Archives

Microsoft Teams Nutzung auf bestimmte Zeiten begrenzen!

Entwurf 29.08.2022

Microsoft Teams ist der Hub für die Kommunikation im Unternehmen und auch im privaten Bereich. Die Nutzung steht Tag und Nacht zur Verfügung. Nun stellt sich oft die Frage, wie man seine Beschäftigten vor ständiger Erreichbarkeit schützen kann. Dazu gibt es einige Ideen, die auch von Betriebsräten/Personalräten oft getrieben werden.

 

  1.  Manuell + offline sein-> Mitarbeiter:innen können den Microsoft Teams Client manuell auf offline stellen. Dies hat zur Konsequenz, dass sie keine Benachrichtigungen erhalten, aber nach dem sie wieder online schalten zur Verfügung stehen. 
  2. Manuell + Abwesenheit -> Mitarbeiter:innen können ihre Abwesenheit, wie bei ihrem E-Mail Account, einzuschalten und so allen Personen mitzuteilen, dass diese nicht erreichbar sind. Dies hat zur Konsequenz, dass auch keine Benachrichtigungen durchgestellt werden und die Abwesenheit dazu angezeigt wird. 

 

3. Optionen: Microsoft Teams automatisch für einen Zeitraum deaktivieren

Was heißt dies nun? 

Im Grunde will man den Zugang zu Microsoft Teams generell begrenzen. Nutzer sollen sich nicht anmelden können und arbeiten, egal ob per App, per WebApp oder auch per App. 

Welche Möglichkeiten bestehen nun? 

A. Azure AD: Enterprise Applikation

Mit dieser Option könnte man generell den Zugang zu Microsoft Teams begrenzen.  

 

B. 

 

 

Nachteile

 

 

 

Microsoft Teams Connect – Verbindung mit Externen in Bildern _ Anleitung

Microsoft Teams Connect ist seit Mitte April 2022 in der Public Preview.  Zunächst testen viele Nutzer:innen diese Funktion und dies ist auch gut so, denn es hat einschneidendere Konsequenzen als private Kanäle. 

Versionierung

Version Änderungen
1 24.04.2022, Erstellung
2 25.04.2022, Hinzufügen der Kanalübersicht aus der Dokumentation

 

Voraussetzung Teams Connect

  • AD P1 in beiden Tenants
  • Konfiguration in beiden Tenants
  • kein B2B User
  • beide Tenants
    • Teams Administrator / AAD Administrator
    • oder: Global Administrator
  • Nutzer:innen müssen zwingend den Client umstellen auf : Vorschau (unter Einstellungen in jedem Client ob Web oder auch Desktop)
  • WICHTIG: Euer Teams darf kein Container Label haben, welches die Einladung von Gästen verbietet.

