Unterwegs in mehreren Microsoft Teams verschiedener Microsoft 365 Tennants

by Volker Weber

In verschiedenen Ausgangslagen benötigt man Zugang auf verschiedene Microsoft 365 Tenants. Outlook und Co. unterstützen dies, Microsoft Teams leider nicht. Die Chromium basierte Microsoft Edge Version hilft hier enorm.

Oh, wie praktisch! Ein wunderbarer Tipp von Philip Büchler.

More >

Comments

Ich benutze Teams und bei mir kann ich links von meinem Avatar aus zwei Firmen auswählen - ich vermute, dass das mit tenants gemeint ist?
Wir haben dafür unsere Office365-Benutzernamen an die zweite Firma gegeben, und sobald die uns eingetragen haben, konnte jeder von uns in Teams auf die zweite Firma umschalten.
Also nichts, was man selber einrichten könnte, aber wohl machbar.

Christoph Rummel, 2019-11-13

@Christoph: das funktioniert leider so nur wenn man Gastzugriff auf ein Team hat. Nicht aber wenn man einen "richtigen" Account im anderen Team hat. Bei den mobile Apps kann man das umschalten, bei der Desktopversion leider (noch) nicht (es gibt seit langem dazu Anregungen in User Voice).

Oliver Müller, 2019-11-13

Ein Aspekt der mich interessiert: Arbeitet jemand mit Firmen zusammen, die für einen Gastzugriff auf ihre Teams MFA verlangen?

Peter Meuser, 2019-11-13

@ Peter Meuser: Ja und ich rate auch immer dazu. Ein Gast in Teams hat standardmässig vollen Zugriff auf die Files dieses Teams. Daher gelten einerseits die gesetzlichen Bestimmungen zum Schutz von Daten, andererseits will auch die Firma ihre Pforten schützen.

Philip Büchler, 2019-11-13

@Philip In der Theorie schon, aber ist das MFA-Enrollment (und Management) für Gäste ohne Support-Anlaufstelle nicht auch Collaboration-feindlich? Letztlich soll Teams ja die Zusammenarbeit erleichtern.

Peter Meuser, 2019-11-13

Ich kenne mich auch ein wenig damit aus. Und ich empfehle auch die MFA. Diese ist für Gäste übrigens nicht lizenzpflichtig. Regel (so weit ich weiß): 5 mal so viel Gäste wie "echte" Lizenzen sind erlaubt.
Man kann den Gastzugang auch zusätzlich einschränken indem man Domänen "whitelistet" oder "blacklistet". Würde ich auch machen. Die Revision freut sich wenn man zeigen kann dass nur bestimmte Unternehmen als Gäste eingeladen werden dürfen.
Denn: Einschränken wer eingeladen werden darf, kann man sonst nicht. Entweder der MA darf es, oder eben nicht.

Roland Dressler, 2019-11-14

Ok, betrachten wir es mal von der theoretischen Seite. Was sagt MFA eines Gastes darüber aus, wie zuverlässig der Enrollment-Prozess war? Ich treffe weiterhin Firmen an, die sich keinerlei Gedanken machen, daß auch das Enrollment selbst abgesichert sein muß - zum Beispiel nur über ein Firmengerät oder zumindest aus ein vertrauenswürdigen Firmennetz heraus. Meist reicht Benutzernamen/Passwort zu kennen und schwubs habe ich ein „vertrauensvolles“ MFA. Ein MFA-Enrollment ist übrigens auch nicht nur einmalig pro Benutzer, sondern individuell für jeden Tenant, bei dem ich Gast bin erforderlich. Wen frage ich als Gast mein MFA zurückzusetzen, wenn die einzige MFA-Methode wie Authenticator nicht mehr verfügbar ist und damit ein Self-Service wegfällt? Ja, diesen ganzen Ärger gibt es „gratis“.

Aber nun mal ganz praktisch: Welche Firma setzt das im großen Stil schon ein und fährt gut damit seit einer Weile?

Peter Meuser, 2019-11-15

@Peter: Meinst Du mit dem Enrollment Prozess speziell die Ersteinrichtung bei Microsoft? Die ist ja wirklich speziell.....
Was ich nicht verstehe: MFA geht bei MS ja auch ohne Authenticator, dann eben über die Telefonnummer. Oder meinst Du das Problem dass man nicht weiß welches Unternehmen man anrufen muss, wenn man auf 5 Tenants zu Gast ist und alle eine MFA erfordern?
Aber, natürlich ist MS MFA stark verbesserungswürdig. Allein die Tatsache dass der zweite Faktor erst nach der Kennwortverifikation abgefragt wird, stößt sicher nicht nur mir auf.
Ist halt wie so oft bei MS + Security: nicht der Stein des Weisen, meist verbesserungswürdig.
Aber besser als nichts und dafür eher User- als IT-Security friendly...

