Teams Phone User Multi-Line mit bis zu 10 Nummern

Plus: User-Reported Security Signals im Teams Admin Center und 8-stellige numerische Meeting-Passcodes. Drei Updates, die diesen Monat real im Tenant landen — und drei Stellen, an denen du jetzt aktiv werden solltest.

Executive Summary

Microsoft schiebt im Mai-Schub von Teams gleich drei Themen in die Produktion, die du nicht ignorieren willst. Das Highlight: Teams Phone User Multi-Line geht in die General Availability — ein einzelner Nutzer kann jetzt bis zu 10 Telefonnummern auf einem Teams-Account betreiben (genauer: 1 Primary plus 1 Private plus bis zu 9 Alternate Lines). Damit verabschiedet sich der Workaround aus zweitem Account, Drittsoftware oder dem klassischen Privathandy für Vertriebler, die mit drei Märkten gleichzeitig jonglieren.

Daneben kommt im Teams Admin Center der lange überfällige Protection-Report für User-gemeldete Security-Signale — Phase 1 sind verdächtige Calls, Phase 2 folgt mit Chats und Channels. Endlich siehst du als Admin, was deine Anwender eigentlich melden, statt im Dunkeln zu tappen.

Das dritte Update ist klein, aber politisch heikel: ein Admin-Setting für 8-stellige, rein numerische Meeting-Passcodes. Das ist eine bewusste Lockerung der Default-Sicherheit, damit Großmütter und Werkstattchefs den Code endlich am Telefon diktieren können. Microsoft sagt selbst, dass es nicht den Security-Best-Practices entspricht. Du musst entscheiden, ob du Komfort oder Compliance höher hängst — und es vor allem dokumentieren.

Abb. 1 — Ein Teams-Account, viele Nummern aus unterschiedlichen PSTN-Welten

Worum geht es im Detail? Auch Hintergründe.

Multi-Line — der eigentliche Star der Show

Bisher hattest du genau eine Nummer pro Teams-Phone-Lizenz. Das war fein für den Schreibtischtäter, aber ein Albtraum für jeden, der mehrere Hüte aufhat — Account Manager mit DE-/AT-/CH-Region, Service-Lines, ein CEO der gleichzeitig die Tochterfirma führt, oder die klassische Kanzlei, wo ein Anwalt sechs Mandantengebiete bedient. Lösung war bisher: zweiter Account, doppelte Lizenz, oder eine Call Queue als Pseudo-Identität. Alles unschön, alles fehleranfällig.

Multi-Line räumt damit auf. Microsoft nennt die zusätzlichen Nummern „Alternate Lines“, sie werden technisch sauber über Set-CsPhoneNumberAssignment mit dem Parameter -AssignmentCategory Alternate zugewiesen. Im Teams-Client landen die zusätzlichen Lines als eigene Tabs in der Calls-App. Du wählst per Dropdown („Call As“) welche Nummer du beim Rauswählen ziehst. Eingehende Anrufe an JEDE deiner Nummern klingeln in DEMSELBEN Teams — kein Account-Wechsel, kein Logout, kein Verlust der Konzentration.

Technisch ist das überraschend flexibel: Alternate Lines können aus beliebigen PSTN-Quellen kommen — Calling Plan, Direct Routing, Operator Connect — und sogar aus unterschiedlichen Ländern. Maximal eine Teams Phone Mobile-Nummer (SIM) ist zusätzlich erlaubt. Auch „Soft Numbers“ über Shared Calling Routing-Policies sind möglich. Pro Nummer kannst du eigene Policies fahren: Tenant Dial Plan, Caller-ID, Notrufrouting, Notrufrichtlinie, Online Voice Routing, Dial-Out-Restriction. Damit wird die Alternate Line eine eigenständige Identität, nicht bloß eine zweite Klingelnummer.

Lizenzlogisch ist das fair geregelt: Alternate Lines folgen der gleichen Lizenzanforderung wie die Primary. Hat der User Teams Phone mit Calling Plan, darf jede Alternate aus jedem Pool kommen. Hat er nur Teams Phone, dann eben Direct Routing, Operator Connect oder Teams Phone Mobile, aber kein Calling Plan-Bundle. Klingt streng, hilft aber beim Cost Control.

User-Reported Security Signals — endlich Sichtbarkeit

Das zweite Update klingt nach Admin-Lyrik, ist aber ein echtes Geschenk. Microsoft Defender for Office 365 erlaubt Anwendern schon eine Weile, verdächtige Calls und Nachrichten zu melden. Was bisher fehlte: ein zentraler Blick, WAS gemeldet wurde, WIE OFT und WAS DARAUS WURDE. Genau das kommt jetzt — als „Protection reports“ unter Analytics & Reports im Teams Admin Center.

