Teams-Blockade für unerwünschte Gäste

Externe in Teams blockieren: Defender-Integration bringt endlich den „Türsteher“-Knopf

Es gibt zwei Arten von Überraschungen in Microsoft Teams: die gute („Oh, der Kunde ist schon da“) und die schlechte („Wer ist das denn – und warum sitzt der plötzlich im Meeting?“). Genau für die zweite Sorte liefert Microsoft jetzt ein ziemlich praktisches Sicherheits-Upgrade: Security-Admins können externe Teams-Absender direkt über die Tenant Allow/Block List (TABL) im Microsoft Defender-Portal blockieren – als Benutzer (E-Mail-Adresse) oder Domain. Ergebnis: Die Sperre wirkt teamsweit und greift für Chats, Meetings, Anrufe (und je nach Konstellation auch weitere eingehende Kommunikation).

Klingt unspektakulär? Ist es nicht. Das ist „kleine Einstellung, große Wirkung“ – und ein Baustein, der Zero Trust in der Praxis angenehmer macht.

Was ist das Feature genau?

Bisher war Teams-Schutz gegen unerwünschte Externe oft ein Puzzle aus „Externe Zugriffsrichtlinien“, Föderation, Meeting-Optionen, Lobby-Einstellungen und dem Faktor Mensch („Bitte nicht auf jeden Link klicken, auch wenn er Dringend!!! schreit.“).

Neu ist: Im Defender-Portal gibt es eine Teams-spezifische Verwaltung in der Tenant Allow/Block List, über die Security-Admins Block-Einträge pflegen können:

• Domain blockieren (z. B. spambeispiel.tld)

• Konkrete externe Adresse blockieren (z. B. nervbolzen@spam.tld)

Diese Einträge werden dann in Teams berücksichtigt und verhindern eingehende Kommunikation aus diesen Quellen.

Das Charmante daran: Das Ganze ist zentral im Defender-Portal aufgehängt – also da, wo Security-Teams ohnehin arbeiten. Und die Einträge tauchen auch in den Teams-Admin-Einstellungen für „Externe Kommunikation“ wieder auf, was das Zusammenspiel zwischen Security- und Teams-Administration deutlich entspannter macht.

Warum das relevant ist (aka: Social Engineering liebt „offene Türen“)

Realität in vielen Umgebungen: Externe Teilnehmer sind gewollt. Kundenmeetings, Partnerprojekte, Lieferantenabstimmungen – ohne Externe geht es nicht. Genau das ist aber der Spielplatz für Social Engineering:

• Ein Angreifer taucht mit plausibler Adresse im Meeting auf („Ich bin vom Dienstleister, wir müssen kurz die MFA zurücksetzen…“).

• Spam-Domänen feuern Chat-Anfragen raus, bis jemand annimmt.

• Belästigung oder gezielte Störung: wiederkehrende Kontakte aus derselben Domain, immer neue Accounts.

Das Problem war selten „Teams kann nichts“, sondern eher: Feinsteuerung und Verantwortlichkeiten waren nicht immer dort, wo sie hingehören. Mit der Defender-Integration bekommt das Security-Team einen direkten Hebel, ohne erst über mehrere Admin-Schichten oder Workarounds zu gehen.

Kurz: Statt nur zu reagieren („Warum war der drin?“) kann man proaktiv sperren („Der kommt gar nicht erst rein.“). Und das ist im Alltag Gold wert.

Praxis: Kurzanleitung zum Blocken in Defender

Der Ablauf ist erfreulich gradlinig – fast schon verdächtig. So geht’s in Kurzform:

1. Microsoft Defender-Portal öffnen: security.microsoft.com

2. Navigieren zu: Email & collaboration → Policies & rules → Threat policies → Tenant Allow/Block Lists
   (Direktlink wird in der Microsoft-Doku ebenfalls genannt.)

3. Zum Reiter Teams senders wechseln.

4. + Block wählen und entweder

   • Domain eintragen oder

   • E-Mail-Adresse des externen Absenders eintragen

5. Speichern – die Synchronisation zu Teams erfolgt automatisch.

Wichtig für die Erwartungshaltung: Damit das sauber funktioniert, müssen in Teams bestimmte Voraussetzungen bzw. Schalter in den „External access“-Einstellungen passen. Microsoft beschreibt das als notwendige Voraussetzungen, sonst gibt es beim Anlegen von Einträgen Fehler.

Auch praktisch: Die Block-Einträge sind nicht „irgendwo im Nirwana“, sondern werden in den Teams-Admin-Einstellungen zur externen Kommunikation sichtbar. Damit sieht auch der Teams-Admin, was das Security-Team gerade als „Nein danke“ markiert hat.

Empfohlene Nutzung: Wann lohnt sich das wirklich?

Das Feature ist kein Ersatz für eine saubere Extern-Strategie, aber es ist ein hervorragender „Präzisionsschraubendreher“. Typische Einsatzfälle:

1) Wiederkehrender Spam oder Belästigung aus einer Domain
Wenn klar ist, dass aus dubios.tld nichts Gutes kommt: Domain blocken, Ruhe genießen.

2) Gezielte Störversuche in Meetings
Ein einzelner Account nervt, die Domain ist ansonsten legitim? Dann blocken Sie die konkrete Adresse.

3) Incident Response mit kurzen Wegen
Security-Team sieht eine Kampagne, will sofort reagieren: TABL-Eintrag setzen, statt erst Teams-Konfigurationen durch mehrere Instanzen zu jagen.

Microsoft nennt außerdem technische Grenzen (z. B. maximale Anzahl blockierter Domains und Adressen). Für große Umgebungen ist das relevant, weil man damit planen muss, ob man „kuratierte Blocklisten“ pflegt oder irgendwann in Listen-Hygiene investieren sollte.

Was das Feature nicht „magisch“ löst: Föderation und Externeinstellungen

Ein häufiger Denkfehler lautet: „Wenn ich in Defender blocke, habe ich Externe komplett im Griff.“ Leider nein – so leicht lässt das Universum uns nicht vom Haken.

Die TABL-Blocks sind eine zusätzliche Kontrollschicht, aber sie ersetzen nicht die grundlegenden Teams-Einstellungen rund um externe Kommunikation, Föderation und Meeting-Policies. Microsoft verankert die TABL-Mechanik ausdrücklich im Kontext der externen Teams-Kommunikation und verweist auf die Teams-Admin-Seite „External access“ als Teil des Gesamtkonstrukts.

Die Praxisempfehlung ist daher klar:

• Prüfen Sie Ihre generellen Externeinstellungen in Teams (wer darf überhaupt mit wem sprechen/meetings machen?).

• Nutzen Sie TABL für gezielte, schnelle Sperren, wenn konkrete Domains oder Absender auffällig werden.

Das ist nicht „entweder oder“, sondern „beides, sonst wird’s wieder lustig – aber auf die falsche Art“.

Fazit: Zero Trust bekommt einen alltagstauglichen Hebel

Zero Trust ist im Kern eine simple, aber unbequeme Idee: Nichts und niemandem automatisch vertrauen – Identitäten müssen geprüft, Rechte begrenzt, Risiken aktiv gemanagt werden. Die Defender-Integration für Teams-Blocks zahlt genau darauf ein:

• Unbekannte oder auffällige externe Identitäten lassen sich schnell aussperren.

• Security-Teams bekommen Feinsteuerung dort, wo sie ohnehin arbeiten: im Defender-Portal.

• Teams-Administration bleibt eingebunden, weil die Einträge in der externen Kommunikationskonfiguration sichtbar sind.

Für den Alltag heißt das: weniger „Wie ist der da reingekommen?“ und mehr „Der kommt da gar nicht rein.“ Und das ist eine sehr angenehme Richtung für jede Sicherheitsstrategie.

Neu im Intranet: Copilot liest mit – und vor 🎧

Ab sofort bekommt unser Intranet eine praktische „Ohren-Option“: Microsoft 365 Copilot erzeugt KI-basierte Audio-Zusammenfassungen für Inhalte in SharePoint (Seiten und News-Beiträge) und in Viva Connections (News-Reader). Damit gibt es über Artikeln und News-Posts einen kurzen Audio-Überblick, der die Kernaussagen vorliest – wie ein Mini-Podcast, nur ohne Intro-Jingle und ohne „Lasst ein Abo da“.
Rollout: Ende Januar bis Ende Februar 2026.

Was bringt mir das im Alltag?

Kurzfassung: Weniger Scrollen, schneller Bescheid wissen.

• Pendeln: Kopfhörer rein, Audio-Überblick an, und schon bist du inhaltlich im Bild, bevor der Zug wieder entscheidet, ob er heute „Betriebsablauf“ kann.

• Multitasking: Während du E-Mails sortierst, unterwegs bist oder zwischen Terminen hängst, kannst du News „nebenbei“ aufnehmen. Microsoft nennt das ausdrücklich als „Listen your way“-Prinzip: weiterarbeiten und trotzdem hören.

• Schneller Kontext: Audio-Overviews liefern eine kompakte Kernaussagen-Version – ideal, um zu entscheiden: „Lese ich das komplett oder reicht mir die Kurzfassung?“

Wo taucht das auf?

Viva Connections (Teams, Desktop oder mobil)

• Audio-Briefings für die Top-News im Viva-Connections-News-Reader: Copilot fasst die Top 10 personalisierten News-Elemente als Audio zusammen.

SharePoint (Intranet)

• Audio-Zusammenfassungen auf SharePoint-Seiten und News-Posts – wenn auf der jeweiligen Site der SharePoint Knowledge Agent aktiviert ist.

Wichtiger Punkt: Es ist nicht „irgendwo im Nirwana“, sondern direkt dort, wo man ohnehin liest: auf der Seite bzw. über dem News-Beitrag.

In welchen Sprachen klappt das?

Microsoft erweitert hier die Sprachunterstützung. Konkret gilt:

• In Viva Connections läuft das Audio-Briefing in der Profil- oder Gerätesprache.

• In SharePoint wird die Audio-Zusammenfassung in der Sprache der Site bzw. der Seite erzeugt.

Heißt praktisch: Wer sein Profil/Endgerät (bzw. die Intranet-Site) auf Deutsch nutzt, bekommt das Feature auch „deutsch denkend und deutsch sprechend“ – sofern die jeweilige Sprache unterstützt ist.

Muss man etwas einrichten?

Die angenehmste Nachricht für alle, die schon genug Schalter am Tag umlegen: Nein.
Das Feature ist standardmäßig aktiviert und erfordert keine Admin-Konfiguration.

Datenschutz & Berechtigungen: Hört Copilot Dinge, die er nicht hören soll?

Nein. Copilot arbeitet innerhalb der bestehenden Berechtigungen:

• Du bekommst Audio-Overviews nur für Inhalte, auf die du ohnehin Zugriff hast.

• Es wird nichts „aus dem Nichts“ erfunden, sondern aus dem vorhandenen Seiteninhalt eine Audio-Zusammenfassung erzeugt. (Die bestehenden SharePoint-/Viva-Einstellungen gelten weiter.)

Praktische Tipps: So nutzt du das im Intranet clever

1. Audio zuerst, Text danach: Höre den Überblick an, entscheide dann, ob du den ganzen Beitrag brauchst. Das spart Zeit – besonders bei langen News.

2. „News-Routine“ bauen: Zwei Minuten Audio am Morgen (oder im Bus) reichen oft, um den wichtigsten Kontext zu haben.

3. Mobil nutzen: Audio ist ideal, wenn du gerade keine Lust auf Mini-Schriftgröße und Daumenakrobatik hast.

4. Sprache prüfen: Wenn dir die Ausgabe „komisch“ vorkommt, prüfe deine Profil-/Gerätesprache (Viva Connections) bzw. die Seitensprache (SharePoint).

Tipp für Führungskräfte: Botschaften barriereärmer platzieren

Audio-Overviews machen wichtige Informationen leichter konsumierbar – gerade für Kollegen, die:

• Inhalte lieber hören als lesen,

• unterwegs sind,

• oder sich durch lange Textwüsten kämpfen müssen.

Das erhöht die Chance, dass Kernbotschaften wirklich ankommen – nicht nur „veröffentlicht“, sondern auch „verstanden“.

Kleiner Realitätscheck (damit niemand später sagt: „Stand aber nicht im Newsletter“)

Die Experience in SharePoint hängt daran, dass auf der Site der SharePoint Knowledge Agent verfügbar/aktiv ist. In Viva Connections betrifft es News im News-Reader für Copilot-lizenzierte Nutzer.

So wird aus Intranet-Lesestoff ein kleines Stück „Intranet-Hörfunk“ – nur ohne Wetterbericht. (Den übernimmt ja schon der Blick aus dem Fenster.)