Microsoft Teams Sicherheit für Collaboration (2025) – wie machst du Zusammenarbeit sicher?

Kurzüberblick:

• Du lernst, wie du externe Zusammenarbeit sicher einrichtest für Gäste oder Externe oder mit Shared Channels.
• Du erfährst, wie Purview Data Loss Prevention Datenverluste verhindert.
• Du bekommst klare Schritte für Meeting-Schutz, Rollen und Richtlinien.
• Du bekommst Use Cases und Produktlösungen wie External User Manager (EUM) und Teams Manager.

In diesem ersten Teil unserer Blogserie werden wir auf die Details der Microsoft Teams-Sicherheit im Zusammenhang mit Aspekten der Zusammenarbeit eingehen. Teil 2 wirft einen tieferen Blick auf die Konfiguration von Compliance-Einstellungen für Microsoft Teams, während Teil 3 weitere, komplexere Einstellungen für die Sicherheit in Microsoft Teams behandelt.

Microsoft Teams Sicherheit: Collaboration

Bevor wir loslegen, beachte bitte, dass all diese Collaboration-Einstellungen deine MS Teams-Umgebung zwar sicherer machen, aber die Zusammenarbeit zwischen den Benutzern erschweren können.

Was ist heute “sichere Zusammenarbeit” in Microsoft Teams?

Sichere Zusammenarbeit heißt: Kontrolle über wer, was und wie Inhalte geteilt werden, plus Schutz von sensiblen Daten in Chats, Channels und Meetings.

Wesentliche Komponenten:

• Microsoft Entra ID / Cross-Tenant Access: Identitäts- und Zugriffsteuerung.
• Gastzugang, Zugang als externer Benutzer, Shared Channels: unterschiedliche Szenarien.
• Microsoft Purview DLP: Richtlinien für Datenverlust in Chats, Channels, Dateien. Hier ein weiterführender Artikel in Microsoft Learn: Data Loss Prevention and Microsoft Teams.
• Teams Meeting-Schutz: z.B. Wasserzeichen, Ende-zu-Ende-Verschlüsselung.
• Governance & Produktlösungen wie External User Manager & Teams Manager für Automatisierung, Reporting, Lebenszyklen.

Für wen gilt das besonders?
IT-Administratoren, Compliance-Verantwortliche, Sicherheitsbeauftragte in Organisationen mit externen Partnern oder mehreren Tenants.

Wie unterscheiden sich externer Zugang, Gastzugangs und Shared Channels konkret?

Option	Szenario	Zugriff & Einschränkung	Steuerung über Einstellungen
Externer Zugang	Externe Domains sollen chatten / anrufen dürfen, aber keine Team- oder Dateifreigaben erhalten	Nur Chat/Anrufe, keine Mitgliedschaft im Team	Teams Admin Center -> External Access; Domain Allow/Block Listen
Gastzugang	Externe Mitarbeitende brauchen Zugriff auf Kanäle, Dateien, Boards etc. innerhalb eines Teams	Voller Zugriff auf Team-Channels und Dateien; Einschränkungen über Gastrollen möglich	Teams Admin Center -> Gastzugang + Entra External Collaboration Settings
Shared Channels (mit B2B Direct Connect)	Externe arbeiten nur in bestimmten Kanälen mit, ohne volle Team-Mitgliedschaft, Tenant-Wechsel vermeiden	Nur Kanalzugriff, kein Zugriff auf das gesamte Team; Nutzer verteilen sich je nach Tenant	Entra External Identities -> Cross-tenant Access Settings, Shared Channels Policy in Teams Admin Center

Wie steuere ich externe Zusammenarbeit über Entra Cross-Tenant Access?

Kurzantwort: Aktiviere Cross-Tenant Einstellungen inbound & outbound, definiere Domänen & Anwendungen, verwalte Richtlinien mit least-privilege.

