Mit Azure AD B2B Direct Connect für freigegebene Kanäle in Microsoft Teams bietet Microsoft ein Feature an, mit dem die Verwaltung für die Zusammenarbeit mit externen Partnern in Teams vereinfacht wird.
Bis zur Veröffentlichung von Azure AD B2B Direct Connect wurde ein externer Partner als Gast in den Tenant eingeladen und in Microsoft Teams berechtigt (Azure AD B2B Collaboration). Der externe Partner erhielt daraufhin eine Email für die Ausführung weiterer Schritte.
Spätestens bei der Betrachtung des eigenen Azure Active Directory stellt man fest: jeder externe Benutzer erhält ein Gastkonto im eigenen Azure Active Directory. Egal ob das Gastkonto noch verwendet wird oder nicht, es wird immer im Azure Active Directory erhalten bleiben, bis dieses manuell gelöscht wird.
Für den externen Partner wie auch den Administrator ergab sich dadurch ein erheblicher Aufwand an Zeit und Kosten. Dieser Aufwand wird nun mit Azure AD B2B Direct Connect auf ein Minimum reduziert.
Azure AD B2B Direct Connect stellt eine gegenseitige Vertrauensstellung zwischen zwei Microsoft Tenants her. Durch die gegenseitige Vertrauensstellung wird das Gastkonto nicht im eigenen Azure Active Directory geführt. Für den externen Partner sind keine zusätzlichen Schritte mehr durchzuführen.
Voraussetzungen und Lizenzierung
Für das Feature „Azure AD B2B Direct Connect“ ist keine bezahlte Lizenz notwendig.
Es ist ausreichend, wenn die Lizenz «Azure AD Free» im Azure Active Directory zur Verfügung steht.
Freigegebene Kanäle in Teams aktivieren
Freigegebene Kanäle werden in den Teams Policies im Teams Admin Center (https://admin.teams.microsoft.com/) konfiguriert.
- «Teams» > «Teams policies»
- «Global» Policy öffnen (oder jede andere Policy, die freigegebene Kanäle verwenden soll)
- Freigegebene Kanäle werden mit folgenden Optionen aktiviert:
Freigegebene Kanäle erstellen
Teambesitzer können freigegebene Kanäle erstellen.
Externe Benutzer zu freigegebenen Kanälen einladen
Teambesitzer können freigegebene Kanäle mit Personen ausserhalb der Organisation teilen.
Zu externen freigegebenen Kanälen beitreten
Benutzer können zu freigegebenen Kanälen in anderen Organisationen eingeladen werden.
Damit Benutzer von externen Organisationen an Meetings teilnehmen können und die Anwesenheit von externen Benutzern im Kanal angezeigt werden kann, muss folgende Option aktiviert werden.
- «Users» > «External access»
- «Allow all external domains» auswählen
Auf dem entfernten Microsoft Tenant muss die Konfiguration ebenfalls ausgeführt werden.
Vertrauensstellung konfigurieren
Die Konfiguration der Vertrauensstellung startet im Azure Portal (https://portal.azure.com) unter «Azure Active Directory» > «External Identities» > «Cross-tenant access settings».
Beim Aufruf werden die «Default Settings» angezeigt. Im Standard sind sämtliche ein- und ausgehenden Verbindungen für Azure AD B2B Direct Connect blockiert. Aus Gründen der Sicherheit kann diese Standardeistellung so belassen werden.
Im Register «Organizational settings» wird die Vertrauensstellung für jede Organisation mit den entsprechenden Sicherheitsrichtlinien konfiguriert.
- «Organizational settings» auswählen
- «Add organization» auswählen
- TenantID oder Domainname hinzufügen
Die Vertrauensstellung wird jetzt mit den Standardeinstellungen konfiguriert. Die Standardeinstellungen können jetzt den eigenen Sicherheitsrichtlinien angepasst werden. Die Konfiguration für ein- und ausgehender Zugriff ist mit einer Firewall Policy zu vergleichen.
Azure AD B2B Direct Connect Inbound Access
Azure AD B2B Direct Connect Inbound Trust Settings
Die Trust Settings benötigen ein aktiver Azure AD Premium 1 Lizenz.
Damit können weitere Sicherheitsfeatures wie Device Compliance und Multi-Faktor Authentifizierung über Conditional Access gesteuert werden.
Azure AD B2B Direct Connect Outbound Access
Auf dem entfernten Microsoft Tenant muss die Vertrauensstellung ebenfalls konfiguriert werden.
Zusammenarbeit in Teams mit freigegebenen Kanälen
Für die Zusammenarbeit im Teams mit externen Partnern wird ein freigegebener Kanal eingerichtet.
- Eigenschaften des Team auswählen
- Kanal hinzufügen («Add channel»)
- Name für Kanal vergeben
- Kanaltyp «Freigegeben» («Shared») wählen
- Option aktivieren, wenn der Kanal automatisch mit allen Team Mitgliedern aus dem übergeordneten Team (Parent Team) geteilt werden soll
Im nächsten Schritt können die externen Partner in den freigegebenen Kanal eingeladen werden.
Hinweis: Nach der Konfiguration der Vertrauensstellung dauert es bis zu 1 Stunde, bis die externen Partner zur Auswahl angezeigt werden.
Der eingeladene, externe Partner hat nun in Teams Zugang zum freigegeben Kanal. Für die Zusammenarbeit muss der Partner keinen Tenant Wechsel vornehmen. Der Kanal wird in «Stamm-Tenant» des Benutzers angezeigt.
Fehlersuche und Fehlerbehebung
Auswahl «Freigegeben» wird nicht angezeigt
Beim Erstellen eines freigegebenen Kanals ist die Option «Freigegeben» unter «Datenschutz» nicht verfügbar.
Die Ursache liegt an den Berechtigungen. Nur Teambesitzer können einen freigegebenen Kanal erstellen.
Nachdem der Benutzer die Teambesitzer Berechtigung erhalten hat, kann der Kanal als «Freigegeben» erstellt werden.
Folge mir auf LinkedIn und lasse Dich über meine aktuellen Beiträge informieren.