ink drop - stock.adobe.com

Authentifizierung und Benutzerverwaltung in Microsoft Teams

Bei der Bereitstellung von Microsoft Teams spielt die Authentifizierung eine große Rolle. Dabei gibt es verschiedene Bereiche, die Administratoren beachten sollten.

Microsoft Teams unterstützt alle Identitätsmodelle und Authentifizierungsmethoden, die in Microsoft 365 und Office 365 zur Verfügung stehen. Wer sich mit der Authentifizierung in Microsoft Teams beschäftigt, muss daher Azure Active Directory (Azure AD) und Active Directory (AD) beherrschen.

Bei der Bereitstellung von Microsoft 365 und Microsoft Teams spielt zunächst eine Rolle, ob lokale Active-Directory-Strukturen mit Microsoft 365 zu einem hybriden Netzwerk zusammengefasst sind, oder ob ausschließlich die Authentifizierung in der Cloud eingesetzt wird.

Bei der hybriden Bereitstellung sind Active Directory und Azure AD miteinander verbunden und Benutzerkonten aus AD werden über Azure AD Connect mit Azure AD synchronisiert. Das spielt für die Authentifizierung in Microsoft Teams eine wichtige Rolle. Nähere Informationen erhalten Sie dazu in den beiden Artikeln Single Sign-On mit Azure AD Connect einrichten und verwalten und Per Azure AD Connect Health hybride Active-Directory-Umgebungen überwachen.

Abbildung 1: Lokale Active-Directory-Strukturen lassen sich mit Azure AD Connect mit Azure AD synchronisieren und in Teams nutzen.
Abbildung 1: Lokale Active-Directory-Strukturen lassen sich mit Azure AD Connect mit Azure AD synchronisieren und in Teams nutzen.

Beim Einsatz von Microsoft Teams ohne Active-Directory-Bezug findet die Authentifizierung über Benutzerkonten statt, die in Microsoft 365 angelegt und in Azure AD gespeichert werden. Microsoft 365 und Azure AD sind eng miteinander verknüpft.

Bei hybriden Netzwerken werden die Benutzerkonten in den meisten Fällen in lokalen AD-Umgebungen angelegt und verwaltet. Über Replikation in die Cloud, zum Beispiel mit Azure AD Connect, kommen die Konten zu Azure AD, und von da zu Microsoft 365 und Teams. Hierbei müssen Administratoren also zwei Schritte beachten: Lokale AD-Gesamtstrukturen und Azure AD Connect für die Synchronisierung mit Azure AD und Microsoft 365. Die Verzeichnissynchronisierung zwischen Azure AD und AD ist bei hybriden Netzwerken ein wichtiger Faktor bei der Authentifizierung.

Abbildung 2: Die Verwaltung der Benutzerkonten in Microsoft 365 umfasst auch die Konfiguration des Teamzugriffs.
Abbildung 2: Die Verwaltung der Benutzerkonten in Microsoft 365 umfasst auch die Konfiguration des Teamzugriffs.

Cloud-Authentifizierung und hybride Bereitstellung mit Verbundauthentifizierung

Bei ausschließlicher Verwendung der Cloud-Authentifizierung werden die Benutzer im Microsoft 365 Admin Center angelegt. Das ist generell die einfachste Variante für die Bereitstellung von Microsoft Teams.

Hybride Bereitstellungen ermöglichen auch SSO-Szenarien über die Benutzerkonten der Anwender in Active Directory. Durch die Synchronisierung der Benutzerkonten mit Azure AD ist es möglich, Kennwort-Hashes zu synchronisieren. Das bedeutet, dass Anwender mit Microsoft Teams und anderen Ressourcen in Microsoft 365 genauso arbeiten können, wie mit lokalen Ressourcen, die in lokalen Active-Directory-Umgebungen bereitgestellt sind.

Melden sich Anwender zum Beispiel mit ihrem Benutzernamen und Kennwort in Windows 10 und Windows 11 in Active Directory lokal an, können Sie Ressourcen in Microsoft 365 nutzen, ohne sich erneut authentifizieren zu müssen. Das funktioniert aber nur dann, wenn Azure AD Connect richtig konfiguriert ist.

Eine weitere Variante für die Bereitstellung ist die Verwendung von Verbundauthentifizierungen. In diesem Fall kommen zusätzlich Active Directory Federation Services (ADFS) zum Einsatz. Gleichzeitig sind Azure AD und AD beteiligt und werden über ADFS mit der Cloud verbunden. Hier sind Vertrauensstellungen zwischen Azure AD, AD und ADFS notwendig. Die Benutzerkonten werden mit den Werkzeugen aus lokalen AD-Umgebungen verwaltet und in die Cloud synchronisiert.

Mehrstufige Authentifizierung nutzen

Unabhängig von der verwendeten Authentifizierungsvariante, ist es möglich, mit der mehrstufigen Authentifizierung für Konten in Microsoft 365 zu arbeiten. In diesem Fall müssen sich Anwender mit einer weiteren Authentifizierung nach der Kennwortanmeldung an Microsoft 365 anmelden, bevor der Zugriff erfolgt. Empfohlen wird die kostenlose Authenticator-App von Microsoft.

Bei dieser muss die Anmeldung nur noch einmal per Antippen erlaubt werden. Es ist aber auch möglich, mit einem Code zu arbeiten, der per SMS oder Anruf übertragen wird. Das ist allerdings wesentlich unbequemer und langwieriger für Anwender. Hinzu kommt der Vorteil, dass die Microsoft Authenticator-App die meisten anderen Dienste im Internet unterstützt, um eine mehrstufige Authentifizierung zu konfigurieren.

Abbildung 3: Die mehrstufige Authentifizierung spielt in Microsoft Teams eine wichtige Rolle.
Abbildung 3: Die mehrstufige Authentifizierung spielt in Microsoft Teams eine wichtige Rolle.

Das muss bei der Pflege der Benutzerkonten beachtet werden

Wenn Unternehmen mit der Anmeldung an Active Directory arbeiten und Benutzerkonten mit Azure AD Connect in die Cloud synchronisieren, müssen sich Anwender in den meisten Fällen mit dem Benutzerkonto an Microsoft 365 und damit an Teams anmelden, mit dem sie sich am PC anmelden. Es ist in diesem Fall nicht möglich, ein anderes Konto zu verwenden. Das lässt sich konfigurieren, erfordert allerdings einige Nacharbeit.

Beim Einsatz von macOS müssen einmalig die Anmeldedaten eingegeben werden. Danach kann Teams in macOS verwendet werden, ohne die neue Anmeldung von Benutzern. Das funktioniert ebenfalls bei der mehrstufigen Authentifizierung.

In solchen Szenarien ist der parallele Einsatz des Teams-Clients über Smartphones und Tablets möglich. Auch hier stehen Apps zur Verfügung, mit denen sich Benutzer an Azure AD anmelden können. Das funktioniert ebenso beim Einsatz von Azure AD Connect und der mehrstufigen Authentifizierung.

Die Apps in Android und iOS erkennen, ob sich der Benutzer auf dem Smartphone oder Tablet bereits an einer anderen Anwendung in Microsoft 365 angemeldet hat, und schlagen das jeweilige Benutzerkonto zur Anmeldung an Teams vor. In vielen Fällen muss sich der Benutzer dann nicht mehr zusätzlich an Teams anmelden.

Grundsätzlich ist es möglich, in Android und iOS mit verschiedenen Benutzerkonten für Teams zu arbeiten. Hier lassen sich Geschäftskonten und private Konten miteinander gemischt einsetzen. Allerdings ist es noch nicht möglich, bei allen Apps mehrere Geschäftskonten miteinander zu mischen.

Erfahren Sie mehr über Collaboration-Software