Teams Gastzugang
Der Gastzugang in Teams erlaubt es, dass auch Personen aus anderen Mandanten in ihrem Team mitarbeiten. Es gibt aber auch Einschränkungen, auf die ich hier eingehen möchte.
Beachte dazu die eigene Seite Office 365 Gast-Konten / Azure B2B im Bereich Office 365 Identity Management. Insbesondere die Fragestellung zu "Lizenzen"
Funktionsweise
Lange Zeit war "Teams" nur eine geschlossene Veranstaltung innerhalb des gleichen Tenants. Sicher konnte man per Federation mit Skype for Business-Partnern kommunizieren aber interessant wird es, wenn ich in einem Team-Raum auch Partner einbinden kann. Gerade in Projekten bietet sich das ja für die Zusammenarbeit mit Lieferanten und Kunden an. So hat Net at Work natürlich Teams im Einsatz und unsere Kunde mit Office 365 auch. Nun startet ein Kunde ein "Teams" für ein bestimmtes Projekt und möchte gerne, dass ich dort mitarbeite. Das geht natürlich mit einem User in dem gleichen Tenant. Bei vielen Kunden habe ich auch ein AD-Konto in deren Forest und einen Office 365 User und natürlich eine Lizenz.
Neben der "doppelten Lizenz ist hier aber das Thema Sicherheit immer kritisch zu beachten. Wenn ein Arbeitnehmer bei einem Dienstleister aufhört und sogar wechselt, bekommen das vielleicht nicht alle Kunden sofort mit. Der alte Arbeitgeber weiß vielleicht auch nicht, wo der Mitarbeiter noch ein Konto hat. Daher ist es schon sehr interessant, wenn der Mitarbeiter mit seinem "Firmenkonto" auch in anderen Tenants und Kunden arbeiten kann. Wird das primäre Konto deaktiviert, dann ist auch der Zugang im anderen System gesperrt. Das ist durchaus auch ein interessanter Hebel mit ADFS zu arbeiten, wenn z.B. Trusts zwischen Forests nicht möglich sind.
Bei Teams Gast Access läuft es genau darauf hinaus, dass ich in einem Team einer anderen Person auch Rechte einräumen kann. Technisch wird das andere Konto dabei in meinem AzureAD-Forest als Basisobjekt angelegt. Vergleichen Sie das einfach mit einer "Linked Mailbox" bei Exchange Ressource Forests: Es ist ein deaktiviertes Konto, welches zur Speicherung der Konfiguration und Verwaltung der Berechtigungen dient und auf das eigentliche Anmeldekonto verweist.
8. Feb 2021: Default=ON!
Am 6 Dez 2020 habe ich eine Mail zu meinen Tenants bekommen, dass Microsoft ab 8. Feb 2021 eine Änderung der "Standardkonfiguration" durchführt. Der Gastzugriff in Teams wird hier per Default aktiviert, wenn keine manuelle Einstellung erfolgt ist.
Wenn Sie dann als Administrator in dem Teams Admin Portal anmelden, dann sehen Sie im Dez 2020 aber drei Optionen statt einem "Schalter".
https://admin.teams.microsoft.com/company-wide-settings/guest-configuration
In diesem Tenant wurde Gast-Zugriff schon aktiv angeschaltet, so dass der "Service Default: Off" nicht mehr aktivierbar ist. Ab 8. Feb dürfte hier der Default dann auf "On" stehen.
Gastzugriff aktivieren
Per Default ist der Gastzugriff auf dem Tenant nicht aktiviert, d.h. ohne Mithilfe des Tenant Administrators kann niemand anfangen, Personen aus anderen Tenants in ein Team einzuladen.
Setup guest access in Microsoft Teams
(with audio descriptions)
https://www.youtube.com/watch?v=g21Hcqdl5tI
https://docs.microsoft.com/en-us/microsoftteams/guest-access-checklist
Sowohl auf YouTube als auch in der Dokumentation ist eine
Schritt für Schritt-Anleitung als Video enthalten.
