Unterwegs in mehreren Microsoft Teams verschiedener Microsoft 365 Tennants

by Volker Weber

In verschiedenen Ausgangslagen benötigt man Zugang auf verschiedene Microsoft 365 Tenants. Outlook und Co. unterstützen dies, Microsoft Teams leider nicht. Die Chromium basierte Microsoft Edge Version hilft hier enorm.

Oh, wie praktisch! Ein wunderbarer Tipp von Philip Büchler.

More >

Comments

Ich benutze Teams und bei mir kann ich links von meinem Avatar aus zwei Firmen auswählen - ich vermute, dass das mit tenants gemeint ist?
Wir haben dafür unsere Office365-Benutzernamen an die zweite Firma gegeben, und sobald die uns eingetragen haben, konnte jeder von uns in Teams auf die zweite Firma umschalten.
Also nichts, was man selber einrichten könnte, aber wohl machbar.

Christoph Rummel, 2019-11-13

@Christoph: das funktioniert leider so nur wenn man Gastzugriff auf ein Team hat. Nicht aber wenn man einen "richtigen" Account im anderen Team hat. Bei den mobile Apps kann man das umschalten, bei der Desktopversion leider (noch) nicht (es gibt seit langem dazu Anregungen in User Voice).

Oliver Müller, 2019-11-13

Ein Aspekt der mich interessiert: Arbeitet jemand mit Firmen zusammen, die für einen Gastzugriff auf ihre Teams MFA verlangen?

Peter Meuser, 2019-11-13

@ Peter Meuser: Ja und ich rate auch immer dazu. Ein Gast in Teams hat standardmässig vollen Zugriff auf die Files dieses Teams. Daher gelten einerseits die gesetzlichen Bestimmungen zum Schutz von Daten, andererseits will auch die Firma ihre Pforten schützen.

Philip Büchler, 2019-11-13

@Philip In der Theorie schon, aber ist das MFA-Enrollment (und Management) für Gäste ohne Support-Anlaufstelle nicht auch Collaboration-feindlich? Letztlich soll Teams ja die Zusammenarbeit erleichtern.

Peter Meuser, 2019-11-13

Ich kenne mich auch ein wenig damit aus. Und ich empfehle auch die MFA. Diese ist für Gäste übrigens nicht lizenzpflichtig. Regel (so weit ich weiß): 5 mal so viel Gäste wie "echte" Lizenzen sind erlaubt.
Man kann den Gastzugang auch zusätzlich einschränken indem man Domänen "whitelistet" oder "blacklistet". Würde ich auch machen. Die Revision freut sich wenn man zeigen kann dass nur bestimmte Unternehmen als Gäste eingeladen werden dürfen.
Denn: Einschränken wer eingeladen werden darf, kann man sonst nicht. Entweder der MA darf es, oder eben nicht.

Roland Dressler, 2019-11-14

Ok, betrachten wir es mal von der theoretischen Seite. Was sagt MFA eines Gastes darüber aus, wie zuverlässig der Enrollment-Prozess war? Ich treffe weiterhin Firmen an, die sich keinerlei Gedanken machen, daß auch das Enrollment selbst abgesichert sein muß - zum Beispiel nur über ein Firmengerät oder zumindest aus ein vertrauenswürdigen Firmennetz heraus. Meist reicht Benutzernamen/Passwort zu kennen und schwubs habe ich ein „vertrauensvolles“ MFA. Ein MFA-Enrollment ist übrigens auch nicht nur einmalig pro Benutzer, sondern individuell für jeden Tenant, bei dem ich Gast bin erforderlich. Wen frage ich als Gast mein MFA zurückzusetzen, wenn die einzige MFA-Methode wie Authenticator nicht mehr verfügbar ist und damit ein Self-Service wegfällt? Ja, diesen ganzen Ärger gibt es „gratis“.

Aber nun mal ganz praktisch: Welche Firma setzt das im großen Stil schon ein und fährt gut damit seit einer Weile?

Peter Meuser, 2019-11-15

@Peter: Meinst Du mit dem Enrollment Prozess speziell die Ersteinrichtung bei Microsoft? Die ist ja wirklich speziell.....
Was ich nicht verstehe: MFA geht bei MS ja auch ohne Authenticator, dann eben über die Telefonnummer. Oder meinst Du das Problem dass man nicht weiß welches Unternehmen man anrufen muss, wenn man auf 5 Tenants zu Gast ist und alle eine MFA erfordern?
Aber, natürlich ist MS MFA stark verbesserungswürdig. Allein die Tatsache dass der zweite Faktor erst nach der Kennwortverifikation abgefragt wird, stößt sicher nicht nur mir auf.
Ist halt wie so oft bei MS + Security: nicht der Stein des Weisen, meist verbesserungswürdig.
Aber besser als nichts und dafür eher User- als IT-Security friendly...

