Gastbenutzer in Microsoft 365 und Teams per AAD einrichten, verwalten und in volle Mitglieder umwandeln

Immer wenn Sie externe Personen in einem Microsoft 365-Dienst wie Teams als Gast einbinden, werden dafür Gastbenutzerkonten eingerichtet. Das geht manuell, indem Sie eine Person direkt über Azure AD als Gastbenutzer einladen. Oder aber automatisch, wenn Sie Partner über Teams, SharePoint, PowerBI und andere Dienste einladen.

Die drei Varianten zum Erstellen von Gastkonten

Microsoft sieht aus der technischen Perspektive betrachtet drei Verfahren zum Erstellen von Gastbenutzerkonten vor:

  1. Ein externer Benutzer wird als Gast eingeladen: Voraussetzung dafür ist entweder, dass die authentifizierende Instanz ein anderes Azure Active Directory (AD) ist – also ein Microsoft-Konto. Oder es handelt sich um einen alternativen Identity Provider (IDP), der vom Azure AD unterstützt wird. Bekannte Beispiel für externe IDPs sind Google und Facebook. Weitere Details sind in diesem Microsoft-Artikel beschrieben: Identity Providers for External Identities
  2. Ein Gastbenutzer kann auch konventionell im lokalen AD oder im Azure AD angelegt werden. Typischerweise kommt das vor, wenn es sich um Kunden oder Partner handelt, die bereits Konten im lokalen AD haben. Über diese Konten kann nun auch auf Cloud-Ressourcen zugegriffen werden. Ein Unternehmen kann dabei den Gastbenutzer komplett selbst verwalten. Der IDP ist in diesem Fall das eigene Active Directory oder Azure AD.
  3. Als Gastbenutzer kann man sich auch per Einmalkennung (Onetime Passcode) anmelden. Weitere Details sind in diesem Artikel beschrieben: Onetime Passcode Authentication to access Microsoft 365 Group resources

Der Gastbenutzereintrag aus Azure AD-Sicht

Wie sieht nun der technische Eintrag eines Gastbenutzers im Azure AD aus? In den obigen Szenarien eins und drei entspricht er dieser Notation: John.Smith_gmail.com#EXT#@tenantname.onmicrosoft.com. Dabei handelt es sich aber nur den internen Eintrag, der Benutzer selber verwendet für die Anmeldung die normale E-Mail-Adresse  wie John.Smith@gmail.com.

Sofern der Benutzer über Szenario zwei angelegt wird, entspricht der interne Name den AD-Konventionen in Form eines User Principal Name (UPN), also: Jane.Doe@tenantname.onmicrosoft.com

PowerShell-Tipp: Gastbenutzer zum Mitglied befördern und umgekehrt

Ob ein Benutzer als Gast oder als normales Mitglied im Azure AD geführt wird, lässt sich intern am Wert „UserType“ ablesen (siehe Bild unten). Entsprechend gibt es auch die Möglichkeit, über eine PowerShell-Befehl den Benutzertyp zu ändern. (Grundlagen zur PowerShell finden Sie hier.) Soll beispielsweise ein Gastbenutzer zum Mitglied befördert werden, lautet der Befehl dazu wie folgt:

Connect-MsolService
Set-MsolUser -UserPrincipalName "John.Smith@gmail.com" -UserType Member

Hierbei wird der Benutzer John.Smith@gmail.com, der zuvor als Gast eingeladen wurde, zum vollwertigen Mitglied im Azure AD. Ein praktischer Nutzen wäre etwa, dass dieser Benutzer nun auch als Mitglied oder Owner in einem Microsoft Teams-Team angelegt werden kann.

Auch der umgekehrte Weg geht, indem ein bisheriger Benutzer aus dem lokalen Active Directory oder dem Azure AD zum Gastbenutzer umkonfiguriert wird:

Connect-MsolService
Set-MsolUser -UserPrincipalName "Jane.Doe@tenantname.onmicrosoft.com" -UserType Guest

Für Mitglieder wird eine Lizenz benötigt!

Wichtig ist dabei, dass die Änderung des Benutzertyps auch lizenzrelevante Implikationen haben kann. Sobald etwa ein Benutzer vom Gast zum Mitglied gemacht wird, muss er auch lizensiert werden.

Zu beachten ist dabei auch, dass ein neu angelegter oder per Azure AD Connect synchronisierter Benutzer immer als Mitglied im Azure AD eingetragen wird. Falls dabei jedoch keine Lizensierung gewünscht ist, kann das Konto über den beschriebenen PowerShell-Befehl zum Gastkonto abgeändert werden.

Microsoft hat dazu folgende vertiefende Artikel veröffentlicht:

Beispiele für die Umwandlung der Konten im Azure AD:

Beispiels 1: Konto im Azure AD wird vom Mitglied zum Gastbenutzer umkonfiguriert.
Beispiels 2: Konto im Azure AD wird vom Gastbenutzer zum Member umkonfiguriert.
guest
0 Comments
Inline Feedbacks
View all comments