B2B Collaboration B2B Collaboration
Referenz für Gastbenutzer, Cross-Tenant Access, externe Provider und Governance externer Zusammenarbeit. Reference for guest users, cross-tenant access, external identity providers, and governance of external collaboration.
B2B Collaboration bringt externe Benutzer als Gast oder Member in den Tenant und ermöglicht gesteuerten Zugriff auf Ressourcen. B2B collaboration brings external users into the tenant as guests or members and enables controlled access to resources.
Cross-tenant access steuert eingehendes und ausgehendes Vertrauen für MFA, compliant devices und Hybrid Join. Cross-tenant access controls inbound and outbound trust for MFA, compliant devices, and hybrid join.
Die meisten Fachanwendungen arbeiten mit Gastkonten in Gruppen, Teams und Sites. Most business workloads operate with guest accounts in groups, Teams, and sites.
Lifecycle, Access Reviews und Domain Policies verhindern Wildwuchs bei externem Zugriff. Lifecycle, access reviews, and domain policies prevent sprawl in external access.
B2B Collaboration Überblick B2B collaboration overview
Mit B2B Collaboration können Partner, Lieferanten oder Kunden mit ihrer eigenen Identität auf Ressourcen deines Tenants zugreifen. Entra verwaltet dabei Einladung, Redemption, Objektanlage und Richtlinien. B2B collaboration allows partners, vendors, or customers to access resources in your tenant with their own identity. Entra manages invitation, redemption, object creation, and policy enforcement.
Der häufigste Pfad ist Gastkonto plus Gruppen- oder Team-Zuweisung. Für enge Partnerorganisationen kommen Cross-Tenant Access Policies und B2B Direct Connect hinzu. The most common path is a guest account plus group or team assignment. For close partner organizations, cross-tenant access policies and B2B direct connect add more control.
Gäste einladen: Portal, PowerShell, Graph Invite guests: portal, PowerShell, Graph
Bestimme, ob der externe Benutzer mit Entra ID, MSA, Google oder E-Mail-OTP arbeitet. Determine whether the external user uses Entra ID, MSA, Google, or email OTP.
Lege E-Mail-Adresse, Anzeige-Name und optional eine Ziel-URL nach der Einlösung fest. Set the email address, display name, and optionally a post-redemption redirect URL.
Weise den Gast Gruppen, Teams, Apps oder SharePoint-Sites zu. Assign the guest to groups, teams, apps, or SharePoint sites.
Nutze Reviews, Ablaufregeln und Domain Policies für nachhaltigen Betrieb. Use reviews, expiration policies, and domain policies for sustainable operations.
Connect-MgGraph -Scopes User.Invite.All, User.ReadWrite.All
New-MgInvitation `
-InvitedUserDisplayName "Alex Partner" `
-InvitedUserEmailAddress "alex.partner@fabrikam.com" `
-InviteRedirectUrl "https://myapplications.microsoft.com" `
-SendInvitationMessage
$body = @{
invitedUserEmailAddress = "alex.partner@fabrikam.com"
invitedUserDisplayName = "Alex Partner"
inviteRedirectUrl = "https://myapplications.microsoft.com"
sendInvitationMessage = $true
} | ConvertTo-Json
Invoke-MgGraphRequest -Method POST `
-Uri "https://graph.microsoft.com/v1.0/invitations" `
-Body $body `
-ContentType "application/json"
Redemption Flow Redemption flow
Nach der Einladung erhält der Benutzer einen Link, authentifiziert sich mit seiner externen Identität und akzeptiert gegebenenfalls Datenschutz- oder Nutzungsbedingungen. Erst danach wird das Gastobjekt vollständig nutzbar. After invitation, the user receives a link, authenticates with the external identity, and may need to accept privacy or terms-of-use statements. Only then does the guest object become fully usable.
- Bei identitätsfremden Domänen kann E-Mail-OTP als Fallback aktiv sein. Email one-time passcode can be used as a fallback for domains without compatible identity providers.
- Fehlende Redemption erkennt man oft daran, dass keine Gruppenberechtigungen wirksam werden. Missing redemption is often visible when group-based access does not become effective.
