Teams Besprechungsrichtlinien

Teams ist eine leistungsfähige Audio/Video-Konferenz-Plattform, bei der Teilnehmer per Default sehr umfangreche Berechtigungen haben. Das gilt automatisch für Mitarbeiter mit einem Konto im gleichen Tenant aber auch für Gäste und zum Teil auch anonyme Teilnehmer. Nicht in allen Fällen sind aber alle Teilnehmer "kooperativ" und als Konferenzleiter wollen Sie vielleicht schon einmal verhindern, dass externe Teilnehmer oder Schüler ein Meeting sprichwörtlich "kapern". Diese Seite beschreibt diese Einstellungen.

Hierarchie

Es gibt verschiedene Stellen, an denen der Administrator aber auch der Konferenzleiter Einfluss auf Meetings nehmen können:

  • Globale Meeting Settings
    Hier finden Sie globale Einstellungen, ob anonyme Benutzer erlaubt sind, welche URLs und Branding Teams nutzen soll und welche RTP-Parameter für ihre Firma gelten. Diese Einstellungen können nicht pro Benutzer überstimmt werden
  • Meeting Policies
    Diese Einstellungen können Sie Global, über Gruppen und pro Benutzer zuweisen und steuern die meisten Belange, welche Funktionen ein Administrator dem Benutzer gewährt. Eine Benutzerrichtlinie überstimmt die Richtlinien von Gruppen die wiederrum die globale Richtlinie überstimmen. Ein Benutzer ohne Richtlinien bekommt also immer die "Globale Policy".
    Wenn Benutzer in mehreren Gruppen Mitglied sind, bestimmt die Priorität der Gruppe die effektive Richtlinie.
  • Per Meeting Policies
    Der Konferenzleiter kann dann aber pro Meeting noch einmal eigene Einstellungen vornehmen.

Wenn Sie beim Benutzer die Richtlinien verwalten, gibt es eine Detail-Ansicht, die ihnen die effektiven Richtlinien anzeigt:

Änderungen an den Richtlinien werden umgehend eingetragen aber es kann einige Stunden dauern, bis die Richtlinien verteilt und letztlich vom Client auch angewendet werden.

Schaue wir uns die Einstellungen einmal an.

Meeting Settings

Zuerst sollten Sie sich global die Einstellung anschauen, ob überhaupt anonyme Teilnahme möglich ist und diese Teilnehmer dann auch Apps (z.B. Forms etc) nutzen dürfen. Diese Einstellung ist global für den gesamten Tenant und bestimmt die Obergrenze.

Wenn sie diese Einstellung deaktivieren, kann niemand in ihrem Tenant die Funktion "anonyme Teilnehmer" nutzen. Das kann durchaus gewollt sein, wenn Sie sehr strengen Vorgaben bezüglich der Identifizierung der Teilnehmer unterliegen, z.B. KRITIS-Umgebungen, Energie, Bank, Medizin Militär etc. Bei den meisten gewerblichen Nutzern wird man aber nicht darauf bestehen, dass alle Teilnehmer entweder ein Konto in ihrem Tenant oder als Gast eines anderen Tenants bekannt und identifiziert sind.

Meeting Policies

Wie weiter oben schon geschrieben, gibt es eine "Global (Org-wide default)"-Richtlinie, die für alle Benutzer (und Gäste) in ihrem Tenant angewendet wird.

Guest users follow Teams Org-wide settings for the coexistence Upgrade mode. This can't be changed.
Quelle https://docs.microsoft.com/en-us/microsoftteams/guest-access

Wer also Gäste einschränken will, muss aktuell die Default Policy entsprechend einstellen und dann für alle eigenen Benutzer eine Benutzer-Richtlinie zuweisen.

Microsoft stellt dazu sogar eine ganze Liste von Standardrichtlinien bereit, von denen Sie je eine pro Benutzer anwenden können. Die Liste der Einstellmöglichkeiten erweitert sich manchmal. So kam Ende 2020 die NDI-Einstellung dazu. Aber nicht alle Policies machen Sinn. Sie wurden von Microsoft noch nicht gelöscht aber es wird angezeigt:

Die Richtlinien stammen von früheren Stufen ab, bei denen die globale Einrichtung neue Funktionen nicht aktiv hatte und später dann zum neuen Default wurden. Allerdings sind einige Hinweise auch irreführend. Die Policy "NDI-out active" wird auch als "Do not assign. This policy is same as global defaults and would be deprecated" beschrieben aber aber NDI eingeschaltet. hat z.B. "All On" entgegen dem Namen die Funktion "NDI" nicht aktiviert.

