Drücke "Enter", um den Text zu überspringen.

Microsoft Teams Connect shared Channels kommt in die Public Preview – alle Informationen in einem Post

Die Funktion Teams Connect shared Channels ist einer der Wünsche der Nutzer:innen, welche einen sehr hohen Zuspruch gefunden hat. Es zeigt sich eine ähnliche Situation, wie bei private Channels, die nach einer Entwicklungszeit nun auch zur Verfügung stehen.  In diesem Blogbeitrag schauen wir uns Microsoft Teams Connect einmal genauer an.

Versionen

Version Datum Änderung
1 29.03 Erstellung
2 30.03 Update Information Barriers
3 01.04.  Update Linkliste
4 05.04. Graph API
5 20.04. Korrekturen

 

Basisdaten

Verfügbar: Ende März 2022

Status: Public Preview 

Tenant: Business, Enterprise, EDU

Test-Tenant: Microsoft Developer Tenant  E5 am 29.03.2022

Rollout Post: https://techcommunity.microsoft.com/t5/microsoft-teams-blog/microsoft-teams-connect-shared-channels-is-rolling-out-to-public/ba-p/3252901?msclkid=66413e22b05611eca8e7bc0fc3457d9a

A. Funktion von Teams Connect Shared Channel

Teams Connect Kanäle wurden von den Nutzer:innen von Microsoft Teams gefordert ähnlich, wie es auch schon bei privaten Kanälen war. Man wünscht sich einen Kanal, der auch in dem eigenen Team sichtbar wir und so eigentlich das Problem des Tenantwechsels löst. Es ging den Nutzern öfters nicht um den Kanal an sich, sondern um das Problem des Tenantwechsels zu vermeiden und alles zusammen in einem Team zu haben. Ähnlich, wie sich bei privaten Kanälen, wurden und werden große Erwartungen an den neuen Kanaltyp gesetzt.

Teams Connect ermöglicht es, dass ihr einen Kanal in eueren Tenant anlegt und zunächst euere Nutzer:innen einladen könnt. Aber es ist auch mit der Voraussetzung einer Federation mit einem anderen Tenant möglich, deren Nutzer direkt in den Kanal einzuladen. Diese erhalten den Kanal und den Team Namen dann auch in ihrem Tenant angezeigt. 

Ziel ist es die Zusammenarbeit mit Externen zu fördern und zu vereinfachen. 

B. Start mit der Public Preview

Ihr müsst die Public Preview aktivieren:

  1. Update Policies (Teams AdminCenter)
  2. Public Preview
  3. Usern die Policie zuweisen
  4. WICHTIG: Nutzer müssen in der WebApp, Client oder Desktop Client in die Public Preview wechseln, damit diese Kanäle anlegen können.

https://docs.microsoft.com/en-us/microsoftteams/public-preview-doc-updates

Get early access to new Teams features (microsoft.com)

C. Voraussetzungen, um Teams Connect zu verwenden

Ihr benötigt:

  • AAD P1
  • Tenant: Business, EDU, Enterprise
  • Tenant: AAD B2B Federation zum anderen Tenant z.B. für eine Gruppe
  • Externe Tenant: Freigabe erteilen, z:B. für eine Gruppe

Voraussetzung 1- Microsoft Teams Policy

Es können Teams Connect Kanäle direkt nach Erteilung der Rechte zur Erstellung über die Teams Policies gesetzt werden. In der Teams Policy ist zu unterschieden und damit unterschiedlich zu konfigurieren:

  • Create private channels
  • Create shared Channels
  • Invite external users to shared channels
  • Join external shared channels

Dies ermöglicht die verschiedenesten Nutzungsszenarien und auch aus Gründen der IT-Security die eigenen Nutzer nicht in fremde shared Channels einzuladen. 

Voraussetzung 2 für die externe Zusammenarbeit – B2B Federation (AAD)

Nun wollen wir aber nicht nur intern arbeiten, sondern auch Externe einladen können. Hierzu 

B2B Federation aufbauen über das Cross-tenant access setting Portal

Um die externe Zusammenarbeit zu ermöglichen, müssen wir eine Vertrauensstellung mit anderen Organisationen konfigurieren. Die gute Nachricht ist, dass der Prozess dank einer großartigen Implementierung im bekannten Azure-Portal einfach ist. Wenn wir auf “Externe Identitäten” und “Mandantenübergreifende Zugriffseinstellungen (Vorschau)” klicken, werden Sie feststellen, dass derzeit keine Organisation konfiguriert ist.

