MS 365 | Mailkontakte vs. Gastbenutzer

Microsoft 365 ermöglicht Dir auch eine mandantenübergreifende Zusammenarbeit. Mit den Cross-Tenant Access Settings in Microsoft Entra ID kannst Du Benutzer aus anderen Tenants als vertrauenswürdige Partner einbinden, ohne sie als klassische Gäste anzulegen.

Diese externen Benutzer erhalten – je nach festgelegten Richtlinien – gezielt Berechtigungen für bestimmte Ressourcen, etwa für freigegebene SharePoint-Sites oder Microsoft Teams. Die Konfiguration erfolgt über das Microsoft Entra Admin Center, wo Du definierst, welche Tenants vertrauenswürdig sind und welche Zugriffsrechte deren Benutzer erhalten. Diese Methode spart administrativen Aufwand und verhindert potenzielle Konflikte.

Einen ausführlichen Beitrag dazu findest Du in einem separaten Blogartikel, welcher nächste Woche erscheint.

Zugriffsanforderungen:
Überlege, welche Art der Zusammenarbeit im Mittelpunkt steht. Wenn Deine externen Partner oder Kunden ausschließlich E-Mail-Kommunikation benötigen, genügen Mailkontakte vollkommen. Soll der Austausch jedoch auch den Zugriff auf Dokumente, Kalender, Chats oder Kollaborationsplattformen wie Teams umfassen, sind Gastbenutzerkonten oder Cross-Tenant-Lösungen die bessere Wahl – sie bieten Dir die Flexibilität, externe Teilnehmer direkt in Deine Arbeitsprozesse einzubinden.

Adressbuchsichtbarkeit:
Standardmäßig werden Gastbenutzerkonten im GAL ausgeblendet, um eine Vermischung mit internen Kontakten zu vermeiden. Diese Einstellung ist sinnvoll, wenn Du verhindern möchtest, dass externe Benutzer in den internen Suchergebnissen auftauchen. Falls dies für bestimmte Prozesse jedoch erforderlich ist, kannst Du das Attribut „HiddenFromAddressListsEnabled“ auf „false“ setzen, um Gastbenutzer gezielt sichtbar zu machen.

Konflikte vermeiden:
Ein häufiges Problem entsteht, wenn für denselben externen Partner sowohl ein Mailkontakt als auch ein Gastbenutzerkonto erstellt werden. Solche Doppelungen können zu Synchronisierungsfehlern und administrativen Problemen führen. Es ist daher ratsam, frühzeitig zu entscheiden, ob Du externe Kontakte als reine Mailkontakte oder als vollwertige Gastbenutzer integrieren möchtest – und diese Entscheidung konsequent umzusetzen.

Verwaltung und Lebenszyklus:
Ein wesentlicher Vorteil von Gastbenutzerkonten liegt in den erweiterten Verwaltungsfunktionen. Du kannst den Zugriff der Gäste bei Bedarf widerrufen, sie automatisch bestimmten Gruppen zuordnen und nachvollziehen, wer wann auf welche Ressourcen zugegriffen hat. Mailkontakte hingegen sind statische Einträge im Adressbuch, bei denen diese Möglichkeiten fehlen. Für Unternehmen, die eine langfristige, enge Zusammenarbeit mit externen Partnern anstreben, bieten Gastbenutzerkonten oder Cross-Tenant-Lösungen daher häufig eine flexiblere und sicherere Lösung.

Sicherheitsaspekte und Governance:
Da Gastbenutzerkonten direkten Zugriff auf interne Ressourcen ermöglichen, ist es wichtig, klare Richtlinien und Berechtigungen zu definieren. Microsoft empfiehlt, Gastzugriffe regelmäßig zu überprüfen und ein automatisiertes Ablaufdatum für Gastkonten festzulegen, um sicherzustellen, dass der Zugang nur so lange besteht, wie er benötigt wird. Mit Tools wie Conditional Access und Identity Governance in Microsoft Entra kannst Du den Zugriff der externen Benutzer granular steuern und überwachen – so stellst Du sicher, dass nur autorisierte Zugriffe erfolgen und eventuelle Sicherheitsrisiken frühzeitig erkannt werden.

