Zusam­men­ar­beit in Micro­soft Teams / Office 365 – Gäste einladen

|

1 Anfor­de­rungen (Zugriff, Identität, Berechtigungen, …)

Der Bedarf an organi­sa­ti­ons­über­grei­fender Zusam­men­ar­beit hat in den letzten Jahren stark zugenommen. Bisher musste der Gastzu­griff für Micro­soft Teams noch explizit aktiviert werden – seit Februar 2021 ist der Gastzu­griff für Micro­soft Teams standard­mäßig aktiviert.

Was sind Gäste? Micro­soft hat den Begriff Gast im Kontext von Azure B2B einge­führt. Gäste sind Personen von anderen Organi­sa­tionen und haben Zugriff auf bestimmte Ressourcen wie Micro­soft Share­Point Online Sites oder Micro­soft Teams in Ihrem Office 365. Andere Begriffe wie „Externe“ sind zu unprä­zise, da es sich dabei z.T. auch um Arbeit­neh­mer­über­las­sung oder externe Dienst­leister handeln könnte.

Was ist Azure B2B? Über Azure B2B stellt Micro­soft Funktionen bereit, um organi­sa­ti­ons­über­grei­fende Zusam­men­ar­beiten zu ermög­li­chen – d.h. dem gemein­samen Zugriff auf Ressourcen wie Share­Point Sites, Teams und Planner To Do. Über den Gastzu­griff in Azure B2B bekommen Gäste Zugriff auf freige­ge­bene Daten in Ihrer Organisation.

Hinweis: Themen wie Präsenz­status und Kalen­der­ver­füg­bar­keit werden oft auch als External Sharing (external Colla­bo­ra­tion) bezeichnet, sind aber technisch unabhängig von Azure B2B.

Bei der Nutzung der external Zusam­men­ar­beit in Micro­soft Office 365 sind verschie­denste Aspekte und Best- Practices zu berücksichtigen.

1.1 Zugriff, Identität, Berechtigungen

Grund­vor­aus­set­zung für organi­sa­ti­ons­über­grei­fende Zusam­men­ar­beit sind:

  • Zugriff: Gäste müssen technisch in der Lage sein, die Anwen­dung aufzu­rufen. Dabei ist zu beachten, dass Gäste mit eigenen Geräten (unmanaged /nicht vertrau­ens­würdig) und aus deren Netzwerken („unsicher“?) zugreifen.
  • Identität: Für den Zugriff auf Unter­neh­mens­res­sourcen wie Micro­soft Teams, Share­Point Online oder auch Power Apps und Power Automate wird eine Identität benötigt.
  • Berech­ti­gungen: Neben den techni­schen Voraus­set­zungen Zugriff und Identität ist das Thema Berech­ti­gungs­ma­nage­ment ein Prozess­thema. Nur mit einem erfolg­rei­chen Berech­ti­gungs­ma­nage­ment ist eine sichere Zusam­men­ar­beit gewährleistet.

 

Gerade die Voraus­set­zungen Zugriff und Identität stellen Firmen bei on-premises Umgebungen technisch vor große Heraus­for­de­rungen und bedeuten meist lange IT-Projekte in der Umset­zung. In Micro­soft Office 365 ist dies anders, da Zugriff und Identität technisch direkt zur Verfü­gung stehen:

  • Zugriff: Office 365 ist ein Cloud Dienst und ist als solcher standard­mäßig von jedem Gerät weltweit zu errei­chen. Durch Condi­tional Access Policies lässt sich der Zugriff auf Basis verschie­dener Krite­rien wie Netzwerk-IP, Geräte­status, Login­ver­halten, … noch eingrenzen.
  • Identität: Office 365, bzw. Azure AD ermög­licht es standard­mäßig, Personen aus anderen Organi­sa­tionen, bzw. auch Personen nur anhand einer Email­adresse mit wenigen Klicks einzu­laden. Durch diese Verein­fa­chung entstehen aber auch Risiken, da dem Einla­denden mögli­cher­weise die Tragweite und die damit einher­ge­hende Verant­wor­tung nicht bewusst sind.

 

Das Thema Berech­ti­gungs­ver­wal­tung ist stark prozess­ori­en­tiert. In Micro­soft Office 365 gibt es neue nützliche Funktionen im Bereich Onboar­ding, Zugriffs­ver­gabe, Ablauf­datum (Expira­tion) von Berech­ti­gungen bis hin zu Berech­ti­gungs­re­views. Auf das Thema Berech­ti­gungs­ver­wal­tung gehe ich im Teil 2 konkreter ein.

1.2 Managed Identity vs. Bring-your-own-identity (BYOI)

In on-premises Umgebungen ist das Micro­soft Active Direc­tory zumeist das einzige Direc­tory für Identi­täten im internen Netzwerk („Intranet“), d.h. jeder, der im Intranet arbeitet, benötigt eine Identität im Active Direc­tory. Diese Identi­täten werden durch die Organi­sa­tion verwaltet (managed identity), d.h. alle Basis­pro­zesse für die Pflege einer Identität sind durch die Organi­sa­tion umzusetzen:

  • Anlage eines Accounts
  • Übermitt­lung von Passwort an Anwender
  • Pflege der Identität (Attri­bute)
  • Kennwort-Änderung
  • Kennwort-Zurück­setzen
  • Authen­ti­fi­zie­rung
  • Deakti­vie­rung des Account
  • Löschen des Account

 

In der Cloud ist dies anders, da es dort viele Identi­täts­an­bieter gibt. Neben dem eigenen Azure AD gibt es die Azure AD’s von anderen Firmen, dazu gibt es noch die Micro­soft Accounts (früher Live Accounts) und es können auch Identi­täts­an­bieter wie Google, Facebook, etc. integriert werden.

