Authentifizierung für MS Teams in hybriden Netzwerken

Microsoft Teams unterstützt bei der Authentifizierung alle Möglichkeiten, die auch Microsoft 365/Office 365 bietet. Das bedeutet, dass Authentifizierungen für MS Teams nur in der Cloud stattfinden können, also über Azure Active Directory (AAD), aber auch hybrid, zusammen mit Active Directory (AD). Bei hybriden Bereitstellungen ist es möglich, lokale AD-Konten mit Azure AD zu synchronisieren und zusammen mit Microsoft Teams zu nutzen. Für viele Unternehmen spielt auch in Zeiten der umfassenden Cloud-Umstellung das lokale AD und dessen effiziente Pflege eine wichtige Rolle.

Microsoft Teams funktioniert in Windows 10/11 auch ohne AD

Setzen Unternehmen vor allem auf Cloud-Lösungen und wollen verschiedene Dienste in Microsoft 365 und Office 365 authentifizieren, ist Azure AD der bevorzugte Weg. Azure AD steht auch ohne lokale Synchronisierung umfassend zur Verfügung und ermöglicht die umfassende Authentifizierung aller Benutzer über ihre Konten in Azure AD. Mit diesen Konten können sich Anwender an allen Microsoft 365-Diensten anmelden, auch an Teams. Parallel dazu ist es auch möglich, sich an Windows 10/11-Computer und auch an Windows 365 in der Cloud an Azure AD anzumelden und dadurch auch auf Microsoft Teams zuzugreifen.

Auf Microsofts Cloud-PC ist Microsoft Teams bereits vorinstalliert. Die Authentifizierung erfolgt über die Anmeldung an Windows 365 oder über die Teams-App. Auch die Windows-Desktop-App kann in Windows 365 installiert werden, genauso wie in Windows 10/11 ohne Cloud-Anbindung. Nach dem Start der App meldet der Teams-Client den Anwender automatisch mit dem Konto an, mit dem er sich auch an Azure AD angemeldet hat. Das funktioniert problemlos auch ohne AD. 

Die Anmeldung an Microsoft Teams mit einem Azure AD-Konto ohne lokalen AD-Bezug funktioniert auf lokalen Computern mit Windows 10 und Windows 11. Bei der Anmeldung eines lokalen Computers mit Windows 11 an Azure AD ist kein lokales AD notwendig, um sich an Cloud-Ressourcen in Microsoft 365 mit SSO zu authentifizieren. Das funktioniert auf dem gleichen Weg auch in Windows 365. Der Cloud-PC basiert auf Windows 10 oder Windows 11 und bietet die gleichen Möglichkeiten.

Für die Anmeldung am lokalen Computer benötigen Anwender daher ein Konto in Azure AD. Natürlich kann dieses Konto auch über eine Synchronisierung von AD zu Azure AD übertragen werden, das ist aber keine Voraussetzung, es geht auch ohne AD. Das geht am Beispiel von Windows 365 auch mit der Business-Edition, es ist nicht der Einsatz von Windows 365 Enterprise notwendig.

Hybride Bereitstellungen mit Microsoft Teams

Durch die Flexibilität von Microsoft Teams und den restlichen Microsoft 365-Diensten sowie Azure AD, ist es natürlich problemlos möglich, lokale AD-Strukturen mit Azure AD zu hybriden Netzwerken zusammenzufassen. Abhängig von der Konfiguration können in solchen Umgebungen die Anwender entweder von Azure AD oder von AD authentifiziert werden. In diesem Fall ist eine Verzeichnissynchronisierung zwischen Azure AD und AD notwendig. Dazu gehört ein optimal gepflegtes Active Directory, damit sich die Daten fehlerfrei übertragen lassen. Wie die Übertragung funktioniert, haben wir im Beitrag „Azure AD Connect und Azure AD Connect Cloud Sync“ ausführlich besprochen.

Auch der Beitrag „Single-Sign-On in Microsoft 365 nutzen“ durchleuchtet das Thema, wie sich Microsoft 365-Dienste, und damit auch Microsoft Teams, optimal in hybriden Netzwerken betreiben lässt. Um die Synchronisierung mit Azure AD Connect durchzuführen, richten Sie die Synchronisierung ein, wie im Beitrag „Azure AD Connect installieren“ zu lesen ist.

Ob ein Benutzer Zugriff auf Microsoft Teams im Allgemeinen hat, lässt sich im Azure AD Admin Center für das jeweilige Benutzerkonto bei „Lizenzen“ und dann bei der Microsoft 365-Lizenz anpassen, die im Abonnement verknüpft ist.

Berechtigungen in Microsoft Teams steuern

Sobald die Benutzerkonten in Azure AD verfügbar sind, lassen sich diese auch in Microsoft Teams nutzen. Dabei spielt es für Teams zunächst keine Rolle, ob die Benutzerkonten direkt in Azure AD angelegt und berechtigt sind, oder ob die Konten über die Synchronisierung mit einem AD in die Cloud kommen. Sobald das Benutzerkonto in Microsoft 365 verfügbar ist, kann dem Konto in seinen Einstellungen eine Lizenz für Teams zugewiesen werden. Das kann zum Beispiel über das Microsoft 365 Admin Center erfolgen (admin.microsoft.com) oder automatisch in einer IAM-Lösung mit Schnittstelle zu M365 Anwendungen, wie FirstWare IDM-Portal.

Innerhalb des Admin Centers in Microsoft Teams können Admins der Umgebung auch granulare Rechte vergeben, ebenfalls auf Basis der Benutzerkonten in Azure AD und damit in Microsoft 365. Auch hier spielt es keine Rolle, wie die Konten in die Cloud gekommen sind. Einfach ausgedrückt heißt das also, dass Sie Benutzerkonten strukturiert in Ihrem lokalen Active Directory anlegen und mit Azure AD synchronisieren können.

Die Konten verwenden Sie anschließend in Azure AD und Microsoft 365 genauso, wie Konten, die Sie direkt in der Cloud angelegt haben. Es ist in gemischten Umgebungen auch problemlos möglich, Konten zu verwenden, die es ausschließlich in Azure AD gibt, zusammen mit Konten, die über Tools zwischen AD und Azure AD synchronisiert werden. Die Berechtigungen von Microsoft Teams nehmen Sie im Microsoft Teams Admin Center vor (admin.teams.microsoft.com).

Mehrstufige Authentifizierung mit Teams und Microsoft 365

Für die Anmeldung der Benutzerkonten in der Cloud spielt die Sicherheit eine noch wichtigere Rolle, als bei lokalen Anmeldungen. Auch bei synchronisierten Konten kann die Multifaktor-Authentifizierung in Azure AD für Konten in der Cloud aktiviert werden. Die Benutzer könnten auf ihren lokalen Rechnern weiterhin mit ihrem Konto aus Active Directory arbeiten, müssen sich aber in Azure AD mit mehrstufiger Authentifizierung anmelden, sobald das in der Umgebung in Azure AD entsprechend konfiguriert wurde.

Aktivieren der mehrstufigen Authentifizierung für Azure AD, Microsoft 365 und Teams.

Die zweite Anmeldung kann entweder per Code erfolgen, den Microsoft über SMS oder per Telefonanruf überträgt, oder über die kostenlose Microsoft Authenticator-App. Hier besteht der Vorteil, dass Anwender die Anmeldungen nur bestätigen müssen, ohne einen weiteren Code einzugeben. Parallel dazu kann die App auch als Tresor für Anmeldedaten im Internet genutzt werden, und natürlich auch für Multifaktor-Authentifizierungen für die meisten anderen Clouddienste.