Skip to content

Alles über die Verwaltung der externen Benutzer in Microsoft Teams

Verschwenden Sie immer noch wertvolle Zeit und Ressourcen zur manuellen Verwaltung Ihrer Externen Benutzer in Microsoft Teams? Dann sollten Sie unbedingt diesen Artikel lesen. 

Sie können Externe Benutzer schnell in Ihre Teams einladen. Aber wer überwacht die externen Benutzer und wer findet die Zeit diese manuell wieder zu entfernen? 

Die Zusammenarbeit mit Externen in Microsoft Teams ist heutzutage nicht vermeidbar. Doch oft werden diese nach der Zusammenarbeit einfach vergessen. Dadurch bleiben diese ungewollt weiter in den Teams bestehen. Für den Zeitraum, in dem die externen Benutzer Zugriff auf Ihre Teams erhalten, haben Sie zeitgleich Zugriff auf die freigegebenen Daten. 

Laut der „Teams Governance Studie 2022“ der HDM Stuttgart entfernen 71% der befragten Unternehmen Ihre externen Benutzer händisch aus Ihren Teams. Eine Automatisierung für die Pflege der externen Benutzer wird hierbei vernachlässigt. 

Ohne Ihre externen Benutzer zu verfolgen, gehen Sie somit ein enormes Sicherheitsrisiko ein. Eine aktive Bewachung bedeutet jedoch auch zusätzliche Arbeit für Ihre IT Abteilung. 

Was bedeutet externer Zugriff? 

Der Externer Zugriff in Microsoft Teams ermöglicht es Ihnen mit Benutzern außerhalb Ihrer Organisation zusammen zu arbeiten. Mit externer Benutzer oder Gastnutzer ist in der Regel der externe Zugriff gemeint. In Microsoft Teams gibt es zwei Arten von externen Zugriff (Guest Access und External Access). 

Diese funktionieren technisch unterschiedlich. Bei der Zusammenarbeit können die externen Benutzer Ihre Organisations-Accounts verwenden und sich an der Zusammenarbeit beteiligen.  

Mit Hilfe des externen Zugriffs in Microsoft Teams müssen keine neuen Benutzerkonten für die externen Gäste angelegt werden. Dadurch kann das Unternehmen Lizenzkosten sparen und die externe Benutzer erhalten eine bessere User Experience während der Zusammenarbeit. So haben diese, die Möglichkeit Ihre eigenen Unternehmensaccounts zu verwenden. 

Wenn Sie nun keine Prozesse festgelegt haben, wie mit externen Benutzern gearbeitet werden soll und die externe Freigabe offen ist, wird dies durchaus zu Problemen führen. 

Die Gefahr, die hierbei entsteht, ist dass Sie nicht verfolgen können welche Ihrer Dokumente, die in Ihren Teams abgelegt sind, durch externe Benutzer weitergeteilt werden. Sie verlieren somit die Kontrolle über Ihre Unternehmensdaten durch unautorisierten Zugriff außerhalb Ihres Unternehmens. 

Externer Zugriff vs. Gastzugriff 

Sollen externe Benutzer keinen freien Zugriff auf Ihre Unternehmensdaten erhalten, dann müssen Sie wissen, wie Sie den externen Zugang steuern und wo Sie diesen konfigurieren können.  

Innerhalb des Teams Admin Centers werden Sie auf den Begriff Externer Zugriff stoßen. Zwischen den Begriffen externer Zugriff und Gastzugriff gibt es einen Unterschied: 

Externer Zugriff in diesem Zusammenhang bedeutet Sie gewähren einem externen Benutzer Zugriff auf Ihre Domäne. Hierbei erhält der Externe die Berechtigung mit Ihren Benutzern den Microsoft Teams Chat zu nutzen. Außerhalb des Chats geteilte Dateien können dabei nicht vom Externen Benutzer zugegriffen werden. Die Einstellung das Teilen von Dokumenten im privaten Teams Chat zu verbieten ist auch möglich. 

Gastzugriff hingegen bedeutet, dass Sie einen externen Benutzer direkt in Ihren Microsoft Teams Team einladen und ihm somit den Zugriff auf die dort abgelegten Daten geben.  

Das Ziel ist es eine Kollaboration ihrer Mitarbeiter mit externen Benutzern zu gewährleisten. Daher sprechen wir im Verlauf des Blogbeitrags von genau diesem Gastzugriff. 

Optionen zur externen Zugriffseinstellungen 

Azure AD 

In Ihrem Active Directory Portal haben Sie die Möglichkeit Ihre Gastbenutzer zu verwalten und neue hinzuzufügen. In dem Bereich für Organisationsbeziehungen können Sie weitere Einstellungen durchführen. Hier können Sie unter anderem entscheiden, ob die Besitzer und Mitglieder Ihrer Teams selbstständig Gäste einladen dürfen. 