Es bietet sich also an, diese bestehenden Identi­täten direkt zu nutzen. Dies ist der Kern von Azure B2B. Die Anwender bringen eine bestehende Identität mit (BYOI) und die Organi­sa­tion kümmert sich nur um die zusätz­li­chen Aspekte wie z.B. Berechtigungsmanagement.

1.3 Recht­liche Grund­lage für die Zusammenarbeit

Grund­lage einer organi­sa­ti­ons­über­grei­fenden Zusam­men­ar­beit sind in der Regel Verträge. In diesen Verträgen sind primär nicht-techni­sche Inhalte zu klären, z.B. Zweck der Zusam­men­ar­beit, Dauer, Beginn, Ende, Befug­nisse, Haftung, …

In diesem Schritt kann auch auf konkrete Daten­schutz­tech­ni­sche Aspekte, NDA, etc. einge­gangen werden.

Es empfiehlt es sich, ein Verzeichnis anzulegen, mit welchen Firmen eine Zusam­men­ar­beit durch­ge­führt werden kann. Dieses Verzeichnis kann später auch als White­list im Rahmen der Gastein­la­dung verwendet werden.

1.4 Gast-Onboar­ding

Bevor Gäste auf Ressourcen in Ihrem Mandant zugreifen können, ist ein Gast-Onboar­ding nötig. Dafür gibt es unter­schied­liche Ansätze:

  • Expli­zites Einladen eines Gastes im Azure AD, bzw. über API über deren E‑Mail-Adresse
  • Self-Services anbieten, damit Personen einer anderen Organi­sa­tion kontrol­liert sich selber „onboarden“ können. Dies ist möglich mit den sogenannten Access Packages in Azure AD

1.5 Ablauf­datum und Berechtigungsprüfung

Sofern nicht anders definiert, behalten Gäste Ihren Zugriff auf die jewei­ligen Ressourcen. Dies kann zum Risiko werden, wenn sich zum Beispiel der Kontext des MS Teams oder der Share­Point Site ändert. Dadurch könnten Gäste unbewusst Zugriff auf Infor­ma­tionen erhalten, die nicht dem verein­barten Zweck dienen.

Die Reali­sie­rung von Prozessen zum Teil-automa­ti­sierten Entfernen / Verlän­gern von Gastbe­rech­ti­gungen, bzw. zur fachli­chen Prüfung der Berech­ti­gungen sind sehr aufwendig in der Defini­tion und der Umset­zung. Häufig wird hier 3rd Party Software oder Eigen­ent­wick­lungen eingesetzt.

Genau dieses Thema ist in Azure AD Entit­le­ment Manage­ment gut umgesetzt.

1.6 Zweifaktor Authentifizierung

In einer modernen Arbeits­welt bringen Anwender Ihre Identität für die externe Zusam­men­ar­beit bereits mit. Dies erspart Zeit und erhöht die Usabi­lity, da Gäste direkt mit Ihrer Haupt­iden­tität arbeiten, also keine Zweit-Identität sicher verwalten müssen.

Die einla­dende Organi­sa­tion hat keine Kontrolle, wie sich der einge­la­dene Anwender anmeldet ‑dies entscheidet das Azure AD in Abhän­gig­keit der Möglich­keiten selbst.

Die einla­dende Organi­sa­tion kann und sollte daher eine zusätz­liche Zwei-Faktor Authen­ti­fi­zie­rung erzwingen.

1.7 Nutzungs­be­stim­mungen

Neben den auf Unter­neh­mens­ebene verein­barten vertrag­li­chen und daten­schutz­recht­li­chen Themen können zusätz­liche Nutzungs­be­stim­mungen definiert werden, denen Anwender in Abhän­gig­keit von Gruppen­zu­ge­hö­rig­keit oder der zu nutzenden Anwen­dung zustimmen müssen. Dies ist ebenfalls über Condi­tional Access Policies möglich.

Im Teil 2 beschreibe ich, wie das Micro­soft Berech­ti­gungs­ma­nage­ment (Entit­le­ment Manage­ment) genutzt werden kann.

Für weitere Auskünfte oder ein unver­bind­li­ches Gespräch stehen wir Ihnen gerne zur Verfügung.

 

Joachim von Seydewitz

Solution Archi­tect



Kontakt zur netunite AG

Ihr Anliegen. Unsere Experten. Erleben Sie netunite. Wir freuen uns auf Ihre Anfrage.
Gerne sind wir auch telefonisch unter 089/8906599-0 oder per E-Mail unter info@netunite.eu für Sie erreichbar.

netunite AG
Lindwurmstraße 97
80337 München

    Pflichtfeld
    Pflichtfeld
     
    Pflichtfeld
     
    Pflichtfeld

    Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung. Akzeptieren