- Die Eigenschaft externalUserState zeigt PendingAcceptance oder Accepted. The externalUserState property indicates PendingAcceptance or Accepted.
Cross-Tenant Access Cross-tenant access
Cross-tenant access policies regeln eingehenden und ausgehenden B2B-Zugriff zwischen Organisationen. Neben Basiszulassung können Vertrauensbeziehungen für MFA, compliant device und hybrid join konfiguriert werden. Cross-tenant access policies govern inbound and outbound B2B access between organizations. In addition to basic allow/deny behavior, trust can be configured for MFA, compliant devices, and hybrid join.
| Bereich Area | Inbound Inbound | Outbound Outbound | Trust Optionen Trust options | Beispiel Example |
|---|---|---|---|---|
| Default settings Default settings | Gelten für alle externen Tenants Applies to all external tenants | Gilt für ausgehende Freigabe Applies to outgoing sharing | MFA/compliant/hybrid MFA/compliant/hybrid | Basislinie für Partner Baseline for partners |
| Organization settings Organization settings | Spezifisch pro Partner-Tenant Specific per partner tenant | Spezifisch pro Partner-Tenant Specific per partner tenant | Granular je Richtung Granular per direction | Fabrikam bekommt höhere Vertrauensstufe Fabrikam gets a higher trust level |
| B2B collaboration B2B collaboration | Gastzugriff in Apps und Ressourcen Guest access to apps and resources | Eigene Benutzer gehen in fremde Tenants Own users go to other tenants | MFA-Trust spart doppelte MFA MFA trust reduces duplicate MFA | Partner arbeitet in Teams Partner works in Teams |
| B2B direct connect B2B direct connect | Teams Shared Channels Teams shared channels | Teams Shared Channels Teams shared channels | Enges Vertrauensmodell Tighter trust model | Gemeinsame Kanäle ohne Gastobjekt Shared channels without guest object |
B2B Direct Connect B2B direct connect
B2B Direct Connect wurde für Teams Shared Channels entworfen. Im Gegensatz zum klassischen Gastmodell bleibt der Benutzer im Heimtenant verankert und erhält Zugriff über Vertrauensregeln zwischen den Organisationen. B2B Direct Connect was designed for Teams shared channels. Unlike the classic guest model, the user stays anchored in the home tenant and receives access through trust rules between the organizations.
| Merkmal Feature | B2B Collaboration B2B collaboration | B2B Direct Connect B2B direct connect |
|---|---|---|
| Objekt im Zieltenant Object in target tenant | Gast- oder Member-Objekt Guest or member object | Kein klassisches Gastobjekt pro Zugriff No classic guest object per access |
| Hauptszenario Primary scenario | Apps, Gruppen, SharePoint, Teams Apps, groups, SharePoint, Teams | Teams Shared Channels Teams shared channels |
| Governance Governance | Per Gastobjekt und Gruppen Per guest object and groups | Per Vertrauensbeziehung Per trust relationship |
External Collaboration Settings External collaboration settings
| Einstellung Setting | Wirkung Effect | Hinweis Note |
|---|---|---|
| Who can invite Who can invite | Steuert, ob Admins, Members oder Guests einladen dürfen Controls whether admins, members, or guests may invite | Für sichere Mandanten meist Admins + definierte Rollen For secure tenants, usually admins plus defined roles |
| Guest invite restrictions Guest invite restrictions | Begrenzt Rollen für Einladungen Limits who can invite | Mit Access Packages kombinierbar Can be combined with access packages |
