Verwenden der End-to-End-Verschlüsselung für Einzelgespräche in Microsoft Teams

  • Artikel
  • Gilt für::
    Microsoft Teams

Wichtig

Das Teams-Dienstmodell und sein Verschlüsselungssupport können sich ändern, um die Benutzererfahrung zu verbessern. Der Dienst veraltet beispielsweise regelmäßig Chiffriersammlungen, die nicht mehr als sicher gelten. Solche Änderungen würden vorgenommen, um die Sicherheit und Vertrauenswürdigkeit von Teams zu gewährleisten. Darüber hinaus sind alle Kundeninhalte in Microsoft-Rechenzentren verschlüsselt. Weitere Informationen über Verschlüsselungsebenen in Microsoft 365 finden Sie unter Verschlüsselung in Microsoft 365.

Die End-to-End-Verschlüsselung (oder E2EE) wird durchgeführt, wenn Inhalte verschlüsselt werden, bevor sie gesendet und nur vom vorgesehenen Empfänger entschlüsselt werden. Bei der End-to-End-Verschlüsselung sind nur die beiden Endpunktsysteme an der Verschlüsselung und Entschlüsselung der Anrufdaten beteiligt. Keine andere Partei, einschließlich Microsoft, hat Zugriff auf die entschlüsselte Unterhaltung.

Mit E2EE für ungeplante 1:1-Anrufe wird nur der Echtzeit-Medienfluss, d. h. Video- und Sprachdaten, für 1:1-Teams-Anrufe End-to-End verschlüsselt. Beide Parteien müssen diese Einstellung aktivieren, um die End-to-End-Verschlüsselung zu aktivieren. Verschlüsselung in Microsoft 365 schützt Chat-, Dateifreigabe-, Anwesenheits- und andere Inhalte im Anruf.

End-to-End-verschlüsselte Anrufe können zwischen zwei Parteien durchgeführt werden: Die Parteien verwenden die neueste Version des Teams-Desktopclients für Windows oder Mac, sie befinden sich auf einem mobilen Gerät mit dem neuesten Update für iOS und Android oder auf einem Teams-Räume auf Einem Windows-Gerät, das das neueste Update verwendet.

Wenn Sie die End-to-End-Verschlüsselung nicht aktivieren, sichert Teams weiterhin einen Anruf oder eine Besprechung mittels Verschlüsselung basierend auf Branchenstandards. Daten, die bei Anrufen ausgetauscht werden, sind während der Übertragung und im Ruhezustand immer sicher. Weitere Informationen finden Sie unter Medienverschlüsselung für Teams.

Während eines verschlüsselten End-to-End-Anrufs sichert Teams die folgenden Features:

  • Audio

  • Video

  • Bildschirmübertragung

Die folgenden erweiterten Features sind während eines E2EE-Anrufs nicht verfügbar:

  • Liveuntertitel und Transkription

  • Anrufweiterleitung

  • Anrufzusammenführung

  • Anruf parken

  • Ankündigen, dann weiterleiten

  • Anrufbegleiter und Weiterleitung auf ein anderes Gerät

  • Hinzufügen eines Teilnehmers

  • Aufzeichnung läuft

  • Apps

Wenn Ihre Organisation die Complianceaufzeichnung verwendet, ist die End-to-End-Verschlüsselung ebenfalls nicht verfügbar. Weitere Informationen zur Unterstützung von Complianceaufzeichnungen durch Teams finden Sie unter Einführung in richtlinienbasierte Teams-Aufzeichnungen für Anrufe und Besprechungen.

Konfigurieren der End-to-End-Verschlüsselung für Microsoft Teams

Führen Sie diese Aufgaben aus, damit Ihre Benutzer verschlüsselte End-to-End-Anrufe tätigen können.

  • Aktivieren Sie die End-to-End-Verschlüsselung für Ihre Organisation, indem Sie eine oder mehrere Richtlinien erstellen, die definieren, wer die End-to-End-Verschlüsselung verwenden kann. Bevor Sie beginnen, stellen Sie sicher, dass Ihrem Geschäfts-, Schul- oder Unikonto die Teams- oder globale Administratorrolle zugewiesen wurde. Weitere Informationen finden Sie unter Verwalten von Teams mittels Microsoft Teams-Administratorrollen. Wenn Sie bereit sind, E2EE einzurichten, können Sie das Teams Admin Center oder Microsoft PowerShell verwenden.

