Microsoft 365-Migrationen | Teil 1: Möglichkeiten zur Zusammenarbeit
Krähe mit HutVorheriger Artikel: Zusammenführung oder Trennung von Microsoft 365-Mandanten - ein Wegweiser
Nächster Artikel: <FOLGT>
In meinem ersten Beitrag bin ich darauf eingegangen, dass Unternehmen irgendwann einmal vor der Herausforderung stehen können, mehrere IT-Infrastrukturen zusammenzuführen.
Dieser Beitrag geht auf die Möglichkeiten ein, wie Unternehmen in Microsoft 365 zusammenarbeiten können, ohne eine Integration durchzuführen.
Option 1: Lose Zusammenarbeit
Diese Form der Zusammenarbeit entspricht dem Standard-Modell, welches auch einander fremde Unternehmen verwenden. Es erfolgt keine besondere Konfiguration, um die Zusammenarbeit in irgendeiner Form zu optimieren.
- Dokumente und Ordner werden per OneDrive, Teams und/oder SharePoint mit externen Kontakten geteilt. Alternativ werden Gäste zu Teams-Räumen eingeladen, um innerhalb der Umgebung an Dokumenten zu arbeiten.
- Für die externen Kontakte entstehen in beiden Organisationen Gastbenutzer-Konten.
- Die Gastbenutzer-Konten der jeweils anderen Organisationen unterliegen den Sicherheitsanforderungen für externe Kontakte (bspw. Akzeptieren von Nutzungsbedingungen, MFA-Abfrage, Zugriffsüberprüfungen, usw.).
Die einzelnen Funktionen unterliegen hierbei den jeweiligen Sicherheitseinschränkungen des Unternehmens. Beispielsweise kann in einem Unternehmen die Erstellung von Gastkonten auf Mitglieder bestimmter Rollen beschränkt sein. Dies kann zu Verzögerungen bei der Zusammenarbeit führen, da Konten erst erstellt werden müssen und nicht im Rahmen der Einladung erstellt werden können.
Die folgende Tabelle zeigt Vor- und Nachteile dieser Form der Zusammenarbeit:
| Vorteil | Nachteil |
|---|---|
| Kein Einrichtungsaufwand, funktioniert in den meisten Umgebungen direkt | Gäste des anderen Unternehmens werden wie externe Kontakte behandelt und unterliegen somit allen Sicherheitsrichtlinien |
| Extern geteilte Links können mit einem Ablaufdatum versehen werden; dies reduziert das Risiko für ungewollten Datenabfluss, weil Links nicht unendlich verfügbar sind | Gäste können nicht im Namen des einladenden Unternehmens agieren (bspw. mit einer entsprechenden Adresse in Teams und Exchange Online) |
| Gäste müssen in Teams die Organisation wechseln oder ein Browserfenster benutzen, um in der einladenden Organisation arbeiten zu können | |
| In vielen Unternehmen ist die Erstellung von Gästen beschränkt, dies kann in diesem Kontext zu Verzögerungen in der Zusammenarbeit führen | |
| Kein Zugriff auf interne Anwendungen des Unternehmens möglich (ggf. über vollwertigen Benutzer, der jedoch je nach Einsatz von Sicherheitslösungen entsprechend lizenzierungspflichtig ist) | |
| Kein gemeinsames Adressbuch; nur jeweils angelegte Gastbenutzer sind zusätzlich sichtbar |
Option 2: Entra B2B-Zusammenarbeit
Bei dieser Form der Zusammenarbeit werden die Unternehmen über eine Art Vertrauensstellung miteinander verbunden. Hierfür ist ein gewisses Maß an Konfiguration erforderlich, um zu definieren, welches Vertrauen das jeweils andere Unternehmen (oder auch nur bestimmte Gruppen) genießen und welche Zugriffe vereinfacht werden sollen.
- Dokumente und Ordner werden per OneDrive, Teams und/oder SharePoint mit B2B-Kontakten geteilt. Alternativ werden B2B-Kontakte zu Teams-Räumen eingeladen, um innerhalb der Umgebung an Dokumenten zu arbeiten.
- Zusätzlich besteht die Möglichkeit, in freigegebenen Teams-Kanälen gemeinsam an Dokumenten zu arbeiten.
