Teams und Groups Provisioning
Microsoft führte Teams und Groups in Office 365 ein und jeder Mitarbeiter kann sich seine Teams bzw. Groups anlegen, als Besitzer selbst verwalten und per Mail erreichbar machen. Genial für Startups und kleine Firmen ohne Administrator aber ein Schreckgespenst für die alteingesessene IT und größere Firmen mit Prozessen. Daher sollten Sie überlegen, ob sie diese Freizügigkeit früh schon begrenzen und in geregelte Bahnen lenken.
Beachte dazu auch Teams Lebenslauf und Teams anlegen
Worum geht es?
Groups und insbesondere Teams sind die moderne Plattform für Zusammenarbeit dar und Microsoft legt für jedes Team z.B.: eine SharePoint Site und ein Exchange Group-Postfach im Hintergrund an, in denen dann die unterschiedlichen Daten landen. Für Firmen mit geordneten Prozessen ist so eine quasi chaotische Datenorganisation in Eigenverantwortung nicht tolerierbar.
Benutzer und Daten müssen geführt und gesteuert werden, damit Sie die Daten nur an Orte ablegen, die alle Anforderungen an Compliance und Arbeitsprozesse erfüllen. Dazu stellen die für die Daten verantwortlichen Personen entsprechende Bereiche frei und erlauben den Zugriff für die Anwender. Das kann eine SMB-Freigabe, ein GIT-Repository, SharePoint oder Teams werden. Die Standardeinstellung bei Teams erlaubt es aber jedem Anwender eigenverantwortlich entsprechende Groups und Teams anzulegen.
Mittlerweile erscheinen diese dann auch im Adressbuch und werden in Outlook angezeigt und durch Anwender gefunden. Allerdings haben diese Teams dann eine "onmicrosoft.com"-Adresse in der Cloud und werden im Exchange Hybrid Mode nur gesehen, wenn auch "M365Groups Writeback" beim AADConnect aktiviert ist.
Verschiedene Benutzer können sogar Teams mit dem gleichen "Display"-Namen anlegen. Das kann letztlich mehr verwirren als nützen und ist eher für kleine Startups oder Firmen praktikabel. Natürlich können Sie als Administrator über die "Besitzer" immer ermitteln welcher Anwender denn so frei war, eine Team anzulegen. Aber die Rückabwicklung und Aufräumarbeit bleibt dann doch bei ihnen hängen. Es können ja durchaus relevante Dateien und Informationen schon in so einem Team gelandet sein.
Ich gehe daher davon aus, dass vermutlich die meisten Firmen die Berechtigungen zu Anlage von Groups und Teams einschränken und durch einen Beantragungsprozess führen wollen.
Dazu muss ein Office 365 Administrator erst einmal einstellen, dass eben nicht mehr jeder Benutzer eigenständig Teams anlegen darf. Microsoft hat dazu gleich mehrere Artikel veröffentlicht. Zum Einstieg verweise ich auf folgende Seite:
- Manage who can create Office 365 Groups
https://support.office.com/en-us/article/manage-who-can-create-office-365-groups-4c46c8cb-17d0-44b5-9776-005fced8e618?ui=en-US&rs=en-US&ad=US
Dieser Artikel beginnt gleich am Anfang nämlich mit der Information, dass die Einschränkung nicht nur Groups und Teams betrifft, sondern auch jede Menge andere Funktionen von Office 365, die direkt oder indirekt von Groups abhängig sind. Dazu zählen z.B.
- Outlook
Anwender können keine Groups mehr anlegen - SharePoint
Anwender können keine Groups/Teams mehr anlegen, da diese im Hintergrund auch SharePoint Sites anlegen würden. - Yammer
- Microsoft Teams
Weder Administratoren noch Anwender können dann neue Teams anlegen. - StaffHub
Weder Administratoren noch Anwender können dann neue Teams anlegen - Planner
Anwender können keinen neuen Plan in der mobilen App oder per Browser anlegen. - PowerBI
Einschränkungen soll es auch hier geben
Die Steuerung der Berechtigungen wirkt sich also durchaus auf mehrere Produkte aus.
Beschränken mit MSOLCompanyInformation
Ich kann alle Administratoren verstehen, die die Neuanlage von Office Sicherheitsgruppen durch Benutzer verhindern wollen. Per Default können dies Anwender nämlich tun. Die aktuellen Einstellungen finden Sie mit:
Connect-MsolService Get-MsolCompanyInformation DisplayName : test_msxfaq PreferredLanguage : en Street : City : State : PostalCode : Country : CountryLetterCode : US TelephoneNumber : MarketingNotificationEmails : {} TechnicalNotificationEmails : {user1@msxfaq.de} SelfServePasswordResetEnabled : True UsersPermissionToCreateGroupsEnabled : True UsersPermissionToCreateLOBAppsEnabled : True UsersPermissionToReadOtherUsersEnabled : True UsersPermissionToUserConsentToAppEnabled : True DirectorySynchronizationEnabled : True DirSyncServiceAccount : Sync_DC01_xxxxxx@msxfaq.onmicrosoft.com LastDirSyncTime : 03.11.2017 23:35:43 LastPasswordSyncTime : 03.11.2017 23:48:23 PasswordSynchronizationEnabled : True
Sie sehen hier auch den Eintrag "UsersPermissionToCreateGroupsEnabled", der per Default auf "$true" steht. Den wollen Sie vielleicht auf $false setzen:
Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $false
Die Einstellungen werden sehr schnell aktiv.
