Teams Gastzugang

Teams Gastzugang

Der Gastzugang in Teams erlaubt es, dass auch Personen aus anderen Tenants in ihrem Team mitarbeiten. Es gibt aber auch Einschränkungen, auf die ich hier eingehen möchte

Funktionsweise

Lange Zeit war "Teams" nur eine geschlossene Veranstaltung innerhalb des gleichen Tenants. Sicher konnte man per Federation mit Skype for Business-Partnern kommunizieren aber interessant wird es, wenn ich in einem Team-Raum auch Partner einbinden kann. Gerade in Projekten bietet sich das ja für die Zusammenarbeit mit Lieferanten und Kunden an. So hat Net at Work natürlich Teams im Einsatz und unsere Kunde mit Office 365 auch. Nun startet ein Kunde ein "Teams" für ein bestimmtes Projekt und möchte gerne, dass ich dort mitarbeite. Das geht natürlich mit einem User in dem gleichen Tenant. Bei vielen Kunden habe ich auch ein AD-Konto in deren Forest und einen Office 365 User und natürlich eine Lizenz.

Neben der "doppelten Lizenz ist hier aber das Thema Sicherheit immer kritisch zu beachten. Wenn ein Arbeitnehmer bei einem Dienstleister aufhört und sogar wechselt, bekommen das vielleicht nicht alle Kunden sofort mit. Der alte Arbeitgeber weiß vielleicht auch nicht, wo der Mitarbeiter noch ein Konto hat. Daher ist es schon sehr interessant, wenn der Mitarbeiter mit seinem "Firmenkonto" auch in anderen Tenants und Kunden arbeiten kann. Wird das primäre Konto deaktiviert, dann ist auch der Zugang im anderen System gesperrt. Das ist durchaus auch ein interessanter Hebel mit ADFS zu arbeiten, wenn z.B. Trusts zwischen Forests nicht möglich sind.

Bei Teams Gast Access läuft es genau darauf hinaus, dass ich in einem Team einer anderen Person auch Rechte einräumen kann. Technisch wird das andere Konto dabei in meinem AzureAD-Forest als Basisobjekt angelegt. Vergleichen Sie das einfach mit einer "Linked Mailbox" bei Exchange Ressource Forests: Es ist ein deaktiviertes Konto, welches zur Speicherung der Konfiguration und Verwaltung der Berechtigungen dient und auf das eigentliche Anmeldekonto verweist.

Gastzugriff aktivieren

Per Default ist der Gastzugriff auf dem Tenant nicht aktiviert, d.h. ohne Mithilfe des Tenant Administrators kann niemand anfangen, Personen aus anderen Tenants in ein Team einzuladen. Dies ist eine globale Einstellung im Tenant.

Mitterlweile gibt es von Microsoft sogar Videos und bebilderte Anleitungen, so dass ich die Einstellung hier nicht weiter dokumentiere und nur die Links aufführe. 

Setup guest access in Microsoft Teams (with audio descriptions)
https://www.youtube.com/watch?v=g21Hcqdl5tI

Gäste einladen

Sie wissen sicher schon, dass ein Team der Berechtigungscontainer ist, d.h. nur Leute, die in einem Team Mitglied sind, können auf Daten im Team zugreifen und mitarbeiten. Die verschiedenen Channels darunter sind aber nicht mehr gesondert berechtigt, sondern stellen eher eine thematische Gliederung dar, so dass Team-Mitglieder ihre eigenen Schwerpunkte setzen können. Wenige Teams mit mehr Channels ist ein gutes Design, von denen die Teilnehmer dann nur den relevanten Teil als Favoriten addieren.

Auf dem Level des Teams können daher "Gäste" hinzugefügt werden.

Die Mailadresse ist dabei der Schlüssel. Der Gast bekommt eine Mail und per Klick kann er zustimmen, dass er als Gast aufgenommen wird. Denn auch die Daten des Gasts sind ja schützenswert.

Auch dazu gibt es von Microsoft schon entsprechende Videos.

Adding Guests in Microsoft Teams
https://www.youtube.com/watch?v=1daMBDyBLZc

Teamwechsel

Die Teams-Oberfläche bewegt sich immer innerhalb der Grenzen des Tenants. Wenn Sie also die Teams in einem anderen Tenant nutzen wollen, in dem Sie als Gast addiert worden sind, dann wechseln Sie dies oben rechts neben ihrem Konto-Bild.

Achtung:
Aktuell ist der Gastzugriff in der Applikation mit einem Wechsel des Tenant verbunden. Sie sehen die zusätzlichen Teams also nicht in ihrem primären Teambereich, sondern wechseln.

Damit sind zwei Dinge verbunden:

  • Ummeldung
    Sie bleiben zwar die gleiche Person mit dem gleichen UPN aber es erfolgt dennoch eine Neuanmeldung am anderen Tenant. Sie müssen also ggfls. sich erneut mit ihrem Kennwort legitimieren. Zudem kann der andere Tenant andere Vorgaben, z.B. MFA, machen, so dass sie ggfls. einen zweiten Faktor verwenden müssen. Das gleichen Spiel findet bei der Rückkehr statt
  • Erreichbarkeit
    Wenn Sie im "anderen Tenant" sind, dann sind sie aus ihren eigentlichen Tenant abgemeldet. Das führt u.a. dazu, dass z.B. ihr Präsenzstatus aber vor allem ihre Erreichbarkeit per Telefon nicht mehr gegeben ist.

So schön also der Gastzugriff erscheint, so wenig ist es sinnvoll sich mit seinem primären Client abzumelden. ich arbeite daher in der Regel so:

  • Teams App in Net at Work
    Über diese App habe ich immer Kontakt zur den Mitarbeitern von Net at Work und natürlich auch meine Rufnummer
  • Browser für Gastzugriff
    In der Teams App sehe ich natürlich schon, ob in den anderen Teams etwas passiert, was mich interessiert. Ich wechsle dann aber nicht sondern nutzen den Browser zum Zugriff auf die anderen Teams.

Einzig der "Kampf um das Headset" zwischen Windows App und Browser kann dann manchmal zu Problemen führen. Hier erhoffe ich mir zukünftig noch eine elegantere Lösung, z.B. dass ich in meiner Teams App den Tenant wechseln kann aber dennoch in meinem primären Tenant bezüglich Präsenz und Rufnummer aktiv bleibe.

Weitere Links