Teams erleichtert Governance: Externe Zusammenarbeit per Voreinstellung steuerbar

Ein Schieberegler für „Wie offen sind wir eigentlich?“

Wer in Teams schon einmal versucht hat, „nur mal eben“ einen externen Partner anzubinden, kennt das:
Externer Zugriff hier, Gastzugriff dort, irgendwo noch B2B Direct Connect, dazu zig Einzel-Settings.
Kurz gesagt: optimale Bedingungen, um sich in der Admin-Oberfläche zu verlaufen.

Microsoft räumt jetzt auf und führt in Teams einen vereinheitlichten Bereich für „External Collaboration“ ein – inklusive vordefinierter Kollaborations-Modi:
Open, Controlled und Custom.

Was ist neu? Externe Zusammenarbeit an einem Ort

Im Teams Admin Center gibt es nun links einen eigenen Bereich „External Collaboration“. Dort landen:

• Überblicksseite mit dem aktuellen „Extern-Status“ des Tenants

• Einstellungen für External Access (Federation, externe Domains)

• B2B Guest Access für klassische Gäste in Teams

• B2B Direct Connect für geteilte Kanäle (Shared Channels)

Der Clou:
Statt sich durch jede Seite einzeln zu klicken, kann der Admin per Assistent einen Modus wählen – und Teams setzt im Hintergrund dutzende Einzelwerte passend.

Die drei Modi im Überblick

Microsoft bietet aktuell zwei Presets plus einen freien Modus:

1. Open – „Wir sind offen, aber nicht naiv“

Open (Mode 1) ist für Organisationen gedacht, die externe Zusammenarbeit breit zulassen wollen – Kunden, Lieferanten, Partner, Joint Ventures, alles im Paket.

In diesem Modus sind u. a. aktiviert:

• Chats, Anrufe, Meetings mit allen externen Domains sowie Teams-Personal-Accounts (Federation / External Access)

• Teams- und Kanal-Zusammenarbeit mit Microsoft- und Nicht-Microsoft-Partnern über klassische B2B-Gäste und B2B Direct Connect

• Shared Channels mit externen Organisationen (Einladen und Beitreten)

• Guest Access in Teams ist grundsätzlich eingeschaltet

Kurz: Open bedeutet eine sehr offene, aber bewusst konfigurierte Kollaborationshaltung – nicht wildwest, aber deutlich „Cloud-first“.

2. Controlled – „Standard-sicher, aber nicht zu“

Controlled (Mode 2) ist der Mittelweg und orientiert sich an den heutigen Standard-Defaults für Enterprise- und Education-Tenants.

Typischer Zuschnitt:

• Chats, Anrufe, Meetings mit allen externen Domains erlaubt

• Shared Channels via B2B Direct Connect nach außen und nach innen jedoch blockiert

• Gäste dürfen in Teams grundsätzlich existieren, aber der direkte Kanal-Sharing-Hebel bleibt zu

Damit können Benutzer problemlos mit externen Personen chatten und Meetings durchführen, aber strukturierte Zusammenarbeit in gemeinsamen Teams/Kanälen bleibt stärker reglementiert.

3. Custom – „Ich will alle Schalter sehen“

Custom richtet sich an Organisationen mit besonderen Anforderungen (KRITIS, streng regulierte Branchen, Konzernstrukturen).

Hier kann der Admin:

• Jede einzelne Einstellung für

  • Gästezugriff

  • Externe Domains

  • Shared Channels (B2B Direct Connect)

  • Meeting- und Chat-Verhalten mit Externen
    manuell konfigurieren

• Auf Wunsch zunächst ein Preset (Open oder Controlled) kopieren und dann feinjustieren

Wichtig: Änderungen in Custom wirken nur auf die globalen, tenantweiten Policies – benutzer- oder gruppenspezifische Sonderpolicies bleiben erhalten.

Was steckt in den Modi drin?

