Ich nutze Teams Direct Connect in fast jeder Zusammenarbeit — ob mit Systemhäusern, Endkunden oder Projektpartnern. Warum? Weil ich keine Lust habe, für jedes Projekt Gastzugänge zu verwalten, und meine Kunden keine Lust haben, zwischen Tenants hin- und herzuschalten. Shared Channels lösen das Problem elegant: Ein gemeinsamer Kanal, direkt in Teams, ohne dass irgendjemand seinen Account wechseln muss.
Bei manufare ist das mittlerweile der Standard-Einstieg in jede Kundenbeziehung. Erster Call, kurze Abstimmung, Shared Channel steht. Ab dann läuft die gesamte Kommunikation dort — Dateien, Notizen, Rückfragen, alles an einem Ort. Kein E-Mail-Ping-Pong, kein “Ich hab dir den Gastzugang nochmal geschickt”.
Dieser Artikel zeigt dir, wie du das Schritt für Schritt aufsetzt — inklusive der Stellen, an denen es gern hakt.
Microsoft hat das Feature übrigens schon 2022 in einem Deep Dive vorgestellt — wer sich das lieber als Video anschaut:
Was ist Teams Direct Connect / Shared Channels?
Microsoft Teams kennt seit 2022 sogenannte Shared Channels — ein Kanaltyp, der über Tenant-Grenzen hinweg geteilt werden kann. Das bedeutet: Benutzer aus Tenant A und Benutzer aus Tenant B arbeiten im selben Kanal, ohne dass jemand einen Gastzugang bekommt oder zwischen Konten wechseln muss.
Technisch steckt dahinter Azure AD B2B Direct Connect (seit der Umbenennung: Microsoft Entra B2B Direct Connect). Der Unterschied zu regulären B2B-Gastkonten: Es werden keine Gastbenutzer-Objekte im Verzeichnis angelegt. Die Identitäten bleiben vollständig im Heimat-Tenant. Die Vertrauensbeziehung wird auf Policy-Ebene konfiguriert, nicht per Einladungs-E-Mail mit anschließendem Einlösen eines Links.
Für den Endnutzer sieht das so aus: Der externe Kanal erscheint einfach in seiner Teams-App, unterhalb der eigenen Teams. Kein Account-Wechsel, kein separates Teams-Fenster, kein “Du wirst als Gast angemeldet”-Banner.
Warum nicht einfach Gastzugang?
Das ist die erste Frage, die fast immer kommt — und die Antwort ist: kommt drauf an.
Gastzugang (B2B Collaboration) funktioniert so: Du lädst eine externe E-Mail-Adresse ein, Microsoft legt ein Gastbenutzer-Objekt in deinem Entra ID an, und der externe Nutzer kann mit seinen Zugangsdaten auf deine Teams-Umgebung zugreifen — muss aber explizit zwischen seinem Heimat-Tenant und deinem wechseln.
Das hat Nachteile, die in der Praxis schnell nerven:
- Lizenzen: Je nach Microsoft-365-Plan brauchst du ggf. externe Lizenzen oder musst auf Gastzugänge im Rahmen deines bestehenden Plans achten. Die Zählung kann komplex werden.
- Verzeichnis-Müll: Jeder Gastzugang ist ein Objekt in deinem Entra ID. Bei vielen Partnern summiert sich das.
- Context-Switch: Externe Nutzer müssen in Teams ihr Konto wechseln — das passiert über das Account-Menü oben rechts. Klingt klein, ist aber im Alltag ein echter Reibungspunkt.
- Eingeschränkte Funktionalität: Gäste sehen standardmäßig nicht alle Kanäle, können keine neuen Teams erstellen, haben eingeschränkte App-Permissions.
Direct Connect schlägt einen anderen Weg ein:
- Keine Verzeichnisobjekte, keine Lizenzzählung für externe Nutzer
- Nahtlose UX — der Kanal erscheint nativ in der eigenen Teams-Instanz
- Beide Parteien behalten volle Kontrolle über ihre Identitäten und Daten
Der Haken: Beide Tenants müssen die Konfiguration aktiv durchführen. Bei Gastzugängen reicht es, wenn eine Seite einlädt. Bei Direct Connect müssen beide Admins Hand anlegen. Das macht es etwas aufwändiger beim Setup — zahlt sich aber aus, sobald die Zusammenarbeit dauerhaft ist.
Meine Empfehlung:
- Kurzfristige Zusammenarbeit, einzelne Personen, wechselnde Partner → Gastzugang
- Dauerhafte Zusammenarbeit zwischen zwei Unternehmen, mehrere Beteiligte → Direct Connect
Voraussetzungen
Bevor du anfängst: Stell sicher, dass beides stimmt — auf deiner Seite und auf der Seite des Partners.
Auf beiden Seiten nötig:
- Microsoft 365 Business Basic oder höher (oder Enterprise-Pläne). Teams Essentials reicht nicht für Shared Channels mit externen Tenants.
- Microsoft Entra ID (ehemals Azure Active Directory) — also kein “reines” Teams ohne Microsoft-365-Abo.
