Teams externe Gäste: Welche Einstellungen bestimmen die Risikoprofile?

Teams-Gastzugang hat drei Ebenen gleichzeitig: Organisationseinstellungen, Team-Einstellungen und Chat-Einstellungen. Hier das mentale Modell, damit du nicht versehentlich alles offenlässt.

Teams-Gäste sind gleichzeitig das praktischste und das risikoreichste M365-Feature. Drei Ebenen bestimmen, was sie dürfen:

1. Organisationsebene (Teams Admin Center)

\n
• Gastzugang global ein/aus.
\n
• Einzelne Funktions-Toggles: Meetings, Chat, Anrufe, Kanäle.
\n
• Empfehlung: alles aktivieren, aber prüfen, was nicht genutzt wird (kann deaktiviert werden).
\n

2. Team-Ebene

\n
• Der Team-Besitzer kann pro Team entscheiden, ob Gäste zugelassen werden.
\n
• Öffentliche Teams sind für alle in deinem Tenant zugänglich – überlege, ob das wirklich beabsichtigt ist.
\n

3. Chat-Ebene (externer Zugang)

\n
• 1-zu-1-Chat mit externen Nutzern, die Teams ebenfalls verwenden.
\n
• Whitelist oder Blacklist für Domains möglich.
\n
• Empfehlung: Whitelist für Partner-Domains, generische Mail-Anbieter blockieren.
\n

Freigegebene Kanäle (separates Feature)

Seit 2022 können Kanäle mit externen Teams-Tenants geteilt werden, ohne eine Gastkopplung zu nutzen. Dies läuft über Teams Connect. Hinweis für Reviews: Prüfe, welche freigegebenen Kanäle existieren und mit wem sie geteilt werden.

Praxistipp

Richte einen monatlichen Alert für „neue Gastbenutzer" ein. In modernen Tenants lässt sich das ganz einfach über die Entra-Auditprotokolle nachverfolgen. Ein plötzlicher Anstieg ist Anlass zu prüfen, was dahintersteckt.

Siehe auch: Grundlagen Gastzugang, M365-Säule.