typische Usecases 

  1. Konzern Zusammenarbeit zwischen Unternehmen
  2. Unternehmen und Partner
  3. Unternehmen und Zulieferer

oft gewünschte Usecases, aber schwieriger umzusetzen

  1. Unternehmen und Diensteleister
  2. Unternehmen und Kunden
  3. Unternehmen und Community

Übersicht der Kanäle aus der Microsoft Dokumentation

Kanaltyp SharePoint-Website Freigabeeinstellungen für Websites Datei- und Ordnerfreigabe
Standard Eine SharePoint Website wird von allen Standardkanälen gemeinsam genutzt. Für jeden Kanal gibt es einen separaten Ordner. Teambesitzer und -mitglieder werden automatisch in die Berechtigungsgruppen “Websitebesitzer” und “Mitglieder” einbezogen. Die getrennte Freigabe der Website ist möglich, aber die Verwaltung des Zugriffs über Teams wird für die einfachste Benutzerverwaltung und die beste Benutzererfahrung empfohlen. Dateien und Ordner können mithilfe von sharable Links für alle Personen in der Organisation freigegeben werden. Wenn die Gastfreigabe aktiviert ist, können ” Jeder” – und “Bestimmte Personen “-Links verwendet werden, um sie für Personen außerhalb der Organisation freizugeben.
Privat Jeder private Kanal verfügt über eine eigene SharePoint Website. Teambesitzer und -mitglieder werden automatisch in die Berechtigungsgruppen “Websitebesitzer” und “Mitglieder” einbezogen. Die Website kann nicht separat freigegeben werden. Dateien und Ordner können mithilfe von sharable Links für alle Personen in der Organisation freigegeben werden. Wenn die Gastfreigabe aktiviert ist, können ” Jeder” – und “Bestimmte Personen “-Links verwendet werden, um sie für Personen außerhalb der Organisation freizugeben.
Shared Jeder freigegebene Kanal verfügt über eine eigene SharePoint Website. Teambesitzer und -mitglieder werden automatisch in die Gruppe der Websitebesitzer und -mitglieder einbezogen. Die Website kann nicht separat freigegeben werden. Dateien und Ordner können mithilfe von frei wählbaren Links für alle Personen in der Organisation und externe Teilnehmer im Kanal freigegeben werden. Die Freigabe für Personen außerhalb der Organisation, die keine Kanalmitglieder sind, wird nicht unterstützt.

integration Teams und SharePoint – SharePoint in Microsoft 365 | Microsoft Docs

Verbindung einrichten mit einem anderen Tenant

In dem folgenden Blogbeitrag betrachte ich in eine bebilderten Anleitung, wie ihr eine externe Verbindung einrichtet um euch gegenseitig einladen zu können. 

1. Vorbereitung

In diesem Schritt müsst ihr bestimmen mit wem ihr kooperieren wollt. Also sprecht mit dem Tenant-Inhaber, bzw. deren Administratoren. Ihr benötigt deren Security-Gruppen ID oder deren User IDs und Sie müssen wie auch ihr eine Konfiguration durchführen.

2. Teams Public Preview (Aktuell bis zur GA)

  1. Teams Public Preview aktivieren für Nutzer:innen 
  2. Teams Richtlinie Policy erstellen für die Preview oder für alle im Tenant:

3. Teams Policy dem Nutzer zu ordnen
Ihr müsste den Nutzer:innen, die Teams Connect nutzen wollen zunächst die Teams Policy für die Preview zuordnen. Dazu könnt ihr auf jeden Nutzer gehen oder auch Richtlinienpakete nutzen.

4. Teams Richtlinie erstellen für Teams Connect


Im Standard sind schon alle Möglichkeiten aktiviert. Ihr müsst nun entscheiden, was ihr konkret wollt: 

Kanaltyp Erläuterung
Freigegebene Kanäle erstellen interne und externe Nutzung, wer darf diese Art von Kanälen erstellen
Einladen von externen Benutzern zu freigegeben Kanälen Teams-Eigentümer die Kanäle für Benutzer freigegen können / einladen
Externen freigebene Kanäle beitreten Nutzer:innen die in fremde Tenants und deren freigegebenen Kanälen dürfen

 

3. rechtliche Vorbereitung

Hier zu gibt es einen eigenen Artikel -> [bald] 

