Unterwegs in mehreren Microsoft Teams verschiedener Microsoft 365 Tennants
by Volker Weber
In verschiedenen Ausgangslagen benötigt man Zugang auf verschiedene Microsoft 365 Tenants. Outlook und Co. unterstützen dies, Microsoft Teams leider nicht. Die Chromium basierte Microsoft Edge Version hilft hier enorm.Oh, wie praktisch! Ein wunderbarer Tipp von Philip Büchler.
Comments
Ich benutze Teams und bei mir kann ich links von meinem Avatar aus zwei Firmen auswählen - ich vermute, dass das mit tenants gemeint ist?
Wir haben dafür unsere Office365-Benutzernamen an die zweite Firma gegeben, und sobald die uns eingetragen haben, konnte jeder von uns in Teams auf die zweite Firma umschalten.
Also nichts, was man selber einrichten könnte, aber wohl machbar.
@Christoph: das funktioniert leider so nur wenn man Gastzugriff auf ein Team hat. Nicht aber wenn man einen "richtigen" Account im anderen Team hat. Bei den mobile Apps kann man das umschalten, bei der Desktopversion leider (noch) nicht (es gibt seit langem dazu Anregungen in User Voice).
Ein Aspekt der mich interessiert: Arbeitet jemand mit Firmen zusammen, die für einen Gastzugriff auf ihre Teams MFA verlangen?
@ Peter Meuser: Ja und ich rate auch immer dazu. Ein Gast in Teams hat standardmässig vollen Zugriff auf die Files dieses Teams. Daher gelten einerseits die gesetzlichen Bestimmungen zum Schutz von Daten, andererseits will auch die Firma ihre Pforten schützen.
@Philip In der Theorie schon, aber ist das MFA-Enrollment (und Management) für Gäste ohne Support-Anlaufstelle nicht auch Collaboration-feindlich? Letztlich soll Teams ja die Zusammenarbeit erleichtern.
Ich kenne mich auch ein wenig damit aus. Und ich empfehle auch die MFA. Diese ist für Gäste übrigens nicht lizenzpflichtig. Regel (so weit ich weiß): 5 mal so viel Gäste wie "echte" Lizenzen sind erlaubt.
Man kann den Gastzugang auch zusätzlich einschränken indem man Domänen "whitelistet" oder "blacklistet". Würde ich auch machen. Die Revision freut sich wenn man zeigen kann dass nur bestimmte Unternehmen als Gäste eingeladen werden dürfen.
Denn: Einschränken wer eingeladen werden darf, kann man sonst nicht. Entweder der MA darf es, oder eben nicht.
Ok, betrachten wir es mal von der theoretischen Seite. Was sagt MFA eines Gastes darüber aus, wie zuverlässig der Enrollment-Prozess war? Ich treffe weiterhin Firmen an, die sich keinerlei Gedanken machen, daß auch das Enrollment selbst abgesichert sein muß - zum Beispiel nur über ein Firmengerät oder zumindest aus ein vertrauenswürdigen Firmennetz heraus. Meist reicht Benutzernamen/Passwort zu kennen und schwubs habe ich ein „vertrauensvolles“ MFA. Ein MFA-Enrollment ist übrigens auch nicht nur einmalig pro Benutzer, sondern individuell für jeden Tenant, bei dem ich Gast bin erforderlich. Wen frage ich als Gast mein MFA zurückzusetzen, wenn die einzige MFA-Methode wie Authenticator nicht mehr verfügbar ist und damit ein Self-Service wegfällt? Ja, diesen ganzen Ärger gibt es „gratis“.
Aber nun mal ganz praktisch: Welche Firma setzt das im großen Stil schon ein und fährt gut damit seit einer Weile?
@Peter: Meinst Du mit dem Enrollment Prozess speziell die Ersteinrichtung bei Microsoft? Die ist ja wirklich speziell.....
Was ich nicht verstehe: MFA geht bei MS ja auch ohne Authenticator, dann eben über die Telefonnummer. Oder meinst Du das Problem dass man nicht weiß welches Unternehmen man anrufen muss, wenn man auf 5 Tenants zu Gast ist und alle eine MFA erfordern?
Aber, natürlich ist MS MFA stark verbesserungswürdig. Allein die Tatsache dass der zweite Faktor erst nach der Kennwortverifikation abgefragt wird, stößt sicher nicht nur mir auf.
Ist halt wie so oft bei MS + Security: nicht der Stein des Weisen, meist verbesserungswürdig.
Aber besser als nichts und dafür eher User- als IT-Security friendly...
@Roland Ein Benutzer muß MFA generell für jeden Tenant einzeln einrichten. Arbeite ich für FirmaA und habe MFA eingerichtet und werde dann zu einem Teams von FirmaB als Gast eingeladen, die auch MFA fordert, muß ich ein zweites Mal durch den Einrichtungsprozess. Die MFA-Settings für beide Firmen sind getrennt und müssen entsprechend separat gepflegt werden.
Melde ich mich beispielsweise bei FirmaB mit Authenticator an und verliere anschliessend die Authenticator-Einstellungen, muß ein Admin von FirmaB eine MFA-Reset für meinen Gast-Account ausführen, damit ich erneut durch den MFA-Enrollmentprozeß komme.
Ja, es ist so kompliziert wie beschrieben. Wird mein Punkt klarer, warum ich MFA für Gäste in vielen Umgebungen als immer weniger empfehlenswert empfinde?
@Peter, Danke ja, in der Tat nicht so beachtet. Was aber daran liegt dass ich meist die SMS Variante bevorzuge und damit natürlich die "Einstellung" nur selten verloren wird.
So oder so ist bleibt das Mist dass immer ALLE Gastzugänge abgefragt werden wenn man Teams öffnet, egal ob man in den Gast Tenant rein will oder nicht.
Übrigens: eine Absicherung über Intune App Policy taugt auch nur sehr, sehr bedingt als Sicherheitsmaßnahme. Sehr löchrig leider. Letztlich bleibt ein Gast Zugang eine völlig offene Flanke.. egal wie man es macht.
