Wie gelingt das Lifecycle Management von M365 Gastkonten?

Gastkonten haben, ähnlich wie Benutzerkonten, ein eigenes Leben. Es beginnt mit der Einladung in einen Tenant und endet… ja, wann eigentlich? Das Einladen von Gästen ist im besten Fall extrem einfach, doch das „Weiter“ und „Ende“ erweist sich als schwierig.

Was in der Theorie richtig nett und kollaborativ klingt – „Alle dürfen in Microsoft Teams Gäste einladen“ -, birgt viele Risiken. Microsoft bietet einige Funktionalitäten, um den Lebenszyklus von Gastkonten zu reglementieren, aber für die meisten großen Unternehmen sind diese nicht ausreichend.

Deshalb beschäftigen wir uns heute mit der Frage: Wie stuft man ein Gastkonto ein und behält es über seinen gesamten Lebenszyklus hinweg sicher im Auge? 

Wir haben für einen Enterprise-Kunden mit 10.000+ Mitarbeitern einen Weg gefunden, Gastkonten über den gesamten Lebenszyklus besser zu verwalten und zu kontrollieren.

Das ist genau Ihr Thema?

Wie kommt ein Gast in den Tenant?

Zuerst wollen wir kurz klären, wie ein Gast überhaupt in Ihr Unternehmen kommt. Das hängt ganz davon ab, wie es auf Mandantenebene, in MS Teams und SharePoint konfiguriert ist.

Ein globaler Administrator kann fast immer einen Gast im Microsoft Entra Admin Center anlegen.

Normalerweise ist es aber so, dass Gäste in MS Teams eingeladen werden. 

Teambesitzer können externe Mitglieder einfach über die E-Mail-Adresse zu einem Team hinzufügen.

Dazu können Dateien oder Ordner über SharePoint/OneDrive mit Externen geteilt werden.

Allerdings gehen die letzten beiden Optionen nur, wenn dies im Unternehmen freigegeben wurde. Microsoft bietet hierzu verschiedene Abstufungen (von „jeder kann einladen“, „nur interne Mitarbeiter können einladen“, „nur bestimmte Mitarbeiter/Rollen dürfen einladen“ bis „niemand außer Admins“).

Sobald die Einladung abgeschickt wurde, erhält der Gast eine Einladungs-E-Mail von Microsoft. Nach der Annahme der Einladung und der erfolgreichen Authentifizierung hat der Gast dann Zugang auf die freigegebenen Ressourcen.

• Viele Unternehmen erlauben die Einladung über Teams, da es dem kollaborativen Charakter der App entspricht.
• Andere entziehen ihren Mitarbeitern die Rechte komplett und lassen es nur über die IT laufen.
• Wiederum andere suchen nach feinstufigeren Lösungen, von denen wir Ihnen eine vorstellen möchten.

💡Hinweis: Durch viele Projekte mit unseren Kunden wissen wir, dass das Thema „Gast-Accounts“ immer wieder Kopfzerbrechen verursacht. In unserer Gastkonten-Serie betrachten wir verschiedene Herausforderungen, die wir in unseren Kundenprojekten lösen durften.

Bei Interesse empfehlen wir Ihnen auch unsere Artikel:
„Was passiert mit nicht angenommenen Gastkonten in Microsoft Entra?“
 „Kann man Gast Accounts in Verteilerlisten hinzufügen?“

So sieht unsere Lösung aus

Was sind die eigentlichen Probleme beim Lebenszyklus von Gastkonten?

Wir sind also schon bei den offensichtlichen Schwachstellen angelangt: Das Einladen ist leicht, doch das Verwalten und die Kontrolle von Gastkonten sind herausfordernd. 

Kein Lifecycle Management durch fehlende Verantwortlichkeiten

Im Standard-Tenant „gehört“ der Gast oft niemandem mehr, sobald er einmal drin ist. Wenn die IT fragt: „Warum ist alex@partner.de in unserem System?“, weiß es niemand mehr. Man kann zwar nachvollziehen, wer den Gast eingeladen hat, aber es gibt keine dauerhafte, sichtbare Verknüpfung zu einem Projektverantwortlichen. Der Gast existiert dann einfach.

Mithilfe unserer IGA-Lösung FirstWare IDM-Portal kann neben dem Sponsor-Attribut (dem einladenden Mitarbeiter) auch ein konkreter Verantwortlicher, beispielsweise ein Manager, definiert werden. Dieser ist während des gesamten Lebenszyklus des Gastes für ihn verantwortlich.

Over-Privileged-Standard-Einstellungen

Die Standard-Berechtigungen für Gäste sind erstaunlich großzügig. So können sie im Verzeichnis andere Benutzer suchen. Sie sehen zwar nicht alles, aber oft mehr als nötig.

