Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: 
Externe Mandanten (weitere Informationen)
Microsoft Entra External ID umfasst Microsofts Kundenidentitäts- und Zugriffsverwaltungs-lösung (CIAM). Für Organisationen und Unternehmen, die ihre Anwendungen für Heimanwender und Geschäftskunden verfügbar machen möchten, erleichtert die externe ID das Hinzufügen von CIAM-Features wie Self-Service-Registrierung, personalisierten Anmeldeerfahrungen und Kundenkontoverwaltung. Da diese CIAM-Funktionen in Microsoft Entra ID integriert sind, profitieren Sie auch von Plattformfeatures wie verbesserter Sicherheit, Compliance und Skalierbarkeit.
Erstellen eines dedizierten externen Mandanten
Bei den ersten Schritten mit External ID für Ihre Heimanwender- und Geschäftskunden-Apps erstellen Sie zunächst einen Mandanten für Apps, Ressourcen und das Verzeichnis der Kundenkonten.
Wenn Sie mit Microsoft Entra ID gearbeitet haben, sind Sie bereits mit der Verwendung eines Microsoft Entra Mandanten vertraut, der Ihr Mitarbeiterverzeichnis, interne Apps und andere Organisationsressourcen enthält. Mit der externen ID erstellen Sie einen eindeutigen Mandanten, der dem Standard-Microsoft Entra Mandantenmodell folgt, aber für externe Szenarien konfiguriert ist. Dieser externe Mandant enthält:
Ein Verzeichnis: Im Verzeichnis werden die Anmeldeinformationen und Profildaten Ihrer Kunden gespeichert. Wenn sich ein Consumer oder Geschäftskunde für Ihre App registriert, wird für ihn ein lokales Konto in Ihrem externen Mandanten erstellt.
Application-Registrierungen: Microsoft Entra ID führt identitäts- und zugriffsverwaltung nur für registrierte Anwendungen aus. Wenn Sie Ihre App registrieren, wird eine Vertrauensstellung eingerichtet, und Sie können Ihre App in Microsoft Entra ID integrieren. In externen Mandanten können Sie Apps registrieren, die entweder das OpenID Connect (OIDC)- oder SAML-Protokoll (Security Assertion Markup Language) für die Authentifizierung und einmaliges Anmelden (Single Sign-On, SSO) verwenden. Der App-Registrierungsprozess ist für OIDC-basierte Apps optimiert. Um eine SAML-App zu registrieren, verwenden Sie stattdessen das Feature "Enterprise-Anwendungen".
Benutzerflows: Der externe Mandant enthält die Self-Service-Registrierungs-, -Anmelde- und Kennwortzurücksetzungsfunktionen, die Sie für Ihre Kunden aktivieren möchten.
Erweiterungen: Wenn Sie Benutzerattribute und Daten aus externen Systemen hinzufügen müssen, können Sie benutzerdefinierte Authentifizierungserweiterungen für Ihre Benutzerflows erstellen.
Sign-In-Methoden: Sie können verschiedene Optionen für die Anmeldung bei Ihrer App aktivieren, einschließlich Benutzername und Kennwort, Einmalkennung und Google, Facebook, Apple, Microsoft Entra ID oder benutzerdefinierte OIDC-Identitäten.
Verschlüsselungsschlüssel: Hinzufügen und Verwalten von Verschlüsselungsschlüsseln zum Signieren und Überprüfen von Token, geheimen Clientschlüsseln, Zertifikaten und Kennwörtern.
Erfahren Sie mehr über password und einmalige Kennung Anmeldung und über Google, Facebook, Apple, Microsoft Entra ID und OIDC Federation.
In einem externen Mandanten können Sie zwei Arten von Benutzerkonten verwalten:
Kundenkonto: Konten, die die Kunden darstellen, die auf Ihre Anwendungen zugreifen.
Geschäftskonto: Benutzer mit Geschäftskonten können Ressourcen in einem Mandanten verwalten und zudem Mandanten verwalten, wenn sie über eine Administratorrolle verfügen. Benutzer mit Geschäftskonten können neue Consumerkonten erstellen, Kennwörter zurücksetzen, Konten sperren/entsperren und Berechtigungen festlegen oder ein Konto einer Sicherheitsgruppe zuweisen.
