Zusam­men­ar­beit in Micro­soft Teams / Office 365 – Gäste einladen

1 Anfor­de­rungen (Zugriff, Identität, Berechtigungen, …)

Der Bedarf an organi­sa­ti­ons­über­grei­fender Zusam­men­ar­beit hat in den letzten Jahren stark zugenommen. Bisher musste der Gastzu­griff für Micro­soft Teams noch explizit aktiviert werden – seit Februar 2021 ist der Gastzu­griff für Micro­soft Teams standard­mäßig aktiviert.

Was sind Gäste? Micro­soft hat den Begriff Gast im Kontext von Azure B2B einge­führt. Gäste sind Personen von anderen Organi­sa­tionen und haben Zugriff auf bestimmte Ressourcen wie Micro­soft Share­Point Online Sites oder Micro­soft Teams in Ihrem Office 365. Andere Begriffe wie „Externe“ sind zu unprä­zise, da es sich dabei z.T. auch um Arbeit­neh­mer­über­las­sung oder externe Dienst­leister handeln könnte.

Was ist Azure B2B? Über Azure B2B stellt Micro­soft Funktionen bereit, um organi­sa­ti­ons­über­grei­fende Zusam­men­ar­beiten zu ermög­li­chen – d.h. dem gemein­samen Zugriff auf Ressourcen wie Share­Point Sites, Teams und Planner To Do. Über den Gastzu­griff in Azure B2B bekommen Gäste Zugriff auf freige­ge­bene Daten in Ihrer Organisation.

Hinweis: Themen wie Präsenz­status und Kalen­der­ver­füg­bar­keit werden oft auch als External Sharing (external Colla­bo­ra­tion) bezeichnet, sind aber technisch unabhängig von Azure B2B.

Bei der Nutzung der external Zusam­men­ar­beit in Micro­soft Office 365 sind verschie­denste Aspekte und Best- Practices zu berücksichtigen.

1.1 Zugriff, Identität, Berechtigungen

Grund­vor­aus­set­zung für organi­sa­ti­ons­über­grei­fende Zusam­men­ar­beit sind:

• Zugriff: Gäste müssen technisch in der Lage sein, die Anwen­dung aufzu­rufen. Dabei ist zu beachten, dass Gäste mit eigenen Geräten (unmanaged /nicht vertrau­ens­würdig) und aus deren Netzwerken („unsicher“?) zugreifen.
• Identität: Für den Zugriff auf Unter­neh­mens­res­sourcen wie Micro­soft Teams, Share­Point Online oder auch Power Apps und Power Automate wird eine Identität benötigt.
• Berech­ti­gungen: Neben den techni­schen Voraus­set­zungen Zugriff und Identität ist das Thema Berech­ti­gungs­ma­nage­ment ein Prozess­thema. Nur mit einem erfolg­rei­chen Berech­ti­gungs­ma­nage­ment ist eine sichere Zusam­men­ar­beit gewährleistet.

Gerade die Voraus­set­zungen Zugriff und Identität stellen Firmen bei on-premises Umgebungen technisch vor große Heraus­for­de­rungen und bedeuten meist lange IT-Projekte in der Umset­zung. In Micro­soft Office 365 ist dies anders, da Zugriff und Identität technisch direkt zur Verfü­gung stehen:

• Zugriff: Office 365 ist ein Cloud Dienst und ist als solcher standard­mäßig von jedem Gerät weltweit zu errei­chen. Durch Condi­tional Access Policies lässt sich der Zugriff auf Basis verschie­dener Krite­rien wie Netzwerk-IP, Geräte­status, Login­ver­halten, … noch eingrenzen.
• Identität: Office 365, bzw. Azure AD ermög­licht es standard­mäßig, Personen aus anderen Organi­sa­tionen, bzw. auch Personen nur anhand einer Email­adresse mit wenigen Klicks einzu­laden. Durch diese Verein­fa­chung entstehen aber auch Risiken, da dem Einla­denden mögli­cher­weise die Tragweite und die damit einher­ge­hende Verant­wor­tung nicht bewusst sind.

Das Thema Berech­ti­gungs­ver­wal­tung ist stark prozess­ori­en­tiert. In Micro­soft Office 365 gibt es neue nützliche Funktionen im Bereich Onboar­ding, Zugriffs­ver­gabe, Ablauf­datum (Expira­tion) von Berech­ti­gungen bis hin zu Berech­ti­gungs­re­views. Auf das Thema Berech­ti­gungs­ver­wal­tung gehe ich im Teil 2 konkreter ein.

