Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Windows & Microsoft 365 02.06.2026 · 10 min Lesezeit

Microsoft Teams für KMU einrichten und absichern

So richtest Du Microsoft Teams im Mittelstand sauber ein und sicherst Gastzugriff, Federation, Besprechungen und Aufbewahrung ab – mit Klickpfaden und PowerShell-Cmdlets.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Mitarbeiter eines mittelständischen Unternehmens arbeiten mit Microsoft Teams zusammen

Diese Anleitung zeigt Dir Schritt für Schritt, wie Du Microsoft Teams für KMU einrichten und absichern kannst. Im Mittelpunkt stehen die Einrichtung von Teams und Kanälen, die richtigen Rollen sowie die vier sicherheitsrelevanten Stellschrauben Gastzugriff, externer Zugriff (Federation), Besprechungsrichtlinien und Aufbewahrung. Du arbeitest dabei im Teams admin center (admin.teams.microsoft.com), im Microsoft 365 admin center und in Entra ID (entra.microsoft.com) – und dort, wo es schneller und reproduzierbar ist, mit dem PowerShell-Modul MicrosoftTeams.

Voraussetzungen

Bevor Du startest, prüfe Lizenzen, Rollen und die Datei-Abhängigkeiten:

  • Lizenzen: Teams ist in Business Basic/Standard/Premium und in den Enterprise- bzw. Frontline-Plänen (E1/E3/E5, F1/F3) enthalten. Besprechungen: bis 300 Teilnehmer mit Business Basic/Standard/Premium und Teams Essentials, bis 1.000 Teilnehmer mit E3/E5/F-Plänen.
  • SharePoint und OneDrive aktiv: Ohne aktiviertes SharePoint können Nutzer in Teams keine Dateien teilen; ohne OneDrive for Business gibt es keine Dateifreigabe in Chats und keine Speicherung privater Besprechungsaufzeichnungen.
  • Rolle: Microsoft empfiehlt das Prinzip der minimalen Rechte – verwende die Rolle Teams Administrator statt Global Administrator. Für Gastzugriff- und Cross-Tenant-Einstellungen brauchst Du zusätzlich Berechtigungen in Entra ID.
  • PowerShell-Modul: Für die Cmdlet-Beispiele benötigst Du das Modul MicrosoftTeams.

Modul installieren und verbinden:

Install-Module -Name MicrosoftTeams -Scope CurrentUser
Import-Module MicrosoftTeams
Connect-MicrosoftTeams

Schritt 1: Teams anlegen und verstehen, was im Hintergrund passiert

Ein Team ist technisch eine Microsoft-365-Gruppe. Die GroupId in den Teams-Cmdlets entspricht der Identity aus Get-UnifiedGroup. Mit jedem Team entsteht automatisch eine SharePoint-Teamsite für die Dateien der Standard-Kanäle. Lege Teams für KMU bewusst auf Private an, damit nicht jeder im Tenant beitreten kann.

Im Portal: Öffne das Microsoft 365 admin center bzw. die Teams-App und erstelle ein neues Team. Verwaltung und Lebenszyklus steuerst Du im Teams admin center unter Teams > Manage teams.

Per PowerShell:

# Neues Team anlegen (Team = M365-Gruppe)
New-Team -DisplayName "Contoso Marketing" -Description "Collaboration space for Marketing" -Visibility Private

Notiere die zurückgegebene GroupId – Du brauchst sie für Mitglieder und Kanäle. Beachte die Limits: maximal 25.000 Mitglieder pro Team, 100 Besitzer pro Team und 1.000 Kanäle pro Team (inklusive in den letzten 30 Tagen gelöschter).