Erfahren Sie mehr über die Verwaltung von Kundenkonten und Administratorkonten in Ihrem externen Mandanten.
Hinzufügen einer benutzerdefinierten Anmeldung
Die externe ID richtet sich an Unternehmen, die ihren Kunden Anwendungen über die Microsoft Entra Plattform für Identität und Zugriff zur Verfügung stellen möchten.
Fügen Sie Ihren Apps die Registrierungs- und Anmeldeseiten hinzu. Fügen Sie schnell intuitive, benutzerfreundliche Anmelde- und Anmeldeoberflächen für Ihre Kunden-Apps hinzu. Mit einer einzigen Identität kann ein Kunde sicher auf alle Anwendungen zugreifen, von denen Sie möchten, dass er sie nutzen soll.
Fügen Sie ein einmaliges Anmelden (Single Sign-On, SSO) mit Identitäten für soziale Netzwerke und Unternehmen hinzu. Kunden können eine soziale, Unternehmens- oder verwaltete Identität auswählen, um sich mit einem Benutzernamen und Kennwort, einer E-Mail-Adresse oder einer einmaligen Kennung anzumelden.
Fügen Sie der Registrierungsseite Ihr Unternehmensbranding hinzu. Passen Sie das Erscheinungsbild Ihrer Registrierungs- und Anmeldeerfahrungen an, einschließlich der Standardumgebung und der Benutzeroberfläche für bestimmte Browsersprachen.
Passen Sie Ihre Registrierungsflows ganz einfach an und erweitern Sie sie. Passen Sie Ihre Identitätsbenutzerflows an Ihre Anforderungen an. Wählen Sie die Attribute aus, die Sie während der Registrierung von einem Kunden erfassen möchten, oder fügen Sie Ihre eigenen benutzerdefinierten Attribute hinzu. Wenn die von Ihrer App benötigten Informationen in einem externen System enthalten sind, erstellen Sie benutzerdefinierte Authentifizierungserweiterungen zum Erfassen und Hinzufügen von Daten zu Authentifizierungstoken.
Integrieren Sie mehrere App-Sprachen und -Plattformen. Mit Microsoft Entra können Sie sichere, markenbasierte Authentifizierungsflüsse für mehrere App-Typen, Plattformen und Sprachen schnell einrichten und bereitstellen.
Anwenden der nativen Authentifizierung für Ihre Apps Erstellen Sie nahtlose Authentifizierungsfunktionen für mobile und Desktopanwendungen mit dem Microsoft Authentication Library (MSAL) (MSAL) für iOS und Android.
Stellen Sie die Self-Service-Kontoverwaltung bereit. Kunden können sich für Ihre Onlinedienste selbst registrieren, ihr Profil verwalten, ihr Konto löschen, sich bei einer mehrstufigen Authentifizierungsmethode (MFA) registrieren oder ihr Kennwort ohne Administrator- oder Helpdeskunterstützung zurücksetzen.
Stimmen Sie Ihren Nutzungsbedingungen und Datenschutzrichtlinien zu. Sie können Benutzer auffordern, Ihre Geschäftsbedingungen während der Registrierung zu akzeptieren. Mithilfe von Kundenbenutzerattributen können Sie Ihrem Registrierungsformular Kontrollkästchen hinzufügen und Links zu Ihren Nutzungsbedingungen und Datenschutzrichtlinien hinzufügen.
Erfahren Sie mehr über das Hinzufügen von Anmeldungen und Registrierungen zu Ihrer App sowie zum Anpassen des Erscheinungsbilds der Anmeldung.