4. Azure Verbindung

  1. aad.portal.azure.com  einloggen
    – Administrator
  2. External Identities
  3. Preview Portal: Mandatenübergreifende ZugriffsverwaltungExternal Identities – Azure Active Directory Admin Center 
  4. Standardkonfiguration B2B direct
    Diese solltet ihr bitte bitte nicht ändern. Hier ist erstmal alles in richtig B2B direct verboten und ihr vertraut nichts und niemandem. Konkret benötigt ihr den Punkt B2B direct und Anwendungen.
  5. Organisation hinzufügen
    Ihr könnte alle Organisationen erstmal hinzufügen. Ich habe oben verschiedene bekannte und auch unbekannte (DFB) hinzugefügt. Die Organisation bekommt keine Benachrichtigung. Dies ist nicht ganz so schlimm, da beide Seiten konfigurieren müssen, bevor etwas passiert. Man öffnet immer nur für seine Organisation nicht für Dritte.Also fügt bitte eine Organisation hinzu indem ihr auf + drückt und dann eine URL, egal ob xy.onmicrosoft.com oder domain.com, eingebt, die Tenant ID erscheint und ihr diese dann hinzufügt. 
  6. Organisation konfigurieren
    Im nächsten Schritt müsst ihr die Organisation konfigurieren. Dies ist nur mit einer Azure AD P1 Lizenz möglich. Diese benötigt ihr für alle Nutzer:innen die die shared Channel nutzen wollen und konfigurieren. Ihr müsst die folgenden Schritte machen jeweils für 
    A. ausgehenden Verkehr (Nutzer:innen von euch in andere Tenants lassen)
    B. eingehenden Verkehr (einladen von Externen)
    Beides müsst ihr auch für die Anwendung parallel machen, sonst gibt es eine Fehlermeldung.Schritt 1: B2B direct 

    -> Ihr müsst die Einstellungen anpassen und dann den Zugriff zulassen
    -> Dann müsst ihr bitte “Ausgewählte Benutzer und Gruppen” auswählen 

    Wo findet ihr die User ID? 

    Wo findet ihr die Gruppen-ID?

    ausgehender Datenverkehr (von eurem Tenant in Dritte)

    Hier müsst ihr die Einstellung anpassen und dann eure Nutzer oder Gruppen direkt aus euere AAD auswählen, ihr benötigt hier nicht über die ID gehen.

    eingehender Datenverkehr (in euren Tenant von Dritten)
    Ihr benötigt von dem Partner, bzw. anderen Tenant entweder den Benutzer oder die Gruppen ID.

  7. ACHTUNG Anwendung muss parallel zu Externe Benutzer und Gruppen eingestellt sein

    Einstellung

    Beschreibung
    Vertrauen der MFA vom anderen AAD Mandaten Ihr vertraut der MFA des anderen Tenants.
    Konformen Gerät vertrauen Ihr vertraut der Intune Bewertung des anderen Tenants
    hybrid, in AAD eingebundenes Gerät Ihr vertraut der hybriden AAD Verbindung im anderen Tenant

 

8.  Zwischenstand

Ihr habt nun den ein- und ausgehenden Zugriff konfiguriert. Nun könnt ihr wieder als Teams Eigentümer mit Public Preview und dem Recht shared Channel anzulegen wechseln und externe Nutzer einladen: 

9.  Teams Connect Kanal erstellen

Ihr könnt einen Kanal erstellen und habt zwei Einstellungsvarianten: 
1. Alle Teammitglieder können in den Kanal
ACHTUNG: Nur Mitglieder eures Tenants, keine Gäste keine B2B.
2. nur der Kanalersteller und Owner des Teams + die Personen die anschließend freigegeben werden

10. Nutzer:in freigeben in das Team

Als Nächstes muss nun noch ein externer Nutzer eingeladen werden. Dies kann der Teamsowner zum Beispiel direkt in Teams tun. Wir nutzen hier für mal den Kanal “Teams Connect 1” und laden direkt bei der Erstellung ein. Das Freigaben kann bei Eingabe des Namens das erste Mal etwas länger dauern, bitte wartet einfach: 

Ihr müsst zwingend beim Freigeben hier auch den Nutzer nochmal auswählen und dann wenn der Nutzer angezeigt wird auf Teilen klicken. Bei Erfolg sieht es so aus: 

Es ist etwas verwirrend, da hier Mitglied steht und nicht Gast rechts und hinter dem Nutzer (Extern), also Gast. Dies ist aber aus der Terminologe richtig, da wir die externe Identität nutzen und diese dann Mitglied des Kanals wird und kein Gast.

