Teams Privacy

Ohne weitere Konfiguration ist Teams auf "Kommunikation" eingestellt, d.h. jeder Teilnehmer kann mit jedem anderen Teilnehmer über alle Wege, d.h. Chat, Audio, Video, Teams kommunizieren und das beschränkt sich nicht nur auf die eigene Firma, sondern verbindet Sie auch mit anderen Firmen und Privatpersonen (Skype). Dazu gehört üblicherweise auch der Präsenzstatus, der oftmals kritisch gesehen wird. Es ist sehr wohl ein Unterschied, ob ich jemand nur anrufen kann oder schon vorher sehe, ob er Offline, Abwesend oder beschäftigt ist und man nicht nur theoretisch Teams Präsenz und Status auch tracken könnte.

External Access

Als Teams Administrator können Sie unter https://admin.teams.microsoft.com/company-wide-settings/external-communications global für ihren Tenant folgende Dinge einstellen:

  • Federation zu anderen Unternehmen mit Teams
    Hier ist "Allow all external Domains" die Standardeinstellung, d.h. Sie können mit anderen Firmen bidirektional kommunizieren. Die Einstellung wird immer bidirektional aber natürlich kann nur funktionieren, was beide Seiten erlauben.
  • Federation zu Teams Nutzen ohne Firma
    Es gibt ja auch Teams for Home, die mit einem "Microsoft Konto" arbeiten.
  • Federation zu Skype (nicht Skype for Business)
    Parallel zu Teams und Kaizala gibt es immer noch das "Consumer Skype". Auch hier ist eine Federation möglich

Hinweis:
Sie können die globale Einstellung auf einer "Per User"-Basis über eine "CsExternalAccessPolicy" überschreiben. Die Konfiguration dieser Richtlinie ist per Teams PowerShell aber noch nicht im Teams Admin-Portal möglich

Presence Privacy-Mode

Eine zweite Einstellung verbirgt sich allerdings im Feb 2022 noch unter https://admin.teams.microsoft.com/company-wide-settings/sfb im Bereich "Other Settings" unter Skye for Business:

Wenn Sie den Punkt "Skype for Business" in ihrem Tenant nicht mehr sehen, dann sind Sie schon "Teams Only" und die Einstellung kann eventuell noch per PowerShell gesetzt werden.

Auch wenn diese Einstellung in Skype for Business erfolgt, so wirkt Sie sich auch auf Teams aus.

Bei der klassischen Skype for Business Installation beschränkt diese Einstellung aber auch die interne Präsenzanzeige.
In Teams betrifft es aber nur die externe Anzeige zu anderen Tenants.

Ich interpretiere das so, dass die Einstellung nur im "SIP-Routing Code" des weiter genutzten Skype for Business Unterbau aktiv ist und nicht in Teams selbst. Auch wenn SfBOnline schon abgeschaltet ist, gibt es für den Hybrid-Mode und Federation zu SfBOn-Premises weiterhin den Unterbau.

Eine Einschränkung der internen Kommunikation ist nur über "Information barriers in Microsoft Teams" (https://docs.microsoft.com/en-us/microsoftteams/information-barriers-in-teams) möglich.

Out of Scope

Privacy und Schutz gibt es noch an anderen Stellen. Diese Seite beschäftigt sich nicht weiter mit:

  • Gast-Zugriff
    d.h. dass Identitäten aus anderen Tenants in ihrem Tenant mitarbeiten.
  • Private/Öffentlichen Teams
    Damit kann der Teams Besitzer einstellen, ob dein Team "gefunden" werden kann und Personen sich selbst zum Mitglied machen dürfen
  • Information Barriers
    Damit Gruppen von Personen nicht miteinander kommunizieren können, was speziell im Bankenbereich oder Forschung und Entwicklung ein Thema ist

Hierzu verweise ich auf eigene Seiten:

Teams Business

Damit stellt sich natürlich die Frage, was mit den Standard-Einstellungen geht und welche Auswirkungen einseitige Änderungen haben. Ich habe dazu zwei Test-Tenants genutzt und Tenant-A war komplett "offen" während bei Tenant B die globale Konfiguration angepasst wurde. Ich habe nicht mit individuelle Einstellungen über CsExternalAccessPolicy gearbeitet. Die Tests wurden in verschiedene Richtungen gestartet und auch auf bestehende Verbindungen geantwortet.

