Externe Benutzer mit Microsoft Teams

Tusch, Feuerwerk, es ist soweit: Microsoft hat Teams beigebracht, externe Benutzer hineinzulassen. Nachdem die Funktion bereits für den Juni angekündigt gewesen ist und sich die Implementierung dann doch etwas hinzog, wird die Funktion seit gestern (11. September) nach und nach auf die Tenants ausgerollt.

Seit es der Client in die produktive Version gebracht hat, war kaum eine Forderung der Community so laut wie die nach diesem Feature. Egal ob in den Techcomunities oder bei der User Voice: Die gezwungene Isolation auf Accounts im eigenen Tenant war vielen ein Dorn im Auge. Schön zu sehen war das auch beim letzten TweetJam zum Stichwort #CollabTalk, der von Chris Buckley organisiert wurde: Bei der Frage nach dem meistgewünschten Feature flogen die Tweets mit dem Wunsch nach Gästen in Teams nur so herein.

Microsoft legt betont Wert darauf, die Implementierung „richtig“ machen zu wollen. Die Komplexität der Funktion ist schon so nicht zu unterschätzen, offensichtlich hat man aber noch einiges hier vor, sodass die Verspätung zum ursprünglich genannten Ausrolltermin damit gerechtfertigt wird.

Externe Benutzer zu einem Team einladen

Das Einladen von Gästen zu einem Team geschieht auf die nahezu gleiche Art und Weise, wie interne Benutzer der Organisation zu einem Team hinzugefügt werden. Damit können potentielle Mitglieder für ein Team aus diesen Quellen kommen:

  • Der eigene Tenant (interner Benutzer)
  • Ein Benutzer mit einem Account aus einem beliebigen Azure Active Directory (AAD)
  • Support für Benutzer mit einem Microsoft Account (MSA) wird aktuell noch nicht unterstützt und wird später nachgeliefert (hier steht noch kein Datum fest).

Wie bei einem internen Benutzer kann man einen Gast über die Mitgliederliste eines Teams hinzufügen:

Den externen Benutzer trägt man dabei wie einen internen Benutzer ein. Dafür kann man die Emailadresse verwenden, befindet sich der Benutzer im Adressbuch, reicht auch meistens bereits der Name der Person für den Vorschlagsdialog (sorry, Uwe! :)):

Bemerkenswert ist hierbei, dass ein Gast genau als solcher kenntlich gemacht wird. Microsoft legt recht großen Wert darauf, dass Complience und Sicherheit möglichst dadurch geschützt werden soll, dass neben den obligatorischen Möglichkeiten der Konfiguration für einen solchen externen Benutzer (conditional access policies etc.) auch die Aufmerksamkeit in der Oberfläche von Teams daraufgelegt wird, den Mitgliedern sichtbar zu machen, wenn es sich bei einer Person um einen Gast handelt.

Nach dem Hinzufügen hat der Benutzer die Rolle „Gast“ übernommen, die neben Besitzer und Mitglied nun die dritte Rolle stellt. Teams zeigt auch gleich an, dass sich in dem ausgewählten Team externe Benutzer befinden.

Schön zu sehen ist dabei auch, dass man bei Besitzern und Mitgliedern Schaltflächen hat, ihre Rolle im Client für das Team zu ändern. Ein Gast bleibt ein Gast, er hat keine Möglichkeit, eine andere Rolle auszufüllen.

Nun wissen wir ja, dass es im Funktionsumfang eines Kanals in Teams nicht nur die Chats gibt, sondern auch eine Dateiablage in die dazugehörige SharePoint-Site möglich ist. Um einmal zu prüfen, wie Teams hier die Berechtigungen für den neu hinzugefügten Gast handhabt, kann man sich einmal die Berechtigungen auf einem Element einer solchen SharePoint Site anschauen.

Auch hier taucht der Gast mit entsprechenden Berechtigungen auf. Ebenfalls wird die Rolle von ihm in SharePoint übernommen.

Die Magie bei der Berechtigung entstammt dabei der zugrundeliegenden AAD-Gruppe. Schaut man sich an, woher die Berechtigung für die Mitglieder aus Teams im SharePoint stammt, geht man mit einem Blick in die Standardgruppen erst einmal leer aus, denn die Informationen zu den in Teams hinzugefügten Benutzern ist in einer verwalteten AAD Gruppe gespeichert, die exakt so heißt wie das Team. Ruft man einmal die Details dieser Gruppe auf, sieht man, dass sich die Gruppe claims-basiert über das AAD authentifiziert.

Der Gast selbst bekommt eine Einladung per Mail zugestellt, auf die er mit einem Bestätigungslink antworten kann. Sobald das passiert und der externe Benutzer die Einladung annimmt, kann er auf die Inhalte aller Kanäle zugreifen.

Gastfreundschaft adjustieren

Dabei sind die Rechte eines externen Benutzers eingeschränkt. So kann er zwar an den Chats immer teilnehmen, auch private Chats führen und – wenn es ihm die Administration erlaubt – sogar weitere Kanäle im Team anlegen. Er darf allerdings nicht:

  • ein neues Team erstellen
  • Teams zum joinen suchen und finden
  • Das Organigramm von anderen Personen des Teams einsehen
  • Bots, Apps oder Konnektoren dem Team hinzufügen

Seine Rolle bleibt also auf die Grenzen des Teams beschränkt, zu dem er eingeladen wurde. Die Optionen für Besitzer des Teams oder den Office 365 Administratoren für weitere Einschränkungen beziehen sich auf die bereits angesprochene Kanalverwaltung.

Einstellungen Teams für externe Benutzer

Drollige Nebeneffekte während des Rollouts

Das Ausrollen der Funktionalität war bei einigen Tenants bisher etwas holprig. So gab es diverse Meldungen, dass es zwar bereits die Schaltflächen für das Feature gab, die aber noch keine Funktion hatten. Genauso wurde berichtet, dass im Adminbereich bereits einige Einstellungen auftauchten, aber sich die Clients noch nicht aktualisiert hatten.

Wenn man es denn in Verbindung setzen möchte, gab es den interessantesten Effekt bei dem kleinen Fehler, der Microsoft vor ein paar Tagen passiert ist. Man könnte meinen, dass das Ausrollen dieser recht zentralen Funktion hier vielleicht das kleine Missgeschick zumindest begünstigt hat.

Fazit

Im Fußball würde man sagen „Da is‘ das Ding!“ und sehr euphorisch mit allerlei Devotionalien seines Lieblingsvereins wedeln. Die Option, externe Benutzer in seine Teams einzuladen, schließt die wichtigste Leerstelle in diesem noch jungen Dienst und katapultiert ihn damit ein gewaltiges Stück nach vorne. Ich wage es, mich dabei aus dem Fenster zu lehnen und zu orakeln, dass hiermit die Adaptionsrate bei Benutzern, die sonst noch abgewartet haben, rasant steigen wird. Zu häufig ist der Anwendungsfall gegeben, dass Externe Zugriff auf Daten brauchen.

Mit diesem Change steht nun vielfach nichts mehr im Weg, für die Kollaboration in Projekten ausschließlich auf Teams zu setzen. Es ist einfach zu administrieren, es erlaubt den Benutzern ungemeine Freiheitsgrade, es ist flexibel, erweiterbar, integriert und wird von allen Seiten mit Aufmerksamkeit bedacht.

2 thoughts on “Externe Benutzer mit Microsoft Teams

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.