Die Funktion Teams Connect shared Channels ist einer der Wünsche der Nutzer:innen, welche einen sehr hohen Zuspruch gefunden hat. Es zeigt sich eine ähnliche Situation, wie bei private Channels, die nach einer Entwicklungszeit nun auch zur Verfügung stehen. In diesem Blogbeitrag schauen wir uns Microsoft Teams Connect einmal genauer an.
Versionen
| Version | Datum | Änderung |
| 1 | 29.03 | Erstellung |
| 2 | 30.03 | Update Information Barriers |
| 3 | 01.04. | Update Linkliste |
| 4 | 05.04. | Graph API |
| 5 | 20.04. | Korrekturen |
Basisdaten
Verfügbar: Ende März 2022
Status: Public Preview
Tenant: Business, Enterprise, EDU
Test-Tenant: Microsoft Developer Tenant E5 am 29.03.2022
A. Funktion von Teams Connect Shared Channel
Teams Connect Kanäle wurden von den Nutzer:innen von Microsoft Teams gefordert ähnlich, wie es auch schon bei privaten Kanälen war. Man wünscht sich einen Kanal, der auch in dem eigenen Team sichtbar wir und so eigentlich das Problem des Tenantwechsels löst. Es ging den Nutzern öfters nicht um den Kanal an sich, sondern um das Problem des Tenantwechsels zu vermeiden und alles zusammen in einem Team zu haben. Ähnlich, wie sich bei privaten Kanälen, wurden und werden große Erwartungen an den neuen Kanaltyp gesetzt.
Teams Connect ermöglicht es, dass ihr einen Kanal in eueren Tenant anlegt und zunächst euere Nutzer:innen einladen könnt. Aber es ist auch mit der Voraussetzung einer Federation mit einem anderen Tenant möglich, deren Nutzer direkt in den Kanal einzuladen. Diese erhalten den Kanal und den Team Namen dann auch in ihrem Tenant angezeigt.
Ziel ist es die Zusammenarbeit mit Externen zu fördern und zu vereinfachen.
B. Start mit der Public Preview
Ihr müsst die Public Preview aktivieren:
- Update Policies (Teams AdminCenter)
- Public Preview
- Usern die Policie zuweisen
- WICHTIG: Nutzer müssen in der WebApp, Client oder Desktop Client in die Public Preview wechseln, damit diese Kanäle anlegen können.
https://docs.microsoft.com/en-us/microsoftteams/public-preview-doc-updates
Get early access to new Teams features (microsoft.com)
C. Voraussetzungen, um Teams Connect zu verwenden
Ihr benötigt:
- AAD P1
- Tenant: Business, EDU, Enterprise
- Tenant: AAD B2B Federation zum anderen Tenant z.B. für eine Gruppe
- Externe Tenant: Freigabe erteilen, z:B. für eine Gruppe
Voraussetzung 1- Microsoft Teams Policy
Es können Teams Connect Kanäle direkt nach Erteilung der Rechte zur Erstellung über die Teams Policies gesetzt werden. In der Teams Policy ist zu unterschieden und damit unterschiedlich zu konfigurieren:
- Create private channels
- Create shared Channels
- Invite external users to shared channels
- Join external shared channels
Dies ermöglicht die verschiedenesten Nutzungsszenarien und auch aus Gründen der IT-Security die eigenen Nutzer nicht in fremde shared Channels einzuladen.
Voraussetzung 2 für die externe Zusammenarbeit – B2B Federation (AAD)
Nun wollen wir aber nicht nur intern arbeiten, sondern auch Externe einladen können. Hierzu
B2B Federation aufbauen über das Cross-tenant access setting Portal
Um die externe Zusammenarbeit zu ermöglichen, müssen wir eine Vertrauensstellung mit anderen Organisationen konfigurieren. Die gute Nachricht ist, dass der Prozess dank einer großartigen Implementierung im bekannten Azure-Portal einfach ist. Wenn wir auf “Externe Identitäten” und “Mandantenübergreifende Zugriffseinstellungen (Vorschau)” klicken, werden Sie feststellen, dass derzeit keine Organisation konfiguriert ist.
