Azure AD B2B – so arbeitest du mit externen Entwicklern zusammen

Jede Firma muss gelegentlich oder häufig mit externen Benutzern zusammenarbeiten, z. B. wenn freie Entwickler Zugriff auf Ressourcen in deinem Unternehmen benötigen. Würdest du nun einfach Benutzerkonten im Azure AD für solche „befristeten Partnerschaftsbeziehungen“ erstellen, wäre das nicht nur ein enormer Aufwand, du müsstest auch peinlichst darauf achten, die Nutzung der Konten und der damit verbundenen Berechtigungen nachzuverfolgen, bzw. aktiv zu beenden, wenn die Partnerschaft beendet ist.

Du benötigst mehr Know-how rund um MS Azure? Dann empfehlen wir dir unsere Microsoft Azure Schulungen!

Das Azure AD stellt zu diesem Zweck mit „Azure AD Business to Business (B2B)“ eine Funktion zur Verfügung, mit der Unternehmen problemlos und sicher mit externen Partnern zusammenarbeiten können. Diese „Partnerbenutzer“ werden dazu einfach als Gast-Benutzer eingeladen. Trotzdem behältst du die Kontrolle darüber, worauf und wie lange die Gast-Konten Zugriff erhalten sollen.

Wie Azure AD B2B funktioniert

Der externe Partner kann dann seine eigene Identitätsverwaltungslösung weiterverwenden. Dazu ist nicht einmal zwingend ein Azure AD erforderlich. Du, also das einladende Unternehmen, musst die externen Konten und Kennwörter auch nicht verwalten, du musst die externen Konten nicht synchronisieren und dich auch nicht um deren Lebenszyklus kümmern. Die externen Benutzer behalten weiterhin ihre eigenen Identitäten, wenn sie mit dir, also dem einladenden Unternehmen zusammenzuarbeiten.

Diese Identitäten werden von den Partnern selbst in ihren jeweils eigenen Azure AD oder bei einem externen Identitätsanbieter verwaltet. Die Gast-Benutzer melden bei den Apps und Diensten deines Unternehmens an, aber mit jeweils ihrem eigenen Organisationskonto, MS-Account oder sozialer Identität. Im Verlauf des Vorgangs der Einladung erhält der externe Benutzer eine E-Mail, um auf das Azure-AD-Verzeichnis deines Unternehmens zuzugreifen. Diese Einladungsnachricht ist weitgehend frei konfigurierbar. Im Normalfall erhält der Gast Benutzer die Einladung per Mail, es ist aber auch möglich den Einladungslink direkt zu versenden. Die nebenstehende Abbildung verdeutlicht den Benutzer Flow:

Der Gast muss bei der ersten Verwendung des Einladungslinks für die angeforderten Berechtigungen seine Einwilligung zu erteilen, d. h. die von Azure AD B2B benötigten Berechtigungen akzeptieren bevor er Zugriff auf die Apps und Ressourcen deines, also des einladenden Unternehmens erhält. Wurde zuvor Multi Factor Authentifizierung aktiviert, muss der externe Benutzer zusätzliche Details zu seinem Konto angeben, indem er zum Beispiel einen Prüfcode auf seinem mobilen Gerät eingibt, bevor er Zugriff erhält. Dann wird der Gast-Benutzer im Normalfall auf den dafür vorgesehenen Zugriffsbereich deines Unternehmens wie zum Beispiel das Portal „myapplications.com“ bei Microsoft 365 weitergeleitet. Die Apps oder Dienste auf denen der Gast Zugriff erhalten kann müssen aber nicht zwingend cloudbasiert, sondern können auch lokal sein.

Daher ist es, bevor du die Zusammenarbeit mit externen Benutzern konfigurierst, empfehlenswert, im Azure AD die grundlegenden Einstellungen für die externe Zusammenarbeit vorzunehmen. Per Default haben Gast-Benutzer nämlich eingeschränkte Rechte auf Eigenschaften und Mitgliedschaften von Verzeichnisobjekten. Du findest die zugehörigen Settings im Bereich „Benutzereinstellungen“ des Azure AD.

Der eigentliche Vorgang zu einer Gast-Einladung ist einfach. Du musst lediglich beim Erstellen eines neuen Benutzers in deinem Azure-AD die Option „Benutzer einladen“ auswählen.

Achtung: Falls du den Vorgang im Rahmen einer Demo nachstellen möchtest, muss sichergestellt sein, dass der Gast die E-Mail auch erhalten kann. Wenn du also im Azure-AD des Gastes einen regulären Azure-AD-Account anlegst, muss der angegebene vollständige UPN entweder mit einer Exchange-Online-Lizenz versorgt sein, oder du musst für DIESEN Benutzer eine alternative E-Mail einrichten, die „außerhalb“ eines Azure-AD-Verzeichnisses gehostet ist, im Beispiel eine T-Online-Mailadresse mit Suffix „magenta.de“, welche dann auch beim Einladen des Gastes bei „E-Mail-Adress“ anzugeben ist:  Dort sollte dann auch die erwähnte Einladungs-Mail eingehen:

Solange der Gast die Einladung nicht angenommen hat, ist der „Erstellungstyp“ im Verzeichnis des Einladers: „Einladung“.

Durch Folgen der Einladung im Rahmen des oben beschriebenen Benutzer-Flows wird dann beim Anmeldevorgang die Aufforderung des einladenden Azure-AD-Verzeichnisses (hier „STANDARDVERZEICHNIS“) angezeigt, in den erforderlichen Berechtigungen zuzustimmen.

Dazu wird der erwähnte Prüfcode an die oben beschriebene E-Mail-Adresse zur Verifizierungdes Gastes verschickt.

Per Standard-Einstellung bekommt der Gast dann Zugang zum My-Apps-Portal (https://myapplications.microsoft.com/). In der Abbildung sind allerdings noch keine Apps für diesen Nutzer lizensiert, bzw. freigegeben. Du kannst Benutzer allerdings auch an Azure-Ressourcen berechtigen.

Selbstregistrierung

Das Anlegen von Gast-Konten in Form einer Einladung ist wesentlich einfacher verwaltbar als das Anlegen und Pflegen regulärer Konten im eigenen Azure AD, zieht aber trotzdem immer noch einen gewissen Aufwand nach sich. Deshalb unterstützt das Azure AD B2B auch Benutzer-Flows für die Selfservice-Registrierung: hiermit kannst du externen Benutzern eine Registrierungs-Oberfläche zur Verfügung stellen, wenn diese auf deine Apps zugreifen möchten. Dabei kannst du Optionen für verschiedene Identitätsanbieter und soziale Netzwerke bereitstellen, um Informationen über die sich registrierenden Benutzer einzusammeln. Du kannst sogar API-Konnektoren verwenden, um Benutzer-Flows für die Selfservice-Registrierungen bei externen Cloud Anbietern zu integrieren.