Maksim Kabakou - stock.adobe.com
Microsoft-Teams-Zugriff per Azure Active Directory steuern
Um die Berechtigungen in Microsoft Teams zu steuern, können Administratoren auf Azure Active Directory setzen. Wie die Konfiguration funktioniert, zeigt dieser Artikel.
Bei der Authentifizierung in Microsoft Teams kommen normalerweise Konten aus Microsoft 365 zum Einsatz. Basis dieser Konten ist Azure Active Directory (Azure AD). Unternehmen, die parallel auf erweiterte Funktionen von Azure AD in Form der Abonnements Azure AD P1 und Azure AD P2 setzen, haben an dieser Stelle mehr Möglichkeiten als bei der einfachen Verwendung von Konten aus Microsoft 365.
Wenn Cloud-Dienste im Unternehmen zum Einsatz kommen, zum Beispiel Microsoft 365 und Microsoft Azure, sind keine lokalen Active-Directory-Strukturen notwendig. Sind solche Strukturen vorhanden, lassen sich Benutzerkonten aus Active Directory zu Azure AD synchronisieren und in Microsoft 365 und Teams zur Authentifizierung und Berechtigungskonfiguration verwenden.
Microsoft Teams lässt sich mit und ohne Active Directory einsetzen. Auch dann, wenn im lokalen Netzwerk kein Active Directory vorhanden ist, können sich Anwender mit ihrem Azure-AD-Konto an Microsoft Teams anmelden. Die Berechtigungen sind ebenfalls auf Basis von Azure AD steuerbar.
In hybriden Netzwerken synchronisieren Unternehmen die lokalen Benutzerkonten über Azure AD Connect mit Azure AD. Dadurch stehen die lokalen Benutzerkonten aus dem Active Directory auch in Azure Active Directory und damit in Microsoft 365 zur Verfügung. Diese Konten lassen sich wiederum in Microsoft Teams zur Anmeldung und zur Vergabe von Berechtigungen einsetzen.
Windows 365 und Microsoft Teams gemeinsam nutzen
Das gilt ebenfalls für den Einsatz von Windows 365. Auch hier ist es möglich, mit Konten aus Azure AD zu arbeiten und parallel die Synchronisierung mit lokalen Active-Directory-Konten zu verwenden, um Benutzer zu authentifizieren oder Berechtigungen in Teams zu steuern. Im Falle von Windows 365 muss dazu die Enterprise Edition eingesetzt werden. Aber auch in Windows 365 Business lässt sich Teams mit Azure AD einsetzen. Allerdings kann hier keine Einbindung in Azure AD in der Form erfolgen, wie bei der Enterprise Edition.
In Windows 365 ist Microsoft Teams bereits vorinstalliert. Sobald sich Anwender mit ihrem Konto aus Microsoft 365/Azure AD anmelden, können sie auf Teams zugreifen. Administratoren können die Benutzerkonten wiederum für die Steuerung von Benutzerrechten verwenden. Beim Starten von Microsoft Teams in Windows 365 oder Windows 11 meldet Teams den Benutzer möglichst mit dem gleichen Azure-AD-Konto an, wie auch bei der Anmeldung an Windows. Es ist aber auch möglich, ein anderes Konto zu verwenden.
Zugriff für Microsoft Teams steuern
Damit Anwender Zugriff auf Microsoft Teams erhalten, muss ihnen zunächst eine Lizenz zugewiesen sein. Dazu müssen Administratoren im Microsoft 365 Admin Center unter Benutzer\Aktive Benutzer für den Benutzer die Lizenz aktivieren. Meldet sich der Benutzer in Windows, Windows 365 oder Teams mit diesem Konto an, darf er Teams generell nutzen.
Die Berechtigungsvergabe erfolgt im Microsoft Teams Admin Center. Teams-Besitzer können ebenso auf der Weboberfläche und dem Windows-Client Einstellungen sowie Berechtigungen auf Basis der Konten in Microsoft 365 und Azure AD vergeben.
Für die Steuerung der Rechte in Teams spielt es für die Cloud-Lösung keine Rolle, wie die Benutzerkonten mit Azure AD verbunden sind. Hier lassen sich Konten aus Microsoft 365 genauso verwenden wie Konten, die direkt in Azure AD angelegt wurden. Auch synchronisierte Accounts aus lokalen AD-Strukturen sind verfügbar.
Wichtig ist für den Benutzer nur, dass ihm eine Lizenz im Microsoft 365 Admin Center zugewiesen wurde. Danach lassen sich Berechtigungen mit dem Konto an allen Stellen in Teams vergeben. Für die Steuerung von Berechtigungen in Teams sind drei Admin Center notwendig:
An diesen Stellen steuern Administratoren die Berechtigungen für die verschiedenen Dienste in Microsoft 365 und Azure AD. Das spielt bei der Steuerung der Berechtigungen für Teams eine wichtige Rolle.
Besitzer von Teams und Administratoren der kompletten Teams-Umgebung können in der Oberfläche die vorhandenen Konten für die Vergabe von Berechtigungen nutzen. Für Microsoft Teams spielen die Berechtigungen eine Rolle, die für das Konto gelten, mit dem sich ein Benutzer an Teams angemeldet hat. Die Anmeldung an Windows spielt für Teams keine Rolle bei der Berechtigungsstruktur.
Mehrstufige Authentifizierung für Teams und Microsoft 365
Unabhängig davon, wie die Benutzerkonten in Azure AD integriert wurden, sollten bei der Authentifizierung und Berechtigungsstruktur in Teams die Sicherheitsoptionen ganz oben auf der Liste von Admins stehen. Eine der wichtigsten Sicherheitseinstellungen, die in Teams nach der Einrichtung vorgenommen werden sollte, ist die Aktivierung der mehrstufigen Authentifizierung. Nach der Anmeldung mit ihrem Konto müssen Anwender hierbei entweder einen Code eingeben, oder in der kostenlosen Microsoft-Authenticator-App die Anmeldung bestätigen.
Für die Berechtigungen in Teams spielen vor allem die Richtlinien eine Rolle, die Admins den Benutzerkonten zuweisen. Dazu steht im Teams Admin Center der Bereich Benutzer\Verwalten von Benutzern zur Verfügung. Unter Richtlinien kann für jeden Benutzer und jede Gruppe gesteuert werden, welche Richtlinien zum Einsatz kommen sollen. Passen Admins Einstellungen in den einzelnen Richtlinien an, wendet Teams diese auf alle Benutzerkonten an, denen die jeweilige Richtlinie zugeordnet ist.