Alles über die Verwaltung von externen Benutzern in Microsoft Teams

Was bedeutet externer Zugriff? 

Der externe Zugriff in Microsoft Teams ermöglicht es Ihnen, mit Benutzern außerhalb Ihrer Organisation zusammenzuarbeiten. Mit "externer Benutzer" oder "Gastnutzer" ist in der Regel der externe Zugriff gemeint. In Microsoft Teams gibt es zwei Arten des externen Zugriffs — Guest Access und External Access. 

Diese funktionieren technisch unterschiedlich. Bei der Zusammenarbeit können die externen Benutzer Ihre Organisations-Accounts verwenden und sich an der Zusammenarbeit beteiligen.  

Mit Hilfe des externen Zugriffs in Microsoft Teams müssen keine neuen Benutzerkonten für die externen Gäste angelegt werden. Dadurch kann das Unternehmen Lizenzkosten sparen und die externe Benutzer erhalten eine bessere User Experience während der Zusammenarbeit. So haben diese die Möglichkeit, Ihre eigenen Unternehmensaccounts zu verwenden. 

Wenn Sie keine Prozesse festgelegt haben, wie mit externen Benutzern gearbeitet werden soll und die externe Freigabe offen ist, wird dies zu Problemen führen. 

Die Gefahr besteht darin, ist dass Sie nicht verfolgen können, welche Ihrer Dokumente, die in Ihren Teams abgelegt sind, durch externe Benutzer weitergeteilt werden. Sie verlieren somit die Kontrolle über Ihre Unternehmensdaten durch unautorisierten Zugriff außerhalb Ihres Unternehmens. 

Externer Zugriff vs. Gastzugriff 

Wenn externe Benutzer keinen freien Zugriff auf Ihre Unternehmensdaten erhalten sollen, dann müssen Sie wissen, wie Sie den externen Zugang steuern und wo Sie diesen konfigurieren können.  

Innerhalb des Teams Admin Centers werden Sie auf den Begriff "externer Zugriff" stoßen. Zwischen den Begriffen "externer Zugriff" und "Gastzugriff" gibt es einen Unterschied: 

"Externer Zugriff" in diesem Zusammenhang bedeutet, dass Sie einem externen Benutzer Zugriff auf Ihre Domäne gewähren. Hierbei erhält der Externe die Berechtigung, mit Ihren Benutzern den Microsoft Teams Chat zu nutzen. Auf außerhalb des Chats geteilte Dateien kann ein externer Benutzer dabei nicht zugreifen. Es ist auch möglich, die Einstellung vorzunehmen, dass das Teilen von Dokumenten im privaten Teams Chat verboten wird. 

"Gastzugriff" hingegen bedeutet, dass Sie einen externen Benutzer direkt in Ihr Microsoft-Teams-Team einladen und ihm somit den Zugriff auf die dort abgelegten Daten ermöglichen.  

Ziel ist es, eine Kollaboration ihrer Mitarbeiter mit externen Benutzern zu gewährleisten. Daher sprechen wir im Verlauf des Blogbeitrags von genau diesem Gastzugriff. 

Optionen zur Einstellung von externen Zugriffen 

Azure AD 

In Ihrem Active Directory Portal haben Sie die Möglichkeit, Ihre Gastbenutzer zu verwalten und neue hinzuzufügen. Im Bereich für Organisationsbeziehungen können Sie weitere Einstellungen durchführen. Hier können Sie unter anderem entscheiden, ob die Besitzer und Mitglieder Ihrer Teams selbstständig Gäste einladen dürfen. 

 Microsoft Azure Overview

Microsoft Teams Admin Center 

Mit dem Microsoft Teams Admin Center können Sie die Gastzugriffe innerhalb den organisationsweiten Einstellungen verwalten. Aktivieren Sie hier den Regler für den Gastzugriff in Teams, können Sie in jedem Ihrer Teams Gastbenutzer einladen. Außer einzurichten, welche Features die Gastbenutzer innerhalb Ihrer Organisation benutzen können, fehlen hier im Microsoft Standard weitere Steuerungsmöglichkeiten.  