01-externebenutzer

 Microsoft Azure Overview

Microsoft Teams Admin Center 

Mit dem Microsoft Teams Admin Center können Sie die Gastzugriffe innerhalb den Organisationsweiten Einstellungen verwalten. Aktivieren Sie hier den Regler für den Gastzugriff in Teams, können Sie in jedem Ihrer Teams Gastbenutzer einladen. Außer einzurichten welche Features die Gastbenutzer innerhalb Ihrer Organisation benutzen können, fehlen hier im Microsoft Standard weitere Steuerungsmöglichkeiten.  

02-externebenutzerMicrosoft Teams Admincenter

03-externebenutzerMicrosoft Teams Admincenter Guestacccess

Microsoft 365 Admin Center 

Innerhalb Ihrer Microsoft 365 Admin Center Einstellungen haben Sie die Möglichkeit unter Security und Compliance die Funktion für external Sharing zu aktivieren.  

Bevor Sie Ihren Benutzer ermöglichen können neue Gäste in Ihre Organisation einzuladen muss eine weitere Freigabe innerhalb der Office 365 Groups aktiviert werden. 

Innerhalb der Office 365 Gruppeneinstellungen navigieren Sie zu Dienste und Add-Ins und erhalten zwei Einstellungsmöglichkeiten für Ihren Gastzugriff.  

Um Gastbenutzern vollen Zugriff auf einen Team zu geben, müssen Sie den ersten Haken setzen. Setzen Sie einen Haken für die zweite Option, erhalten die Owner Ihrer Teams die Berechtigung, externe Benutzer direkt in die Teams einzuladen. Trauen Sie den Besitzern Ihrer Teams diese Berechtigung nicht zu dann müssen Sie manuell alle Gäste in der AD und in die einzelnen Gruppen hinzufügen.  

04-externebenutzerMicrosoft365 Admincenter Security


06-externebenutzerMicrosoft 365Admincenter 365groups

SharePoint Admin Center 

Mit dem SharePoint Admin Center können Sie die externen Berechtigungen in die Azure Organisationsbeziehungen übernehmen oder unabhängig von Azure eine separate Liste für externe Gäste erstellen. 

Sollen die SharePoint Einstellungen in Azure übernommen werden, gehen Sie in Ihrem Microsoft 365 Admin Center unter Dienste und Add-Ins und navigieren auf SharePoint. Wenn Sie hier nur vorhandene Gäste auswählen, dann wird SharePoint die im AD hinterlegten Gäste übernehmen und kann nicht eigenständig Externe Benutzer hinzufügen. 

Möchten Sie in SharePoint eine von Azure unabhängige Liste für Ihre externe Gäste, wählen Sie Jeder aus. So können SharePoint Sites auch an anonyme Benutzer geteilt und von diesen genutzt werden. 

08-externebenutzer

Microsoft 365 Admincenter SharePoint

Download Checkliste:

Optimale Governance für Microsoft Teams

Checkliste jetzt herunterladen  

Externe Benutzer müssen sorgfältig verwaltet werden 

Wenn Sie nicht aktiv auf den Zugriff der externen Benutzer auf Ihrer Teams Plattform achten, dann kann dies zu einem unautorisierten Zugriff auf Unternehmensdaten führen. Je nach Szenario kann dies rechtliche Folgen für das Unternehmen bedeuten. 

Zusammenarbeit mit externen abgeschlossen, was nun? 

  • Ist die Zusammenarbeit mit externen Benutzern abgeschlossen, sollten diese dringend aus den Teams entfernt werden. 
  • Werden externe Benutzer nicht rechtzeitig entfernt, dann erfolgt dadurch ungewollt ein unautorisierter Zugriff auf die Unternehmensdaten innerhalb des Teams. 
  • Dieser Fall tritt am häufigsten bei der Projektkollaboration auf. Ist das Projekt abgeschlossen kümmert sich meist niemand um die Archivierung oder den Verbleib der Mitglieder. Externe Benutzer haben somit auch weiter Zugriff auf den Chatverlauf innerhalb des Teams.  
  • Ein solcher Fall kann unterschiedliche Folgen auf den Datenschutz Ihres Unternehmens haben. 

Zugriff auf Unternehmensdaten ohne NDA 

Eine wichtige Aufgabe ist es die Geheimhaltung- (NDA - Non-disclosure agreement) und Datenschutzvereinbarungen mit externen Benutzern regelmäßig zu überprüfen oder gegebenenfalls neu abzuschließen. Ansonsten können Dritte, ohne in eine Verpflichtung zu treten auf Ihre Unternehmensdaten zugreifen. 

