Dieses Q&A ist eine Antwort auf unser Webinar “Solving The Microsoft 365 Guest User Puzzle”, in welchem sich alles um Gastzugriff in Microsoft 365 drehte. Sehen Sie es sich noch heute als On-Demand-Version an!
Wenn unser letztes Webinar uns eines gelehrt hat, dann, dass die Leute eine Menge Fragen zum externen/ Gastzugriff in Microsoft 365 haben. Nachdem Dux und John die Liste mit Fragen, die wir erhalten haben, durchgegangen sind, haben wir die 25 besten Fragen ausgewählt, die wir direkt in diesem Beitrag beantworten wollen. Fangen wir also an – ohne weiter um den heißen Brei herumzureden!
Deckt AvePoint Cloud Governance den gesamten Nutzerzyklus vom Onboarding über Prüfung und Verlängerung bis hin zum Offboarding ab?
Ja! Cloud Governance bietet ein vollständiges Nutzer-Lebenszyklus-Management für externe Benutzer.
Wenn ein Benutzer eine E3- oder E5-Lizenz in Fabricam besitzt und als Gastnutzer in Contoso hinzugefügt wird, verwendet er dann in Contoso immer noch eine Gastlizenz?
Ja, die Lizenzen aus dem Ursprungs-Tenant werden nicht in den Tenant übertragen, in dem ein Benutzer ein Gast ist.
Ist für die AvePoint-Lösung eine P2-Lizenz erforderlich?
Nein! Technisch gesehen ist nur die Enterprise- oder Business-Basislizenz für Microsoft/Office 365 erforderlich.
Gibt es Einschränkungen für das Hinzufügen von Nutzern mit .org- oder .gov-E-Mail-Adressen?
Nicht seitens Office 365 selbst. Sie können allerdings Einschränkungen anhand von Nutzerdomains in Azure AD einführen, wenn Sie wollen. Sollten Probleme auftreten, existieren möglicherweise seitens des Tenants des eingeladenen Nutzers Einschränkungen.
Was passiert mit den Gastkonten, wenn wir Lizenzen kürzen und dadurch die Gesamtzahl der Gastnutzer über das Verhältnis 5:1 steigt? Würden einige Gastnutzer automatisch deaktiviert werden?
Theoretisch ja, aber basierend auf Tests ist dies nicht der Fall. Bedenken Sie zudem, dass diese Beschränkung möglicherweise nicht für Nutzer gilt, die ein eigenes Microsoft- oder Microsoft 365-Konto besitzen. Sie gilt in erster Linie für Gastnutzer, deren Konten mit AD neu angelegt wurden.
Würden diese Gast-Erneuerungs-Flows nur für Gäste funktionieren, die mit dem Einladungs-Flow eingeladen wurden, oder auch für bestehende Gäste in einem Tenant?
Es ist möglich, bestehende Nutzer zu importieren, damit sie von der Cloud-Governance-Lösung verwaltet werden. Sponsoren können bescheinigen, dass der Gast weiterhin im Verzeichnis verbleiben muss, oder den Nutzer aus ausgewählten Gruppen und Teams entfernen, wenn dies angemessen ist.
Wie würden Sie empfehlen, Gäste in Gruppen zu verwalten? Das Hinzufügen von Gästen durch Gruppenbesitzer scheint die Kontrolle abzugeben.
Diese Frage wird uns immer wieder gestellt. Die Antwort ist schwierig, da man viele Faktoren berücksichtigen muss. AvePoint hat in seinem Governance-Tool viele Möglichkeiten eingebaut. Beispielsweise können Sie Regeln dafür festlegen, wer Gruppenbesitzer sein kann, Überwachungsmöglichkeiten und automatische Richtlinien für den Bereitstellungsprozess einbauen und Überprüfungen für Admin-Teams durchführen.
Die unkomplizierteste native Verwaltungsmöglichkeit besteht entweder darin, in nur wenigen Teams/Gruppen die Möglichkeit zur externen Freigabe zu spezifischen Zwecken zu aktivieren oder organisationsweit sehr strenge Regeln dafür zu haben, wer Besitzer eines Teams oder einer Gruppe sein kann. Es gibt nicht wirklich eine einfachere Möglichkeit, diesen Prozess zu verwalten.
Gibt es eine Möglichkeit, herauszufinden, ob Nutzer meines Tenants/Azure AD als Gastnutzer zu anderen Tenants eingeladen werden?
Es gibt einige Möglichkeiten, um dies zu melden und einzuschränken. Mehr dazu hier.
