Teams und Groups Provisioning

Microsoft führte Teams und Groups in Office 365 ein und jeder Mitarbeiter kann sich seine Teams bzw. Groups anlegen, als Besitzer selbst verwalten und per Mail erreichbar machen. Genial für Startups und kleine Firmen ohne Administrator aber ein Schreckgespenst für die alteingesessene IT und größere Firmen mit Prozessen. Daher sollten Sie überlegen, ob sie diese Freizügigkeit früh schon begrenzen und in geregelte Bahnen lenken.

Worum geht es?

Groups und insbesondere Teams sind die moderne Plattform für Zusammenarbeit dar und Microsoft legt für jedes Team z.B.: eine SharePoint Site und ein Exchange Group-Postfach im Hintergrund an, in denen dann die unterschiedlichen Daten landen. Für Firmen mit geordneten Prozessen ist so eine quasi chaotische Datenorganisation in Eigenverantwortung nicht tolerierbar.

Benutzer und Daten müssen geführt und gesteuert werden, damit Sie die Daten nur an Orte ablegen, die alle Anforderungen an Compliance und Arbeitsprozesse erfüllen. Dazu stellen die für die Daten verantwortlichen Personen entsprechende Bereiche frei und erlauben den Zugriff für die Anwender. Das kann eine SMB-Freigabe, ein GIT-Repository, SharePoint oder Teams werden. Die Standardeinstellung bei Teams erlaubt es aber jedem Anwender eigenverantwortlich entsprechende Groups und Teams anzulegen.

Mittlerweile erscheinen diese dann auch im Adressbuch und werden in Outlook angezeigt und durch Anwender gefunden. Allerdings haben diese Teams dann eine "onmicrosoft.com"-Adresse in der Cloud und werden im Exchange Hybrid Mode nur gesehen, wenn auch "Groups Writeback" beim AADConnect aktiviert ist.

Verschiedene Benutzer können sogar Teams mit dem gleichen "Display"-Namen anlegen. Das kann letztlich mehr verwirren als nützen und ist eher für kleine Startups oder Firmen  praktikabel. Natürlich können Sie als Administrator über die "Besitzer" immer ermitteln welcher Anwender denn so frei war, eine Team anzulegen. Aber die Rückabwicklung und Aufräumarbeit bleibt dann doch bei ihnen hängen. Es können ja durchaus relevante Dateien und Informationen schon in so einem Team gelandet sein.

Ich gehe daher davon aus, dass vermutlich die meisten Firmen die Berechtigungen zu Anlage von Groups und Teams einschränken und durch einen Beantragungsprozess führen wollen.

Dazu muss ein Office 365 Administrator erst einmal einstellen, dass eben nicht mehr jeder Benutzer eigenständig Teams anlegen darf. Microsoft hat dazu gleich mehrere Artikel veröffentlicht. Zum Einstieg verweise ich auf folgende Seite:

Dieser Artikel beginnt gleich am Anfang nämlich mit der Information, dass die Einschränkung nicht nur Groups und Teams betrifft, sondern auch jede Menge andere Funktionen von Office 365, die direkt oder indirekt von Groups abhängig sind. Dazu zählen z.B.

  • Outlook
    Anwender können keine Groups mehr anlegen
  • SharePoint
    Anwender können keine Groups/Teams mehr anlegen, da diese im Hintergrund auch SharePoint Sites anlegen würden.
  • Yammer
  • Microsoft Teams
    Weder Administratoren noch Anwender können dann neue Teams anlegen.
  • StaffHub
    Weder Administratoren noch Anwender können dann neue Teams anlegen
  • Planner
    Anwender können keinen neuen Plan in der mobilen App oder per Browser anlegen.
  • PowerBI
    Einschränkungen soll es auch hier geben

Die Steuerung der Berechtigungen wirkt sich also durchaus auf mehrere Produkte aus.

Beschränken mit MSOLCompanyInformation

Ich kann alle Administratoren verstehen, die die Neuanlage von Office Sicherheitsgruppen durch Benutzer verhindern wollen. Per Default können dies Anwender nämlich tun. Die aktuellen Einstellungen finden Sie mit:

Connect-MsolService

Get-MsolCompanyInformation

DisplayName                              : test_msxfaq
PreferredLanguage                        : en
Street                                   :
City                                     :
State                                    :
PostalCode                               :
Country                                  :
CountryLetterCode                        : US
TelephoneNumber                          :
MarketingNotificationEmails              : {}
TechnicalNotificationEmails              : {user1@msxfaq.de}
SelfServePasswordResetEnabled            : True
UsersPermissionToCreateGroupsEnabled     : True
UsersPermissionToCreateLOBAppsEnabled    : True
UsersPermissionToReadOtherUsersEnabled   : True
UsersPermissionToUserConsentToAppEnabled : True
DirectorySynchronizationEnabled          : True
DirSyncServiceAccount                    : Sync_DC01_xxxxxx@msxfaq.onmicrosoft.com
LastDirSyncTime                          : 03.11.2017 23:35:43
LastPasswordSyncTime                     : 03.11.2017 23:48:23
PasswordSynchronizationEnabled           : True

Sie sehen hier auch den Eintrag "UsersPermissionToCreateGroupsEnabled", der per Default auf "$true" steht. Den wollen Sie vielleicht auf $false setzen:

Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $false

Die Einstellungen werden sehr schnell aktiv.

Die beeinflusst natürlich noch nicht die GUI in Teams und Office Groups.

