Microsoft Entra Private Access: sicherer Zugriff für externe Benutzer auf interne Ressourcen
Die Anbindung externer Benutzer an interne Ressourcen wurde bisher oft mit VPN umgesetzt. Dieser Ansatz schafft zwar Konnektivität, setzt jedoch nicht konsequent auf Zero Trust Prinzipien. Mit der Funktion für externen Benutzerzugriff in Microsoft Entra Global Secure Access wird es möglich, externe Identitäten in bestehende Microsoft Entra Private Access Konfigurationen einzubinden. Externe Benutzer verwenden ihre eigene Identität und ihr eigenes Gerät und wechseln im Global Secure Access Client gezielt in den Ressourcenmandanten. Beim Wechsel wird ein Private Access Tunnel aufgebaut, der ausschliesslich Zugriff auf definierte interne Anwendungen erlaubt.
Microsoft Entra Private Access für externe Benutzer befindet sich zum Zeitpunkt der Erstellung in Public Preview. Dieser Beitrag zeigt die Voraussetzungen und die Konfiguration, um externen Benutzern mit Microsoft Entra Private Access einen sicheren Zugriff auf interne Ressourcen zu ermöglichen.
Voraussetzungen und Lizenzierung
Externe Benutzer im Ressourcenmandanten
Externe Benutzer, die über Microsoft Entra Private Access auf interne Ressourcen zugreifen sollen, müssen im Ressourcenmandanten als Gastbenutzerobjekte vorhanden und entsprechend konfiguriert sein. Eine Schritt für Schritt Anleitung dazu ist im folgenden Microsoft Learn Artikel beschrieben: Schnellstart: Hinzufügen eines Gastbenutzers und Senden einer Einladung – Microsoft Entra External ID | Microsoft Learn
Microsoft Entra Private Access im Ressourcenmandanten aktiviert
Microsoft Entra Private Access ist im Ressourcenmandanten aktiviert und für mindestens eine interne Ressource veröffentlicht. Eine komplette Schritt für Schritt Anleitung ist im folgenden Link beschrieben: Microsoft Entra Private Access: sicherer Zugriff auf interne Ressourcen und Cloud-Dienste ohne VPN – cloudkaffee.ch
Global Secure Access Client auf Gastgerät installiert
Auf dem Gerät des externen Benutzers muss der Global Secure Access Client installiert sein. Die aktuelle Version steht im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Global Secure Access > Verbinden > Client Download zum Herunterladen bereit.
Zusätzlich zur Installation des Global Secure Access Clients muss die Funktion für den externen Benutzerzugriff über den folgenden Registrierungsschlüssel auf dem Clientgerät aktiviert werden:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client]
"GuestAccessEnabled"=dword:00000001
Lizenzen
Heimmandant
Im Heimmandanten des externen Benutzers ist keine Microsoft Entra Private Access Lizenz erforderlich. Voraussetzung ist lediglich, dass der Mandant über Microsoft Entra ID Free oder höher verfügt. Diese Lizenz ist standardmässig in jedem Mandanten vorhanden.
Ressourcenmandant
Dem externen Benutzer muss im Ressourcenmandanten keine Microsoft Entra Private Access Lizenz zugewiesen werden. Massgeblich ist, dass Microsoft Entra Private Access im Ressourcenmandanten bereits lizenziert und für interne Benutzer konfiguriert ist.
Für den externen Benutzer selbst ist somit weder im Heimmandanten noch im Ressourcenmandanten eine eigene Private Access Lizenz erforderlich.
Rollen
Um externen Benutzern Zugriff auf interne Ressourcen über Microsoft Entra Private Access zu gewähren, ist folgende Rolle nach dem Prinzip der geringsten Berechtigungen im Ressourcenmandanten geeignet:
| Rolle | Berechtigung |
| Global Secure Access-Administrator | Verwalten von Global Secure Access |
Externe Benutzer einer internen Ressource zuweisen
Damit ein externer Benutzer auf eine interne Ressource zugreifen kann, muss die entsprechende Anwendung im Ressourcenmandanten zugewiesen werden. Die Zuweisung erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) > Globaler sicherer Zugriff > Anwendungen > Unternehmensanwendungen > interne Ressource auswählen.
Benutzer und Gruppen > Benutzer/Gruppe hinzufügen anklicken und den externen Benutzer hinzufügen. Alternativ kann der externe Benutzer auch über eine Microsoft Entra Gruppe zugewiesen werden.
Zugriff auf interne Ressource durch externen Benutzer
Für den Zugriff auf eine interne Ressource kann der externe Benutzer im Global Secure Access Client den Mandanten wechseln.
Global Secure Access Client (1) öffnen, Benutzerprofil (2) anklicken und es erscheinen alle Mandanten, in denen der Benutzer als Gast hinterlegt ist. Ressourcenmandant (3) auswählen.
Nach kurzer Zeit ist die Verbindung zum Mandanten (1) aufgebaut und Microsoft Entra Private Access (2) verbunden.
In den Advanced Diagnostics des Global Secure Access Clients wird angezeigt, welche Entra Private Access Regeln angewendet werden.
Gut zu wissen
Tunnelverhalten beim Mandantenwechsel
Beim Wechsel in den Ressourcenmandanten werden bestehende Internet Access, Microsoft 365 und Microsoft Entra Tunnel zum Heimmandanten nicht beibehalten.
Bestehende Sitzungen bleiben aktiv
Beim Mandantenwechsel bleiben bestehende aktive Sitzungen zu Anwendungen im vorherigen Mandanten bestehen, beispielsweise RDP Verbindungen. Wird eine solche Verbindung jedoch getrennt oder neu gestartet, kann sie nicht erneut aufgebaut werden.
Clientneustart bei Konfigurationsänderungen erforderlich
Änderungen an Mandantenzuweisungen oder am Private Access Profil werden erst wirksam, nachdem der Global Secure Access Client neu gestartet wurde.
Fazit
Die Unterstützung externer Benutzer in Microsoft Entra Private Access ergänzt die bestehende Private Access Konfiguration im Ressourcenmandanten um einen Zugriffspfad für B2B-Gastzugriff. Der Zugriff erfolgt über den Global Secure Access Client durch den Wechsel in den Ressourcenmandanten und wird ausschliesslich auf veröffentlichte interne Anwendungen beschränkt. Damit lässt sich externer Zugriff ohne klassisches VPN umsetzen.
Neue Inhalte, praxisnah erklärt: Wer nichts verpassen möchte, bleibt über LinkedIn und Bluesky stets informiert.
Kein Marketing, kein Lärm, nur Inhalt.
Ein Kaffee bringt frisches Know-how in die Tasse des nächsten Beitrags.