| Collaboration restrictions Collaboration restrictions | Allow- oder Block-Liste pro Domain Allow or block list per domain | Nützlich für Schatten-IT-Kontrolle Useful for shadow IT control |
| Email OTP Email OTP | Gastzugriff ohne externen Tenant Guest access without external tenant | Hilfreich für kleine Partner Useful for small partners |
Guest Properties und Einschränkungen Guest properties and limitations
| Thema Topic | Verhalten Behavior | Praxis Operational impact |
|---|---|---|
| userType userType | Guest oder Member Guest or Member | Steuert Defaults und Richtlinien Controls defaults and policies |
| UPN UPN | Alias mit #EXT# bei klassischen Gästen Alias with #EXT# for classic guests | In Skripten berücksichtigen Handle in scripts |
| External User State External user state | PendingAcceptance oder Accepted PendingAcceptance or Accepted | Nützlich für Onboarding-Tracking Useful for onboarding tracking |
| Lizenzierung Licensing | Viele Szenarien über MAU oder Host-Lizenz Many scenarios use MAU or host licensing | Produktabhängige Prüfung nötig Requires product-specific review |
| Berechtigungen Permissions | Standardmäßig eingeschränkter Directory Read Restricted directory read by default | Geringeres Datenleck-Risiko Lower data leakage risk |
| Teams Teams | Gastzugriff muss tenantweit aktiviert sein Guest access must be enabled tenant-wide | Chat/Meeting-Funktionen abhängig von Teams Policies Chat/meeting features depend on Teams policies |
| SharePoint SharePoint | Externe Freigabe und Site-Level Policies relevant External sharing and site-level policies matter | Site Owner Governance nötig Site owner governance required |
| Conditional Access Conditional Access | Richtlinien können Gäste einschließen oder ausschließen Policies can include or exclude guests | Partnerfreundliche MFA-Trust-Modelle prüfen Review partner-friendly MFA trust models |
Guest ↔ Member konvertieren Convert guest ↔ member
In bestimmten Projekten werden externe Benutzer als Member geführt, etwa in Joint Ventures. Die Umstellung sollte nur mit sauberer Governance erfolgen, weil Members oft breitere Standardrechte besitzen. In certain projects, external users are treated as members, for example in joint ventures. This conversion should only be done with strong governance because members often have broader default rights.
$user = Get-MgUser -UserId "alex.partner_fabrikam.com#EXT#@contoso.onmicrosoft.com"
Update-MgUser -UserId $user.Id -UserType "Member"
# Rückweg
Update-MgUser -UserId $user.Id -UserType "Guest"
Gastzugriff in Teams und SharePoint Guest access in Teams and SharePoint
Für Teams muss Gastzugriff sowohl in Entra als auch im Teams Admin Center erlaubt sein. Für SharePoint bestimmen tenantweite Sharing Settings, Site Settings und Link-Typen, ob externe Zusammenarbeit reibungslos funktioniert. For Teams, guest access must be enabled in both Entra and the Teams Admin Center. For SharePoint, tenant-wide sharing settings, site settings, and link types determine whether external collaboration works smoothly.
- Nutze dedizierte Gruppen oder Teams für Partnerzugriff. Use dedicated groups or teams for partner access.
- Vermeide Owner-Rollen für Gäste, außer mit klarer Ausnahmegenehmigung. Avoid owner roles for guests unless there is an explicit exception approval.
- Setze Sensitivity Labels oder Site Policies für vertrauliche Inhalte ein. Use sensitivity labels or site policies for confidential content.
