Voraussetzungen für die externe Zusammenarbeit

Damit Gastnutzende effektiv und sicher mit Microsoft 365 arbeiten können, müssen drei zentrale Voraussetzungen erfüllt sein: Zugriff, Identität und Berechtigungen.

Zugriff: Technische Erreichbarkeit sicherstellen

Gäste müssen die Anwendungen wie Microsoft Teams oder SharePoint problemlos aufrufen können, auch über eigene Geräte oder aus öffentlichen Netzwerken. Mögliche Sicherheitsmaßnahmen:

• Zugriffsregeln über Conditional Access
• Einschränkungen nach IP-Adressen, Gerätestatus oder Standorten
• Blockieren nicht verwalteter Geräte

Da Microsoft 365 cloudbasiert ist, ist der Zugriff prinzipiell weltweit möglich, das erhöht die Flexibilität, erfordert aber auch klare Regeln.

Identität: Wer ist der Nutzer?

Eine eindeutige digitale Identität ist Pflicht. Microsoft Entra ID unterstützt die Anmeldung über:

• Unternehmenskonten aus fremden Entra Mandanten
• Microsoft Konten
• Drittanbieter wie Google oder LinkedIn

Der Gast nutzt seine vorhandene Identität (Bring Your Own Identity), was den Verwaltungsaufwand reduziert, aber auch die Transparenz erschweren kann.

Berechtigungen: Wer darf was?

Erst durch ein sauberes Berechtigungsmanagement wird die Zusammenarbeit sicher. Dazu gehören:

• Klar definierte Rollen und Rechte
• Ablaufdaten für Berechtigungen
• Regelmäßige Zugriffsüberprüfungen (Reviews)
• Protokollierung von Änderungen

Microsoft Entra ID stellt dafür zahlreiche Funktionen bereit, sie müssen jedoch bewusst konfiguriert werden.

Managed Identity vs. Bring-your-own-identity (BYOI)

Die Verwaltung von Identitäten unterscheidet sich je nach Szenario deutlich. Microsoft unterstützt beide Ansätze mit jeweils eigenen Vorteilen und Herausforderungen.

Was ist eine “Managed Identity”?

In klassischen On-Premises-Umgebungen wird jede Identität zentral über das lokale Active Directory gepflegt. Die Organisation übernimmt:

• Erstellung und Pflege von Benutzerkonten
• Passwortverwaltung
• Attributpflege und Rollenzuweisung
• Löschung oder Sperrung bei Austritt

Diese Form nennt man Managed Identity. Sie bietet maximale Kontrolle, verursacht aber hohen administrativen Aufwand.

Was bedeutet BYOI?

Im Cloud Kontext bringt der eingeladene Gast seine bestehende Identität mit (Bring Your Own Identity). Die Anmeldung erfolgt z. B. über:

• Microsoft Konto
• Google Login
• Unternehmens Login über Microsoft Entra ID

Die Organisation muss keinen Account bereitstellen, sie definiert nur die Zugriffsrechte und verwaltet den Gasteintrag über Microsoft Entra B2B.

Vorteile

• Kein Aufwand für Kontoerstellung oder Passwortversand
• Gäste nutzen gewohnte Zugangsdaten
• Schnellere Onboarding-Prozesse
• Geringere IT-Belastung

Herausforderungen

• Eingeschränkte Kontrolle über Authentifizierungsmethoden
• Abhängigkeit von der Identitätsquelle des Gastes
• Risiken bei fehlender Übersicht oder unklaren Prozessen

Fazit: BYOI ist modern und effizient, aber nur sicher mit klaren Richtlinien und Tools wie Conditional Access und MFA.

Rechtliche Grundlagen für die Zusammenarbeit

Neben technischen Maßnahmen ist eine rechtliche Absicherung bei der Zusammenarbeit mit Gästen in Microsoft 365 unverzichtbar. Besonders bei organisationsübergreifenden Projekten gilt: Zugriffsrechte, Datennutzung und Verantwortlichkeiten müssen klar geregelt sein.

Vertragsbasierte Grundlage

Die Zusammenarbeit mit externen Personen oder Organisationen sollte stets durch geeignete vertragliche Regelungen abgesichert werden. Dazu gehören unter anderem:

• Zweck der Zusammenarbeit
• Beginn und Ende der Kooperation
• Verantwortlichkeiten & Rollen
• Haftung und Datenschutz
• Informationssicherheit und Vertraulichkeit (z. B. über NDAs)

Diese Aspekte sollten bereits vor der technischen Einladung von Gästen geklärt sein. In vielen Fällen ist es sinnvoll die IT, Datenschutzbeauftragte und Fachabteilungen frühzeitig einzubinden.

