Auswirkungen verschiedener Technologien auf die Microsoft Teams-Anmeldung
Wenn Sie wissen müssen, wie sich Technologien wie einmaliges Anmelden (Single Sign-On, SSO), moderne Authentifizierung (MS) und Multi-Factor Authentication (MA) auf die Benutzererfahrung bei der Anmeldung auswirken, helfen Sie in diesem Artikel zu klären, was Benutzer und Administratoren erwarten können. Außerdem werden das Anmeldeverhalten für macOS-, Android- und iOS-Geräte, die Funktionsweise der Anmeldung mit mehreren Konten, das Entfernen automatisch ausgefüllter Anmeldeinformationen oder das "Vorabausfüllen" auf dem Anmeldebildschirm, das Einschränken der Anmeldung und die Vereinfachung der Anmeldeerfahrung mit domänenloser Anmeldung auf freigegebenen und verwalteten mobilen Geräten beschrieben.
Legen Sie ein Lesezeichen für diesen Artikel fest, wenn Ihre Rolle das erwartete Verhalten des Microsoft-Teams während der Anmeldung kennt.
Microsoft Teams- und Windows-Benutzer: Anmeldeempfehlungen
Microsoft empfiehlt Organisationen, aktuelle Versionen von Windows 10 entweder mit hybrider Domänenbeitritts- oder Microsoft Entra Joinkonfiguration zu verwenden. Durch die Nutzung aktueller Versionen wird sichergestellt, dass die Nutzerkonten im Webkonto-Manager von Windows vorbereitet werden, wodurch wiederum die einmalige Anmeldung bei Microsoft Teams und anderen Microsoft-Anwendungen ermöglicht wird. Das einmalige Anmelden bietet eine bessere Benutzererfahrung (automatische Anmeldung) und eine bessere Sicherheitslage.
Microsoft Teams verwendet moderne Authentifizierung, um die Anmeldung einfach und sicher zu gestalten. Um zu erfahren, wie sich Benutzer bei Teams anmelden, lesen Sie bitte Anmelden in Teams.
Auswirkungen der modernen Authentifizierung (MA) auf Ihre Anmeldung: Welche Benutzer sehen, wenn MA aktiviert ist
Die moderne Authentifizierung ist Teil eines Prozesses, bei dem Teams informiert wird, dass Benutzer ihre Anmeldeinformationen – z. B. ihre geschäftliche E-Mail-Adresse und ihr Kennwort – bereits an anderer Stelle eingegeben haben und sie nicht erneut eingeben müssen, um die App zu starten. Die Erfahrung hängt von einigen Faktoren ab, z. B. ob Benutzer in einem Windows-Betriebssystem oder auf einem Mac arbeiten.
Das Anmeldeverhalten hängt auch davon ab, ob Ihr organization die einstufige Authentifizierung oder die mehrstufige Authentifizierung aktiviert hat. Die mehrstufige Authentifizierung umfasst in der Regel die Überprüfung von Anmeldeinformationen über ein Telefon, die Bereitstellung eines eindeutigen Codes, das Eingeben einer PIN oder die Verwendung eines Fingerabdrucks.
Die moderne Authentifizierung ist für alle Organisationen verfügbar, die Microsoft Teams verwenden. Wenn Benutzer den Prozess nicht abschließen können, liegt möglicherweise ein Problem mit der Microsoft Entra Konfiguration Ihres organization vor. Weitere Informationen finden Sie unter Wieso habe ich Probleme bei der Anmeldung bei Microsoft Teams?
Hier sehen Sie einen Überblick über das Verhalten, das Benutzer bei jedem modernen Authentifizierungsszenario erwarten können.
Wenn Sich Benutzer bereits mit ihrem Geschäfts-, Schul- oder Unikonto bei Windows oder anderen Office-Apps angemeldet haben, werden sie beim Starten von Teams direkt zur App weitergeleitet. Sie müssen ihre Anmeldeinformationen nicht eingeben.
Microsoft empfiehlt die Verwendung Windows 10 Version 1903 oder höher, um das einmalige Anmelden optimal zu nutzen.
Wenn Benutzer an keiner anderen Stelle bei ihrem Microsoft-Geschäfts-, Schul- oder Unikonto angemeldet sind, werden sie beim Starten von Teams aufgefordert, entweder eine einstufige oder mehrstufige Authentifizierung (SFA oder MFA) bereitzustellen. Dieser Vorgang hängt davon ab, was Ihre Organisation für den Anmeldeprozess festgelegt hat.
