Teams Privacy
Ohne weitere Konfiguration ist Teams auf "Kommunikation" eingestellt, d.h. jeder Teilnehmer kann mit jedem anderen Teilnehmer über alle Wege, d.h. Chat, Audio, Video, Teams kommunizieren und das beschränkt sich nicht nur auf die eigene Firma, sondern verbindet Sie auch mit anderen Firmen und Privatpersonen (Skype). Dazu gehört üblicherweise auch der Präsenzstatus, der oftmals kritisch gesehen wird. Es ist sehr wohl ein Unterschied, ob ich jemand nur anrufen kann oder schon vorher sehe, ob er Offline, Abwesend oder beschäftigt ist und man nicht nur theoretisch Teams Präsenz und Status auch tracken könnte.
External Access
Als Teams Administrator können Sie unter https://admin.teams.microsoft.com/company-wide-settings/external-communications global für ihren Tenant folgende Dinge einstellen:
- Federation zu anderen Unternehmen mit
Teams
Hier ist "Allow all external Domains" die Standardeinstellung, d.h. Sie können mit anderen Firmen bidirektional kommunizieren. Die Einstellung wird immer bidirektional aber natürlich kann nur funktionieren, was beide Seiten erlauben. - Federation zu Teams Nutzen ohne Firma
Es gibt ja auch Teams for Home, die mit einem "Microsoft Konto" arbeiten. - Federation zu Skype (nicht Skype for
Business)
Parallel zu Teams und Kaizala gibt es immer noch das "Consumer Skype". Auch hier ist eine Federation möglich
Hinweis:
Sie können die globale Einstellung auf einer "Per
User"-Basis über eine "CsExternalAccessPolicy"
überschreiben. Die Konfiguration dieser Richtlinie ist per
Teams PowerShell aber noch nicht im Teams Admin-Portal
möglich
- Teams Präsenz und Status
- Limit external access to specific people
https://docs.microsoft.com/en-US/microsoftteams/manage-external-access?WT.mc_id=TeamsAdminCenterCSH#limit-external-access-to-specific-people - New-CsExternalAccessPolicy
https://docs.microsoft.com/en-us/powershell/module/skype/new-csexternalaccesspolicy
Presence Privacy-Mode
Eine zweite Einstellung verbirgt sich allerdings im Feb 2022 noch unter https://admin.teams.microsoft.com/company-wide-settings/sfb im Bereich "Other Settings" unter Skye for Business:
Wenn Sie den Punkt "Skype for Business" in ihrem Tenant nicht mehr sehen, dann sind Sie schon "Teams Only" und die Einstellung kann eventuell noch per PowerShell gesetzt werden.
Auch wenn diese Einstellung in Skype for Business erfolgt, so wirkt Sie sich auch auf Teams aus.
Bei der klassischen Skype for Business Installation beschränkt diese Einstellung
aber auch die interne Präsenzanzeige.
In Teams betrifft es aber nur die externe Anzeige zu anderen Tenants.
Ich interpretiere das so, dass die Einstellung nur im "SIP-Routing Code" des weiter genutzten Skype for Business Unterbau aktiv ist und nicht in Teams selbst. Auch wenn SfBOnline schon abgeschaltet ist, gibt es für den Hybrid-Mode und Federation zu SfBOn-Premises weiterhin den Unterbau.
Eine Einschränkung der internen Kommunikation ist nur über "Information barriers in Microsoft Teams" (https://docs.microsoft.com/en-us/microsoftteams/information-barriers-in-teams) möglich.
