Microsoft Teams Tech Blog Teil 2: Gastzugang

Michele Casazza
02.03.2020 08:18:00

In Teil 1 der Blog-Serie haben wir uns mit den verschiedenen Optionen für die gemeinsame Nutzung von Dateien in Office 365 befasst. Im zweiten Teil werden wir uns nun die Backend-Einstellungen, die für verschiedene Kombinationen der gemeinsamen Nutzung zur Verfügung stehen, genauer ansehen. Sie werden sehen: Einige der Einstellungen auf Tenant-Ebene beeinflussen auch das Sharing in Microsoft Teams.


In dieser dreiteiligen Blog-Serie zu Microsoft Teams wird das Thema Sharing in Office 365 und Microsoft-Teams aus verschiedenen Perspektiven beleuchtet: Benutzer, Administrator und Advisor.

  1. Teil 1: Das Microsoft Office 365 Sharing Model
  2. Teil 2: Gemeinsame Nutzung und Gastzugang
  3. Teil 3: Microsoft Teams Governance (coming soon)

Beginnen wir mit den Einstellungen, die sich auf die in Teil 1 gezeigten Optionen für die Endbenutzer beziehen. Sie sind im SharePoint Admin Center zu finden:

  • Die Standardeinstellung für den Freigabelink
  • Die Standardeinstellung des Ablaufdatums bei der Freigabe für „Anyone“
  • Die Standardeinstellung für die Berechtigungen bei der Freigabe für „Anyone“

Seit Januar 2020 kann die Standardeinstellung (default) auch für Personen mit vorhandenem Zugang über PowerShell gesetzt werden.

Freigabeeinstellungen für SharePoint und OneDrive auf Tenant-Ebene

Die SharePoint- und OneDrive-Einstellungen auf Tenant-Ebene sind eng miteinander verbunden und von beiden Admin-Centern aus zugänglich. Die OneDrive-Einstellung bietet im Vergleich zur SharePoint-Einstellung restriktivere Möglichkeiten, jedoch keine lockereren. Diese Einstellung ist keine Standardeinstellung für neue Websites – sie dient dazu, den Benutzern die verfügbaren Freigabeoptionen anzuzeigen.
Jede SharePoint- und OneDrive-Site hat ihre eigenen Freigabeeinstellungen, die unabhängig voneinander gesetzt werden können.

sharing

SharePoint/OneDrive-Einstellungen auf Site-Ebene

  • Die Standardeinstellung für die gemeinsame Nutzung von Office 365 Sites mit verbundenen Gruppen ist „New and existing guests“
  • Die Standardeinstellung für Communication Sites und klassische Sites ist „Only people in your organization“
Microsoft Teams Free Ebook
 
Jede SharePoint-Site kann zudem für die externe Freigabe, den standardmässigen Freigabelink-Typ, die Linkberechtigung und die Domänenbeschränkung (Zulassen/Blockieren-Liste) konfiguriert werden. Die OneDrive-Einstellungen für jeden Benutzer können im User-Bereich des Microsoft 365 Admin Centers konfiguriert werden.
Um die Wirkung der verschiedenen Einstellungen zu verstehen, müssen zunächst zwei wichtige Konzepte klar sein: „Guests“ und „Office 365 Groups“.
 

Wer ist ein „Guest“?

  • Jemand, der kein Angestellter, Student oder Mitglied der Organisation ist.
  • Jemand, der kein Schul- oder Arbeits-Account bei der Organisation hat.
  • Es gibt authentifizierte Gäste (Zugriff mit einem einmaligen Passcode) und nicht authentifizierte Gäste (gemeinsamer Zugriff über den Anyone-Link).
 
Der Gastzugang ist enthalten in:
guest

  • Office 365 Business Premium
  • Office 365 Enterprise
  • Office 365 Education
Die Gesamtzahl der Gäste, die hinzugefügt werden können, basiert auf der Azure AD-Lizenz. In der Regel 5 Gäste pro lizenziertem Benutzer.

