Konfigurieren Sie Gastbenutzerzugangseinstellungen für sichere Zusammenarbeit in Microsoft Teams

Gastzugriff in Microsoft Teams aktiviert? Großartig! Stellen Sie sicher, dass Sie eine Strategie zur Governance gemäß Ihren Unternehmensrichtlinien implementiert haben. Konfigurieren Sie diese Einstellungen und Richtlinien, um sensible Unternehmensdaten zu schützen.

Ihre Benutzer werden Microsoft Teams wahrscheinlich optimal nutzen, wenn Sie Self-Service aktiviert lassen. Das haben wir gelernt, als wir Teams hier bei ShareGate zum ersten Mal eingeführt haben – die Benutzerakzeptanz verbesserte sich, nachdem wir unnötige Hindernisse beseitigt hatten.

Tatsächlich führte diese Erkenntnis zu unserer Haltung, dass Sie Self-Service aktiviert lassen sollten, und war zentral für die Entwicklung von ShareGate, unserer Microsoft 365 Managementlösung.

Frischen Sie Ihr Wissen über Teams Governance Best Practices für sichere Zusammenarbeit auf.

Während einige Microsoft 365 Administratoren denken, es sei besser, externes Teilen aufgrund der damit verbundenen Risiken vollständig zu deaktivieren, kann dies zu anderen Problemen führen: Mitarbeiter wenden sich nicht genehmigten Tools wie WeTransfer, Box.com oder Google Drive zu, um Dokumente zu versenden – die gefürchtete Schatten-IT.

Es ist besser, Gastzugriff in Teams zu aktivieren zusammen mit Richtlinien und Regeln zur Kontrolle seiner Nutzung. Wir empfehlen, die folgenden Einstellungen basierend auf den Bedürfnissen Ihrer Organisation zu konfigurieren.

Schritt 1: Bestimmen Sie, wie externe Mitarbeiter in Ihren Mandanten eingeladen werden können

Bevor Sie sich mit den Details beschäftigen, was Gäste tun können und was nicht, müssen Sie darüber nachdenken, wie sie überhaupt in Ihren Mandanten eingeladen werden.

Globale Administratoren können die Gastzugriffserfahrung in Teams auf höchster Ebene über Ihr Azure Active Directory verwalten.

Um Einstellungen für externe Benutzer in Ihrer gesamten Organisation zu konfigurieren:

1. Melden Sie sich im Azure Portal an und klicken Sie auf Azure Active Directory im linken Navigationsbereich
2. Klicken Sie auf Benutzereinstellungen
3. Unter Externe Benutzer wählen Sie Einstellungen für externe Zusammenarbeit verwalten

Von hier aus können Sie die folgenden Richtlinien aktivieren:

Gastzugriffsbeschränkungen (Vorschau) 

Diese Richtlinie bestimmt die Berechtigungen für Gäste in Ihrem Verzeichnis. 

• Gastbenutzer haben den gleichen Zugriff wie Mitglieder ist die inklusivste Option – sie bietet Gästen den gleichen Zugriff auf Azure AD-Ressourcen wie Mitgliedsbenutzer. 
• Gastbenutzer haben eingeschränkten Zugriff auf Eigenschaften und Mitgliedschaften von Verzeichnisobjekten (Standardeinstellung) verwehrt Gästen Berechtigungen für bestimmte Verzeichnisaufgaben, wie die Auflistung von Benutzern, Gruppen oder anderen Verzeichnisressourcen.
• Gastzugriff ist auf Eigenschaften und Mitgliedschaften ihrer eigenen Verzeichnisobjekte beschränkt ist die restriktivste Option und erlaubt Gästen nur den Zugriff auf ihre eigenen Verzeichnisobjekte.

Administratoren und Benutzer in der Gast-Einlader-Rolle können einladen 

Wählen Sie Ja um Administratoren zu erlauben, Gäste einzuladen. Die Auswahl von Nein deaktiviert den Gastzugriff in Teams vollständig.  

Mitglieder können einladen 

Wählen Sie Ja um allen Benutzern Ihrer Organisation zu erlauben, Gäste zur Zusammenarbeit an Ressourcen wie SharePoint-Teamwebsites einzuladen, die von Ihrem Azure AD gesichert sind.  

Die Auswahl von Nein bedeutet, dass nur Administratoren Gäste einladen können, und es wird die Gasterfahrung für Teams mit Nicht-Administrator-Besitzern einschränken: Sie können Gäste erst hinzufügen, nachdem ein IT-Administrator sie in Azure AD hinzugefügt hat. 

Gäste können einladen 

Wählen Sie Ja wenn Sie Gästen erlauben möchten, andere Gäste einzuladen. 

