Mit den Shared Channels (auch «freigegebene Kanäle») erhält Microsoft Teams in den kommenden Wochen das wohl wichtigste neue Feature seit seinem Launch vor etwas mehr als fünf Jahren. Dabei handelt es sich um eine neue Teams-Kanal-Variante, mit der interne und externe Benutzer (und auch ganze Teams) in einem gemeinsamen Kanal zusammengeführt werden können. Shared Channel bringen grosse Vorteile: Sie erlauben eine viel flexiblere Strukturierung von Teams-Umgebungen, reduzieren die Anzahl an benötigten Teams und ermöglichen es darüber hinaus externe Benutzer so einzubinden, dass diese mit ihrem Teams-Client nicht ständig umloggen müssen.
Externe Benutzer nahtlos einbinden
Shared Channels sollen laut Microsoft Benutzern eine nahtlose Zusammenarbeit mit internen und externen Partnern über die Grenzen eines M365-Tenants (die Microsoft-365-Umgebung einer Organisation) hinaus ermöglichen. Das gilt zwar auch für die beiden bisherigen Kanaltypen (Standard und Privat), der grosse Unterschied besteht jedoch darin, dass externe Benutzer nach dem Hinzufügen zu einem Shared Channel direkt aus ihrem Teams-Client auf den Kanal zugreifen können, ohne zwischen ihrem Heim-Tenant und dem Host-Tenant (in dem sie Gast sind) wechseln zu müssen. Dabei sehen die externen Benutzer das Teams-Team (alias Teams-Workspace) in welches sie eingeladen wurden direkt in ihrem Teams-Client. Dabei werden allerdings nur die Kanäle angezeigt, in denen sie Mitglied sind (siehe Bild unten).
Beim bisherigen Verfahren, bei dem externe User über die Gastmitgliedschaft von Microsoft 365 in ein Team integriert werden, ist jeweils ein Wechsel – durch Aus- und Einloggen – zwischen den Tenants notwendig. Dieses für Gäste mühsame Umloggen zwischen verschiedenen Microsoft-Umgebungen war bereits seit Jahren einer der grössten Kritikpunkte von Microsoft Teams.
Angebot: Governance für Microsoft Teams
Benötigen Sie Unterstützung im Bereich Teams-Governance oder möchten Sie eine umfassende Governance-Strategie für Ihre Teams-Infrastruktur entwickeln? Auf meiner Angebotsseite zu «Governance für Microsoft Teams» erfahren Sie mehr!
Ein Shared Channel ist eine Art «Mini Team»
Auch für den firmeninternen Einsatz eröffnen Shared Channels neue Möglichkeiten: Teams-Workspaces können nun viel flexibler strukturiert werden, weil die Mitglieder eines Shared Channels nicht Mitglieder des übergeordneten Teams sein müssen. Ein Shared Channel ist quasi ein eigener kleiner kollaborativer Raum innerhalb eines Teams, sozusagen ein «Mini Team». Shared Channels bestehen aus einem Chat-Kanal und einer Dokumentenablage (basierend auf SharePoint). Wie die anderen Kanalvarianten lassen sich auch die freigegebenen Kanäle über Registerkarten um weitere Anwendungen ergänzen.
Besonders spannend ist, dass mit dem neuen Kanaltyp Querverbindungen zwischen verschiedenen Teams geschaffen werden können. Dadurch lässt sich die Gesamtzahl in einem Unternehmen benötigter Teams stark reduzieren (mehr dazu unten im Abschnitt zur «Strukturierung von Teams-Umgebungen»).
Standard vs. Private vs. Shared Channels
Shared Channels machen die beiden bisherigen Kanaltypen keineswegs überfüssig. Um die Vor- und Nachteile besser verstehen zu können, nachfolgend ein Vergleich zwischen den drei Kanalvarianten:
- Standard Channels: Standardkanäle sind offen für alle Mitglieder und stehen auch allen Gästen eines Teams zur Verfügung.