Teams verwalten / Ansicht

Wenn ihr nun in das Team geht und unter Team verwalten, bekommt ihr die folgende Ansicht. Das Mitglied wird angezeigt, welches aus einer fremden Organisation kommt. Dazu auch das Team, also welches im externen Tenant angezeigt wird.

Einladung an den Externen

Der Externe bekommt eine Benachrichtigung mit der Einladung zum freigegeben Kanal. Hierbei muss nun auch nochmal der Zugriff durch den Nutzer freigegeben werden: 

Dies muss akzeptiert werden!

Dann erhaltet ihr das externe Team angezeigt und könnt als Externer in das Teams schreiben:

Ansicht vom Externen

Wichtig ist hier zu sehen, dass ihr beim Posten darauf hingewiesen werdet, dass ihr in eine andere Organisation postet. 

Wichtig ist auch, dass unter dem Teams Titel auch der Name der anderen Organisation angezeigt wird. 

Ihr müsst nun nicht mehr den Tenant wechseln. 

Ansicht des Erstellers 

Als Mitglied aus dem Tenant, bzw. Ersteller, seht ihr hier auch, dass ihr mit einer anderen Organisation schreibt.

Ihr könnt aber Besprechungen erstellen und planen, was der Externe nicht kann und ihr könnt auch z.B. Giphys nutzen. 

Ihr bekommt, wie der Externe auch Benachrichtigungen. 

SharePoint Online im Hintergrund für den Externen

Als Letztes schauen wir uns noch den SharePoint Online, bzw. die Site im Hintergrund an.

I. Synchronisieren geht

Die SharePoint Site für Externe

Ihr seht als Externer rechts oben, dass es eine Externe Site des freigegeben Kanals ist.

 

 

Viel Spaß mit Teams Connect !! 

 

 

 

 

 

 

 

 

Rollout und Deployment und Einrichtung der End-zu-End Verschlüsselung für Microsoft Teams

Wie schon im Oktober und November Update meines Blogbeitrages habe ich Informationen zu der End-zu-End Verschlüsselung zusammengestellt. Nun folgt eine Schritt zu Schritt Anleitung diese auch im eigenen Tenant ausrollen zu können.

Vorarbeiten / Prerequirements

  • Microsoft 365-Lizenz, die Teams beinhaltet. Hierbei kann es sich um eine Business, F oder auch Enterprise Pläne handeln. Eine Home oder auch Consumer Lizenz reicht nicht aus. 
  • Public Preview aktivierten für alle Nutzer, die es nutzen sollen oder den gesamten Tennant.
  • Konfiguration benötigt: Global Admin oder den Microsoft Teams Administrator mit der Berechtigungen für das Microsoft Teams PowerShell Module
  • PowerShell Module von Microsoft Teams mindestens Version 2.6.0
  • Rollout muss im Tenant schon angekommen sein.  (Dezember 2021 startet die Public Preview!) 

ACHTUNG: Nutzer:innen benötigen aktuell noch die Public Preview ohne SLA, erhöhte Sendung von Telemetrie und es können Fehler auftreten. 

Konfigurationsschritte zur Nutzung der End-zu-End Verschlüsselung

 

  1. Login mit einem Nutzer mit Teams Admin Rechten  https://login.microsoftonline.com
  2. Gehe zu den Teams Update Policies 
  3. Erstellen einer neuen Policy, um einzelne User damit zu befähigen oder die allgemeine Policy anpassen
  4. [eigene Policy/Änderung der Allgemeinen ] Wenn ihr eine neue Policy gemacht habt, dann müsst ihr diese den Nutzer:innen noch zuordnen. Bei der allgemeinen Policy könnt ihr diesen Schritt überspringen.
  5. [eigene Policy/Änderung der Allgemeinen] Hier müsst ihr nun einige Stunden warten und die Anleitung optimaler Weise am nächsten Tag fortsetzen. [PAUSE]
  6. Öffentliche Vorschau/Preview seht ihr bei den Nutzer:innen
  7. Wenn ihr die Preview/ öffentliche Vorschau Schritt 6 seht, dann geht es weiter zu Schritt 8. Wenn nicht, dann müsst ihr noch warten.
  8. Nutzer, die es testen sollten, sollten zur öffentlichen Vorschau wechseln. Der Teams Client startet dann einmal neu. Bedingungen: https://insider.windows.com/en-us/program-agreement ACHTUNG: erhöhte Versendung von Telemetrie und Diagnosedaten. Keine SLA. 
     