  • Aktivieren Sie verschlüsselte End-to-End-Anrufe in den Teams-Einstellungen auf Ihrem Gerät. Jeder Benutzer muss diese Aufgabe ausführen, aber er muss sie nur auf einem Gerät ausführen. Teams synchronisiert diese Einstellung für jeden Benutzer über unterstützte Endpunkte hinweg. Anweisungen finden Sie unter Verwenden der End-to-End-Verschlüsselung für Teams-Anrufe.

Konfigurieren der End-to-End-Verschlüsselung mithilfe des Teams Admin Centers

Die globale, organisationsweite Standardrichtlinie gibt an, dass die End-to-End-Verschlüsselung deaktiviert ist. Sofern Sie keine benutzerdefinierte Richtlinie erstellen und zuweisen, wird Benutzern in Ihrer Organisation automatisch die globale Standardrichtlinie zugewiesen. Um die End-to-End-Verschlüsselung zu aktivieren, erstellen Sie eine neue Verschlüsselungsrichtlinie, oder passen Sie die globale Standardrichtlinie an. Führen Sie die folgenden Schritte aus, um die End-to-End-Verschlüsselung mithilfe des Teams Admin Centers zu aktivieren.

  1. Melden Sie sich mit einem Geschäfts-, Schul- oder Unikonto, dem die Teams- oder globale Administratorrolle zugewiesen wurde, beim Teams Admin Center an.

  2. Wechseln Sie zu Erweiterte Verschlüsselungsrichtlinien.

  3. Wählen Sie entweder die Standardrichtlinie aus, oder wählen Sie Hinzufügen aus, um eine neue Richtlinie hinzuzufügen und dann die neue Richtlinie zu benennen.

  4. Um die End-to-End-Verschlüsselung für Ihre Benutzer zu aktivieren, wählen Sie für die End-to-End-Anrufverschlüsselungdie Option Nicht aktiviert, aber Benutzer können aktivieren aus, und wählen Sie dann Speichern aus.

    Um die End-to-End-Verschlüsselung zu deaktivieren, wählen Sie Nicht aktiviert aus.

Nachdem Sie die Einrichtung der Richtlinie abgeschlossen haben, weisen Sie die Richtlinie Benutzern, Gruppen oder Ihrem gesamten Mandanten auf die gleiche Weise zu, wie Sie andere Teams-Richtlinien verwalten. Informationen zur Verwendung von Richtlinien in Teams finden Sie unter Teams mit Richtlinien verwalten.

Verwenden von Microsoft PowerShell zum Konfigurieren der End-to-End-Verschlüsselung

Sie können End-to-End-Verschlüsselungsrichtlinien mithilfe von Microsoft PowerShell und dem Teams Admin Center verwalten. Mehrere Cmdlets für die End-to-End-Verschlüsselung sind im Teams PowerShell-Modul enthalten und in der Microsoft Teams-Cmdlet-Referenz dokumentiert. Dieser Artikel listet die Cmdlets auf, die Sie verwenden können, und enthält einfache Beispielkonfigurationen. Diese Konfigurationen verwenden die globale Standardrichtlinie. Ihre Organisation erfordert möglicherweise eine komplexere Richtlinienkonfiguration. Vollständige Informationen zu diesen Cmdlets finden Sie in der Cmdlet-Referenz.

PowerShell-Cmdlets für die End-to-End-Verschlüsselung:

Ihr Geschäfts-, Schul- oder Unikonto benötigt die Teams- oder globale Administratorrolle, um die End-to-End-Verschlüsselung zu konfigurieren.

So aktivieren Sie die End-to-End-Verschlüsselung für Ihren gesamten Mandanten mithilfe der globalen Richtlinie

Standardmäßig ist die End-to-End-Verschlüsselung deaktiviert. Um die End-to-End-Verschlüsselung für den gesamten Mandanten durch Festlegen der globalen Standardrichtlinie zu aktivieren, führen Sie das Cmdlet Set-CsTeamsEnhancedEncryptionPolicy wie folgt aus.