- Private Channels: Mit den privaten Kanälen lässt sich der Zugriff auf einen Teilbereich von Mitgliedern eines Teams einschränken. Nur diese haben Zugriff auf die Chatnachrichten, Dokumente und Apps des privaten Kanals. Mitglieder und Gäste eines Private Channels müssen zwingend auch Mitglieder des übergeordneten Teams sein.
- Shared Channels (freigegebene Kanäle): Mit den Shared Channels lässt sich der Zugriff flexibel auf bestimmte interne und externe Benutzer einschränken oder erweitern. Diese müssen nicht Mitglied des übergeordneten Teams sein.
Die Unterschiede zwischen den drei Kanalvarianten im Detail (Stand Mai 2022):
Shared Channels aktivieren
Die Shared Channels sind in jedem Tenant (nach erfolgtem Rollout) standardmässig für alle Benutzer aktiviert. Wer den neuen Kanaltyp nicht automatisch, sondern schrittweise für bestimmte Benutzerkreise einführen möchte, kann über die Teams Policies im Teams Admin Center steuern, wer diese benutzen darf. Es stehen drei Einstellungen zur Verfügung:
- Die Erstellung von Shared Channels (für Team-Besitzer) erlauben
- Die Einladung von externen Benutzern zu einem geteilten Kanal im eigenen M365-Tenant erlauben
- Benutzern des eigenen Tenants den Beitritt zu einem Shared Channel eines externen M365-Tenants erlauben
Wichtig: Sollen Shared Channels auch mit externen Organisationen genutzt werden können, müssen dazu in Azure Active Directory die Cross-tenant Access Settings (B2B Direct Connect) konfiguriert werden. Diese sind standardmässig deaktiviert (mehr dazu im Abschnitt «Externe Kollaboration via B2B Direct Connect»).
Shared Channels während der Preview-Phase testen
Wer die Shared Channels bereits während der Preview-Phase austesten möchte, muss dazu in den Teams Update Policies (Teams Update Richtlinien) die Preview-Funktionen aktivieren. Zudem muss der Teams Client in den Preview Mode umgestellt werden (via «…> Info > Public Preview»).
Wie funktionieren Shared Channels?
Shared Channels werden wie die beiden anderen Kanalvarianten über das Kontextmenü des jeweiligen Teams (via «Kanal hinzufügen») erstellt. Nur wer Besitzer eines Teams ist, kann einen neuen Shared Channel erstellen.
Shared Channels kennen zwei Arten von Mitgliedschaften: Die direkte Mitgliedschaft, wenn jemand explizit zum Kanal hinzugefügt wird, und die implizite Mitgliedschaft, bei dem die Membership über die Zugehörigkeit zu einem Team-Workspace geregelt wird. Teams bietet bei der Erstellung eines neuen Shared Channels die Option an, diesen für alle Mitglieder des aktuellen Teams freizugeben. Diese Einstellung ist standardmässig aktiviert und sollte mit Vorsicht eingesetzt werden: Lässt man diese Option eingeschaltet, werden die Mitglieder des aktuellen Teams automatisch dem Shared Channel hinzugefügt. Werden dem Team künftig Mitglieder hinzugefügt oder entfernt, spiegelt sich das ebenfalls in der Mitgliedschaft des Shared Channels wider. Soll die Zugehörigkeit individuell geregelt werden, muss diese Option zwingend deaktiviert und die gewünschten Mitglieder manuell zugefügt werden (siehe Bild unten).
Ownership-Modell
Wie die Private Channels basieren die Shared Channels auf dem Ownership-Modell. Das bedeutet: Ein Shared Channel kann über einen oder mehrere Besitzer verfügen, welche diesen unabhängig vom Team-Besitzer verwalten können. Die Kanalbesitzer können selbstständig neue Kanalmitglieder einladen. Dabei stehen drei unterschiedliche Einladungsarten zur Auswahl:
- Personen: Es können individuell Personen des eigenen M365-Tenants oder von anderen M365-Tenants («External») eingeladen werden. Interne Benutzer eines Shared Channel, lassen sich zum Channel Owner befördern. Externe Benutzer können nicht zum Kanalbesitzer hochgestuft werden.