  9. Die Nutzer sehen nun ein kleines “P” neben ihrem Bild.
  10. Nun müssen wir eine Policy für End-to-End anlegen mit PowerShell. Ihr benötigt also wieder den Benutzer mit Teams Admin Rechten und PowerShell. 
    ACHTUNG: Hier könnt ihr die Skripte direkt runterladen.
  11. Öffnen von ISE Windows PowerShell als Administrator 
  12. Aktivieren, dass Skripte auf dem Rechner ausgeführt werden können
  13. Installieren des Teams PowerShell Module: Install-Module MicrosoftTeams -Force -AllowClobber // ggf. Update Update-Module -Name MicrosoftTeams
  14. Importieren des Modules: Import-Module MicrosoftTeams
  15. Prüfen, ob das Modul geladen wurden: Get-Module
  16. Verbinden mit dem Modul: Connect-MicrosoftTeams
  17. Einloggen mit euerem Nutzer mit Teams Admincenter rechten. Diese habe ich meinem Nutzer kurz vorher über PIM (Azure AD P2 erforderlich) für ca. 60 Minuten gegeben. 
  18. Anlegen einer neuen E2EE Policy:New-CsTeamsEnhancedEncryptionPolicy -Identity RAE2EE -CallingEndtoEndEncryptionEnabledType DisabledUserOverride- RAE2EE ist eine Variable und kann von euch selber festgelegt werden
    – DisableUserOverride kann auch angepasst werden, so dass Nutzer die Funktion auch ausschalten können. Dies ist gerade für Tests sinnvoll. Dies bestimmt: CallingEndtoEndEncryptionEnabledType -EnableUserOverride
    – Beschreibung: -Description Dies ist die E2EE Policy. 
  19. Zuweisen von Nutzern/ einzelnen Nutzern zum TestGrant-CsTeamsEnhancedEncryptionPolicy -Identity ‘raphael.koellner@rakoellner.com’ -PolicyName ‘RAE2EE’- ACHTUNG: Passt bitte den Policy Namen an, an den den ihr oben gewählt habt. 
    – ACHTUNG: Passt natürlich den Nutzernamen an

    Für alle Nutzer im Tenant mit Microsoft Teams Lizenz:Set-CsTeamsEnhancedEncryptionPolicy -Identity Global -CallingEndtoEndEncryptionEnabledType DisabledUserOverride———————————————[Admin Ende]————————————————
  20. [Nutzer] Nun können diese Nutzer die End-zu-End Verschlüsselung auswählen. Es ist wichtig, dass es nur zwischen Nutzer:innen innerhalb und außerhalb des Tenants funktioniert, wenn diese alle die Policy aktiviert haben.
  21. [Nutzer] Nun können Nutzer die E2EE einschalten. Dazu müssen diese über Einstellungen auf den Unterpunkt Datenschutz surfen.

  22. [Nutzer] E2EE ist aktiviert

Admin-Helferlein

 

Prüfen der Policies

Get-CsTeamsEnhancedEncryptionPolicy

Ergebnis:

Hat mein Nutzer die Policy? Einzelne Nutzer überprüfen

Get-CsUserPolicyAssignment -Identity raphael.koellner@rakoellner.com

Entfernen der Policy

Ihr könnt die Policy ersetzen durch eine andere EncryptionPolicy oder einfach entfernen. Für das Entfernen muss ein $NULL an die Stelle der Policy gesetzt werden, um den Nutzer wieder in den Zustand des Ursprungs zu setzen.