Was sollten Sie aus IT-Perspektive für die Verwaltung der externen Benutzer vermeiden? 

Wollen Sie die Zusammenarbeit mit Externen weiterhin gewährleisten, ergibt sich die Möglichkeit neue Benutzeraccounts im Unternehmens Active Directory für die jeweiligen externen Benutzer zu erstellen.  

Danach können Sie die Externen mit Ihren Unternehmensaccounts wieder in die entsprechenden Teams Räume hinzufügen. So lässt sich der externe Gastzugriff gänzlich ausschalten da nur mit internen Unternehmensaccounts gearbeitet wird. 

Arbeiten Sie nur vereinzelt mit Externen wird dies eine einfache und schnelle Lösung sein, jedoch wird dieser Weg nicht empfohlen da somit zusätzliche Lizenzkosten auf Ihr Unternehmen zukommen. 

Haben Sie zusätzlich einen aktiven Wechsel von vielen externen Benutzern in Ihrem Unternehmen, wird dies sehr schnell dank den zusätzlichen Lizenzen zu hohen Kosten führen.  

Welche Probleme dies mit sich führt, lesen Sie in den weiteren Abschnitten. 

Warum die Externe Benutzerverwaltung in Microsoft Teams umständlich ist 

Werden die externen Zugriffe nicht aktiv kontrolliert stellt dies ein enormes Sicherheitsrisiko für Ihr Unternehmen da. Externen Benutzer sollen also nur so lange in einem Teams Raum sein wie benötigt. 

Die externen werden meist direkt von den Besitzern eines Teams hinzugefügt. Zum Entfernen müssen die externen Nutzer dann wiederum manuell entfernt werden. Dieser Vorgang muss für jedes einzelne Team durchgeführt werden, da eine Mitgliedschaft dauerhaft und nicht zeitlich begrenzt ist.  

Während das Hinzufügen der externen Teams Benutzer simpel ist, bringt deren weitere Verwaltung erhebliche Kosten mit sich. Ein externer Nutzer, mit dem die Zusammenarbeit bereits beendet wurde, muss im jeweiligen Team gefunden und entfernt werden. Der Aufwand steigt linear mit der Anzahl der externen Benutzer. 

Download Checkliste:

Optimale Governance für Microsoft Teams

Checkliste jetzt herunterladen  

Problematik bei Unternehmensaccounts für externe Benutzer und Alternativen zur Zusammenarbeit mit externen Benutzer 

Erstellen Sie extra neue Unternehmensaccounts für die externen Benutzer, werden Sie diese aktiv prüfen, entfernen und in die jeweiligen Teams Räume hinzufügen müssen. Zusätzlich zum administrativen Zeitaufwand der internen IT-Abteilung muss diese auch mit den jeweiligen Abteilungen Gespräche und Abstimmungen führen, um die Externen Benutzer zu prüfen. 

Außerdem entstehen zusätzliche Lizenzkosten für die neu erstellten Benutzer. Des Weiteren nutzen Externe Benutzer nach unseren Erfahrungen eher ungern Unternehmensaccounts. Das hat eine negative Auswirkung auf die Antwortzeiten während der Zusammenarbeit. (Externe Benutzer sind oft mit ihren eigenen Accounts besser erreichbar).  

Sobald Mitarbeiter die Notwendigkeit sehen mit externen Dienstleistern oder Kunden in einem Teams-Raum zusammenzuarbeiten, folgt ein steigender Aufwand der IT-Abteilung. Das bedeutet auch dass, entsprechende Lizenzierungen und Zugriffsrechte vergeben werden müssen.  

Es kann auch dazu kommen, dass Unternehmensaccounts für externe Benutzer erstellt werden und diese nie wieder aus den Teams-Räumen entfernt werden. Daraus folgt ein dauerhafter Zugriff auf das Team und die beinhaltenden Daten. 

 

Verwalten der externen Benutzer auf Basis von Microsoft Standard Bordmitteln 

Ein Lösungsansatz ist das Access Review Feature von Azure AD, bei dem die aktuellen Zugriffsrechte analysiert werden können bzw. externe Benutzer automatisiert aus den Räumen entfernt werden. Dieses kann jedoch nur von Azure AD Administratoren manuell gesetzt werden und die Dauer nicht z.B. anhand von Teams vorgegeben werden. Das Feature benötigt außerdem eine Azure AD P2-Lizenz, die oft von mittelständischen Unternehmen nicht im Einsatz ist. 

