Teams Gastzugang

Der Gastzugang in Teams erlaubt es, dass auch Personen aus anderen Mandanten in ihrem Team mitarbeiten. Es gibt aber auch Einschränkungen, auf die ich hier eingehen möchte.

Funktionsweise

Lange Zeit war "Teams" nur eine geschlossene Veranstaltung innerhalb des gleichen Tenants. Sicher konnte man per Federation mit Skype for Business-Partnern kommunizieren aber interessant wird es, wenn ich in einem Team-Raum auch Partner einbinden kann. Gerade in Projekten bietet sich das ja für die Zusammenarbeit mit Lieferanten und Kunden an. So hat Net at Work natürlich Teams im Einsatz und unsere Kunde mit Office 365 auch. Nun startet ein Kunde ein "Teams" für ein bestimmtes Projekt und möchte gerne, dass ich dort mitarbeite. Das geht natürlich mit einem User in dem gleichen Tenant. Bei vielen Kunden habe ich auch ein AD-Konto in deren Forest und einen Office 365 User und natürlich eine Lizenz.

Neben der "doppelten Lizenz ist hier aber das Thema Sicherheit immer kritisch zu beachten. Wenn ein Arbeitnehmer bei einem Dienstleister aufhört und sogar wechselt, bekommen das vielleicht nicht alle Kunden sofort mit. Der alte Arbeitgeber weiß vielleicht auch nicht, wo der Mitarbeiter noch ein Konto hat. Daher ist es schon sehr interessant, wenn der Mitarbeiter mit seinem "Firmenkonto" auch in anderen Tenants und Kunden arbeiten kann. Wird das primäre Konto deaktiviert, dann ist auch der Zugang im anderen System gesperrt. Das ist durchaus auch ein interessanter Hebel mit ADFS zu arbeiten, wenn z.B. Trusts zwischen Forests nicht möglich sind.

Bei Teams Gast Access läuft es genau darauf hinaus, dass ich in einem Team einer anderen Person auch Rechte einräumen kann. Technisch wird das andere Konto dabei in meinem AzureAD-Forest als Basisobjekt angelegt. Vergleichen Sie das einfach mit einer "Linked Mailbox" bei Exchange Ressource Forests: Es ist ein deaktiviertes Konto, welches zur Speicherung der Konfiguration und Verwaltung der Berechtigungen dient und auf das eigentliche Anmeldekonto verweist.

8. Feb 2021: Default=ON!

Am 6 Dez 2020 habe ich eine Mail zu meinen Tenants bekommen, dass Microsoft ab 8. Feb 2021 eine Änderung der "Standardkonfiguration" durchführt. Der Gastzugriff in Teams wird hier per Default aktiviert, wenn keine manuelle Einstellung erfolgt ist.

Wenn Sie dann als Administrator in dem Teams Admin Portal anmelden, dann sehen Sie im Dez 2020 aber drei Optionen statt einem "Schalter".


https://admin.teams.microsoft.com/company-wide-settings/guest-configuration

In diesem Tenant wurde Gast-Zugriff schon aktiv angeschaltet, so dass der "Service Default: Off" nicht mehr aktivierbar ist. Ab 8. Feb dürfte hier der Default dann auf "On" stehen.

Gastzugriff aktivieren

Per Default ist der Gastzugriff auf dem Tenant nicht aktiviert, d.h. ohne Mithilfe des Tenant Administrators kann niemand anfangen, Personen aus anderen Tenants in ein Team einzuladen.

Setup guest access in Microsoft Teams (with audio descriptions)
https://www.youtube.com/watch?v=g21Hcqdl5tI
https://docs.microsoft.com/en-us/microsoftteams/guest-access-checklist
Sowohl auf YouTube als auch in der Dokumentation ist eine Schritt für Schritt-Anleitung als Video enthalten.

Zuerst muss eine globale Einstellung im Tenant angepasst werden:

Altes Bild: Hier war Gast-Zugriff ein "Schieber" zu Ein/Aus

Das ist aber nicht alles, denn Teams nutzt seinerseits ja auch SharePoint, OneDrive, Exchange und andere Datenspeicher, in denen es auch die Steuerung des Gast-Zugriffs gibt. Eine schöne Grafik habe ich dazu bei der Teams Challenge auf Microsoft Lernplattform gefunden:


Quelle: learn.microsoft.com

Mittlerweile gibt es von Microsoft sogar Videos und bebilderte Anleitungen, so dass ich die Einstellung hier nicht weiter dokumentiere und nur die Links aufführe.