Phase 1 zeigt dir die gemeldeten Calls — Targeted Release ab Mitte März, GA von Ende April bis Anfang Mai. Phase 2 mit Chats und Channels folgt, ein konkreter Termin steht noch aus. Du bekommst 1-Tages-, 7-Tages- und 30-Tages-Fenster und kannst die Daten exportieren. Voraussetzung: „Report a call“ in den Calling Settings und „Report a security concern“ in den Messaging Settings müssen aktiv sein. Sonst meldet keiner und du siehst nichts.

Wer schon einmal einen Vishing-Versuch im Tenant gesehen hat, weiß warum das wichtig ist. Angreifer rufen aus dem Federations-Trust an, geben sich als IT-Support aus und bitten um Token-Approval. Vorher hattest du Telemetrie nur, wenn Defender selbst zugeschlagen hat. Jetzt siehst du auch die Calls, die ein wachsamer Anwender gemeldet hat — und kannst Trends erkennen, bevor die Welle eskaliert.

8-stellige numerische Passcodes — die bequeme Backdoor

Default ist und bleibt: 8 Zeichen alphanumerisch, vom System generiert. Das ist sicher, aber unbequem — vor allem für Beitritt per Telefon-Einwahl. Microsoft führt mit Set-CsTeamsMeetingPolicy einen neuen Parameter -PasscodeComplexity ein, Werte Default oder NumericOnly. NumericOnly heißt: 8-stelliger Zahlencode. PowerShell-Konfiguration ist seit Mitte März verfügbar, die UI im TAC folgt bis Mai 2026.

Microsoft schreibt selbst, dass numeric-only das Risiko unbefugten Zugriffs erhöht und nicht den Best Practices entspricht. Trotzdem ist die Option da, weil die Realität ist: Wenn der Aufsichtsrat per Festnetz aus dem Hotel teilnimmt und der Passcode „r7K!9zXq“ heißt, läuft die Sitzung nicht. Du musst also pro Meeting-Policy entscheiden, wer 8 Ziffern darf — und wer weiterhin den vollen Komplexitäts-Code bekommt.

Abb. 2 — Wann genau welches Feature im Tenant aufschlägt

Was sind Chancen? Was sind Risiken?

Chancen

Multi-Line ist die eindeutige Verbesserung. Du sparst echte Lizenzen ein — wer bisher mit zwei Teams-Phone-SKUs gearbeitet hat, kommt jetzt mit einer plus Alternate-Nummern aus. Du sparst Hardware, weil das zweite Tischtelefon nicht mehr gebraucht wird. Und du sparst Nerven, weil Anrufer endlich die richtige Caller-ID sehen — das verbessert messbar die Rückrufquote.

Für Vielanrufer in Sales und Service ist Multi-Line ein Effizienzhebel: ein einziges Call History, eine einzige Voicemail-Box, ein einziges Headset. Der mentale Switching-Cost geht gegen Null. In regulierten Branchen (Banking, Anwaltskanzleien, Mandantenbetreuung) lassen sich pro Nummer eigene Caller-ID-Policies setzen — der Mandant sieht die Kanzleidurchwahl, nicht die private Mobilnummer.

Die Security-Signal-Reports im TAC sind ein Reifegradgewinn: Du hast endlich ein operatives Dashboard für die Themen, die deine Anwender aufgespürt haben. Das ist Gold wert für Awareness-Programme — du kannst zeigen „Schau, deine Kollegen haben letzten Monat 23 verdächtige Calls gemeldet, davon waren 17 echt“ und damit das Reporting-Verhalten stärken.

Risiken

Multi-Line ist konfigurations-empfindlich. Notrufstandort pro Nummer ist Pflicht — und MUSS zum Land der Nummer passen. Wenn du einer DE-Nummer eine Berliner Adresse zuweist, aber die Nummer eigentlich aus Wien stammt, geht der nächste Notruf in die falsche Leitstelle. Das ist nicht nur ein Kratzer am Lack, das kann Menschenleben kosten und am Ende auch den IT-Leiter.

Direct-Routing-Nummern brauchen zwingend eine Online Voice Routing Policy und eine Emergency Call Routing Policy AUF DER NUMMER, nicht auf dem User. Vergisst du das, terminiert der Call ins Leere. Und Policies, die auf Nummer-Level gesetzt werden, fallen NICHT auf User-Policies zurück. Stille Fehlkonfiguration ist also der Default-Fehlerzustand.