E-Mail-Einmalpasscode für Gäste aktivieren (Vorschau) 

Sie können wählen, ob Ihre Benutzer einen E-Mail-Einmalpasscode (OTP) versenden können, um neu eingeladenen Gästen ohne Azure AD oder Microsoft-Konto (die sich auch nicht mit Google-Verbund anmelden können) die Authentifizierung über einen E-Mail-Code-Roundtrip als erste Authentifizierungsstufe zu ermöglichen.  

Seit November 2021 ist E-Mail-Einmalpasscode für Gäste aktivieren die Standardoption. Diese Einstellung erlaubt Benutzern, E-Mail-OTP zu senden. 

Die restriktivere Option, E-Mail-Einmalpasscode für Gäste deaktivieren, verhindert, dass Benutzer E-Mail-OTP senden. 

Zusammenarbeitsbeschränkungen 

Diese Einstellungen ermöglichen es Ihnen zu kontrollieren, wohin Gasteinladungen je nach Domain gesendet werden können.  

Einladungen können an jede Domain gesendet werden ist die inklusivste Option, was bedeutet, dass Benutzer Einladungen an externe Benutzer ohne Beschränkungen senden können. 

Die anderen beiden Optionen sind restriktiver und erlauben oder blockieren Einladungen an bestimmte Domains. Wählen Sie Einladungen an bestimmte Domains verweigern wenn Sie möchten, dass Benutzer größtenteils frei teilen können – sie werden nur daran gehindert, Einladungen an die von Ihnen gewählten Domains zu senden.  

Wenn Ihre Mitarbeiter nur mit einer Handvoll anderer Unternehmen zusammenarbeiten müssen, könnten Sie Einladungen nur an die angegebenen Domains erlauben wählen, um die externe Zusammenarbeit auf Benutzer in diesen Domains zu beschränken. Dies ist die restriktivste Option, daher empfehlen wir in den meisten Fällen eine der ersten beiden Optionen. 

Entdecken Sie Berechtigungsrollen in Microsoft Teams, um ein tieferes Verständnis der Fähigkeiten jeder Rolle zu erlangen und Ihr Team effektiv zu verwalten und nahtlos zusammenzuarbeiten.

Schritt 2: Gastzugriff in Microsoft Teams konfigurieren

Nehmen wir an, Sie haben bereits den Gastzugriff im Teams Admin Center aktiviert (Organisationsweite Einstellungen > Gastzugriff). Wenn Sie gerade erst mit Teams anfangen und es nicht explizit deaktiviert haben, denken Sie daran, dass seit Februar 2021 der Gastzugriff standardmäßig aktiviert ist.

Wenn Sie ihn bereits deaktiviert haben und den Gastzugriff aktivieren möchten, folgen Sie den Anweisungen in unserem Blogbeitrag über die Aktivierung des Gastzugriffs in Teams.

Sobald der Gastzugriff aktiviert ist, können Personen außerhalb Ihrer Organisation auf Teams und Kanäle zugreifen, zu denen sie eingeladen wurden. Sie können jedoch weitere Einstellungen konfigurieren, um bestimmte Funktionen zu steuern, auf die Gäste zugreifen können, wie z.B.:

• Anrufe: Möchten Sie Ihren Gästen erlauben, private Anrufe zu tätigen?
• Besprechungen: Möchten Sie Gästen erlauben, IP-Video, Bildschirmfreigabemodus und/oder "Jetzt besprechen" zu verwenden?
• Nachrichten: Möchten Sie Gästen erlauben zu chatten, gesendete Nachrichten zu bearbeiten oder zu löschen und/oder Dinge wie GIFs und Memes in Unterhaltungen zu verwenden?

Gastbenutzerberechtigungen für einzelne Teams konfigurieren

Abhängig von ihrem Zweck haben Sie wahrscheinlich mindestens einige Teams in Ihrem Mandanten, die unterschiedliche Sicherheitsanforderungen haben.

Vielleicht macht Ihr Marketing-Team alles intern, während Ihr Beschaffungsteam in ständigem Kontakt mit externen Anbietern steht, zum Beispiel.

Im Einstellungen-Tab für ein Team innerhalb von Microsoft Teams können Administratoren und Teambesitzer teamspezifische Gastberechtigungen konfigurieren, einschließlich der Möglichkeit:

• Kanäle erstellen und aktualisieren
• Kanäle löschen

Schritt 3: Gastzugriff in SharePoint-Einstellungen konfigurieren

Teams ist ein All-in-One-Collaboration-Hub mit Chat-Funktionen – und obwohl Dateien geteilt werden können, ist Teams eigentlich nicht die "Heimat" für diese Dateien. Wenn Benutzer über den Dateien-Tab in Microsoft Teams auf Dateien oder Ordner zugreifen, werden diese Inhalte tatsächlich in SharePoint gespeichert.

Das bedeutet, dass Sie zum SharePoint Admin Center wechseln müssen, um Einstellungen zu konfigurieren, auf was Gäste zugreifen können.