Teams blockieren (SfBOnly)

Teams verändert die Kommunikation und dennoch möchten Firmen, dass Benutzer nicht mit Teams arbeiten. Was mache ich wenn ein Kunde zu Teams will aber nicht gleich alle Leute komplett "loslaufen" lassen will? Gründe gibt es viele, z.B. Skype for Business Telefonie noch nicht umgestellt, Betriebsrat noch nicht geklärt, Netzwerk nicht "Ready Er implementiert Change-Management, Schulung, Projektplan und führt Teams "geordnet" ein. Und alle User, die noch nicht unterwiesen sind, weiter mit Skype for Business arbeiten sollten, möchte man Teams pro Benutzer blockieren. Das ist gar nicht so einfach. Hier beschreibe ich die Wege um Teams zu verzögern und die Zeit für eine geplante Einführung zu gewinnen.

Im November 2020 gab es ein Update: "MC226038 Use Teams licenses to control access to Microsoft Teams"
https://admin.microsoft.com/AdminPortal/home?ref=MessageCenter&id=MC226038&MCLinkSource=MajorUpdate

Warum blockieren?

Auch wenn Teams in aller Munde ist und aus meiner Sicht die Kommunikation verändern wird, kann nicht jede Firma oder Abteilung den Wechsel so schnell gehen. Sicher können Sie Skype for Business und Teams parallel (-> Teams Island-Mode) betreiben aber damit handeln sie sich die ein oder andere Einschränkung ein, z.B. einen getrennten Presence Status. Das größere Problem ist aber, dass Sie die Anwender mit Teams wirklich vorbereiten und mitnehmen müssen. Es reicht nicht die Lizenz frei zu schalten und optional den Client zu verteilen. Teams ändert Arbeitsweisen oder umgekehrt. Veränderte Arbeitsweisen werden mit Teams viel besser unterstützt.

Da aber Zeit, Räume, Trainer und Teilnehmer nicht beliebig vorhanden sind, müssen Sie die Einführung strukturieren. Eine chaotische und schlecht vorbereitete Nutzung verärgert Anwender, Support und kann die Firma viel Geld kosten. Manchmal sind aber auch noch die erforderlichen Betriebsvereinbarungen noch nicht unterzeichnet oder das Netzwerk ist noch nicht auf die intensive Nutzung der Cloud-Dienste ausgelegt. Vielleicht betreiben Sie auch noch die Benutzer auf einem On-Premises Skype for Business Server und müssen mit der Migration in die Cloud noch warten. Es gibt durchaus 3rd Party Produkte (Call-Center-Software etc.) oder Endgeräte (Aries-Telefone), die in der Cloud nicht mehr und mit Teams schon gar nicht arbeiten.

Wie blockieren?

Wenn Sie durch das Internet suchen, finden Sie in der Regel drei Hinweise, wie Benutzer der Zugang zu Teams verwehrt wird. Leider funktioniert nicht jeder Weg perfekt.

Methode Beschreibung Auswirkung

Conditional Access

Teams ist ein Cloud-Service und über die Funktion "Conditional Access" können Sie sehr granular steuern, welche Anwender von welchem Netzwerkort und mit welchem Client auf die Dienste zugreifen können. Wenn Sie per Conditional Access den Benutzer komplett von Teams aussperren, dann ist sichergestellt, dass er nicht über einen Hintertür Teams nutzt.

  • Azure AD P1
  • Zugang wird verhindert
  • Messages kommen trotzdem an

SfBOnly-Betriebsart

Eine andere Möglichkeit ist eine Steuerung der Teams Funktionen über den "Teams Upgrade Mode". Neben den Betriebsarten wie "Teams Only", SfBwithTeams* gibt es auch "SfB Only". Wer nun aber denkt, dass ein Benutzer in dieser Betriebsart kein Teams starten kann, irrt. Warum auch immer entspricht "SfB Only" der Betriebsart "SfBwithTeamsCollab". Vielleicht war es mal anders geplant aber über den Mode können Sie nicht Benutzer aussperren.

