top of page
Suche

Computer says YES!

Aktualisiert: vor 6 Tagen

So sagst Du ihm, dass er darf ;)



In den letzten Artikeln habe ich gezeigt, warum verschlüsselte E-Mail-Anhänge oft scheitern, obwohl technisch „alles richtig“ aussieht: B2B eingerichtet, MFA aktiv, Policies vorhanden.


Heute geht’s um das Wie: Was Du konkret konfigurieren musst, damit Empfänger in anderen Organisationen geschützte Dateien tatsächlich öffnen können – ohne dass RMS wieder „nein“ sagt.


ANLEITUNG


Damit dein Tenant externe Benutzer überhaupt kennt, sind folgende Schritte notwendig:


  • Gehe zu Entra ID → External Identities → Cross-tenant access settings.

  • Aktiviere „Inbound access“ für externe Azure AD-Organisationen.

  • Stelle sicher, dass „B2B collaboration“ zugelassen ist.


👉 Nur dann kann beim ersten Zugriff automatisch ein Gastkonto angelegt werden.


MFA und Externe Benutzer


Ohne diese Einstellung gilt das MFA-Signal des Partners nicht.


  • In Cross-tenant access settings → Default settings (oder Organization-specific settings) aktiviere:

- „Trust multifactor authentication from Azure AD tenants.“


💡 Damit akzeptiert dein Entra ID das MFA-Ergebnis des externen Tenants (z. B. Contoso). Heidi muss also keine zweite MFA bei Dir durchführen.


Häufige Fehlerquellen


Viele Fehler entstehen hier. Achte auf folgende Punkte:


  • RMS („Azure Rights Management Services“) ist in der Policy enthalten, wenn Du „All Cloud Apps“ gewählt hast.

  • Entweder:

- Schließe RMS explizit aus, oder

- Erstelle eine eigene Policy für RMS mit leichteren Bedingungen.


Empfohlene Minimalbedingungen:


  • Require MFA ✅

  • Don’t require compliant device ❌

  • Don’t require hybrid join ❌


So kann auch ein externer Benutzer ohne Intune-Enrollment auf RMS zugreifen.


Testen des Zugriffs


Teste den Ablauf mit einem echten externen Benutzer – kein interner Testaccount.


  • Schicke eine verschlüsselte Datei per Mail.

  • Öffne sie im Browser (Outlook Web oder Office Online).

  • Prüfe im Sign-in log in Entra ID, welche Policy gegriffen hat. Dort siehst Du exakt, warum ein Zugriff blockiert wurde.


Erstellen einer neuen CA-Policy


Wenn Du hohe Sicherheit brauchst, aber Zusammenarbeit ermöglichen willst, erstelle eine neue CA-Policy:


  • Zielressourcen: Cloud apps → Include „Microsoft Rights Management Services“

  • Benutzer: Users → Include „Guest or external users“

  • Gewähren: MFA erfordern


Diese Policy greift nur für externe Benutzer und nur für RMS-Zugriffe.


💡 Fazit


Wenn Du diese Punkte umgesetzt hast, weiß RMS nicht nur, wer Heidi ist, sondern bekommt von Entra ID endlich auch das „Ja“.


🔓 B2B sorgt für Identität.

🔐 Trust external MFA sorgt für Vertrauen.

⚙️ Eine angepasste CA-Policy sorgt für Zusammenarbeit.


Damit funktioniert der Zugriff – sicher, kontrolliert und ohne Frust auf beiden Seiten.


Technische Hintergründe


Um den Zugriff auf geschützte Dateien zu optimieren, ist es wichtig, die technischen Hintergründe zu verstehen. Azure Rights Management Services (RMS) spielt eine zentrale Rolle. Es ermöglicht den Schutz von Dokumenten und E-Mails durch Verschlüsselung.


Auswirkungen auf die Zusammenarbeit


Die Implementierung dieser Maßnahmen hat direkte Auswirkungen auf die Zusammenarbeit zwischen verschiedenen Organisationen. Externe Partner können sicher auf Informationen zugreifen, ohne dass die Sicherheit der Daten gefährdet wird.


Bewertung der Sicherheitsmaßnahmen


Die Sicherheitsmaßnahmen, die Du implementierst, sollten regelmäßig bewertet werden. Dies stellt sicher, dass sie den aktuellen Bedrohungen standhalten. Eine kontinuierliche Überprüfung der Policies ist entscheidend.


Empfehlung für die Praxis


Ich empfehle, regelmäßig Schulungen für alle Benutzer durchzuführen. Dies erhöht das Bewusstsein für Sicherheitsrichtlinien und deren Bedeutung. Auch die Dokumentation der Prozesse sollte stets aktuell gehalten werden.


Durch diese Maßnahmen kannst Du sicherstellen, dass der Zugriff auf geschützte Dateien reibungslos funktioniert. Es ist entscheidend, dass alle Beteiligten die Richtlinien verstehen und einhalten.


Mit diesen Schritten und Empfehlungen bist Du gut gerüstet, um den technischen Schutz Deiner Daten zu gewährleisten und gleichzeitig die Zusammenarbeit zu fördern.

Kommentare

bottom of page