Kann man Gast-Accounts in Verteilerlisten hinzufügen?
In diesem Beitrag klären wir, ob es möglich ist, Gast-Accounts in Verteilerlisten aufzunehmen. Warum ist das für viele Unternehmen relevant? Gäste gehören in der Regel nicht zur eigenen Organisation und sind deshalb nicht automatisch Teil von Verteilerlisten. Dennoch ist es in der Praxis so, dass externe Nutzer in Verteilerlisten aufgenommen werden sollen, um die Zusammenarbeit zu erleichtern. Wir schauen, ob dies möglich ist und was man beachten muss.
Das Thema Gast-Accounts ist vielschichtig und beschäftigt Unternehmen zunehmend im Arbeitsalltag. In unserer Gastkonten-Serie betrachten wir verschiedene Herausforderungen und Lösungen, die uns in unseren Kundenprojekten begegnet sind.
Index
Was sind Gast-Accounts bzw. Gäste?
Gast-Accounts in Microsoft Entra ID sind spezielle technische Benutzerkonten, die dazu dienen, externen Personen („Gästen“) – also Nutzern, die nicht zur eigenen Organisation gehören – einen Zugriff auf ausgewählte Unternehmensressourcen zu ermöglichen. Natürlich unter der Prämisse, das dies kontrolliert und zeitlich begrenzt geschieht.
Es ist also kein vollwertiges internes Benutzerkonto, sondern hat einen Sonderstatus und muss deswegen mit Bedacht verwaltet werden.
Dabei ist der Begriff „Gäste“ eher zur Beschreibung der „externen Nutzergruppe“ als Ganzes geeignet. Wir beziehen uns auf die technische Komponente, also die Gastkonten dahinter, die für die IT relevant sind.
Microsoft unterscheidet dabei drei Kategorien von Gast-Accounts:
| Typ | Was steckt dahinter |
| Externer Gast | Externe Benutzer mit Konto in einer anderen Entra-Organisation oder bei einem externen Identity Provider. Sie erhalten in der Ressourcenorganisation Gast-Berechtigungen, das Benutzerobjekt hat den Typ „Guest“. |
| Externes Mitglied | Externe Benutzer mit Mitgliedsberechtigungen in der eigenen Organisation (z.B. in multi-mandantenfähigen Konzernen). |
| Interner Gast | Früher für externe Nutzer mit internen Anmeldeinformationen verwendet. Heute empfiehlt Microsoft, diese auf B2B-Gastkonten umzustellen. |
Diese Gastkonten werden direkt in Entra ID angelegt. Die Verwaltung erfolgt zentral, meist über das Entra Admin Center oder spezialisierte IAM-Systeme, wie unser IDM-Portal.
Gast-Accounts in Verteilerlisten – Was geht und was nicht
Gibt es verschiedene Arten von Verteilerlisten?
Ja, es gibt einen wesentlichen Unterschied zwischen Verteilerlisten in Exchange Online und Verteilerlisten in Microsoft Entra ID.
-
Exchange-Verteilerlisten sind speziell für den E-Mail-Versand an mehrere Empfänger gedacht und werden im Exchange-Verwaltungsbereich konfiguriert.
-
Entra ID kennt keine klassischen Verteilerlisten wie Exchange, sondern bietet Sicherheitsgruppen und M365 Gruppen, die für Zugriffssteuerung und Zusammenarbeit verwendet werden. M365 Gruppen sind zwar e-Mail-aktiviert, aber nicht mit klassischen Exchange-Verteilergruppen identisch.
Deshalb betrachten wir hier im Weiteren die Exchange-Verteilerlisten.
Was passiert bei der Erstellung eines Gast-Accounts?
Nach der Erstellung eines Gastkontos in Entra ID erstellt ein Hintergrundprozess in Exchange Online ein spezielles E-Mail-Benutzerobjekt mit der Einstellung „RecipientTypeDetails“ = „GuestMailUser“ basierend auf den Eigenschaften des Gastkontos.
Kann man Gast-Accounts in Verteilerlisten hinzufügen?
Um es nicht weiter spannend zu machen, klären wir auf:
✅ Ja, es ist möglich, Gast-Accounts zu Verteilern hinzuzufügen.
Da Gast-Mailbenutzer über eine gültige und erreichbare E-Mail-Adresse verfügen, können sie E-Mails empfangen und deshalb in Verteilerlisten aufgenommen werden.
Lesen Sie hierzu auch die Microsoft Dokumentation, die beschreibt, dass jede E-Mail-Adresse (als auch externe) als Mitglied hinzugefügt werden kann.
Was kann ein Gast-Account in einer Verteilerliste machen?