Allerdings ist der Mode aus einem anderen Grund wichtig. Sie können damit den "Island"-Mode verlassen und die Benutzer ohne Teams mit "SfBOnly" zumindest so einstellen, dass Instant Messages und Präsenz zwischen Teams und diesen "Nicht Teams-Benutzern" funktioniert. Zudem können diese Benutzer zu keinen Konferenzen in Teams einladen, sondern nutzen Skype for Business weiter.

  • SfBOnly sperrt nicht Teams
  • SfBOnly leitet aber Präsenz und 1:1 Chats zum richtigen Client

Entzug der Teams Lizenz

Die meisten Anwender haben Office 365 E3 oder höher und dort ist Teams per Default auch mit enthalten. Allerdings können Sie Teams explizit ausschließen, so dass die Anwender Teams nicht starten können. Diese Konfiguration verhindert zuverlässig, dass der jeweilige Anwender Teams startet.

Leider verhindert dies aber nicht, dass andere "Teams-Anwender" diesen ausgesperrten Benutzer in Teams finden und in Kanälen Erwähnen oder sogar anchatten. Insofern wäre diese Einstellung ideal, wenn nicht das Teams Backend weiterhin Nachrichten an den Benutzer zulässt. Der Anwender bekommt sogar eine Mail durch das System aber kann dann nicht drauf klicken.

A Teams user license can be disabled at any time. Once the license is disabled, the users access to Microsoft Teams will be prevented and the user will no longer be able to see Teams in the Office 365 app launcher and homepage.
Quelle: https://docs.microsoft.com/en-us/microsoftteams/user-access

 

  • Benutzer kann sich nicht anmelden
  • Messages kommen eventuell doch an

Wenn sie diese drei Aussagen zusammen addieren, dann gibt es keine perfekten Weg, die Nutzung von Teams zu unterbinden. Conditional Access ist auf jeden Fall falsch, dann es sperrt den Zugriff auf Daten aus aber verhindert nicht, dass Teams fleißig weiter Daten erhält und den Anwender dran erinnert zurück zu kommen. Die Betriebsart "SfB Only" hält nicht, was sie verspricht, denn der Anwender kann weiter Teams starten. Allerding ist der schon ein wichtiger Aspekt, um den Umfang zu steuern, den der Anwender nutzen kann.

Unstimmigkeiten in Bild und Text

Ich habe zuerst einmal einen Benutzer Mit Office 365 E5 aber ohne Teams Lizenz angelegt:

Interessanterweise erscheint der Benutzer dennoch in der Teams Verwaltungskonsole aufgeführt. Er wird auch korrekt als "PureOnlineSfBUser" geführt, d.h. die Identität ist in der Cloud und nicht per ADSync verwaltet und er hat natürlich eine SfB Lizenz und kann damit SfB Nutzen.

Wenn ich dann einige Zeit später von einem anderen Benutzer in Teams nach diesem Anwender suche, dann finde ich den Anwender auch. Das ist so erwartet, da er ja per interner Federation mit Skype for Business erreichbar ist.

Ich kann in Teams diesen Empfänger sogar per 1:! Chat ansprechen oder es zumindest versuchen. Aber schon hier fällt auf, dass unter dem Namen die Info fehlt, dass es ein Skype for Business User ist.

Ich habe dann eine Testnachricht gesendet, und habe keine Fehlermeldung bekommen. Wenn der Empfänger "FCtest6 NoTeamsLicense" wirklich ein Skype for Business User wäre, dann würde hier eine Meldung kommen, dass der Anwender nicht angemeldet ist.

Der Versuch dann als "FCTest6 NoTeamsLicense"  Teams zu starten wird natürlich mangels Lizenz verhindert.

Ich haben dann im vorhandenen Exchange Postfach von "FCTest6 NoTeamsLicense" nachgeschaut und da lag dann auch die unerwünschte Hinweisnachricht

Ich habe danach dann als "FCTest6" den Skype for Business Client gestartet und eine Message an meinen Teams User gesendet. Die kam dann in Teams an und sie sehen gut, dass links zwei Kontakte mit dem gleichen Display-Namen stehen. Der obere Eintrag repräsentiert den Skype for Business User und der zweite Eintrag den Teams-User, der aber nie Teams starten darf.