Schritt 2: Kanäle anlegen – Standard, privat und freigegeben (shared)

Es gibt drei Kanaltypen, die sich in Sichtbarkeit und Dateispeicher unterscheiden:

  • Standard: für alle Team-Mitglieder sichtbar. Standard-Kanäle teilen sich die SharePoint-Site des Teams.
  • Privat: nur für ausgewählte Team-Mitglieder; Gäste sind möglich. Jeder private Kanal erhält eine eigene SharePoint-Site.
  • Freigegeben (shared / Microsoft Teams Connect): lädt Personen aus anderen Teams oder Tenants per Entra B2B Direct Connect ein – ohne Gastkonto. Auch shared Kanäle haben eine eigene SharePoint-Site. Gäste können nicht zu shared Kanälen hinzugefügt werden, und nur Team-Besitzer dürfen shared Kanäle anlegen.

Wichtig: Auf die SharePoint-Site eines privaten oder shared Kanals haben auch Team-Besitzer und Admins ohne Kanal-Mitgliedschaft keinen Zugriff.

# Kanäle anlegen - MembershipType: Standard | Private | Shared
New-TeamChannel -GroupId DEINE-GROUPID -DisplayName "Architecture"
New-TeamChannel -GroupId DEINE-GROUPID -DisplayName "Engineering" -MembershipType Private -Owner "chef@contoso.de"
New-TeamChannel -GroupId DEINE-GROUPID -DisplayName "PartnerProjekt" -MembershipType Shared

Limits pro Team: maximal 30 private Kanäle, je bis zu 250 Mitglieder; shared Kanäle bis 5.000 Direktmitglieder und teilbar mit bis zu 50 Teams.

Schritt 3: Rollen vergeben – Besitzer, Mitglied, Gast

Vergib Rollen nach dem Prinzip der minimalen Rechte. Es gibt drei Team-Rollen:

  • Besitzer (Owner): verwaltet Team, Mitglieder und Einstellungen (maximal 100 pro Team).
  • Mitglied (Member): arbeitet im Team mit.
  • Gast (Guest): externer Nutzer, gekennzeichnet mit dem Label (Guest).

Private und shared Kanäle haben zusätzlich eigene Owner-/Member-Rollen, die unabhängig vom Eltern-Team sind. Plane mindestens zwei Besitzer pro Team, damit das Team nicht verwaist.

# Mitglieder und Besitzer hinzufügen (Rolle Owner oder Member)
Add-TeamUser -GroupId DEINE-GROUPID -User "max@contoso.de" -Role Member
Add-TeamUser -GroupId DEINE-GROUPID -User "chef@contoso.de" -Role Owner

Schritt 4: Gastzugriff sicher konfigurieren

Gastzugriff ist organisationsweit und greift erst, wenn er auf mehreren Ebenen aktiviert ist – das ist die häufigste Fehlerquelle. Alle vier müssen zusammenpassen:

  1. Entra External ID / B2B Collaboration (entra.microsoft.com)
  2. Teams admin center: Users > Guest access > Allow guest access = On
  3. Microsoft 365 Groups (Gäste in Gruppen erlauben)
  4. SharePoint/OneDrive External Sharing

Im Portal: In Entra unter Identity > External Identities > External collaboration settings die B2B-Einladungen erlauben. Anschließend im Teams admin center unter Users > Guest access den Schalter aktivieren und die Gast-Funktionen feinjustieren.

Es ist keine Zusatzlizenz nötig (Abrechnung über Entra External ID nach monatlich aktiven Nutzern). Plane Geduld ein: Nach dem Hinzufügen kann der Zugriff bis zu 12 Stunden dauern, Einstellungsänderungen bis zu 24 Stunden. Ein Gast muss mindestens einem Team zugeordnet sein, sonst funktioniert nichts.

Schritt 5: Externen Zugriff (Federation) einschränken

Achtung Sicherheits-Default: Externer Zugriff steht standardmäßig auf „Alle externen Domänen erlauben“ – also offene Federation. Für KMU solltest Du das bewusst auf eine Allowlist (nur Partnerdomänen) oder Blocklist eingrenzen. Es gibt vier Modi: alle erlauben, nur bestimmte erlauben, nur bestimmte blockieren, alle blockieren.