- Lync Privacy Configuration
- Lync Presence
- Manage Skype for Business settings in the Microsoft Teams admin center
https://docs.microsoft.com/en-US/Microsoftteams/skype-for-business-settings - Set-CsPrivacyConfiguration
https://docs.microsoft.com/en-us/powershell/module/skype/set-csprivacyconfiguration?view=skype-ps
Listet nur "c Server 2010, Lync Server 2013, Skype for Business Online, Skype for Business Server 2015, Skype for Business Server 2019" auf - Enabling privacy mode for Microsoft Teams to hide presence information for
external federated contacts
http://terenceluk.blogspot.com/2020/05/enabling-privacy-mode-for-microsoft.html - Configure presence privacy mode
https://docs.microsoft.com/en-us/skypeforbusiness/set-up-skype-for-business-online/configure-presence-privacy-mode
Out of Scope
Privacy und Schutz gibt es noch an anderen Stellen. Diese Seite beschäftigt sich nicht weiter mit:
- Gast-Zugriff
d.h. dass Identitäten aus anderen Tenants in ihrem Tenant mitarbeiten. - Private/Öffentlichen Teams
Damit kann der Teams Besitzer einstellen, ob dein Team "gefunden" werden kann und Personen sich selbst zum Mitglied machen dürfen - Information Barriers
Damit Gruppen von Personen nicht miteinander kommunizieren können, was speziell im Bankenbereich oder Forschung und Entwicklung ein Thema ist
Hierzu verweise ich auf eigene Seiten:
- Gast-Identität
- Teams Gastzugang
- AzureAD Identitäten
- Office 365 Gast-Konten / Azure B2B
- Manage external access in Microsoft Teams
https://docs.microsoft.com/en-US/microsoftteams/manage-external-access - New-CsExternalAccessPolicy
https://docs.microsoft.com/en-us/powershell/module/skype/new-csexternalaccesspolicy
Teams Business
Damit stellt sich natürlich die Frage, was mit den Standard-Einstellungen geht und welche Auswirkungen einseitige Änderungen haben. Ich habe dazu zwei Test-Tenants genutzt und Tenant-A war komplett "offen" während bei Tenant B die globale Konfiguration angepasst wurde. Ich habe nicht mit individuelle Einstellungen über CsExternalAccessPolicy gearbeitet. Die Tests wurden in verschiedene Richtungen gestartet und auch auf bestehende Verbindungen geantwortet.
Diese Tabelle gilt nur für Benutzer in ihren Tenants aber nicht für Gäste, Wenn der Benutzer aus TenantA in den TenantB als Gast wechselt, dann ist er aktuell "intern" und sieht wieder den Präsenzstatus von B
TenantB Privacy |
TenantB Federation |
Präsenz | Chat | Meeting | VoIP Call |
---|---|---|---|---|---|
Off |
Open |
|
|
|
|
Enabled |
Open |
|
|
|
|
Off |
Closed |
|
|
|
|
Enabled |
Closed |
|
|
|
|
Leider habe ich gerade keine Skype for Business Hybrid-Umgebung oder Federation mit mehr aktiv, um zu sehen, ob der PrivacyMode hier weitere Effekte mit sich bringt.
Federation 3000 Domain Limit
Wenn Sie ihren Tenant auf "Closed Federation" stellen, dann müssen sie natürlich eine "Allowlist" der erlaubten Partnerdomains hinterlegen. Die Liste ist im Teams Admin Center pflegbar und wie jede Liste gibt es auch hier Limits. Ich habe natürlich nicht jede Domain von Hand eingetragen. Das geht per Teams PowerShell viel schneller:
foreach ($count in (1..100000)) { [string]$domain = "test$($count).msxfaq.de" Write-host "Adding Domain $($domain)" Set-CsTenantFederationConfiguration -AllowedDomainsAsAList @{Add=$Domain} }
Aber nach 3000 Domains war mi einem "Set-CsTenantFederationConfiguration: No more than 3000 allowed domains can be configured for a tenant." Schluss
Im Admin-Portal wurden auch 3000 Domains angezeigt, was mich aber nicht daran hinderte, hierüber noch eine weitere Domains zu addieren. Ich war überrascht, dass dies sogar funktioniert hat.
Allerdings können Sie diese Änderung nicht mit "Save" übernehmen. Das Limit ist aktuell (Feb 2022) bei 3000 Domains. Das Laden der Seite dauert bei so vielen Domains allerdings schon sehr lange und es werden auch alle Domains als Liste angezeigt und können ausgewählt und gelöscht werden. Hier ist dann Geduld gefragt. Im Hintergrund holt sich das Admin Center die Daten über eine REST-API (https://api.interfaces.records.teams.microsoft.com/Skype.Policy/configurations/TenantFederationSettings?adminDomain=common) und bekommt eine JSON Antwort.
Die Liste der Domain wird nach meinen Analysen nicht auf den Team Client heruntergeladen. Die Prüfung scheint daher auf dem Backend zu erfolgen. Das macht natürlich auch Sinn, da eine externe Anfrage nach dem Status auch ohne den Client korrekt bedient werden muss.
List the domains (maximum of 3000) in
the box provided, using the format domain.com.
