Netzwerk

5 sind geladen 10 sind gekommen, gieß Wasser zur Suppe heiß alle Willkommen

Dieser sehr Gastfreundliche Spruch hing bei meiner Großmutter stets in der Küche. Auch wenn ich die Grundeinstellung sehr positiv finde, verhält es sich mit Gästen im Geschäftskontext leicht anders.

Grundsätzlich ist die B2B-Gastfunktion des Azure AD ein Segen. Insbesondere als Dienstleister erlebe ich regelmäßig, was es heißt regelmäßig Konten bei anderen Firmen angelegt zu bekommen:

          Unklare Prozesse und Zuständigkeiten

          Fehlende (oder auch viel zu viele) Berechtigungen

          Eine Vielzahl an VPN-Clients

          Komplizierte Prozeduren, um das Initial-Passwort sicher zum Nutzer zu übertragen

Während das für mich als „Techie“ alles irgendwie händelbar ist, war es für den Otto-Normal-Anwender, der auf einen On-Prem SharePoint eines Partners zugreifen sollte, jedes Mal ein Abenteuer mit ungewissem Ausgang.

Für Anwender ist hier eine erhebliche Erleichterung mit Microsoft 365 gekommen: Sofern beide Unternehmen Microsoft 365 einsetzen besteht keine Notwendigkeit mehr, dass man zwei Konten benutzt. Stattdessen kann man beim Partner einfach „sein eigenes Konto mitbringen“. Das ist aus mehreren Gründen erfreulich. Der Partner muss sich nicht mehr darum kümmern, wenn der Eingeladene:

          Sein Passwort vergisst

          Das Unternehmen verlässt

          Seinen Namen ändert

Soweit dürfte das, bekanntes Wissen sein. Was sich aber bisher (fast) jeder meiner Kunden gefragt hat ist: Ich muss doch auch die Gäste irgendwie verwalten, oder? Wie machen denn das die anderen Kunden von Ihnen?

Eine passende Gast-Nutzer Strategie ist eigentlich kein Hexenwerk, es wird bei M365 Einführungen aber häufig vernachlässigt. Wir haben in unseren Kundenprojekten dabei mehrere Ansätze realisiert, die ich im Folgenden kurz skizziert werden.

Variante 1 „Fully Managed“

Ohne die IT kommt keiner rein oder raus. Kann über Bordmittel realisiert werden, bringt aber viele Usability-Einschränkungen mit sich. Wenn der Service Desk so aufgestellt ist, dass diese Anfragen zügig bearbeitet werden, durchaus ein praktikabler Weg. Wichtig ist dann, dass die IT dann auch die Buchführung über die Gäste übernimmt und diese wieder aus dem AAD entfernt, wenn die Anforderung für den Zugriff nicht mehr besteht.

Variante 2 „Managed Self Service“

Der Anwender bekommt eine Möglichkeit über ein Formular einen neuen Gast selbst einzuladen. Im Formular werden mind. zwei Ansprechpartner festgehalten. Diese Ansprechpartner für den Gast müssen dann alle 3 / 6 / 9 / 12 Monate entscheiden, ob der Gast weiter Mitglied bleiben soll.

Mit Abstand mein Favorit unter allen Möglichkeiten, am besten umsetzbar mit 3rd-Party-Software, z.B. der AvePoint Governance Suite. Alternativ lassen sich auch eigene Lösungen auf Basis von Power Apps und Power Automate bauen.

Variante 3 „Unmanaged Self Service“

Auch diese Variante ist präsent. Sie entspricht den Voreinstellungen: Jeder kann einladen und niemand räumt auf.

Diese Varianten lassen sich natürlich in verschiedenen Abstufungen mischen.

Gastmanagement auf dem nächsten Level

Letztendlich betrachten all diese Varianten nur den Prozess „Wie gelangt ein Gast in das Benutzerverzeichnis“. Das genügt vielen Unternehmen nicht und die Kontrolle muss noch eine Ebene tiefer auf die Berechtigungen des Gasts innerhalb des eigenen Tenants gerichtet werden.

Hierfür gibt es im Rahmen der Azure AD P2 Lizenzen (u.a. in M365 E5 enthalten) die Funktion der Access Reviews und des Entitlement Management. Diese erlaubt es einem, dass z.B. jeder Team-Owner über seine Gäste in festgelegten Zeitabständen „richten“ muss. Die Entscheidung des Team-Owners führt dann dazu, dass der Gast ggf. direkt aus dem Team entfernt wird. Insbesondere in regulierten Bereichen ist eine solche Funktionalität grundlegend erforderlich, und zwar nicht nur für Gäste.

Wer jetzt vor den Zusatzkosten für die Azure AD P2 Lizenz zurückscheut hat aber noch weitere Optionen. Zum einen bietet die bereits zuvor erwähnte AvePoint Governance Suite eine vergleichbare Funktion. Falls man ganz ohne 3rd Party Software auskommen möchte, kann man auch hier mit Hilfe von Power Automate, PowerShell & Co eine individuelle Lösung bauen.

Empfehlung

 

Um einen wirklich modernen Arbeitsplatz aufzubauen sollte man versuchen den Anwender so autonom wie möglich zu machen. Daher ist mein Favorit die Variante 2. Variante 1 hat den großen Nachteil, dass die Entscheidung, ob jemand weiter Gast bleiben soll, inhaltlich keine Entscheidung der IT ist. Der Anwender selbst muss bestimmen, ob der Gast noch weiter im Projekt benötigt wird oder nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.