizite Regeln für B2B collaboration – External users and groups, B2B – collaboration Applications und Trust settings sowohl für den Inbound wie dem Outbound-Traffic zu konfigurieren:

Allgemeine Regeln:

  • Die Standardeinstellungen gelten für alle externen Azure ADs, sofern sie nicht unter der Registerkarte „Organizational Setting“ eigens konfiguriert sind. Die Standardeinstellungen können geändert aber nicht gelöscht werden.
  • Für Zugriffe, die nicht über ein Azure-AD authentifiziert werden, gelten andere Einstellungen, die hier zu finden sind: Einstellungen für externe Zusammenarbeit (Edit or view collaboration restrictions)

Anleitung: Schritt für Schritt zum Cross Tenant Acces

Cross Tenant Access Settings 5

In den Default Settings kann jeweils für Inbound und Outbound Traffic der Wert B2B collaboration – External users and groups, B2B – collaboration Applications und Trust settings gesetzt werden. Diese Werte greifen dann für alle nicht explizit registrierten Tenants:

Cross Tenant Access Settings 6

Auf der Registerkarte „Organizational Setting“ können über „Add Organization” externe Tenant-Umgebungen hinzugefügt werden:

Je nach Bedarf können diese entweder die Standardeinstellungen (Default Settings) erben, oder Sie vergeben dafür individuelle Einstellung:

Cross Tenant Access Settings 11

Individuelle Einstellungen je Mandant

Für jeden individuell angelegten Tenant können Sie folgenden Bereiche konfigurieren:

Cross Tenant Access Settings 8

Externe Benutzer und Gruppen:

Cross Tenant Access Settings 9

Ausgewählte Anwendungen:

Cross Tenant Access Settings 10

Einstellungen für Multifaktor-Authentifizierung und Geräte:

Weitere Detailinformationen finden Sie hier: Configure cross-tenant access settings for B2B collaboration

Reporting: Zugriffe überwachen und auswerten

Berichte über Zugriffe aus anderer Umgebung können Sie sowohl mit der PowerShell wie auch über den Tab „Monitoring“ im Azure AD erstellen.

Beispiel 1: Mit PowerShell die Cross-tenant Anmeldeaktivitäten auslesen:

Get-MSIDCrossTenantAccessActivity -SummaryStats -ResolveTenantId

Beispiel 2: Mit PowerShell die Sign-in logs betrachten:

Get-MgAuditLogSign `
-Filter “ResourceTenantID ne ‘your tenant id’” `
-all:$True| `
group ResourceTenantId,AppDisplayName,UserPrincipalName| `
select count, @{n=’Ext TenantID/App User Pair’;e={$_.name}}]

Weitere Detailinformationen finden Sie hier: Identify inbound and outbound sign-ins

Workbook: Aufzeichnungen von mandantenübergreifenden Aktivitäten

Das Workbook steht im Azure-AD unter „Monitoring” zur Verfügung und stellt Berichte zur Verfügung, die nach folgenden Werten gefiltert werden können:

  • Zeit (Time range – bis zu 90 Tage)
  • Extere Tenant ID
  • User principal name
  • Anwendung
  • Status der Anmeldung (success or failure)Cross Tenant Access Settings 1