Azure AD P2 Vor- und Nachteile 

Vorteile: 

Die Azure AD Premium P2 wird sehr häufig verwendet, um Einblick in die Benutzeraktivitäten innerhalb der Azure-Infrastruktur, Office 365 und Webanwendungen zu erhalten.  

Der Funktionsumfang von Azure AD Premium P2 bietet Administratoren die Möglichkeit, alle Benutzer und deren SSO-Zugang umfassend zu verwalten. 

Durch die Nutzung des Identitätsschutzes von Azure AD und der Verwaltung privilegierter Identitäten stellt AAD Premium P2 Administratoren viel mehr Daten zur Verfügung als die vorherigen Versionen und warnt Unternehmen auf eine Art und Weise, die ihnen hilft, Compliance zu erreichen und Probleme mit AAD oder Azure zu beheben.  

Nachteile: 

Bei allen Preisstufen ist Azure AD für die Zusammenarbeit mit einem separaten Verzeichnisdienst vorgesehen.  

Unternehmen, die auf eine Cloud-Infrastruktur umsteigen möchten, haben möglicherweise Schwierigkeiten, AAD Premium P2 ganz allein zu nutzen. Damit sind Sie nicht in der Lage, den Zugang von Benutzern zu ihren Netzwerken über RADIUS zu verwalten. Zusätzlich sind die Systemverwaltungsfunktionen sind begrenzt.  

Empfohlene Ansätze zur Verwaltung der externen Benutzer 

Um einen unkontrollierten Zugriff von externen Benutzern zu verhindern, gibt es einige Best practices die Sie verfolgen können. 

Unsere Empfehlung ist es zugelassene Domains zu definieren (Whitelisting) und erstellen Sie keine neuen Benutzer in der Unternehmensumgebung. Die Externen Benutzer können dann mit ihren eigenen Benutzerkonten in die Teams Räume eingeladen werden.  

Achten Sie darauf, dass die Mitgliedschaft der Externen mit einer Frist von z.B. 7, 30, 90, 180 Tagen versehen werden kann und danach automatisch gelöscht wird.  

Geben Sie Ihren Benutzern die Möglichkeit diese Frist dann per Antrag zu verlängern oder zu verkürzen bzw. zu entfernen. Dieser Ansatz kann nicht mit Standard Microsoft Bordmitteln abgebildet werden deswegen ist eine separate Lösung an dieser Stelle notwendig. 

Art der externen Benutzer 

Definieren Sie welche externen Benutzer in Ihre Teams eingeladen werden dürfen. Hier müssen Sie definieren ob nur bestehende externe Benutzer (Benutzer, die in Ihrem Active Directory bereits angelegt sind oder dessen Domain genehmigt ist) oder auch neue externe Benutzer mit einer unbekannten Mail-adresse eingeladen werden dürfen. 

Für jedes Team kann die Vorgehensweise dabei unterschiedlich sein. Wichtig ist es hier nicht alles pauschal zu definieren, sondern Ihre Teams zu kategorisieren und eigene Sicherheitsstufen definieren.  

Definieren Sie Ihre Sicherheitsstufe je nach Verwendungszweck. Entscheiden Sie wann externe Benutzer eingeladen werden dürfen und welche Art der externen Benutzer dabei in Frage kommen. 

Einrichtung der Gastberechtigungen für ein Team 

Um Ihre Unternehmensdaten vor unautorisiertem Zugriff zu schützen ist es wertvoll auf Dokumentenklassifizierung zurückzugreifen. Hierbei definieren Sie mit Sensitivity Labels auf welche Dokumente die externen Benutzer zugreifen dürfen. 

Identifizieren Sie die externen Nutzer in Ihren Teams Räumen. Standardmäßig sollten Sie hierfür eine Analyse durchführen und die externen Benutzer daraufhin aus den Teams Räumen entfernen. 

Download Checkliste: Optimale Governance für Microsoft Teams

Schritt für Schritt alle relevanten Aspekte überprüfen und optimale Governance sicherstellen

Checkliste jetzt herunterladen  
 
valprovia-governance-checklist-de

Fazit 

Sind Ressourcen und Zeit zu knapp, um die Verwaltung der externen Benutzer selbst in die Hand zu nehmen bietet sich der Einsatz einer Governance Lösung an. 

Mit verschiedenen Governance Lösungen auf dem Markt lassen sich die im Blogartikel erwähnten Richtlinien einfach konfigurieren und automatisieren.  

So richten Sie einen temporärem Zugriff ein, abhängig von bestimmten Bedingungen und erlauben externen Nutzern nur autorisierten Zugriff und können diesen automatisch entziehen lassen.