DSGVO & externe Identitäten

Gerade bei personenbezogenen Daten (z. B. in Planner oder SharePoint) greifen die Regelungen der Datenschutz Grundverordnung (DSGVO). Es ist wichtig zu klären:

• In welchem Umfang werden Daten verarbeitet?
• Wer ist Verantwortlicher im Sinne der DSGVO?
• Welche technischen und organisatorischen Maßnahmen (TOMs) gelten?

Microsoft Entra ID bietet Funktionen wie Terms of Use, über die Gäste bei der Anmeldung einer individuellen Nutzungsvereinbarung zustimmen müssen. Diese bietet sich ideal zur Absicherung rechtlicher Anforderungen an.

Whitelists und Verzeichnisfreigaben

Ein bewährter Ansatz in der Praxis ist die Pflege eines Verzeichnisses zulässiger Partnerunternehmen, mit denen Zusammenarbeit grundsätzlich erlaubt ist. Dieses kann z. B. als Whitelist genutzt werden:

• Für automatisierte Prüfungen im Onboarding Prozess
• Zur Einschränkung von Self-Service-Anmeldungen
• Als Teil der Conditional Access Konfiguration

So lässt sich der Kreis externer Gäste bewusst steuern, ohne den Arbeitsfluss unnötig zu bremsen.

So funktioniert das Gast Onboarding in Microsoft 365

Bevor externe Personen auf Inhalte und Anwendungen innerhalb Ihrer Microsoft 365 Umgebung zugreifen können, müssen sie als Gäste eingeladen und korrekt eingebunden werden. Dieses sogenannte Gast Onboarding ist ein zentraler Schritt für eine sichere und effiziente Zusammenarbeit und kann in Microsoft Entra ID flexibel gestaltet werden.

Zwei gängige Onboarding Modelle

Je nach Anwendungsfall stehen zwei Hauptvarianten zur Verfügung:

1. Direkte Einladung durch einen Mitarbeitenden

Ein autorisierter Benutzer (z. B. Team Owner oder Admin) lädt gezielt eine externe Person per E-Mail ein. Dieser erhält eine Einladung und authentifiziert sich mit seiner bestehenden digitalen Identität (z. B. Microsoft, Google oder Entra ID Konto).

Vorteile:

• Schnell und unkompliziert
• Ideal für Einzelfälle oder kleinere Projekte

Risiken:

• Mangelnde Kontrolle über Einladungsprozesse
• Keine zentrale Prüfung oder Genehmigungsschritte
• Potenzielle Umgehung interner Richtlinien

2. Self Service Onboarding mit Genehmigung

Über sogenannte Access Packages in Microsoft Entra ID (ehemals Azure AD Entitlement Management) können Organisationen Self Service Mechanismen bereitstellen:

• Externe Personen fordern selbst Zugriff an
• Die Anfrage durchläuft definierte Genehmigungsprozesse
• Nach Freigabe erfolgt automatische Zuweisung von Rollen und Berechtigungen

Vorteile:

• Skalierbar und regelbasiert
• Ideal für große Organisationen oder standardisierte Partnerschaften
• Kombinierbar mit Ablaufdaten, Nutzungsbedingungen und Reviews

Best Practice:
Die Kombination aus Self Service Zugang und interner Genehmigung bietet hohe Sicherheit bei gleichzeitig geringer IT-Belastung.

Zugriffssteuerung und Transparenz

Microsoft 365 stellt zusätzlich Tools zur Verfügung, mit denen sich Gastzugriffe effektiv steuern und nachvollziehen lassen:

• Nutzungsbedingungen (Terms of Use) mit Pflichtbestätigung
• Dynamische Gruppen für automatische Rollenzuweisung
• Audit-Logs und Protokolle zur Nachverfolgbarkeit

So behalten Sie jederzeit den Überblick und können gegenüber IT-Security, Datenschutz oder Compliance belastbar Auskunft geben.

Sicherheit durch Ablaufdatum und Zugriffsüberprüfung

In vielen Unternehmen genießen Gäste nach der Einladung langfristig Zugriff auf Teams, Dateien oder SharePoint Websites, oft auch länger als ursprünglich vorgesehen. Genau hier liegt ein nicht zu unterschätzendes Sicherheitsrisiko. Denn: Wenn sich der Projektkontext oder die Teamstruktur ändert, können veraltete Berechtigungen ungewollt zum Datenleck werden.

Zugriff ohne Ablaufdatum? Ein Risiko.

Standardmäßig behalten eingeladene Gäste ihren Zugriff, bis dieser manuell entzogen wird. Das führt in der Praxis oft dazu, dass:

• ehemalige Projektpartner noch Monate später Zugang haben
• sensible Inhalte versehentlich weiterhin einsehbar bleiben
• niemand genau weiß, wer aktuell worauf Zugriff hat

Gerade in regulierten Branchen oder bei vertraulichen Daten kann das rechtliche und sicherheitsrelevante Folgen haben.