Wenn Benutzer bei einem domänengebundenen Computer angemeldet sind, werden sie beim Start von Teams möglicherweise aufgefordert, einen weiteren Authentifizierungsschritt durchzuführen, je nachdem, ob sich Ihre Organisation für MFA entschieden hat oder ob ihr Computer bereits MFA zum Anmelden erfordert. Wenn ihr Computer bereits MFA zur Anmeldung erfordert, startet die App automatisch, wenn sie Teams öffnen.
Wenn einmaliges Anmelden auf in die Domäne eingebundenen PCs nicht möglich ist, kann Teams den Anmeldebildschirm mit dem Benutzerprinzipalnamen (USER Principal Name, UPN) vorab ausfüllen. Es gibt Fälle, in denen Sie dies möglicherweise nicht wünschen, insbesondere wenn Ihr organization lokal und in Microsoft Entra ID verschiedene UPNs verwendet. In diesem Fall können Sie den folgenden Windows-Registrierungsschlüssel verwenden, um die Vorabauffüllung des UPN zu deaktivieren:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\Teams
SkipUpnPrefill(REG_DWORD)
0x00000001 (1)Hinweis
Das Überspringen oder Ignorieren der Benutzernamenvorausfüllung für Benutzernamen, die auf ".local" oder ".corp" enden, ist standardmäßig aktiviert, sodass Sie keinen Registrierungsschlüssel festlegen müssen, um diese zu deaktivieren.
Microsoft Teams-Anmeldung bei einem anderen Konto auf einem in die Domäne eingebundenen Computer
Benutzer auf einem Computer, der einer Domäne beigetreten ist, können sich möglicherweise nicht bei Teams mit einem anderen Konto in der gleichen Active Directory-Domäne anmelden.
macOS-Benutzer und Microsoft Teams-Anmeldeaufforderungen
Unter macOS fordert Teams Benutzer auf, ihren Benutzernamen und ihre Anmeldeinformationen einzugeben, und fordert möglicherweise abhängig von den Einstellungen Ihrer organization zur mehrstufigen Authentifizierung auf. Sobald die Benutzer ihre Anmeldeinformationen eingegeben haben, werden sie nicht mehr aufgefordert, sie erneut anzugeben. Von diesem Zeitpunkt an startet Teams automatisch, wenn sie am gleichen Computer arbeiten.
Microsoft Teams-Anmeldung für iOS- und Android-Benutzer
Bei der Anmeldung sehen Benutzer von Mobilgeräten eine Liste aller Microsoft 365-Konten, bei denen sie entweder aktuell angemeldet sind oder zuvor auf ihrem Gerät angemeldet waren. Die Benutzer können auf eines der Konten tippen, um sich anzumelden. Es gibt zwei Szenarien für die Anmeldung auf Mobilgeräten:
Wenn das ausgewählte Konto derzeit bei anderen Office 365- oder Microsoft 365-Apps angemeldet ist, wird der Benutzer direkt zu Teams weitergeleitet. In diesem Fall muss er seine Anmeldeinformationen nicht eingeben.
Wenn der Benutzer an keiner anderen Stelle bei seinem Microsoft 365-Konto angemeldet ist, wird er aufgefordert, eine einstufige oder mehrstufige Authentifizierung (Single-Factor Authentication, SFA oder MFA) bereitzustellen, je nachdem, welche organization für Mobile-Anmelderichtlinien konfiguriert sind.
Hinweis
Damit Benutzer die in diesem Abschnitt beschriebene Anmeldung nutzen können, müssen auf ihren Geräten Teams für iOS Version 2.0.13 (Build 2020061704) oder höher oder Teams für Android Version 1416/1.0.0.2020061702 oder höher ausgeführt werden.
Verwenden von Microsoft Teams mit mehreren Konten
Teams für IOS und Android unterstützt die parallele Verwendung mehrerer Geschäfts- oder Schulkonten sowie mehrerer persönlichen Konten. Teams-Desktopanwendungen unterstützen ab Dezember 2020 ein Geschäfts-/Schulkonto und ein persönliches Konto nebeneinander. Die Unterstützung für mehrere Geschäfts-/Schulkonten wird zu einem späteren Zeitpunkt folgen.
Die folgenden Bilder zeigen, wie Benutzer in Microsoft Teams-Anwendungen für Mobilgeräte mehrere Konten hinzufügen können.