Um die standardmäßig angewendeten Regeln zu überprüfen, müssen wir die Registerkarte „Standardeinstellungen“ überprüfen. Mit einem Klick seht ihr, dass die B2B-Zusammenarbeit erlaubt und die B2B-Direktverbindung gesperrt ist. Die B2B-Zusammenarbeit (Gastzugriff auf ein komplettes Team, Dateien in SharePoint- oder AAD-Apps) wird aktiviert, und nur dank des durch Geteilte Kanäle eingeführten mandantenübergreifenden Zugriffs erhalten Sie auch Kontrollen, um die Zusammenarbeit auf dem derzeit verfügbaren Modell auf Identitätsebene einzuschränken. Um ehrlich zu sein, ist es etwas komplexer, da es mehrere Ebenen gibt, um Gäste zu steuern und Inhalte zu teilen (Gasteinladung, Domain-Whitelists, Gastzugang für Teams, Teilen in SharePoint Online, …). Im Moment müssen wir uns auf AAD-Kontrollen mit mandantenübergreifenden Zugriffsrichtlinien konzentrieren.
Jedes Merkmal hat zwei Richtungen:
1 Einstellungen für eingehenden Zugriff: Dies steuert, ob ein Gast auf Ihre Inhalte in Ihrer Organisation zugreifen kann. Diese Richtung konnte bereits auf mehreren Ebenen gesteuert werden, aber dieser neue organisationsbasierte Ansatz bietet feinkörnigere Kontrollen als zuvor.
2 Einstellungen für ausgehenden Zugriff: Dies steuert, ob Ihre Benutzer auf Inhalte in anderen Organisationen zugreifen dürfen. Dies ist ein neues Steuerelement, das Sie vor der Arbeit für Geteilte Channels nicht hatten.
Denkt bitte daran, dass dies für die B2B-Zusammenarbeit und die B2B-Direktverbindung funktioniert und bei Bedarf sogar noch mehr Kontrolle über das aktuelle B2B-Zusammenarbeitsmodell ermöglicht. Wenn es Ihnen wie mir geht und Sie das offene Modell lieben, das wir bereits haben und lieben, müssen Sie nur die Standardeinstellungen für Inbound und Outbound für die B2B-Direktverbindung ändern. Wenn Sie „Externe Benutzer und Gruppen“ und „Anwendungen“ zulassen, werden Sie in einen „offenen Verbund“ versetzt.
Zwei-Wege-Konfiguration Teams Connect
Mit der Einführung des mandantenübergreifenden Zugriffs und des standardmäßig deaktivierten Zustands müssen Sie sich auch an den Azure AD-Administrator Ihrer (zukünftigen) eingeladenen Gäste wenden. Wenn der andere Mandant nicht auch in einem „offenen Verbund“ ist und standardmäßig niemand, muss der andere Mandant Ihren Mandanten hinzufügen und allen Benutzern (oder einigen Benutzern oder einer Gruppe) erlauben, den direkten B2B-Verbund zu verwenden. Wenn Sie eine größere Organisation mit mehreren Mandanten sind, kann dies intern einfach sein, aber wenn Mitarbeiter mit Organisationen zusammenarbeiten müssen, zu denen Sie noch keinen Kontakt auf IT-Profi-Ebene haben, ist dies eine herausfordernde Situation. Sie und Ihre Benutzer möchten den Mandantenwechsel abschaffen, aber jeder Kanal mit einem neuen Gast aus einer noch unbekannten Organisation muss mandantenübergreifende Zugriffseinstellungen konfigurieren. Dieser Beitrag könnte ein guter Ausgangspunkt sein, um das Gespräch zu beginnen, und ich werde Sie weiter dabei unterstützen, einige Argumente zu liefern, warum sie keine Angst vor dieser Konfiguration haben müssen.
Ergebnis der Freigabe über B2B direct connect:
- Hinzufügen des anderen Tenants
(z.B. Domain, Alias genügt und man bekommt die Tenant-ID angezeigt) - Konfiguration
Warnmeldung bei der B2B direct connect Freigabe für andere Tenants:
C. technischer Hintergrund von Teams Connect
Identity / Azure Active Directory
Es wird eine Verknüpfung zwischen den AADs hergestellt. In den unten verlinktem Blog wird es schön beschrieben. Man muss gewisse Rechte (siehe oben Screen) freigeben, damit Teams Connect mit Externen funktioniert.
Apps und Regeln in Teams Connect / Regeln – Es gilt immer der Host-Tenant
Diese Apps und Regeln kommen immer aus dem Host-Tenant aus dem der Kanal stammt. Obwohl der Kanal in einem anderen Tenant angezeigt wird, werden die Regeln bis hin zu Retention und MIP von dem Host-Tenant angewendet.
