Externe Zusammenarbeit
Ensuring a clean and license-compliant base configuration for your M365 and Entra environment. The foundation for all subsequent Microsoft projects.
Ihre Daten verlassen das Unternehmen bereits — nur über die falschen Kanäle
Jedes Mid-Market-Unternehmen arbeitet mit externen Partnern zusammen. Agenturen, Kunden, Prüfer, Wiederverkäufer, Freelancer. Ohne ein genehmigtes Modell für die externe Zusammenarbeit improvisieren Mitarbeitende: weitergeleitete E-Mails, WhatsApp-Gruppen, private Dropboxen, Dateien, die an private Gmail-Konten angehängt sind. Die Daten verlassen den Mandanten, bevor die IT überhaupt weiß, dass es ein Projekt gibt.
Das ist kein Versagen Ihres IT-Teams. Microsoft Entra External ID bietet drei unterschiedliche Zusammenarbeitsmodi — Gastzugriff (B2B-Zusammenarbeit), B2B Direct Connect (gemeinsam genutzte Kanäle) und mandantenübergreifende Zugriffseinstellungen — jeweils mit Dutzenden von Schaltern. Zusammen verwendet und richtig gesteuert, lösen sie das Schatten-IT-Problem. Ohne Plan eingeführt, schaffen sie neue Risiken.
Traditionelle Beratung für externe Zusammenarbeit? Zwei Monate, fünfstellige Kosten, ein Berater, der die Schalter konfiguriert und wieder geht. Ihr Team bleibt mit Einstellungen zurück, die es nicht entworfen hat, und mit einer Governance, die es Prüfern nicht erklären kann.
AKTIVITÄTEN IM DETAIL
LIEFERUMFANG
Inventarisieren Sie die aktuelle externe Zusammenarbeit: vorhandene Gastbenutzer, Audit der externen Freigaben in SharePoint und OneDrive, gemeinsame Kanäle in Teams, Schatten-IT-Indikatoren
Ordnen Sie Ihre 20 wichtigsten externen Partner zu: Typ (Kunde, Lieferant, Freiberufler, Prüfer), erforderliches Zugriffslevel, geplante Dauer
Entwerfen Sie die Entscheidungsmatrix: Gastzugriff vs. B2B Direct Connect (Shared Channels) vs. externer Freigabelink — eine Seite, gesteuert vom Partnertyp
Konfigurieren Sie die mandantenübergreifenden Zugriffsinstellungen in Microsoft Entra: standardmäßige ausgehende und eingehende Richtlinien, organisationsspezifische Vertrauenseinstellungen für strategische Partner sowie MFA- und Gerätevertrauensansprüche
Konfigurieren Sie die Einstellungen für die externe Zusammenarbeit: Wer Gäste einladen kann (alle Benutzer, eine bestimmte Rolle oder nur Administratoren), Einschränkungen beim Verzeichniszugriff für Gastbenutzer
Domänen-Zulassungs-/Blockierliste: Verbraucherdomänen für sensible Teams blockieren, vertrauenswürdige Partnerdomänen zulassen
Richten Sie B2B Direct Connect für eine Pilotpartnerorganisation ein — Vertrauensstellung für Shared Channels in beide Richtungen, Ende-zu-Ende validiert
Stimmen Sie sich mit Sensitivitätsbezeichnungen ab: „Öffentlich“ erlaubt anonyme Links, „Vertraulich“ blockiert externe Freigabe, „Streng vertraulich“ blockiert Gäste
Conditional Access für Gäste: MFA beim Zugriff anfordern, MFA-Ansprüche vom Heimatmandanten akzeptieren, bei Bedarf auf genehmigte Standorte beschränken (Entra ID P1 erforderlich)
Gastlebenszyklus: Zuweisung eines Sponsors, Zugriffsüberprüfungen (vierteljährlich für sensible Teams), automatische Entfernung bei Inaktivität
Onboarding-Handbuch für Partner: Einladungsablauf, Zustimmungsprozess, Fehlerbehebung beim ersten Login
Inventarisieren Sie die aktuelle externe Zusammenarbeit: vorhandene Gastbenutzer, Audit der externen Freigaben in SharePoint und OneDrive, gemeinsame Kanäle in Teams, Schatten-IT-Indikatoren
Ordnen Sie Ihre 20 wichtigsten externen Partner zu: Typ (Kunde, Lieferant, Freiberufler, Prüfer), erforderliches Zugriffslevel, geplante Dauer
