Zusammenarbeit in Microsoft Teams / Office 365 – Gäste einladen

Der Bedarf an organisationsübergreifender Zusammenarbeit hat in den letzten Jahren stark zugenommen. Bisher musste der Gastzugriff für Microsoft Teams noch explizit aktiviert werden – seit Februar 2021 ist der Gastzugriff für Microsoft Teams standardmäßig aktiviert.

Was sind Gäste? Microsoft hat den Begriff Gast im Kontext von Azure B2B eingeführt. Gäste sind Personen von anderen Organisationen und haben Zugriff auf bestimmte Ressourcen wie Microsoft SharePoint Online Sites oder Microsoft Teams in Ihrem Office 365. Andere Begriffe wie „Externe“ sind zu unpräzise, da es sich dabei z.T. auch um Arbeitnehmerüberlassung oder externe Dienstleister handeln könnte.

Was ist Azure B2B? Über Azure B2B stellt Microsoft Funktionen bereit, um organisationsübergreifende Zusammenarbeiten zu ermöglichen – d.h. dem gemeinsamen Zugriff auf Ressourcen wie SharePoint Sites, Teams und Planner To Do. Über den Gastzugriff in Azure B2B bekommen Gäste Zugriff auf freigegebene Daten in Ihrer Organisation.

Hinweis: Themen wie Präsenzstatus und Kalenderverfügbarkeit werden oft auch als External Sharing (external Collaboration) bezeichnet, sind aber technisch unabhängig von Azure B2B.

Bei der Nutzung der external Zusammenarbeit in Microsoft Office 365 sind verschiedenste Aspekte und Best- Practices zu berücksichtigen.

Zugriff, Identität, Berechtigungen

Grundvoraussetzung für organisationsübergreifende Zusammenarbeit sind:

• Zugriff: Gäste müssen technisch in der Lage sein, die Anwendung aufzurufen. Dabei ist zu beachten, dass Gäste mit eigenen Geräten (unmanaged /nicht vertrauenswürdig) und aus deren Netzwerken („unsicher“?) zugreifen.
• Identität: Für den Zugriff auf Unternehmensressourcen wie Microsoft Teams, SharePoint Online oder auch Power Apps und Power Automate wird eine Identität benötigt.
• Berechtigungen: Neben den technischen Voraussetzungen Zugriff und Identität ist das Thema Berechtigungsmanagement ein Prozessthema. Nur mit einem erfolgreichen Berechtigungsmanagement ist eine sichere Zusammenarbeit gewährleistet.

Gerade die Voraussetzungen Zugriff und Identität stellen Firmen bei on-premises Umgebungen technisch vor große Herausforderungen und bedeuten meist lange IT-Projekte in der Umsetzung. In Microsoft Office 365 ist dies anders, da Zugriff und Identität technisch direkt zur Verfügung stehen:

• Zugriff: Office 365 ist ein Cloud Dienst und ist als solcher standardmäßig von jedem Gerät weltweit zu erreichen. Durch Conditional Access Policies lässt sich der Zugriff auf Basis verschiedener Kriterien wie Netzwerk-IP, Gerätestatus, Loginverhalten, … noch eingrenzen.
• Identität: Office 365, bzw. Azure AD ermöglicht es standardmäßig, Personen aus anderen Organisationen, bzw. auch Personen nur anhand einer Emailadresse mit wenigen Klicks einzuladen. Durch diese Vereinfachung entstehen aber auch Risiken, da dem Einladenden möglicherweise die Tragweite und die damit einhergehende Verantwortung nicht bewusst sind.

Das Thema Berechtigungsverwaltung ist stark prozessorientiert. In Microsoft Office 365 gibt es neue nützliche Funktionen im Bereich Onboarding, Zugriffsvergabe, Ablaufdatum (Expiration) von Berechtigungen bis hin zu Berechtigungsreviews. Auf das Thema Berechtigungsverwaltung gehe ich im Teil 2 konkreter ein.