Im Portal: Teams admin center > Users > External access. Dort wählst Du den Modus und pflegst im Policies-Tab granulare Richtlinien (maximal 100 Domänen pro Allow-/Block-Liste je Policy; org-weite Allowlist bis 4.000 Domänen). Sowohl die Organisationseinstellung als auch die Benutzer-Policy müssen aktiv sein, und die Federation muss beidseitig bestehen.

# Nur bestimmte Domänen erlauben (Allowlist)
Set-CsTenantFederationConfiguration -AllowedDomains @{Add='partner.de','kunde.com'}

# Bestimmte Domänen blockieren (alle anderen erlaubt) inkl. Subdomänen
Set-CsTenantFederationConfiguration -BlockedDomains @{Add='spam.com'} -BlockAllSubdomains $True

# Chat mit unverwalteten Teams-Consumer-Konten abschalten
Set-CsTenantFederationConfiguration -AllowTeamsConsumer $false -AllowPublicUsers $false

Externen Zugriff kannst Du auch pro Benutzer steuern – etwa Federation global aus, aber für ein Partnerteam gezielt an:

# Federation global deaktivieren
Set-CsExternalAccessPolicy -Identity Global -EnableFederationAccess $false

# Eigene Policy für Partner anlegen und zuweisen
New-CsExternalAccessPolicy -Identity "PartnerExternal" -EnableFederationAccess $true
New-CsBatchPolicyAssignmentOperation -PolicyType ExternalAccessPolicy -PolicyName "PartnerExternal" -Identity @("meganb@contoso.de")

Shared Kanäle für Externe brauchen zusätzlich Entra Cross-Tenant Access bzw. B2B Direct Connect (beidseitig). Externe werden per UPN als ext:user@domain.com mit ihrem Microsoft-Entra-Arbeitskonto hinzugefügt – nicht per E-Mail oder Gastkonto.

Schritt 6: Besprechungsrichtlinien absichern – Lobby, Präsentieren, Aufzeichnung

Die wichtigsten Defaults in den Besprechungsrichtlinien sind aus Sicherheitssicht zu weit offen. Die Werte sind Standard-Vorgaben pro Organisator und in den Meeting-Optionen überschreibbar; erzwingen lässt sich das nur über Meeting-Templates bzw. Vertraulichkeitsbezeichnungen (Teams Premium).

Im Portal: Teams admin center > Meetings > Meeting policies. Relevante Abschnitte: Meeting join & lobby (Lobby), Content sharing (Wer darf präsentieren) und Recording & transcription (Aufzeichnung).

EinstellungDefaultEmpfehlung KMU
Wer kann die Lobby umgehenOrganisatoren und ReferentenEveryoneInCompany
Einwählende dürfen Lobby umgehenAusAus lassen
Anonyme/Einwähler dürfen Meeting startenAusAus lassen
Wer darf präsentierenEveryoneNur Organisatoren bzw. Org + Gäste
# Lobby und Start-Verhalten absichern
Set-CsTeamsMeetingPolicy -Identity Global -AutoAdmittedUsers EveryoneInCompany -AllowPSTNUsersToBypassLobby $false

# Wer darf präsentieren einschränken
Set-CsTeamsMeetingPolicy -Identity Global -DesignatedPresenterRoleMode OrganizerOnlyUserOverride

# Aufzeichnung mit explizitem Einverständnis, Download blockieren
Set-CsTeamsMeetingPolicy -Identity Global -AllowCloudRecording $true -ExplicitRecordingConsent Enabled
Set-CsTeamsMeetingPolicy -Identity Global -ChannelRecordingDownload Block

Aufzeichnungen landen in OneDrive (private Meetings) bzw. SharePoint (Kanal-Meetings). Externe und Gäste sehen sie nur bei expliziter Freigabe. Für Webinare und Town Halls gilt ein eigenes Cmdlet:

# Webinar-/Town-Hall-Aufzeichnung (eigenes Cmdlet)
Set-CsTeamsEventsPolicy -Identity Global -RecordingForWebinar Enabled -RecordingForTownhall Enabled

Wichtiger Hinweis: Die Lobby-Parameter AutoAdmittedUsers, AllowPSTNUsersToBypassLobby und UsersCanAdmitFromLobby gehören in Set-CsTeamsMeetingPolicy. In manchen Microsoft-Learn-Beispielen steht dafür fälschlich Set-CsTeamsEventsPolicy – das ist nur für Webinare und Town Halls korrekt.