Schritte zur Umsetzung:

1. In Microsoft Entra Admin Center -> External Identities -> Cross-tenant access settings Domäne oder Tenant hinzufügen. Artikel in Microsoft Learn: Zusammenarbeit mit externern Teilnehmern in freigegebenen Kanälen
2. Inbound- und Outbound-Settings konfigurieren: Nutzer/Gruppen, Anwendungen zulassen.
3. Shared Channels Policy im Teams Admin Center aktivieren: festlegen, wer Shared Channels erstellen darf, wer extern eingeladen werden darf.
4. Kontrolle über Domänenlisten (Allow/Block), MFA/Device Compliance, Sensitivity Labels etc.
5. Monitoring & Reporting: Logs über Cross-Tenant Aktivitäten prüfen, Alerts definieren.

Die einfachere Lösung:
Mit dem External User Manager für M365 Gästemanagement kannst du Lebenszyklen von Gästen automatisieren, Domänen zentral erlauben oder blockieren und Reports über Gastnutzung einsehen. Hier bekommst du eine kostenlose Demo.

Wie verwalte ich Teams Meeting-Einstellungen? – Berechtigungen und Richtlinien

Im Teams Admin Center (https://admin.teams.microsoft.com) kannst du die Meeting-Einstellungen für die Berechtigungen der einzelnen Teilnehmer ändern. Diese können entweder als organisationsweite Vorgabe oder für bestimmte Meetings angewendet werden. Dies ist insbesondere für Besprechungen über die “Jetzt besprechen”-Funktion relevant.

Ändere hier die Einstellungen für

• das Erhalten von Benachrichtigungen für Teilnehmer, die dem Meeting beitreten oder es verlassen
• Teilnehmer, die den Wartebereich überspringen können
• Berechtigungen für Moderatoren im Meeting
• die Stummschaltung von Teilnehmern (ohne die Möglichkeit, die Stummschaltung selbst aufzuheben)

Es gibt zahlreiche Optionen zur Anpassung deiner organisationsweiten Meeting-Einstellungen und Meeting-Richtlinien, die den Rahmen dieses Blog-Artikels sprengen würden. Weitere Informationen findest du in diesen sehr ausführlichen Artikeln von Microsoft hier, hier und hier.

Wie kann ich Rollen für Meetings in Microsoft Teams zuweisen?

Hier zeigen wir dir temporäre Rollen, die du den Teilnehmern eines Meetings geben kannst. Das sorgt für ein sicheres Meeting-Erlebnis. Wie du Teilnehmern Rollen zuteilen und wie du Richtlinien einrichten kannst, wird im Folgenden erläutert.

Welche Rollen in einem Microsoft Teams-Meeting gibt es?

Wenn du ein Meeting organisierst, an dem mehrere Personen teilnehmen, kannst du den Teilnehmern verschiedene Rollen zuweisen, die unterschiedliche Möglichkeiten bieten, zum Meeting beizutragen. Die Rollen werden in drei Gruppen unterteilt: Organisatoren, Moderatoren und Teilnehmer.

Organisatoren und Moderatoren haben Zugriff auf alle Funktionen, während Teilnehmer eine eingeschränktere Rolle haben.

Organisatoren und Moderatoren haben die Kontrolle über das Teilen von Videos. Sie können per Chat oder Sprache kommunizieren, beliebige Teilnehmer entfernen, Benutzer aus der Lobby zulassen, die Live-Übertragung oder Aufzeichnung starten und stoppen, andere Benutzer stummschalten, die Kontrolle über die Präsentationen anderer Teilnehmer erhalten usw.

Die Rolle der Teilnehmer ist darauf beschränkt, ein Video freizugeben, an der Kommunikation teilzunehmen und eine Präsentationsdatei, die von einem anderen Teilnehmer freigegeben wurde, privat anzusehen.

Ändern von Meeting-Rollen

Bevor du den Besprechungsteilnehmern die Rollen zuweist, musst du die Einladungen zur Besprechung verschicken. Nachdem du die Einladungen verschickt hast, gehst du in deinen Kalender und wählst das betreffende Meeting aus. Gehe dann zu den Meeting-Optionen, die eine neue Seite öffnen.

Hier siehst du unter der Überschrift “Wer kann präsentieren?” mehrere Optionen und kannst die vorgesehenen Rollen der Teilnehmer entsprechend aktualisieren.

Bitte beachte: Du musst eine Einladung direkt an die Personen senden, die du als Präsentator auswählen möchtest. Außerdem kannst du keinen Teilnehmer aus einer anderen Organisation als Präsentator auswählen.