1.2 Managed Identity vs. Bring-your-own-identity (BYOI)

In on-premises Umgebungen ist das Micro­soft Active Direc­tory zumeist das einzige Direc­tory für Identi­täten im internen Netzwerk („Intranet“), d.h. jeder, der im Intranet arbeitet, benötigt eine Identität im Active Direc­tory. Diese Identi­täten werden durch die Organi­sa­tion verwaltet (managed identity), d.h. alle Basis­pro­zesse für die Pflege einer Identität sind durch die Organi­sa­tion umzusetzen:

• Anlage eines Accounts
• Übermitt­lung von Passwort an Anwender
• Pflege der Identität (Attri­bute)
• Kennwort-Änderung
• Kennwort-Zurück­setzen
• Authen­ti­fi­zie­rung
• Deakti­vie­rung des Account
• Löschen des Account

In der Cloud ist dies anders, da es dort viele Identi­täts­an­bieter gibt. Neben dem eigenen Azure AD gibt es die Azure AD’s von anderen Firmen, dazu gibt es noch die Micro­soft Accounts (früher Live Accounts) und es können auch Identi­täts­an­bieter wie Google, Facebook, etc. integriert werden.

Es bietet sich also an, diese bestehenden Identi­täten direkt zu nutzen. Dies ist der Kern von Azure B2B. Die Anwender bringen eine bestehende Identität mit (BYOI) und die Organi­sa­tion kümmert sich nur um die zusätz­li­chen Aspekte wie z.B. Berechtigungsmanagement.

1.3 Recht­liche Grund­lage für die Zusammenarbeit

Grund­lage einer organi­sa­ti­ons­über­grei­fenden Zusam­men­ar­beit sind in der Regel Verträge. In diesen Verträgen sind primär nicht-techni­sche Inhalte zu klären, z.B. Zweck der Zusam­men­ar­beit, Dauer, Beginn, Ende, Befug­nisse, Haftung, …

In diesem Schritt kann auch auf konkrete Daten­schutz­tech­ni­sche Aspekte, NDA, etc. einge­gangen werden.

Es empfiehlt es sich, ein Verzeichnis anzulegen, mit welchen Firmen eine Zusam­men­ar­beit durch­ge­führt werden kann. Dieses Verzeichnis kann später auch als White­list im Rahmen der Gastein­la­dung verwendet werden.

1.4 Gast-Onboar­ding

Bevor Gäste auf Ressourcen in Ihrem Mandant zugreifen können, ist ein Gast-Onboar­ding nötig. Dafür gibt es unter­schied­liche Ansätze:

• Expli­zites Einladen eines Gastes im Azure AD, bzw. über API über deren E‑Mail-Adresse
• Self-Services anbieten, damit Personen einer anderen Organi­sa­tion kontrol­liert sich selber „onboarden“ können. Dies ist möglich mit den sogenannten Access Packages in Azure AD

1.5 Ablauf­datum und Berechtigungsprüfung

Sofern nicht anders definiert, behalten Gäste Ihren Zugriff auf die jewei­ligen Ressourcen. Dies kann zum Risiko werden, wenn sich zum Beispiel der Kontext des MS Teams oder der Share­Point Site ändert. Dadurch könnten Gäste unbewusst Zugriff auf Infor­ma­tionen erhalten, die nicht dem verein­barten Zweck dienen.

Die Reali­sie­rung von Prozessen zum Teil-automa­ti­sierten Entfernen / Verlän­gern von Gastbe­rech­ti­gungen, bzw. zur fachli­chen Prüfung der Berech­ti­gungen sind sehr aufwendig in der Defini­tion und der Umset­zung. Häufig wird hier 3rd Party Software oder Eigen­ent­wick­lungen eingesetzt.

Genau dieses Thema ist in Azure AD Entit­le­ment Manage­ment gut umgesetzt.

1.6 Zweifaktor Authentifizierung

In einer modernen Arbeits­welt bringen Anwender Ihre Identität für die externe Zusam­men­ar­beit bereits mit. Dies erspart Zeit und erhöht die Usabi­lity, da Gäste direkt mit Ihrer Haupt­iden­tität arbeiten, also keine Zweit-Identität sicher verwalten müssen.

Die einla­dende Organi­sa­tion hat keine Kontrolle, wie sich der einge­la­dene Anwender anmeldet ‑dies entscheidet das Azure AD in Abhän­gig­keit der Möglich­keiten selbst.

Die einla­dende Organi­sa­tion kann und sollte daher eine zusätz­liche Zwei-Faktor Authen­ti­fi­zie­rung erzwingen.

1.7 Nutzungs­be­stim­mungen

Neben den auf Unter­neh­mens­ebene verein­barten vertrag­li­chen und daten­schutz­recht­li­chen Themen können zusätz­liche Nutzungs­be­stim­mungen definiert werden, denen Anwender in Abhän­gig­keit von Gruppen­zu­ge­hö­rig­keit oder der zu nutzenden Anwen­dung zustimmen müssen. Dies ist ebenfalls über Condi­tional Access Policies möglich.

Im Teil 2 beschreibe ich, wie das Micro­soft Berech­ti­gungs­ma­nage­ment (Entit­le­ment Manage­ment) genutzt werden kann.

Für weitere Auskünfte oder ein unver­bind­li­ches Gespräch stehen wir Ihnen gerne zur Verfügung.