Automatisierung und Verwaltung:
Neben der manuellen Verwaltung bieten PowerShell-Skripte die Möglichkeit, den Lebenszyklus externer Konten zu automatisieren. Du könntest ein Skript einrichten, das regelmäßig prüft, ob externe Benutzer noch aktiv benötigt werden, und diese – falls nicht – automatisch deaktiviert oder archiviert. Dies unterstreicht den praktischen Nutzen und den administrativen Mehrwert der Gastbenutzerkonten und sorgt für eine effiziente Ressourcenverwaltung.

Interne Kommunikation und Schulung:
Die erfolgreiche Implementierung einer externen Zusammenarbeit hängt auch von der internen Kommunikation ab. Es ist empfehlenswert, regelmäßige Workshops oder Webinare zu organisieren, in denen IT-Mitarbeiter den Unterschied zwischen Mailkontakten, Gastbenutzerkonten und Cross-Tenant-Zugriffen erläutert bekommen. Zusätzlich kann ein FAQ-Dokument oder ein internes Wiki, das diese Themen regelmäßig aktualisiert wird, dazu beitragen, dass alle Beteiligten – von der IT-Abteilung bis zu den Endanwendern – die Prozesse und Sicherheitsrichtlinien verstehen und einhalten.

Aktualität und Referenzen:
Überprüfe regelmäßig, ob alle technischen Details, wie beispielsweise die Funktionsweise des Attributs „HiddenFromAddressListsEnabled“, mit den aktuellen Microsoft-Dokumentationen übereinstimmen, da sich Funktionen und Konfigurationsmöglichkeiten in Microsoft 365 stetig weiterentwickeln. Weiterführende Informationen und Updates findest Du kontinuierlich in offiziellen Microsoft-Ressourcen, wie dem Microsoft 365 Admin Center oder Microsoft Q&A.

Teste die gewählte Methode im Rahmen eines kleinen Pilotprojekts. Lade beispielsweise zunächst fünf externe Partner als Gastbenutzer ein und richte ein dediziertes Microsoft Teams-Pilotteam ein, in dem alle relevanten Arbeitsabläufe – von Chat- und Besprechungsfunktionen bis hin zum gemeinsamen Dokumentenaustausch in SharePoint – getestet werden können. So kannst Du in der Praxis überprüfen, ob die Verwaltung der Gastkonten und die Sicherheitskontrollen wie vorgesehen funktionieren.

Ein konkretes Beispiel: Erstelle ein Testteam namens „Externes Pilotprojekt“ und lade drei externe Kunden als Gastbenutzer ein. Stelle in einer zugehörigen SharePoint-Bibliothek wichtige Projektdokumente bereit und konfiguriere gezielt Zugriffsbeschränkungen. Überprüfe, ob die Gäste problemlos auf die freigegebenen Inhalte zugreifen können und ob etwaige Sicherheitsrichtlinien – beispielsweise zeitlich begrenzte Zugriffsrechte – greifen. Parallel dazu kannst Du – falls es Deine Umgebung erlaubt – dieselbe externe Person einmal als Mailkontakt und einmal als Gastbenutzer oder über eine Cross-Tenant-Lösung einrichten, um herauszufinden, welcher Ansatz in Deinem Unternehmen die bessere Benutzererfahrung und Verwaltung ermöglicht.

Sollten während des Pilotprojekts unerwartete Probleme auftreten oder sich der administrative Aufwand als zu hoch erweisen, hast Du die Möglichkeit, den Ansatz anzupassen oder für unterschiedliche Anwendungsfälle sogar beide Methoden parallel einzusetzen. Beispielsweise könnten externe Partner, die nur gelegentlich per E-Mail kommunizieren, weiterhin als Mailkontakte geführt werden, während für intensivere Projekte ausschließlich Gastbenutzerkonten oder Cross-Tenant-Lösungen verwendet werden.