Ändern der Rollen während eines Meetings

Es ist auch möglich, die Rollen der Teilnehmer zu ändern, wenn ihr euch mitten in einem Meeting befindet:

• Gehe in den Kalender, wähle das Meeting aus und klicken dann auf “Meeting-Optionen”. Öffne das Dropdown-Menü bei “Wer kann präsentieren?”, um einen neuen Präsentator hinzuzufügen.
• Wähle in den Meeting-Steuerelementen “Teilnehmer anzeigen”, um die Liste aller Meeting-Teilnehmer zu erhalten. Fahre mit dem Mauszeiger über den Namen des Benutzers, dessen Rolle du ändern möchtest, und wähle dann “Weitere Optionen”. Nun kannst du entweder “Zu einem Teilnehmer machen” oder “Zu einem Vortragenden machen” auswählen.

Was muss ich zu Cloud Recordings (Meeting-Aufzeichnungen) wissen?

Die Aufzeichnung von Meetings ist eine praktische Funktion von Microsoft Teams, aber du solltest darauf achten, wo die Daten und Videos gespeichert werden. Außerdem ist es wichtig, die Compliance zu verstehen und die Zustimmung der Teilnehmer einzuholen, bevor man die Videos aufnimmt (was Teams inzwischen automatisch übernimmt).

Wie setzt du Meeting-Schutz um (Wasserzeichen, E2EE, Rollen)?

Kurz gesagt: Wenn Meetings vertraulich sind, verwende Teams-Features wie Wasserzeichen und Ende-zu-Ende-Verschlüsselung. Definiere außerdem Rollen und Meeting-Richtlinien.

Schrittweise Umsetzung:

1. Prüfe, ob dein Tenant für die entsprechenden Funktionen lizenziert ist.
2. Sensitivity Labels einführen, mit Meeting Labels: automatische oder empfohlene Anwendung.
3. Meeting Policies erstellen: Lobby nutzen, Bildschirmfreigabe einschränken, festlegen wer Chat/Dateifreigaben nutzen darf.
4. Wasserzeichen aktivieren bei sensiblen Meetings.
5. E2EE (End-to-End Encryption) für 1:1 oder kleine Gruppenmeetings nutzen, wenn nötig.

Wie aktiviere ich Teams Kanalmoderation?

Bei aktivierter Kanalmoderation haben die Teambesitzer die Kontrolle darüber, wer bestimmte Handlungen in bestimmten Kanälen ausführen darf. Du findest diese Einstellungen, indem du auf die drei Punkte neben dem Namen des Kanals klickst und “Kanal verwalten” auswählen.

Auf diese Weise kann z.B. der Kanal “Allgemein” nur für Ankündigungen genutzt werden, was besonders in Projektteams mit externen Gastbenutzern hilfreich sein kann. Eine weitere Möglichkeit, die Kanalmoderation zu nutzen, besteht darin, nur Diskussionen zu einem bestimmten Thema zuzulassen: Der Teambesitzer kann einen Beitrag starten, und die Teammitglieder können darauf antworten und in den Antworten diskutieren.

Wenn du die Kanalmoderation in Microsoft Teams aktivierst, kann ein Moderator folgende Aufgaben übernehmen:

• Nur der Moderator kann neue Beiträge im Kanal starten.
• Der Moderator kann andere Teammitglieder als Moderatoren hinzufügen oder entfernen. Der Teameigentümer ist jedoch immer als Moderator festgelegt und kann nicht entfernt werden.
• Der Moderator kann entscheiden, ob es Teammitgliedern erlaubt ist, Beiträge anzupinnen.
• Der Moderator kann entscheiden, ob es Teammitgliedern erlaubt ist, auf Beiträge zu antworten.
• Der Moderator kann entscheiden, ob Konnektoren und/oder Bots Beiträge im Kanal posten können.

Was sind Microsoft Teams App-Berechtigungen?