Microsoft gruppiert die Settings in zwei große Blöcke:

1. Wer bekommt Zugriff?

   • Guest Access On/Off

   • B2B Direct Connect: inbound/outbound erlaubt oder blockiert

   • Einladen zu / Beitreten in Shared Channels

   • Externer Chat & Meetings mit Domains / Personal-Accounts

2. Was dürfen Externe tun?

   • Wer darf Meetings registrieren / beitreten (inkl. anonym)

   • Lobby-Bypass-Regeln für externe und anonyme Teilnehmer

   • Meeting-Chat für externe Meetings

   • Ob externe Teilnehmer Inhalte teilen dürfen

   • Ob sie Steuerung anfordern oder geben dürfen

In den Presets sind diese Einstellungen sinnvoll voreingestellt, z. B.:

• In beiden Modi sind externe Meetings und Meeting-Chat standardmäßig breit möglich.

• In Open sind Shared Channels inkl. B2B Direct Connect erlaubt, in Controlled komplett zu.

Damit wird sichtbar: Die Modi sind keine kleine Checkbox, sondern ein Bündel aus Dutzenden Parametern.

Praktischer Nutzen: Weniger Klick-Orgie, mehr Klarheit

Was bringt das Ganze im Alltag?

• Deutlich weniger Einzelfallkonfiguration
  Statt fünf Oberflächen und PowerShell-Skripten entscheidet der Tenant-Admin: „Wir fahren Controlled“ – und ist in Minuten auf einer sauberen Basis.

• Klarere Policies für Admins
  Der Modus ist Teil der „Security Story“:
  „Wir sind ein Controlled-Tenant, Ausnahmen laufen über Custom Policies für definierte Teams oder User-Gruppen.“

• Besser erklärbar für Benutzer
  Einfache Botschaften wie:

  • „Chat mit externen Partnern geht immer, gemeinsame Teams nur mit genehmigten Partnern.“

  • „In unserer Organisation sind Shared Channels mit Externen grundsätzlich möglich/nicht möglich.“

• Schnelleres Onboarding neuer Partner
  Wer im Open-Modus ist oder sauber definierte External-Access-Policies nutzt, kann neue Partner deutlich schneller an die Teams-Kollaboration anbinden.

Kurz: Weniger „Wo war noch mal diese Einstellung?“ und mehr „Wir kennen unser Extern-Profil.“

Grenzen: Warum ein Modus nicht alles löst

So schick der Modus-Schalter ist – er ersetzt keine saubere Sicherheitsstrategie.

Ein paar Stolpersteine:

• Branchenunterschiede
  Ein mittelständischer Maschinenbauer mit globalen Lieferketten hat völlig andere Anforderungen als ein Krankenhaus oder eine Behörde mit NIS2-Pflichten.
  „Open“ kann für den einen sinnvoll, für den anderen brandgefährlich sein.

• Rollen und Schutzbedarf
  In vielen Organisationen gibt es Nutzergruppen, die anders behandelt werden müssen:

  • Vorstand, HR, Finance, Rechtsabteilung

  • SOC / Security, kritische OT-Teams
    Hier braucht es weiterhin feingranulare External-Access-Policies pro Benutzer oder Gruppe, wie sie Microsoft parallel eingeführt hat.

• Gefahr von „zu offen“ oder „zu zu“ auf Knopfdruck
  Ein vorschneller Wechsel auf Open kann ungewollt Türen öffnen, von denen niemand wusste, dass es sie gibt.
  Umgekehrt kann ein übereilter Wechsel auf Controlled Projekte abbremsen, die stark auf Shared Channels mit Partnern setzen.

• Abhängigkeit von Entra-ID- und SharePoint-Einstellungen
  Shared Channels und B2B Direct Connect funktionieren nur, wenn Entra Cross-Tenant Access, SharePoint-Sharing und M365-Groups-Sharing dazu passen.

Der Modus-Schalter ist also ein Governance-Werkzeug, kein Sicherheits-Autopilot.

