Gastbenutzer in Microsoft 365 und Teams über Entra ID einrichten und in Mitglieder umwandeln

Nicki Borell

Wenn Sie externe Personen in einem Microsoft 365 oder Teams als Gast einladen, werden dafür Gastbenutzerkonten erstellt. Das geht manuell über eine Gastbenutzer-Einladung mit Azure AD/Entra ID. Oder automatisch, wenn Sie die Partner über Teams, SharePoint, PowerBI und andere Dienste einladen.

Drei Möglichkeiten zum Anlegen von Gastbenutzern

Microsoft sieht aus der technischen Perspektive betrachtet drei Verfahren, mit denen Sie Gastbenutzer einrichten und entsprechende Konten erstellen:

  1. Externen Benutzer als Gast einladen: Voraussetzung dafür ist entweder, dass die authentifizierende Instanz ein anderes Entra ID (früher Azure Active Directory – AAD) ist – also ein Microsoft-Konto. Oder es handelt sich um einen alternativen Identity Provider (IDP), der vom Entra ID unterstützt wird. Bekannte Beispiel für externe IDPs sind Google und Facebook. Weitere Details sind in diesem Microsoft-Artikel beschrieben: Identity Providers for External Identities
  2. Im lokalen AD anlegen: Ein Gastbenutzer kann auch konventionell im lokalen AD oder im Azure AD angelegt werden. Typischerweise kommt das vor, wenn es sich um Kunden oder Partner handelt, die bereits Konten im lokalen AD haben. Über diese Konten kann nun auch auf Cloud-Ressourcen zugegriffen werden. Ein Unternehmen kann dabei den Gastbenutzer komplett selbst verwalten. Der IDP ist in diesem Fall das eigene Active Directory oder Entra ID.
  3. Mit Einmalkennung/Passcode: Als Gastbenutzer kann man sich auch per Einmalkennung (Onetime Passcode) anmelden. Weitere Details sind in diesem Artikel beschrieben: Onetime Passcode Authentication to access Microsoft 365 Group resources

Gastbenutzer einrichten aus Entra ID/Azure AD-Sicht

Wie sieht nun der technische Eintrag eines Gastbenutzers im Azure AD aus? In den obigen Szenarien eins und drei entspricht er dieser Notation: John.Smith_gmail.com#EXT#@tenantname.onmicrosoft.com. Dabei handelt es sich aber nur den internen Eintrag, der Benutzer selber verwendet für die Anmeldung die normale E-Mail-Adresse  wie John.Smith@gmail.com.

Sofern der Benutzer über Szenario zwei angelegt wird, entspricht der interne Name den AD-Konventionen in Form eines User Principal Name (UPN), also: Jane.Doe@tenantname.onmicrosoft.com

Mit PowerShell Gastbenutzer zum Mitglied befördern und umgekehrt

Ob ein Benutzer als Gast oder als normales Mitglied im Azure AD geführt wird, lässt sich intern am Wert „UserType“ ablesen (siehe Bild unten). Entsprechend gibt es auch die Möglichkeit, über eine PowerShell-Befehl den Benutzertyp zu ändern. (Grundlagen zur PowerShell finden Sie hier.) Soll beispielsweise ein Gastbenutzer zum Mitglied befördert werden, lautet der Befehl dazu wie folgt:

Connect-MsolService
Set-MsolUser -UserPrincipalName "John.Smith@gmail.com" -UserType Member

Hierbei wird der Benutzer John.Smith@gmail.com, der zuvor als Gast eingeladen wurde, zum vollwertigen Mitglied im Azure AD. Ein praktischer Nutzen wäre etwa, dass dieser Benutzer nun auch als Mitglied oder Owner in einem Microsoft Teams-Team angelegt werden kann.

Auch der umgekehrte Weg geht, indem ein bisheriger Benutzer aus dem lokalen Active Directory oder dem Azure AD zum Gastbenutzer umkonfiguriert wird:

Connect-MsolService
Set-MsolUser -UserPrincipalName "Jane.Doe@tenantname.onmicrosoft.com" -UserType Guest

Umwandlung vom Gast zum Mitglied erfordert eine Lizenz

Wichtig ist dabei, dass die Änderung des Benutzertyps auch lizenzrelevante Implikationen haben kann. Sobald etwa ein Benutzer vom Gast zum Mitglied gemacht wird, muss er auch lizensiert werden.

Zu beachten ist dabei auch, dass ein neu angelegter oder per Azure AD Connect synchronisierter Benutzer immer als Mitglied im Azure AD eingetragen wird. Falls dabei jedoch keine Lizensierung gewünscht ist, kann das Konto über den beschriebenen PowerShell-Befehl zum Gastkonto abgeändert werden.

Microsoft hat dazu folgende vertiefende Artikel veröffentlicht:

Beispiele für die Umwandlung der Konten im Azure AD:

Gastbenutzer einrichten
Beispiels 1: Konto im Azure AD wird vom Mitglied zum Gastbenutzer umkonfiguriert.
Beispiels 2: Konto im Azure AD wird vom Gastbenutzer zum Member umkonfiguriert.

Verwandte Beiträge:

  1. Cross-Tenant-Access – mandatenübergreifende Zusammenarbeit mit externen Microsoft 365-Benutzern
  2. Gefährliche Microsoft 365-Lücke: Wie Sie illegale Zugriffe über Power-Platform-Gastkonten verhindern
  3. Einführung Teams-Verwaltung mit PowerShell: Teams anzeigen, Benutzer anlegen, Teams löschen
  4. Teams Downloads verbieten – so schließen Sie nicht-verwaltete, externen Geräte aus
  5. Geteilte Teams Kanäle (Shared Channels): So richten Sie die Zusammenarbeit mit externen Nutzern ein

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert