Sicherheit und Microsoft TeamsSecurity and Microsoft Teams

Wichtig

Das Teams-Dienstmodell kann geändert werden, um die Kundenzufriedenheit zu verbessern.The Teams service model is subject to change in order to improve customer experiences. So können beispielsweise die standardmäßigen Ablaufzeiten des Zugriffs- oder Aktualisierungstokens geändert werden, um die Leistung und die Authentifizierungssicherheit für Benutzer von Teams zu verbessern.For example, the default access or refresh token expiration times may be subject to modification in order to improve performance and authentication resiliency for those using Teams. Solche Änderungen würden vorgenommen, um die Sicherheit und Vertrauenswürdigkeit von Teams zu gewährleisten.Any such changes would be made with the goal of keeping Teams secure and Trustworthy by Design.

Microsoft Teams, als Teil der Microsoft 365- und Office 365-Dienste, befolgt alle bewährte Methoden und Verfahren für die Sicherheit, wie z. B. Sicherheit auf Leistungsebene durch umfassende Abwehrmaßnahmen, Kundenkontrolle innerhalb des Dienstes, Sicherheitshärtung und betriebliche Best Practices.Microsoft Teams, as part of the Microsoft 365 and Office 365 services, follows all the security best practices and procedures such as service-level security through defense-in-depth, customer controls within the service, security hardening and operational best practices. Weitere Informationen finden Sie im Microsoft Trust Center.For full details, please see the Microsoft Trust Center.

Vertrauenswürdiges DesignTrustworthy by Design

Teams Online wurde in Übereinstimmung mit dem Microsoft Trustworthy Computing Security Development Lifecycle (SDL) entwickelt, der unter Microsoft Security Development Lifecycle (SDL) beschrieben wird.Teams is designed and developed in compliance with the Microsoft Trustworthy Computing Security Development Lifecycle (SDL), which is described at Microsoft Security Development Lifecycle (SDL). Der erste Schritt beim Erstellen eines sicheren Unified Communications-Systems bestand in der Entwicklung von Gefahrenmodellen und im Testen jedes einzelnen Features während seines Entwurfs.The first step in creating a more secure unified communications system was to design threat models and test each feature as it was designed. Mehrere sicherheitsbezogene Verbesserungen wurden in Codierungsprozess und -methoden integriert.Multiple security-related improvements were built into the coding process and practices. Mit Buildzeittools werden Pufferüberläufe und andere potenzielle Sicherheitsbedrohungen erkannt, bevor der Code in das Endprodukt übernommen wird.Build-time tools detect buffer overruns and other potential security threats before the code is checked in to the final product. Natürlich ist es unmöglich, bereits beim Entwurf alle unbekannten Sicherheitsbedrohungen zu berücksichtigen.Of course, it is impossible to design against all unknown security threats. Kein System kann 100-prozentige Sicherheit garantieren.No system can guarantee complete security. Da bei der Produktentwicklung jedoch von Anfang an sichere Entwurfsprinzipien angewendet wurden, umfasst Teams die branchenüblichen Standardsicherheitstechnologien als grundlegenden Bestandteil seiner Architektur.However, because product development embraced secure design principles from the start, Teams incorporates industry standard security technologies as a fundamental part of its architecture.

Standardmäßig vertrauenswürdigTrustworthy by Default

Die Netzwerkkommunikation in Teams ist standardmäßig verschlüsselt.Network communications in Teams are encrypted by default. Da alle Server Zertifikate verwenden müssen und durch die Verwendung von OAUTH-, TLS- oder SRTP (Secure Real-Time Transport Protocol)-Protokollen sind alle Teams-Daten im Netzwerk geschützt.By requiring all servers to use certificates and by using OAUTH, TLS, Secure Real-Time Transport Protocol (SRTP), all Teams data is protected on the network.

So geht Teams mit allgemeinen Sicherheitsbedrohungen umHow Teams Handles Common Security Threats

Dieser Abschnitt beschreibt die häufigsten Bedrohungen für die Sicherheit des Teams-Dienstes und wie Microsoft jede Bedrohung entschärft.This section identifies the more common threats to the security of the Teams Service and how Microsoft mitigates each threat.

Angriff mit kompromittiertem SchlüsselCompromised-Key Attack

Teams verwendet die PKI-Funktionen des Windows Server-Betriebssystems, um die für die Verschlüsselung für TLS-Verbindungen (Transport Layer Security) verwendeten Schlüsseldaten zu schützen.Teams uses the PKI features in the Windows Server operating system to protect the key data used for encryption for the Transport Layer Security (TLS) connections. Die für die Medienverschlüsselungen verwendeten Schlüssel werden über TLS-Verbindungen ausgetauscht.The keys used for media encryptions are exchanged over TLS connections.

Denial-of-Service-Angriff auf NetzwerkeNetwork Denial-of-Service Attack

Bei einem Denial-of-Service-Angriff werden die normale Netzwerknutzung und -funktion durch legitime Nutzer vom Angreifer verhindert.The denial-of-service attack occurs when the attacker prevents normal network use and function by valid users. Durch einen Denial-of-Service-Angriff eröffnen sich den Angreifern folgende Möglichkeiten:By using a denial-of-service attack, the attacker can:

  • Er kann ungültige Daten an Anwendungen und Dienste senden, die in dem angegriffenen Netzwerk ausgeführt werden, um ihre Funktionsweise zu beeinträchtigen.Send invalid data to applications and services running in the attacked network to disrupt their normal function.
  • Er kann große Datenmengen senden, um das System zu überlasten, bis es nicht mehr oder nur noch verzögert auf legitime Anforderungen reagiert.Send a large amount of traffic, overloading the system until it stops responding or responds slowly to legitimate requests.
  • Er kann die Spuren seines Angriffs vertuschen.Hide the evidence of the attacks.
  • Er kann Benutzer vom Zugriff auf die Netzwerkressourcen abhalten.Prevent users from accessing network resources. Teams mildert diese Angriffe, indem es den Azure DDOS-Netzwerkschutz ausführt und Client-Anforderungen von denselben Endpunkten, Subnetzen und Verbundentitäten einschränkt.Teams mitigates against these attacks by running Azure DDOS network protection and by throttling client requests from the same endpoints, subnets, and federated entities.

AbhörschutzEavesdropping

Abhöraktionen sind Aktionen, bei denen sich Angreifer Zugriff auf den Datenpfad in einem Netzwerk verschaffen und anschließend den Datenverkehr überwachen und lesen können. Dies wird auch als „Schnüffeln“ (auch „Lauschangriff“, englisch Sniffing oder Snooping) bezeichnet. Wenn der Datenverkehr aus reinem Text besteht, können Angreifer ihn lesen, sobald sie Zugriff auf den Pfad haben. Ein Beispiel wäre ein Angriff, bei dem ein Router auf dem Datenpfad kontrolliert wird.Eavesdropping can occur when an attacker gains access to the data path in a network and has the ability to monitor and read the traffic. This is also called sniffing or snooping. If the traffic is in plain text, the attacker can read the traffic when the attacker gains access to the path. An example is an attack performed by controlling a router on the data path.

Teams verwendet gegenseitiges TLS (MTLS) für die Serverkommunikation innerhalb von Microsoft 365 und Office 365, und verwendet zudem TLS von den Clients zum Dienst, wodurch dieser Angriff innerhalb der Zeitspanne, in der eine bestimmte Konversation angegriffen werden könnte, sehr schwierig bis unmöglich wird.Teams uses mutual TLS (MTLS) for server communications within Microsoft 365 and Office 365, and also uses TLS from clients to the service, rendering this attack very difficult or impossible to achieve within the time period in which a given conversation could be attacked. TLS authentifiziert alle Parteien und verschlüsselt den gesamten Datenverkehr.TLS authenticates all parties and encrypts all traffic. Damit können Abhöraktionen nicht verhindert werden, aber Angreifer können den Datenverkehr nicht lesen, es sei denn, die Verschlüsselung geht verloren.This does not prevent eavesdropping, but the attacker cannot read the traffic unless the encryption is broken.

Das TURN-Protokoll wird für Echtzeit-Medienzwecke verwendet.The TURN protocol is used for real time media purposes. Das TURN-Protokoll schreibt keine Verschlüsselung des Datenverkehrs vor, und die von ihm gesendeten Informationen sind durch die Nachrichtenintegrität geschützt.The TURN protocol does not mandate the traffic to be encrypted and the information that it is sending is protected by message integrity. Obwohl es für Lauschangriffe offen ist, können die von ihm gesendeten Informationen (d. h. IP-Adressen und Port) direkt extrahiert werden, indem man einfach die Quell- und Zieladressen der Pakete betrachtet.Although it is open to eavesdropping, the information it is sending (that is, IP addresses and port) can be extracted directly by simply looking at the source and destination addresses of the packets. Der Teams-Service stellt sicher, dass die Daten gültig sind, indem er die Nachrichtenntegrität der Nachricht anhand des Schlüssels überprüft, der aus einigen wenigen Elementen einschließlich eines TURN-Kennworts abgeleitet wurde, das niemals im Klartext gesendet wird.The Teams service ensures that the data is valid by checking the Message Integrity of the message using the key derived from a few items including a TURN password, which is never sent in clear text. SRTP wird für den Medienverkehr verwendet und ist ebenfalls verschlüsselt.SRTP is used for media traffic and is also encrypted.

Identitätsspoofing (Spoofing der IP-Adresse)Identity Spoofing (IP Address Spoofing)

Spoofing liegt vor, wenn Angreifer unbefugt die IP-Adresse eines Netzwerks, Computers oder einer Netzwerkkomponente ermitteln und verwenden.Spoofing occurs when the attacker determines and uses an IP address of a network, computer, or network component without being authorized to do so. Bei einem erfolgreichen Angriff kann der Angreifer sich so verhalten, als sei er der normalerweise durch die IP-Adresse identifizierte Benutzer.A successful attack allows the attacker to operate as if the attacker is the entity normally identified by the IP address.

TLS authentifiziert alle Parteien und verschlüsselt den gesamten Datenverkehr.TLS authenticates all parties and encrypts all traffic. Die Verwendung von TLS hindert einen Angreifer daran, das Spoofing der IP-Adresse für eine bestimmte Verbindung auszuführen (z. B. Mutual TLS-Verbindungen).Using TLS prevents an attacker from performing IP address spoofing on a specific connection (for example, mutual TLS connections). Der Angreifer könnte jedoch die Adresse des DNS-Servers durch Spoofing ermitteln.An attacker could still spoof the address of the DNS server. Da die Authentifizierung in Teams jedoch mittels Zertifikaten erfolgt, verfügen Angreifer nicht über ein gültiges Zertifikat, das für das Spoofing für eine der Kommunikationsparteien notwendig ist.However, because authentication in Teams is performed with certificates, an attacker would not have a valid certificate required to spoof one of the parties in the communication.

Man-in-the-Middle-AngriffMan-in-the-Middle Attack

Von einem "Man-in-the-Middle-Angriff" spricht man, wenn Angreifer die Kommunikation zwischen zwei Nutzern ohne deren Wissen über ihren eigenen Computer leiten.A man-in-the-middle attack occurs when an attacker reroutes communication between two users through the attacker's computer without the knowledge of the two communicating users. Die Angreifer können die übertragenen Daten überwachen und lesen, ehe sie an den eigentlichen Empfänger weitergeleitet werden.The attacker can monitor and read the traffic before sending it on to the intended recipient. Beide Kommunikationspartner senden unwissentlich Daten an die Angreifer und empfangen von ihnen Daten, sind aber dabei in dem Glauben, ausschließlich mit der beabsichtigten Person zu kommunizieren.Each user in the communication unknowingly sends traffic to and receives traffic from the attacker, all while thinking they are communicating only with the intended user. Dies kann passieren, wenn es Angreifern gelingt, die Active Directory-Domänendienste so zu ändern, dass ihr Server als vertrauenswürdiger Server hinzugefügt wird, oder wenn sie den DNS-Eintrag (Domain Name System) so ändern können, dass Clients auf ihrem Weg zum Server über den Computer der Angreifer geleitet werden.This can happen if an attacker can modify Active Directory Domain Services to add his or her server as a trusted server or modify Domain Name System (DNS) to get clients to connect through the attacker on their way to the server.

Man-in-the-Middle-Attacken gegen den Mediendatenverkehr zwischen zwei Endpunkten, die an Teams Audio-, Video- und der Anwendungsfreigabe teilnehmen, werden durch die Verwendung von SRTP zum Verschlüsseln des Mediendatenstroms verhindert.Man-in-the-middle attacks on media traffic between two endpoints participating in Teams audio, video, and application sharing, is prevented by using SRTP to encrypt the media stream. Kryptografische Schlüssel werden zwischen den beiden Endpunkten über ein proprietäres Signalprotokoll (Teams Call Signal Protocol) verhandelt, das einen TLS 1.2 und AES-256 (im GCM-Modus)-verschlüsselten UDP/TCP-Kanal nutzt.Cryptographic keys are negotiated between the two endpoints over a proprietary signaling protocol (Teams Call Signaling protocol) which leverages TLS 1.2 and AES-256 (in GCM mode) encrypted UDP / TCP channel.

RTP Replay-AngriffRTP Replay Attack

Ein Replay-Angriff liegt vor, wenn eine gültige Medienübertragung zwischen zwei Parteien abgefangen und für böswillige Zwecke erneut übertragen wird.A replay attack occurs when a valid media transmission between two parties is intercepted and retransmitted for malicious purposes. Teams verwendet SRTP in Verbindung mit einem sicheren Signalübermittlungsprotokoll, das die Übertragungen vor Angriffen mit Aufzeichnungswiederholung schützt. Mit SRTP können Empfänger einen Index der bereits empfangenen RTP-Pakete erstellen und jedes neue Paket mit den bereits enthaltenen vergleichen.Teams uses SRTP in conjunction with a secure signaling protocol that protects transmissions from replay attacks by enabling the receiver to maintain an index of already received RTP packets and compare each new packet with those already listed in the index.