Um die standardmäßig angewendeten Regeln zu überprüfen, müssen wir die Registerkarte „Standardeinstellungen“ überprüfen. Mit einem Klick seht ihr, dass die B2B-Zusammenarbeit erlaubt und die B2B-Direktverbindung gesperrt ist. Die B2B-Zusammenarbeit (Gastzugriff auf ein komplettes Team, Dateien in SharePoint- oder AAD-Apps) wird aktiviert, und nur dank des durch Geteilte Kanäle eingeführten mandantenübergreifenden Zugriffs erhalten Sie auch Kontrollen, um die Zusammenarbeit auf dem derzeit verfügbaren Modell auf Identitätsebene einzuschränken. Um ehrlich zu sein, ist es etwas komplexer, da es mehrere Ebenen gibt, um Gäste zu steuern und Inhalte zu teilen (Gasteinladung, Domain-Whitelists, Gastzugang für Teams, Teilen in SharePoint Online, …). Im Moment müssen wir uns auf AAD-Kontrollen mit mandantenübergreifenden Zugriffsrichtlinien konzentrieren.

Jedes Merkmal hat zwei Richtungen:

1 Einstellungen für eingehenden Zugriff: Dies steuert, ob ein Gast auf Ihre Inhalte in Ihrer Organisation zugreifen kann. Diese Richtung konnte bereits auf mehreren Ebenen gesteuert werden, aber dieser neue organisationsbasierte Ansatz bietet feinkörnigere Kontrollen als zuvor.
2 Einstellungen für ausgehenden Zugriff: Dies steuert, ob Ihre Benutzer auf Inhalte in anderen Organisationen zugreifen dürfen. Dies ist ein neues Steuerelement, das Sie vor der Arbeit für Geteilte Channels nicht hatten.

Denkt bitte daran, dass dies für die B2B-Zusammenarbeit und die B2B-Direktverbindung funktioniert und bei Bedarf sogar noch mehr Kontrolle über das aktuelle B2B-Zusammenarbeitsmodell ermöglicht. Wenn es Ihnen wie mir geht und Sie das offene Modell lieben, das wir bereits haben und lieben, müssen Sie nur die Standardeinstellungen für Inbound und Outbound für die B2B-Direktverbindung ändern. Wenn Sie „Externe Benutzer und Gruppen“ und „Anwendungen“ zulassen, werden Sie in einen „offenen Verbund“ versetzt.

Zwei-Wege-Konfiguration Teams Connect

Mit der Einführung des mandantenübergreifenden Zugriffs und des standardmäßig deaktivierten Zustands müssen Sie sich auch an den Azure AD-Administrator Ihrer (zukünftigen) eingeladenen Gäste wenden. Wenn der andere Mandant nicht auch in einem „offenen Verbund“ ist und standardmäßig niemand, muss der andere Mandant Ihren Mandanten hinzufügen und allen Benutzern (oder einigen Benutzern oder einer Gruppe) erlauben, den direkten B2B-Verbund zu verwenden. Wenn Sie eine größere Organisation mit mehreren Mandanten sind, kann dies intern einfach sein, aber wenn Mitarbeiter mit Organisationen zusammenarbeiten müssen, zu denen Sie noch keinen Kontakt auf IT-Profi-Ebene haben, ist dies eine herausfordernde Situation. Sie und Ihre Benutzer möchten den Mandantenwechsel abschaffen, aber jeder Kanal mit einem neuen Gast aus einer noch unbekannten Organisation muss mandantenübergreifende Zugriffseinstellungen konfigurieren. Dieser Beitrag könnte ein guter Ausgangspunkt sein, um das Gespräch zu beginnen, und ich werde Sie weiter dabei unterstützen, einige Argumente zu liefern, warum sie keine Angst vor dieser Konfiguration haben müssen.

Ergebnis der Freigabe über B2B direct connect:

  1. Hinzufügen des anderen Tenants 
    (z.B. Domain, Alias genügt und man bekommt die Tenant-ID angezeigt)
  2. Konfiguration

Warnmeldung bei der B2B direct connect Freigabe für andere Tenants:

 

C. technischer Hintergrund von Teams Connect

 

Identity / Azure Active Directory

Es wird eine Verknüpfung zwischen den AADs hergestellt. In den unten verlinktem Blog wird es schön beschrieben. Man muss gewisse Rechte (siehe oben Screen) freigeben, damit Teams Connect mit Externen funktioniert.

