Microsoft 365 – Gäste und die Zusammenarbeit, ein Überblick

Die Zusammenarbeit mit Externen, also Personen außerhalb des eigenen Unternehmens, ist heute zum Alltag geworden. Es wird in den unterschiedlichsten Zusammensetzungen gemeinsam im Team gearbeitet. Die externen Personen werden als Gäste eingeladen, deshalb ist es wichtig ihre Rechte und auch Möglichkeiten zu kennen:

Gäste einladen

Gäste sind meist externe Personen von anderen Firmen, die gemeinsam mit FirmenmitarbeiterInnen zusammen an Projekten arbeiten sollen. Diese Nutzer sind B2B (Business to Business) Nutzer [Link] und erhalten einen Link per Email mit dem Sie in die Azure AD des einladenden Unternehmens als Gast hinzugefügt werden. Sie werden als Gäste in der Azure AD angezeigt.

Es können folgende Gäste eingeladen werden:

  1. Microsoft ID (z.B. outlook.com)
  2. Azure AD (z.B. Office 365)
  3. gmail (Federation)
  4. OnPremise Nutzer (NEU) 

manuelles Einladen eines Gastes

Das manuelle Einladen ist über die Azure AD möglich. Es kann aber auch gut automatisiert werden.

 

Gäste und die Azure AD

In der eigenen Azure AD tauchen die Gäste als Gast auf. Es können sowohl andere Azure AD Nutzer sein oder auch Hotmail, beides (MS ID und Azure AD) oder auch Gmail Konten sein. Diese lassen sich in der Liste hervorrangend filtern:

Weiterhin können Einstellungen schon auf der Ebene von Azure AD gemacht werden:

Hier werden die ersten Grundeinstellungen für Gäste gemacht, bevor es zu Office 365 geht:

  1. Gäste haben Limitierungen: Dies bedeutet, dass Gäste nicht als normale User oder Gruppen angesehen werden und nicht über die gleichen Rechte verfügen.
  2. Admins and Users – Guest invitor Role: Adminstratoren und klassische User können Gäste einladen. Diese Einstellung wird je nach Compliance Policy auf “No” gesetzt.
  3. Members can invite: Dies bedeutet, dass Mitglieder der AD, also normale Nutzer Gäste einladen können. Ist dies deaktiviert, können dies nur noch Administratoren. Dies wird zu 80% gesetzt.
  4. Guest can invite: Dies bedeutet, dass auch Gäste andere Gäste einladen können. Dies sollte auf “No” gesetzt sein, da man hier keine Kontrolle mehr hat, wer eigentlich wen in die eigene AD einlädt.
  5. One-Time Password: Diese Funktion ist in Preview. Sie bedeutet, dass Gäste ein one-time-Passwort für einen 24h Login. LINK

Kollaboration

In diesem Bereich wählt man die Grundeinstellung für die Zusammenarbeit mit anderen. Sie können die Möglichkeit Einladungen zu versenden auf bestimmte Domains begrenzen oder auch allen Einladungen gegenüber allen Domains erlauben. 

Gäste können weiterhin auch in Azure AD Gruppen hinzugefügt werden, um diese insgesamt zu verwalten. Dies erleichtert die Verwaltung von Gästen und deren Rechten. 

Es sollte vor der Konfiguration und dem Lifecycle von Gästen klar sein, was diese machen dürfen und was nicht. 

 

Azure AD und Conditional Access 

Über Conditional Access können zum Beispiel Terms of Use an alle Azure AD Accounts ausgerollt werden. So können zum Beispiel Nutzungsbedingungen an alle Gäste verpflichtend geschickt werden, diese müssen angenommen werden und erst dann beginnt die Nutzung. Es ist einfach, aber effektiv., wenn man die Gäste in einer Gruppe gebündelt hat und die Condition darauf setzt.  Sonst schadet es auch nicht alle Nutzer mit der Abfrage auszustatten. (https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/overview

Mit Conditional Access in Preview können sogar alle Gäste und externe Nutzer nun ausgewählt werden. Diese können dann beispielsweise für den Zugriff auf Office 365 oder andere Applikationen MFA verpflichtend erhalten. Es sind einige dieser Funktionalitäten machbar und auch sinnvoll.