SpimSpim

Bei Spim handelt es sich um unerwünschte Werbenachrichten per Chat oder Präsenz-Abonnement-Anforderungen, wie Spam, jedoch in Form von Chatnachrichten.Spim is unsolicited commercial instant messages or presence subscription requests, like spam, but in instant message form. Das an sich ist zwar keine Kompromittierung des Netzwerks, aber es ist dennoch mindestens ärgerlich, kann Ressourcenverfügbarkeit und Produktion verringern und möglicherweise zu einer Beeinträchtigung des Netzwerks führen.While not by itself a compromise of the network, it is annoying in the least, can reduce resource availability and production, and can possibly lead to a compromise of the network. Ein Beispiel dafür sind Angreifer, die sich gegenseitig durch das Senden von Anforderungen überbieten.An example of this is users spimming each other by sending requests. Benutzer können sich gegenseitig blockieren, um dies zu verhindern, aber in einem Partnerverbund kann dies schwierig sein, wenn ein koordinierter Spim-Angriff erfolgt, sei denn, Sie deaktivieren den Verbund für den Partner.Users can block each other to prevent this, but with federation, if a coordinated spim attack is established, this can be difficult to overcome unless you disable federation for the partner.

Viren und WürmerViruses and Worms

Ein Virus ist eine Codeeinheit, deren Zweck die Reproduktion zusätzlicher, ähnlicher Codeeinheiten ist.A virus is a unit of code whose purpose is to reproduce additional, similar code units. Ein Virus benötigt, um zu funktionieren, einen Host, z. B. eine Datei, eine E-Mail oder ein Programm.To work, a virus needs a host, such as a file, email, or program. Ähnlich wie ein Virus ist ein Wurm eine Codeeinheit, die für die Reproduktion zusätzlicher, ähnlicher Codeeinheiten codiert ist, aber im Gegensatz zu einem Virus keinen Wirt benötigt.Like a virus, a worm is a unit of code that is coded to reproduce additional, similar code units, but that unlike a virus does not need a host. Viren und Würmer treten vor allem bei Dateiübertragungen zwischen Clients oder beim Versenden von URLs von anderen Benutzern auf.Viruses and worms primarily show up during file transfers between clients or when URLs are sent from other users. Wenn sich ein Virus auf Ihrem Computer befindet, kann er beispielsweise Ihre Identität verwenden und Sofortnachrichten in Ihrem Namen versenden.If a virus is on your computer, it can, for example, use your identity and send instant messages on your behalf. Standardmäßige bewährte Methoden für die Client-Sicherheit, wie z. B. die regelmäßige Überprüfung auf Viren, können dieses Problem entschärfen.Standard client security best practices such as periodically scanning for viruses can mitigate this issue.

Sicherheitsframework für TeamsSecurity Framework for Teams

Dieser Abschnitt enthält eine Übersicht über grundlegende Elemente, die ein Sicherheitsframework für Microsoft Teams bilden.This section gives an overview of fundamental elements that form a security framework for Microsoft Teams.

Die wichtigsten Elemente sind:Core elements are:

  • Azure Active Directory (Azure AD) bietet ein einziges vertrauenswürdiges Back-End-Repository für Benutzerkonten.Azure Active Directory (Azure AD), which provides a single trusted back-end repository for user accounts. Informationen zu Benutzerprofilen werden in Azure AD durch die Aktionen von Microsoft Graph gespeichert.User profile information is stored in Azure AD through the actions of Microsoft Graph.
    • Bitte beachten Sie, dass möglicherweise mehrere Token ausgegeben werden, die bei Verfolgung des Netzwerkdatenverkehrs ggf. angezeigt werden.Be advised that there may be multiple tokens issued which you may see if tracing your network traffic. Dazu gehören Skype-Token, die beim Betrachten des Chats und Audiodatenverkehr möglicherweise in Ablaufverfolgungen angezeigt werden.This includes Skype tokens you might see in traces while looking at chat and audio traffic.
  • Transport Layer Security (TLS) und Mutual TLS (MTLS), die den Chatdatenverkehr verschlüsseln und die Endpunktauthentifizierung aktivieren.Transport Layer Security (TLS), and mutual TLS (MTLS) which encrypt instant message traffic and enable endpoint authentication. Punkt-zu-Punkt-Audio-, Video- und Anwendungsfreigabestreams werden verschlüsselt und die Integrität mithilfe des Secure Real-Time Transport Protocol (SRTP) überprüft.Point-to-point audio, video, and application sharing streams are encrypted and integrity checked using Secure Real-Time Transport Protocol (SRTP). Möglicherweise wird in Ihrem Trace auch OAuth-Datenverkehr angezeigt, insbesondere beim Aushandeln von Berechtigungen beim Wechseln zwischen Registerkarten in Teams, z. B. um von Posts zu Dateien zu wechseln.You may also see OAuth traffic in your trace, particularly around negotiating permissions while switching between tabs in Teams, for example to move from Posts to Files. Ein Beispiel für den OAuth-Ablauf für Registerkarten finden Sie in diesem Dokument.For an example of the OAuth flow for tabs, please see this document.
  • Teams verwenden nach Möglichkeit branchenübliche Protokolle für die Nutzerauthentifizierung.Teams uses industry-standard protocols for user authentication, wherever possible.

In den nächsten Abschnitten werden einige dieser Kerntechnologien erläutert.The next sections discuss some of these core technologies.

Azure Active DirectoryAzure Active Directory

Azure Active Directory fungiert als Verzeichnisdienst für Microsoft 365 und Office 365.Azure Active Directory functions as the directory service for Microsoft 365 and Office 365. Es speichert alle Nutzerverzeichnisinformationen und Richtlinienzuweisungen.It stores all user directory information and policy assignments.

CRL-VerteilungspunkteCRL Distribution Points

Microsoft 365- und Office 365-Verkehr findet über TLS/HTTPS-verschlüsselte Kanäle statt, was bedeutet, dass Zertifikate zur Verschlüsselung des gesamten Verkehrs verwendet werden.Microsoft 365 and Office 365 traffic takes place over TLS/HTTPS encrypted channels, meaning that certificates are used for encryption of all traffic. In Teams müssen alle Serverzertifikate einen oder mehrere CRL(Certificate Revocation List)-Verteilungspunkte enthalten.Teams requires all server certificates to contain one or more Certificate Revocation List (CRL) distribution points. Sperrlisten-Verteilungspunkte sind Standorte, von denen Zertifikatsperrlisten heruntergeladen werden können, um zu prüfen, ob das Zertifikat seit dem Zeitpunkt, an dem es ausgestellt wurde, gesperrt wurde und es sich noch im Gültigkeitszeitraum befindet.CRL distribution points (CDPs) are locations from which CRLs can be downloaded for purposes of verifying that the certificate has not been revoked since the time it was issued and the certificate is still within the validity period. Ein CRL-Verteilungspunkt wird in den Eigenschaften des Zertifikats als URL angegeben und ist sicheres HTTP.A CRL distribution point is noted in the properties of the certificate as a URL and is secure HTTP. Der Teams-Service überprüft die CRL bei jeder Zertifikatauthentifizierung.The Teams service checks CRL with every certificate authentication.

Erweiterte SchlüsselverwendungEnhanced Key Usage

Für alle Komponenten des Teams Services sind alle Serverzertifikate erforderlich, um die Erweiterte Schlüsselverwendung (EKU, Enhanced Key Usage) für die Serverauthentifizierung zu unterstützen.All components of the Teams service require all server certificates to support Enhanced Key Usage (EKU) for the purpose of server authentication. Die Konfiguration des EKU-Felds für die Serverauthentifizierung bedeutet, dass das Zertifikat für den Zweck der Serverauthentifizierung gültig ist.Configuring the EKU field for server authentication means that the certificate is valid for the purpose of authenticating servers. Diese EKU ist wesentlich für MTLS.This EKU is essential for MTLS.

TLS und MTLS für TeamsTLS and MTLS for Teams

TLS- und MTLS-Protokolle bieten verschlüsselte Kommunikation und Endpunktauthentifizierung im Internet.TLS and MTLS protocols provide encrypted communications and endpoint authentication on the Internet. Teams verwendet diese beiden Protokolle, um das Netzwerk vertrauenswürdiger Server zu erstellen und sicherzustellen, dass die gesamte Kommunikation über dieses Netzwerk verschlüsselt ist.Teams uses these two protocols to create the network of trusted servers and to ensure that all communications over that network are encrypted. Die gesamte Kommunikation zwischen Servern erfolgt über MTLS.All communications between servers occur over MTLS. Alle verbleibenden oder älteren SIP-Kommunikationen vom Client zum Server erfolgen über TLS.Any remaining or legacy SIP communications from client to server occur over TLS.

Mit TLS können Nutzer über ihre Client-Software die Teams-Server authentifizieren, mit denen sie eine Verbindung herstellen.TLS enables users, through their client software, to authenticate the Teams servers to which they connect. Bei einer TLS-Verbindung fordert der Client vom Server ein gültiges Zertifikat an.On a TLS connection, the client requests a valid certificate from the server. Um gültig zu sein, muss das Zertifikat von einer Zertifizierungsstelle ausgestellt worden sein, der auch vom Client vertraut wird, und der DNS-Name des Servers muss mit dem DNS-Namen auf dem Zertifikat übereinstimmen.To be valid, the certificate must have been issued by a Certificate Authority (CA) that is also trusted by the client and the DNS name of the server must match the DNS name on the certificate. Wenn das Zertifikat gültig ist, verwendet der Client den öffentlichen Schlüssel im Zertifikat, um die symmetrischen Verschlüsselungsschlüssel, die für die Kommunikation verwendet werden, zu verschlüsseln, sodass nur der ursprüngliche Eigentümer des Zertifikats seinen privaten Schlüssel für die Entschlüsselung der Inhalte der Kommunikation verwenden kann.If the certificate is valid, the client uses the public key in the certificate to encrypt the symmetric encryption keys to be used for the communication, so only the original owner of the certificate can use its private key to decrypt the contents of the communication. Die daraus resultierende Verbindung ist vertrauenswürdig und wird von diesem Punkt an nicht von anderen vertrauenswürdigen Servern oder Clients angezweifelt.The resulting connection is trusted and from that point is not challenged by other trusted servers or clients.

Server-zu-Server-Verbindungen basieren auf gegenseitigem TLS (MTLS) zur gegenseitigen Authentifizierung.Server-to-server connections rely on mutual TLS (MTLS) for mutual authentication. Bei einer MTLS-Verbindung tauschen der Server, von dem eine Nachricht stammt, und der Server, der diese empfängt, Zertifikate von einer beiderseits vertrauenswürdigen Zertifizierungsstelle aus.On an MTLS connection, the server originating a message and the server receiving it exchange certificates from a mutually trusted CA. Die Zertifikate beweisen jedem Server die Identität des anderen.The certificates prove the identity of each server to the other. Im Teams-Dienst wird diese Prozedur befolgt.In the Teams service, this procedure is followed.

TLS und MTLS tragen dazu bei, Abhörvorgänge und Man-in-Middle-Angriffe zu vermeiden.TLS and MTLS help prevent both eavesdropping and man-in-the middle attacks. Ein Man-in-the-Middle-Angriff leitet die Kommunikation zwischen zwei Netzwerkeinheiten ohne Wissen einer der beiden Parteien über den Computer des Angreifers um.In a man-in-the-middle attack, the attacker reroutes communications between two network entities through the attacker's computer without the knowledge of either party. Die TLS- und Teams-Spezifikation vertrauenswürdiger Server entschärft das Risiko eines Man-in-the-Middle-Angriffs auf Anwendungsebene teilweise durch die Verwendung von Verschlüsselung, die mit der Kryptografie mit öffentlichem Schlüssel zwischen den beiden Endpunkten koordiniert wird.TLS and Teams' specification of trusted servers mitigate the risk of a man-in-the middle attack partially on the application layer by using encryption that is coordinated using the Public Key cryptography between the two endpoints. Ein Angreifer müsste über ein gültiges und vertrauenswürdiges Zertifikat mit dem entsprechenden privaten Schlüssel verfügen, das auf den Namen des Dienstes ausgestellt ist, mit dem der Client kommuniziert, um die Kommunikation zu entschlüsseln.An attacker would have to have a valid and trusted certificate with the corresponding private key and issued to the name of the service to which the client is communicating to decrypt the communication.

Hinweis

Die Teams-Daten werden bei der Übertragung und im Ruhezustand in Microsoft-Rechenzentren verschlüsselt.Teams data is encrypted in transit and at rest in Microsoft datacenters. Microsoft verwendet Standardtechnologien wie TLS und SRTP, um alle Daten während der Übertragung zwischen den Geräten der Benutzer und den Microsoft-Rechenzentren sowie zwischen Microsoft-Rechenzentren zu verschlüsseln.Microsoft uses industry standard technologies such as TLS and SRTP to encrypt all data in transit between users' devices and Microsoft datacenters, and between Microsoft datacenters. Dies umfasst Nachrichten, Dateien, Besprechungen und andere Inhalte.This includes messages, files, meetings, and other content. Ruhende Unternehmensdaten in Microsoft-Rechenzentren werden zudem auf eine Weise verschlüsselt, die es Organisationen ermöglicht, Inhalte bei Bedarf zu entschlüsseln, um ihre Sicherheits- und Complianceanforderungen zu erfüllen, z. B. mit eDiscovery.Enterprise data is also encrypted at rest in Microsoft datacenters, in a way that allows organizations to decrypt content if needed, to meet their security and compliance obligations, such as eDiscovery.

Verwenden von DatenverschlüsselungEncryption for Teams

Teams verwendet TLS und MTLS zum Verschlüsseln von Chatnachrichten.Teams uses TLS and MTLS to encrypt instant messages. Der gesamte Server-zu-Server-Datenverkehr erfordert MTLS – unabhängig davon, ob der Datenverkehr auf das interne Netzwerk beschränkt ist oder den internen Netzwerkperimeter überschreitet.All server-to-server traffic requires MTLS, regardless of whether the traffic is confined to the internal network or crosses the internal network perimeter.

In dieser Tabelle werden die von Teams verwendeten Protokolle zusammengefasst.This table summarizes the protocols used by Teams.

*Verschlüsselung des Datenverkehrs _*Traffic Encryption _

_ Datenverkehrstyp*_ Traffic type* Verschlüsselt durchEncrypted by
Server-zu-ServerServer-to-server MTLSMTLS
Client-zu-Server (z. B.Client-to-server (ex. Chat und Anwesenheit)instant messaging and presence) TLSTLS
Medienflüsse (z. B.Media flows (ex. Audio- und Videofreigaben von Medien)audio and video sharing of media) TLSTLS
Audio- und Videofreigaben von MedienAudio and video sharing of media SRTP/TLSSRTP/TLS
SignalisierungSignaling TLSTLS

MedienverschlüsselungMedia Encryption

Mediendatenverkehr wird über Secure RTP (SRTP) verschlüsselt, ein Profil von RTP (Real-Time Transport-Protokoll), das Vertraulichkeit, Authentifizierung und Schutz vor Replay-Angriffen für RTP-Datenverkehr bereitstellt.Media traffic is encrypted using Secure RTP (SRTP), a profile of Real-Time Transport Protocol (RTP) that provides confidentiality, authentication, and replay attack protection to RTP traffic. SRTP verwendet einen Sitzungsschlüssel, der mithilfe eines sicheren Zufallszahlengenerators generiert und über den signalisierenden TLS-Kanal ausgetauscht wird.SRTP uses a session key generated by using a secure random number generator and exchanged using the signaling TLS channel. Der Client-zu-Client-Mediendatenverkehr wird über Client-zu-Server-Verbindungssignale verhandelt, aber beim direkten Client-zu-Client mit SRTP verschlüsselt.Client to Client media traffic is negotiated through a Client to Server connection signaling, but is encrypted using SRTP when going direct Client to Client.

Teams verwendet ein auf Anmeldeinformationen basierendes Token für den sicheren Zugriff auf Medienrelays über TURN.Teams uses a credentials-based token for secure access to media relays over TURN. Medienrelays tauschen das Token über einen TLS-gesicherten Kanal aus.Media relays exchange the token over a TLS-secured channel.

FIPSFIPS

Teams verwendet FIPS (Federal Information Processing Standard) konforme Algorithmen für den Austausch von Verschlüsselungsschlüsseln.Teams uses FIPS (Federal Information Processing Standard) compliant algorithms for encryption key exchanges. Weitere Informationen zur Implementierung von FIPS finden Sie unter FIPS-Publikation 140-2 (Federal Information Processing Standard).For more information on the implementation of FIPS, please see Federal Information Processing Standard (FIPS) Publication 140-2.

Nutzer- und ClientauthentifizierungUser and Client Authentication

Bei einem vertrauenswürdigen Benutzer handelt es sich um eine Person, deren Anmeldeinformationen in Microsoft 365 oder Office 365 von Azure AD authentifiziert wurden.A trusted user is one whose credentials have been authenticated by Azure AD in Microsoft 365 or Office 365.

Authentifizierung bedeutet die Bereitstellung von Benutzeranmeldeinformationen für einen vertrauenswürdigen Server oder Dienst.Authentication is the provision of user credentials to a trusted server or service. Teams verwendet abhängig vom Status und Standort des Benutzers die folgenden Authentifizierungsprotokolle.Teams uses the following authentication protocols, depending on the status and location of the user.

  • Moderne Authentifizierung (MA) ist die Microsoft-Implementierung von OAUTH 2.0 für die Client-Server-Kommunikation.Modern Authentication (MA) is the Microsoft implementation of OAUTH 2.0 for client to server communication. Sie ermöglicht Sicherheitsfunktionen wie MFA (Mehrstufige Authentifizierung) und CA (Bedingter Zugriff).It enables security features such as Multi-Factor Authentication and Conditional Access. Für die Nutzung von MA müssen sowohl der Onlinemandant als auch die Clients für MA aktiviert sein.In order to use MA, both the online tenant and the clients need to be enabled for MA. Die Teams-Clients über PC und Mobilgerät hinweg sowie der Webclient unterstützen alle mehrstufige Authentifizierung.The Teams clients across PC and mobile, as well as the web client, all support MA.

Hinweis

Wenn Sie die Azure AD-Authentifizierungs- und Autorisierungsmethoden auffrischen müssen, helfen die Abschnitte Einführung und "Authentifizierungsgrundlagen in Azure AD" in diesem Artikel.If you need to brush up on Azure AD authentication and authorization methods, this article's Introduction and 'Authentication basics in Azure AD' sections will help.

Die Teams-Authentifizierung erfolgt über Azure AD und OAuth.Teams authentication is accomplished through Azure AD and OAuth. Der Authentifizierungsprozess kann vereinfacht werden:The process of authentication can be simplified to:

  • Benutzeranmeldung> Token-Ausgabe> Nachfolgende Anforderung verwendet ausgegebenes Token.User Login > Token issuance > subsequent request use issued token.

Anforderungen vom Client an den Server werden über Azure AD unter Verwendung von OAuth authentifiziert und autorisiert.Requests from client to server are authenticated and authorized via Azure AD with the use of OAuth. Nutzer mit gültigen Anmeldeinformationen, die von einem Verbundpartner ausgestellt wurden, sind vertrauenswürdig und durchlaufen denselben Prozess wie native Benutzer.Users with valid credentials issued by a federated partner are trusted and pass through the same process as native users. Weitere Einschränkungen können jedoch von Administratoren eingeführt werden.However, further restrictions can be put into place by administrators.

Für die Medienauthentifizierung verwenden die ICE- und TURN-Protokolle auch die Digest-Challenge, wie im IETF TURN RFC beschrieben.For media authentication, the ICE and TURN protocols also use the Digest challenge as described in the IETF TURN RFC.

Windows PowerShell- und Team-VerwaltungstoolsWindows PowerShell and Team Management Tools

In Teams können IT-Administratoren ihren Service über das Microsoft 365 Admin Center oder mithilfe von Tenant Remote PowerShell (TRPS) verwalten.In Teams, IT Admins can manage their service via the Microsoft 365 admin center or by using Tenant Remote PowerShell (TRPS). Mandantenadministratoren verwenden die moderne Authentifizierung, um sich bei TRPS zu authentifizieren.Tenant admins use Modern Authentication to authenticate to TRPS.

Konfigurieren des Zugriffs auf Teams an Ihrer InternetgrenzeConfiguring Access to Teams at your Internet Boundary

Damit Teams ordnungsgemäß funktioniert (damit Nutzer an Besprechungen teilnehmen können usw.), müssen Kunden ihren Internetzugang so konfigurieren, dass ausgehender UDP- und TCP-Verkehr zu Diensten in der Teams-Cloud zulässig ist.For Teams to function properly (for users to be able to join meetings etc.), customers need to configure their internet access such that outbound UDP and TCP traffic to services in the Teams cloud is allowed. Weitere Informationen finden Sie hier: Office 365-URLs und IP-Adressbereiche.For more details, see here: Office 365 URLs and IP address ranges.

UDP 3478-3481 und TCP 443UDP 3478-3481 and TCP 443

Die Ports UDP 3478-3481 und TCP 443 werden von Clients verwendet, um einen Dienst für audiovisuelle Medien anzufordern.The UDP 3478-3481 and TCP 443 ports are used by clients to request service for audio visuals. Ein Client verwendet diese beiden Ports, um UDP- bzw. TCP-Ports zuzuweisen und diese Medienflüsse zu aktivieren.A client uses these two ports to allocate UDP and TCP ports respectively to enable these media flows. Die Medienflüsse an diesen Ports sind mit einem Schlüssel geschützt, der über einen TLS-geschützten Signalisierungskanal ausgetauscht wird.The media flows on these ports are protected with a key that is exchanged over a TLS protected signaling channel.

Verbundsschutz für TeamsFederation Safeguards for Teams

Verbund bietet Ihrer Organisation die Möglichkeit, mit anderen Organisationen zu kommunizieren, um einen Chat und Präsenz zu teilen.Federation provides your organization with the ability to communicate with other organizations to share IM and presence. In Teams ist der Verband standardmäßig aktiviert.In Teams federation is on by default. Mandantenadministratoren können dies jedoch über das Microsoft 365 Admin Center steuern.However, tenant admins have the ability to control this via the Microsoft 365 admin center.

Bewältigung von Bedrohungen für Teams-BesprechungenAddressing Threats to Teams Meetings

Es gibt zwei Möglichkeiten zu steuern, wer an Teams-Besprechungen teilnimmt und wer Zugriff auf die von Ihnen präsentierten Informationen hat.There are two options to control who arrives in Teams meetings and who will have access to the information you present.

  1. Sie können steuern, wer an Ihren Besprechungen teilnimmt, indem Sie Einstellungen für die Lobby vornehmen.You can control who joins your meetings through settings for the lobby.

    Optionen für die Einstellung "Wer kann den Wartebereich umgehen" auf der Seite Besprechungsoptionen"Who can bypass the lobby" setting options available in Meeting options page Benutzertypen, die direkt an der Besprechung teilnehmenUser types joining the meeting directly Benutzertypen, die in den Wartebereich wechselnUser types going to the lobby
    Personen in meinem UnternehmenPeople in my organization – Benutzer innerhalb des Mandanten- In-tenant
    – Gast des Mandanten- Guest of tenant
    – Verbundbenutzer- Federated
    – Anonyme Benutzer- Anonymous
    – Einwahl über Telefonfestnetz- PSTN dial-in
    Personen in meiner Organisation und vertrauenswürdigen OrganisationenPeople in my organization and trusted organizations – Benutzer innerhalb des Mandanten- In-tenant
    – Gast des Mandanten- Guest of tenant
    – Verbundbenutzer- Federated
    – Anonyme Benutzer- Anonymous
    – Einwahl über Telefonfestnetz- PSTN dial-in
    JederEveryone – Benutzer innerhalb des Mandanten- In-tenant
    – Gast des Mandanten- Guest of tenant
    – Anonymer Benutzer im Verbund- Federated Anonymous
    – Einwahl über Telefonfestnetz- PSTN dial-in
  2. Der zweite Weg führt über strukturierte Besprechungen (bei denen Moderatoren alles tun können, was getan werden sollte, und die Teilnehmer haben eine kontrollierte Erfahrung).The second way is through structured meetings (where Presenters can do about anything that should be done, and attendees have a controlled experience). Nach der Teilnahme an einer strukturierten Besprechung steuern die Moderatoren, was die Teilnehmer in der Besprechung tun können.After joining a structured meeting, presenters control what attendees can do in the meeting.

    AktionenActions ModeratorenPresenters TeilnehmerAttendees
    Sprechen Sie und teilen Sie ihr VideoSpeak and share their video JY JY
    Nehmen Sie am Besprechung-Chat teilParticipate in meeting chat JY JY
    Ändern Sie die Einstellungen in den BesprechungsoptionenChange settings in meeting options JY NN
    Andere Teilnehmer stumm schaltenMute other participants JY NN
    Andere Teilnehmer entfernenRemove other participants JY NN
    Inhalte freigebenShare content JY NN
    Andere Teilnehmer aus der Lobby aufnehmenAdmit other participants from the lobby JY NN
    Andere Teilnehmer zu Moderatoren oder Teilnehmern machenMake other participants presenters or attendees JY NN
    Aufnahme starten oder stoppenStart or stop recording JY NN
    Übernehmen Sie die Kontrolle, wenn ein anderer Teilnehmer ein PowerPoint teiltTake control when another participant shares a PowerPoint JY NN

Teams bietet Unternehmensbenutzern die Möglichkeit, Besprechungen in Echtzeit zu erstellen und daran teilzunehmen.Teams provides the capability for enterprise users to create and join real-time meetings. Unternehmensbenutzer können auch externe Nutzer, die kein Azure AD-, Microsoft 365- oder Office 365-Konto haben, zur Teilnahme an diesen Besprechungen einladen.Enterprise users can also invite external users who do not have an Azure AD, Microsoft 365, or Office 365 account to participate in these meetings. Nutzer, die bei externen Partnern mit einer sicheren und authentifizierten Identität beschäftigt sind, können ebenfalls an Besprechungen teilnehmen und, wenn sie dazu gemacht werden, als Moderatorenn fungieren.Users who are employed by external partners with a secure and authenticated identity can also join meetings and, if promoted to do so, can act as presenters. Anonyme Nutzer können keine Besprechungen als Moderator erstellen oder daran teilnehmen. Sie können jedoch nach ihrer Teilnahme zum Moderator gemacht werden.Anonymous users cannot create or join a meeting as a presenter, but they can be promoted to presenter after they join.

Damit anonyme Nutzer an Teambesprechungen teilnehmen können, muss die Einstellung für Teilnehmerbesprechungen im Teams Admin Center aktiviert sein.For Anonymous users to be able to join Teams meetings, the Participants meetings setting in the Teams Admin Center must be toggled on.

Hinweis

Der Begriff anonyme Nutzer bezeichnet Nutzer, die nicht beim Mandanten der Organisation authentifiziert sind.The term anonymous users means users that are not authenticated to the organizations tenant. In diesem Zusammenhang gelten alle externen Nutzer als anonym.In this context all external users are considered anonymous. Zu den authentifizierten Nutzern gehören Mandantenbenutzer und Gastbenutzer des Mandanten.Authenticated users include tenant users and Guest users of the tenant.