Call Forwarding wirkt uniform. Wer seine Primary auf einen Delegierten weiterleitet, leitet automatisch auch alle Alternate Lines weiter — bei externen Zielen produziert das je nach Lizenzmodell echte Telefoniekosten. Und Voicemail ist unified: dein VIP-Anrufer auf der Privatnummer landet in derselben Mailbox wie der Telefonverkäufer auf der Vertriebslinie. Ohne Anzeige, welche Nummer angerufen wurde. Trennung nach Identität gibt es im Voicemail-Workflow nicht.

Die numerischen Passcodes sind eine Policy-Entscheidung, kein Bug — aber sie brauchen ein Governance-Statement. Wenn der Vorstandsassistent die Policy für alle aktiviert, weil zwei Aufsichtsratstermine per Festnetz teilnehmen, hat plötzlich der ganze Tenant lockere Codes. Brute-Force-Versuche gegen 10 hoch 8 Möglichkeiten sind nicht trivial, aber auch nicht ausgeschlossen, sobald die Meeting-ID bekannt ist. Numerisch nur dort, wo es wirklich gebraucht wird.

Abb. 3 — Vorher/Nachher: Vielanrufer im Vertrieb mit drei DACH-Nummern

Was müssen wir jetzt schon vorbereiten?

Erstens: Identifiziere deine Multi-Line-Kandidaten. Frag den Vertriebsleiter und den Service-Chef, wer wirklich mit mehreren Identitäten arbeitet. Erwartung: 5-15 Prozent der Teams-Phone-User. Nicht jeder braucht das — der Empfangsmitarbeiter wahrscheinlich nicht, der Account Manager DACH definitiv.

Zweitens: PowerShell auf 7.6.0 oder neuer bringen. Set-CsPhoneNumberAssignment mit -AssignmentCategory Alternate ist die zentrale Cmdlet. Set-CsPhoneNumberPolicyAssignment für die Per-Number-Policies. Get-CsPhoneNumberAssignment und Get-CsPhoneNumberPolicyAssignment für die Inventur. Bau dir ein Inventar-Script, das alle Alternate Lines plus deren Policies in CSV exportiert — das ist deine zukünftige Auditgrundlage.

Drittens: Notrufstandorte pro Land sauber definieren, BEVOR du die erste Alternate Line zuweist. Jede Nummer braucht einen Standort im selben Land. Wer das einmal nachträglich aufräumen muss, lernt seine Lektion durch wirklich schlechte Wochenenden. Bei Operator Connect kann das Setzen des Standorts vom Operator abhängen — vorher klären.

Viertens: Per-Number-Policies vordefinieren. Für jede Region und jeden Business Case eine Caller-ID-Policy, eine Dial-Plan-Policy und — bei Direct Routing — eine Voice-Routing- plus eine Emergency-Call-Routing-Policy. Naming Convention festlegen, sonst hast du in einem Jahr „NewPolicy_Final_v3_use_this“ am Hals.

Fünftens: Die Security-Signal-Reports im TAC sind nutzlos, wenn die Reporting-Buttons nicht aktiv sind. „Report a call“ in den Calling Policies anschalten, „Report a security concern“ in den Messaging Policies. Kommunikation an die Anwender rausschicken, idealerweise mit einem 30-Sekunden-Video „So meldest du verdächtige Anrufe in Teams“. Der Report ist nur so gut wie die Disziplin der Anwender.

Sechstens: Entscheidung zu numerischen Passcodes herbeiführen, dokumentieren, kommunizieren. Drei Wege sind sinnvoll. (a) Tenant-Default bleibt Default, eine separate Meeting-Policy „NumericPasscode-Boardroom“ wird gezielt einzelnen Schedulern zugewiesen. (b) Komplett ablehnen mit Begründung „Security-Best-Practice“. (c) Tenant-weit aktivieren — in der Regel nicht empfehlenswert. Welcher Weg passt, hängt von Branche und Risk Appetite ab — aber er gehört in die Meeting-Governance, nicht in den Bauch des Admins.

Siebtens: Schulung. Multi-Line ist intuitiv, aber das Caller-ID-Dropdown übersieht der Vertriebler beim ersten Anruf. Eine Quick-Reference-Karte mit drei Screenshots reicht. Bei Service-Teams zusätzlich erklären, dass die unified Voicemail-Box keine Anzeige pro Nummer macht — sonst beschweren sich die ersten Anrufer nach drei Tagen.

Wenn du diese sieben Punkte sauber abarbeitest, ist Multi-Line in der zweiten Maihälfte produktiv, ohne dass dir am Montagmorgen ein wütender Bereichsleiter im Büro steht. Der Rest ist Disziplin — und ein bisschen Optimismus, dass Microsoft die Mobile-Lücke noch in diesem Quartal schließt. Bis dahin gilt: Multi-Line ist primär ein Desktop- und Geräte-Feature. Erwartungsmanagement beim Außendienst-Team nicht vergessen.