 

Office 365 Groups

SharePoint Modern Teamsites werden von Office 365 Groups, einschliesslich Microsoft Teams, bereitgestellt. Diese Gruppen existieren technisch in Azure AD, daher können wir sie auch Azure AD Groups nennen. Das Sicherheitsmodell unterscheidet sich von herkömmlichen Sicherheitsgruppen: In einer Azure AD Group haben wir jetzt zwei Berechtigungsstufen, Eigentümer und Mitglied.
groups

Dies ist aus zwei Gründen ein bedeutender Paradigmenwechsel: Da die Office 365 Gruppen die Grundlage für die der meisten Dienste von Office 365 bilden, können wir nun eine Gruppe verwalten, um Zugang zu mehreren Diensten zu ermöglichen. Wie Sie vermutlich wissen, werden beim Erstellen einer Outlook-Gruppe eine SharePoint-Site, ein gemeinsames Postfach, ein gemeinsamer Kalender und ein OneNote-Notizbuch erstellt. Dasselbe passiert, wenn Sie ein Team in Microsoft Teams erstellen – Sie erhalten alles oben Genannte und zusätzlich einen Planner.

Die andere wichtige Konsequenz dieses neuen Modells: Office 365 Groups übernimmt eine Identitäts- und Zugriffsverwaltungs-funktion (Gruppenerstellung, Gruppenpflege und Gruppenmitgliedschaft) – und gibt diese in die Hände der Endbenutzer, ohne deren Wissen! Denn im Standard kann jeder Benutzer der Organisation eine Gruppe erstellen. Deshalb ist die Governance ein so wichtiges Thema, dem von Beginn an eine hohe Aufmerksamkeit gewidmet werden sollte.

Andere Eigenschaften von Gruppen:

  • Gäste können nicht Eigentümer sein
  • Moderne Communication Sites verwenden Office 365 Groups nicht!
  • Mitglieder können keine Gäste hinzufügen, doch sie können sie einladen. Die Eigentümer müssen diese freigeben.
  • Jeder Benutzer in der Organisation kann neue Gruppen erstellen. Als Eigentümer dieser Gruppe kann der Benutzer dann Gäste hinzufügen.

Gastzugang in Office 365 Groups

Sobald Gäste einer Gruppe hinzugefügt wurden, haben sie Zugang zu allen Ressourcen, die mit dieser Gruppe verbunden sind. Wenn Sie beispielsweise in Outlook eine neue Gruppe erstellen und Gäste einladen, erhalten diese Zugriff auf das gemeinsame Postfach und den gemeinsamen Kalender der Gruppe, das OneNote-Notizbuch und die Dateien der Gruppe (Speicherung in SharePoint). Dies basiert auf der Tatsache, dass bei der Erstellung einer Gruppe – je nach Standort – andere zugehörige Dienste erstellt werden.

Weitere Informationen zu den Möglichkeiten von Gästen einer Office 365 Group, finden Sie hier: Adding guests to Office 365 Groups

Das Modell der gemeinsamen Nutzung umfasst verschiedene Ebenen und beginnt bei Azure:
table

Eine der einfacheren verfügbaren Optionen ist das Zulassen oder Blockieren der gemeinsamen Nutzung für bestimmte Domains. Sie können eine Sperrliste (Deny List) erstellen, in der Sie beispielsweise Gmail.com, Outlook.com und andere öffentliche Domains hinzufügen. Alle anderen Domains werden dann zugelassen. Eine Allow List hingegen ist deutlich restriktiver, da nur die dort erfassten Domains für die Freigabe verfügbar sind.

Allow Lists und Deny Lists können auf verschiedenen Ebenen angewendet werden:

  • Auf der Ebene Azure (überschreibt jede andere Anwendung oder Serviceliste)
  • Auf der Service-Ebene für SharePoint und OneDrive (Tenant oder Site Collection Level)
  • Auf der Gruppenebene (PowerShell) – unabhängig von SPO/OneDrive
Derzeit ist es nicht möglich, eine Liste mit erlaubten/blockierten Domains auf eine bestimmte Gruppe anzuwenden.

Verfügbare Sharing-Einstellungen in Azure

Die folgenden Einstellungen finden Sie in Azure AD in der Section Organisational Relationships.

  • Die Berechtigungen für Gastbenutzer sind begrenzt: Gäste haben keine Berechtigung für bestimmte Directory-Aufgaben, wie beispielsweise das Auflisten von Benutzern, Gruppen oder anderen Directory- Ressourcen. Sie können keine administrativen Rechte ausüben.
  • Admins und Benutzer in der Rolle des Gast-Einladers können Tenant-Gäste einladen

In der Rolle als Gast-Einlader können Sie einzelnen Benutzern die Möglichkeit geben, Gäste einzuladen, ohne ihnen eine globale Administrator- oder andere Verwaltungsrolle zuzuweisen.
Derzeit unterstützt Microsoft Teams die Rolle des Gast-Einladers nicht. Der Option "Members can invite" muss mindestens auf "Yes" gesetzt werden, um einen Gastzugang für die Arbeit mit Microsoft Teams zu ermöglichen.