“Limits for shared channels (preview)
The following table describes the maximum number of channels and members.
| Maximum… | Value | Notes |
|---|---|---|
| Members in a team | 25,000 | Includes all users in the team and direct members in shared channels. |
| Shared channels per team | 50 | Hosted and shared with the team. (Includes deleted channels during their 30-day recovery window.) |
| Teams a channel can be shared with | 50 | Excluding parent team |
| Members in a shared channel | 1,000 direct members, including up to 50 teams. (Each team the channel is shared with counts as one member for purposes of this limit.) | Real time updates are only available to 25,000 users at a time and only 25,000 users will appear in the channel list. |
The following limitations also apply:
- Shared channels support tabs except for Stream, Planner, and Forms.
- LOB apps, bots, connectors, and message extensions are not supported for public preview.
- When you create a team from an existing team, any shared channels in the existing team won’t be copied over.
- Notifications from shared channels are not included in missed activity emails.”
https://docs.microsoft.com/en-us/MicrosoftTeams/shared-channels#limits-for-shared-channels-preview
Graph API
Die Graph API ist aktuell im Beta Status. Dennoch lassen sich per Graph die B2B direct Einstellungen steuern. Diese ermöglichen es per Graph ebenfalls die Konfigurationen vorzunehmen oder auch den Graph für eigene Applikationen zu nutzen.
Information Barriers
Freigegebene Kanäle in Microsoft Teams erstellen Bereiche für die Zusammenarbeit, an denen Sie Personen einladen können, die nicht im Team sind. Informationsbarrieren sind Richtlinien, die implementiert werden können, um Benutzer und Gruppen daran zu hindern, innerhalb und außerhalb Ihrer Organisation miteinander zu kommunizieren.
Freigegebene Kanäle sind in der Standardeinstellung in Teams. Sie können auswählen, ob Personen freigegebene Kanäle erstellen, ob sie sie für Personen außerhalb Ihrer Organisation freigeben können und ob sie an externen freigegebenen Kanälen teilnehmen können, indem Sie eine Kanalrichtlinie erstellen. Wenn Richtlinien für Informationsbarrieren in Ihrer Organisation konfiguriert sind, werden Überprüfungen ausgeführt, wenn freigegebene Kanäle konfiguriert werden, um zu überprüfen, ob keines der vorhandenen Kanalmitglieder und alle neuen Benutzer, die dem freigegebenen Kanal hinzugefügt wurden, Richtlinienbedingungen für Informationsbarrieren verletzen.
Verwenden Sie die folgende Tabelle, um zu verstehen, wie sich Richtlinien für Informationsbarrieren auf die Kommunikation auswirken und bestimmte Verhaltensweisen beim Konfigurieren freigegebener Kanäle zur Folge haben können:
| Szenario | Verhalten von Informationsbarrieren |
|---|---|
| Freigeben eines Kanals für einen Benutzer in Ihrer Organisation | Wenn der Benutzer nicht per Richtlinie für Informationsbarrieren mit mitgliedern geteilten Kanälen kommunizieren darf, wird der Benutzer in der Benutzersuche nicht angezeigt, und der Kanal wird nicht für das Team freigegeben.
Wenn der Benutzer nicht per Richtlinie für Informationsbarrieren hinzugefügt werden kann, wird die folgende Meldung angezeigt: Es wurden keine Übereinstimmungen angezeigt. Sprechen Sie mit Ihrem IT-Administrator, um den Suchbereich zu erweitern. |
| Freigeben eines Kanals in Ihrer Organisation für ein anderes Team, das Sie besitzen | Wenn das andere Team Benutzer hat, die nicht über eine Richtlinie für Informationsbarrieren mit mitgliedern geteilten Kanälen kommunizieren dürfen, wird der Kanal nicht für das Team freigegeben.
Wenn Kommunikationen aufgrund einer Richtlinie für Informationsbarrieren nicht zulässig sind, wird die folgende Meldung angezeigt: Der Kanal kann nicht für dieses Team freigegeben werden. Wählen Sie ein anderes Team aus, oder wenden Sie sich an Ihren Administrator, um weitere Informationen zu erhalten. |
| Freigeben eines Kanals in Ihrer Organisation für ein anderes Team, das Sie nicht besitzen | Wenn der Teambesitzer oder Benutzer des anderen Teams nicht über eine Richtlinie für Informationsbarrieren mit anderen Kanalmitgliedern kommunizieren dürfen, kann der Kanal nicht für das Team freigegeben werden.