Microsoft Teams Admincenter

Microsoft Teams Admincenter Guestacccess

Microsoft 365 Admin Center 

Innerhalb Ihrer Microsoft 365 Admin Center Einstellungen haben Sie die Möglichkeit, unter Security und Compliance die Funktion für external Sharing zu aktivieren.  

Bevor Sie Ihrem Benutzer ermöglichen können, neue Gäste in Ihre Organisation einzuladen, muss eine weitere Freigabe innerhalb der Office 365 Groups aktiviert werden. 

Innerhalb der Office 365 Gruppeneinstellungen navigieren Sie zu "Dienste" und "Add-Ins" und erhalten zwei Einstellungsmöglichkeiten für Ihren Gastzugriff.  

Um Gastbenutzern vollen Zugriff auf einen Team zu geben, müssen Sie den ersten Haken setzen. Setzen Sie einen Haken für die zweite Option, erhalten die Owner Ihrer Teams die Berechtigung, externe Benutzer direkt in die Teams einzuladen. Trauen Sie den Besitzern Ihrer Teams diese Berechtigung nicht zu, müssen Sie manuell alle Gäste in der AD und in die einzelnen Gruppen hinzufügen.  

Microsoft365 Admincenter Security

Microsoft 365Admincenter 365groups

SharePoint Admin Center 

Mit dem SharePoint Admin Center können Sie die externen Berechtigungen in die Azure Organisationsbeziehungen übernehmen oder unabhängig von Azure eine separate Liste für externe Gäste erstellen. 

Sollen die SharePoint-Einstellungen in Azure übernommen werden, gehen Sie in Ihrem Microsoft 365 Admin Center unter "Dienste" und "Add-Ins" und navigieren auf SharePoint. Wenn Sie hier nur vorhandene Gäste auswählen, wird SharePoint die im AD hinterlegten Gäste übernehmen und kann nicht eigenständig externe Benutzer hinzufügen. 

Möchten Sie in SharePoint eine von Azure unabhängige Liste für Ihre externe Gäste, wählen Sie "Jeder" aus. So können SharePoint Sites auch an anonyme Benutzer geteilt und von diesen genutzt werden. 

Microsoft 365 Admincenter SharePoint

Externe Benutzer müssen sorgfältig verwaltet werden 

Wenn Sie nicht aktiv auf den Zugriff der externen Benutzer auf Ihre Teams-Plattform achten, kann dies zu einem unautorisierten Zugriff auf Unternehmensdaten führen. Je nach Szenario kann dies rechtliche Folgen für das Unternehmen bedeuten. 

Die Zusammenarbeit mit Externen ist abgeschlossen — was nun? 

• Ist die Zusammenarbeit mit externen Benutzern abgeschlossen, sollten diese dringend aus den Teams entfernt werden. 
• Werden externe Benutzer nicht rechtzeitig entfernt, dann erfolgt dadurch ungewollt ein unautorisierter Zugriff auf die Unternehmensdaten innerhalb des Teams. 
• Dieser Fall tritt am häufigsten bei der Projektkollaboration auf. Ist das Projekt abgeschlossen, kümmert sich meist niemand um die Archivierung oder den Verbleib der Mitglieder. Externe Benutzer haben somit auch weiter Zugriff auf den Chatverlauf innerhalb des Teams.  

• Ein solcher Fall kann unterschiedliche Auswirkungen auf den Datenschutz Ihres Unternehmens haben. 

Zugriff auf Unternehmensdaten ohne NDA 

Eine wichtige Aufgabe ist es, die Geheimhaltungs- (NDA - Non-disclosure agreement) und Datenschutzvereinbarungen mit externen Benutzern regelmäßig zu überprüfen und gegebenenfalls neu abzuschließen. Ansonsten können Dritte auf Ihre Unternehmensdaten zugreifen, ohne in eine Verpflichtung zu treten. 

Was sollten Sie aus IT-Perspektive für die Verwaltung der externen Benutzer vermeiden? 

