Cross-Tenant-Access – Zusammenarbeit jetzt auch über Tenant-Grenzen mit externen Microsoft 365-Benutzern

Microsoft führt neue Einstellungen für die mandantenübergreifende Zusammenarbeit ein. Eine Reihe neuer Funktionen im Azure Active Directory (AAD) gibt Benutzern nun die Möglichkeit, einfacher und sicherer über die Grenzen des eigenen Microsoft 365-Mandanten hinweg mit externen Kollegen oder Kunden zusammenarbeiten.

Die Erweiterung der Mandantenübergreifende Zugriffseinstellungen (Cross-tenant access settings) wird von Anwendern schon lange gewünscht. Bisher beschränkte sich das Azure AD-Admin-Center auf drei Einstellungen: Ein- und ausgehende Zugriffe sowie Vertrauenseinstellungen.

Granularere Einstellung von und zu externen Mandanten

Laut dem zugehörigen Microsoft-Blogpost stehen nun granularere Einstellungen zur Kontrolle aller Arten von Zugriffen zur Verfügung. Diese funktionieren über die Ebenen Organisation, Benutzer, Gruppen und Anwendungen. Auch Sicherheitseinstellungen lassen sich für externe Azure AD-Organisationen vorgeben, so zum Beispiel Multi-Faktor-Authentifizierung (MFA), Geräte-Compliance und Vertrauensstellung hybrider Azure AD-Geräte.

Microsoft führt die neuen Funktionen im Admin Center unter Cross-Tenant Access Settings auf (englisch), aktuell sind sie noch als Preview gekennzeichnet. Hierüber lassen sich Einstellungen sowohl allgemein wie auch je einzelnem Tenant konfigurieren. Als weitere Unterscheidung gibt es noch „Outbound“, also die Zugriffe interner Benutzer als externe Gastbenutzer, sowie „Inbound“, wenn Gästen auf die eigene Umgebung zugreifen.

Vertrauenseinstellungen und Sicherheit

Zur Erhöhung der Anmeldesicherheit kann eine Multifaktor Authentifizierung von Extern anerkannt werden, wenn sie beim Anmelden in anderen Azure ADs bereits erfolgt ist. Ebenfalls berücksichtigt wird bei Bedarf der Status des verwendeten Geräts, indem dieser etwa in einer Conditional Access Policy (Bedingte Zugriffsregel) verifiziert wird. Dabei kann sowohl dem Status „Compliant Device“ als auch dem Status „Hybrid Azure AD Joined“ vertraut werden:

Mandantenübergreifenden Zugriff für vertraute Partner einrichten

Im Menü Mandantenübergreifende Zugriffseinstellungen (Cross-tenant access settings) können Sie einerseits die Standardeinstellungen für Ihre Umgebung vornehmen, andererseits auch die Einstellungen pro Tenant, von dem aus Zugriffe erfolgen. Falls Sie mit Partnern oder ausgewählten Kunden regelmäßig zusammenarbeiten, wäre hier der Ort, um explizite Regeln für B2B collaboration – External users and groups, B2B – collaboration Applications und Trust settings sowohl für den Inbound wie dem Outbound-Traffic zu konfigurieren:

Allgemeine Regeln:

  • Die Standardeinstellungen gelten für alle externen Azure ADs, sofern sie nicht unter der Registerkarte „Organizational Setting“ eigens konfiguriert sind. Die Standardeinstellungen können geändert aber nicht gelöscht werden.
  • Für Zugriffe, die nicht über ein Azure-AD authentifiziert werden, gelten andere Einstellungen, die hier zu finden sind: Einstellungen für externe Zusammenarbeit (Edit or view collaboration restrictions)

Mandantenübergreifende Zugriffseinstellungen Schritt für Schritt einrichten

In den Default Settings kann jeweils für Inbound und Outbound Traffic der Wert B2B collaboration – External users and groups, B2B – collaboration Applications und Trust settings gesetzt werden. Diese Werte greifen dann für alle nicht explizit registrierten Tenants:

Auf der Registerkarte „Organizational Setting“ können über „Add Organization” externe Tenant-Umgebungen hinzugefügt werden:

Je nach Bedarf können diese entweder die Standardeinstellungen (Default Settings) erben, oder Sie vergeben dafür individuelle Einstellung:

Individuelle Einstellungen je Mandant

Für jeden individuell angelegten Tenant können Sie folgenden Bereiche konfigurieren:

Externe Benutzer und Gruppen:

Ausgewählte Anwendungen:

Einstellungen für Multifaktor-Authentifizierung und Geräte:

Weitere Detailinformationen finden Sie hier: Configure cross-tenant access settings for B2B collaboration

Reporting: Zugriffe überwachen und auswerten

Berichte über Zugriffe aus anderer Umgebung können Sie sowohl mit der PowerShell wie auch über den Tab „Monitoring“ im Azure AD erstellen.

Beispiel 1: Mit PowerShell die Cross-tenant Anmeldeaktivitäten auslesen:

Get-MSIDCrossTenantAccessActivity -SummaryStats -ResolveTenantId

Beispiel 2: Mit PowerShell die Sign-in logs betrachten:

Get-MgAuditLogSignIn `
-Filter “ResourceTenantID ne ‘your tenant id’” `
-all:$True| `
group ResourceTenantId,AppDisplayName,UserPrincipalName| `
select count, @{n=’Ext TenantID/App User Pair’;e={$_.name}}]

Weitere Detailinformationen finden Sie hier: Identify inbound and outbound sign-ins

Workbook: Aufzeichnungen von mandantenübergreifenden Aktivitäten

Das Workbook steht im Azure-AD unter „Monitoring” zur Verfügung und stellt Berichte zur Verfügung, die nach folgenden Werten gefiltert werden können:

  • Zeit (Time range – bis zu 90 Tage)
  • Extere Tenant ID
  • User principal name
  • Anwendung
  • Status der Anmeldung (success or failure)

0 Comments
Inline Feedbacks
View all comments