Gäste einladen

Sie wissen sicher schon, dass ein Team der Berechtigungscontainer ist, d.h. nur Leute, die in einem Team Mitglied sind, können auf Daten im Team zugreifen und mitarbeiten. Die verschiedenen Channels darunter sind aber nicht mehr gesondert berechtigt, sondern stellen eher eine thematische Gliederung dar, so dass Team-Mitglieder ihre eigenen Schwerpunkte setzen können. Wenige Teams mit mehr Channels ist ein gutes Design, von denen die Teilnehmer dann nur den relevanten Teil als Favoriten addieren.

Auf dem Level des Teams können daher "Gäste" hinzugefügt werden.

Achtung:
Allein durch das Hinzufügen eines Benutzers wird im AzureAD schon ein "Gast-Benutzer" angelegt und der Gast sieht in seinem Teams auch schon ihren Tenant. Aber machen kann er nichts

Die Mailadresse ist dabei der Schlüssel. Der Gast bekommt eine Mail und per Klick kann er zustimmen, dass er als Gast aufgenommen wird. Denn auch die Daten des Gasts sind ja schützenswert.

Auch dazu gibt es von Microsoft schon entsprechende Videos.

Adding Guests in Microsoft Teams
https://www.youtube.com/watch?v=1daMBDyBLZc

Teamwechsel

Die Teams-Oberfläche bewegt sich immer innerhalb der Grenzen des Tenants. Wenn Sie also die Teams in einem anderen Tenant nutzen wollen, in dem Sie als Gast addiert worden sind, dann wechseln Sie dies oben rechts neben ihrem Konto-Bild.

Achtung:
Aktuell ist der Gastzugriff in der Applikation mit einem Wechsel des Tenant verbunden. Sie sehen die zusätzlichen Teams also nicht in ihrem primären Teambereich, sondern wechseln.

Damit sind zwei Dinge verbunden:

  • Ummeldung
    Sie bleiben zwar die gleiche Person mit dem gleichen UPN aber es erfolgt dennoch eine Neuanmeldung am anderen Tenant. Sie müssen also ggfls. sich erneut mit ihrem Kennwort legitimieren. Zudem kann der andere Tenant andere Vorgaben, z.B. MFA, machen, so dass sie ggfls. einen zweiten Faktor verwenden müssen. Das gleichen Spiel findet bei der Rückkehr statt
  • Erreichbarkeit
    Wenn Sie im "anderen Tenant" sind, dann sind sie aus ihren eigentlichen Tenant abgemeldet. Das führt u.a. dazu, dass z.B. ihr Präsenzstatus aber vor allem ihre Erreichbarkeit per Telefon nicht mehr gegeben ist.

So schön also der Gastzugriff erscheint, so wenig ist es sinnvoll sich mit seinem primären Client abzumelden. ich arbeite daher in der Regel so:

  • Teams App in Net at Work
    Über diese App habe ich immer Kontakt zur den Mitarbeitern von Net at Work und natürlich auch meine Rufnummer
  • Browser für Gastzugriff
    In der Teams App sehe ich natürlich schon, ob in den anderen Teams etwas passiert, was mich interessiert. Ich wechsle dann aber nicht sondern nutzen den Browser zum Zugriff auf die anderen Teams.

Einzig der "Kampf um das Headset" zwischen Windows App und Browser kann dann manchmal zu Problemen führen. Hier erhoffe ich mir zukünftig noch eine elegantere Lösung, z.B. dass ich in meiner Teams App den Tenant wechseln kann aber dennoch in meinem primären Tenant bezüglich Präsenz und Rufnummer aktiv bleibe.

Gäste Präsenz

Wenn Menschen als Gäste in anderen Tenants unterwegs sind, dann hat das durchaus Auswirkungen, die nicht allen Anwendern so geläufig sind. Die Präsenz meines Benutzers FrankCarius@netatwork.de in meinem Heimattenant und die Präsenz des gleichen Benutzers in einem Kundentenant als Gast ist nicht identisch. Wenn ich in den Kundentenant wechsle, dann ist mein Status dort aktuell aber mein Status im Heimattenant wird nicht weiter aktualisiert. Mit Glück bin ich "abwesend".

