RMS sagt nein - Teil III
- Sophie Gräfin Brühl
- 10. Feb.
- 3 Min. Lesezeit
und Entra B2B kann auch nicht immer helfen
Im letzten Artikel haben wir gesehen, dass verschlüsselte E-Mail-Anhänge oft nicht am Label scheitern, sondern an Conditional-Access-Policies.Der entscheidende Punkt dabei war: Beim Öffnen der Datei geht die Anfrage immer zuerst an Entra ID.
Dort passieren zwei Dinge – in fester Reihenfolge:
👉🏻 Zuerst prüft Entra ID, wer auf die Datei zugreifen möchte.
👉🏻 Erst danach prüft Entra ID, ob diese Identität unter den geltenden Conditional-Access-Richtlinien auf den Dienst zugreifen darf.
In meinem letzten Blogartikel haben wir uns auf den zweiten Teil konzentriert: die Conditional-Access-Prüfung. Doch selbst wenn diese sauber konfiguriert ist, kann der Zugriff weiterhin scheitern – nämlich dann, wenn Entra ID die Identität des externen Empfängers nicht eindeutig auflösen kann.
Und genau an dieser Stelle kommt Microsoft Entra External ID (B2B collaboration) ins Spiel.
🧩 Das Szenario
Heidi arbeitet bei Contoso, ich bei BRÜHL SOLUTIONS. Ich schicke ihr eine vertrauliche Datei per Mail –geschützt mit einem Microsoft Purview Sensitivity Label, das sie automatisch verschlüsselt.
Heidi öffnet die Mail, klickt doppelt auf die Datei –und dann beginnt im Hintergrund der Authentifizierungsprozess.
⚙️ Was im Hintergrund passiert
Sobald Heidi die Datei öffnet, erkennt Word:
„Diese Datei ist verschlüsselt. Ich brauche den Schlüssel.“
Word wendet sich daraufhin an Entra ID, um ein Zugriffstoken für Microsoft Rights Management Services zu erhalten. Entra ID prüft die Identität der Benutzerin sowie die geltenden Conditional-Access-Richtlinien.
Erst wenn Entra ID ein gültiges Zugriffstoken ausstellt, wird Azure RMS aufgerufen und der Entschlüsselungsschlüssel bereitgestellt.
💡Kurze Einordnung: Was ist Entra B2B?
Wenn eine externe Person bereits als Gastkonto in meinem Entra-Tenant existiert, kann Entra ID die Identifizierung dieser Person problemlos durchführen. Die externe Benutzerin kann sich mit ihrem Heimkonto authentifizieren, und Entra ID hat eine bekannte Identität, auf die es Prüfungen anwenden kann.
Existiert jedoch noch kein Gastkonto, weiß Entra ID zunächst nichts über diese Person. In diesem Fall greift der Entra-B2B-Prozess: Die externe E-Mail-Adresse wird im Tenant als Gast angelegt, und die Person authentifiziert sich mit ihrer externen Identität. Erst dadurch entsteht eine prüfbare Identität, auf deren Basis Entra ID weitere Entscheidungen treffen kann – etwa die Ausstellung eines Zugriffstokens.
🔐 Wenn Entra B2B nicht aktiv ist
Ohne Microsoft Entra External ID (B2B collaboration) weiß mein Entra ID mit „heidi@contoso.com“ nichts anzufangen. Es gibt kein Konto, kein Token, keine Anmeldung –also keinen Beweis, dass Heidi wirklich sie selbst ist.
RMS wartet auf ein „Go“, aber Entra blockiert. Ergebnis:
„Sie haben keine Berechtigung, dieses Dokument zu öffnen.“
RMS hat korrekt gearbeitet. Es gibt den Schlüssel nicht heraus, weil Entra Heidis Identität nicht überprüfen kann.
🚀 Was sich mit Entra B2B ändert
Wenn Microsoft Entra External ID (B2B collaboration) aktiviert ist, ändert sich das Verhalten:
Beim ersten Zugriff auf die Datei wird Heidi zu einer Authentifizierungsseite geleitet. Dort kann sie sich mit ihrem Heimkonto von Contoso anmelden. Entra ID erkennt:
„Das ist eine externe Benutzerin – ich lade sie automatisch als Gast in meinen Tenant ein.“
Damit entsteht im Hintergrund ein Gastkonto:
Jetzt kann Heidi sich erfolgreich authentifizieren. Sie bekommt ein gültiges Token, und RMS erhält endlich das „grüne Licht“, den Entschlüsselungsschlüssel bereitzustellen.
Die Datei öffnet sich. 🎉
Warum es trotzdem scheitern kann
Auch wenn die Einladung klappt, kann der Zugriff noch an der Mutli Faktor Authentifizierung scheitern:
Heidi nutzt in ihrem Tenant MFA, aber meine Richtlinie verlangt MFA innerhalb meines Tenants. Wenn ich nicht „Trust external MFA“ aktiviert habe, akzeptiert Entra ID ihr MFA-Signal nicht.→ Zugriff blockiert.
💡 Fazit
Entra B2B ist der entscheidende Baustein, damit externe Empfänger geschützte Dateien öffnen können. Erst durch das Gastkonto kann Entra ID die Identität einer externen Person prüfen und ein Zugriffstoken für Azure Rights Management ausstellen.
In der Praxis scheitert der Zugriff dann nicht mehr an der Identität selbst, sondern an zwei typischen Stellen:unzutreffenden Conditional-Access-Policies (wie im vorherigen Artikel gezeigt) oder daran, dass MFA-Signale externer Tenants nicht akzeptiert werden, weil „Trust external MFA“ nicht berücksichtigt ist.
Sind diese Punkte sauber konfiguriert, funktioniert der Zugriff auch für externe Empfänger zuverlässig.
Kommentare