- Für Gastbenutzer der jeweils anderen Organisation können Vertrauensebenen eingerichtet werden, um zusätzliche MFA-Abfragen zu vermeiden.
- Gastbenutzern kann der Zugriff auf Anwendungen erlaubt werden, die an die eigene Entra-ID-Instanz angebunden sind.
Die einzelnen Funktionen unterliegen hierbei den jeweiligen Sicherheitseinschränkungen des Unternehmens. Beispielsweise können die Nutzung freigegebener Kanäle oder ein Zugriff auf interne Anwendungen des Unternehmens nicht erwünscht sein. Auch könnte es sein, dass die Erstellung von Gastkonten auf Mitglieder bestimmter Rollen beschränkt ist. Dies kann zu Verzögerungen bei der Zusammenarbeit führen, da Konten erst erstellt werden müssen und nicht im Rahmen der Einladung erstellt werden können.
Die folgende Tabelle zeigt Vor- und Nachteile dieser Form der Zusammenarbeit:
| Vorteil | Nachteil |
|---|---|
| Ermöglicht grundsätzlich die Nutzung freigegebener Kanäle (falls erlaubt) | Planungs- und Konfigurationsaufwand, um das Unternehmensvertrauen gegenseitig abzustimmen und einzurichten |
| Ermöglicht grundsätzlich den Zugriff auf interne Anwendungen des Unternehmens (falls gewünscht) | Gäste können nicht im Namen des einladenden Unternehmens agieren (bspw. mit einer entsprechenden Adresse in Teams und Exchange Online) |
| Verschiedene Vertrauensebenen pro Anwendung oder für den generellen Zugriff möglich, dadurch Vermeidung zusätzlicher MFA-Abfragen | Gäste müssen (abgesehen von freigegebenen Kanälen) in Teams die Organisation wechseln oder ein Browserfenster benutzen, um in der einladenden Organisation arbeiten zu können |
| Gäste müssen keine Einladung mehr manuell akzeptieren, sondern können direkt aktiviert werden (falls gewünscht) | In vielen Unternehmen ist die Erstellung von Gästen beschränkt, dies kann in diesem Kontext zu Verzögerungen in der Zusammenarbeit führen |
| Kein gemeinsames Adressbuch; nur jeweils angelegte Gastbenutzer sind zusätzlich sichtbar |
Option 3: Multi-Mandanten-Organisation
Die Multi-Mandanten-Organisation (Multi-Tenant-Organization, MTO) stellt momentan die höchste Stufe der Verbindung von mehreren Microsoft 365-Organisationen dar. Sie baut auf der Entra B2B-Zusammenarbeit auf und erweitert diese um Automatismen, beispielsweise die Synchronisation von Benutzern und die Konfiguration von Frei-/Gebucht-Einstellungen für einen gegenseitigen Kalenderzugriff.
Die Benutzersynchronisation funktioniert nach dem SCIM-Prinzip und folgt somit offenen Standards. Diese ist bei Bedarf auch anpassbar. MTO verfolgt das Ziel, die Zusammenarbeit zwischen Unternehmen so einfach wie möglich zu machen, indem viele der notwendigen Tätigkeiten automatisch durchgeführt werden. Als solches setzt MTO darauf, dass sich die Unternehmen innerhalb der Organisation vollumfänglich vertrauen. Dementsprechend ist MTO eher eine Option für Unternehmensgruppen.
Der Funktionsumfang entspricht im Wesentlichen der Entra B2B-Zusammenarbeit und erweitert diese:
- Benutzerkonten werden gegenseitig anhand von bestimmten Attributen oder Gruppenzugehörigkeiten zwischen den Mandanten synchronisiert. Es handelt sich weiterhin um Gastbenutzer, allerdings erhalten diese die Berechtigungsstufe "Mitglied", um sie für alle Anforderungen nutzbar zu machen.
- Auf Basis der Berechtigungsstufe können synchronisierte Benutzerkonten auch beispielsweise zu Besitzern von Teams gemacht werden (mit Berechtigungsstufe "Gast" nicht möglich).
- Freigegebene Kanäle stehen für alle Benutzer zur Verfügung (kann jedoch auch abgeschaltet werden).