Einschränken der Anmeldung bei Microsoft Teams
Die Organisation möchte möglicherweise einschränken, wie vom Unternehmen genehmigte Apps auf verwalteten Geräten verwendet werden, z. B. um die Fähigkeit von Schülern oder Mitarbeitern zu beschränken, auf Daten aus anderen Organisationen zuzugreifen oder vom Unternehmen genehmigte Apps für persönliche Szenarien zu verwenden. Diese Einschränkungen können erzwungen werden, indem Geräterichtlinien festgelegt werden, die von Teams-Anwendungen erkannt werden.
Einschränken der Microsoft Teams-Anmeldung auf mobilen Geräten
Die Teams-App für iOS und Android auf registrierten Geräten kann so konfiguriert werden, dass nur ein einzelnes Unternehmenskonto innerhalb der App bereitgestellt werden kann. Diese Funktion funktioniert mit jedem MDM-Anbieter, der den Managed App Configuration-Kanal für iOS oder den Android Enterprise-Kanal für Android verwendet.
Für Benutzer, die bei Microsoft Intune registriert sind, können Sie die Kontokonfigurationseinstellungen über das Intune-Portal bereitstellen.
Sobald die Kontoeinrichtungskonfiguration beim MDM-Anbieter festgelegt sind und nachdem der Benutzer das Gerät registriert hat, wird Microsoft Teams für iOS und Android auf der Teams-Anmeldeseite nur noch die erlaubten Konten anzeigen. Der Benutzer kann auf jedes der zulässigen Konten auf dieser Seite tippen, um sich anzumelden.
Legen Sie die folgenden Konfigurationsparameter im Azure Intune-Portal für verwaltete Geräte fest.
Plattform | Key | Wert |
---|---|---|
iOS | IntuneMAMAllowedAccountsOnly |
Enabled: Das einzige zulässige Konto ist das über den IntuneMAMUPN-Schlüssel definierte verwaltete Benutzerkonto. Deaktiviert (oder ein beliebiger Wert, bei dem die Groß-/Kleinschreibung nicht beachtet wird, übereinstimmung mit Aktiviert): Jedes Konto ist zulässig. |
iOS | IntuneMAMUPN | Der UPN des Kontos, das für die Anmeldung bei Microsoft Teams zulässig ist. Bei in Intune registrierten Geräten kann das {{userprincipalname}}-Token zur Darstellung des registrierten Benutzerkontos verwendet werden. |
Android | com.microsoft.intune.mam.AllowedAccountUPNs | Die einzigen zulässigen Konten sind die durch diesen Schlüssel definierten verwalteten Benutzerkonten. Ein oder mehrere durch Semikolons [;] getrennte UPNs. Bei in Intune registrierten Geräten kann das {{userprincipalname}}-Token zur Darstellung des registrierten Benutzerkontos verwendet werden. |
Sobald die Konto Setup-Konfiguration festgelegt wurde, schränkt Microsoft Teams die Möglichkeit zur Anmeldung ein, sodass nur zulässigen Konten auf registrierten Geräten der Zugriff gewährt wird.
Wenn Sie eine App-Konfigurationsrichtlinie für verwaltete iOS-/iPadOS-Geräte erstellen möchten, lesen Sie Hinzufügen von App-Konfigurationsrichtlinien für verwaltete iOS-/iPadOS-Geräte.
Wenn Sie eine App-Konfigurationsrichtlinie für verwaltete Android-Geräte erstellen möchten, lesen Sie Hinzufügen von App-Konfigurationsrichtlinien für verwaltete Android-Geräte.
Einschränken der Microsoft Teams-Anmeldung auf Desktopgeräten
Microsoft Teams-Apps unter Windows und macOS erhalten Unterstützung für Geräterichtlinien, die die Anmeldung auf Ihre organization beschränken. Die Richtlinien können über herkömmliche Geräteverwaltungslösungen wie MDM (Mobile Device Management) oder GPO (Group Policy Object) festgelegt werden.
Wenn diese Richtlinie auf einem Gerät konfiguriert ist, können sich Benutzer nur mit Konten anmelden, die sich in einem Microsoft Entra Mandanten befinden, der in der in der Richtlinie definierten "Mandanten-Zulassungsliste" enthalten ist. Die Richtlinie gilt für alle Anmeldungen, einschließlich des ersten und weiterer Konten. Wenn Ihre organization mehrere Microsoft Entra Mandanten umfasst, können Sie mehrere Mandanten-IDs in die Zulassungsliste einschließen. Links zum Hinzufügen eines weiteren Kontos sind möglicherweise weiterhin in der Teams-App sichtbar, können aber nicht verwendet werden.