Externe Identity Provider External identity providers
| Provider Provider | Szenario Scenario | Hinweis Note |
|---|---|---|
| Entra ID Entra ID | Standard für Partnerunternehmen Default for partner organizations | Beste Governance und Trust-Funktionen Best governance and trust features |
| Microsoft Account Microsoft Account | Kleine Partner oder Konsumenten Small partners or consumers | Für Business-Szenarien begrenzt Limited for business scenarios |
| Google Google | Partner mit Google-Identität Partners using Google identity | Externer Provider im Tenant aktivieren Enable external provider in the tenant |
| SAML / WS-Fed SAML / WS-Fed | Spezifische Partner-IdP Specific partner IdPs | Je nach Architektur komplexer Can be more complex depending on architecture |
| Email OTP Email OTP | Partner ohne föderierbare Identität Partners without a federatable identity | Niedrigschwelliger Einstieg Low-friction onboarding |
Lifecycle Management Lifecycle management
| Phase Phase | Maßnahme Action | Ziel Goal |
|---|---|---|
| Request Request | Einladung oder Access Package Invitation or access package | Kontrollierter Eintritt Controlled onboarding |
| Redeem Redeem | Einladung annehmen Accept invitation | Aktivierung Activation |
| Assign Assign | Gruppen, Teams, Apps zuweisen Assign groups, teams, apps | Arbeitsfähigkeit herstellen Enable productivity |
| Review Review | Access Reviews oder Owner-Bestätigung Access reviews or owner confirmation | Zugriffsbereinigung Access recertification |
| Expire Expire | Ablaufdatum oder Entitlement Policies Expiration date or entitlement policies | Automatische Bereinigung Automatic cleanup |
| Offboard Offboard | Deaktivieren, Gruppen entfernen, löschen Disable, remove groups, delete | Daten- und Risikominimierung Reduce data and risk |
PowerShell + Graph PowerShell + Graph
# Gäste inventarisieren
Get-MgUser -Filter "userType eq 'Guest'" -All |
Select-Object DisplayName, Mail, UserPrincipalName, ExternalUserState
# Einladung erneut senden
$inv = New-MgInvitation `
-InvitedUserEmailAddress "alex.partner@fabrikam.com" `
-InviteRedirectUrl "https://myapplications.microsoft.com" `
-SendInvitationMessage
# Cross-tenant Policies lesen
Invoke-MgGraphRequest -Method GET `
-Uri "https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy"
Cross-Tenant Access Deep DiveCross-tenant access deep dive
Cross-Tenant Access Policies steuern, wie Benutzer, Gruppen, Apps und Vertrauenssignale zwischen zwei Entra-Tenants wirken. Relevant sind Default-Einstellungen, partnerspezifische Overrides, Inbound/Outbound-Richtung und die Art der Zusammenarbeit.Cross-tenant access policies control how users, groups, apps, and trust signals behave between two Entra tenants. Important dimensions are default settings, partner-specific overrides, inbound/outbound direction, and the collaboration model.
| BereichArea | KernaussageKey point | PraxisPractice |
|---|---|---|
| Defaults vs. Partner-OverrideDefaults vs partner override | Defaults gelten tenantweit, partnerspezifische Regeln überschreiben nur für definierte Organisationen.Defaults apply tenant-wide; partner-specific rules override them only for defined organizations. | Erst Default restriktiv halten, dann gezielt öffnen.Keep the default restrictive first, then open specific partners. |
| Inbound B2B CollaborationInbound B2B collaboration | Fremde Benutzer greifen auf Ihre Ressourcen zu.External users access your resources. | User-, Group- und App-Filter sauber definieren.Define user, group, and app filters carefully. |
| Outbound B2B CollaborationOutbound B2B collaboration | Eigene Benutzer greifen auf fremde Ressourcen zu.Your users access partner resources. | Nur genehmigte Apps und Benutzergruppen zulassen.Allow only approved apps and user groups. |
| Direct ConnectDirect connect | Teams Shared Channels und ähnliche nahtlose Direktverbindungen.Teams shared channels and similar seamless direct connections. | Trennen Sie Richtlinien klar von klassischer Gastkollaboration.Separate direct connect policies clearly from classic guest collaboration. |
| Trust SettingsTrust settings | MFA, compliant device und hybrid joined claims des Partners können vertraut werden.MFA, compliant device, and hybrid joined claims from the partner can be trusted. | Nur mit bekanntem Security-Niveau aktivieren.Enable only when the partner's security level is known. |
| Tenant Restrictions v2Tenant restrictions v2 | Browser- und Netzwerksteuerung für erlaubte Tenants.Browser and network enforcement for allowed tenants. | Hilft gegen unkontrollierte Fremdtenant-Nutzung.Helps prevent uncontrolled external tenant usage. |