Set-CsTeamsEnhancedEncryptionPolicy -Identity Global -CallingEndtoEndEncryptionEnabledType DisabledUserOverride

Dabei gilt Folgendes:

  • Global bedeutet, dass Sie diese Konfiguration über die globale, organisationsweite Standardrichtlinie festlegen.

  • DisabledUserOverride bedeutet, dass E2EE standardmäßig in Teams deaktiviert ist. Benutzer können die Standardeinstellung jedoch außer Kraft setzen und E2EE in ihren Teams-Einstellungen aktivieren.

So deaktivieren Sie die End-to-End-Verschlüsselung für Ihren gesamten Mandanten mithilfe der globalen Richtlinie

Standardmäßig ist die End-to-End-Verschlüsselung deaktiviert. Wenn Sie Änderungen an der globalen Richtlinie vorgenommen haben, können Sie die Einstellung wieder ändern, indem Sie das Cmdlet Grant-CsTeamsEnhancedEncryptionPolicy wie folgt ausführen.

Grant-CsTeamsEnhancedEncryptionPolicy -Identity Global -CallingEndtoEndEncryptionEnabledType Disabled

Dabei gilt Folgendes:

  • Global bedeutet, dass Sie diese Konfiguration über die globale, organisationsweite Standardrichtlinie festlegen.

  • Disabled bedeutet, dass Sie E2EE für alle Benutzer deaktivieren. Benutzer können sie in ihren Teams-Einstellungen nicht aktivieren.

So aktivieren Sie die End-to-End-Verschlüsselung für einen einzelnen Benutzer

Um die End-to-End-Verschlüsselung für einen Benutzer zu aktivieren, führen Sie das Cmdlet Grant-CsTeamsEnhancedEncryptionPolicy wie folgt aus.

Grant-CsTeamsEnhancedEncryptionPolicy -Identity "username" -PolicyName "policyname"

Dabei gilt Folgendes:

  • username ist der Name des Benutzers.

  • policyname ist der Name, den Sie für die Richtlinie verwenden möchten. Richtliniennamen dürfen keine Leerzeichen enthalten, z. B. ContosoE2EEUserPolicy.

Benutzer müssen in ihren Teams-Einstellungen trotzdem noch verschlüsselte End-to-End-Anrufe aktivieren, bevor sie einen verschlüsselten End-to-End-Anruf tätigen können. Anweisungen finden Sie unter Verwenden der End-to-End-Verschlüsselung für Teams-Anrufe.

Zum Beispiel: 

Grant-CsTeamsEnhancedEncryptionPolicy -Identity "kenmeyer@contoso.onmicrosoft.com" -PolicyName "ContosoE2EEUserPolicy"

So heben Sie die Zuweisung einer End-to-End-Verschlüsselungsrichtlinie zu einem einzelnen Benutzer auf

Einem Benutzer kann jeweils nur eine einzige Verschlüsselungsrichtlinie zugewiesen sein. Wenn Sie die Zuweisung einer Richtlinie zu einem Benutzer aufheben, wird dem Benutzer dann die globale, organisationsweite Standardrichtlinie zugewiesen. Sie können die Zuweisung der Standardrichtlinie nicht aufheben. Um die Zuweisung einer End-to-End-Verschlüsselungsrichtlinie zu einem Benutzer aufzuheben, führen Sie das Cmdlet Grant-CsTeamsEnhancedEncryptionPolicy wie folgt aus.

Grant-CsTeamsEnhancedEncryptionPolicy -Identity "kenmeyer@contoso.onmicrosoft.com" -PolicyName $NULL

Aktivieren der End-to-End-Verschlüsselung auf Ihrem Gerät

Anweisungen finden Sie unter Verwenden der End-to-End-Verschlüsselung für Teams-Anrufe.

Die wichtigsten 12 Aufgaben für Sicherheitsteams zur Unterstützung der Arbeit von zu Hause aus

Verwalten von Besprechungseinstellungen in Microsoft Teams