Externe Gäste mit Teams verwalten
Microsoft Teams ist eine Plattform für Zusammenarbeit. Deshalb können auch externe Gäste eingeladen werden. Mit den richtigen Einstellungen sind diese Zugänge sicher und erlauben trotzdem eine interaktive Zusammenarbeit. Jeder externe Kontakt mit einer gültigen E-Mail-Adresse kann als Gast hinzugefügt werden.
Sicher mit Externen in Teams arbeiten – darauf ist zu achten:
- Vorab festlegen, wer einladen darf: Diese Regeln erstellt der Office 365-Administrator legt über das Azure Active Directory und die Office 365 Groups-Einstellungen. Er oder sie kann etwa die Möglichkeit, Gäste einzuladen, generell aktivieren oder festlegen, welche Nutzer*Innen oder Rollen einladen dürfen. Die Einstellungen für externe Benutzer und die Rechtevergabe finden Sie unter Azure Active Directory > Benutzer -> Benutzereinstellungen
- Auf die Berechtigungsstufen achten: Für Gäste können Besprechungen, Chats und die Bearbeitung von Dokumenten und Notizbüchern freigegeben werden. Um den gewünschten Zugriff zu gewähren, können die für den Gastzugang erforderlichen Rechte über vier verschiedene Autorisierungsebenen verwaltet werden:
- Azure Active Directory – kontrolliert die Rechte des Gastes auf der Ebene des Directory, des Tenants und der Anwendungsebene
- Microsoft Teams – steuert nur die Rechte in Microsoft Teams
- Office 365 Groups – bezieht sich auf Office 365-Gruppen und Microsoft Teams
- SharePoint Online & OneDrive for Business – regelt die Zugriffsrechte in SharePoint Online, OneDrive for Business, Office 365 Groups und Microsoft Teams
Alle Berechtigungsstufen gelten für den jeweiligen Office 365-Mandanten. Mehr dazu bei Microsoft.
- Den Umfang der Rechte bestimmen: Der Team-Besitzer kann sehr genau festlegen, in welchem Umfang Rechte an externe Teilnehmer freigeben werden. So kann z.B. das Erstellen und Aktualisieren von Team-Kanälen zugelassen werden, das Löschen dagegen nicht. Hier hat der Team-Besitzer keine weiteren Gastberechtigungen vergeben:
Auf Gäste achten: Teams mit externen Gästen sind deutlich gekennzeichnet.
Um genau zu sehen, wer in einem Team ist, kann man sich die Mitgliederliste anzeigen lassen: Zum Namen des Teams wechseln und auf Weitere Optionen > Team verwalten klicken. Die Mitgliederliste wird dann in der Registerkarte Mitglieder angezeigt.
- Verantwortung klar zuordnen: Können Nutzer*innen Gäste einladen, kann es durch Personalwechsels dazu kommen, dass Gruppen „verwaisen“, d.h. dass niemand mehr die Gruppe verwalten kann. Deshalb ist es sinnvoll, pro Gruppe zwei Besitzer*innen anzugeben.
- Verdeckte Zugänge im Blick haben: Die Anzahl der Gastnutzer*innen im Azure AD Tenant wird oft unterschätzt: Neben der Einladung in ein Microsoft Team entsteht ein Gastkonto nämlich auch dann, wenn z.B. eine Datei- oder Ordnerfreigabe zu OneDrive oder SharePoint erteilt wird.
- Netzwerk-Hygiene: Mit der Zeit sammeln sich immer mehr Gastzugänge, so dass der Überblick, wer im Netzwerk aktiv ist und wer nicht mehr, verloren gehen kann. Das öffnet die Türen für unberechtigte Zugriffe. Das regelmäßige Prüfen und Löschen von Gastzugängen ist deshalb wichtig für die IT-Sicherheit.
Gäste hinzufügen – so geht’s:
Schritt 1: Der Office 365-Administrator aktiviert die Gastfunktion für den Tenant. Erst dann können Nutzer*innen Gäste hinzufügen.
Admin Center > Organisationsweite Einstellungen > Gastzugriff (Schalter auf „Ein“)
Schritt 2: In den Office 365-Gruppen muss festgelegt werden, ob externe Gruppenmitglieder auf Gruppeninhalte zugreifen dürfen.
Admin Center > Einstellungen > Dienste und Add-Ins > Office 365-Gruppen
Schritt 3: Für die Berechtigungsstufe SharePoint Online & OneDrive for Business muss das Teilen von Inhalten mit Externen erlaubt sein.
Admin Center > Einstellungen > Dienste und Add-Ins > Websites
Standardmäßig hat ein Gast danach folgende Möglichkeiten, vorhandene Funktionen in Teams zu nutzen:
Ein Gast kann durch erweiterte Einstellungen auch das Recht bekommen, Kanäle zu erstellen, zu aktualisieren oder sogar zu löschen. Dies muss aber zuerst durch den Team-Besitzer freigegeben werden (vgl. oben).
Schritt 4: Besitzer*innen einer Team-Website können einen Gast einladen, indem sie unter Weitere Optionen > Mitglieder hinzufügen die E-Mail-Adresse des externen Kontakts eingeben.
Der spätere Anzeigenamen des Gastes kann dabei über die Editierfunktion bearbeitet werden.
Schritt 5: Der externe Kontakt erhält nun eine Einladung per E-Mail.
Ist die E-Mail-Adresse bereits mit einem Microsoft–Konto verbunden, kann der externe Gast dem Team mit einem Klick auf Microsoft Teams öffnen beitreten.
Ist die Adresse noch nicht mit einem Microsoft–Konto verbunden, durchläuft der Gast mit einen einmaligen Registrierungsprozess bei Microsoft. Dabei wird automatisch ein Microsoft–Konto für ihn erstellt und dauerhaft mit seiner E-Mail-Adresse verknüpft.
Gastzugänge lassen sich also sicher und unkompliziert einrichten. Dagegen kann die Verwaltung der Gastzugänge, vor allem in größeren Unternehmen mit viel externen Mitarbeitern, schnell die Kapazitäten der eigenen IT übersteigen. Damit unsere Kunden die Vorteile offener Zusammenarbeit sorgenfrei nutzen können, bietet Skaylink deshalb das Guest User Management (GUMS) an: Wir prüfen, wie viele Gastzugänge es im Unternehmen gibt, und übernehmen z.B. die regelmäßige Löschung alter Zugänge für unsere Kunden. Wenden Sie sich mit Ihren Fragen rund um externe Nutzer*innen in Teams jeder Zeit gern an uns!