Hinweis
- Die Richtlinie schränkt nur Anmeldungen ein. Es schränkt nicht die Möglichkeit ein, dass Benutzer als Gast in anderen Microsoft Entra Mandanten eingeladen werden oder zu diesen anderen Mandanten wechseln können (wo Benutzer als Gast eingeladen wurden).
- Die Richtlinie erfordert Teams für Windows Version 1.3.00.30866 oder höher, und Teams für MacOS Version 1.3.00.30882 (Veröffentlichung Mitte November 2020).
Richtlinien für Windows Administrative Vorlagendateien (ADMX/ADML) stehen im Download Center zur Verfügung (der beschreibende Name der Richtlinieneinstellung in der administrativen Vorlagendatei ist „Anmeldung in Teams auf Konten in bestimmten Mandanten beschränken“). Zusätzlich können Sie Schlüssel in der Windows-Registrierung manuell festlegen:
- Wertname: RestrictTeamsSignInToAccountsFromTenantList
- Werttyp: String
- Wertdaten: Mandanten-ID oder eine durch Kommas getrennte Liste der Mandanten-IDs
- Pfad: Benutzen Sie einen der folgenden Pfade
Computer\HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Cloud\Office\16.0\Teams Computer\HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Office\16.0\Teams Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Teams
Beispiel: SOFTWARE\Policies\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = Mandanten-ID oder SOFTWARE\Policies\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = Mandanten-ID1, Mandanten-ID2, Mandanten-ID3
Richtlinien für MacOS Verwenden Sie für von MacOS verwaltete Geräte .plist, um Anmeldebeschränkungen bereitzustellen. Das Konfigurationsprofil ist eine .plist-Datei, die aus mit einem Schlüssel identifizierten Einträgen besteht (der Schlüssel bezeichnet den Namen der Einstellung), gefolgt von einem Wert, der von der Art der Einstellung abhängt. Werte können entweder einfach sein (z. B. ein numerischer Wert) oder komplex, z. B. eine geschachtelte Liste von Einstellungen.
- Domäne: com.microsoft.teams
- Schlüssel: RestrictTeamsSignInToAccountsFromTenantList
- Datentyp: String
- Kommentare: Geben Sie eine kommagetrennte Liste von Microsoft Entra Mandanten-IDs ein.
Globale Anmeldung und Microsoft Teams
Unsere verbesserte Anmeldeerfahrung auf einem freigegebenen Gerät ermöglicht eine problemlose Anmeldung für Mitarbeiter in Service und Produktion. Ein Mitarbeiter kann ein Gerät aus dem Pool geteilter Geräte auswählen und es für die Dauer seiner Schicht mittels einmaliger Anmeldung zu "seinem" machen. Am Ende der Schicht sollte er sich global von dem Gerät abmelden können. Weitere Informationen finden Sie unter Abmeldung von Teams. Dadurch werden alle seine persönlichen Informationen und Unternehmensinformationen von dem Gerät entfernt, damit er es wieder zurück in den Gerätepool geben kann. Um diese Funktion zu erhalten, muss das Gerät im freigegebenen Modus festgelegt werden. Stellen Sie sicher, dass Sie alle aktiven Besprechungen oder Anrufe auf dem Gerät beenden, bevor Sie sich abmelden.
Android: Informationen zum Einrichten von Android-Geräten im freigegebenen Modus finden Sie unter Verwenden eines Modus für gemeinsam genutzte Geräte in Android.
iOS: Informationen zum Festlegen eines Geräts im freigegebenen Modus unter iOS finden Sie unter Verwenden des Modus für gemeinsam genutzte Geräte unter iOS. Laden Sie die Teams-App aus dem App Store herunter, sobald das Gerät im freigegebenen Modus festgelegt ist.
Die Anmeldeoberfläche ähnelt unserer standardmäßigen Teams-Anmeldeoberfläche.
Vereinfachen der Anmeldeumgebung mit anmeldung ohne Domänen
Sie können die Anmeldung in Teams für iOS und Android vereinfachen, indem Sie den Domänennamen auf dem Anmeldebildschirm für Benutzer auf freigegebenen und verwalteten Geräten vorab ausfüllen. Benutzer melden sich an, indem sie den ersten Teil ihres UPN eingeben (ohne den Domänennamen). Wenn der Benutzername beispielsweise oder adelev@contoso.comist123456@contoso.com, können sich Benutzer nur mit "123456" bzw. "adelev" und ihrem Kennwort anmelden.