Wenn ich dann über die Adressleiste noch mal nach der Mailadresse suche, finde ich zwei Einträge:

Ich kann leider nicht unterscheiden, welcher Eintrag nun zu welchem Empfänger gehört. Beim Versuch den Empfänger "fctest6" in einem Kanal zu erwähnen hat hingegen nicht funktioniert:

Hier scheint Teams schon zu erkennen, dass der Benutzer gar keine Teams-Lizenz hat und daher nicht mitspielen kann. Ich kann den Benutzer aber dennoch in ein Team hinzufügen

Auch beim Präsenzstatus, wenn Sie mit der Maus über das User-Photo fahren, sehen Sie die fehlende Verbindung zum Status des SfB Users ohne Teams Lizenz

Der Teams-Client bekommt keine Präsenzinformation und zeigt daher den 1. Januar 01 an.

Anmelden mit Skype

Dieses Verhalten hat mich natürlich irritiert und daher habe ich einen weiteren Testuser (FCTest7 No Teams Lizenz) angelegt, der sich nach der Anlage aber sofort per Skype for Business angemeldet hat. Zwischen allen Schritten habe ich etwas Zeit vergehen lassen

  • User FCtest7 angelegt
    Ich habe dazu einfach das Office 365 Admin Center genutzt.
  • User FCtest7 Lizenzvergabe
    Der Benutzer hat eine E3 Lizenz aber ohne Teams bekommen
  • Replikation abwarten
    Im Teams Admin Panel habe ich dann kontrolliert, ab wann der Benutzer dort auch sichtbar ist. Er hat zwar kein Teams aber Skype for Business und wird daher auch angezeigt.
  • Anmelden an Skype for Business und Test-Message
    Mit dem SfB Client habe ich mich als FCTest7 angemeldet und eine Chatmessage an einen anderen Teams User gesendet. Auch das war OK samt Rückantwort
  • Anmeldeversuch als fctest7 mit Teams
    Ich habe dann versucht, mich an Teams anzumelden. Das hat natürlich nicht funktioniert.
  • Suche des Benutzers aus Teams
    Mit einem anderen Teams-Only-Benutzer habe ich dann nach fctest7 gesucht und wurde doppelt fündig

    Ich kann sogar beide Anchatten und beide erscheinen wieder in meinem Teams Client
  • Kontrolle Exchange Postfach FCTest7
    Es hätte mich gewundert, wenn hier nichts angekommen wäre. Auch diesmal hat der Benutzer eine "Bettelmail" im Postfach, die ihn zu Teams leiten soll.

So ist die Situation natürlich unbefriedigend.

Teams Upgrade Mode

Allerdings hat mich die Anzeige von zwei identischen Benutzern in der Suche neugierig gemacht. Dieses Bild kenne ich nur von Umgebungen im "Islands"-Mode, wenn das Ziel sowohl in Teams als auch in Skype for Business erreichbar wäre. Ich habe mir daher die Details des "SfBOnly" Users mit der Skype for Business Online Powershell angeschaut und habe folgendes gefunden ?

Get-CsOnlineUser fctest7@uclabor.de | fl *teamsupgrade*

TeamsUpgradeEffectiveMode        : Islands
TeamsUpgradeNotificationsEnabled : False
TeamsUpgradePolicyIsReadOnly     : None
TeamsUpgradePolicy               : 
TeamsUpgradeOverridePolicy       :

Sollte die Ursache darin zu suchen sein, dass mein Tenant im "Islands-Mode" steht und auch Benutzer ohne Teams-Lizenz per Default ebenfalls im "Islands-Mode" betrieben werden? Dann wäre es verständlich, wenn ein Teams User eine Nachricht an den SfBOnly User doch wieder im Teams landet. Also habe ich die Konfiguration schnell geändert und nach einigen Sekunden war die Änderung auch sichtbar

Grant-CsTeamsUpgradePolicy -Identity fctest7@uclabor.de -PolicyName sfbonly

Get-CsOnlineUser fctest7@uclabor.de | fl *teamsupgrade*

TeamsUpgradeEffectiveMode        : SfBOnly
TeamsUpgradeNotificationsEnabled : False
TeamsUpgradePolicyIsReadOnly     : None
TeamsUpgradePolicy               : SfBOnly
TeamsUpgradeOverridePolicy       :

Allerdings dauert es dann schon noch im schlimmsten Fall einige Stunden, bis wirklich alle Backend und Frontend-Server die neue Konfiguration erhalten und im Cache aktualisiert haben. Es war schön zu sehen, dass nach einiger Zeit die Präsenz des SfBOnly Users in der Teams-Welt dann von Skype for Business gekommen ist.