Microsoft Entra ID: Automatisierte Prozesse für mehr Sicherheit

Mit den Funktionen aus Microsoft Entra Entitlement Management lassen sich Zugriffsrechte von Gästen automatisiert verwalten. Besonders hilfreich sind:

• Ablaufdaten (Expiration Dates)
  Zugriff endet automatisch nach einem definierten Zeitraum.
• Zugriffsreviews
  In regelmäßigen Abständen prüfen Verantwortliche, ob ein Gast den Zugriff noch benötigt und bestätigen, verlängern oder entziehen die Rechte.
• Self Service Prozesse für Verlängerungen
  Gäste können aktiv eine Verlängerung beantragen, die dann geprüft wird.

Praxisbeispiel: Zugriff nach Projektende beenden

Ein externer Entwickler wird für ein 3-Monats-Projekt eingeladen. Über ein Access Package mit definiertem Ablaufdatum endet sein Zugriff automatisch nach 90 Tagen. Sollte das Projekt verlängert werden, erhält er eine E-Mail mit der Möglichkeit, den Zugriff zu beantragen. Der Projektleiter wird darüber informiert und muss dies bestätigen.
Ergebnis: Kein unkontrollierter Daueraustausch, aber volle Flexibilität.

Zwei-Faktor-Authentifizierung: Schutz für Ihre Daten

Wenn externe Gäste auf Ihre Microsoft 365 Umgebung zugreifen, bringen sie oft über ein bestehendes Microsoft Konto, Google-Login oder ihre Unternehmensidentität ihre eigene digitale Identität mit. Das macht den Zugang komfortabel, aber auch schwerer kontrollierbar.

Die Herausforderung: Fremde Identitäten, unbekannte Sicherheitsniveaus

Da die Gäste ihre eigenen Identitätsanbieter nutzen (Bring Your Own Identity), hat die einladende Organisation keinen Einfluss darauf, wie sicher sich diese Personen authentifizieren.
Beispielhafte Risiken:

• Kein sicheres Passwort (z. B. einfache Logins)
• Kein aktiver Virenschutz auf dem genutzten Gerät
• Kein Unternehmensgerät, sondern privates Endgerät

Gerade in Teams mit sensiblen Informationen ist das eine potenzielle Schwachstelle.

Lösung: Zwei-Faktor-Authentifizierung (MFA) erzwingen

Microsoft Entra ID ermöglicht es, für externe Nutzer eine zusätzliche Authentifizierungsebene zu verlangen ganz unabhängig davon, wie diese sich normalerweise anmelden.

Mit einer Conditional Access Policy können Sie etwa festlegen:

• Externe Gäste müssen sich per MFA (Multi-Factor Authentication) verifizieren
• Der Zugriff ist nur mit registriertem Gerät erlaubt
• Der Zugriff aus bestimmten Ländern oder IP-Ranges ist blockiert

So stellen Sie sicher, dass Gäste nicht allein mit E-Mail + Passwort auf sensible Daten zugreifen können, sondern einen zweiten Faktor wie z. B. eine Authenticator-App benötigen.

Individuelle Nutzungsbestimmungen definieren

Neben den allgemeinen vertraglichen Regelungen auf Unternehmensebene, wie NDAs oder Datenschutzvereinbarungen, gibt es in Microsoft 365 die Möglichkeit, zusätzliche, digitale Nutzungsbestimmungen direkt im Gast Onboarding zu hinterlegen. So stellen Sie sicher, dass Gäste auch technisch nachvollziehbar zustimmen, bevor sie Zugriff erhalten.

Nutzungsbedingungen direkt in Microsoft Entra ID

Mit Microsoft Entra Terms of Use können Sie verbindliche Richtlinien oder Hinweise beim Login präsentieren:

• Datenschutzhinweise für die Nutzung der Umgebung
• Projektbezogene Vertraulichkeitserklärungen
• IT-Sicherheitsrichtlinien oder Verhaltensregeln
• Zustimmung zu bestimmten Compliance Anforderungen

Der Nutzer muss diesen Bedingungen aktiv zustimmen, bevor er Zugriff erhält. Die Zustimmung wird dabei mit Zeitstempel und Version der Bedingungen rechtskonform dokumentiert.

Zielgruppenspezifische Steuerung

Ein großer Vorteil: Die Nutzungsbedingungen lassen sich zielgruppengenau ausspielen.

• Nur für externe Gäste bestimmter Domains
• Nur bei Zugriff auf bestimmte Anwendungen (z. B. Teams, Planner)
• Unterschiedliche Bedingungen je nach Zugehörigkeit oder Zugriffsebene

Die Zuweisung erfolgt flexibel und skalierbar über Conditional Access Policies.

Best Practice: IT-Richtlinien als Teil des Onboardings

Durch die Integration in den Gastzugang wird die Einhaltung von Regeln nicht zur Holschuld des Fachbereichs, sondern Teil eines zentral gesteuerten Prozesses. Das reduziert das Risiko von Compliance Verstößen und schafft für alle Beteiligten Sicherheit.