Grant-CsTeamsEnhancedEncryptionPolicy -Identity ‘USERNAME’ -PolicyName $NULL

Prüfen, ob es geklappt hat: Get-CsUserPolicyAssignment -Identity USERNAME

 

Testen

Ihr wollte die End-zu-End Verschlüsselung nun auch testen. Dafür müssen beide Nutzer:innen diese in den Einstellungen aktiviert haben. 

  • Julia Meyer (Demouserin) und Raphael Köllner (ich)
  • 1 zu 1 Chat
  • Dann schaut ihr oben links in die Ecke und anstelle des bloßen Schildes mit “Teams Verschlüsselung” ist hier nun ein Schloss und die End zu End Verschlüsselung wird angezeigt.

Hier ein Screenshot aus dem Test:

 

 

 

Microsoft Teams Webinar – Webinar anlegen, verwalten und durchführen

Anlegen eines Webinars

Ein Microsoft Teams Webinar legt ihr über den Kalender in Microsoft Teams (Desktop oder Web) an. Aktuell ist es über Outlook nicht möglich ein Teams Webinar zu erstellen:

Im Anschluss steht dem Anlegendem nun ein erweitertes Formular zur Verfügung.  Dieses muss zunächst die üblichen Angaben aus einem Team Meeting enthalten, wie Sprecher (intern und extern/ erforderlich und optional), Uhrzeit, Tag, Beschreibung und natürlich den Titel und die Zeitzone. Ebenso können die Antwortoptionen eingestellt werden und wer eine Registrierung benötigt. Über dieses Auswahlfeld können zum Beispiel die Webinare auch so angelegt werden, dass keine Registrierung oder alle eine benötigen.

Registrierungsseite anlegen 

In dem nächsten Schritt gilt es eine Registierungsseite anzulegen, hier zu gibt es ein nächstes Formular:

In diesem könnt ihr die Sprecher mit Name und CV hinterlegen, eine öffentliche Beschreibung, die Zeitzone, Titel und natürlich Uhrzeit und Tag des Webinars. 

Auf der rechten Seite könnt ihr das Anmeldeformular erstellen. Dieses besteht aus drei Pflichtfeldern und mehreren optionalen Feldern, die auch als Pflichtfeld genutzt werden können. Neben einigen Templatefeldern gibt es auch die Möglichkeit eigene Felder zu erstellen. 

Wichtig ist es, dass man oben ein Bild hinzufügt, um z.B. ein Logo zu hinterlegen und etwas eigenes Design. Das Bild sollte eine Größe von 918X120 haben.

Alle diese Angaben sind dann auf der Registrierungsseite zu sehen. Wenn nun jemand das Formular ausfüllt, kann der oder die Organisatorin diese als csv Datei in dem Termin runterladen. Es ist ein Anmeldereport ähnlich des Teilnehmerreports, welcher nach und während dem Webinar zum Download bereit steht. 

Webinar Konfiguration

Es ist möglich das Webinar so zu gestalten, dass es den jeweiligen Anforderungen genügt. Es ist auch möglich das Teams Webinar wie Clubhouse zu gestalten indem man unter Besprechungsoptionen den Chat und das Video deaktiviert und den TeilnehmerInnen verweigert die Stummschaltung aufzuheben. 

Es ist sinnvoll sich dies einmal vor dem Webinar anzulegen und bei dem Training für die MitarbeiterInnen, die Webinare organisieren diese Templates der Konfiguration mitzugeben. Leider lassen sich aktuell keine Webinar Templates zentral ablegen, so dass jeder Ersteller alle Konfigurationen pro Webinar machen muss.