Externe Freigaben in Microsoft Teams sollten stets sicher und nachvollziehbar sein! Sehen Sie sich die folgenden Ressourcen an, um Ihre Umgebung sicher zu gestalten:
Externe Freigaben sind in den meisten Unternehmen für die Zusammenarbeit unabdingbar. Office 365 bietet Ihnen sehr fein justierbare Kontrollen für die Einrichtung von Freigaben. Diese sind allerdings über mehrere Admin Center verteilt. Deshalb kann die Einrichtung externer Freigaben auf Admins etwas besorgniserregend wirken. Glücklicherweise können wir Ihnen helfen, dies zu vereinfachen.
Externe Freigaben sind wie eine Zwiebel. Auf höchster Ebene gibt es Kontrollen, die sich auf alles darunter liegende auswirken. Doch je weiter man sich den einzelnen Gruppen, Teams und Websites annähert, desto feinere Kontrollen stehen einem zur Verfügung, die Ihnen vielleicht noch gar nicht bekannt waren.
Bei korrekter Verwendung sind externe Freigaben in Microsoft Teams ebenso einfach wie interne. Sollten sie nicht korrekt verwendet werden, können sie allerdings der Albtraum eines jeden Admins werden und zum Verlust sensibler Daten sowie übermäßiger Weitergabe von Daten führen. Um ein solches Szenario zu vermeiden, behandeln wir in dieser Anleitung die Realität, die Mythen und die Risiken externer Freigaben und ihre Konfiguration sowie die Konfiguration von Gastzugängen für Microsoft Teams.
Inhalt
Erwartung und Realität
Mit dem Thema externe Freigaben sind einige tief greifende Befürchtungen verbunden:
- Sie öffnen der übermäßigen Verbreitung von Informationen Tür und Tor.
- Benutzer können unverantwortlich mit vertraulichen Informationen umgehen.
- Das Sicherheitsteam stemmt sich dagegen.
- Wie bekommt man externe Benutzer wieder raus, sobald sie drinnen sind?
In Wahrheit wird es sich allerdings so verhalten, dass Sie bereits jetzt Informationen extern weitergeben. Wie das?
Gastzugriff verstehen
Es ist sehr wahrscheinlich, dass Ihre Benutzer irgendwann extern mit jemandem zusammenarbeiten müssen. Wenn Sie kein bestehendes System für externe Freigaben haben, überlassen Sie Ihren Benutzern die Entscheidung, wann und wie sie Inhalte nach außen teilen. Das Risiko mag noch nicht deutlich erkennbar sein, doch sobald Daten Ihr System verlassen, verlieren Sie jegliche Kontrolle darüber, wohin sie gelangen. Wissen Sie eigentlich wirklich, was mit Ihren Daten passiert, sobald sie in den Händen externer Benutzer sind?
Wo kann ich Gastzugriff und externe Freigaben konfigurieren?
Es ist wichtig, genau zu wissen, wo und wie Sie diese Funktionen in Azure AD, Microsoft Teams, SharePoint Online und OneDrive for Business konfigurieren. In der Benutzeroberfläche Ihres Teams Admin Centers wird Ihnen gegebenenfalls der Begriff „Externer Zugriff“ ins Auge fallen. Dieser Begriff macht den subtilen, aber wichtigen Unterschied zwischen externem Zugriff und Gastzugriff aus:
- Externer Zugriff (Verbund) gewährt Zugriff auf eine ganze Domäne, wodurch der Teilnehmer nur auf den Verbundchat mit jeweils einem anderen Benutzer hat. Auf die Teams oder Team-Ressourcen des einladenden Unternehmens hingegen hat er keinen Zugriff.
- Gastzugriff gibt einer Person die Möglichkeit, auf Ressourcen wie Kanalunterhaltungen und Dateien zuzugreifen.
Da wir uns hier mit externen Freigaben befassen, liegt unser Augenmerk auf der Gewährung eines Gastzugriffs.
Azure AD
Als Office 365-Admin sollten Sie das Azure Active Directory Portal über einen Link in Ihrem Admin Center direkt aufrufen können. Hier können Sie Ihre Gastbenutzer sehen, neue anlegen und die Genehmigungseinstellungen für Ihre B2B-Gastbenutzer verwalten.
In Ihren Einstellungen für Organisationsbeziehungen (d. h. B2B) können Sie diese Kontrollen noch genauer einstellen. Sollen Gastbenutzer in der Lage sein, die Directory zu durchsuchen? Möchten Sie Mitgliedern oder Besitzern gestatten, Gäste einzuladen? Zudem finden Sie Einstellungsmöglichkeiten, mit denen Sie Einmal-Zugangscodes per E-Mail für Gäste und Kollaborationsbeschränkungen in Domänen einrichten können.
Microsoft 365 Admin Center
Für externe Freigaben in Microsoft Teams, besteht der erste Schritt darin, diese Funktion für Office 365 zu aktivieren.