Diese Tabelle gilt nur für Benutzer in ihren Tenants aber nicht für Gäste, Wenn der Benutzer aus TenantA in den TenantB als Gast wechselt, dann ist er aktuell "intern" und sieht wieder den Präsenzstatus von B

TenantB
Privacy		 TenantB
Federation		 Präsenz Chat Meeting VoIP Call

Off

Open
  • A kann B sehen
  • B kann A sehen
  • A kann B anchatten und B kann antworten
  • B kann A anchatten und B kann antworten
  • Meeting in A
    A und B sind authentifiziert
    A und B sehen ihren Status
  • Meeting in B
    B und A sind authentifiziert
    Bund A sehen ihren Status
  • A kann B "finden" und anrufen
  • B kann A "finden" und anrufen

Enabled

Open
  • A kann B NICHT sehen
  • B kann A sehen
  • A kann B anchatten und B kann antworten
  • B kann A anchatten und B kann antworten
  • Meeting in A
    A und B sind authentifiziert
    A sieht KEINE Präsenz von B
  • Meeting in B
    A und B sind authentifiziert
    B SIEHT die Präsenz von A
  • A kann B "finden" und anrufen
  • B kann A "finden" und anrufen

Off

Closed
  • A kann B NICHT sehen
  • B kann A NICHT sehen
  • A->B: Nein: Fehler beim Senden
  • B->A: Nein: externe Adresse wird nicht aufgelöst, Org ist nicht einrichtet
  • Meeting in A:
    B ist Teilnehmer
    B sieht nicht den Status von A
    A sieht nicht den Status von B
  • Meeting in B:
    A ist Teilnehmer
    B sieht nicht den Status von A
    A sieht nicht den Status von B
  • A kann B anrufen
    aber wird bei B nicht angezeigt!
    Endet bei A mit "busy"
  • B kann A nicht auflösen
    und daher nicht anrufen

Enabled

Closed
  • A kann B NICHT sehen
  • B kann A NICHT sehen
  • A->B: Nein: Fehler beim Senden
  • B->A: Nein: externe Adresse wird nicht aufgelöst, Org ist nicht einrichtet
  • Meeting in A:
    B ist Teilnehmer
    B sieht nicht den Status von A
    A sieht nicht den Status von B
  • Meeting in B:
    A ist Teilnehmer
    A sieht nicht den Status von B
    B sieht nicht den Status von A
  • A kann B anrufen
    aber wird bei B nicht angezeigt
    Endet bei A mit "busy"
  • B kann A nicht auflösen
    und daher nicht anrufen

Leider habe ich gerade keine Skype for Business Hybrid-Umgebung oder Federation mit mehr aktiv, um zu sehen, ob der PrivacyMode hier weitere Effekte mit sich bringt.

Federation 3000 Domain Limit

Wenn Sie ihren Tenant auf "Closed Federation" stellen, dann müssen sie natürlich eine "Allowlist" der erlaubten Partnerdomains hinterlegen. Die Liste ist im Teams Admin Center pflegbar und wie jede Liste gibt es auch hier Limits. Ich habe natürlich nicht jede Domain von Hand eingetragen. Das geht per Teams PowerShell viel schneller:

foreach ($count in (1..100000)) {
   [string]$domain = "test$($count).msxfaq.de"
   Write-host "Adding Domain $($domain)"
   Set-CsTenantFederationConfiguration -AllowedDomainsAsAList @{Add=$Domain}
}

Aber nach 3000 Domains war mi einem "Set-CsTenantFederationConfiguration: No more than 3000 allowed domains can be configured for a tenant." Schluss

Im Admin-Portal wurden auch 3000 Domains angezeigt, was mich aber nicht daran hinderte, hierüber noch eine weitere Domains zu addieren. Ich war überrascht, dass dies sogar funktioniert hat.