Das E-Mail-Benutzerobjekt ermöglicht Folgendes:
- E-Mails werden an Gastkonten weitergeleitet.
- Gastkonten werden in der GAL und anderen Exchange-Adresslisten angezeigt.
- Gastmitglieder von Outlook-Gruppen können über E-Mail an Gruppengesprächen teilnehmen.
Wie lange bleiben die Gast-Mailbenutzerobjekte bestehen?
Gast-Mailbenutzerobjekte bleiben im Exchange-Verzeichnis bestehen, bis die verknüpften Gastkonten aus Entra ID entfernt werden.
Wo kann man Gast-Mailbenutzerobjekte bearbeiten?
Sie können Gast-Mailbenutzerobjekte zwar über das Exchange-Verwaltungscenter anzeigen, ihre Eigenschaften jedoch nicht über die GUI aktualisieren. Änderungen müssen über das Azure AD-Verwaltungscenter oder mit einer Graph-API (einschließlich der Microsoft Graph PowerShell SDK-Cmdlets) am Gastkonto vorgenommen werden. Sie können die Exchange-spezifischen Eigenschaften mit dem Cmdlet „Set-MailUser“ aktualisieren.
Viele wichtige Informationen finden Sie zum Thema in folgendem Artikel Comparing Entra ID Guest Accounts and Exchange Online Mail Contacts. Dieser Artikel vergleicht Exchange Online-E-Mail-Kontakte und Azure AD-Gastkonten und geht der Frage nach, ob Mandanten von E-Mail-Kontakten zu Gastkonten wechseln sollten.
Wie lange dauert es, bis ein Gast in Exchange Online erscheint?
Ein Gast aus Entra wird nicht sofort in Exchange online erscheinen. In der Regel wird über einen automatischen Prozess der User mail-enabled. Dies dauert ca. 24h, in Einzelfällen länger. Der Gast muss dazu eine gültige SMTP Adresse haben. Wem das zu lange dauert, der kann das Enabling per PowerShell manuell starten.
| Punkt | Status |
| Automatische Mail-Enablement vorgesehen? | ✅ Ja |
| Innerhalb von 24h? | ⚠️ In der Regel ja, aber nicht garantiert |
| Technische Voraussetzung | Gast muss gültige SMTP-Adresse haben |
| Manuell erzwingbar? | ✅ Ja, mit PowerShell |
| In DL/M365 nutzbar nach Enablement? | ✅ Ja (wenn mailfähig) |
Wie Sie unser IDM-Portal unterstützt
Mit dem IDM-Portal der FirstAttribute ist es möglich, Ihre komplette Identitäts- und Zugriffsverwaltung über ein Portal zu verwalten. Ein wesentliches Element sind Benutzer und Gruppen in Entra ID, als auch in Active Directory. So können Sie beispielsweise über das IDM-Portal:
- Gäste in Entra ID anlegen und pflegen,
- Entra-Gruppen anlegen,
- Gruppenmitglieder in M365 und Sicherheitsgruppen hinzufügen und auch wieder entfernen
Dabei besteht die Option, es sowohl aus der Gruppen-Perspektive, als auch aus der individuellen User-Perspektive zu tun.
Mit dem IDM-Portal verwalten Sie Entra ID Gruppen und AD Gruppen über eine Oberfläche. Auch Gast-Accounts in Entra ID können über das IDM-Portal angelegt und gepflegt werden.
Fazit
Gast-Accounts können in Microsoft Entra ID und Exchange Online als „GuestMailUser“-Objekte in Verteilerlisten aufgenommen werden. Das ermöglicht externen Partnern, über E-Mail am Austausch innerhalb der Organisation teilzunehmen. Ein wirklicher Vorteil ist, dass es die Zusammenarbeit über Organisationsgrenzen hinweg erleichtert.
Wichtig ist, dass Gastkonten aktiv verwaltet werden, denn so kann die Sicherheit und Übersichtlichkeit gewährleistet werden. Änderungen an Gastkonten erfolgen am besten zentral über das Entra Admin Center oder mit passenden PowerShell-Cmdlets. So bleibt die Zusammenarbeit flexibel, ohne auf Sicherheit und Kontrolle zu verzichten.
Mehr über FirstWare IDM-Portal
Das FirstWare IDM-Portal von FirstAttribute ist eine integrierte Lösung für das Identity und Access Management (IAM), die die automatisierte Verwaltung von Nutzern und deren Berechtigungen ermöglicht, egal ob On-Prem oder in der Cloud.
Dieses Portal integriert sämtliche Facetten des Identity- und Access-Managements und ermöglicht einen zentralisierten Zugriff auf Identitäts- und Verzeichnisdienste.