Managed Identity vs. Bring-your-own-identity (BYOI)

In on-premises Umgebungen ist das Microsoft Active Directory zumeist das einzige Directory für Identitäten im internen Netzwerk („Intranet“), d.h. jeder, der im Intranet arbeitet, benötigt eine Identität im Active Directory. Diese Identitäten werden durch die Organisation verwaltet (managed identity), d.h. alle Basisprozesse für die Pflege einer Identität sind durch die Organisation umzusetzen:

• Anlage eines Accounts
• Übermittlung von Passwort an Anwender
• Pflege der Identität (Attribute)
• Kennwort-Änderung
• Kennwort-Zurücksetzen
• Authentifizierung
• Deaktivierung des Account
• Löschen des Account

In der Cloud ist dies anders, da es dort viele Identitätsanbieter gibt. Neben dem eigenen Azure AD gibt es die Azure AD’s von anderen Firmen, dazu gibt es noch die Microsoft Accounts (früher Live Accounts) und es können auch Identitätsanbieter wie Google, Facebook, etc. integriert werden.

Es bietet sich also an, diese bestehenden Identitäten direkt zu nutzen. Dies ist der Kern von Azure B2B. Die Anwender bringen eine bestehende Identität mit (BYOI) und die Organisation kümmert sich nur um die zusätzlichen Aspekte wie z.B. Berechtigungsmanagement.

Rechtliche Grundlage für die Zusammenarbeit

Grundlage einer organisationsübergreifenden Zusammenarbeit sind in der Regel Verträge. In diesen Verträgen sind primär nicht-technische Inhalte zu klären, z.B. Zweck der Zusammenarbeit, Dauer, Beginn, Ende, Befugnisse, Haftung, …

In diesem Schritt kann auch auf konkrete Datenschutztechnische Aspekte, NDA, etc. eingegangen werden.

Es empfiehlt es sich, ein Verzeichnis anzulegen, mit welchen Firmen eine Zusammenarbeit durchgeführt werden kann. Dieses Verzeichnis kann später auch als Whitelist im Rahmen der Gasteinladung verwendet werden.

Gast-Onboarding

Bevor Gäste auf Ressourcen in Ihrem Mandant zugreifen können, ist ein Gast-Onboarding nötig. Dafür gibt es unterschiedliche Ansätze:

• Explizites Einladen eines Gastes im Azure AD, bzw. über API über deren E-Mail-Adresse
• Self-Services anbieten, damit Personen einer anderen Organisation kontrolliert sich selber „onboarden“ können. Dies ist möglich mit den sogenannten Access Packages in Azure AD

Ablaufdatum und Berechtigungsprüfung

Sofern nicht anders definiert, behalten Gäste Ihren Zugriff auf die jeweiligen Ressourcen. Dies kann zum Risiko werden, wenn sich zum Beispiel der Kontext des MS Teams oder der SharePoint Site ändert. Dadurch könnten Gäste unbewusst Zugriff auf Informationen erhalten, die nicht dem vereinbarten Zweck dienen.

Die Realisierung von Prozessen zum Teil-automatisierten Entfernen / Verlängern von Gastberechtigungen, bzw. zur fachlichen Prüfung der Berechtigungen sind sehr aufwendig in der Definition und der Umsetzung. Häufig wird hier 3rd Party Software oder Eigenentwicklungen eingesetzt.

Genau dieses Thema ist in Azure AD Entitlement Management gut umgesetzt.

Zweifaktor Authentifizierung

In einer modernen Arbeitswelt bringen Anwender Ihre Identität für die externe Zusammenarbeit bereits mit. Dies erspart Zeit und erhöht die Usability, da Gäste direkt mit Ihrer Hauptidentität arbeiten, also keine Zweit-Identität sicher verwalten müssen.

Die einladende Organisation hat keine Kontrolle, wie sich der eingeladene Anwender anmeldet -dies entscheidet das Azure AD in Abhängigkeit der Möglichkeiten selbst.

Die einladende Organisation kann und sollte daher eine zusätzliche Zwei-Faktor Authentifizierung erzwingen.

Nutzungsbestimmungen

Neben den auf Unternehmensebene vereinbarten vertraglichen und datenschutzrechtlichen Themen können zusätzliche Nutzungsbestimmungen definiert werden, denen Anwender in Abhängigkeit von Gruppenzugehörigkeit oder der zu nutzenden Anwendung zustimmen müssen. Dies ist ebenfalls über Conditional Access Policies möglich.

Im Teil 2 beschreibe ich, wie das Microsoft Berechtigungsmanagement (Entitlement Management) genutzt werden kann.