Das Aktivieren externer Nutzer zur Teilnahme an Teams-Besprechungen kann sehr nützlich sein, birgt jedoch einige Sicherheitsrisiken.Enabling external users to participate in Teams meetings can be very useful, but entails some security risks. Um diesen Risiken zu begegnen, verwendet Teams die folgenden zusätzlichen Schutzmaßnahmen:To address these risks, Teams uses the following additional safeguards:

  • Teilnehmerrollen bestimmen die Berechtigungen zur Besprechungssteuerung.Participant roles determine meeting control privileges.

  • Mit den Teilnehmertypen können Sie den Zugriff auf bestimmte Besprechungen beschränken.Participant types allow you to limit access to specific meetings.

  • Das Planen von Besprechungen ist auf Nutzer beschränkt, die über ein AAD-Konto und eine Teams-Lizenz verfügen.Scheduling meetings is restricted to users who have an AAD account and a Teams license.

  • Anonyme, dh. nicht authentifizierte Nutzer, die an einer Einwahlkonferenz teilnehmen möchten, wählen eine der Konferenzzugriffsnummern.Anonymous, that is, unauthenticated, users who want to join a dial-in conference, dial one of the conference access numbers. Wenn die Einstellung "Anrufern immer erlauben, die Lobby zu umgehen" aktiviert ist, müssen sie auch warten, bis ein Moderator oder ein authentifizierter Benutzer an der Besprechung teilnimmt.If the "Always allow callers to bypass the lobby" setting is turned On then they also need to wait until a presenter or authenticated user joins the meeting.

    Achtung

    Wenn Sie nicht möchten, dass anonyme Benutzer (nicht explizit eingeladene Benutzer) an einer Besprechung teilnehmen, müssen Sie sicherstellen, dass die Option Anonyme Benutzer können an einer Besprechung teilnehmen für den Besprechungsabschnitt Teilnehmer auf Aus festgelegt ist.If you do not wish for Anonymous users (users you don't explicitly invite) to join a meeting, you need to ensure the Anonymous users can join a meeting is set to Off for the Participant meeting section.

Ein Organisator kann auch Einstellungen konfigurieren, damit Einwählanrufer die erste Person in einer Besprechung sind.It's also possible for an organizer to configure settings to let Dial-in callers be the first person in a meeting. Diese Einstellung wird in den Audiokonferenzeinstellungen für Nutzer konfiguriert und gilt für alle vom Nutzer geplanten Besprechungen.This setting is configured in the Audio Conferencing settings for users and would apply to all meetings scheduled by the user.

Hinweis

Weitere Informationen zum Gast- und externen Zugriff in Teams finden Sie in diesemArtikel.For more information on Guest and External Access in Teams, see this article. Es wird erläutert, welche Funktionen Gast- oder externe Nutzer erwarten können, wenn sie sich bei Teams anmelden.It covers what features guest or external users can expect to see and use when they login to Teams.

Wenn Sie Besprechungen aufzeichnen und eine Berechtigungsmatrix für den Zugriff auf die Inhalte anzeigen möchten, lesen Sie diesen Artikel und dessen Matrix.If you're recording meetings and want to see a permissions matrix around accessing the content, consult this article and its matrix.

TeilnehmerrollenParticipant Roles

Die Besprechungsteilnehmer gliedern sich in drei Gruppen mit jeweils eigenen Privilegien und Einschränkungen:Meeting participants fall into three groups, each with its own privileges and restrictions:

  • Organisator Der Nutzer, der ein Besprechung erstellt, sei es spontan oder durch Terminplanung.Organizer The user who creates a meeting, whether impromptu or by scheduling. Ein Organisator muss ein authentifizierter Mandantenbenutzer sein und die Kontrolle über alle Endbenutzeraspekte einer Besprechungen haben.An organizer must be an authenticated in-tenant user and has control over all end-user aspects of a meeting.
  • Moderator Ein Nutzer, der berechtigt ist, Informationen in einer Besprechung zu präsentieren, unabhängig davon, welches Medium unterstützt wird.Presenter A user who is authorized to present information at a meeting, using whatever media is supported. Ein Besprechungsorganisator ist per Definition auch ein Referent und bestimmt, wer sonst noch ein Referent sein kann.A meeting organizer is by definition also a presenter and determines who else can be a presenter. Ein Organisator kann diese Entscheidung treffen, wenn eine Besprechung geplant ist oder während die Besprechung stattfindet.An organizer can make this determination when a meeting is scheduled or while the meeting is under way.
  • Teilnehmer Ein Nutzer, der zu einer Besprechung eingeladen wurde, aber nicht berechtigt ist, als Moderator zu fungieren.Attendee A user who has been invited to attend a meeting but who is not authorized to act as a presenter.

Ein Referent kann auch einen Teilnehmer während der Besprechung für die Rolle des Referenten befördern.A presenter can also promote an attendee to the role of presenter during the meeting.

TeilnehmertypenParticipant Types

Die Besprechungsteilnehmer werden auch nach Aufenthaltsort und Anmeldeinformationen kategorisiert.Meeting participants are also categorized by location and credentials. Mit diesen beiden Merkmalen können Sie entscheiden, welche Nutzer Zugriff auf bestimmte Besprechungen haben.You can use both of these characteristics to decide which users can have access to specific meetings. Nutzer können grob in die folgenden Kategorien unterteilt werden:Users can be divided broadly into the following categories:

  1. Nutzer, die zum Mandaten gehören Diese Nutzer haben Anmeldeinformationen im Azure Active Directory für den Mandanten.Users that belong to the tenant These users have a credential in Azure Active Directory for the tenant. a.a. Personen in meiner Organisation – Diese Nutzer verfügen über Anmeldeinformationen in Azure Active Directory für den Mandanten.People in my organization – These users have a credential in Azure Active Directory for the tenant. Zu den Personen in meiner Organisation gehören eingeladene Gastkonten.People in my organization includes invited Guest accounts. b.b. Remotebenutzer – Diese Nutzer treten von außerhalb des Unternehmensnetzwerks bei.Remote users – These users are joining from outside the corporate network. Dazu gehören Mitarbeiter, die zu Hause oder unterwegs arbeiten, und andere, wie Mitarbeiter von vertrauenswürdigen Anbietern, denen für ihre Vertragsbedingungen ein Unternehmenszertifikat erteilt wurde.They can include employees who are working at home or on the road, and others, such as employees of trusted vendors, who have been granted enterprise credentials for their terms of service. Remotebenutzer können Besprechungen erstellen und daran teilnehmen und als Moderatoren fungieren.Remote users can create and join meetings and act as presenters. ..
  2. Nutzer, die nicht zum Mandanten gehören Diese Nutzer haben in Azure AD keine Anmeldeinformationen für den Mandanten.Users that do not belong to the tenant These users do not have credentials in Azure AD for the tenant. a.a. Verbundbenutzer – Verbundbenutzer verfügen über gültige Anmeldeinformationen bei Verbundpartnern und werden daher von Teams als authentifiziert behandelt, sind jedoch für den Mandanten des Besprechungsorganisators weiterhin anonym.Federated Users - Federated users have valid credentials with federated partners and are therefore treated as authenticated by Teams, but are still Anonymous to the meeting organizer tenant. Verbundbenutzer können an Besprechungen teilnehmen und nach der Teilnahme an der Besprechung zu Moderatoren gemacht werden. Sie können jedoch keine Besprechungen in Unternehmen erstellen, mit denen sie verbunden sind.Federated users can join meetings and be promoted to presenters after they have joined the meeting, but they can't create meetings in enterprises with which they are federated. b.b. Anonyme Nutzer – Anonyme Nutzer haben keine Active Directory-Identität und sind nicht mit dem Mandanten verbunden.Anonymous Users - Anonymous users do not have an Active Directory identity and are not federated with the tenant.