- Admin-Zugang zum Teams Admin Center und zum Entra Admin Center.
- External Access in Teams darf nicht komplett gesperrt sein.
Wichtig: Du brauchst Zugang zu beiden Seiten — oder einen Ansprechpartner beim Partner-Tenant, der die Konfiguration auf seiner Seite durchführt. Einseitig geht hier nichts.
Schritt 1: Shared Channels in Teams aktivieren
Zuerst muss Teams auf beiden Seiten so konfiguriert sein, dass Shared Channels erlaubt sind — sowohl das Erstellen als auch das Beitreten zu externen Shared Channels.
Öffne das Teams Admin Center (admin.teams.microsoft.com) und navigiere zu:
Teams > Teams policiesBearbeite die zugewiesene Policy (meistens “Global”) oder erstelle eine neue. Folgende Einstellungen müssen aktiv sein:
- Create shared channels → On
- Invite external users to shared channels → On
- Join external shared channels → On
Diese drei Einstellungen müssen auf beiden Tenant-Seiten gesetzt werden. Ohne “Join external shared channels” kann dein Nutzer zwar eingeladen werden, sieht den Kanal aber nicht.
Policy-Änderungen in Teams brauchen manchmal bis zu einer Stunde, bis sie für alle Nutzer greifen. Plane das ein.
Schritt 2: External Access in Teams prüfen
Bevor Entra ID überhaupt ins Spiel kommt, muss sichergestellt sein, dass External Access in Teams nicht komplett blockiert ist.
Navigiere im Teams Admin Center zu:
Users > External accessHier gibt es drei Modi:
- Allow all external domains — alles offen
- Allow specific external domains — Whitelist
- Block all external domains — alles dicht
Für Direct Connect muss der Partner-Tenant entweder im “Allow all”-Modus liegen oder explizit auf der Whitelist stehen. Wenn External Access komplett gesperrt ist, kannst du keine Shared Channels mit externen Usern aufbauen, auch wenn Entra ID korrekt konfiguriert ist.
Prüf das auf beiden Seiten. Es passiert häufiger als man denkt, dass ein Tenant von einem früheren Admin auf “Block all” gesetzt wurde und niemand mehr weiß warum.
Schritt 3: Cross-Tenant Access in Entra ID konfigurieren
Das ist der entscheidende Teil — und der, der am häufigsten vergessen wird oder falsch gemacht wird. Hier passiert die eigentliche Vertrauensbeziehung zwischen den Tenants.
Öffne das Entra Admin Center (entra.microsoft.com) und navigiere zu:
External Identities > Cross-tenant access settingsOrganisation hinzufügen
Klicke auf Add organization und gib die Domain oder die Tenant-ID des Partners ein. Nach dem Hinzufügen siehst du die Organisation in der Liste mit Status “Inherited from default” — das bedeutet, die globalen Standardeinstellungen gelten.
Klicke auf die Organisation, um sie individuell zu konfigurieren.
Inbound-Einstellungen konfigurieren
Inbound bedeutet: Was darf der Partner-Tenant in deiner Umgebung tun?
Wechsle zu Inbound access > B2B direct connect.
- Users and groups: Wähle “Allow access” und entweder alle Benutzer oder spezifische Gruppen
- Applications: Klicke auf “Customize settings” und wähle Office 365 aus der App-Liste
Ohne die Office-365-App explizit zu erlauben funktioniert Direct Connect nicht — auch wenn alles andere grün ist.
Outbound-Einstellungen konfigurieren
Outbound bedeutet: Was dürfen deine Nutzer beim Partner machen?
Wechsle zu Outbound access > B2B direct connect.
Gleiche Konfiguration:
- Users and groups: “Allow access” für die relevanten Nutzer oder Gruppen
- Applications: Office 365 erlauben
Auf beiden Seiten!
Diese Konfiguration muss spiegelbildlich beim Partner-Tenant durchgeführt werden. Dein Inbound entspricht dem Outbound des Partners — und umgekehrt. Ohne beidseitige Konfiguration baut die Verbindung nicht auf.
Wenn du keinen Admin-Zugang beim Partner hast, schick ihm diese Anleitung (oder diesen Abschnitt). Die Konfiguration ist identisch, nur aus seiner Perspektive gespiegelt.
Schritt 4: Shared Channel erstellen und externe Nutzer einladen
Jetzt kommt der einfache Teil — das eigentliche Setup in Teams.
Öffne Microsoft Teams und navigiere zu dem Team, in dem du den Shared Channel erstellen willst.
Klicke auf die drei Punkte neben dem Team-Namen und wähle Add channel. Im Dialog:
- Gib dem Kanal einen Namen
- Wähle unter Privacy die Option Shared — People you choose from your org or other orgs
Bestätige mit Create.
Externe Nutzer einladen
Im neu erstellten Shared Channel klicke oben rechts auf Add people. Gib die E-Mail-Adresse des externen Nutzers ein — das muss die Adresse sein, mit der er in seinem eigenen Tenant angemeldet ist, nicht eine Alias-Adresse oder persönliche Mail.