- Die Unternehmen vertrauen sich gegenseitig hinsichtlich MFA-Anforderungen. Es ist keine zusätzliche MFA für den Zugriff erforderlich.
- Aufgrund der vollumfänglichen Synchronisation entsteht auf allen Seiten eine einheitliche Adressliste.
- Alle Benutzer können gegenseitig den Frei-/Gebucht-Status einsehen.
Die folgende Tabelle zeigt Vor- und Nachteile dieser Form der Zusammenarbeit:
| Vorteil | Nachteil |
|---|---|
| Ermöglicht grundsätzlich die Nutzung freigegebener Kanäle (falls erlaubt) | Gäste können nicht im Namen des einladenden Unternehmens agieren (bspw. mit einer entsprechenden Adresse in Teams und Exchange Online) |
| Ermöglicht grundsätzlich den Zugriff auf interne Anwendungen des Unternehmens (falls gewünscht) | Gäste müssen (abgesehen von freigegebenen Kanälen) in Teams die Organisation wechseln oder ein Browserfenster benutzen, um in der einladenden Organisation arbeiten zu können |
| Verschiedene Vertrauensebenen pro Anwendung oder für den generellen Zugriff möglich, dadurch Vermeidung zusätzlicher MFA-Abfragen; normalerweise vollständiges Vertrauen | |
| Automatische Synchronisation von Benutzerkonten und Vergabe der Berechtigungsstufe "Mitglied" (anpassbar) | |
| Gäste müssen keine Einladung mehr manuell akzeptieren, sondern werden direkt aktiviert | |
| Automatische Konfiguration der gegenseitigen Frei-/Gebucht-Verfügbarkeit | |
| Vollumfängliche Adressliste für alle beteiligten Organisationen |
Typischerweise stellt MTO daher die Vorstufe zu einer vollständigen Integration dar:
- Die Unternehmen werden in einer MTO zunächst so eng wie möglich miteinander verbunden, um eine möglichst nahtlose Zusammenarbeit zu ermöglichen.
- Ein wesentlicher und in der Regel sehr aufwändiger Schritt - die Erstellung von Benutzerkonten als Vorbereitung für die Integration - entfällt. Die Konten werden automatisch synchronisiert und müssen im Rahmen der Integration lediglich konvertiert und lizenziert werden.
- Entra-Sicherheitsgruppen können demnächst (April 2026) ebenfalls synchronisiert werden. Dies funktioniert in gängigen Migrationslösungen üblicherweise nicht.
- Nach der Integration werden lediglich die Altumgebung aus der MTO entfernt und alle Konfigurationen zurückgebaut.
Und wenn meine Benutzer im Namen des anderen Unternehmens kommunizieren sollen?
Im Rahmen einer Fusion oder Übernahme, aber auch in anderen Fällen entsteht häufig die Frage, ob und wie die Mitarbeitenden des zugekauften Unternehmens bereits im Namen des aufnehmenden Unternehmens agieren sollen. Dies kann beispielsweise dann der Fall sein, wenn die neuen Mitarbeitenden bei einer Ausschreibung oder einem bereits laufenden Projekt mitwirken sollen.
Die in diesem Beitrag aufgezeigten Varianten bieten hierfür keine Lösung an. Daher muss in so einem Fall der bzw. die Mitarbeitenden mit zusätzlichen Postfächern/Teams-Benutzern ausgestattet werden. Es ist nicht möglich, eine Unternehmensdomäne (z.B. microwsoft.de) in mehreren Mandanten gleichzeitig zu verwenden, um so E-Mail-Adressen in beiden Mandanten verteilen zu können.
Es gab einmal einen Eintrag in der offiziellen Roadmap, nach dem Microsoft vorgesehen hatte, diese Funktion bereitzustellen. Mittlerweile ist dieser Eintrag nicht mehr verfügbar. Es bleibt jedoch zu hoffen, dass Microsoft sich irgendwann einmal wieder dieses Themas annimmt.
Hat Dir der Beitrag gefallen? Lass es andere wissen!
One thought on “Microsoft 365-Migrationen | Teil 1: Möglichkeiten zur Zusammenarbeit”