| Cross-Tenant SyncCross-tenant sync | Automatisiertes B2B-Benutzer-Lifecycle zwischen Tenants.Automated B2B user lifecycle between tenants. | Mit CTA und Lifecycle Reviews kombinieren.Combine with CTA and lifecycle reviews. |
Trust Settings und SteuerungTrust settings and control
| SignalSignal | NutzenBenefit | VorsichtCaution |
|---|---|---|
| MFA TrustMFA trust | Partner-MFA kann eigene MFA-Anforderung erfüllen.Partner MFA can satisfy your MFA requirement. | Nur bei starkem Vertrauen aktivieren.Enable only for trusted partners. |
| Compliant Device TrustCompliant device trust | Gerätestatus des Partners kann übernommen werden.The partner's device state can be trusted. | Erfordert gleiche Gerätehygiene-Standards.Requires similar device hygiene standards. |
| Hybrid Joined TrustHybrid joined trust | Partner-Geräteidentität wird anerkannt.Partner device identity is recognized. | Nur sinnvoll bei kontrollierten Partnernetzwerken.Useful only for controlled partner environments. |
Connect-MgGraph -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess"
Invoke-MgGraphRequest -Method GET `
-Uri "https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy"
Invoke-MgGraphRequest -Method GET `
-Uri "https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners" $body = @{
tenantId = "bbbbbbbb-2222-3333-4444-555555555555"
inboundTrust = @{
isMfaAccepted = $true
isCompliantDeviceAccepted = $false
isHybridAzureADJoinedDeviceAccepted = $false
}
} | ConvertTo-Json -Depth 8
Invoke-MgGraphRequest -Method POST `
-Uri "https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners" `
-Body $body `
-ContentType "application/json" Externe AuthentifizierungsmethodenExternal authentication methods
Externe Identitäten lassen sich über verschiedene Identitätsquellen und Fallback-Mechanismen anbinden. Welche Methode passt, hängt von Governance, Zielgruppe und Produktlinie ab.External identities can be connected through multiple identity sources and fallback mechanisms. The right method depends on governance, target audience, and product line.
| MethodeMethod | Setup-SchritteSetup steps | Graph/API HinweiseGraph/API notes |
|---|---|---|
| Microsoft AccountMicrosoft account | Im Cross-Tenant-/External-Identities-Kontext zulassen; Einladung oder Self-Service-Flows testen.Allow in the cross-tenant/external identities context; test invitation or self-service flows. | Meist tenantweite Einstellung; per Graph vor allem über Policy- und Invitation-Objekte sichtbar.Mostly tenant-wide configuration; Graph visibility is mainly through policy and invitation objects. |
| Google FederationGoogle federation | Domain, Client-ID/Secret oder Providerdaten erfassen und User Journey testen.Capture domain, client ID/secret or provider details and test the user journey. | In External ID/B2C-artigen Szenarien als Identity Provider konfiguriert.Configured as an identity provider in External ID/B2C-like scenarios. |
| FacebookFacebook | Für Consumer-nahe Szenarien App registrieren, Secret verwalten und Brand-Review einplanen.For consumer-oriented scenarios, register the app, manage the secret, and plan for brand review. | Praktisch nur in B2C-/External-ID-orientierten Consumer-Flows relevant.Practically relevant only for B2C/external-ID consumer flows. |
| SAML / WS-Fed Direct FederationSAML / WS-Fed direct federation | Partnerdomäne, Signaturzertifikate, Issuer und Reply-URLs abstimmen.Align partner domain, signing certificates, issuer, and reply URLs. | Graph-gestützte Pflege ist begrenzt; oft primär Portal- oder Policy-gesteuert.Graph-based maintenance is limited; often primarily portal- or policy-driven. |
| Email One-Time PasscodeEmail one-time passcode | OTP für Gast-Einlösung aktivieren, Mailzustellung und Ablauf testen.Enable OTP for guest redemption and test mail delivery and expiry. | Einladungs- und Redemption-Objekte sind per Graph sichtbar, OTP selbst ist eher Policy-getrieben.Invitation and redemption objects are visible in Graph, OTP itself is more policy-driven. |
| SMS Sign-inSMS sign-in | Nur für unterstützte Benutzersegmente und Länder aktivieren; Telefonnummernqualität sicherstellen.Enable only for supported user segments and countries; ensure phone number quality. | Vor allem im Consumer-/Frontline-Kontext relevant; Rollout mit Authentifizierungsmethoden-Richtlinien abstimmen.Mostly relevant for consumer/frontline scenarios; align rollout with authentication methods policies. |