Teams Rechte beschränken

Die Funktion zur Beschränkung und Steuerung der Berechtigungen ist es versteckt, wie Sie aus dem URL-Anteil "undocumentedfeatures" der beiden Blog-Artikel schon erahnen können. Mittlerweile ist es natürlich dokumentiert.

Microsoft Teams and Office 365 Creation Lockdown Tool
https://gallery.technet.microsoft.com/Teams-and-Office-365-8a4461a2
Auf der PowerShell Gallery gibt es ein Skript, welches die Konfiguration über eine GUI einfach möglich macht.

Die Einstellung erfolgt über die Azure PowerShell und ist eine globale Einstellung auf dem Tenant. Es gibt dazu einige Beispiele im Internet. Die Filterung, wer Groups/Teams und andere Dienste anlegen darf, erfolgt über eine Sicherheitsgruppe. Sie als Administrator müssen also entscheiden, ob Sie dazu eine "CloudOnly"-Security Group oder eine lokale AD-Security Gruppe nutzen möchten, die dann samt Mitglieder über AADConnect in den Tenant übertragen wird. Mit dem Wissen um den Namen der Gruppe können Sie dann im Tenant diese Gruppe eintragen. In meinem Beispiel lautet die Gruppe "Office365GroupTeamsAdminstrators".

param(
   $groupname= 'Office365GroupTeamsAdminstrators'
)

Install-Module AzureAD
Install-Module AzureADPreview -AllowClobber
AzureADPreview\Connect-AzureAD 

$Office365GroupTeamsAdminstratorsGroup = (Get-AzureADGroup -SearchString $groupname)
if ($Office365GroupTeamsAdminstratorsGroup) { 
   write-host "Gruppe gefunden"
   # Lade AzureADSettings in eine Variable
   $AzureADSettings = Get-AzureADDirectorySetting | Where-Object {$_.DisplayName -eq 'Group.Unified'}

   If ( !( $AzureADSettings)) {
      write-host "Konfiguration nicht vorhanden. Bereite Einrichtung vor."
      $AzureADTemplate = Get-AzureADDirectorySettingTemplate | Where-Object {$_.DisplayName -eq ‘Group.Unified’}
      $AzureADSettings = $AzureADTemplate.CreateDirectorySetting()
   }

   write-verbose "Setze Einstellungen"
   $AzureADSettings['EnableGroupCreation’] = 'false'
   $AzureADSettings['AllowToAddGuests’] = 'false'
   $AzureADSettings['GroupCreationAllowedGroupId'] = $Office365GroupTeamsAdminstratorsGroup.ObjectId
   If ( Get-AzureADDirectorySetting | Where-Object {$_.DisplayName -eq ‘Group.Unified’} ) {
      write-host "Update GroupTeams Setting"
      $AzureADSettings | Set-AzureADDirectorySetting -DirectorySetting $AzureADSettings
   }
   Else {
      write-host "Create new GroupTeams Setting"
      New-AzureADDirectorySetting -DirectorySetting $AzureADSettings
   }
}
else {
   write-host "Berechtigungsgruppe nicht gefunden"
}

Danach können nur noch Anwender die Groups und Teams anlegen, die in dieser Gruppen enthalten sind. Ich würde erst einmal davon ausgehen, dass die Anwender über dieser Gruppe keine Teams mehr in einer GUI anlegen können. Ich würde meine Hand nicht ins Feuer legen dass dies nicht über PowerShell oder andere Wege an das noch möglich ist. Microsoft entwickelt in Teams noch sehr viele Funktionen und grade die Administration ist noch nicht fertig. Insofern wird sich dort in Zukunft vermutlich auch noch etwas tun.

Sie können diese Änderung natürlich einfach wieder anpassen, z.B. indem sie die beiden Zeilen nach ihren Anforderungen anpassen und das Skript noch mal starten:

$AzureADSettings[‘EnableGroupCreation’] = ‘false’
$AzureADSettings[‘AllowToAddGuests’] = ‘false’

Alternativ können Sie auch den Eintrag im AzureAD wieder entfernen:

$AzureADSettings = Get-AzureADDirectorySetting | Where-Object {$_.DisplayName -eq ‘Group.Unified’} 
$AzureADSettings | Set-AzureADDirectorySetting -DirectorySetting $null

Achten Sie aber vielleicht darauf, ob zwischenzeitlich über die gleiche Einstellungsoption nicht noch anderer Parameter konfiguriert wurden, die sie dann auch mit entsorgen würden.

Verwaltung strukturieren

Sie können diese Steuerung aber nun auch als Chance begreifen, um die Verwaltung von Groups und Teams in geregelte Bahnen zu lenken. Wichtig ist hier z.B. zu erfassen, wozu ein Team angefordert wird, welche Daten darin zu erwarten sind und wer darauf zugreifen soll. Sie sollten Sie ein Konzept für die Benennung der Gruppen und die Sichtbarkeit im Outlook Adressbuch übernehmen.

Sie könnten auch überlegen als Administrator nach der Anlage des Teams bestimmte Firmenvorgaben vorab schon umzusetzen, z.B. vorbereitete Channels, oder Layouts.

Je größer eine Firma ist und je mehr Teams zu verwalten sind, desto eher dürfte sich sogar ein automatisierter und per Skript gesteuerter Workflow rechnen. Die Anlage und Verwaltung der Inhalte von Teams ist per PowerShell schon möglich

Weitere Links