Teams Shared Channel Einsatz

Mit der Bereitstellung von Teams Shared Channels erweitert sich der Einsatzbereich und die Zusammenarbeit in Teams und Kanälen. Diese Seite versucht eine Beschreibung und Abgrenzung der verschiedenen Lösungen:

Zusammenarbeit

(Fast) jeder Zugriff auf Informationen in Teams erfolgt über authentifizierte Benutzer. Es gibt nur ganz wenige Dinge, die "anonym" erreichbar sind und daher stelle ich erst die verschiedenen Identitäten vor:

  • Anonymer User
    Wer sich nicht anmeldet kann maximal in Teams Meetings teilnehmen oder Dokument per OneDrive geteiltem Link erreichen. Eine Zusammenarbeit in Teams oder Kanälen ist nicht möglich und wird nicht weiter betrachtet
  • Tenant-Benutzer (Intern oder Extern)
    Ein reguläres Konto im Tenant kann mit Teams und Kanälen arbeiten. Das gilt für Mitarbeiter aber auch für externe, die ein Konto bei einem Kunden bekommen. Ich selbst habe einige "frank.carius.ext@<kundendomain>-Konten, für die mein Kunde auch eine Lizenz bereitstellt und ich meinen Microsoft Authenticator nutze. Das hat aber nichts mit Shared Channel oder Tenant-Switching zu tun, sondern ich nutzt hier meist einen eigenen Browser, um mit diesem Benutzer zu arbeiten
  • Gast-Konto und Tenant Switch
    Wenn ein Kunde meine Mitarbeit in seinem Teams wünscht, dann konnte er mich bislang als "Gast" einladen und mir damit den Zugriff auf Teams und alle darin enthaltenen Kanälen gewähren. Private Informationen konnte er über "Private Channel" in seinem Team vor mir verbergen. Allerdings ist die Nutzbarkeit für mich als Anwender eingeschränkt, wenn ich zur Mitarbeit den Tenant wechseln muss und ich damit aus meinen Heimtenant erst mal "abwesend" bin, d.h. ich erhalte z.B. keine Anrufe mehr und auch der Status meines eigenen Benutzers ist "gelb" und ich habe einen anderen Status als Gast im anderen Tenant. Nicht schön.
  • Federation
    Für das Hilfsmittel der Federation kann ich mit Anwendern in einem anderen Tenant kommunizieren. Dies erfolgt aber nicht "im" Teams oder Kanal, sondern sind eigenständige 1:1- oder Gruppen-Chats und sind hier nicht weiter relevant.
  • "B2B Direct Connect" Identitäten erforderlich
    Für die Nutzung on Shared Channels ist es erforderlich, dass die Administratoren der Tenants die Funktion "B2B Direct Connect" einrichten. Dann können Benutzer in einem Tenant die Identitäten eines anderen Tenants im Rahmen der Freigabe berechtigten. Die Benutzer des anderen Tenants werden dabei nicht als Gast anlegt.

Für die Nutzung von "Shared Channel" müssen Sie aktuell entweder ein Benutzer in dem Tenant sein oder ein Konto in einem anderen Tenant nutzen, zu dem die Funktion "B2B Direct Connect" eingerichtet wurde.

Gute Eignung

Shared Channels sind nicht für alle Einsatzfälle optimal. Es gibt durchaus Gründe, wann andere Optionen besser geeignet sind. Ich nutze daher ein paar Aussagen, um die verschiedenen Möglichkeiten der Zusammenarbeit zu erläutern. Shared Channels sind sehr gut für folgende Szenarien geeignet:

  • Begrenzte Freigabe
    Wenn Sie einen Gast in ihr Teams einladen, dann kann er alle Kanäle sehen. Nicht immer ist dies gewünscht und selbst die Verlagerung von sensiblen Informationen in einen privaten Kanal ist nicht immer ausreichend. Ein Mitglied in einem "Shared Channel" kann sich nur in diesem Kanal bewegen und hat keinen Zugriff auf das restlichte Team. Das ist ein Datenschutz-Thema
  • Kein Tenant-Switch
    Für die externen Anwender ist es natürlich ein großer Gewinn, dass der Kanal aus dem Team in einem anderen Tenant direkt im eigenen Teams erscheint, ohne dass der Anwender erst den Tenant mit allen damit verbundenen Nachteilen wechseln muss.
  • Teams-übergreifende Zusammenarbeit
    Shared Channels sind nicht nur für die Zusammenarbeit mit Benutzern in anderen Tenants interessant, sondern helfen auch im gleichen Tenant weiter, denn Sie können den Kanal in bis zu 50 anderen Teams einbinden. So können auch "Team-übergreifende" Kanäle realisiert werden und Mitarbeiter müssen nicht in vielen Teams aktiv oder Mitglied sein. Bis zu 5000 direkte Mitglieder sind pro Shared Channel möglich.
  • Channel Meetings
    Wenn ich heute in einem regulären Kanal ein Meeting plane, bekommen alle Mitglieder des Teams die Einladung, denn ein Kanal ist ein Teil des Team. Wenn ich ein Meeting im "Shared Channel" plane, dann bekommen nur die Mitglieder dieses Kanals die Einladung, was das Störpotential deutlich reduziert. Ich bemerke das immer, wenn ich als Gast in Teams der Kunden eingebunden bin, um in einem für mich eigentlich irrelevanten Kanal jemand ein Meeting plant. Die Einladung kommt dennoch bei mir an und ich muss dann immer erst mal schauen, ob sie mich betrifft, ehe ich mit einer Zu- oder Absage reagiere.