Sie können Ihre Freigabeeinstellungen im Microsoft 365 Admin Center unter Einstellungen → Sicherheit und Privatsphäre aktivieren. Anschließend müssen Sie Freigaben auch auf der Ebene von Office 365-Gruppen aktivieren.
Rufen Sie in den Office 365-Gruppeneinstellungen „Dienste und Add-Ins“ auf. Hier finden Sie zwei Optionen. Soll Gästen Zugang zu Gruppen gewährt werden? Ist es Besitzern gestattet, diese Gäste hinzuzufügen?
Wenn Sie die erste Option auswählen, aber nicht die zweite, muss Ihr Operations- oder AD-Team alle Gastbenutzer sowohl in der Directory als auch in den einzelnen Gruppen hinzufügen. Das erfordert eine Menge Handarbeit, bietet aber mehr Sicherheit, wenn Sie sich bei dem Gedanken, Gruppenbesitzern die Einladung von Gastbenutzern zu erlauben, nicht wohlfühlen.
Microsoft Teams
Schließlich kommen wir zum Microsoft Teams Admin Center. Rufen Sie dort Organisationsweite Einstellungen → Gastzugriff → Gastzugriff in Teams ermöglichen auf. Nach der Aktivierung dieser Einstellung können Sie noch weiter feinjustieren, wie Gäste den Dienst verwenden können (z. B.: Können sie Nachrichten löschen? Können sie GIFs verwenden?) Lassen Sie ein paar Stunden verstreichen, damit die Einstellung wirksam wird.
Da Sie nun den Gastzugriff in Microsoft Teams aktiviert haben, hat jedes Team die Möglichkeit, Gastbenutzer zu erlauben. Welche Arten von Gastbenutzern das sind und welche weiteren Kontrollmechanismen gelten, haben sie bereits im Azure Active Directory Admin Center festgelegt.
Wenn Sie den Gastzugriff in Teams präziser steuern wollen, können Sie dies mit PowerShell oder anderen Anwendungen im Backend entsprechend festlegen.
SharePoint Online und OneDrive for Business
Eine Sache gilt es hier zu beachten: SharePoint hat externen Zugriff bereits ermöglicht, lange bevor Azure B2B überhaupt existierte. Dieses klassische Modell für externe Freigaben existiert in SharePoint bis heute. Es weist viele Einstellungen auf, die denen der AAD gleichen, funktioniert aber unabhängig davon. Bei Bedarf können Sie mehr Zentralisierung erzwingen, indem Sie die Freigaben mit bestehenden Benutzern in der Directory verknüpfen.
Wenn Sie möchten, dass SharePoint Ihre Einstellungen für externe Freigaben in Azure B2B übernimmt, gehen Sie folgendermaßen vor:
- Rufen Sie im Microsoft 365 Admin Center Einstellungen→ Dienste und Add-Ins → SharePoint auf
- Setzen Sie die Option „Benutzer können teilen mit:“ auf „Nur vorhandene Gäste“.
Dadurch kann SharePoint nur in der Directory enthaltene Benutzer akzeptieren und muss daher Ihre gesamten Azure B2B-Regeln einhalten.
Wenn Sie hingegen möchten, dass SharePoint unabhängig von Azure B2B funktioniert und über eine eigene Liste externer Freigaben verfügt, gehen Sie folgendermaßen vor:
- Rufen Sie im Microsoft 365 Admin Center Einstellungen→ Dienste und Add-Ins → SharePoint auf
- Setzen Sie die Option „Benutzer können teilen mit:“ auf „Jeder“.
Dadurch wird allen, selbst anonymen Benutzern, die Verwendung von SharePoint gestattet. Von einem globalen Office 365-Admin im Microsoft 365 Admin Center vorgenommene Einstellungen legen die Einstellungen für SharePoint und OneDrive for Business fest, die als „am wenigsten restriktiv“ gelten und von SharePoint-Admins verwendet werden können. Weitere Feinjustierungen können Sie über die Gastzugriff-Einstellungen der einzelnen Websites vornehmen.
Reichen diese Verwaltungskontrollen aus?
Ein geläufiges Szenario für externe Freigaben ist die Zusammenarbeit zwischen verschiedenen Abteilungen, die alle eigene Vorschriften und Beschränkungen für externe Freigaben haben. Die hierfür erforderlichen Einstellungen lassen sich zwar über die Benutzeroberfläche vornehmen, bereiten Ihrem IT-Team aber vermutlich ziemliche Kopfschmerzen.
Eine mögliche Lösung ist das Cloud Governance-System von AvePoint. Wir haben externe Freigaben und Gastzugriff in alle Bereiche unserer Cloud-Governance-Anwendung eingebaut, wodurch die Bereitstellung und das Lebenszyklus-Management all Ihrer Office 365-Arbeitsbereiche automatisiert werden. Mit dieser Lösung müssen Sie Ihren Admins nicht länger beibringen, sich durch das Dickicht komplexer Berechtigungsoberflächen zu schlagen.
Sie möchten weiteren Expertenrat zu Microsoft Teams? Dann abonnieren Sie unseren Blog!