Roland Dressler, 2019-11-18

@Roland Ein Benutzer muß MFA generell für jeden Tenant einzeln einrichten. Arbeite ich für FirmaA und habe MFA eingerichtet und werde dann zu einem Teams von FirmaB als Gast eingeladen, die auch MFA fordert, muß ich ein zweites Mal durch den Einrichtungsprozess. Die MFA-Settings für beide Firmen sind getrennt und müssen entsprechend separat gepflegt werden.

Melde ich mich beispielsweise bei FirmaB mit Authenticator an und verliere anschliessend die Authenticator-Einstellungen, muß ein Admin von FirmaB eine MFA-Reset für meinen Gast-Account ausführen, damit ich erneut durch den MFA-Enrollmentprozeß komme.

Ja, es ist so kompliziert wie beschrieben. Wird mein Punkt klarer, warum ich MFA für Gäste in vielen Umgebungen als immer weniger empfehlenswert empfinde?

Peter Meuser, 2019-11-18

@Peter, Danke ja, in der Tat nicht so beachtet. Was aber daran liegt dass ich meist die SMS Variante bevorzuge und damit natürlich die "Einstellung" nur selten verloren wird.

So oder so ist bleibt das Mist dass immer ALLE Gastzugänge abgefragt werden wenn man Teams öffnet, egal ob man in den Gast Tenant rein will oder nicht.

Übrigens: eine Absicherung über Intune App Policy taugt auch nur sehr, sehr bedingt als Sicherheitsmaßnahme. Sehr löchrig leider. Letztlich bleibt ein Gast Zugang eine völlig offene Flanke.. egal wie man es macht.

Roland Dressler, 2019-11-18

Post a comment

Store next two fields in a cookie for you?




Use your full name and a working email address. Unless you want your comment to be removed. No kidding.

Recent comments

Ingo Seifer on tizi Ränzlein at 12:58
Ken Bisconti on 30 Jahre Lotus Notes: Die Hard, Folge 30 :: heise online at 23:55
Jens Huber on 30 Jahre Lotus Notes: Die Hard, Folge 30 :: heise online at 21:17
Frank Stoermer on Paypal muss seinen Service verbessern at 16:29
Volker Weber on Motorola One Hyper at 10:25
Moritz Petersen on Paypal muss seinen Service verbessern at 10:23
Oliver Stör on Motorola One Hyper at 10:22
Maik Endler on Paypal muss seinen Service verbessern at 09:39
Robert Dahlem on Paypal muss seinen Service verbessern at 08:56
John Keys on Paypal muss seinen Service verbessern at 08:43
Hubert Stettner on Paypal muss seinen Service verbessern at 07:35
Sami Bahri on Paypal muss seinen Service verbessern at 07:14
Daniel Kirstenpfad on Paypal muss seinen Service verbessern at 05:01
Thomas Lang on Paypal muss seinen Service verbessern at 01:29
Kristian Raue on Paypal muss seinen Service verbessern at 23:35
Christoph Dierker on Paypal muss seinen Service verbessern at 23:08
felix kluge on Paypal muss seinen Service verbessern at 23:00
Juergen Eichholz on Paypal muss seinen Service verbessern at 22:40
Roland Dressler on 30 Jahre Lotus Notes: Die Hard, Folge 30 :: heise online at 17:04
Maik Endler on 30 Jahre Lotus Notes: Die Hard, Folge 30 :: heise online at 09:55
Harald Gärttner on 30 Jahre Lotus Notes: Die Hard, Folge 30 :: heise online at 08:10
John Keys on Cracking the Code to Mobile Productivity :: Microsoft at 04:07
Oliver Busse on 30 Jahre Lotus Notes: Die Hard, Folge 30 :: heise online at 22:00
Volker Weber on Cracking the Code to Mobile Productivity :: Microsoft at 18:11
John Keys on Cracking the Code to Mobile Productivity :: Microsoft at 17:01

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter  amazon

Local time is 20:18

visitors.gif

buy me coffee

Paypal vowe