Allerdings können Sie diese Änderung nicht mit "Save" übernehmen. Das Limit ist aktuell (Feb 2022) bei 3000 Domains. Das Laden der Seite dauert bei so vielen Domains allerdings schon sehr lange und es werden auch alle Domains als Liste angezeigt und können ausgewählt und gelöscht werden. Hier ist dann Geduld gefragt. Im Hintergrund holt sich das Admin Center die Daten über eine REST-API (https://api.interfaces.records.teams.microsoft.com/Skype.Policy/configurations/TenantFederationSettings?adminDomain=common) und bekommt eine JSON Antwort.

Die Liste der Domain wird nach meinen Analysen nicht auf den Team Client heruntergeladen. Die Prüfung scheint daher auf dem Backend zu erfolgen. Das macht natürlich auch Sinn, da eine externe Anfrage nach dem Status auch ohne den Client korrekt bedient werden muss.

List the domains (maximum of 3000) in the box provided, using the format domain.com.
Quelle: Restrict sharing of SharePoint and OneDrive content by domain https://docs.microsoft.com/en-us/sharepoint/restricted-domains-sharing#limiting-domains 

Früher waren es angeblich mal 300
Quelle: Limits to the number of domains that can be added for Teams External Access https://answers.microsoft.com/en-us/msteams/forum/all/limits-to-the-number-of-domains-that-can-be-added/8ec4b8c1-b445-4b68-a453-28999f936f69 

In den Microsoft Teams service description ( https://docs.microsoft.com/en-us/office365/servicedescriptions/teams-service-description) kommt weder "Allowed" noch "Domain" überhaupt vor

Teams Federation verwalten

Ich kann verstehen, dass eine "Open Federation" und transparente Präsenzanzeige bei einigen Firmen zumindest hinterfragt werden wird. Die globale Abschaltung der Präsenzfunktion verhindert aber auch eine Anzeige der Präsenz mit explizit föderierten Domains. Das ist wohl weniger im Sinne der meisten Anwender. Zudem gibt es einen Unterschied zwischen der "Lync Privacy Configuration" und Teams.  Während bei Skype for Business damit auch die interne Sichtbarkeit auf eingetragene Kontakte limitiert wurde, ist es bei Teams nur die externe Sichtbarkeit für Intern müssen die "Information Barriers" genutzt werden.

Damit stellt sich im Provisioning die Frage, wie sie in ihrer Firma die Pflege der bis zu 3000 Domains steuern. Sie haben ja ein Schutzbedürfnis und leider erlaubt Teams selbst keinen Kommentar pro Domain, wann diese von Wen und aufgrund welcher Anforderung eingetragen wurde. Wenn Sie solche Anforderungen stellen, dann müssen Sie sich eine Lösung einfallen lassen. Ob sie das nun per Laufzettel auf Papier, per SharePoint-Liste, Excel-Liste oder in ihrem Ticketsystem hinterlegen, überlasse ich ihnen. Hier ein paar weitere Ansätze:

Quelle Beschreibung

Guest

 Die meisten Firmen mit externen Verbindungen nutzen "Gast-Identitäten", damit Anwender aus anderen Tenants mitarbeiten können. Diese Personen bzw. Domains sind aus Sicht vieler Firmen damit vertrauenswürdig. Wenn Sie Federation abgeschaltet haben, könnten Sie eine Liste der Domänen aller Gäste als Kriterium für "allowed Domains" für die Federation nutzen.

Exchange

Eine andere Quelle könnten die Domains der Mail-Partner sein. Vielleicht pflegen Sie heute schon "Partner-Domains" mit einem eigenen Connector in Exchange Online. Aber auch die Domains mit viel Verkehr aus dem Messagetracking könnten eine Quelle für Federation-Domains sein. Allerdings ist da wohl auch viel Rauschen dabei.