 

Möglichkeiten von Gästen beim SharePoint Online

Nun betrachten wir nicht mehr die Azure AD, sondern den SharePoint Online: 

Produkt Möglichkeiten Einschränkbar
modern Sites ja ja, je nach Berechtigung
classic Sites ja ja, je nach Berechtigung
Hub-Sites ja ja, je nach Berechtigungen
einzelne Datei ja ja, je nach Berechtigungen
Dokumenten / List ja ja, je nach Berechtigungen

 

Anpassen von Berechtigungen

Gäste erhalten eine Rolle im SharePoint Online, wie auch beim SharePoint Server.

 

https://support.office.com/de-de/article/anpassen-von-berechtigungen-f%c3%bcr-eine-sharepoint-liste-oder-bibliothek-02d770f3-59eb-4910-a608-5f84cc297782

Teilen – SharePoint Online (Grundkonfiguration)

Im neuen SharePoint Online Admincenter und im OneDrive Admin Center können Grundeinstellungen zum Teilen und der Zusammenarbeit mit Externen eingestellt werden.

In der Regel wird hier der Regeler auf “vorhandene Gäste” eingestellt. In meiner Testumgebung ist dies anders. 

Besonders interessant sind die erweiterten Einstellungen für “Jeder Links”

Sehr sinnvoll ist die Einstellung, dass geteilte Links nach einer bestimmten Zeit ablaufen. Im Standard sind hier 90 Tage eingestellt, aber ich empfehle hier 10 oder 15 Tage. (Governance) Dazu kommen generelle Einstellungen, was Externe für Berechtigungen erhalten. Dabei kann man unterscheiden zwsichen Anzeigen und Bearbeiten und nur Anzeigen. 

 

Ebenso gibt es die Möglichkeiten seit einigen Wochen: 

  • Block Download
  • Nur Ansicht

 

Standard  “Teilen – Formular”

Dieses Formular ist, bzw. wird der Standard, wenn man Ordner oder Dateien teilen möchte. Dabei ist es gleich, ob man per App, per Browser oder direkt aus dem Explorer Daten teilen möchte. 

Modern SharePoint Site – Beispiel

Natürlich kann man auch beim SharePoint Online bei modern Sites, hier eine Communication-Site, Externe einladen. 

Einladen über die Benutzersteuerung – Gäste z.B. als Visitor

 

Berechtigungen beim Einladen

  1. Lesen
  2. Bearbeiten
  3. Vollzugriff

Externe per Policy ausschließen

Es ist auch möglich Externe auszuschließen, so dass eine SharePoint Site nur Interne Benutzer haben kann. Wenn ein Nutzer versucht einen Externen zu der Communication Site einzuladen kommt folgende Meldung:

Teilen per DLP stoppen

Es ist auch möglich das Teilen per DLP Richtlinie zu stoppen. Die Datei enthält Inhalte, die in die DLP Richtlinie gehören und somit greift DLP hier ein und verhindert das exteren Teilen:

 

Möglichkeiten von Gästen beim OneDrive for Business Online

Der OneDrive for Business ist ein Werkzeug pro Nutzer und kann im E3 Lizensierung auch bis zu 5 TB Speicherplatz enthalten. Dieser kann pro Nutzer oder auch allgemein eingeschränkt werden, dennoch bietet der OneDrive zunächst eine gute Möglichkeit auch mit Externen zusammen zu arbeiten. Das Werkzeug ist im Grunde eine SharePoint Libary pro Nutzer.

Die Gäste haben auf die Library des jeweiligen Nutzers ähnliche Rechte, wie auf eine SharePoint Site. Das “Teilen-Formular” ist auch genau das Gleiche Formular, ob man aus dem OneDrive oder einer SharePoint Site eine Datei teilt. 

Teilen von wo?

  1. Webseite
  2. OneDrive App (iOS-Android)
  3. Windows Explorer mit OneDrive Client

Was?

  1. Jeder mit dem Link
  2. Personen bei eurem Tenant
  3. Personen mit Zugriff
  4. Bestimmte Personen
  • Bearbeiten zulassen
  • läuft ab am ____
  • Ansicht
  • Blockieren des Downloads

 

Das externe Teilen im Reporting

Es ist möglich einen Überblick über das externe Teilen zu bekommen. Es gibt eine kleinere Ansicht (1) und eine etwas genauere Ansicht (2) aus dem Microsoft 365 Admin Center.