Matrix der Ergebnisse

Ich habe die Ergebnisse meiner Tests kurz zusammen gefasst. User A ist ein "Teams User" im gleichen Tenant zu dem User B, der kein Teams nutzen soll

Teams Lizenz TeamsUpgradeMode Präsenz 1:1 Chat "Mentioning" im Kanal Ergebnis

Nein

Islands

Zeigt KEINE Präsenz an, da Ziel ja kein Teams hat aber Island nutzt

Landet im Teams des Ziels mit Info-Mail ans Postfach. Benutzer kann aber ohne Teams Lizenz nicht drauf zugreifen

User kann nicht angegeben werden

Nicht geeignet

Nein

SfBOnly

Zeigt die SfB Präsenz des UserB im Teams des UserA an

Landet im SfB Chat

User kann nicht angegeben werden

OK

Ja

Islands

Zeigt die Teams Präsenz an

Chat bleibt in Teams. Klassisches Island-Szenario

Zeigt die Teams Präsenz an

Einschränkungen von Islands beachten

Ja

SfBOnly

Zeigt die SfB Präsenz des UserB im Teams des UserA an

Landet im SfB Chat

Möglich. Bleibt in Teams

Einschränkungen von Islands beachten

Es ist also offensichtlich, dass es nur eine "sinnvolle" Konfiguration für die Benutzer gibt, die kein Teams nutzen dürfen.

Der richtige Weg?

Es ist gar nicht so einfach in einer Firma die Nutzung von Microsoft Teams zu blockieren. Sie müssen schon mehrere Zwischenschritte durchführen, damit Benutzer Teams nicht nur nicht starten können sondern auch deren Kommunikation nicht weiter in Teams aufläuft. Natürlich ist das nicht der Wunsch von Microsoft und das ist auch hier noch mal beschrieben.

Microsoft recommends that you turn on Teams for all users in a company so that teams can be formed organically for projects and other dynamic initiatives. Even if you are deciding to pilot, it may still be helpful to keep Teams enabled for all users, but only target communications to the pilot group of users.
https://docs.microsoft.com/en-us/microsoftteams/user-access

Auf der gleichen Seite steht aber auch

At the user level, access to Microsoft Teams can be enabled or disabled on a per-user basis by assigning or removing the Microsoft Teams product license.
...
A Teams user license can be disabled at any time. Once the license is disabled, the users access to Microsoft Teams will be prevented and the user will no longer be able to see Teams in the Office 365 app launcher and homepage
Quelle: https://docs.microsoft.com/en-us/microsoftteams/user-access

Für mich bedeutet das aber, dass Teams durchaus verhindert werden kann, wenn der Administrator alle Punkte der Konfiguration korrekt umsetzt. Diese sind:

  • Teams Lizenz abschalten
    Damit ist dann sichergestellt, dass der Anwender sicher kein Teams nutzen kann
  • TeamsUpgradeMode = SfBOnly setzen
    Auch wenn der Benutzer gar kein Teams nutzen darf, ist ohne diese  zweite Einstellung nicht sichergestellt, dass keine Nachrichten in Teams landen und der Anwender nicht doch eine Mail über verpasste Teams-Meldungen bekommt. Auf die kann er mangels Teams Lizenz nicht zugreifen.

Mit dieser Konfiguration sollten sie ziemlich sicher sein, dass Skype Benutzer nur mit Skype arbeiten. Aber wir können so nicht verhindern, dass Teams-Anwender diese blockierten Anwender zu Teams addieren oder erwähnen.

Weitere Links