- Team: Es kann ein ganzes Teams-Team (intern oder extern) eingeladen werden, dabei wird die Einladung an einen Team-Besitzer gesendet und ein Validierungsprozess gestartet. Der adressierte Team-Besitzer kann dann auswählen, welches seiner Teams er dem Kanal zufügen möchte. Anschliessend kann der Besitzer des Shared Channels prüfen, ob das korrekte Team ausgewählt worden ist und dessen Anschluss bestätigen oder ablehnen. Dieser Prozess ist notwendig um zu vermeiden, dass ein eingeladener Team-Besitzer, ein Team auswählt, dessen Einladung nicht beabsichtigt war.
- Team, dessen Besitzer man selber ist: Ein Teams-Besitzer kann eines seiner eigenen Teams, direkt in einen Shared Channel einladen. Der Validierungsprozess wie bei der vorgängigen Einladungsvariante entfällt.
Dynamische Mitgliedschaften
Wichtig zu beachten: Wird ein ganzes Team in einen Shared Channel eingeladen, wird eine dynamische Mitgliedschaft etabliert. Werden später Mitglieder in einem eingeladenen Team hinzugefügt oder von diesem entfernt, erhalten oder verlieren diese automatisch auch im Shared Channel ihre Zugehörigkeit. Das gilt auch für eingeladene Teams aus externen Tenants. Man sollte sich also bewusst sein, dass im Falle von eingebundenen externen Teams immer auch dessen Besitzer eine gewisse Kontrolle darüber haben, wer Zugang zu einem Shared Channel hat. Immerhin liefert die Mitgliedschaftsübersicht eines Kanals einen guten Überblick über alle Teilnehmer eines freigegeben Kanals (siehe Bild unten).
Neue Möglichkeiten bei der Strukturierung einer Teams-Umgebung
Das Teilen von Kanälen zwischen verschiedenen Teams Workspaces eröffnet neue Möglichkeiten bei der Art und Weise wie eine Teams-Umgebung strukturiert werden kann. Ein Shared Channel wird in allen Teams-Workspaces, mit denen er geteilt wurde, eingeblendet und mit einem speziellen Symbol ausgezeichnet (siehe Bild unten).
Ein Beispiel für einen gemeinsamen Kanal zwischen zwei Teams: Das HR-Team möchte beim Onboarding von neuen Mitarbeitenden enger mit der IT-Abteilung zusammenzuarbeiten, um etwa das Bereitmachen neuer Hardware oder das Einrichten von Benutzerkonten besser koordinieren zu können. Statt nun einen neuen, gemeinsamen Teams-Workspace für die HR- und IT-Abteilung aufzuschalten, kann in den beiden bereits bestehenden Teams-Workspaces der Abteilungen der gemeinsame Kanal “IT Onboarding” eingerichtet werden. Über diesen können die beiden Abteilungen die Prozesse koordinieren, ohne dass sie in einen anderen Teams-Workspace wechseln müssen.
Solche Querverbindungen zwischen Teams-Workspaces kann die Anzahl an benötigen Teams erheblich reduzieren. Dabei sind nicht nur bidirektionale Beziehungen, sondern auch Verbindungen zwischen mehreren Teams (bis zu 50) möglich. Ein praktisches Beispiel für eine solche Mehrfach-Beziehung wäre etwa die Etablierung eines Informationskanals durch die IT-Abteilung, über den sie gleich mehrere Teams mit Informationen zu Updates, Systemwartung u.a.m. versorgen kann:
Fehlender Support für Planner, Bots und Moderation
Analog wie bei einem Standard-Kanal kann ein Kanalbesitzer Apps und Registerkarten zu einem Shared Channel hinzufügen. Apps von Drittanbietern benötigen möglicherweise eine Anpassung, vor allem dann, wenn diese von externen Mitgliedern genutzt werden sollen. Bei den von Microsoft stammenden Apps werden derzeit Planner, Stream und Forms noch nicht unterstützt. Auch fehlt derzeit noch der Support für Erweiterungsmöglichkeiten via Bots, Konnektoren und Messaging Extensions. Alle diese Features plant Microsoft zu einem späteren Zeitpunkt nachzureichen.