Gibt es eine Einstellung, die anonymes Teilen in OneDrive, aber nicht in SharePoint ermöglicht?
Nein, derzeit nicht.
Gibt es eine externe API, die die Teams erstellen kann (z. B. aus Dynamics 365, wenn eine Opportunity erstellt wird)?
Ja! Das ist über Power-Automate-Konnektoren möglich, und außerdem gibt es die Möglichkeit, AvePoints Cloud Governance einzusetzen, um Serviceanfragen für Teams über Konnektoren in Power Automate einzuleiten.
Bitte erläutern Sie kurz den Unterschied zwischen externem Zugriff auf SharePoint-Sites, die nicht mit Teams/Gruppen verknüpft sind, und solchen, die das Rückgrat von Teams bilden. Inwiefern unterscheidet sich die Erfahrung externer Nutzer von Nutzern mit direktem Zugriff auf SharePoint-Sites?
Der einzige Unterschied besteht darin, dass Gastnutzer in einer Gruppe oder einem Team auch Zugriff auf einige, wenn nicht gar alle zusätzlichen Anwendungen haben, die mit den Gruppen und Teams verknüpft sind. Der Zugriff auf die SharePoint-Sites ist der Gleiche.
Wenn Nutzer B aus der Fabrikam-AD gelöscht wird, wird dann auch der Verweis auf diesen Nutzer aus den Gastnutzern von Contoso gelöscht?
Nein, das muss weiterhin auf der Contoso-Seite erfolgen.
Gibt es eine Möglichkeit, dass die externe Freigabe standardmäßig immer deaktiviert und nur bei bestimmten Teams/SharePoint-Sites aktiviert ist?
Dies kann leicht mit der Cloud-Governance-Lösung von AvePoint erreicht werden oder indem die Nutzerbereitstellung für Teams eingeschränkt und der Zugriff als Teil eines organisatorischen Prozesses angepasst wird.
Gibt es eine Möglichkeit, nur für eine Abteilung die uneingeschränkte Verwendung von Gastzugriff zu sperren (Einstellung pro Nutzer anstatt pro Nutzergruppe/Team/Site)?
Dies kann durch Einrichten eines Dienstes in der Cloud-Governance-Lösung von AvePoint erfolgen.
Benötigt ein Gast nur eine E-Mail-Adresse, um eingeladen zu werden? Das heißt: Es ist kein Microsoft-Konto oder Ähnliches nötig?
Das ist korrekt!
Können Sie die Richtlinien an den Geschäftsfunktionen der Organisation ausrichten? Verfügt AvePoint über Tools zur Geschäftsklassifizierung, die diesen Service ergänzen?
Ja, absolut. Die Cloud-Governance von AvePoint ermöglicht die Anpassung von Kontrollen, sodass die Gründe, warum ein Arbeitsbereich erstellt wird, über die Metadaten und Namenskonventionen sichtbar sind. Die Regeln zur externen Freigabe und viele andere Einstellungen werden dann korrekt angewendet und für die Organisation durchgesetzt. Richtlinien werden dynamisch über eine Kombination aus dem, was und warum Nutzer Dienste von Microsoft 365 benötigen, angewendet.
All das geschieht automatisch über eine einfache Anfrage, die der Nutzer ausfüllen muss. Das macht nicht nur den Nutzern das Leben leichter, sondern verringert auch den Einrichtungs- und Wartungsaufwand der Organisation. Das ist der Grund, warum so viele Unternehmenskunden dieses Tool für ihre organisationsweite Governance und Einrichtung von Teams einsetzen!
Kann ein Gast auf die für eine Office 365-Gruppe freigegebenen PowerApps zugreifen, wenn er ein Mitglied eines Microsoft Teams-Arbeitsbereichs ist?
Potenziell ja. Es würde von den Sicherheitseinstellungen des Hosting-Tenants abhängen, aber die Wahrscheinlichkeit ist groß, dass sie auf die App zugreifen können.
Wenn man weiß, dass Gastnutzer keinen Zugriff auf OneDrive haben, was würde passieren, wenn sie versuchen, eine Datei in einem 1:1-Chat zu teilen? Ich nehme an, sie erhalten eine Fehlermeldung, dass OneDrive nicht verfügbar ist?
Technisch gesehen, wenn ein Nutzer eine Datei in einem 1:1-Chat mit dem Gastnutzer ablegt, wird diese Datei dann direkt mit dem Gastnutzer geteilt, so dass der Gast in diesem Szenario tatsächlich in der Lage wäre, auf die Datei zuzugreifen.