Einstellung "Global (Org-wide default)"
AllOn
BypassMediaLobby
RestrictedAnonymousAccess
NDI-out active Kiosk
AllOff
RestrictedAnonymousNoRecording

General

https://docs.microsoft.com/en-US/microsoftteams/meeting-policies-in-teams?#bkgeneral

Allow Meet now in channels

On

On

Off

On

Allow the Outlook add-in

On

On

Off

On

Allow channel meeting scheduling

On

On

Off

On

Allow scheduling private meetings

On

On

Off

On

Audio&Video

https://docs.microsoft.com/en-US/microsoftteams/meeting-policies-in-teams?bkaudioandvideo

Allow transcription

Off

Off

Off

Off

Allow cloud recording

On

On

Off

Off

Mode for IP audio

In/Out

In/Out

-

-

Mode for IP video

In/Out

In/Out

-

-

Allow IP video

On

On

Off

Off

Allow NDI streaming

Off

On

Off

Off

Media bit rate (Kbs)

50000

50000

50000

50000

Content Sharing

https://docs.microsoft.com/en-US/microsoftteams/meeting-policies-in-teams?#bkcontentsharing

Screen sharing mode

Entire

Entire

-

Entire

Allow a participant to give or request control

On

On

-

On

Allow an external participant to give or request control

On

On

-

Off

Allow PowerPoint sharing

On

On

-

On

Allow whiteboard

On

On

-

On

Allow shared notes

On

On

-

On

Participants&Guests

https://docs.microsoft.com/en-US/microsoftteams/meeting-policies-in-teams?#bkparticipantsandguests

Let anonymous people start a meeting

Off

Off

-

Off

Roles that have presenter rights in meetings

Everyone
User Overwrite
Everyone
User Overwrite

-

Everyone
User Overwrite

Automatically admit people

Everyone

Everyone

-

Everyone

Allow dial-in users to bypass the lobby

Off

Off

-

Off

Allow Meet now in private meetings

On

On

-

On

Enable live captions

Diabled, User Overwrite

Diabled, User Overwrite

-

Diabled

Allow chat in meetings

Enabled

Enabled

-

Enabled

Die Richtlinie können Sie per Teams Admin Center oder PowerShell zuweisen.

Grant-CsTeamsMeetingPolicy `
   -Identity user@msxfaq.de  `
   -PolicyName "Name der Richtlinie"

Wenn Sie als Einstellung für Gäste die globale Policy einschränken, sollten Sie per Provisioning die Einstellungen für ihre Anwender automatisch setzen. Es kann aber auch sein, dass Sie absichtlich die Gäste und Standardanwender einschränken, um die Konferenzleiter erst nach einer Schulung für gewisse Funktionen frei zu schalten.

Policies für Konferenzleiter, Mitglieder und Gäste

Es ist nicht der Regelfall, dass in einem Meeting alle Teilnehmer immer die gleiche Richtlinie und damit auch Berechtigung haben

Für Gäste in ihrem Team gibt es zwar entsprechende Gast-Accounts im AzureAD aber die haben keine Teams Lizenz und sind auch im Teams Admin Center nicht zu sehen. Sie bekommen per Default die Berechtigungen der "Global (Org-wide default)"-Richtlinie. Dennoch gibt es noch andere Unterscheidungen, die nicht explizit in einer Policy hinterlegt sind.

People outside your organization, such as federated and anonymous users, can't start the recording. Guest users can't start or stop the recording.
Quelle: https://docs.microsoft.com/en-us/microsoftteams/meeting-policies-in-teams#allow-cloud-recording

Auch ist nicht immer die Richtlinie des Konferenzleiters maßgeblich. So kann auch ein Teilnehmer ein Meeting aufzeichnen, wenn er die Berechtigung dazu hat. Selbst wenn der Konferenzleiter dieses recht nicht hat

Das ist insbesondere bei Schulung und EDU-Tenants wichtig, damit z.B. Schüler keine Aufzeichnung starten.

Einstellungen vor dem Meeting

Neben den Default Einstellungen für den Anwender kann auch der Konferenzleiter einige Einstellungen individuell pro Meeting konfigurieren.

