Microsoft Teams: Externe Nutzer jetzt direkt im Defender-Portal sperren

Microsoft vereint Sicherheitskontrollen für Teams und Defender in einer zentralen Plattform. Die Neuerung soll die Reaktionszeit auf Bedrohungen in der externen Zusammenarbeit drastisch verkürzen. Parallel aktivierte der Konzern am Montag, den 12. Januar, für alle Nutzer die „Secure by Default“-Einstellungen.

Zentrale Sperrung im Defender-Portal

Ab sofort können Sicherheitsadministratoren externe Teams-Nutzer direkt über die Tenant Allow/Block List (TABL) im Microsoft Defender-Portal blockieren. Bisher war dafür der Umweg über das separate Teams Admin Center nötig – ein fragmentierter Prozess, der die Reaktion bei Sicherheitsvorfällen verlangsamte.

Die neue Integration erlaubt es SOC-Teams, spezifische externe Nutzer oder ganze Domänen in eine Sperrliste einzutragen. Die Blockade gilt dann unternehmensweit und verhindert Chats, Anrufe oder Meeting-Einladungen der gesperrten Partei. Laut Microsoft können bis zu 4.000 Domänen und 200 einzelne E-Mail-Adressen gesperrt werden.

Passend zum Thema Teams‑Sicherheit: Viele SOC‑Teams verpassen einfache, aber wirksame Maßnahmen, mit denen Phishing-Angriffe und fremde Zugangspunkte schneller neutralisiert werden können. Unser kostenloses E‑Book liefert praxisnahe Checklisten, Incident‑Response‑Erweiterungen und konkrete Schritte für IT‑Leiter, um Collaboration‑Tools wie Teams sicherer zu betreiben — ohne großen Mehraufwand oder teure Personalaufstockung. Ideal für Unternehmen, die schnell reagieren wollen. Jetzt kostenlosen Cyber-Security-Report anfordern

Diese Funktion schließt eine kritische Lücke in der Microsoft 365-Sicherheit. Bedrohungsanalysten können nun etwa einen Phishing-Link aus einem Teams-Chat mit der Quelle korrelieren und diese Identität sofort blockieren – ohne die Untersuchungskonsole zu verlassen. Bestehende Kommunikationen gesperrter Nutzer werden automatisch entfernt.

„Secure by Default“ und neue Admin-Rolle

Parallel zur Integration hat Microsoft die Baseline-Abwehr der Plattform verstärkt. Seit dem 12. Januar gilt für alle Organisationen die „Secure by Default“-Policy. Sie aktiviert automatisch den Schutz vor bösartigen Dateien und gefährlichen URLs, sofern Nutzer diese Einstellungen nicht explizit deaktiviert hatten.

Diese Maßnahme zielt auf die Zunahme von Malware-Kampagnen wie „DarkGate“ ab, die Teams als Einfallstor nutzen. Durch die Standardaktivierung will Microsoft die Angriffsfläche für Unternehmen mit Standardkonfigurationen verkleinern.

Zudem führte Microsoft die neue Rolle des „Teams External Collaboration Administrator“ ein. Diese RBAC-Berechtigung ermöglicht es, die Verwaltung von externen Zugriffspolitiken zu delegieren, ohne volle Admin-Rechte zu vergeben. Experten sehen darin einen Schritt zu granularerer Governance nach dem Prinzip der geringsten Rechte.

Schnellere Reaktion auf Social Engineering

Die Integration ist eine direkte Antwort auf die Risiken durch die „Chat mit jedem“-Funktion in Teams. Diese steigert zwar die Produktivität, eröffnet aber auch neue Wege für Social-Engineering-Angriffe. Cyberkriminelle nutzen externe Accounts zunehmend, um Führungskräfte oder IT-Support zu imitieren und so an Zugänge oder Geld zu gelangen.

Mit der TABL-Integration können SOC-Teams diese Verbindungen nun sofort nach der Entdeckung kappen. Jede Sperrung wird zudem protokolliert, was Compliance-Anforderungen und Nachverfolgbarkeit sicherstellt. Die vollständige Auslieferung an alle kommerziellen Mandanten soll bis Mitte Januar 2026 abgeschlossen sein.

Die Zusammenführung von Kollaborations- und Sicherheitstools spiegelt den Branchentrend zur „Plattformisierung“ der Cybersicherheit wider. Microsoft erkennt an, dass Teams als Angriffsvektor inzwischen genauso kritisch ist wie E-Mail und ein gleichwertiges, integriertes Schutzniveau erfordert.

Ausblick und nächste Schritte

Unternehmen sollten prüfen, ob die neuen Einstellungen im Bereich „Richtlinien & Regeln“ des Defender-Portals bereits verfügbar sind. IT-Leiter werden aufgefordert, ihre Incident-Response-Pläne um die neuen Sperrmöglichkeiten zu erweitern.

Für das erste Quartal 2026 sind weitere Verbesserungen der Teams-Sicherheit angekündigt. Experten rechnen mit noch granulareren Steuerungsmöglichkeiten für den federierten Zugang, etwa zeitlich begrenzte Zugriffsberechtigungen oder domainspezifische Sicherheitsrichtlinien.

PS: Die Integration der TABL ins Defender‑Portal macht deutlich, wie wichtig schnelle, pragmatische Schutzmaßnahmen gegen Social‑Engineering und Phishing sind. Fordern Sie das Gratis‑E‑Book “Cyber Security Awareness Trends” an: Es bietet konkrete Maßnahmen, Awareness‑Checklisten und budgetfreundliche Empfehlungen, mit denen mittelständische Unternehmen ihre Abwehr spürbar stärken können — praxisorientiert und sofort umsetzbar. Gratis E‑Book herunterladen