Microsoft Teams Guest Access explained

Andres Bohren

Hallo zusammen,

In diesem Blog Artikel erkläre ich euch Microsoft Teams Guest Access und wie das genau funktioniert.

Eigentlich ist Teams nur eine andere Präsentationsschicht einer Office 365 Group. Dieses Bild verdeutlicht das recht gut. Der einzige Unterschied ist, dass neue Teams im Globalen Adressbuch nicht mehr sichtbar sind.

Quelle: http://office365updates.nl/everyday-guide-office-365-group-not-office365-groups-vs-microsoftteams/

Die Guest Settings von Office 365 Groups befinden sich hier: Admin Center -> Dienste und Add-Ins -> Office 365 Gruppen.

Wie man sieht, sind in O365 Groups Gäste erlaubt.

Im Teams Admin Center gibt es jedoch noch eine weitere Einstellung: Teams Admin Center -> Organisationsweite Einstellungen -> Gastzugriff.

Ändert man diese Einstellung dauert es eine weile, bis man Gäste einladen kann. Bei mir hat es über eine Stunde gedauert.

In einem Team kann der Owner nun externe Gäste hinzufügen.

Ich füge eine Bluewin.ch, eine Gmail.com und eine Outlook.com Adresse als Gäste hinzu. Für den Owner des Teams ist damit die Arbeit erledigt.

Im Hintergrund werden im Azure Active Directory jedoch Guest Accounts angelegt.

Non Gmail / non Microsoft Account

Mit dem jungfräulichen Bluewin Account schauen wir uns das jetzt an. Der Benutzer erhält eine Email, und klickt auf "Open Microsoft Teams"

Der Benutzer kommt auf einen Dialog, bei dem er das Passwort eingeben muss. Was leider nicht erklärt wird, dass im Hintergrund ein Microsoft Account mit der Emailadresse des Benutzers eröffnet wurde.

Es gibt also noch gar kein Passwort - sofern die Emailadresse noch nicht mit einem Microsoft Account verknüpft wurde.

Der Benutzer muss also auf "Ich habe mein Passwort vergessen" klicken.

Er erhält einen Code, um das Passwort des Microsoft Accounts zurückzusetzen.

Nun kann der Benutzer ein eigenes Passwort für den Microsoft Account vergeben.

Nun kann sich der Benutzer mit dem eben gesetzten Passwort einloggen.

Die folgende Meldung muss man einfach akzeptieren, sonst kann man nicht als Gast an einem Team teilnehmen.

Diese Meldung kommt bei mir, weil ich sehr restriktive Multifaktor Authentication (MFA) Einstellungen auf meinem Tenant gesetzt habe.

Der Einfachheit halber, verwende ich hier im Beispiel einfach die Teams Web-App.

Der Benutzer kann nun in einem Team als Gast mitarbeiten.

Gmail Account

Mit einem Gmail Account funktioniert es ein wenig anders.

Der Benutzer erhält ebenfalls ein Email.

Hier kann sich der Benutzer mit seinem Gmail Passwort einloggen.

Diese Meldung kommt bei mir, weil ich sehr restriktive Multifaktor Authentication (MFA) Einstellungen auf meinem Tenant gesetzt habe.

Der Einfachheit halber, verwende ich hier im Beispiel einfach die Teams Web-App.

Der Benutzer kann nun in einem Team als Gast mitarbeiten.

Microsoft Account (Outlook.com / Hotmail.com)

Bei einem Microsoft Account sieht es ähnlich aus wie beim Gmail Account.

Hier muss sich der Benutzer jedoch nicht mal mehr einloggen (Jedenfalls, wenn er sich so wie ich vorher bei https://outlook.live.com/owa/ angemeldet hat)

Diese Meldung kommt bei mir, weil ich sehr restriktive Multifaktor Authentication (MFA) Einstellungen auf meinem Tenant gesetzt habe.

Der Einfachheit halber, verwende ich hier im Beispiel einfach die Teams Web-App.

Der Benutzer kann nun in einem Team als Gast mitarbeiten.

Azure Active Directory Guest Accounts

Wie bereits erwähnt, werden im Azure Active Directory Guest Accounts eröffnet. Das sieht man ja auch im Office 365 Admin Portal

Im Azure AD ist es noch ein bisschen besser ersichtlich. Auch, dass es sich um "Microsoft Accounts" handelt.

Kann man übrigens auch mit der MSOL PowerShell anzeigen

Get-MsolUser -All | where {$_.UserType -eq "Guest"}

Weitere Informationen:

Grüsse
Andres Bohren