Auch die interne Kommunikation spielt eine wesentliche Rolle. Es ist sinnvoll, Deine Mitarbeiter in einem Informationsseminar oder während einer Live-Demo in Microsoft Teams und SharePoint über den Unterschied zwischen Mailkontakten, Gastbenutzerkonten und Cross-Tenant-Zugriffen aufzuklären. Erkläre dabei, welche Vor- und Nachteile die einzelnen Ansätze haben, wie sich die Sicherheitsrichtlinien unterscheiden und welche administrativen Maßnahmen erforderlich sind – etwa wie der Zugriff schnell entzogen werden kann, wenn sich die Geschäftsbeziehung ändert. Eine solche transparente Kommunikation sorgt dafür, dass alle Beteiligten – von der IT-Abteilung bis zu den Endanwendern – die Prozesse und Sicherheitsvorgaben verstehen und einhalten.

Insbesondere in internationalen Projekten, bei denen interne und externe Partner zusammenarbeiten, kann es sinnvoll sein, unterschiedliche Ansätze zu kombinieren. Interne Mitarbeiter arbeiten mit ihren regulären Konten, während externe Partner als Gastbenutzer oder über eine Cross-Tenant-Lösung integriert werden. Durch gezielte Schulungen und regelmäßige Feedbackrunden stellst Du sicher, dass alle Beteiligten den Umgang mit den jeweiligen Zugriffsrechten verinnerlichen und mögliche Unklarheiten zeitnah beseitigt werden.

1. Mailbox in der Cloud ausblenden
Um eine Mailbox aus dem GAL auszublenden, verwendest Du:

Set-Mailbox -Identity "user@domain.com" -HiddenFromAddressListsEnabled $true

2. Mailbox im GAL sichtbar machen
Soll eine ausgeblendete Mailbox wieder sichtbar sein, setzt Du:

Set-Mailbox -Identity "user@domain.com" -HiddenFromAddressListsEnabled $false

3. Status der GAL-Sichtbarkeit überprüfen
Mit diesem Befehl kannst Du den aktuellen Sichtbarkeitsstatus einer Mailbox abfragen:

Get-Mailbox -Identity "user@domain.com" | Select DisplayName, HiddenFromAddressListsEnabled

4. Für synchronisierte Objekte im lokalen Active Directory
Falls Du ein synchronisiertes Benutzerobjekt aus Deinem lokalen AD verwaltest, kannst Du das Attribut setzen (sofern es vorhanden ist):

Set-ADUser -Identity "username" -Replace @{msExchHideFromAddressLists=$true}

5. Mailkontakt aus dem GAL ausblenden
Um einen externen Mailkontakt auszublenden, nutzt Du:

Set-MailContact -Identity "contact@domain.com" -HiddenFromAddressListsEnabled $true

6. Alle ausgeblendeten Empfänger auflisten
Mit diesem Befehl listest Du alle Objekte auf, die im GAL ausgeblendet sind:

Get-Recipient -ResultSize Unlimited | Where-Object {$_.HiddenFromAddressListsEnabled -eq $true} | Select-Object Name, RecipientType, HiddenFromAddressListsEnabled

7. Gastbenutzer im Tenant auflisten
Um alle Gastbenutzer in Deinem Tenant anzuzeigen, kannst Du beispielsweise den folgenden Befehl nutzen:

Get-AzureADUser -Filter "UserType eq 'Guest'" | Select DisplayName, UserPrincipalName, UserType

(Du kannst alternativ auch das Microsoft Graph PowerShell-Modul verwenden, um Gastbenutzer abzurufen.)

Wenn Du ausschließlich E-Mail-Kommunikation mit externen Partnern betreiben möchtest, sind Mailkontakte eine einfache und schnelle Lösung. Möchtest Du hingegen eine intensivere Zusammenarbeit ermöglichen, bei der externe Partner aktiv an Projekten teilnehmen und auf interne Ressourcen zugreifen können, sind Gastbenutzerkonten – oder alternativ mandantenübergreifende Lösungen – die richtige Wahl. Dabei solltest Du stets darauf achten, Konflikte zu vermeiden und klare Richtlinien für den Zugriff sowie für die Verwaltung der Konten zu etablieren.

Die optimale Wahl hängt letztlich davon ab, welche Art der Zusammenarbeit in Deiner Organisation gefördert werden soll und welche administrativen sowie sicherheitstechnischen Rahmenbedingungen vorliegen. Mit einer gründlichen Analyse der Anforderungen und einer wohlüberlegten Implementierung der entsprechenden Lösung stellst Du sicher, dass sowohl interne als auch externe Partner effizient und sicher zusammenarbeiten.