Wie autorisiere ich jemanden als Gasteinladenden? Ich möchte, dass nur Manager in der Lage sind, Teams zu erstellen und Gäste einzuladen.
Dies ist auf Besitzer von Teams/Gruppen beschränkt (bei denen der Gastzugriff aktiviert ist); es gibt keine eindeutige Möglichkeit, dies zu kontrollieren, abgesehen von der Einschränkung, wer in Ihrer Organisation Besitzer sein kann. AvePoint kann diese Einschränkung proaktiv durchsetzen und unberechtigten Nutzern automatisch den Besitz von Gruppen und Teams entziehen (oder auch nur Benachrichtigungen senden).
Können Mitglieder bestehende Gäste in Microsoft 365-Gruppen einladen?
Wenn der Gastzugang für die betreffenden Gruppen/Teams aktiviert ist, dann ja, aber die Mitgliedschaft müsste immer noch von einem Besitzer genehmigt werden.
Die Optionen sind unterschiedlich, aber verwendet SharePoint Azure als Repository für Nutzerinformationen oder hat es ein anderes Repository für Nutzer?
SharePoint zieht Nutzerinformationen aus Active Directory, und der Zugriff in SharePoint wird als eine Kombination aus SharePoint-Sicherheitsdatensätzen für Nutzer und Gruppen und Active Directory/andere Gruppentypen in Microsoft 365 gespeichert . Die GUID für den Nutzer wird im AD gespeichert und mit Microsoft 365 synchronisiert.
Sollte man für solche Zwecke eine separate SharePoint-Site einrichten? Externe Zusammenarbeit ist ein tiefer Einschnitt in die Sicherheit.
Die Lösung von AvePoint ermöglicht es Organisationen, diese Kontrollen von vielen Seiten anzugehen. Beispielsweise können sie die Möglichkeit zur externen Weitergabe von Informationen auf genehmigte Nutzer, Abteilungen und Situationen einschränken. Wirklich leistungsstark ist die Lösung deshalb, weil sie Organisationen ermöglicht, diese Richtlinien mit geringem Aufwand auf breiter Basis anzuwenden.
Ohne diese Möglichkeit begrenzen die meisten Organisationen externe Freigaben auf eine kleine Anzahl von Sites oder Dokumentbibliotheken und kontrollieren den Zugriff sehr streng. Aus unserer Erfahrung und buchstäblich Tausenden von Kundengesprächen sehen wir immer wieder, dass dies zu unzufriedenen Nutzererfahrungen führt und Nutzer einfach über “Schatten-IT” oder andere Methoden außerhalb der Kontrolle der Organisation zusammenarbeiten.
Kann man die Einladung von Gästen für Administratoren deaktivieren, die Erstellung von Gästen über die Graph-API (auf Grundlage des Firmen-Identitätsmanagement-Systems) aber dennoch erlauben?
Ja, das ist möglich. Der API-Zugriff richtet sich nach den Berechtigungen, die von dem Konto/der Azure-App gewährt werden, die mit der API interagiert, und nicht unbedingt nach den Einstellungen in Microsoft 365. Sie müssen alle derartigen Anwendungen/gewährten Zugriffe nachverfolgen und auf jeden Fall ein System einrichten, um den App-/Nutzerzugriff für diese Anwendungsfälle zu regeln.
AvePoint ist sehr transparent in Bezug auf den Zugriff, den wir für unsere Anwendungen benötigen und nutzen, und wir bieten Funktionen wie benutzerdefinierte Verschlüsselung und MFA-Unterstützung, um die höchste Sicherheitsstufe für unsere Cloud-Plattform zu gewährleisten.
Wir können also einen Gastnutzer zu einem Team hinzufügen und ihn auf den Chat zugreifen lassen, aber dann den Zugriff auf Dateien im Team durch Ändern der SharePoint-Einstellungen sperren?
Ja! Das ist möglich. Genauso ist das Entfernen von Admin-Zugriff auf Dateien innerhalb von Dokumentbibliotheken in SharePoint über Steuerelemente wie das Aufheben der Vererbung möglich.
Was, wenn der Gast Google-Kunde ist?
Keine Sorge! Man kann auch Google-Kunden problemlos Gastzugriff in Microsoft 365 gewähren.
Wenn Sie mehr über den Gastzugriff in Microsoft 365 erfahren möchten, sollten Sie unseren Blog abonnieren!