Man kann das zwar in verschiedenen Stufen einschränken (Maximale Isolation: „Der Gastbenutzerzugriff ist auf Eigenschaften und Mitgliedschaften eigener Verzeichnisobjekte beschränkt.“), aber viele Unternehmen brauchen feinere Abstufungen, die Microsoft so nicht bietet. Zum Beispiel ist es oft gewünscht, dass Gäste nur Leute aus ihrem eigenen Projekt sehen dürfen.

Unsere IGA-Lösung ermöglicht eine feine Abstufung der Gast-Accounts, von einfachen Gast-Accounts bis hin zu Gast-Accounts mit privilegiertem Status (bspw. für Partnerfirmen). Definieren Sie mit uns die Gast-Abstufungen, die Sie brauchen.

Sprechen Sie uns an

Gastkonten ohne Verfallsdatum 

So sieht es in der Praxis aus: Ein Mitarbeiter lädt einen Partner für ein Projekt ein. Das Projekt endet, der Mitarbeiter verlässt die Firma, und der Gast-Account bleibt ewig im System bestehen. Denn ein Gastkonto hat von vornherein kein Verfallsdatum. Es sei denn, man hilft (technisch) nach durch:

1. Manuelles Löschen: Ein Administrator löscht den Benutzer im Entra ID Portal.
2. Automatisierter Lifecycle: Microsoft bietet starre Lösungen an, um dies zu umgehen, wie „Kein Login seit 90 Tagen = Löschung“. Doch nicht jedes Unternehmen wünscht sich so einen harten, automatischen Ablauf des Gastkontos..

Mit dem IDM-Portal bekommen sowohl der Gast als auch der Manager nach (beispielsweise) 80 Tagen eine Erinnerung, dass das Konto abläuft.

Collaboration vs. Compliance

Wie schon mehrfach erwähnt, die Standardeinstellungen in Microsoft sind sehr offen, d.h. fast jeder kann Gäste einladen. Besitzer dürfen das im Standard sowieso. Member können Gäste zwar nicht direkt hinzufügen, aber sie können sie anfragen. Der Teambesitzer muss diese Anfrage dann nur noch bestätigen.

Natürlich gibt es seitens Microsoft Kontrollebenen, wie vorher erwähnt.

Microsoft fragt beim ersten Login nach der Zustimmung zu den Datenschutzbestimmungen, aber das ist sehr generisch. Große Unternehmen müssen oft sicherstellen, dass Gäste eine spezifische Vertraulichkeitsvereinbarung (NDA) digital unterzeichnen. Das lässt sich nativ nur schwer mit den Standard-Einladungen verknüpfen.

Wir sagen: Collaboration und Compliance müssen sich nicht ausschließen. Mit dem IDM-Portal bringen wir beides unter einen Hut.

Unsere Lösung: Mehrstufige Gastkonten und klare Verantwortlichkeiten

Ausgangslage beim Kunden: Keine Kontrolle mehr über Gastkonten

Unser Kunde, ein Großunternehmen mit mehr als 10.000 Mitarbeitern, hatte die Kontrolle über die Gastkonten verloren. Die Hürden, als Gast über ein Gastkonto ins Unternehmen zu kommen, waren niedrig. Die Hemmschwelle, Gäste einzuladen, war ebenso niedrig. Wie so oft war es schwierig, die einmal in Gang gekommenen Prozesse wieder einzufangen.

All diese Fragen waren ungeklärt:

• Wie behandelt man unterschiedliche Typen von Gästen?
• Was passiert nach dem Onboarding von Gästen?
• Wie kontrolliert man die Berechtigungen, die die Gäste erhalten?
• Wer ist für den Lebenszyklus eines Gastkontos verantwortlich?

Der Kunde nutzt das IDM-Portal für sein komplettes Identity & Access Management. Zusammen mit dem Team der FirstAttribute wurde das IDM-Portal um ein „Guest User Interface“ erweitert. Dabei wurde der Prozess der Gastkonten aufgeteilt in:

➡️ Einfacher Gast-Account

➡️ Erweiterter Gast-Account

🤓 Vorausschau: In einer weiteren Ausbaustufe wurden zudem spezielle Regelungen für „Gast-Accounts mit Partnerstatus“ eingeführt. 

Und so unterscheiden sich die zwei damit verbundenen Prozesse:

Einfacher Gast-Account

Jeder Mitarbeiter darf weiterhin über MS Teams Gäste einladen.

Der Gast bekommt einen Einladungslink. Das Sponsor-Attribut wird automatisch gesetzt, d.h. der einladende User wird eingetragen. Wenn der Gast die Einladung annimmt, erhält er einen einfachen Gast-Account. 

Was darf dieser „einfache Gast“?