Zuerst muss eine globale Einstellung im Tenant angepasst werden:
Altes Bild: Hier war Gast-Zugriff ein "Schieber" zu Ein/Aus
Das ist aber nicht alles, denn Teams nutzt seinerseits ja auch SharePoint, OneDrive, Exchange und andere Datenspeicher, in denen es auch die Steuerung des Gast-Zugriffs gibt. Eine schöne Grafik habe ich dazu bei der Teams Challenge auf Microsoft Lernplattform gefunden:
Quelle: learn.microsoft.com
Mittlerweile gibt es von Microsoft sogar Videos und bebilderte Anleitungen, so dass ich die Einstellung hier nicht weiter dokumentiere und nur die Links aufführe.
- Teams guest access checklist
https://docs.microsoft.com/de-de/microsoftteams/guest-access-checklist - Turn on or off guest access to Microsoft
Teams
https://docs.microsoft.com/en-US/MicrosoftTeams/set-up-guests - Microsoft Teams: Enabling and Using
Guest Access
https://blogs.technet.microsoft.com/skypehybridguy/2017/09/20/microsoft-teams-enabling-and-using-guest-access/ - Autorisieren des Gastzugriffs in
Microsoft Teams
https://docs.microsoft.com/de-de/microsoftteams/teams-dependencies - Aktivieren oder deaktivieren des
Gastzugriffs auf Microsoft Teams
https://docs.microsoft.com/de-de/microsoftteams/set-up-guests - Enabling Guest Access in Microsoft Teams
https://blogs.perficient.com/2017/10/04/enabling-guest-access-in-microsoft-teams/ - Enabling Access to Teams for Guest Users
with PowerShell
https://office365foritpros.com/2018/09/07/powershell-enable-guest-access-teams/ - Authorize guest access in Microsoft
Teams
https://docs.microsoft.com/en-us/microsoftteams/teams-dependencies -
Guidance for delivering Virtual Events
https://adoption.microsoft.com/virtual-event-guidance/
https://teamworktools.azurewebsites.net/hub/MicrosoftVirtualEventPlaybook_v1.pdf
Gäste einladen
Sie wissen sicher schon, dass ein Team der Berechtigungscontainer ist, d.h. nur Leute, die in einem Team Mitglied sind, können auf Daten im Team zugreifen und mitarbeiten. Die verschiedenen Channels darunter sind aber nicht mehr gesondert berechtigt, sondern stellen eher eine thematische Gliederung dar, so dass Team-Mitglieder ihre eigenen Schwerpunkte setzen können. Wenige Teams mit mehr Channels ist ein gutes Design, von denen die Teilnehmer dann nur den relevanten Teil als Favoriten addieren.
Auf dem Level des Teams können daher "Gäste" hinzugefügt werden.
Achtung:
Allein durch das Hinzufügen eines Benutzers wird im AzureAD
schon ein "Gast-Benutzer" angelegt und der Gast sieht in seinem Teams auch schon ihren Tenant.
Aber machen kann er nichts
Die Mailadresse ist dabei der Schlüssel. Der Gast bekommt eine Mail und per Klick kann er zustimmen, dass er als Gast aufgenommen wird. Denn auch die Daten des Gasts sind ja schützenswert.
Auch dazu gibt es von Microsoft schon entsprechende Videos.
Adding Guests in Microsoft Teams
https://www.youtube.com/watch?v=1daMBDyBLZc
Teamwechsel
Die Teams-Oberfläche bewegt sich immer innerhalb der Grenzen des Tenants. Wenn Sie also die Teams in einem anderen Tenant nutzen wollen, in dem Sie als Gast addiert worden sind, dann wechseln Sie dies oben rechts neben ihrem Konto-Bild.
Achtung:
Aktuell ist der Gastzugriff in der Applikation mit einem
Wechsel des Tenant verbunden. Sie sehen die zusätzlichen
Teams also nicht in ihrem primären Teambereich, sondern
wechseln.
Damit sind zwei Dinge verbunden:
- Ummeldung
Sie bleiben zwar die gleiche Person mit dem gleichen UPN aber es erfolgt dennoch eine Neuanmeldung am anderen Tenant. Sie müssen also ggfls. sich erneut mit ihrem Kennwort legitimieren. Zudem kann der andere Tenant andere Vorgaben, z.B. MFA, machen, so dass sie ggfls. einen zweiten Faktor verwenden müssen. Das gleichen Spiel findet bei der Rückkehr statt - Erreichbarkeit
Wenn Sie im "anderen Tenant" sind, dann sind sie aus ihren eigentlichen Tenant abgemeldet. Das führt u.a. dazu, dass z.B. ihr Präsenzstatus aber vor allem ihre Erreichbarkeit per Telefon nicht mehr gegeben ist.