An vielen Besprechungen sind externe Nutzer beteiligt.Many meetings involve external users. Dieselben Kunden möchten auch die Identität externer Nutzer bestätigen, bevor diese Nutzer an einer Besprechung teilnehmen können.Those same customers also want reassurance about the identity of external users before allowing those users to join a meeting. Im nächsten Abschnitt wird beschrieben, wie Teams den Zugriff auf Besprechungen durch diejenigen Benutzertypen beschränkt, die explizit zugelassen wurden, und dass alle Benutzertypen beim Beitreten einer Besprechung die entsprechenden Anmeldeinformationen vorlegen müssen.The next section describes how Teams limits meeting access to those user types that have been explicitly allowed, and requires all user types to present appropriate credentials when entering a meeting.

TeilnehmereintrittParticipant Admittance

Achtung

Wenn Sie nicht möchten, dass anonyme Benutzer (nicht explizit eingeladene Benutzer) an einer Besprechung teilnehmen, müssen Sie sicherstellen, dass die Option Anonyme Benutzer können an einer Besprechung teilnehmen für den Besprechungsabschnitt Teilnehmer auf Aus festgelegt ist.If you do not wish for Anonymous users (users you don't explicitly invite) to join a meeting, you need to ensure the Anonymous users can join a meeting is set to Off for the Participant meeting section.

In Teams können anonyme Nutzer in einen Wartebereich namens Lobby versetzt werden.In Teams, anonymous users can be transferred to a waiting area called the lobby. Moderatoren können diese Nutzer dann entweder in die Besprechung aufnehmen oder ablehnen.Presenters can then either admit these users into the meeting or reject them. Wenn diese Nutzer in die Lobby übertragen werden, werden der Moderator und die Teilnehmer benachrichtigt, und die anonymen Nutzer müssen warten, bis sie entweder akzeptiert oder abgelehnt werden oder ihre Verbindung abläuft.When these users are transferred to the lobby, the presenter and attendees are notified, and the anonymous users must then wait until they are either accepted or rejected, or their connection times out.

Standardmäßig gehen Teilnehmer, die sich über das PSTN einwählen, direkt zur Besprechung, sobald ein authentifizierter Nutzer der Besprechung beitritt. Diese Option kann jedoch geändert werden, um Einwahlteilnehmer zum Betreten der Lobby zu zwingen.By default, participants dialing in from the PSTN go directly to the meeting once an authenticated user joins the meeting, but this option can be changed to force dial-in participants to go to the lobby.

Besprechungsorganisatoren steuern, ob Teilnehmer an einer Besprechung teilnehmen können, ohne in der Lobby zu warten.Meeting organizers control whether participants can join a meeting without waiting in the lobby. Jede Besprechung kann so eingerichtet werden, dass der Zugriff mit einer der folgenden Methoden möglich ist:Each meeting can be set up to enable access using any one of the following methods:

Die Standardeinstellungen sind:The defaults are:

  • Personen in meiner Organisation – Jeder außerhalb der Organisation wartet in der Lobby, bis er zugelassen wird.People in my Organization - Everyone external to the organization will wait in the lobby until admitted.
  • Personen aus meiner Organisation und vertrauenswürdigen Organisationen – Authentifizierte Nutzer und externe Nutzer aus Teams und Skype for Business-Domänen, die sich in der Liste der externen Zugriffsberechtigungen befinden, können die Lobby umgehen.People from my organization and trusted organizations - Authenticated users and external users from Teams and Skype for Business domains that are in the external access allow list can bypass the lobby. Alle anderen Nutzer warten in der Lobby, bis sie zugelassen werden.All other users will wait in the lobby until admitted.
  • Jeder – Alle Besprechungsteilnehmer umgehen die Lobby, sobald ein authentifizierter Nutzer der Besprechung beigetreten ist.Everyone - All meeting participants bypass the lobby once an authenticated user has joined the meeting.

ReferentenfunktionPresenter Capabilities

Die Organisatoren der Besprechung kontrollieren, ob die Teilnehmer während einer Besprechung anwesend sein können.Meeting organizers control whether participants can present during a meeting. Jede Besprechung kann so eingerichtet werden, dass die Referenten auf einen der folgenden Punkte beschränkt sind:Each meeting can be set up to limit presenters to any one of the following:

  • Personen in meiner Organisation – Alle Mandanten, einschließlich Gäste, können präsentierenPeople in my organization - All in tenant users, including guests, can present
  • Personen in meiner Organisation und vertrauenswürdige Organisationen – Alle Mandantenbenutzer, einschließlich Gäste, können präsentieren, und externe Nutzer aus Teams und Skype for Business-Domänen, die in der Liste der externen Zugriffsberechtigungen aufgeführt sind, können präsentieren.People in my organization and trusted organizations - All in tenant users, including guests, can present and external users from Teams and Skype for Business domains that are in the external access allow list can present.
  • Jeder – Alle Besprechungsteilnehmer sind Moderatoren.Everyone - All meeting participants are presenters.

Ändern, während die Besprechung ausgeführt wirdModify While Meeting is Running

Es ist möglich, die Besprechungsoptionen zu ändern, während eine Besprechung läuft.It's possible to modify the meeting options while a meeting is on-going. Wenn die Änderung gespeichert wird, wirkt sie sich innerhalb von Sekunden auf die laufende Besprechung aus.The change, when saved, will impact the running meeting within seconds. Dies wirkt sich auch auf zukünftige Ereignisse der Besprechung aus.It also effects any future occurrences of the meeting.

Die wichtigsten 12 Aufgaben für Sicherheitsteams zur Unterstützung der Arbeit von zu Hause ausTop 12 tasks for security teams to support working from home

Microsoft Trust CenterMicrosoft Trust Center

Verwalten von Besprechungseinstellungen in Microsoft TeamsManage meeting settings in Microsoft Teams

Optimieren der Microsoft 365- oder Office 365-Konnektivität für Remotebenutzer mithilfe des geteilten VPN-TunnelsOptimize Microsoft 365 or Office 365 connectivity for remote users using VPN split tunneling

Besprechungsaufzeichnungen in Teams, wo Aufzeichnungen gespeichert werden und wer darauf zugreifen kannMeeting recordings in Teams, where recordings are stored, and who can access them