Er kann in Teams-Kanälen mitarbeiten und chatten, an Gruppenchats teilnehmen und Dateien innerhalb der Kanäle bearbeiten. Er kann nur innerhalb von Teams mitarbeiten, aber beispielsweise keine Software erhalten.

Erweiterter Gast-Account

Als zweite Option gibt es die sogenannten „erweiterten Gast-Accounts“. Sie werden als eigener Identitätstyp behandelt.

Diese Gäste werden nur über das IDM-Portal angelegt und eingeladen, und zwar von spezialisierten IT Teams, wie Super Admins, der Standort IT oder dem ServiceDesk.   

Der Prozess läuft folgendermaßen ab:

1. Die IT erhält ein Ticket, welches das Erstellen eines erweiterten Gast-Accounts beinhaltet.
2. Beim Ausfüllen der Eingabemaske müssen die Identitätsdaten eingegeben werden (Vor- und Nachname, sowie Displayname), als auch die E-Mail-Adresse des Gastes.
3. Der Manager muss gesetzt werden. Dabei ist er unabhängig vom Sponsor-Attribut (dem Einladenden). Er steht für die dauerhafte, sichtbare Verknüpfung des Gastkontos mit einem internen Mitarbeiter, der für den Gast haftet. Erst wenn der Manager gesetzt ist, ist es möglich, Berechtigungen zu vergeben. 
4. Der Gast wird angelegt und bekommt einen Einladungslink. 
5. Der Einladungsstatus steht so lange auf „Pending Acceptance“, bis der Gast bestätigt hat.
   
6. Nimmt der Gast die Einladung an, werden sein Displayname, UPN und Mailadresse automatisch übermittelt und im IDM-Portal hinterlegt.
7. Der Einladungsstatus wechselt auf „Accepted“.
8. Der „Current Status“ wird per Default als „active“ angezeigt.
9. Erst wenn die IT die Zustimmung zum Non Disclosure Agreement (NDA) manuell bestätigt hat, gilt der neue Gast als „erweiterter Gast“ und kann besondere Berechtigungen erhalten. Liegt kein NDA vor, d.h., ist die entsprechende Checkbox nicht ausgewählt, kann der Benutzer nicht berechtigt werden. Versucht man, im IDM-Portal den User in eine Gruppe zu packen und zu speichern, kommt eine Fehlermeldung.
   
10. Nach der Zustimmung zum NDA besitzt der Gast die Rechte eines erweiterten Gast-Accounts. 

Was darf dieser „erweiterte Gast“?

Dieser Gast bleibt zwar ein externer User mit seiner eigenen E-Mail, wird aber vom System wie ein interner Mitarbeiter behandelt.

Dies ermöglicht ihm eine wesentlich flüssigere Zusammenarbeit in MS Teams und SharePoint: Er durchsucht das Verzeichnis direkt nach Ansprechpartnern, tritt organisationsweiten Teams bei und nutzt exklusive Projekt-Hubs, die für gewöhnliche Externe gesperrt bleiben. Darüber hinaus erhält er kontrollierten Zugriff auf sensible SharePoint-Bibliotheken mit wichtigen Dokumenten sowie auf freigegebene SaaS-Dienste.

Fazit

In großen Organisationen führt ein unkontrollierter Gastzugang ohne klares Lifecycle Management schnell zu einem Verlust der Übersicht.

Unsere Lösung adressiert die Schwachstellen durch eine intelligente Differenzierung im IDM-Portal: Während „Einfache Gast-Accounts“ schnelle Kollaboration in MS Teams ermöglichen, bieten „Erweiterte Gast-Accounts“ einen hochsicheren Rahmen für den gesamten Zeitraum der Zusammenarbeit.

Durch die Einführung klarer Manager-Verantwortlichkeiten, die manuelle NDA-Bestätigung und einen strukturierten Lebenszyklus wird sichergestellt, dass externe Partner nur so viel Zugriff erhalten, wie sie benötigen. Dieser Prozess ermöglicht es, vertrauenswürdige Gäste sicher in geschäftskritische Applikationen zu integrieren und den Zugang nach Projektende zuverlässig wieder zu schließen

Buchen Sie einen Termin mit unserem Team

Mehr über FirstWare IDM-Portal

Das FirstWare IDM-Portal von FirstAttribute ist eine anwenderfreundliche IAM-Lösung für die automatisierte Provisionierung und das Lifecycle Management aller Identitäten und Gruppen in komplexen, hybriden IT-Landschaften.

Durch gezielte Delegation und rollenbasiertes Zugriffsmanagement ermöglicht es Fachabteilungen, Identitätsdaten und Berechtigungen eigenständig zu pflegen – ergänzt durch leistungsstarke Identity Governance & Administration (IGA) Funktionen wie Audit-Logs, Rezertifizierungen und Compliance-Reporting.