  • Outlook
    Wenn Sie den Termin als Konferenzleiter planen, dann landet er in ihrem Outlook. Dort gibt es einen Link zu den Konferenzeinstellungen:
  • Teams Kanalmeeting
    Wenn Sie einen Termin in Teams planen, dann addiert Teams diesen auch in ihren Outlook Kalender. Sie können aber auch den Termin in einem Kanal veröffentlichen. Auch dort gibt es den gleichen Link:

Diese Einstellungen können Sie als Vorbereitend schon vornehmen. In beiden Fällen öffnet sich eine Webseite:

Die Einstellmöglichkeiten orientieren sich natürlich an ihren Richtlinien.

Hinweis
Wenn Sie beim Klick auf die Besprechungsoptionen einen Fehler bekommen, dann starten Sie in dem Browser bitte einmal Teams über die URL "https://teams.microsoft.com" und prüfen Sie rechts oben, ob sie in dem Browser auch in ihrem Tenant sind.

Einstellungen im Meeting

Als Konferenzleiter haben Sie im Meeting auch noch die Möglichkeit zur Kontrolle der Besprechung. Hier öffnet sich aber keine eigen Webseite sondern direkt die Einstellung in Teams.

Diese Einstellungen wirken dann direkt auf die laufende Besprechung aus.

Meetings einschränken

Sie sehen also, dass ein Admin schon einmal die Obergrenze festlegen kann, was ein Anwender einstellen darf aber die wichtige Funktion bleibt der Konferenzleiter. Eine Schlüsselfunktion kommt der Frage "Wer kann präsentieren" zu. Wenn hier "Jeder" steht, dann ist jeder Teilnehme auch Referenz und kann im schlimmsten Fall den eigentlichen Konferenzleiter stumm schalten oder sogar aus der Konferenz rauswerfen. Damit eine Abstufung nach "Teilnehmer" und "Referent" verfügbar wird, muss der Konferenzleiter diese Einstellung anpassen, damit Sie dann Referenten und Teilnehmer trennen.

Über den Weg können Sie immer noch einen Teilnehmer zum Referenten hochstufen. Das sollten Sie aber auch hier nur für Personen machen, denen Sie vertrauen, denn als Referent könnte dieser sie dann auch wieder aus der Konferenz entfernen.

Das Risiko ist aber überschaubar, denn die Konten sind ja nicht anonym und ein klärendes Gespräch sollte solche Störungen zukünftig vermeiden.

Sie können natürlich auch vorher oder beim Meeting die Auswahl auf "Bestimmte Personen" stellen und damit mehrere Referenten schon vorab zulassen. Bei einer laufenden Konferenz müssen Sie als Referent aktuell das Meeting danach aber noch mal verlassen und neu beitreten.

Die Einstellung "Personen in meiner Organisation" ist bei Firmen durchaus üblich aber in Schulen natürlich kontraproduktiv, da auch die Schüler ja "in der Organisation" sind

Policies und EDU

Ein Sonderfall sind hier z.B. Tenants für Schulen und Universitäten. Hier wäre es sehr ungeschickt, wenn alle Schüler zugleich auch Referenten sind. Hier sollten Sie umgehend als Lehrkraft dafür sorgen, dass bei ihren Meetings die Einstellungen von "Roles that have presenter rights in meetings" auf "Organizers, but users can overwrite" steht:

Das kann durchaus auch eine sinnvolle Einstellung für Firmen sein um Fehlbedienungen von Anwendern zu erschweren

Die Folge ist, dass bei einer Einladung die Standardeinstellung auf "nur Ich" steht aber vom Konferenzleiter natürlich wieder geändert werden kann. Die Teilnehmer sehen beim Eintritt folgende Meldung

Der Link verweist auf

Bei einem EDU-Tenant habe ich noch keine Funktion gesehen, dass Schüler und Lehrer unterschiedliche Richtlinien haben

Zumindest in meinem Tenant haben Lehrer und Schüler beide die "Global Policy"

Der Versuch die Richtlinie im Teams Admin Center anzuschauen, schlug am 10. Nov 2020 bei mir fehlt:

Policy Packages

Stattdessen arbeitet Microsoft hier sehr intensiv mit "Policy Packages". Mit diesen Paketen können Sie an bestimmte Benutzer gleich eine ganze Gruppen von Richtlinien anwenden. Microsoft liefert dazu eine ganze Menge an "Policy Packages" mit aus, die z.B. nur per PowerShell zu sehen sind.