 


Möglichkeiten von Gästen beim Exchange Online

 

Produkt Möglichkeiten Einschränkbar
E-Mail Gäste können E-Mails empfangen beantworten usw. ja, z.B. mit AIP/ MIP oder IRM
Shared Mailbox  

Achtung: Das Postfach benötigt eine EXO Lizenz, je nach Einsatz.

 ja, jeh nach Berechtigung des Gastes
Aufgaben nur intern  
Kalender intern und extern ja, je nach Parameter, wie z.B. Internetkalender oder nur mit einem geteilt. Dazu kommen Einschränkungen wie nur gebucht sehen oder Details.

Möglichkeiten von Gästen bei Microsoft Teams

Über 13 Millionen aktive Nutzer hat Microsoft Teams nun, aber wahrscheinlich noch mehr Gastbenutzer. Deshalb ist es wichtig zu wissen, wie Gäste zu Teams hinzukommen, wer dies darf und wie man dies verhindern kann.

Seit einigen Monaten enthält jedes Team mit Gästen den Zusatz “Dieses Team enthält Gäste“. Dies soll die MitgliederInnen des Teams darauf aufmerksam zu machen, dass externe Personen in dem Team sind und diese mit den Inhalten aufpassen müssen. Früher musste man dies mit dem Namen des Teams oder anderen sichtbaren Elementen. 

Link: https://docs.microsoft.com/de-de/microsoftteams/guest-experience

Wer kann Gäste einladen?

  • Gruppen-Owner 
  • Global-Administrator / Team-Administrator

Link: https://docs.microsoft.com/de-de/microsoftteams/add-guests

Hier findet ihr die klassische Ansicht:

Wie kann ich es verhindern, dass jeder Gäste einladen kann?

Um bei Microsoft Teams das einladen von Gästen zu verhindern, muss man die generelle Einladung bei Groups entfernen und nur eine AD Gruppe/ oder nur die Administratoren , die die Personen enthält, die Gäste einladen können.

 

Möglichkeiten

Produkt Möglichkeiten einschränkbar
Team Gäste können eingeladen werden generelle Einstellungen im AdminCenter & im Team
Kanal heute: nein, es hängt am team

 

später: ja

 Es wird private Kanäle geben, in denen Gäste auch ohne im gesamten Team sein zu müssen vorhanden sind
Chat 1 zu 1  ja ja, es kann global abgestellt werden und auch Domains eingegrenzt 

Das Team – globale Einstellungen im Teams Admin Center

Es gibt globale Einstellungen für Externen Zugriff und Gäste im Teams Admin Center:

Externer Zugriff

Bei dem externen Zugriff handelt es sich um den Zugriff von Benutzern, die aus anderen Teams und von Skype for Business kommen. In Zukunft soll auch wie bei SfB auch wieder Skype hinzukommen und wie angekündigt auch Kaizala:

Aus einer Unternehmenssicht ist es sinnvoll die Kommunikation auf bestimmte Domains (Partner) einzuschränken. Dies schränkt vielleicht etwas die externe Kommunikation ein, aber verhindert auch den ungewollten Datenabfluss.

Gastzugriff

Die Einstellungen rund um den Gastzugriff sind ein Großteil der wichtigen Einstellungen, um zentral für den gesamten Tenant zu steuern, wie Gäste handeln dürfen. 

Das generelle Aktivieren des Gastzugriffs muss bei jedem neuen Tenant gemacht werden, denn in default ist dieser aus. Bis Gäste hinzugefügt werden können dauert es zwischen 24h bis 48h.  Dannach erscheinen die Einstellungen für Anrufe, Besprechungen und Nachrichten. 

 

Das Team – Einstellungen

In jedem Team kann der Team Owner auch nochmal Einstellungen vornehmen, um den Gästen etwas mehr Rechte zuweisen. Dies ist die granulare Einstellungen zu den allgemeinen Einstellungen aus dem Teams Admin Center und den Groups Konfigurationen.

 

Links:

https://docs.microsoft.com/en-us/office365/enterprise/microsoft-365-guest-settings