Microsoft Teams: Neue Sicherheitsfunktion blockiert externe Nutzer zentral

Microsoft schließt eine gefährliche Sicherheitslücke in Teams: Ab Januar können Admins externe Nutzer direkt über das Defender-Portal sperren. Die Integration soll komplexe Social-Engineering-Angriffe von außen stoppen.

Die neue Funktion verbindet Microsoft Teams erstmals direkt mit der Microsoft Defender for Office 365 Tenant Allow/Block List (TABL). Sicherheitsteams können damit externe Nutzer und Domains zentral über eine Oberfläche blockieren – ein lang ersehnter Wunsch vieler Security Operations Center (SOCs). Bisher mussten Admins zwischen dem Teams Admin Center und verschiedenen Sicherheitsoberflächen hin- und herwechseln, was bei der akuten Bedrohungsabwehr kostbare Zeit kostete.

Laut Microsoft ermöglicht die Funktion das einseitige Sperren bestimmter externer E-Mail-Adressen oder ganzer Domains. Einmal in der Blockliste im Defender-Portal eingetragen, gilt die Sperre sofort und umfassend für die gesamte Teams-Umgebung. “Dieser zentrale Ansatz verbessert Sicherheit und Compliance, indem Organisationen den externen Nutzerzugriff über Microsoft 365-Dienste hinweg kontrollieren können”, heißt es in den Release Notes.

Viele Unternehmen unterschätzen, wie Angreifer Collaboration-Tools wie Microsoft Teams für gezielte Phishing- und BEC-Angriffe missbrauchen. Solche Vorfälle zeigen, dass IT- und Sicherheitsteams besser zusammenarbeiten müssen. Der kostenlose Cyber‑Security‑Guide erklärt praxisnah, wie Sie Teams, Microsoft Defender und XDR-Strategien kombinieren, welche Konfigurationen jetzt kritisch sind und liefert Checklisten für die schnelle Absicherung. Praktische Vorlagen helfen beim schnellen Rollout. Sichern Sie Ihre externe Zusammenarbeit noch vor dem Januar-Rollout. Jetzt kostenlosen Cyber-Security-Guide sichern

Technische Details und Rollout-Plan

Die präzisen Kontrollen stehen Administratoren mit Defender for Office 365 Plan 1 oder Plan 2 zur Verfügung. Die technischen Spezifikationen umfassen:

• Granulare Sperren: Bis zu 200 einzelne E-Mail-Adressen und 4.000 Domains können blockiert werden.
• Sofortige Wirkung: Die Sperre unterbindet alle eingehenden Kommunikationsformen – 1:1-Chats, Gruppenchats, Kanalnachrichten und Anrufe.
• Retroaktive Bereinigung: Das System löscht automatisch bestehende Kommunikation von gesperrten Nutzern. So werden potenzielle Phishing-Köder oder bösartige Links entfernt, die bereits in Postfächer gelangt sind.
• Audit-Protokolle: Alle Aktionen werden protokolliert, sodass Compliance-Teams nachvollziehen können, wer wann einen Nutzer gesperrt hat.

Der Rollout der Funktion beginnt Anfang Januar 2026. Die weltweite allgemeine Verfügbarkeit soll bis Mitte Januar abgeschlossen sein.

Schließt die “Gastzugriff”-Sicherheitslücke

Die Entwicklung folgt auf eine Reihe von Sicherheitsbedenken, die Forscher Ende 2025 zu “blinden Flecken” bei der mandantenübergreifenden Zusammenarbeit äußerten. Im November hatten Cybersicherheitsanalysten Schwachstellen aufgezeigt, bei denen externe Gastnutzer bestimmte mandantenweite Schutzmaßnahmen umgehen konnten.

Indem Microsoft die Kontrolle ins Defender-Portal verlagert, gibt es Sicherheitsteams effektiv den nötigen “Not-Aus-Schalter” an die Hand. So können Verbindungen zu kompromittierten oder bösartigen externen Mandanten gekappt werden, ohne auf Teams-spezifische Administratoren warten zu müssen.

“Wenn die Änderung ohne Vorbereitung umgesetzt wird, könnten Sicherheits-Admins versehentlich legitime externe Kommunikation blockieren”, warnten Analysten von CloudScout. Microsoft rät Organisationen daher, ihre Richtlinien für externen Zugriff zu überprüfen und die Abstimmung zwischen Teams-Administratoren und Sicherheitspersonal sicherzustellen.

Konfiguration erforderlich: IT-Teams müssen aktiv werden

Die Funktion stärkt die Sicherheitslage erheblich, erfordert aber eine spezifische Konfiguration. Administratoren müssen zwei Einstellungen im Teams Admin Center aktivieren, um diese Befugnis an das Sicherheitsteam zu delegieren:
1. “Bestimmte Benutzer an der Kommunikation mit Personen in meiner Organisation hindern”
2. “Meinem Sicherheitsteam erlauben, gesperrte Domains und gesperrte Benutzer zu verwalten”

Beide Einstellungen sind standardmäßig “Aus” geschaltet. Organisationen müssen also vor dem Rollout im Januar proaktiv tätig werden, um die neuen Möglichkeiten nutzen zu können.

Branchenweite Bedeutung und Ausblick

Die Integration markiert eine weitere Verschiebung hin zu Extended Detection and Response (XDR)-Strategien, bei denen Daten- und Kontrollebenen über Identitäten, Endpunkte und Anwendungen hinweg vereinheitlicht werden. Für Microsoft ist die Verschärfung der Teams-Sicherheit von zentraler Bedeutung, da die Plattform ein primärer Vektor für “Quishing” (QR-Code-Phishing) und Business Email Compromise (BEC)-Angriffe bleibt.

Sicherheitsexperten gehen davon aus, dass diese Funktion besonders für Branchen mit hohen Compliance-Anforderungen wie Finanzen und Gesundheitswesen entscheidend sein wird. Hier ist die Verhinderung unautorisierter externer Kommunikation ebenso kritisch wie das Blockieren von Malware.

Mit dem nahenden Rollout im Januar 2026 sind IT-Abteilungen aufgefordert, ihre aktuellen Konfigurationen für externen Zugriff zu überprüfen und ihr Helpdesk-Personal auf mögliche Tickets zu blockierter externer Kommunikation vorzubereiten.

PS: Ohne abgestimmte Richtlinien und Awareness bleiben zentrale Sperrmechanismen wirkungslos. Unser Gratis-Report zeigt konkret, welche Schritte IT‑Teams jetzt setzen müssen – von den erforderlichen Teams‑Admin‑Einstellungen über Defender‑Checks bis zu Phishing‑Schulungen und Incident‑Response‑Playbooks. Enthalten sind Checklisten, Prozessvorlagen und Priorisierungstipps für schnelle Entscheidungen, speziell für Security‑Operations‑Center und IT‑Helpdesks. Gratis Anti-Phishing- und Cyber-Guide anfordern