Schlechte Eignung

Ehe sie nun intensiv mit "Shared Channels" arbeiten, sollten Sie auch die Nachteile kennen:

  • "Geschlossene Teams"
    Wenn Sie als Teams-Inhaber sicher sein wollen, dass Sie auf einen Blick die Mitglieder im Blick haben, dann sollten sie auf Shared Channels aber auch private Kanäle verzichten. Die Anzeige der Mitglieder eines Teams ist nicht mit den im Shared Channel identisch und alle Teammitglieder sollten genau darauf achten, welche Information sie in einem Shared Channel veröffentlichen, insbesondere wenn die Mitglieder in einem anderen Team verwaltet werden. Bei einem "Private Channel" ist das weniger kritisch, denn dort können nur Gäste addiert werden, die auch schon im Team addiert wurde.
  • Beschränkte Apps
    Nicht alle Apps funktionieren auch in einem Shared Channel. Das betrifft z.B. häufig genutzte Apps wie Planner, Forms, Streams und andere. Hier sollten Sie aktuell klären lassen, ob die gewünschten Apps auch mit Shared Channels funktionieren. Schließlich laufen diese Apps im Client des "B2B Connect"-Benutzers und das Backend zur Ablage der Daten muss damit umgehen können.
  • Keine Gast-Benutzer (MSA Identität)
    Aktuell können keine Gäste in einem Shared Channel addiert werden.
  • "B2B Direct Connect"-Zwang
    Die Funktion "B2B Direct Connect" ist eine Voraussetzung aber erst seit Ende 2021 verfügbar. Sie müssen daher zuerst diese Partnerschaft zwischen Tenants einrichten lassen. Nicht alle Firmen wissen, wie dies geht oder haben schon die organisatorische Voraussetzungen (Compliance, Provisioning, Security etc.) dazu geschaffen, so dass die Nutzung dadurch verzögert wird.

Andere Kanalformen

Daher werden "Shared Channels" die weiterhin verfügbaren normalen Kanäle und "Private Channels" nicht ersetzen sondern ergänzen.

  • Standard Kanäle
    Die bieten die komplette Funktion, bei denen alle Teams-Mitglieder alle Funktionen und Apps nutzen können und jedes Teams-Mitglied ohne Hürden mitarbeiten kann.
  • Private Channels
    Das sind für mich eigentlich Standard-Kanäle, die aber nur eine Teilmenge der Mitglieder aus dem Teams einen Zugriff hat. Sie eignen sich daher sehr gut für schützenswerte Informationen und Kommunikationen, die z.B. nur ein Führungskreis in einem Team nutzen wollen. Die regulären Mitglieder sehen diese Kanäle nicht aber die "Private Channel"-Nutzer müssen kein separates Teams dazu nutzen.

Sicherheit

Der Zugriff auf Teams in anderen Tenants über Gastkonten ist per Default "offen". Als Administrator können Sie dies natürlich absichern, indem Sie z.B. die Anlage von Gastkonten beschränken oder die B2B-Federation zwischen Tenants reduzieren. Teams Shared Channels basieren nicht mehr aus Gast-Konten, sondern nutzt B2B Connect-Einstellungen. Die Identitäten von anderen Benutzern erscheinen dabei nicht mehr in ihrem Tenant als Gast. Das bedeutet aber auch, dass Sie diesen Konten nicht nur keine Lizenz zuweisen können. Auch "Conditional Acces"-Einstellungen scheinen aktuell nicht mehr zu greifen, bzw. es gelten die Sicherheitseinstellungen im Heimattenant des Benutzers.

Als Administrator eines Tenants, der andere Firmen per "B2B Connect" zulässt, sollte sich daher versichern, dass die Anmeldeeinstellungen im anderen Tenant ausreichend sicher sind. Allerdings haben sie keinen Zugriff auf diese Einstellungen und der anderen Tenant-Admin kann dies auch immer wieder ändern, ohne dass Sie dies prüfen oder bemerken können.

Hier können sie keine technische Lösung schaffen. Letztlich können die dies aktuell nur "vertraglich" lösen, d.h. ihre Firma fordert vor der Einrichtung eine "Erklärung" der anderen Firma über die Einhaltung bestimmter Sicherheitseinstellungen ein.

Zusammenfassung

Microsoft hat sehr lange an den "Shared Channels" gearbeitet. Es gab schon im Herbst 2021 erste Ankündigungen auf der Ignite und persönlich kann ich gar nicht mehr sagen, wann ich mit den ersten Konzepten und Überlegungen konfrontiert wurde. Es war gerade in den Beta-Phase auch ein sehr wechselhaftes Verhalten, weil in einer agilen Entwicklung sich auch die Ziele und Randbedingungen verändern. Insbesondere die Abhängigkeit von "B2B Direct Connect" hat die ein oder andere Entwicklung gebremst.

Etwas unglücklich finde ich allerdings die parallele Verwendung von "Teams Connect", "Shared Channels" und B2B Direct Connect.

Weitere Links