Im Gegensatz zu den privaten Kanälen, die nur Meet Now-Besprechungen unterstützen, können in gemeinsamen Kanälen sowohl Meet Now- als auch geplante Besprechungen (Scheduled Meetings) abgehalten werden. Das Planen von Kanalmeetings kann allerdings nur von Benutzern des Host-Tenants durchgeführt werden.
Leider fehlt derzeit auch die Möglichkeit, einen Shared Channel in den Moderations-Modus zu versetzen. Dies wäre insbesondere bei einem über mehrere Teams eingesetzten Informationskanals hilfreich, bei dem man verhindern möchte, dass alle Kanalteilnehmer neue Nachrichten absetzen können.
SharePoint im Hintergrund
Wie bei den Private Channels wird auch bei der Erstellung eines Shared Channels im Hintergrund eine eigene SharePoint-Team-Site provisioniert. Diese wird primär für die Ablage von Dokumenten in der von SharePoint zur Verfügung gestellten Dokumentenbibliothek benötigt. Die SharePoint Site des Shared Channels erbt dabei Datenschutz- und Gastzugangs-Einstellungen des eigenen Teams. Diese können auf Site-Ebene nicht überschrieben werden. Wer nicht möchte, dass externe Benutzer auf in der SharePoint-Site gespeicherte Dokumente zugreifen können, muss auf Sensitivity Labels zurückgreifen, um die Dokumente auf interne Zugriffe zu beschränken. Einen Überblick über die einem Team zugeordneten Kanalsites erhält man über das SharePoint-Admin-Interface, indem man dort die Spalte “Kanalsites” einblendet.
Support für Compliance-Features
Laut Microsoft sollen die meisten in Teams zur Verfügung stehenden Compliance-Funktionen auch in Shared Channels zur Verfügung stehen. Dazu gehören neben anderem Sensitivity Labels, Retention Policies, Data Loss Prevention (DLP) oder eDiscovery. Auch die AAD Access Reviews, mit denen sich externe Benutzerzugänge regelmässig prüfen lassen, werden von Shared Channels unterstützt.
Externe Kollaboration via B2B Direct Connect
Die Einbindung von externen Benutzern in Teams wird bislang mit Gast-Accounts bewerkstelligt, welche im Azure Active Directory des Host-Tenants eingetragen und verwaltet wird. Die Grundlage dafür liefert eine Funktion von AAD namens Azure B2B Collaboration.
Für die Shared Channels kommt nun eine neue Technologie zum Einsatz: Azure B2B Direct Connect. Mit diesem Verfahren kann ein externer Benutzer direkt mit den Anmeldedaten seines Heim-Tenants auf Ressourcen im Host-Tenant zugreifen. Die Authentifizierung von Benutzern gegenüber ihrem Heim-Tenant wird auch vom Host-Tenant respektiert, so dass sich diese nicht mehr separat (mit einem eigenen Gastkonto) beim Host-Tenant anmelden müssen. Diese Funktion ermöglicht auch, dass sich Anwender – wie oben beschrieben – im Teams-Client nicht ständig umloggen müssen, wenn sie auf Teams-Ressourcen von externen Tenants (in denen sie Gast sind) zugreifen wollen.
Microsoft Teams ist die erste M365-Anwendung, welche sich Azure B2B Direct Connect zu Nutze macht. Mittelfristig soll die Direct-Connect-Technologie auch in anderen M365-Diensten zum Einsatz kommen und auch dort die lästige Notwendigkeit reduzieren, ständig zwischen verschiedenen Tenants wechseln zu müssen.
Vorerst keine Unterstützung für Microsoft Accounts (MSA)
Gastbenutzer und Azure B2B Collaboration werden in Teams und anderen Microsoft 365-Apps weiterhin eine Rolle spielen. Es ist gibt nach wie vor Vorteile, einen Gast-Account einem Tenant zu haben. Etwa um Mitglied eines ganzen Teams (inkl. aller Kanäle) zu sein oder Anwendungen wie Planner zu nutzen. Zudem unterstützt
Azure B2B Direct Connect derzeit nur Benutzer, welche über ein Azure-AD-Konto eines M365-Tenants verfügen. Das Einbinden von Benutzern mit einem MSA-Konto (Microsoft Account) wird vorerst nicht möglich sein. Es ist jedoch davon auszugehen, dass die Anzahl der in Tenants benötigten Gastkonten mit der Zeit abnehmen wird. Das ist eine positive Entwicklung, weil damit der Verwaltungsaufwand von Gastkonten, welche oft nur über einen kurzen Zeitraum benötigt werden, reduziert wird.