Entwerfen Sie die Entscheidungsmatrix: Gastzugriff vs. B2B Direct Connect (Shared Channels) vs. externer Freigabelink — eine Seite, gesteuert vom Partnertyp
Konfigurieren Sie die mandantenübergreifenden Zugriffsinstellungen in Microsoft Entra: standardmäßige ausgehende und eingehende Richtlinien, organisationsspezifische Vertrauenseinstellungen für strategische Partner sowie MFA- und Gerätevertrauensansprüche
Konfigurieren Sie die Einstellungen für die externe Zusammenarbeit: Wer Gäste einladen kann (alle Benutzer, eine bestimmte Rolle oder nur Administratoren), Einschränkungen beim Verzeichniszugriff für Gastbenutzer
Domänen-Zulassungs-/Blockierliste: Verbraucherdomänen für sensible Teams blockieren, vertrauenswürdige Partnerdomänen zulassen
Richten Sie B2B Direct Connect für eine Pilotpartnerorganisation ein — Vertrauensstellung für Shared Channels in beide Richtungen, Ende-zu-Ende validiert
Stimmen Sie sich mit Sensitivitätsbezeichnungen ab: „Öffentlich“ erlaubt anonyme Links, „Vertraulich“ blockiert externe Freigabe, „Streng vertraulich“ blockiert Gäste
Conditional Access für Gäste: MFA beim Zugriff anfordern, MFA-Ansprüche vom Heimatmandanten akzeptieren, bei Bedarf auf genehmigte Standorte beschränken (Entra ID P1 erforderlich)
Gastlebenszyklus: Zuweisung eines Sponsors, Zugriffsüberprüfungen (vierteljährlich für sensible Teams), automatische Entfernung bei Inaktivität
Onboarding-Handbuch für Partner: Einladungsablauf, Zustimmungsprozess, Fehlerbehebung beim ersten Login
Zusammenarbeits-Entscheidungsmatrix: Einseitiger Leitfaden, der den Partnertyp dem Zugriffsmodell zuordnet
Cross-Tenant-Zugriffskonfiguration: Standardmäßige eingehende und ausgehende B2B-Regeln, organisationsspezifisches Vertrauen für wichtige Partner
Einstellungen für externe Zusammenarbeit: Einladungsberechtigungen, Einschränkungen des Gastverzeichnisses, Domänen-Zulassungs-/Sperrliste
Pilot für B2B Direct Connect: Geteilte Kanäle mit einer Partnerorganisation, beidseitig validiert
Ausrichtung der Sensitivitätsbezeichnungen: Freigaberegeln pro Bezeichnung, durchgängig durchgesetzt
Conditional Access für Gäste: MFA-Anforderung, Ansprüche vertrauenswürdiger Mandanten, standortbezogene Regeln, wo anwendbar
Prozess für den Lebenszyklus von Gästen: Sponsorenmodell, Zeitplan für Zugriffsüberprüfungen, Bereinigung inaktiver Konten
Runbook für das Onboarding von Partnern: Einladung, Zustimmung, Problembehandlung, Verantwortlichkeiten des Sponsors
3 Schritte. Vom Start zum fertigen Projekt.
So läuft ein typisches Microsoft-Projekt mit DAMALO.
Schritt 1
Blueprint wählen und Umgebung analysieren
Wählen Sie einen bewährten Blueprint. KI-Agenten berücksichtigen ihre Lizenzen, aktuelle Konfiguration und Compliance-Anforderungen in den Plan ein. Keine allgemeinen Ratschläge.
Schritt 2
Plan erhalten und Umsetzung starten
Prüfen Sie den Plan. KI-Agenten entwerfen die Architektur, Aufgaben und gleichen Abhängigkeiten mit den Microsoft-Best Practices ab. Auf Ihren Tenant zugeschnitten.
Schritt 3
Geführte Umsetzung bis zum Abschluss
Schritt für Schritt ausführen. KI-Agenten stellen PowerShell-Skripte, Deep Links zum Admin Center und Anleitungen bereit. Jede Änderung wird automatisch dokumentiert.
Das Ergebnis: Ein abgeschlossenes Microsoft-Projekt in 1-2 Wochen. Dokumentiert. Audit-ready. Von Ihrem Team verstanden. Jederzeit anpassbar. Keine Change Requests. Keine Nachbeauftragung.
Next steps after Externe Zusammenarbeit
Ein sauber konfigurierter Tenant ist die Grundlage. Diese Blueprints bauen direkt darauf auf.