Quelle: Restrict sharing of SharePoint and OneDrive content
by domain
https://docs.microsoft.com/en-us/sharepoint/restricted-domains-sharing#limiting-domains
Früher waren es angeblich mal 300
Quelle: Limits to the number of domains that can be added
for Teams External Access
https://answers.microsoft.com/en-us/msteams/forum/all/limits-to-the-number-of-domains-that-can-be-added/8ec4b8c1-b445-4b68-a453-28999f936f69
In den Microsoft Teams service description ( https://docs.microsoft.com/en-us/office365/servicedescriptions/teams-service-description) kommt weder "Allowed" noch "Domain" überhaupt vor
Teams Federation verwalten
Ich kann verstehen, dass eine "Open Federation" und transparente Präsenzanzeige bei einigen Firmen zumindest hinterfragt werden wird. Die globale Abschaltung der Präsenzfunktion verhindert aber auch eine Anzeige der Präsenz mit explizit föderierten Domains. Das ist wohl weniger im Sinne der meisten Anwender. Zudem gibt es einen Unterschied zwischen der "Lync Privacy Configuration" und Teams. Während bei Skype for Business damit auch die interne Sichtbarkeit auf eingetragene Kontakte limitiert wurde, ist es bei Teams nur die externe Sichtbarkeit für Intern müssen die "Information Barriers" genutzt werden.
Damit stellt sich im Provisioning die Frage, wie sie in ihrer Firma die Pflege der bis zu 3000 Domains steuern. Sie haben ja ein Schutzbedürfnis und leider erlaubt Teams selbst keinen Kommentar pro Domain, wann diese von Wen und aufgrund welcher Anforderung eingetragen wurde. Wenn Sie solche Anforderungen stellen, dann müssen Sie sich eine Lösung einfallen lassen. Ob sie das nun per Laufzettel auf Papier, per SharePoint-Liste, Excel-Liste oder in ihrem Ticketsystem hinterlegen, überlasse ich ihnen. Hier ein paar weitere Ansätze:
Quelle | Beschreibung |
---|---|
Guest |
Die meisten Firmen mit externen Verbindungen nutzen "Gast-Identitäten", damit Anwender aus anderen Tenants mitarbeiten können. Diese Personen bzw. Domains sind aus Sicht vieler Firmen damit vertrauenswürdig. Wenn Sie Federation abgeschaltet haben, könnten Sie eine Liste der Domänen aller Gäste als Kriterium für "allowed Domains" für die Federation nutzen. |
Exchange |
Eine andere Quelle könnten die Domains der Mail-Partner sein. Vielleicht pflegen Sie heute schon "Partner-Domains" mit einem eigenen Connector in Exchange Online. Aber auch die Domains mit viel Verkehr aus dem Messagetracking könnten eine Quelle für Federation-Domains sein. Allerdings ist da wohl auch viel Rauschen dabei. Interessante könnten aber z.B. "Kontakte" sein, sei es als "MailContact" im AD.Adresbuch oder Firmenkontakte in einer Shared Mailbox oder Public Folder |
ERP/CRM |
Beziehungen zwischen einer Firma und ihren Kunden und Zulieferern sind auch in ERP/CRM-Systemen hinterlegt. Auch diese Quellen sind durchaus möglich Quellen für eine Liste der möglichen Federation-Domains. |
Automate |
Ein schönes Beispiel ist aber die Nutzung von Azure Automation und Power Automate, um solche Anforderungen als Workflow ausführen zu lassen.
|
Sie merken schon, dass ich kein Freund einer "Closed Federation" bin und zumindest Firmen mit engerer Zusammenarbeit den Status zulassen sollten. Ich merke sehr deutlich die Unterschiede, wenn ich mit einem Kunden in Kontakt trete und dessen Kommunikationsbereitschaft erkenne und einem anderen "verschlossenen" Kunden, bei dem ich nur ein "X" als Status sehe. Hier kann ich dann entweder "störend" anrufen oder falle zurück und schreibt dann doch wieder eine Mail.
Teams Business mit Consumer
Schon mit Skype for Bsiness konnten Firmenabwender mit privaten Konten kommunizieren. Das ging lange Zeit nicht nur mit Federation mit MSN und Skype sondern früher auch mit PIC mit AOL/AIM. Davon ist zumindest in Teams zumindest die Federation zu Skype übrig geblieben:
- Communicate with Skype users (preview)
https://docs.microsoft.com/en-us/microsoftteams/manage-external-access#communicate-with-skype-users-preview - Teams and Skype interoperability
https://docs.microsoft.com/en-us/microsoftteams/teams-skype-interop
Als Firma können Sie diese Funktion aber auch komplett unterbinden.
Die Einstellung ist auch per Teams-PowerShell möglich. da können Sie sogar noch Audio/Video separat steuern.