Die Anmeldung bei Teams ist schneller und einfacher, insbesondere für Mitarbeiter wie Mitarbeiter in Service und Produktion auf gemeinsam genutzten Geräten, die sich regelmäßig an- und abmelden.
Hinweis
Damit Benutzer die in diesem Abschnitt beschriebene Anmeldung nutzen können, müssen auf ihren Geräten Teams für iOS Version 6.6.0 oder höher oder Teams für Android Version 1416/1.0.0.2024053003 oder höher ausgeführt werden.
Name | Wert |
---|---|
domain_name | Ein Zeichenfolgenwert, der die Domäne des angefügten Mandanten angibt. Verwenden Sie einen durch Semikolons getrennten Wert, um mehrere Domänen hinzuzufügen. |
enable_numeric_emp_id_keypad | Ein boolescher Wert, der angibt, dass die Mitarbeiter-ID nur numerisch ist und die Zahlentasteatur für die einfache Eingabe aktiviert werden sollte. Wenn der Wert nicht festgelegt ist, wird die alphanumerische Tastatur geöffnet. |
Teams verwendet eine App-Konfiguration, die mit jedem MDM-Anbieter funktioniert, der den Managed App Configuration-Kanal für iOS oder den Android Enterprise-Kanal für Android verwendet.
Wenn Sie Microsoft Intune verwenden, lesen Sie Verwalten von Zusammenarbeitserfahrungen in Teams für iOS und Android mit Microsoft Intune.
Informationen zum Anwenden der App-Konfigurationsrichtlinie mithilfe von Graph-API finden Sie unter managedDeviceMobileAppConfiguration-Ressourcentyp.
Aktivieren der Anmeldung ohne Domänen für Ihre benutzerdefinierten Apps
Die Anmeldung ohne Domänen in Teams basiert auf dem App-Konfigurationskanal, der von allen wichtigen MDM-Anbietern unterstützt wird. Alle Anwendungen von Drittanbietern oder benutzerdefinierten Branchenanwendungen unter Android und iOS können die Anmeldung ohne Domänen unterstützen, was zusätzlichen Aufwand erfordert.
Führen Sie die folgenden Schritte aus, um die Anmeldung ohne Domänen in Ihrer App zu implementieren:
Richten Sie den domain_name App-Konfigurationsschlüssel für Ihre App ein.
Verwenden Sie verwaltete App Configuration und Android im Unternehmen, um die Konfiguration zu lesen. Hier sehen Sie ein Beispiel zum Lesen des Werts in iOS- und Android-Code.
Ios:
UserDefaults.standard.object(forKey:"com.apple.configuration.managed")["domain_name"]
Android:
appRestrictions.getString("domain_name")
Erfahren Sie mehr darüber, wie Sie verwaltete Konfigurationen lesen und anwenden und das Setup mithilfe von TestDPC konfigurieren und testen.
Passen Sie Ihre Anmeldeoberfläche an, um den Benutzernamen zu erfassen und die erworbenen domain_name auf dem Bildschirm vorab aufzufüllen. Wenn Sie die Microsoft Authentication Library (MSAL) verwenden, können Sie den folgenden Aufruf ausführen, um einen Tokenbeitrag abzurufen, der den Benutzernamen auf Ihrem Bildschirm erfasst.
SMS-Anmeldung
Mit der SMS-basierten Authentifizierung können sich Benutzer anmelden, ohne ihren Benutzernamen und ihr Kennwort bereitzustellen oder überhaupt zu wissen. Benutzer geben ihre Telefonnummer an der Anmeldeaufforderung ein und erhalten einen SMS-Authentifizierungscode, den sie zum Abschließen der Anmeldung verwenden. Diese Authentifizierungsmethode vereinfacht den Zugriff auf Apps und Dienste, insbesondere für Mitarbeiter in Service und Produktion.
Weitere Informationen finden Sie unter Konfigurieren und Aktivieren von Benutzern für die SMS-basierte Authentifizierung mithilfe von Microsoft Entra ID.
URLs und IP-Adressbereiche für Microsoft Teams
Microsoft Teams setzt eine Internetverbindung voraus. Informationen zu Endpunkten, die für Kunden mit Microsoft Teams in Office 365-Plänen, Behörden und andere Clouds erreichbar sein sollten, finden Sie unter URLs und IP-Adressbereiche für Office 365.