Schritt 7: Dateien über SharePoint/OneDrive und App-Richtlinien

Da jedes Team und jeder Kanal automatisch eine SharePoint-Site bekommt, läuft die Dateiablage komplett über SharePoint und OneDrive. Achte deshalb darauf:

  • SharePoint aktiv: sonst keine Dateien in Teams.
  • OneDrive for Business aktiv: sonst keine Dateifreigabe in Chats und keine privaten Meeting-Aufzeichnungen.
  • Separate Sites beachten: Für die Dateien privater und shared Kanäle musst Du Kanal-Mitglied sein – ein Team-Besitzer ohne Mitgliedschaft sieht sie nicht.

App- und Berechtigungsrichtlinien verwaltest Du im Teams admin center unter Teams apps > Permission policies (welche Apps erlaubt sind) und Setup policies (welche Apps angeheftet werden). Für KMU empfiehlt sich, neue Drittanbieter-Apps zunächst zu beschränken und nur freizugeben, was gebraucht wird.

Schritt 8: Aufbewahrung (Retention) in Microsoft Purview einrichten

Aufbewahrung steuerst Du nicht in Teams, sondern in Microsoft Purview. Lege dort eine Aufbewahrungsrichtlinie für Teams-Chats und -Kanalnachrichten an. Wichtig für die Vererbung:

  • Private und shared Kanäle erben die Aufbewahrungsrichtlinie des Eltern-Teams.
  • Shared Kanäle erben zusätzlich Richtlinien der Host-Organisation; ihre Nachrichten liegen in einer eigenen System-Mailbox.
  • Bei externem Zugriff gelten eDiscovery und Retention nur eingeschränkt für externe Teilnehmer.

Definiere also die Aufbewahrungsdauer auf Team-Ebene und prüfe, dass die Richtlinie auf Teams-Kanalnachrichten und Teams-Chats angewendet ist. So erfüllst Du Compliance-Vorgaben, ohne jeden Kanal einzeln konfigurieren zu müssen.

Troubleshooting

  • Gast kann nicht beitreten: Gastzugriff nur an einer Ebene aktiviert. Prüfe Entra External ID, Teams admin center, M365 Groups und SharePoint External Sharing gemeinsam. Warte bis zu 12 Stunden nach dem Hinzufügen und bis zu 24 Stunden nach Einstellungsänderungen.
  • Externe Federation funktioniert nicht: Sowohl Organisationseinstellung als auch Benutzer-Policy müssen aktiv sein, und die Gegenseite muss Dich ebenfalls erlauben (beidseitige Federation).
  • Lobby-Cmdlet wirft Fehler: Du verwendest vermutlich Set-CsTeamsEventsPolicy für Lobby-Parameter. Nimm Set-CsTeamsMeetingPolicy.
  • Externer in shared Kanal lässt sich nicht hinzufügen: Cross-Tenant Access / B2B Direct Connect ist nicht beidseitig konfiguriert. Füge die Person per UPN ext:user@domain.com mit Arbeitskonto hinzu, nicht per E-Mail-Einladung.
  • Keine Dateien in Teams sichtbar: SharePoint oder OneDrive ist deaktiviert – oder Du bist nicht Mitglied des privaten/shared Kanals, dessen Site Du suchst.

Häufige Fragen

Brauche ich eine Zusatzlizenz für Gäste?