Anleitung:  https://techcommunity.microsoft.com/t5/microsoft-teams-community-blog/teams-connect-with-your-partners-get-to-know-the-azure-ad-config/ba-p/3267140

Apps und Regeln in Teams Connect / Regeln – Es gilt immer der Host-Tenant

Diese Apps und Regeln kommen immer aus dem Host-Tenant aus dem der Kanal stammt. Obwohl der Kanal in einem anderen Tenant angezeigt wird, werden die Regeln bis hin zu Retention und MIP von dem Host-Tenant angewendet.

 

“Limits for shared channels (preview)

The following table describes the maximum number of channels and members.

Maximum… Value Notes
Members in a team 25,000 Includes all users in the team and direct members in shared channels.
Shared channels per team 50 Hosted and shared with the team. (Includes deleted channels during their 30-day recovery window.)
Teams a channel can be shared with 50 Excluding parent team
Members in a shared channel 1,000 direct members, including up to 50 teams. (Each team the channel is shared with counts as one member for purposes of this limit.) Real time updates are only available to 25,000 users at a time and only 25,000 users will appear in the channel list.

The following limitations also apply:

  • Shared channels support tabs except for Stream, Planner, and Forms.
  • LOB apps, bots, connectors, and message extensions are not supported for public preview.
  • When you create a team from an existing team, any shared channels in the existing team won’t be copied over.
  • Notifications from shared channels are not included in missed activity emails.”

https://docs.microsoft.com/en-us/MicrosoftTeams/shared-channels#limits-for-shared-channels-preview

Graph API

Die Graph API ist aktuell im Beta Status. Dennoch lassen sich per Graph die B2B direct Einstellungen steuern. Diese ermöglichen es per Graph ebenfalls die Konfigurationen vorzunehmen oder auch den Graph für eigene Applikationen zu nutzen. 

https://docs.microsoft.com/en-us/graph/api/resources/crosstenantaccesspolicy-overview?view=graph-rest-beta

Information Barriers

Freigegebene Kanäle in Microsoft Teams erstellen Bereiche für die Zusammenarbeit, an denen Sie Personen einladen können, die nicht im Team sind. Informationsbarrieren sind Richtlinien, die implementiert werden können, um Benutzer und Gruppen daran zu hindern, innerhalb und außerhalb Ihrer Organisation miteinander zu kommunizieren.

Freigegebene Kanäle sind in der Standardeinstellung in Teams. Sie können auswählen, ob Personen freigegebene Kanäle erstellen, ob sie sie für Personen außerhalb Ihrer Organisation freigeben können und ob sie an externen freigegebenen Kanälen teilnehmen können, indem Sie eine Kanalrichtlinie erstellen. Wenn Richtlinien für Informationsbarrieren in Ihrer Organisation konfiguriert sind, werden Überprüfungen ausgeführt, wenn freigegebene Kanäle konfiguriert werden, um zu überprüfen, ob keines der vorhandenen Kanalmitglieder und alle neuen Benutzer, die dem freigegebenen Kanal hinzugefügt wurden, Richtlinienbedingungen für Informationsbarrieren verletzen.

Verwenden Sie die folgende Tabelle, um zu verstehen, wie sich Richtlinien für Informationsbarrieren auf die Kommunikation auswirken und bestimmte Verhaltensweisen beim Konfigurieren freigegebener Kanäle zur Folge haben können:

Szenario Verhalten von Informationsbarrieren
Freigeben eines Kanals für einen Benutzer in Ihrer Organisation Wenn der Benutzer nicht per Richtlinie für Informationsbarrieren mit mitgliedern geteilten Kanälen kommunizieren darf, wird der Benutzer in der Benutzersuche nicht angezeigt, und der Kanal wird nicht für das Team freigegeben.

Wenn der Benutzer nicht per Richtlinie für Informationsbarrieren hinzugefügt werden kann, wird die folgende Meldung angezeigt: Es wurden keine Übereinstimmungen angezeigt. Sprechen Sie mit Ihrem IT-Administrator, um den Suchbereich zu erweitern.

Freigeben eines Kanals in Ihrer Organisation für ein anderes Team, das Sie besitzen Wenn das andere Team Benutzer hat, die nicht über eine Richtlinie für Informationsbarrieren mit mitgliedern geteilten Kanälen kommunizieren dürfen, wird der Kanal nicht für das Team freigegeben.