PS C:\> Get-CsPolicyPackage | ft name,description

Name                                    Description
----                                    -----------
Education_HigherEducationStudent        This is an Education_HigherEducationStudent package
Education_PrimaryStudent                This is an Education_PrimaryStudent package
Education_PrimaryStudent_RemoteLearning This is an Education_PrimaryStudent_RemoteLearning package
Education_PrimaryTeacher_RemoteLearning This is an Education_PrimaryTeacher_RemoteLearning package
Education_SecondaryStudent              This is an Education_SecondaryStudent package
Education_Teacher                       This is an Education_Teacher package
Firstline_Manager                       This is a Firstline_Manager package
Firstline_Worker                        This is a Firstline_Worker package
Healthcare_ClinicalWorker               This is a Healthcare_ClinicalWorker package
Healthcare_InformationWorker            This is a Healthcare_InformationWorker package
Healthcare_Patient_Room                 This is a Healthcare_Patient_Room package
PublicSafety_Officer                    This is a PublicSafety_Officer package
SmallMediumBusiness_BusinessVoice       This is a SmallMediumBusiness_BusinessVoice package
SmallMediumBusiness_NoBusinessVoice     This is a SmallMediumBusiness_NoBusinessVoice package

Sie können die Policies aber auch im Teams Admin Center zuweisen. Hier weise ich eine Policy einem Lehrer zu. Für einen Schüler werden andere Pakete vorgeschlagen

Anscheinend sind aber EDU-Tenants als auch GOV und Gesundheitswesen identisch. Mit folgendem PowerShell-Befehl können Sie

Get-CsPolicyPackage  Education_Teacher | fl

Hier einmal zwei Policies im direkten Vergleich:

Name

Education_Teacher

Education_PrimaryStudent

Name        : Education_Teacher
Description : This is an Education_Teacher package


PolicyName    : TeamsMessagingPolicy
PolicyContent : {
   "Identity": "",
   "Description": "",
   "GiphyRatingType": "",
   "AllowRemoveUser": 
}


PolicyName    : TeamsMeetingPolicy
PolicyContent : {
   "Identity": "",
   "Description": "",
   "AllowPrivateMeetingScheduling": ,
   "AllowOutlookAddIn": ,
   "AllowChannelMeetingScheduling": ,
   "AllowExternalParticipantGiveRequestControl": ,
   "AllowMeetNow": true,
   "AllowOrganizersToOverrideLobbySettings": ,
   "AllowPrivateMeetNow": true
}


PolicyName    : TeamsAppSetupPolicy
PolicyContent : {
   "Identity": "",
   "Description": "",
   "PinnedAppBarApps": Total
   "PinnedAppBarAppsForInput": Total


PolicyName    : TeamsCallingPolicy
PolicyContent : {
   "Identity": "",
   "Description": "",
   "AllowPrivateCalling": ,
   "AllowCallForwardingToUser": ,
   "AllowCallForwardingToPhone": ,
   "AllowVoicemail": "",
   "PreventTollBypass": 
}


PolicyName    : TeamsMeetingBroadcastPolicy
PolicyContent : {
   "Identity": "",
   "Description": "",
   "AllowBroadcastScheduling": 
}
Education_Teacher
This is an Education_Teacher package




"Education_Teacher",
"This is an Education_Teacher Messaging policy",
"Moderate",
true





"Education_Teacher",
"This is an Education_Teacher TeamsMeeting policy",
true,
true,
true,
true,
true,
true,
true





"Education_Teacher",
"This is an Education_Teacher AppSetup policy",
4
4




"Education_Teacher",
"This is an Education_Teacher Calling policy",
true,
true,
true,
"UserOverride",
true





"Education_Teacher",
"This is an Education_Teacher TeamsBroadcast policy",
true
Education_PrimaryStudent
This is an Education_PrimaryStudent package




"Education_PrimaryStudent",
"This is an Education_PrimaryStudent Messaging policy",
"Strict",
false





"Education_PrimaryStudent",
"This is an Education_PrimaryStudent TeamsMeeting policy",
false,
false,
false,
false,
false,
false,
false





"Education_PrimaryStudent",
"This is an Education_PrimaryStudent AppSetup policy",
3
3




"Education_PrimaryStudent",
"This is an Education_PrimaryStudent Calling policy",
false,
false,
false,
AlwaysDisabled",
false





"Education_PrimaryStudent",
"This is an Education_PrimaryStudent TeamsBroadcast policy",
false

Weitere Links