Nein. Gastzugriff erfordert keine separate Teams-Lizenz; die Abrechnung läuft über Entra External ID nach monatlich aktiven Nutzern. Aktiviert werden muss er aber auf allen vier Ebenen.

Warum hat jeder private Kanal eine eigene SharePoint-Site?

So bleibt der Dateizugriff auf die Kanal-Mitglieder beschränkt. Selbst Team-Besitzer und Admins ohne Kanal-Mitgliedschaft kommen an diese Dateien nicht heran – das ist gewollt und sicherheitsrelevant.

Was ist der Unterschied zwischen Gast und shared Kanal?

Ein Gast ist ein externes Konto, das Deinem Tenant als Gast hinzugefügt wird. Ein shared Kanal (Microsoft Teams Connect) bindet Externe per B2B Direct Connect mit ihrem eigenen Arbeitskonto ein – ohne Gastkonto. Gäste können nicht zu shared Kanälen hinzugefügt werden.

Sollte ich „Wer darf präsentieren“ wirklich ändern?

Für sensible oder externe Meetings ja. Der Default Everyone erlaubt jedem das Bildschirmteilen. Setze ihn auf nur Organisatoren bzw. Org und Gäste. Erzwingen lässt sich das organisationsweit nur über Meeting-Templates oder Vertraulichkeitsbezeichnungen (Teams Premium).

Welche Rolle reicht für die Verwaltung?

In der Regel die Rolle Teams Administrator. Global Administrator ist für reine Teams-Aufgaben überdimensioniert und widerspricht dem Prinzip der minimalen Rechte.

Fazit

Microsoft Teams für KMU ist schnell eingerichtet, aber die sicherheitskritischen Defaults musst Du aktiv anpassen: Externer Zugriff steht offen, shared Kanäle sind aktiv und „Wer darf präsentieren“ liegt auf Everyone. Lege Teams und Kanäle strukturiert an, vergib Rollen sparsam, schränke Federation auf eine Allowlist ein, schärfe Lobby und Aufzeichnung und richte in Purview eine Aufbewahrungsrichtlinie ein. Die Kombination aus präzisen Klickpfaden im Teams admin center und reproduzierbaren Cmdlets aus dem Modul MicrosoftTeams macht die Einrichtung wartbar und auditierbar.

Weiterführende Anleitungen und Quellen

Passende Anleitungen aus unserem Wissensbereich:

Quellen (Microsoft Learn, Stand 2025/2026):

Verwandt

Weiter lesen

Alle Artikel →
Symbolbild für Datensicherung von Microsoft 365 in der Cloud mit Servern und Schloss
02.06.2026 ·9 min

Entra ID: Benutzer, Gruppen und Lizenzen verwalten

So verwaltest Du Benutzer, Gruppen und Lizenzen in Entra ID: Cloud-Konten anlegen, Sicherheits- und Microsoft-365-Gruppen mit dynamischen Regeln bauen und Lizenzen gruppenbasiert per M365 Admin Center und Microsoft Graph PowerShell zuweisen.
Administrator richtet Phishing-Schutz für Microsoft 365 am Bildschirm ein
02.06.2026 ·9 min

Microsoft Defender for Office 365: Phishing-Schutz einrichten

Phishing-Schutz mit Microsoft Defender for Office 365 einrichten: voreingestellte Sicherheitsrichtlinien, Anti-Phishing, Safe Links und Safe Attachments im Defender-Portal und per PowerShell.
Infografik zur sicheren Konfiguration von Freigaben in SharePoint und OneDrive, mit externen Gästen, spezifischen Personen-Links, Authentifizierung, Berechtigungen und eingeschränkter externer Freigabe über Sicherheitsgruppen.
02.06.2026 ·9 min

SharePoint und OneDrive: Freigaben und externe Gäste sicher konfigurieren

So steuerst du externe Freigaben in SharePoint und OneDrive sicher: Freigabeebenen im SharePoint admin center, Link-Typen, Gast-Ablauf, Entra B2B sowie DLP und Download-Sperren per PowerShell und Portal.