Set-CsExternalAccessPolicy ` -EnablePublicCloudAccess:$true ` -EnablePublicCloudAudioVideoAccess Set-CsTenantPublicProvider ` -Provider "WindowsLive"
- Teams and Skype interoperability -
PowerShell
https://docs.microsoft.com/en-us/microsoftteams/teams-skype-interop#using-powershell - Set-CsTenantPublicProvider
https://docs.microsoft.com/en-us/powershell/module/skype/Set-CsTenantPublicProvider - Set-CsExternalAccesspolicy
https://docs.microsoft.com/en-us/powershell/module/skype/set-csexternalaccesspolicy
Anders als bei Teams Federation bekommt der Teams Anwender beim ersten Kontakt eines Skype-Benutzers eine Einladung und können entscheiden, ob sie die Konversation annehmen. Auch eine Anzeige des Status ist aktuell nicht möglich.
- Teams and Skype interoperability -
Limitations
https://docs.microsoft.com/en-us/microsoftteams/teams-skype-interop#limitations
- Verwaltung des externen Zugriffs in Microsoft Teams
https://docs.microsoft.com/de-de/microsoftteams/manage-external-access
Einschätzung
Aus meiner Sicht ist der "Skype for BusinessOnline PrivacyMode" die falsche Option, den Schutz bezüglich Präsenzstatus mit Microsoft Teams einzustellen
- Nicht mit TeamsOnly
Die Option ist über das Teams Admin Center nur dann erreichbar, wenn ihr Tenant noch nicht "Teams Only" ist. Das sind im Feb 2022 nur noch ganz wenige Tenants. Selbst wenn Sie es noch per PowerShell setzen könnten, sollten Sie es sein lassen - Nur externe und keine interne Sicherheit
Bei Skype for Business On-Premises und dem mittlerweile abgeschalteten SfB Online hat diese Option auch die interne Präsenzanzeige auf die Kontakte in der eigenen Liste beschränkt. Bei Teams sind Personen im gleichen Tenants, d.h. Benutzer aber auch Gäste, weiterhin sichtbar, wenn Sie nicht zusätzlich mit Information Barriers arbeiten. - Chat und Anrufe weiter möglich
Wenn Sie nicht parallel die Teams Federation steuern, dann sehen die Anwender den Status zwischen Tenants zwar nicht aber können dennoch chatten und Anrufen. Um dies zu kontrollieren, müssen Sie auch die Federation konfigurieren.
Wenn ich mir diese Aussagen und die Tabelle genau anschaue, dann ist die Pflege der Federation der bessere und richtige Weg, um die Kommunikation zwischen Tenants zu steuern. Für sensible Firmen kann es schon ein Weg sein die Federation komplett abzuschalten oder über eine Allowlist nur bis zu 3000 "vertraute Firmen" zuzulassen.
Weitere Links
- Gast-Identität
- Teams Gastzugang
- AzureAD Identitäten
- Office 365 Gast-Konten / Azure B2B
- Teams Präsenz und Status
- Teams for Home
- Lync Presence
- Lync Privacy Configuration
- Manage external access in Microsoft Teams
https://docs.microsoft.com/en-US/microsoftteams/manage-external-access - User presence in Teams
https://docs.microsoft.com/en-us/microsoftteams/presence-admins - Information barriers in Microsoft Teams"
https://docs.microsoft.com/en-us/microsoftteams/information-barriers-in-teams - Restrict sharing of SharePoint and
OneDrive content by domain
https://docs.microsoft.com/en-us/sharepoint/restricted-domains-sharing#limiting-domains - Microsoft Teams – Presence Status in Teams
https://www.rakoellner.de/knowledge-base/microsoft-teams-presence-status-in-teams/ - The Disappearing Presence Mystery
https://teamsqueen.com/2021/11/23/the-disappearing-presence-mystery/ - Federated / External users showing presence as Offline in Microsoft Teams
https://www.linkedin.com/pulse/federated-external-users-showing-presence-offline-microsoft-roxo/ - Enabling privacy mode for Microsoft Teams to hide presence information for
external federated contacts
https://terenceluk.blogspot.com/2020/05/enabling-privacy-mode-for-microsoft.html - Teams Real Simple with Pictures: Hiding
Presence
https://microsoft365pro.co.uk/2020/12/20/teams-real-simple-with-pictures-hiding-presence/ - 3 types of privacy settings in Microsoft
Teams
https://sharepointmaven.com/3-types-of-privacy-settings-in-microsoft-teams/ - Manage Teams External Access for Allowed
Domains Using PowerShell and Teams Approvals
https://danielchronlund.com/2021/02/22/manage-teams-external-access-for-allowed-domains-using-powershell-and-teams-approvals/ - Enable option to Hide user presence from external
contacts
https://feedbackportal.microsoft.com/feedback/idea/790f6358-272e-ec11-b6e6-00224827bbc2