Cross-Tenant Access Settings
Sowohl B2B Collaboration als auch B2B Direct Connect werden im Azure Active Directory, über die neuen Cross-Tenant Access Settings konfiguriert (unter «External Identities» zu finden). Im Gegensatz zu den oben beschriebenen Teams Policies, bei dem die Shared-Channel-Funktionalität standardmässig aktiviert ist, ist der externe Zugang via B2B Direct Connect per default deaktiviert.
Sollen auch externe Personen aus anderen Microsoft-365-Tenants in einen Shared Channel eingeladen werden können, muss eine sogenannte Vertrauensbeziehung (Trust Relationship) zwischen den involvierten Tenants eingerichtet werden. Hierbei muss die Domain oder Tenant-ID der gewünschten Organisationen in eine Liste eingetragen werden. Die Zugriffseinstellungen (sowohl eingehend als auch ausgehend) für die einzelnen Tenants können von den Standardeinstellungen vererbt oder individuell konfiguriert werden. Alternativ lässt sich B2B Direct Connect auch global für alle externen Tenants öffnen. Das spart zwar lästigen Konfigurationsaufwand, wenn neue Tenants in die Liste aufgenommen werden soll, aus Gründen der Sicherheit, ist eine globale Öffnung jedoch nicht unbedingt zu empfehlen.
Administratoren können den tenant-übergreifenden Zugriff für einen anderen Tenant jederzeit widerrufen. Die Benutzer dieses Tenants verlieren dann innerhalb einer Stunde die Zugangsmöglichkeit auf die gemeinsamen Kanäle.
AAD-Premium-Funktionen
Bei AAD-Umgebungen, welche über eine Premium-Abo verfügen, kann der Zugriff nicht nur generell erlaubt, sondern auch individuell auf einzelne Benutzer, Gruppen (Teams) oder Anwendungen beschränkt werden. In Kombination mit den AAD Conditional Access Policies (CAS) lässt sich beispielsweise auch durchsetzen, dass nur externe Konten, welche Multifaktor-Authentifizierung nutzen, auf den eigenen Tenant zugreifen können.
External-Access-Stolperfallen
Damit der externe Zugang zu den Shared Channels korrekt funktioniert, müssen einige wichtige Dinge beachtet werden:
- Beidseitige Konfiguration: B2B Direct Connect muss immer auf beiden Tenants konfiguriert sein. Das bedeutet: Auch die Administratoren von Tenants, aus welchen externe Benutzer eingebunden werden sollen, müssen erst die Cross-Tenant Access Settings so konfigurieren, dass die Zusammenarbeit mit dem einladenden Tenant möglich ist.
- Aktivierter Gästezugang: Der der Gästezugang eines Teams darf nicht deaktiviert sein, ansonsten können auch via B2B Direct Connect keine externen Benutzer in einen Shared Channel eingeladen werden.
- External Access in Teams: In den Einstellungen im Teams Admin Center für den Exernal Access (Benutzer > Externer Zugriff) müssen die Domänen derjenigen Tenants zugelassen sein, mit denen über Shared Channels zusammengearbeitet werden soll.
Fazit
Shared Channels eröffnen enormes Potential, sowohl für die interne als auch die externe Zusammenarbeit in einer Teams-Umgebung. Durch die neuen Möglichkeiten wird der Planungsaufwand für die Strukturierung und Informationsarchitektur der Teams-Workspaces erhöht. Bisherige Teams-Umgebungen müssen allenfalls umstrukturiert werden, um die neuen Vorteile auszureizen. Vor allem bei der Einbindung von externen Benutzern sollte dem Themen Sicherheit, Lifecycle-Management und Governance besonders hohe Aufmerksamkeit geschenkt werden.