Entwerfen von Benutzerflows für die Self-Service-Registrierung
Sie können eine einfache Registrierungs- und Anmeldeumgebung für Ihre Kunden erstellen, indem Sie Ihrer Anwendung einen Benutzerflow hinzufügen. Der Benutzerablauf definiert die Reihe von Registrierungsschritten, die Kunden ausführen, und die Anmeldemethoden, die sie verwenden können (z. B. E-Mail und Kennwort, Einmalkennungen, Konten für soziale Netzwerke aus Google, Facebook oder Apple, Microsoft Entra ID Partnerverbund, sowie custom OIDC Identitätsanbieter). Sie können zudem während der Registrierung Informationen von Kunden erfassen, indem Sie aus einer Reihe von integrierten Benutzerattributen auswählen oder Ihre eigenen benutzerdefinierten Attribute hinzufügen.
Mit mehreren Benutzerfloweinstellungen können Sie steuern, wie sich der Kunde für die Anwendung registriert, einschließlich:
- Anmeldemethoden und externe Identitätsanbieter
- Attribute, die vom Benutzer bei der Registrierung erfasst werden, z. B. Vorname, Postleitzahl oder Land/Region des Wohnsitzes
- Unternehmensbranding und Sprachanpassung
Ausführliche Informationen zum Konfigurieren eines Benutzerflows finden Sie unter Erstellen eines Registrierungs- und Anmeldebenutzerflows für Kunden.
Hinzufügen Ihrer eigenen Geschäftslogik
External ID ist auf Flexibilität ausgelegt, da Sie an bestimmten Stellen innerhalb des Authentifizierungsflusses Aktionen definieren können. Mithilfe einer benutzerdefinierten Authentifizierungserweiterung können Sie dem Token Ansprüche von externen Systemen hinzufügen, bevor es für Ihre Anwendung ausgestellt wird.
Erfahren Sie mehr über das Hinzufügen Ihrer eigenen Geschäftslogik mit benutzerdefinierten Authentifizierungserweiterungen.
Microsoft Entra Sicherheit und Zuverlässigkeit
Die externe ID stellt die Konvergenz von Business-to-Consumer-Features (B2C) in die Microsoft Entra-Plattform dar. Sie profitieren von Plattformfeatures wie verbesserter Sicherheit, Einhaltung von Vorschriften und der Möglichkeit, Ihre Identitäts- und Zugriffsverwaltungsprozesse zu skalieren.
Bedingter Zugriff
Microsoft Entra Conditional Access vereint Signale, um Entscheidungen zu treffen und Sicherheitsrichtlinien durchzusetzen. Die einfachsten Richtlinien für den bedingten Zugriff sind wenn-dann-Anweisungen: Wenn ein*e Benutzer*in auf Ihre Anwendung zugreifen möchte, dann muss er bzw. sie eine Aktion ausführen.
Richtlinien für den bedingten Zugriff werden durchgesetzt, nachdem der bzw. die Benutzer*in die First-Factor-Authentifizierung abgeschlossen hat. Wenn beispielsweise das Anmelderisikoniveau eines Benutzers hoch ist, muss er eine MFA ausführen, um Zugriff zu erhalten. Alternativ besteht der restriktivste Ansatz darin, den Zugriff auf die Anwendung zu blockieren.
Mehrstufige Authentifizierung (MFA)
Microsoft Entra MFA trägt dazu bei, den Zugriff auf Daten und Anwendungen zu schützen und gleichzeitig die Einfachheit Ihrer Benutzer aufrechtzuerhalten. Microsoft Entra External ID ist direkt in Microsoft Entra MFA integriert, sodass Sie Ihrer Anmelde- und Anmeldeerfahrung Sicherheit hinzufügen können, indem Sie eine zweite Authentifizierungsform benötigen. Je nach Umfang der Sicherheit, die Sie auf Ihre Apps anwenden möchten, können Sie die MFA optimieren. Betrachten Sie die folgenden Szenarien:
Sie bieten Kundinnen und Kunden eine einzelne App an und möchten MFA als zusätzliche Sicherheitsebene aktivieren. Sie können MFA in einer Richtlinie für bedingten Zugriff aktivieren, die auf alle Benutzerinnen und Benutzer und Ihre Anwendung ausgerichtet ist.
