Gastbenutzer in Microsoft 365 und Teams per AAD einrichten, verwalten und in volle Mitglieder umwandeln
Immer wenn Sie externe Personen in einem Microsoft 365-Dienst wie Teams als Gast einbinden, werden dafür Gastbenutzerkonten eingerichtet. Das geht manuell, indem Sie eine Person direkt über Azure AD als Gastbenutzer einladen. Oder aber automatisch, wenn Sie Partner über Teams, SharePoint, PowerBI und andere Dienste einladen.
Die drei Varianten zum Erstellen von Gastkonten
Microsoft sieht aus der technischen Perspektive betrachtet drei Verfahren zum Erstellen von Gastbenutzerkonten vor:
- Ein externer Benutzer wird als Gast eingeladen: Voraussetzung dafür ist entweder, dass die authentifizierende Instanz ein anderes Azure Active Directory (AD) ist – also ein Microsoft-Konto. Oder es handelt sich um einen alternativen Identity Provider (IDP), der vom Azure AD unterstützt wird. Bekannte Beispiel für externe IDPs sind Google und Facebook. Weitere Details sind in diesem Microsoft-Artikel beschrieben: Identity Providers for External Identities
- Ein Gastbenutzer kann auch konventionell im lokalen AD oder im Azure AD angelegt werden. Typischerweise kommt das vor, wenn es sich um Kunden oder Partner handelt, die bereits Konten im lokalen AD haben. Über diese Konten kann nun auch auf Cloud-Ressourcen zugegriffen werden. Ein Unternehmen kann dabei den Gastbenutzer komplett selbst verwalten. Der IDP ist in diesem Fall das eigene Active Directory oder Azure AD.
- Als Gastbenutzer kann man sich auch per Einmalkennung (Onetime Passcode) anmelden. Weitere Details sind in diesem Artikel beschrieben: Onetime Passcode Authentication to access Microsoft 365 Group resources
Der Gastbenutzereintrag aus Azure AD-Sicht
Wie sieht nun der technische Eintrag eines Gastbenutzers im Azure AD aus? In den obigen Szenarien eins und drei entspricht er dieser Notation: John.Smith_gmail.com#EXT#@tenantname.onmicrosoft.com. Dabei handelt es sich aber nur den internen Eintrag, der Benutzer selber verwendet für die Anmeldung die normale E-Mail-Adresse wie John.Smith@gmail.com.
Sofern der Benutzer über Szenario zwei angelegt wird, entspricht der interne Name den AD-Konventionen in Form eines User Principal Name (UPN), also: Jane.Doe@tenantname.onmicrosoft.com
PowerShell-Tipp: Gastbenutzer zum Mitglied befördern und umgekehrt
Ob ein Benutzer als Gast oder als normales Mitglied im Azure AD geführt wird, lässt sich intern am Wert „UserType“ ablesen (siehe Bild unten). Entsprechend gibt es auch die Möglichkeit, über eine PowerShell-Befehl den Benutzertyp zu ändern. (Grundlagen zur PowerShell finden Sie hier.) Soll beispielsweise ein Gastbenutzer zum Mitglied befördert werden, lautet der Befehl dazu wie folgt:
Connect-MsolService Set-MsolUser -UserPrincipalName "John.Smith@gmail.com" -UserType Member
Hierbei wird der Benutzer John.Smith@gmail.com, der zuvor als Gast eingeladen wurde, zum vollwertigen Mitglied im Azure AD. Ein praktischer Nutzen wäre etwa, dass dieser Benutzer nun auch als Mitglied oder Owner in einem Microsoft Teams-Team angelegt werden kann.
Auch der umgekehrte Weg geht, indem ein bisheriger Benutzer aus dem lokalen Active Directory oder dem Azure AD zum Gastbenutzer umkonfiguriert wird:
Connect-MsolService Set-MsolUser -UserPrincipalName "Jane.Doe@tenantname.onmicrosoft.com" -UserType Guest
Für Mitglieder wird eine Lizenz benötigt!
Wichtig ist dabei, dass die Änderung des Benutzertyps auch lizenzrelevante Implikationen haben kann. Sobald etwa ein Benutzer vom Gast zum Mitglied gemacht wird, muss er auch lizensiert werden.
Zu beachten ist dabei auch, dass ein neu angelegter oder per Azure AD Connect synchronisierter Benutzer immer als Mitglied im Azure AD eingetragen wird. Falls dabei jedoch keine Lizensierung gewünscht ist, kann das Konto über den beschriebenen PowerShell-Befehl zum Gastkonto abgeändert werden.
Microsoft hat dazu folgende vertiefende Artikel veröffentlicht:
- Grant locally-managed partner accounts access to cloud resources using Azure AD B2B collaboration
- GitHub – external-identities/invite-internal-users.md
Beispiele für die Umwandlung der Konten im Azure AD:
- Gefährliche Microsoft 365-Lücke: Wie Sie illegale Zugriffe über Power-Platform-Gastkonten verhindern - 11. September 2023
- Eigene Daten im ChatGPT-Stil erforschen: So nutzen Sie Azure OpenAI und Azure Cognitiv Search für interne KI-Lösungen - 17. Juli 2023
- Mit dem Security Copilot führt Microsoft einen KI-Assistenten für IT-Sicherheit ein - 30. März 2023