Wenn Kommunikationen aufgrund einer Richtlinie für Informationsbarrieren nicht zulässig sind, wird die folgende Meldung angezeigt: Der Kanal kann nicht für dieses Team freigegeben werden. Wählen Sie ein anderes Team aus, oder wenden Sie sich an Ihren Administrator, um weitere Informationen zu erhalten.

Freigeben eines Kanals in Ihrer Organisation für ein anderes Team, das Sie nicht besitzen Wenn der Teambesitzer oder Benutzer des anderen Teams nicht über eine Richtlinie für Informationsbarrieren mit anderen Kanalmitgliedern kommunizieren dürfen, kann der Kanal nicht für das Team freigegeben werden.

Wenn Kommunikationen aufgrund einer Richtlinie für Informationsbarrieren nicht zulässig sind, wird die folgende Meldung angezeigt: Der Kanal kann nicht für dieses Team freigegeben werden. Wählen Sie ein anderes Team aus, oder wenden Sie sich an Ihren Administrator, um weitere Informationen zu erhalten.

Hinzufügen eines neuen Benutzers zum Team, wenn das Team Kanäle für andere Teams freigegeben hat Wenn der neue Benutzer nicht über eine Richtlinie für Informationsbarrieren mit Mitgliedern des freigegebenen Kanalteams kommunizieren darf, kann er dem Team nicht hinzugefügt werden. Wenn Sie einen Benutzer zu einem Team mit sechs oder mehr freigegebenen Kanälen hinzufügen, wird der Benutzer sofort zum Kanal hinzugefügt, und die Freigabe wird unterstützt. Die Freigabe für das Team und die zuvor freigegebenen Kanäle kann gestoppt werden, wenn der neue Benutzer als nicht konform mit einer Richtlinie für Informationsbarrieren festgestellt wird.

Wenn der Benutzer nicht durch eine Richtlinie für Informationsbarrieren hinzugefügt werden kann, wird die folgende Meldung angezeigt: Benutzer kann aufgrund einer Richtlinie für Informationsbarrieren nicht hinzugefügt werden.

Freigeben eines Kanals für ein externes Team Informationsbarriererichtlinien für interne und externe Mandanten schränken nicht die Kommunikation zwischen Benutzern der verschiedenen Mandanten ein. Freigegebene Kanäle können für externe Benutzer freigegeben werden.

https://docs.microsoft.com/en-us/microsoftteams/information-barriers-shared-channels

D. Nutzungsszenarien

Besonders interessant sind die Nutzungsszenarien von Teams Kanälen. 

Nutzung Beschreibung Empfohlen

Teams Connect

Empfohlen

Private Kanal

Empfohlen

Teams Team neu pro Kanal

interne Nutzung – Trennung  Kanal mit Nutzern, die nicht alle ein Teil des Teams sind ja Nein Ja
Führung/Owner/Lehrer Kanal für eine Auswahl an Nutzern in einem Team Ja Ja Ja
Ausschreibungen in einem Team getrennte Kanäle mit unterschiedlichen Personen  Ja nein Ja
Externe Nutzer Kanal Zusammenarbeit mit Externen innerhalb eines Unternehmensteam Ja nein nein

Hinweis: Diese Tabelle wird noch weiter aktualisiert! 

 

E. Vergleich der Microsoft Teams Kanaltypen

In der folgenden Tabelle vergleichen wir die Kanäle miteinander. Diese soll euch dabei helfen, 

  Kanal privater Kanal geteilter Kanal
Symbol
Chat X X X
Chat Funktionen alle denkbaren Funktionen und Apps Text, Anhänge, Smiley, Giphy, Sticker Text, Anhänge, Smiley, Giphy, Sticker
Kanal-Label (MIP) X X X /Hosttenant inkl. CA 
Sofortbesprechungen X X X
geplante Besprechungen / Kanalmeeting X nein X
Live Events nein nein nein
OneDrive Sync X X X
Dateispeicher  SharePoint Online Site SharePoint Online Site SharePoint Online Site
Berechtigung alle in einem Team haben Zugriff Ersteller des Kanals und alle die Eingeladen wurden. Alle sind Mitglied des Teams. Berechtigungstrennung. Nur Ersteller und Eingeladene 
Teams Owner sieht den Kanal sieht den Kanal sieht den Kanal
Apps für Registerkarten Alle denkbaren Apps sind verfügbar
  • OneNote
  • Wiki
  • Stream
  • Whiteboard
  • SPO Bibliothek
  • Excel
  • Lists
  • PDF Dateien
  • PowerBi
  • PowerPoint
  • SharePoint
  • SharePoint Seiten
  • Website
  • Word

