Bei der Nutzung von Microsoft Online Services wie SharePoint kommt es schnell zu der Anforderung innerhalb dieser Dienste mit Personen zusammenzuarbeiten, die nicht Teil des Unternehmens sind. Generell ist hier zwischen den Verhältnissen B2C (Business-to-Consumer) und B2B (Business-to-Business) zu unterscheiden.
Als einfachste Möglichkeit für den Zugriff auf Microsoft Online Services besteht immer die Möglichkeit einen eigenen, für die genutzten Tools, voll lizenzierten Account bereitzustellen. Durch die Benutzerverwaltung im Azure Active Directory und Office 365 lassen sich jedoch auch Gast-Nutzer einrichten, die keine (oder nur geringe) zusätzliche Lizenzen benötigen.
Für die Freigabe von SharePoint Online-Seiten, wie es bspw. häufig für virtuelle Projekträume gewünscht wird, gibt es drei Vorgehensweisen. Die externe Freigabemöglichkeit kann im Office 365 Admin Center, SharePoint Admin Center sowie im Azure AD konfiguriert werden.
Externe Freigaben an Office 365 Nutzer aus anderen Unternehmen
Die Freigabe an andere Office 365 Nutzer ist die einfachste Möglichkeit einen externen Mitarbeiter in einen bestehenden Arbeitsbereich einzubinden. Ebenso wie interne Mitarbeiter können Externe zu bestehenden Berechtigungsgruppen hinzugefügt werden.
Hinweis: Der externe Nutzer wird Ihre internen Seiten nicht in der Übersicht seiner eigenen Office 365-Umgebung finden! Der Link, der zur freigegebenen Ressource führt, sollte also abgespeichert werden.
Empfehlung: Einsetzbar, Sicherheitsstand des Partners sollte bekannt sein (ggf. prüfen).
Externe Freigaben an private Microsoft Online Konten
Die Freigabe an private Microsoft Konten (Live-ID, Outlook-Mail), wie sie z.B. beim Einrichten eines privaten Windows PCs oder einer Xbox genutzt werden, können technisch ebenfalls für externe Freigaben genutzt werden. Es ergibt sich jedoch ein Compliance-Problem, das ggf. juristisch betrachtet werden sollte.
Die privaten Microsoft Accounts (auch Microsoft Office 365 Personal oder Home) und die damit einhergehenden Clouddienste (beginnend beim Account selbst) unterliegen anderen Vertragsbestimmungen als die Business bzw. Enterprise Accounts. Auch wird ein anderer (bzw. kein Unternehmens-) Vertrag bzgl. der Datenverarbeitung geschlossen. Es empfiehlt sich daher zu prüfen, ob die Freigabe durch Nutzung dieser privaten Accounts den firmeneigenen Anforderungen bzgl. Datenschutz und Datensicherheit des Vertrags zur Auftragsdatenverarbeitung und weiterer Regularien entspricht.
Empfehlung: Vermeiden
Azure AD B2B Freigaben
Azure AD ermöglicht die B2B-Zusammenarbeit, indem Gastbenutzer eine Reihe von ausgewählten Azure AD-Features verwenden können. Ein Gastbenutzer ist eine Person außerhalb Ihrer Organisation, die in Ihren Azure AD-Mandanten eingeladen wurde. Gastbenutzer sind keine Mitarbeiter, Auftragnehmer oder Beauftragte Ihres Unternehmens oder Ihrer Schwester- oder Tochterunternehmen.
Weitere Details zur Funktion und Lizenzierung können den Dienstinformationen des Azure Active Directory entnommen werden. Die Einladung von Gastnutzern ist bereits in der kostenfreien Azure AD-Variante möglich.
Die volle Administrationsumgebung lässt sich unter https://portal.azure.com aufrufen. Auch wenn weitere Azure-Services nicht genutzt werden, sind die verschiedenen Menüpunkte in der linken Navigation vorhanden.
Um einen Gastnutzer hinzuzufügen, wechseln Sie in die Benutzerverwaltung des Azure Active Directory und wählen Neuer Gastbenutzer.
Im nächsten Schritt können Sie die E-Mail-Adresse des externen Benutzers anlegen.
Die Adresse des Gastnutzers sollte keine private Adresse (outlook.de/gmail.com/gmx.de…etc.) sein, also z.B. Name@partnerfirma.de. Wenn Sie den Benutzer hinzufügen, wird ein eigener Azure AD-Account angelegt – technisch berechtigt man also nicht direkt den Account der Partnerfirma, sondern erstellt ein eigenes Nutzerobjekt im eigenen Verzeichnis.
Nachdem Sie auf “Einladen” geklickt haben erhält der Nutzer eine E-Mail, die ihn durch Klick auf Get Started durch die Einrichtung seines Azure AD-Benutzers führt. Hier mit einem komplett Microsoft-fremdem Account.
Wenn eine Azure AD-Anwendung für den Nutzer freigegeben wurde, wird diese im MyApps-Bereich aufgeführt. Die SharePoint-Freigabe läuft jedoch über den eigenen Einstiegsbereich.
Freigabe von SharePoint Online-Seiten
Das Benutzerobjekt ist folgend in der Admin-Console des AzureAD aufgeführt und kann nun für Applikationen berechtigt, lizenziert oder in Gruppen einsortiert werden.
Getreu dem AGDLP-Prinzip, kann der Nutzer nun einer Sicherheitsgruppe zugeordnet werden, die z.B. mitwirkende Berechtigungen für eine SharePoint Gruppe erteilt.
Im Office 365 Admin Center kann die Gruppenzugehörigkeit ebenfalls nachvollzogen werden.
Nachfolgend sehen Sie die Zuordnung der Sicherheitsgruppe zur Berechtigungsgruppe der SharePoint Seite.
Wenn der Nutzer nun die URL der SharePoint-Seite aufruft, erhält er nach erfolgreicher Anmeldung Zugriff auf die SharePoint-Seite.
Hinweis: Gastnutzer profitieren nicht von der Office 365 Navigationsstruktur, wie man es im eigenen Tenant gewöhnt ist.
![clip_image002[6]](https://www.acontech.de/wp-content/uploads/2017/05/clip_image0026.jpg "clip_image002[6]"){kind=small}
Der App-Starter (blaue Kacheln, links) ist nicht vorhanden. Soll ein externer Benutzer Zugriff auf mehrere Seiten erhalten, empfiehlt es sich also eine primäre Einstiegsseite (ggf. Dashboard) zu erstellen, die auf die verschiedenen Freigaben weiterleitet.
Fazit
Das AzureAD B2B Szenario ermöglicht die Zusammenarbeit mit externen Partnern, ohne volle (lizenzierte) Accounts im eigenen AD pflegen zu müssen und bei voller Beibehaltung der Personen und Unternehmensidentifikation. Je nachdem wie hoch die eigenen Anforderungen hinsichtlich Informationssicherheit und Compliance sind, können diese Accounts sogar um Premium-Funktionen für eine Multi-Faktor-Authentifizierung erweitert werden. SharePoint Online ist hier nur ein populäres Beispiel – auch andere (Drittanbieter) Dienste und selbst eigens installierte Anwendungen lassen sich z.B. in Kombination mit dem Azure AD-Anwendungsproxy bereitstellen. Ich freue mich stets über Fragen und Anregungen hierzu.