Gäste und Telefonie

Übrigens bekomme ich auch keine Telefonanrufe auf meinen Team-Client durchgestellt, wenn ich nicht im Heimattenant angemeldet bin sondern als Gast in einem anderen Tenant arbeiten. Das ist auch der Grund, warum ich mit meinem Teams-Client versuche immer in meinem Heimat-Tenant zu bleiben und als Gast mit einem Browser in anderen Tenants arbeite

Gäste im Chat

Auch beim Thema Instant Messaging, also Chat zwischen zwei Teilnehmern gibt es schwer verständliche Extrembeispiele wie das folgende:

  • Benutzer1 in Tenant1 ist in Tenant3 als Gast gewechselt
  • Benutzer2 in Tenant 2 ist in Tenant 3 als Gast gewechselt
  • Benutzer1 chattet mit Benutzer2

Diese Konstellation führt zu einigen seltsamen Ergebnissen.

  • Der Chat findet im Tenant 3 zwischen den beiden Gästen statt.
  • Die Chat-Historie ist weder für Benutzer1 noch Benutzer2 in seinem Home-Tenant sichtbar
  • Wenn z.B. Benutzer1 wieder in seinen HomeTenant wechselt, läuft der Chat im Tenant3 weiter
  • Benutzer 1 bekommt nach einer Stunde eine Mail "Sie verpassen was im Tenant 3"
  • Federation zwischen Benutzer 1 und 2 wird hier nicht genutzt.
  • Der Status von Benutzer1 ist in im Heimattenant und im Tenant3 nicht synchron.

Das ist alles recht verwirrend. Die Situation ist auch nicht konstruiert, sondern passiert mir täglich, da ich als FrankCarius@netatwork regelmäßig mit anderen Dienstleistern in einem Kunden-Tenant gemeinsam in einem Team arbeiten. Aus Sicht des Kunden ist das natürlich optimal, da auch der Chat zwischen Dienstleistern im Kundentenant bleibt.

Gäste im Meeting

Die Auswirkungen eines Gasts bzw. eines Gast im falschen Tenant kann bei einer Meeting-Teilnahme besonders verwirrend sein. Wenn Sie in ihrem Kalender oder einer Einladung auf einen Meeting-Links klicken, kann folgendes passieren.

Aktuelle Teams Anmeldung Meeting in Team Ihre Rechte

Heimattenant als Benutzer

Heimattenant

Sie sind Benutzer im gleichen Tenant und entsprechend berechtigt

Heimattenant als Benutzer

Tenant2

Sie sind aus Sicht des Tenant 2 ein Externer Teilnehmer

Tenant2 als Gast

Heimattenant

Obwohl sie auch ein Konto im Heimattenant haben, sind sie als Gast im Tenant 2 angemeldet und sind in ihrem eigenen Tenant ein externer Teilnehmer

Tenant2 als Gast

Tenant2

Sie sind als Gast im Tenant2 ein Teilnehmer.

Nicht angemeldet

Beliebig

Als nicht angemeldeter Benutzer sind sie "anonymer Teilnehmer"

Es gibt also vier mögliche Einstufungen:

  • Authentifizierter Benutzer im eigenen Tenant
  • Authentifizierter Gastbenutzer im anderen Tenant
  • Externer Benutzer im anderen Tenant
  • Anonymer Benutzer im Meeting

Je nach Einstufung wirkt sich dies auf ihre Berechtigungen aus, z.B. ob sie ggfls. in der Lobby warten müssen und ob sie das Chat-Fenster sehen und wie sie mit ihrem Kollegen interagieren können.

Funktion Anwender im Heimattenant
Meeting im Heimattenant
Gast im anderen Tenant
Meeting im anderen Tenant
Externer User im anderen Tenant
Meeting im Heimattenant
Anonymer Teilnehmer
Meetingtenant irrelevant

1:1 Chat

Werden im Heimat-Tenant zugestellt

Federation wird nicht genutzt. Die Nachricht landet im Gast-Tenant

Da es keinen Gast in dem Tenant gibt, wird die Nachricht per Federation in den Heimattenant zugestellt.

Es gibt keinen 1:1 Chat

Meeting Chat

Normale Chatfunktion im Meeting

Normale Chatfunktion im Meeting

Chatfunktion ist in der Regel nicht nutzbar, wenn man nicht als Gast in den Tenant gewechselt ist. Passiert mit immer wieder bei Microsoft

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Weitere Links