So schön also der Gastzugriff erscheint, so wenig ist es sinnvoll sich mit seinem primären Client abzumelden. ich arbeite daher in der Regel so:
- Teams App in Net at Work
Über diese App habe ich immer Kontakt zur den Mitarbeitern von Net at Work und natürlich auch meine Rufnummer - Browser für Gastzugriff
In der Teams App sehe ich natürlich schon, ob in den anderen Teams etwas passiert, was mich interessiert. Ich wechsle dann aber nicht sondern nutzen den Browser zum Zugriff auf die anderen Teams.
Einzig der "Kampf um das Headset" zwischen Windows App und Browser kann dann manchmal zu Problemen führen. Hier erhoffe ich mir zukünftig noch eine elegantere Lösung, z.B. dass ich in meiner Teams App den Tenant wechseln kann aber dennoch in meinem primären Tenant bezüglich Präsenz und Rufnummer aktiv bleibe.
Gäste Präsenz
Wenn Menschen als Gäste in anderen Tenants unterwegs sind, dann hat das durchaus Auswirkungen, die nicht allen Anwendern so geläufig sind. Die Präsenz meines Benutzers FrankCarius@netatwork.de in meinem Heimattenant und die Präsenz des gleichen Benutzers in einem Kundentenant als Gast ist nicht identisch. Wenn ich in den Kundentenant wechsle, dann ist mein Status dort aktuell aber mein Status im Heimattenant wird nicht weiter aktualisiert. Mit Glück bin ich "abwesend".
Gäste und Telefonie
Übrigens bekomme ich auch keine Telefonanrufe auf meinen Team-Client durchgestellt, wenn ich nicht im Heimattenant angemeldet bin sondern als Gast in einem anderen Tenant arbeiten. Das ist auch der Grund, warum ich mit meinem Teams-Client versuche immer in meinem Heimat-Tenant zu bleiben und als Gast mit einem Browser in anderen Tenants arbeite
Gäste im Chat
Auch beim Thema Instant Messaging, also Chat zwischen zwei Teilnehmern gibt es schwer verständliche Extrembeispiele wie das folgende:
- Benutzer1 in Tenant1 ist in Tenant3 als Gast gewechselt
- Benutzer2 in Tenant 2 ist in Tenant 3 als Gast gewechselt
- Benutzer1 chattet mit Benutzer2
Diese Konstellation führt zu einigen seltsamen Ergebnissen.
- Der Chat findet im Tenant 3 zwischen den beiden Gästen statt.
- Die Chat-Historie ist weder für Benutzer1 noch Benutzer2 in seinem Home-Tenant sichtbar
- Wenn z.B. Benutzer1 wieder in seinen HomeTenant wechselt, läuft der Chat im Tenant3 weiter
- Benutzer 1 bekommt nach einer Stunde eine Mail "Sie verpassen was im Tenant 3"
- Federation zwischen Benutzer 1 und 2 wird hier nicht genutzt.
- Der Status von Benutzer1 ist in im Heimattenant und im Tenant3 nicht synchron.
Das ist alles recht verwirrend. Die Situation ist auch nicht konstruiert, sondern passiert mir täglich, da ich als FrankCarius@netatwork regelmäßig mit anderen Dienstleistern in einem Kunden-Tenant gemeinsam in einem Team arbeiten. Aus Sicht des Kunden ist das natürlich optimal, da auch der Chat zwischen Dienstleistern im Kundentenant bleibt.
Gäste im Meeting
Die Auswirkungen eines Gasts bzw. eines Gast im falschen Tenant kann bei einer Meeting-Teilnahme besonders verwirrend sein. Wenn Sie in ihrem Kalender oder einer Einladung auf einen Meeting-Links klicken, kann folgendes passieren.