Teams schickt eine Einladung. Der externe Nutzer sieht in seiner eigenen Teams-App eine Benachrichtigung und kann den Kanal akzeptieren.
Nach dem Akzeptieren erscheint der Kanal in seiner Teams-Instanz unter einem eigenen Abschnitt, getrennt von seinen eigenen Teams. Der Kanalname zeigt den ursprünglichen Team-Namen in Klammern an, damit klar ist, wo er herkommt.
Testen
So überprüfst du, ob alles klappt:
- Nachricht schicken: Schreib im Shared Channel eine Testnachricht. Sie sollte auf beiden Seiten sichtbar sein.
- Tabs und Apps: Prüf, ob beide Seiten Tabs sehen und nutzen können.
- Dateien: Lade eine Datei hoch. Der externe Nutzer sollte sie öffnen können. Hinweis: Dateien liegen im SharePoint des einladenden Tenants — das ist normal und gewollt.
- Meetings: Erstelle ein Meeting direkt aus dem Shared Channel. Externe Teilnehmer sollten es in ihrem Teams-Kalender sehen.
Was prüfen, wenn es nicht funktioniert?
- Einladung kam nicht an: Prüf zuerst Spam-Ordner. Dann: War External Access korrekt konfiguriert (Schritt 2)?
- Kanal erscheint nicht: Entra ID Propagation abwarten (bis zu 6 Stunden). Oder: Inbound/Outbound-Konfiguration nochmal prüfen — insbesondere ob Office 365 als App explizit erlaubt ist.
- “You can’t join this channel”: Policy in Teams Admin Center (Schritt 1) greift noch nicht oder fehlt auf einer Seite.
- Nutzer sieht Kanal, kann aber nicht schreiben: Kanalberechtigungen prüfen — der externe Nutzer muss als Mitglied und nicht nur als Gast hinzugefügt sein.
Häufige Stolpersteine
Aus der Praxis — das sind die Punkte, die am häufigsten Zeit kosten:
Propagation Delay. Entra-ID-Änderungen sind nicht sofort wirksam. Zwischen der Konfiguration und dem tatsächlichen Greifen können bis zu 6 Stunden liegen. Ich hab schon Stunden damit verbracht, Fehler zu suchen, die gar keine waren — die Einstellungen waren einfach noch nicht durchgepropagiert. Mach die Konfiguration abends, teste am nächsten Morgen.
Nur eine Seite konfiguriert. Der häufigste Fehler überhaupt. Admin A macht alles richtig, aber Admin B hat keine Ahnung, dass er ebenfalls ran muss. Schick dem Partner eine Checkliste.
Office 365 App nicht explizit erlaubt. In den Entra Cross-Tenant-Einstellungen ist “Inherited from default” nicht dasselbe wie “Office 365 erlaubt”. Du musst die App explizit auswählen.
GCC-Tenants. Wenn dein Partner einen Government Community Cloud-Tenant betreibt (GCC, GCC High, DoD), gibt es zusätzliche Einschränkungen. Direct Connect zwischen kommerziellen und GCC-Tenants ist entweder eingeschränkt oder nicht verfügbar. Das ist kein Konfigurationsfehler, sondern eine Microsoft-Limitierung.
Teams-Policy greift nicht auf alle Nutzer. Wenn deine Teams-Policy nicht “Global” ist, sondern einer bestimmten Gruppe zugewiesen, können Nutzer außerhalb dieser Gruppe keine Shared Channels nutzen — auch wenn die Entra-Konfiguration passt.
Conditional Access Policies. Wenn dein Tenant strenge Conditional Access Policies hat (z.B. “Nur compliant devices”), kann das externe Nutzer blockieren, weil ihr Gerät nicht managed ist. Prüf deine CA-Policies auf Ausnahmen für B2B Direct Connect.
Wann Direct Connect, wann Gastzugang?
Zum Schluss nochmal klar, weil es die wichtigste Entscheidung ist bevor du anfängst:
Nimm Direct Connect, wenn:
- Ihr dauerhaft zusammenarbeitet (Wochen, Monate, Jahre)
- Mehrere Personen auf beiden Seiten beteiligt sind
- Die UX entscheidend ist — niemand soll zwischen Konten wechseln müssen
- Du Verzeichnis-Hygiene ernst nimmst und keine Gastkonten anhäufen willst
- Beide Admins Zeit haben, das einmalige Setup durchzuführen
Nimm Gastzugang, wenn:
- Die Zusammenarbeit kurzfristig ist
- Du nur eine einzelne Person extern einbindest
- Der Partner-Admin nicht erreichbar ist oder keine Zeit hat
- Es schnell gehen muss und ein paar Einschränkungen okay sind
- Du Teams Essentials einsetzt (kein Direct Connect möglich)
In der Praxis sehe ich oft, dass Unternehmen mit Gastzugängen anfangen und nach ein paar Monaten auf Direct Connect umsteigen — weil der Context-Switch nervt und die Gastkonten sich angehäuft haben. Wenn du weißt, dass die Zusammenarbeit dauerhaft wird: mach es gleich richtig.
Das Setup kostet vielleicht 30 Minuten auf jeder Seite. Danach läuft es einfach.