3rd Party

  • 15Five
  • 360Tours
  • 365Project
  • adam.ai
  • additio
  • Adobe Acrobat
  • Adobe Creative
  • Adobe Sign
  • Agile Task
  • AgilePolly
  • AktivlearnPlus
  • Ally
  • Amion
  • Amplify by Hootsuite
  • und viele mehr
  • OneNote
  • Excel
  • Lists
  • PDF Dateien
  • PowerPoint
  • SharePoint
  • SharePoint Seiten
  • Website
  • Word

3rd Party

  • Adobe Sign
  • Adsana
  • Azure DevOps
  • Code by Vivani
  • Conceptboard
  • Flipgrid
  • Freehand by InVision
  • HeyTaco
  • Jira Cloud
  • Kahoot!
  • Kalender Pro
  • Lucidchat
  • Lumio by SMART
  • Meistertask

Keine weitere 3rd Party Apps

nicht verfügbar (Beispiel)  
  • Planner
  • Planner

Hinweis: Diese Tabelle wird noch weiter aktualisiert! 

 

F. Security und Compliance von Teams Connect 

Das Thema Security und Compliance ist gerade bei dieser Art von Kanal äußerst wichtig. 

Berechtigungsmanagement

Das Berechtigungsmanagement ist mit dem neuen Kanal noch einmal komplexer geworden. 

Link: Cross-tenant access overview – Azure AD | Microsoft Docs

Verschlüsselung

Die Applikationsverschüsselung des Host-Tenant gilt.

Die MIP Verschüsselung und DKE des Host-Tenant gilt. Externe auch mit B2B direct haben keinen Zugang zu DKE verschlüsselte Dateien (AKTUELL!). 

AtRest und InTransit des Host-Tenant gilt.

Datenschutz + Verträge

Es gelten die vertraglichen Bestimmungen des Host-Tenants, sowie die Cloud Policies und auch die Datenschutzrelevanten Einstellungen, inkl. Datenschutzerklärung, MFA und Nutzungsbedingungen.

Jedoch gilt für das Team in dem Kanal angezeigt wird die DS Erklärung des jeweiligen Teams. Aber eben nicht für shared Channels aus anderen Tenants. Dies muss in der DS Erklärung klargestellt werden.

TOMs für Teams Connect

TOM Risiko Erläuterung
Schulung Deep Dive Minimierung des Risikos:

  • Datenabfluss
Nur Personen mit einer Schulung dürfen Teams Connect Kanäle anlegen und verwalten.
Schulung Microsoft Teams Minimierung des Risikos:

  • Datenabfluss
Nur Personen mit einer Schulung und dem Hinweis auf die Risiken des Datenabflusses dürfen die Kanäle nutzen.
MIP Label für den Kanal    
Änderung DSFA  Regulatorik erfüllen Die DSFA muss mit diesem veränderten Risiko angepasst werden.
Änderung der Datenschutzerklärung Art 13 DSGVO erfüllen  
Änderung der Nutzungsbedingungen Minimierung des Risikos:

  • Datenabfluss
 
Deaktivieren Teilnahme an externen Teams Connect Minimierung des Risikos:

  • Datenabfluss
  • Datenschutzverstöße
Aktivierung nur, wenn der andere Tenant entsprechend DSGVO konform konfiguriert ist.
B2B direct begrenzen auf eine Security Group Minimierung des Risikos:

  • Datenabfluss
  • Datenschutzverstöße
Es darf nie der gesamte Tenant freigegeben werden.

 

 

Microsoft Informationen und Videos

 

Blogpost

Microsoft Teams Connect shared channels is rolling out to public preview – Microsoft Tech Community

https://techcommunity.microsoft.com/t5/microsoft-teams-community-blog/teams-connect-with-your-partners-get-to-know-the-azure-ad-config/ba-p/3267140

https://techcommunity.microsoft.com/t5/microsoft-teams-blog/microsoft-teams-connect-shared-channels-is-rolling-out-to-public/ba-p/3252901?msclkid=66413e22b05611eca8e7bc0fc3457d9a

 

Linkliste für Administratoren

In der folgenden Linkliste findet ihr Informationen für Administratoren:

Linkliste für Anwender

Hier findet ihr die Links für Anwender

 

 

1 Kommentar

Die Kommentarfunktion ist deaktiviert, aber Trackbacks und Dingbacks sind offen.