Strategische Wirkung auf die Teams-Governance

Mit den neuen Modi wird „Externe Zusammenarbeit“ zu einer klar sichtbaren Designentscheidung:

• Der Tenant hat eine definierte Kollaborations-Haltung: Open, Controlled oder Custom.

• Abweichungen werden bewusst als Ausnahme geregelt – nicht mehr als wilde Sammlungen von Einzelsettings.

• Die Kombination mit Metadaten, Sensitivity Labels, DLP und NIS2-Konzept lässt sich besser kommunizieren:
  „Ja, wir sind kollaborativ – aber sensible Daten bleiben durch Klassifizierung und Richtlinien geschützt.“

Gleichzeitig steigt die Verantwortung:
Wer den Schalter bewegt, ändert auf einen Schlag die Spielregeln für Chats, Meetings, Gäste und Shared Channels im gesamten Tenant.

Konkrete Empfehlung: So gehen Sie vor

Zum Schluss ein pragmatischer Fahrplan für Admins und IT-Entscheider:

1. Status quo prüfen

   • Im Teams Admin Center die neue „External Collaboration“-Übersicht aufrufen.

   • Aktuelle Modi, Gastzugriff, Domainlisten und B2B Direct Connect sichten.

   • Optional: Export/Inventur der aktuell verwendeten externen Domains, Gäste und Shared Channels.

2. Zielbild definieren

   • Welche typischen Szenarien haben Sie? Kundenprojekte, Lieferanten, externe Berater, Tochtergesellschaften.

   • Welche Bereiche sind besonders kritisch (z. B. KRITIS, personenbezogene Daten, Geheimhaltungsprojekte)?

   • Daraus ein einfaches Bild ableiten: „Wo wollen wir Open, wo eher Controlled/Custom?“

3. Modus auswählen

   • Viele Organisationen fahren gut mit Controlled als Ausgangspunkt.

   • Stark vernetzte, cloudaffine Unternehmen mit geringem Geheimhaltungsdruck können über Open nachdenken.

   • Konzerne mit stark regulierten Bereichen landen fast automatisch bei Custom.

4. Custom Mode sauber definieren (falls nötig)

   • Am besten: Erst Open oder Controlled wählen, dann „Copy to Custom“ und nur das anpassen, was wirklich anders sein soll.

   • Beispiel: Shared Channels nur für bestimmte Abteilungen, restriktivere Lobby-Regeln für externe Meetings, strengere Kontrolle externer Domains.

5. Ausnahme-Policies etablieren

   • Granulare External-Access-Policies pro Benutzer/Gruppe nutzen, um

     • Pilotbereiche freier zu schalten

     • Hochrisiko-Rollen stärker einzuengen

   • Dazu einen kleinen, sauberen Prozess definieren: Antrag, Freigabe, Dokumentation, regelmäßige Review.

6. Kommunikation an Benutzer

   • Kurz und klar erklären:

     • „Mit wem darf ich chatten?“

     • „Wann nutze ich Gäste, wann Shared Channels, wann schicke ich lieber eine Einladung per E-Mail?“

   • Ein kurzes FAQ im Intranet plus zwei, drei Screenshots aus Teams wirken Wunder.

7. Regelmäßige Überprüfung

   • Mindestens jährlich (besser halbjährlich) im Rahmen der Security- und Compliance-Strategie checken:

     • Passt der Modus noch zur Realität?

     • Sind neue gesetzliche Anforderungen dazugekommen (z. B. NIS2, Kundenverträge)?

     • Haben sich Kollaborationsmuster verändert (mehr Partner, mehr Projekte, mehr internationale Zusammenarbeit)?

Unterm Strich:
Die neuen externen Kollaborations-Modi in Teams sind kein Marketing-Gag, sondern ein ziemlich hilfreiches Steuerpult. Wer es konsequent in seine Governance einbaut, macht externe Zusammenarbeit einfacher erklärbar, schneller einrichtbar und besser kontrollierbar – und schafft nebenbei eine stabile Basis, auf der Copilot & Co. später nicht im Berechtigungschaos versinken.