Mit dieser Einstellung kannst du die Microsoft Teams-Apps deiner Organisation im Teams Admin Center verwalten. Admins können Sicherheitseinstellungen für Apps, App-Einrichtungsrichtlinien, Berechtigungsrichtlinien usw. ändern. Mit diesen Einstellungen kannst du die Verwendung von Apps in deiner Organisation kontrollieren.

Dies sind die verfügbaren Optionen:

• Du kannst eine globale organisationsweite Richtlinie festlegen, um zu definieren, welche Apps in der gesamten Organisation verfügbar sind.
• Du kannst individuelle App-Berechtigungsrichtlinien erstellen, um zu definieren, welche Apps für bestimmte Teams oder bestimmte Benutzer verfügbar sind.
• Du kannst auch die wichtigsten Apps deiner Benutzer anheften, um ihnen das Auffinden dieser Apps zu erleichtern.

In diesem Blogartikel erfährst du alles darüber, wie du die Kontrolle über Ihre Microsoft Teams App-Berechtigungsrichtlinien behältst.

Was kann ich mit org-weiten Einstellungen für Microsoft Teams steuern?

Im Teams Admin Center findest du auch eine Reihe von organisationsweiten Einstellungen. Mit ihnen kannst du steuern, welche Benutzer auf deine Umgebung und deine Daten zugreifen dürfen.

Es gibt grundsätzlich zwei Arten von Einstellungen für Personen von außerhalb deiner Organisation: Gastzugang und externer Zugang. Mehr Details zu den Einstellungsmöglichkeiten für den Gastzugriff findest du in diesem Blogartikel.

Wie starte ich die Implementierung des Gastzugangs?

Gastbenutzer haben fast die gleichen Zugriffsmöglichkeiten wie Teammitglieder. Es ist daher wichtig zu verstehen, worin der Unterschied zum externen Zugang besteht.

Für Gastbenutzer kannst du die folgenden Optionen aktivieren oder deaktivieren:

• Gastzugang in Teams insgesamt zulassen oder deaktivieren (die Voreinstellung ist auf “aktiviert” gesetzt)
• Private Anrufe tätigen
• IP-Video zulassen
• Bildschirmfreigabe-Modus
• „Jetzt besprechen“ zulassen
• Gesendete Nachrichten bearbeiten
• Gesendete Nachrichten löschen
• Chatten
• Giphy in Unterhaltungen verwenden
• Giphy Inhalts-Rating
• Memes in Unterhaltungen verwenden
• Verwenden von Stickern in Unterhaltungen
• Immersive Ansicht von Nachrichten zulassen

Behalte die Kontrolle über deine Daten mit dem External User Manager. Mit dem Genehmigungs-Workflow, der Zugriffskontrolle und Reporting kannst du externe Benutzer einfach verwalten.

Und wie starte ich die Implementierung des externen Zugangs?

Der externe Zugang ist bei der Bereitstellung von Teams standardmäßig aktiviert. Administratoren können sich aber natürlich dafür entscheiden, ihn zu deaktivieren.

Wenn du dich entscheidest, den externen Zugang aktiviert zu lassen, hast du mehrere Möglichkeiten, den Grad des Zugriffs zu steuern. Du kannst zum Beispiel jede beliebige Domain zulassen oder sperren. Außerdem kannst du festlegen, ob die Benutzer mit anderen Teams-Benutzern kommunizieren können sollen.

Der Hauptgrund für die Deaktivierung des externen Zugangs ist, nur dort Zugriff zu gewähren, wo er wirklich benötigt wird. Natürlich bedeutet dies mehr Aufwand für die IT und die Admins, aber das höhere Maß an Sicherheit macht dies mehr als wett.

Wie kann ich Daten mit Informationsbarrieren sichern?

Mit Richtlinien zu Informationsbarrieren kannst du verhindern, dass Gruppen und einzelne Benutzer untereinander kommunizieren. Dies ist eine wichtige Komponente, um die Sicherheit von Daten und Informationen in deiner Organisation zu gewährleisten.

Du kannst entweder ein Team daran hindern, mit einem anderen, bestimmten Team zu kommunizieren, oder ein Team daran hindern, mit jedem anderen Team zu kommunizieren.