Wenn Kommunikationen aufgrund einer Richtlinie für Informationsbarrieren nicht zulässig sind, wird die folgende Meldung angezeigt: Der Kanal kann nicht für dieses Team freigegeben werden. Wählen Sie ein anderes Team aus, oder wenden Sie sich an Ihren Administrator, um weitere Informationen zu erhalten. |
| Hinzufügen eines neuen Benutzers zum Team, wenn das Team Kanäle für andere Teams freigegeben hat | Wenn der neue Benutzer nicht über eine Richtlinie für Informationsbarrieren mit Mitgliedern des freigegebenen Kanalteams kommunizieren darf, kann er dem Team nicht hinzugefügt werden. Wenn Sie einen Benutzer zu einem Team mit sechs oder mehr freigegebenen Kanälen hinzufügen, wird der Benutzer sofort zum Kanal hinzugefügt, und die Freigabe wird unterstützt. Die Freigabe für das Team und die zuvor freigegebenen Kanäle kann gestoppt werden, wenn der neue Benutzer als nicht konform mit einer Richtlinie für Informationsbarrieren festgestellt wird.
Wenn der Benutzer nicht durch eine Richtlinie für Informationsbarrieren hinzugefügt werden kann, wird die folgende Meldung angezeigt: Benutzer kann aufgrund einer Richtlinie für Informationsbarrieren nicht hinzugefügt werden. |
| Freigeben eines Kanals für ein externes Team | Informationsbarriererichtlinien für interne und externe Mandanten schränken nicht die Kommunikation zwischen Benutzern der verschiedenen Mandanten ein. Freigegebene Kanäle können für externe Benutzer freigegeben werden. |
https://docs.microsoft.com/en-us/microsoftteams/information-barriers-shared-channels
D. Nutzungsszenarien
Besonders interessant sind die Nutzungsszenarien von Teams Kanälen.
| Nutzung | Beschreibung | Empfohlen
Teams Connect |
Empfohlen
Private Kanal |
Empfohlen
Teams Team neu pro Kanal |
| interne Nutzung – Trennung | Kanal mit Nutzern, die nicht alle ein Teil des Teams sind | ja | Nein | Ja |
| Führung/Owner/Lehrer | Kanal für eine Auswahl an Nutzern in einem Team | Ja | Ja | Ja |
| Ausschreibungen in einem Team | getrennte Kanäle mit unterschiedlichen Personen | Ja | nein | Ja |
| Externe Nutzer Kanal | Zusammenarbeit mit Externen innerhalb eines Unternehmensteam | Ja | nein | nein |
Hinweis: Diese Tabelle wird noch weiter aktualisiert!
E. Vergleich der Microsoft Teams Kanaltypen
In der folgenden Tabelle vergleichen wir die Kanäle miteinander. Diese soll euch dabei helfen,
| Kanal | privater Kanal | geteilter Kanal | |
| Symbol |  |
 |
 |
| Chat | X | X | X |
| Chat Funktionen | alle denkbaren Funktionen und Apps | Text, Anhänge, Smiley, Giphy, Sticker | Text, Anhänge, Smiley, Giphy, Sticker |
| Kanal-Label (MIP) | X | X | X /Hosttenant inkl. CA |
| Sofortbesprechungen | X | X | X |
| geplante Besprechungen / Kanalmeeting | X | nein | X |
| Live Events | nein | nein | nein |
| OneDrive Sync | X | X | X |
| Dateispeicher | SharePoint Online Site | SharePoint Online Site | SharePoint Online Site |
| Berechtigung | alle in einem Team haben Zugriff | Ersteller des Kanals und alle die Eingeladen wurden. Alle sind Mitglied des Teams. | Berechtigungstrennung. Nur Ersteller und Eingeladene |
| Teams Owner | sieht den Kanal | sieht den Kanal | sieht den Kanal |
| Apps für Registerkarten | Alle denkbaren Apps sind verfügbar |
3rd Party
|
3rd Party
Keine weitere 3rd Party Apps |
| nicht verfügbar (Beispiel) |
|
|
Hinweis: Diese Tabelle wird noch weiter aktualisiert!