Sie bieten Ihren Kundinnen und Kunden mehrere Anwendungen an, aber Sie benötigen nicht für jede Anwendung MFA. Beispielsweise kann sich der Kunde bei der Anwendung einer Kfz-Versicherung mit einem lokalen Konto oder dem Konto eines sozialen Netzwerks anmelden. Er muss jedoch seine Telefonnummer bestätigen, bevor er auf die Anwendung für die Hausversicherung zugreifen kann, die im selben Verzeichnis registriert ist. In Ihrer Richtlinie für bedingten Zugriff können Sie alle Benutzerinnen und Benutzer ansprechen, aber nur die Anwendungen, für die Sie MFA erzwingen möchten.
Erfahren Sie mehr über MFA in externen Mandanten oder erfahren Sie, wie Sie Multi-Faktor-Authentifizierung aktivieren.
Computer-zu-Computer-Authentifizierung (M2M)
Die M2M-Authentifizierung (Machine-to-Machine) verwendet den OAuth 2.0-Clientanmeldeinformationsfluss, damit eine Anwendung sich direkt mit Microsoft Entra ID authentifizieren kann. Dieser Fluss ist für Szenarien ohne Benutzerinteraktion vorgesehen, in denen Back-End-Dienste Zugriffstoken sicher anfordern und APIs in ihrem eigenen Auftrag aufrufen müssen.
Für Microsoft Entra External ID Anwendungen können Sie die M2M-Authentifizierung mithilfe des Clientanmeldeinformationsflusses entweder mit einem geheimen Clientschlüssel oder einem Zertifikat konfigurieren. Mit diesem Ansatz kann sich Ihre Anwendung beim Zugriff auf APIs als sich selbst authentifizieren. Um die M2M-Authentifizierung zu aktivieren, müssen Sie das M2M Premium-Add-On verwenden. Überprüfen Sie die Premium-Add-On-Nutzungsrichtlinie Ihrer Organisation, um Kostenauswirkungen zu verstehen und die Einhaltung interner Governance- und Lizenzierungsanforderungen sicherzustellen.
Microsoft Entra Zuverlässigkeit und Skalierbarkeit
Erstellen Sie eine hochgradig angepasste Anmeldeumgebung und verwalten Sie Kundenkonten in großem Umfang. Stellen Sie eine gute Kundenerfahrung sicher, indem Sie Microsoft Entra Leistung, Ausfallsicherheit, Geschäftskontinuität, niedrige Latenz und hohen Durchsatz nutzen.
Analysieren von Benutzeraktivitäten und -bindung
Die Funktion „Anwendungsbenutzeraktivität“ unter „Nutzung & Erkenntnisse“ bietet Datenanalysen zu Benutzeraktivitäten und Kundenbindung für registrierte Anwendungen in Ihrem Mandanten. Mit diesem Feature können Sie Benutzeraktivitätsdaten im Microsoft Entra Admin Center anzeigen, abfragen und analysieren. Auf diese Weise können Sie wertvolle Erkenntnisse aufdecken, die strategische Entscheidungen unterstützen und das Geschäftswachstum fördern können.
Erfahren Sie mehr über die App-Benutzeraktivitäts-Dashboards, die in externen Mandanten verfügbar sind.
Informationen zu Azure AD B2C
Ab dem 1. Mai 2025 ist Azure AD B2C nicht mehr für den Kauf durch neue Kunden verfügbar (weitere Informationen finden Sie in unserem FAQ). Microsoft Entra External ID ist die CIAM-Lösung der nächsten Generation von Microsoft, wobei alle neuen Features und Funktionen auf dieser Plattform basieren. Wenn Sie ein vorhandener Azure AD B2C-Kunde sind, lesen Sie Planen Sie Ihre Migration von Azure AD B2C zu externer ID, um zu beginnen.
Nächste Schritte
- Sehen Sie sich unsere Trainings, Live-Demos und Videos an.
- Erfahren Sie mehr über die Planung zur Microsoft Entra External ID.
- Weitere Informationen finden Sie im Microsoft Entra External ID Developer Center für die neuesten Entwicklerinhalte und -ressourcen.