  • Members can invite: Nicht-Administrator-Mitglieder Ihres Verzeichnisses können Gäste zur Zusammenarbeit in SharePoint- Sites oder in Azure-Ressourcen einladen.
  • Guests can invite: Erlaubt es Gästen in Ihrem Verzeichnis, andere Gäste einzuladen.

Im Office 365 Admin Centre findet sich unter „Security and Privacy“ eine Einstellung für die gemeinsame Nutzung, die das Äquivalent zur Einstellung "Members can invite“ in Azure ist. Sie erlaubt es im Grunde jedem Benutzer in der Organisation, Gäste einzuladen.
Es gibt eine weitere Einstellung im Admin Centre (Settings -> Services -> Office 365 Groups), die im Wesentlichen Gästen den Zugriff auf Gruppen-Ressourcen ermöglicht. Ist diese Funktion nicht aktiviert, bleibt die Zusammenarbeit in den Diensten von Office 365 auf individuell freigegebene Dateien beschränkt.


Damit der Gastzugriff in Microsoft Teams nahtlos funktioniert, müssen viele Abhängigkeiten konfiguriert werden:

  • Azure Active Directory: „Members can invite“ müssen auf ON gesetzt werden
  • Office 365 Groups im Admin Centre: Beide Optionen müssen eingeschaltet (ON) sein (Settings -> Services -> Office 365 Groups)
  • Microsoft Teams: Der Gastzugriff auf der Org-Ebene der Teams muss auf ON geschaltet sein
  • SharePoint Online und OneDrive for Business Tenant Freigabe-Einstellungen: dies muss „Anyone or New and Existing Users“ sein
  • Microsoft Teams: Individuelle Berechtigungen für Team's-Gäste für die Erstellung, Aktualisierung und Löschung von Channels (optional)

External Access und Guest Access

Microsoft Teams bietet zwei Arten des Zugriffs: Externer Zugriff und Gastzugriff (External Access / Guest Access)

Der Externe Zugang (Federation) erteilt die Zugriffsberechtigung für eine gesamte Domain

  • Es bietet keinen Zugang zu einem Team oder seinen Ressourcen
  • Benutzer können One-to-One-Chat, Anruf, Besprechung, Anwesenheit nutzen
  • Er ist standardmässig eingeschaltet
  • Mit einer Zulassungs- bzw. Sperrliste (allow/block list) kann der Zugriff eingeschränkt werden

Der Gastzugang erteilt einer einzelnen Person die Zugriffsberechtigung.

  • Gäste können auf Ressourcen zugreifen, wie beispielsweise Channel-Diskussionen und Dateien

Gäste, die einmal zu Microsoft Teams eingeladen wurden, verfügen über den nahezu gleichen Zugangslevel wie die Mitglieder. Der einzige Unterschied besteht darin, dass sie keine Chat-Datei freigeben, keine Anwendungen hinzufügen und kein Team erstellen können.

 

Private und öffentliche Teams

Bei der Erstellung eines neuen Teams in Microsoft Teams können Sie die Sicherheitslevels öffentlich (public) oder privat (private) wählen.

Öffentlichen Teams kann jeder in der Organisation ohne Zustimmung der Eigentümer beitreten. Mitglieder können interne Benutzer hinzufügen, jedoch nur die Team Owners können Gäste einladen.

In Privaten Teams können nur die Eigentümer Mitglieder und Gäste hinzufügen. Mitglieder können interne Org-Benutzer einladen, die Besitzer müssen dem jedoch zustimmen.
Wie Sie sehen, bietet Ihnen Office 365 viele variable Funktionen, um die gemeinsame Nutzung, den externen oder Gastzugang zu regeln.

In Teil 3 der Blog-Serie wird der Zusammenhang zwischen den verschiedenen Konfigurationen und den Richtlinien des Unternehmens beleuchtet. Die Entscheidungen müssen so getroffen werden, dass die richtige Balance zwischen Benutzerfreundlichkeit und Datenschutz erreicht wird.

Microsoft Teams Einführung Praxis Guide

FREE EBOOK

Language/Sprache: German/Deutsch

Download Ebook

CYCLOPEDIA Blog

News, Trends, Insights und Meinungen
über den modernen Arbeitsplatz

Abonnieren

Das könnte auch interressant sein

Die Artikel zu CYCLOPEDIA OFFICE365

Abonnieren