F. Security und Compliance von Teams Connect
Das Thema Security und Compliance ist gerade bei dieser Art von Kanal äußerst wichtig.
Berechtigungsmanagement
Das Berechtigungsmanagement ist mit dem neuen Kanal noch einmal komplexer geworden.
Link: Cross-tenant access overview – Azure AD | Microsoft Docs
Verschlüsselung
Die Applikationsverschüsselung des Host-Tenant gilt.
Die MIP Verschüsselung und DKE des Host-Tenant gilt. Externe auch mit B2B direct haben keinen Zugang zu DKE verschlüsselte Dateien (AKTUELL!).
AtRest und InTransit des Host-Tenant gilt.
Datenschutz + Verträge
Es gelten die vertraglichen Bestimmungen des Host-Tenants, sowie die Cloud Policies und auch die Datenschutzrelevanten Einstellungen, inkl. Datenschutzerklärung, MFA und Nutzungsbedingungen.
Jedoch gilt für das Team in dem Kanal angezeigt wird die DS Erklärung des jeweiligen Teams. Aber eben nicht für shared Channels aus anderen Tenants. Dies muss in der DS Erklärung klargestellt werden.
TOMs für Teams Connect
| TOM | Risiko | Erläuterung |
| Schulung Deep Dive | Minimierung des Risikos:
|
Nur Personen mit einer Schulung dürfen Teams Connect Kanäle anlegen und verwalten. |
| Schulung Microsoft Teams | Minimierung des Risikos:
|
Nur Personen mit einer Schulung und dem Hinweis auf die Risiken des Datenabflusses dürfen die Kanäle nutzen. |
| MIP Label für den Kanal | ||
| Änderung DSFA | Regulatorik erfüllen | Die DSFA muss mit diesem veränderten Risiko angepasst werden. |
| Änderung der Datenschutzerklärung | Art 13 DSGVO erfüllen | |
| Änderung der Nutzungsbedingungen | Minimierung des Risikos:
|
|
| Deaktivieren Teilnahme an externen Teams Connect | Minimierung des Risikos:
|
Aktivierung nur, wenn der andere Tenant entsprechend DSGVO konform konfiguriert ist. |
| B2B direct begrenzen auf eine Security Group | Minimierung des Risikos:
|
Es darf nie der gesamte Tenant freigegeben werden. |
Microsoft Informationen und Videos
Blogpost
Microsoft Teams Connect shared channels is rolling out to public preview – Microsoft Tech Community
Linkliste für Administratoren
In der folgenden Linkliste findet ihr Informationen für Administratoren:
- Shared channels in Microsoft Teams (Preview) – Microsoft Teams | Microsoft Docs
- Collaborate with external participants in a channel | Microsoft Docs
- B2B direct connect overview – Azure AD | Microsoft Docs
- Configure B2B collaboration cross-tenant access – Azure AD | Microsoft Docs
- Teams and SharePoint integration – SharePoint in Microsoft 365 | Microsoft Docs
- Sharing & permissions in the SharePoint modern experience – SharePoint in Microsoft 365 | Microsoft Doc
- Get context for your tab – Teams | Microsoft Docs
- Teams workflow in Advanced eDiscovery – Microsoft 365 Compliance | Microsoft Docs
- Search the audit log for events in Microsoft Teams – Microsoft Teams | Microsoft Docs
- Information barriers and shared channels (preview) – Microsoft Teams | Microsoft Docs
- Created Shared Channel: https://support.microsoft.com/office/80712457-579e-42b2-b54f-112329578aaa
- Shared Channel: https://support.microsoft.com/office/5f60de2d-0080-4e55-b26f-33a9dafa120e
- Share Channel with Team: https://support.microsoft.com/office/b2e89992-2708-4583-b11e-bbb6edb4f1c3
- Why used a shared Channel: https://support.microsoft.com/office/e6ad61d0-6b3f-4e1b-baac-63e2978bd92e
- Member / Roles: https://support.microsoft.com/office/75b379f4-8e9c-4202-acf1-6ffc3878a2d7
Linkliste für Anwender
Hier findet ihr die Links für Anwender
- Create a shared channel in Teams
- Share a channel with people in Teams
- Share a channel with a team
- Why use a shared channel versus other channel types in Teams?
- Guests and shared channels in Teams
- Shared channel owner and member roles in Teams
One comment
Comments are closed.