Interessante könnten aber z.B. "Kontakte" sein, sei es als "MailContact" im AD.Adresbuch oder Firmenkontakte in einer Shared Mailbox oder Public Folder

ERP/CRM

Beziehungen zwischen einer Firma und ihren Kunden und Zulieferern sind auch in ERP/CRM-Systemen hinterlegt. Auch diese Quellen sind durchaus möglich Quellen für eine Liste der möglichen Federation-Domains.

Automate

Ein schönes Beispiel ist aber die Nutzung von Azure Automation und Power Automate, um solche Anforderungen als Workflow ausführen zu lassen.

Sie merken schon, dass ich kein Freund einer "Closed Federation" bin und zumindest Firmen mit engerer Zusammenarbeit den Status zulassen sollten. Ich merke sehr deutlich die Unterschiede, wenn ich mit einem Kunden in Kontakt trete und dessen Kommunikationsbereitschaft erkenne und einem anderen "verschlossenen" Kunden, bei dem ich nur ein "X" als Status sehe. Hier kann ich dann entweder "störend" anrufen oder falle zurück und schreibt dann doch wieder eine Mail.

Teams Business mit Consumer

Schon mit Skype for Bsiness konnten Firmenabwender mit privaten Konten kommunizieren. Das ging lange Zeit nicht nur mit Federation mit MSN und Skype sondern früher auch mit PIC mit AOL/AIM. Davon ist zumindest in Teams zumindest die Federation zu Skype übrig geblieben:

Als Firma können Sie diese Funktion aber auch komplett unterbinden.

Die Einstellung ist auch per Teams-PowerShell möglich. da können Sie sogar noch Audio/Video separat steuern.

Set-CsExternalAccessPolicy `
   -EnablePublicCloudAccess:$true `
   -EnablePublicCloudAudioVideoAccess

Set-CsTenantPublicProvider `
   -Provider "WindowsLive"

Anders als bei Teams Federation bekommt der Teams Anwender beim ersten Kontakt eines Skype-Benutzers eine Einladung und können entscheiden, ob sie die Konversation annehmen. Auch eine Anzeige des Status ist aktuell nicht möglich.

Einschätzung

Aus meiner Sicht ist der "Skype for BusinessOnline PrivacyMode" die falsche Option, den Schutz bezüglich Präsenzstatus mit Microsoft Teams einzustellen

  • Nicht mit TeamsOnly
    Die Option ist über das Teams Admin Center nur dann erreichbar, wenn ihr Tenant noch nicht "Teams Only" ist. Das sind im Feb 2022 nur noch ganz wenige Tenants. Selbst wenn Sie es noch per PowerShell setzen könnten, sollten Sie es sein lassen
  • Nur externe und keine interne Sicherheit
    Bei Skype for Business On-Premises und dem mittlerweile abgeschalteten SfB Online hat diese Option auch die interne Präsenzanzeige auf die Kontakte in der eigenen Liste beschränkt. Bei Teams sind Personen im gleichen Tenants, d.h. Benutzer aber auch Gäste, weiterhin sichtbar, wenn Sie nicht zusätzlich mit Information Barriers arbeiten.
  • Chat und Anrufe weiter möglich
    Wenn Sie nicht parallel die Teams Federation steuern, dann sehen die Anwender den Status zwischen Tenants zwar nicht aber können dennoch chatten und Anrufen. Um dies zu kontrollieren, müssen Sie auch die Federation konfigurieren.

Wenn ich mir diese Aussagen und die Tabelle genau anschaue, dann ist die Pflege der Federation der bessere und richtige Weg, um die Kommunikation zwischen Tenants zu steuern. Für sensible Firmen kann es schon ein Weg sein die Federation komplett abzuschalten oder über eine Allowlist nur bis zu 3000 "vertraute Firmen" zuzulassen.

Weitere Links