Normalerweise treten Informationsbarrieren in den folgenden Situationen auf:

• Ein neuer Teilnehmer wird dem Team hinzugefügt.
• Ein neuer Teilnehmer wird zur Teilnahme an einer Besprechung eingeladen.
• Ein Benutzer tätigt einen Telefonanruf (VOIP-Anruf) in Microsoft Teams.
• Ein Benutzer gibt einen Bildschirm frei.
• Ein Benutzer fordert einen neuen Chat an.
• Wenn es Gastbenutzer in Teams gibt.

Wie verhindere ich Datenabfluss in Chats und Kanälen mit Purview DLP?

Die kurze Antwort: Richte Purview DLP Richtlinien ein, die Chats, Kanal-Nachrichten und private Kanäle abdecken; beginne mit Default-Policies und verfeinere weiter durch Klassifikation & Sensitivity Labels.

Anleitung:

1. Lizenzstatus prüfen (z.B. Microsoft 365 E5 oder vergleichbar nötig). Hier gibt es einen Artikel in Microsoft Learn zu Datal Loss Prevention und Microsoft Teams.
2. Im Purview Portal eine DLP Policy anlegen -> Standorte auswählen: Teams Chat & Channel Messages (standard und shared).
3. Sensible Informationstypen definieren (z. B. Kreditkartennummern, personenbezogene Daten, Finanzdaten).
4. Policy Tips aktivieren: Benutzer sehen Hinweise, bevor sie Daten teilen.
5. Testlauf & Monitoring: Alerts konfigurieren, Vorfälle dokumentieren.

Wie verhindere ich Wildwuchs von Teams, Kanälen und Berechtigungen?

Einfach gesagt: Standardisieren durch Vorlagen, Namenskonventionen und Lebenszyklen-Prozesse; Kontrolle von Berechtigungen und Gast-Zugriffen.

Umsetzungsplan:

1. Definiere Namenskonventionen für Teams, Kanäle, Shared Channels.
2. Vorlagen erstellen (z.B. Standard Vorlage je Abteilung) über Teams Manager.
3. Rollen & Richtlinien: wer darf Teams erstellen, wer darf Externe einladen.
4. Periodischer Check für Gäste & Mitglieder (z.B. alle 3-6 Monate).
5. Reporting: Audit Logs (Gast-Aktivitäten, neu erstellte Kanäle, Policy Compliance).

Die Lösung:
Der Teams Manager kümmert sich um Vorlagen, Lebenszyklen und Namenskonventionen; der External User Manager übernimmt spezifisch Gast-Lebenszyklen und -Überprüfungen.

Hol dir hier direkt eine Demo:

• Kostenlose Teams Manager Demo buchen
• Kostenlose External User Manager Demo buchen

Checkliste: Welche 10 Einstellungen solltest du heute prüfen?

1. Cross-Tenant Access (inbound & outbound) für Partner-Tenants.
2. Richtlinien für Shared Channels aktiviert.
3. Gastzugangs-Richtlinie definiert.
4. External Access Domain Allow & Block Konfiguration.
5. Purview DLP-Richtlinie mit Abdeckung für Chats & Kanäle.
6. Sensitivity Labels für Meetings / Artefakte.
7. Meeting-Schutz-Richtlinien: Lobby, Chat, Bildschirmfreigabe.
8. Namenskonvention & Vorlagen vorhanden.
9. Regelmäßiger Check von Gästen / Teams durch Lebenszyklen.
10. Reporting & Monitoring eingerichtet: Logs, Audit, Security Alerts.

FAQ: Die häufigsten Fragen in der Praxis

Nächste Schritte für mehr Sicherheit bei der Zusammenarbeit in Microsoft Teams

• Demo External User Manager anfordern: Gast-Lebenszyklen & Domänen-Steuerung live sehen.

• Demo Teams Manager anfordern: Vorlagen, Namenskonventionen und Governance automatisieren.

Soweit zu den Einstellungen für Microsoft Teams-Sicherheit im Zusammenhang mit Aspekten der Collaboration. Einen Einblick in die Konfiguration von Compliance-Einstellungen für Microsoft Teams findest du in Teil 2 unserer Blog-Serie, während Teil 3 weitere, komplexere Einstellungen für die Sicherheit in Microsoft Teams behandelt.