Wollen Sie die Zusammenarbeit mit Externen weiterhin gewährleisten, ergibt sich die Möglichkeit, neue Benutzeraccounts im Active Directory des Unternehmens für die jeweiligen externen Benutzer zu erstellen.  

Danach können Sie die Externen mit Ihren Unternehmensaccounts wieder in die entsprechenden Teams-Räume hinzufügen. So lässt sich der externe Gastzugriff gänzlich ausschalten, da nur mit internen Unternehmensaccounts gearbeitet wird. 

Arbeiten Sie nur vereinzelt mit Externen, ist dies eine einfache und schnelle Lösung. Dennoch wird dieser Weg nicht empfohlen, da so zusätzliche Lizenzkosten auf Ihr Unternehmen zukommen. 

Haben Sie zusätzlich einen aktiven Wechsel von vielen externen Benutzern in Ihrem Unternehmen, führt dies durch zusätzliche Lizenzen sehr schnell zu hohen Kosten.  

Welche Probleme dies mit sich bringt lesen Sie in den weiteren Abschnitten. 

Warum die externe Benutzerverwaltung in Microsoft Teams umständlich ist 

Werden die externen Zugriffe nicht aktiv kontrolliert, stellt dies ein enormes Sicherheitsrisiko für Ihr Unternehmen dar. Externe Benutzer sollen also nur so lange in einem Teams-Raum sein wie nötig. 

Die Externen werden meist direkt von den Besitzern eines Teams hinzugefügt. Zum Entfernen müssen die externen Nutzer dann wiederum manuell entfernt werden. Dieser Vorgang muss für jedes einzelne Team durchgeführt werden, da eine Mitgliedschaft dauerhaft und nicht zeitlich begrenzt ist.  

Während das Hinzufügen der externen Teams Benutzer simpel ist, bringt deren weitere Verwaltung erhebliche Kosten mit sich. Ein externer Nutzer, mit dem die Zusammenarbeit bereits beendet wurde, muss im jeweiligen Team gefunden und entfernt werden. Der Aufwand steigt linear mit der Anzahl der externen Benutzer. 

Problematik bei Unternehmensaccounts für externe Benutzer und Alternativen zur Zusammenarbeit mit externen Benutzern 

Erstellen Sie extra neue Unternehmensaccounts für die externen Benutzer, müssen Sie diese aktiv prüfen, entfernen und in die jeweiligen Teams-Räume hinzufügen. Zusätzlich zum administrativen Zeitaufwand der internen IT-Abteilung muss diese auch mit den jeweiligen Abteilungen Gespräche und Abstimmungen führen, um die externen Benutzer zu prüfen. 

Außerdem entstehen zusätzliche Lizenzkosten für die neu erstellten Benutzer. Des Weiteren nutzen externe Benutzer nach unseren Erfahrungen eher ungern Unternehmensaccounts. Das hat eine negative Auswirkung auf die Antwortzeiten während der Zusammenarbeit (externe Benutzer sind oft mit ihren eigenen Accounts besser erreichbar).  

Sobald Mitarbeiter die Notwendigkeit sehen, mit externen Dienstleistern oder Kunden in einem Teams-Raum zusammenzuarbeiten, entsteht für die IT-Abteilung ein steigender Aufwand. Das bedeutet auch, dass entsprechende Lizenzierungen und Zugriffsrechte vergeben werden müssen.  

Es kann auch dazu kommen, dass Unternehmensaccounts für externe Benutzer erstellt werden und diese nie wieder aus den Teams-Räumen entfernt werden. Hieraus resultiert ein dauerhafter Zugriff auf das Team und die beinhalteten Daten. 

Verwalten der externen Benutzer auf Basis von Microsoft Standard Bordmitteln 

Ein Lösungsansatz ist das Access Review Feature von Azure AD, bei dem die aktuellen Zugriffsrechte analysiert werden können bzw. externe Benutzer automatisiert aus den Räumen entfernt werden. Dieses kann jedoch nur von Azure AD Administratoren manuell gesetzt werden und die Dauer nicht z. B. anhand von Teams vorgegeben werden. Das Feature benötigt außerdem eine Azure AD P2-Lizenz, über die mittelständische Unternehmen oft nicht verfügen. 