Roland Dressler, 2019-11-18

@Roland Ein Benutzer muß MFA generell für jeden Tenant einzeln einrichten. Arbeite ich für FirmaA und habe MFA eingerichtet und werde dann zu einem Teams von FirmaB als Gast eingeladen, die auch MFA fordert, muß ich ein zweites Mal durch den Einrichtungsprozess. Die MFA-Settings für beide Firmen sind getrennt und müssen entsprechend separat gepflegt werden.

Melde ich mich beispielsweise bei FirmaB mit Authenticator an und verliere anschliessend die Authenticator-Einstellungen, muß ein Admin von FirmaB eine MFA-Reset für meinen Gast-Account ausführen, damit ich erneut durch den MFA-Enrollmentprozeß komme.

Ja, es ist so kompliziert wie beschrieben. Wird mein Punkt klarer, warum ich MFA für Gäste in vielen Umgebungen als immer weniger empfehlenswert empfinde?

Peter Meuser, 2019-11-18

@Peter, Danke ja, in der Tat nicht so beachtet. Was aber daran liegt dass ich meist die SMS Variante bevorzuge und damit natürlich die "Einstellung" nur selten verloren wird.

So oder so ist bleibt das Mist dass immer ALLE Gastzugänge abgefragt werden wenn man Teams öffnet, egal ob man in den Gast Tenant rein will oder nicht.

Übrigens: eine Absicherung über Intune App Policy taugt auch nur sehr, sehr bedingt als Sicherheitsmaßnahme. Sehr löchrig leider. Letztlich bleibt ein Gast Zugang eine völlig offene Flanke.. egal wie man es macht.

Roland Dressler, 2019-11-18

Recent comments

Manfred Wiktorin on Ein paar Gedanken zu den aktuell angebotenen Sonos-Playern at 20:17
Florian Vogler on Ein paar Gedanken zu den aktuell angebotenen Sonos-Playern at 16:08
Markus Philippi on Ein paar Gedanken zu den aktuell angebotenen Sonos-Playern at 15:24
Michael Oehme on Ein paar Gedanken zu den aktuell angebotenen Sonos-Playern at 13:53
Tobias Hauser on Ein paar Gedanken zu den aktuell angebotenen Sonos-Playern at 13:21
Volker Weber on Ein paar Gedanken zu den aktuell angebotenen Sonos-Playern at 12:13
Marc Beckersjürgen on Ein paar Gedanken zu den aktuell angebotenen Sonos-Playern at 11:21
Dominique Roller on Ein paar Gedanken zu den aktuell angebotenen Sonos-Playern at 11:06
Martin Hiegl on Heimautomatisierung mit Shelly 2.5 PM at 11:04
Volker Weber on Ein paar Gedanken zu den aktuell angebotenen Sonos-Playern at 10:49
John Keys on Ein paar Gedanken zu den aktuell angebotenen Sonos-Playern at 08:33
Volker Weber on A message from the Sonos CEO :: And what it means at 08:18
Stefan Tilkov on A message from the Sonos CEO :: And what it means at 04:17
Volker Weber on A message from the Sonos CEO :: And what it means at 23:43
John Keys on A message from the Sonos CEO :: And what it means at 23:17
John Keys on A message from the Sonos CEO :: And what it means at 23:05
Volker Weber on A message from the Sonos CEO :: And what it means at 21:34
John Keys on A message from the Sonos CEO :: And what it means at 21:08
Volker Weber on A message from the Sonos CEO :: And what it means at 14:36
Torsten Pinkert on A message from the Sonos CEO :: And what it means at 14:31
Tobias Hauser on A message from the Sonos CEO :: And what it means at 12:49
Volker Weber on A message from the Sonos CEO :: And what it means at 12:30
Michael Witzorky on A message from the Sonos CEO :: And what it means at 12:20
Wolfgang König on Heimautomatisierung mit Shelly 2.5 PM at 11:59
Volker Weber on Heimautomatisierung mit Shelly 2.5 PM at 11:52

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter  amazon

Local time is 10:25

visitors.gif

buy me coffee

Paypal vowe