top of page
Suche

Computer says YES!

So sagst Du ihm, dass er darf ;)


In den letzten Artikeln habe ich gezeigt, warum verschlüsselte E-Mail-Anhänge oft scheitern, obwohl technisch „alles richtig“ aussieht: B2B eingerichtet, MFA aktiv, Policies vorhanden.


Heute geht’s um das Wie: Was Du konkret konfigurieren musst, damit Empfänger in anderen Organisationen geschützte Dateien tatsächlich öffnen können –ohne dass RMS wieder „nein“ sagt.


ANLEITUNG

  1. Microsoft Entra External ID (B2B collaboration) aktivieren

Damit dein Tenant externe Benutzer überhaupt kennt.

  • In Entra ID → External Identities → Cross-tenant access settings

  • Aktiviere „Inbound access“ für externe Azure AD-Organisationen.

  • Stelle sicher, dass „B2B collaboration“ zugelassen ist.

👉 Nur dann kann beim ersten Zugriff automatisch ein Gastkonto angelegt werden.


  1. Externer MFA vertrauen

Ohne diese Einstellung gilt das MFA-Signal des Partners nicht.

  • In Cross-tenant access settings → Default settings (oder Organization-specific settings)

  • Aktiviere:

    „Trust multifactor authentication from Azure AD tenants.“

💡 Damit akzeptiert dein Entra ID das MFA-Ergebnis des externen Tenants (z. B. Contoso). Heidi muss also keine zweite MFA bei Dir durchführen.


  1. Conditional Access überprüfen

Viele Fehler entstehen hier. Achte auf folgende Punkte:

  • RMS („Azure Rights Management Services“) ist in der Policy enthalten, wenn Du „All Cloud Apps“ gewählt hast.

  • Entweder:

    • Schließe RMS explizit aus, oder

    • Erstelle eine eigene Policy für RMS mit leichteren Bedingungen.


Empfohlene Minimalbedingungen:

  • Require MFA ✅

  • Don’t require compliant device ❌

  • Don’t require hybrid join ❌

So kann auch ein externer Benutzer ohne Intune-Enrollment auf RMS zugreifen.


  1. Zugriff testen

Teste den Ablauf mit einem echten externen Benutzer – kein interner Testaccount.

  • Schicke eine verschlüsselte Datei per Mail.

  • Öffne sie im Browser (Outlook Web oder Office Online).

  • Prüfe im Sign-in log in Entra ID, welche Policy gegriffen hat. Dort siehst Du exakt, warum ein Zugriff blockiert wurde.


  1. Optional: dedizierte Ausnahme-Policy für RMS

Wenn Du hohe Sicherheit brauchst, aber Zusammenarbeit ermöglichen willst:

Erstelle eine neue CA-Policy

  • Zielressourcen: Cloud apps → Include „Microsoft Rights Management Services“

  • Benutzer: Users → Include „Guest or external users“

  • Gewähren: MFA erfordern

Diese Policy greift nur für externe Benutzer und nur für RMS-Zugriffe.


💡 Fazit

Wenn Du diese Punkte umgesetzt hast, weiß RMS nicht nur, wer Heidi ist, sondern bekommt von Entra ID endlich auch das „Ja“.


🔓 B2B sorgt für Identität.

🔐 Trust external MFA sorgt für Vertrauen.

⚙️ Eine angepasste CA-Policy sorgt für Zusammenarbeit.


Damit funktioniert der Zugriff –sicher, kontrolliert und ohne Frust auf beiden Seiten.

Kommentare

bottom of page