Aktuelle Teams Anmeldung | Meeting in Team | Ihre Rechte |
---|---|---|
Heimattenant als Benutzer |
Heimattenant |
Sie sind Benutzer im gleichen Tenant und entsprechend berechtigt |
Heimattenant als Benutzer |
Tenant2 |
Sie sind aus Sicht des Tenant 2 ein Externer Teilnehmer |
Tenant2 als Gast |
Heimattenant |
Obwohl sie auch ein Konto im Heimattenant haben, sind sie als Gast im Tenant 2 angemeldet und sind in ihrem eigenen Tenant ein externer Teilnehmer |
Tenant2 als Gast |
Tenant2 |
Sie sind als Gast im Tenant2 ein Teilnehmer. |
Nicht angemeldet |
Beliebig |
Als nicht angemeldeter Benutzer sind sie "anonymer Teilnehmer" |
Es gibt also vier mögliche Einstufungen:
- Authentifizierter Benutzer im eigenen Tenant
- Authentifizierter Gastbenutzer im anderen Tenant
- Externer Benutzer im anderen Tenant
- Anonymer Benutzer im Meeting
Je nach Einstufung wirkt sich dies auf ihre Berechtigungen aus, z.B. ob sie ggfls. in der Lobby warten müssen und ob sie das Chat-Fenster sehen und wie sie mit ihrem Kollegen interagieren können.
Funktion | Anwender im Heimattenant Meeting im Heimattenant |
Gast im anderen Tenant Meeting im anderen Tenant |
Externer User im anderen
Tenant Meeting im Heimattenant |
Anonymer Teilnehmer Meetingtenant irrelevant |
---|---|---|---|---|
1:1 Chat |
Werden im Heimat-Tenant zugestellt |
Federation wird nicht genutzt. Die Nachricht landet im Gast-Tenant |
Da es keinen Gast in dem Tenant gibt, wird die Nachricht per Federation in den Heimattenant zugestellt. |
Es gibt keinen 1:1 Chat |
Meeting Chat |
Normale Chatfunktion im Meeting |
Normale Chatfunktion im Meeting |
Chatfunktion ist in der Regel nicht nutzbar, wenn man nicht als Gast in den Tenant gewechselt ist. Passiert mit immer wieder bei Microsoft |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Weitere Links
- Office 365 Gast-Konten / Azure B2B
- Office 365 Identity Management
-
AzureAD Identitäten
Ein AzureAD kann verschiedene Benutzer mit Links zu anderen Verzeichnisdiensten verwalten. - Authorize guest access in Microsoft
Teams
https://docs.microsoft.com/en-us/microsoftteams/teams-dependencies - Guest access in Microsoft Teams
https://support.office.com/en-us/article/Guest-access-in-Microsoft-Teams-bd4cdeec-4044-4b4b-9df1-beb139013a3f?ui=en-US&rs=en-US&ad=US - Scary Azure AD Tenant Enumeration… Using
Regular B2B Guest Accounts
https://danielchronlund.com/2021/11/18/scary-azure-ad-tenant-enumeration-using-regular-b2b-guest-accounts/ - Expand your collaboration with guest access in Microsoft Teams
https://blogs.office.com/en-us/2017/09/11/expand-your-collaboration-with-guest-access-in-microsoft-teams/ - Teams guest access checklist
https://docs.microsoft.com/de-de/microsoftteams/guest-access-checklist - Microsoft Teams: Neues Feature für organisationsübergreifende Zusammenarbeit
- Newsroom Microsoft Deutschland
https://news.microsoft.com/de-de/microsoft-teams-neues-feature-fur-organisationsubergreifende-zusammenarbeit/ - Microsoft Teams Guest Access Chrome Web
Apps
http://tomtalks.blog/2017/11/microsoft-teams-guest-access-chrome-web-apps/
Mit Chrome in mehreren Tenants arbeiten - Microsoft Teams – Kommunikation - Gast
https://www.netgo-smartwork.de/microsoft-teams-kommunikation/ - Azure AD access reviews
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-azure-ad-controls-access-reviews-overview - What are Azure AD access reviews?
https://docs.microsoft.com/en-us/azure/active-directory/governance/access-reviews-overview - Manage guest access with Azure AD access
reviews
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-azure-ad-controls-manage-guest-access-with-access-reviews
"Access reviews are available with the Premium P2 edition of Azure AD, which is included in Microsoft Enterprise Mobility + Security, E5. - Access Reviews for guests in all Teams
and Microsoft 365 Groups is now in public
preview
https://techcommunity.microsoft.com/t5/azure-active-directory-identity/access-reviews-for-guests-in-all-teams-and-microsoft-365-groups/ba-p/1994697