Azure AD P2 Vor- und Nachteile 

Vorteile: 

Die Azure AD Premium P2 wird sehr häufig verwendet, um Einblick in die Benutzeraktivitäten innerhalb der Azure-Infrastruktur, Office 365 und Webanwendungen zu erhalten.  

Der Funktionsumfang von Azure AD Premium P2 bietet Administratoren die Möglichkeit, alle Benutzer und deren SSO-Zugang umfassend zu verwalten. 

Durch die Nutzung des Identitätsschutzes von Azure AD und der Verwaltung privilegierter Identitäten stellt AAD Premium P2 Administratoren viel mehr Daten zur Verfügung als die vorherigen Versionen und warnt Unternehmen auf eine Art und Weise, die ihnen hilft, Compliance zu erreichen und Probleme mit AAD oder Azure zu beheben.  

Nachteile: 

Bei allen Preisstufen ist Azure AD für die Zusammenarbeit mit einem separaten Verzeichnisdienst vorgesehen.  

Unternehmen, die auf eine Cloud-Infrastruktur umsteigen möchten, haben möglicherweise Schwierigkeiten, AAD Premium P2 ganz allein zu nutzen. Damit sind Sie nicht in der Lage, den Zugang von Benutzern zu ihren Netzwerken über RADIUS zu verwalten. Ferner sind die Systemverwaltungsfunktionen begrenzt.  

Empfohlene Ansätze zur Verwaltung der externen Benutzer 

Um einen unkontrollierten Zugriff von externen Benutzern zu verhindern, gibt es einige Best practices, die Sie verfolgen können. 

Unsere Empfehlung ist, zugelassene Domains zu definieren (Whitelisting) und keine neuen Benutzer in der Unternehmensumgebung zu erstellen. Die externen Benutzer können dann mit ihren eigenen Benutzerkonten in die Teams-Räume eingeladen werden.  

Achten Sie darauf, dass die Mitgliedschaft der Externen mit einer Frist von z. B. 7, 30, 90 oder 180 Tagen versehen werden kann und danach automatisch gelöscht wird.  

Geben Sie Ihren Benutzern die Möglichkeit, diese Frist per Antrag zu verlängern oder zu verkürzen bzw. zu entfernen. Dieser Ansatz kann nicht mit standardmäßigen Microsoft Bordmitteln abgebildet werden, weshalb eine separate Lösung an dieser Stelle notwendig wird. 

Art der externen Benutzer 

Definieren Sie, welche externen Benutzer in Ihre Teams eingeladen werden dürfen. Hier müssen Sie definieren, ob nur bestehende externe Benutzer (Benutzer, die in Ihrem Active Directory bereits angelegt sind oder deren Domain genehmigt ist) oder auch neue externe Benutzer mit einer unbekannten Mailadresse eingeladen werden dürfen. 

Für jedes Team kann die Vorgehensweise dabei unterschiedlich sein. Wichtig ist es hier, nicht alles pauschal zu definieren, sondern Ihre Teams zu kategorisieren und eigene Sicherheitsstufen definieren.  

Definieren Sie Ihre Sicherheitsstufe je nach Verwendungszweck. Entscheiden Sie, wann externe Benutzer eingeladen werden dürfen und welche Art von externen Benutzern dabei in Frage kommen. 

Einrichtung der Gastberechtigungen für ein Team 

Um Ihre Unternehmensdaten vor unautorisiertem Zugriff zu schützen, ist es wertvoll, auf Dokumentenklassifizierung zurückzugreifen. Hierbei definieren Sie mit Sensitivity-Labels auf welche Dokumente die externen Benutzer zugreifen dürfen. 

Identifizieren Sie die externen Nutzer in Ihren Teams-Räumen. Standardmäßig sollten Sie hierfür eine Analyse durchführen und die externen Benutzer daraufhin aus den Teams Räumen entfernen.