- Azure Active Directory-Cmdlets zum
Konfigurieren von Gruppeneinstellungen
https://docs.microsoft.com/de-de/azure/active-directory/users-groups-roles/groups-settings-cmdlets
Die beeinflusst natürlich noch nicht die GUI in Teams und Office Groups.
Teams Rechte beschränken
Die Funktion zur Beschränkung und Steuerung der Berechtigungen ist es versteckt, wie Sie aus dem URL-Anteil "undocumentedfeatures" der beiden Blog-Artikel schon erahnen können. Mittlerweile ist es natürlich dokumentiert.
- Disable Office 365 Groups Creation:
Redux
https://blogs.technet.microsoft.com/undocumentedfeatures/2017/04/29/disable-office-365-groups-creation-redux/ - Disable Office 365 Groups Creation
https://blogs.technet.microsoft.com/undocumentedfeatures/2016/08/02/disable-office-365-groups-creation/
Microsoft Teams and Office 365
Creation Lockdown Tool
https://gallery.technet.microsoft.com/Teams-and-Office-365-8a4461a2
Auf der PowerShell Gallery gibt es ein Skript, welches die
Konfiguration über eine GUI einfach möglich macht.
Die Einstellung erfolgt über die Azure PowerShell und ist eine globale Einstellung auf dem Tenant. Es gibt dazu einige Beispiele im Internet. Die Filterung, wer Groups/Teams und andere Dienste anlegen darf, erfolgt über eine Sicherheitsgruppe. Sie als Administrator müssen also entscheiden, ob Sie dazu eine "CloudOnly"-Security Group oder eine lokale AD-Security Gruppe nutzen möchten, die dann samt Mitglieder über AADConnect in den Tenant übertragen wird. Mit dem Wissen um den Namen der Gruppe können Sie dann im Tenant diese Gruppe eintragen. In meinem Beispiel lautet die Gruppe "Office365GroupTeamsAdminstrators".
param( $groupname= 'Office365GroupTeamsAdminstrators' ) Install-Module AzureAD Install-Module AzureADPreview -AllowClobber AzureADPreview\Connect-AzureAD $Office365GroupTeamsAdminstratorsGroup = (Get-AzureADGroup -SearchString $groupname) if ($Office365GroupTeamsAdminstratorsGroup) { write-host "Gruppe gefunden" # Lade AzureADSettings in eine Variable $AzureADSettings = Get-AzureADDirectorySetting | Where-Object {$_.DisplayName -eq 'Group.Unified'} If ( !( $AzureADSettings)) { write-host "Konfiguration nicht vorhanden. Bereite Einrichtung vor." $AzureADTemplate = Get-AzureADDirectorySettingTemplate | Where-Object {$_.DisplayName -eq ‘Group.Unified’} $AzureADSettings = $AzureADTemplate.CreateDirectorySetting() } write-verbose "Setze Einstellungen" $AzureADSettings['EnableGroupCreation’] = 'false' $AzureADSettings['AllowToAddGuests’] = 'false' $AzureADSettings['GroupCreationAllowedGroupId'] = $Office365GroupTeamsAdminstratorsGroup.ObjectId If ( Get-AzureADDirectorySetting | Where-Object {$_.DisplayName -eq ‘Group.Unified’} ) { write-host "Update GroupTeams Setting" $AzureADSettings | Set-AzureADDirectorySetting -DirectorySetting $AzureADSettings } Else { write-host "Create new GroupTeams Setting" New-AzureADDirectorySetting -DirectorySetting $AzureADSettings } } else { write-host "Berechtigungsgruppe nicht gefunden" }
Danach können nur noch Anwender die Groups und Teams anlegen, die in dieser Gruppen enthalten sind. Ich würde erst einmal davon ausgehen, dass die Anwender über dieser Gruppe keine Teams mehr in einer GUI anlegen können. Ich würde meine Hand nicht ins Feuer legen dass dies nicht über PowerShell oder andere Wege an das noch möglich ist. Microsoft entwickelt in Teams noch sehr viele Funktionen und grade die Administration ist noch nicht fertig. Insofern wird sich dort in Zukunft vermutlich auch noch etwas tun.
Sie können diese Änderung natürlich einfach wieder anpassen, z.B. indem sie die beiden Zeilen nach ihren Anforderungen anpassen und das Skript noch mal starten:
$AzureADSettings[‘EnableGroupCreation’] = ‘false’ $AzureADSettings[‘AllowToAddGuests’] = ‘false’
Alternativ können Sie auch den Eintrag im AzureAD wieder entfernen:
$AzureADSettings = Get-AzureADDirectorySetting | Where-Object {$_.DisplayName -eq ‘Group.Unified’} $AzureADSettings | Set-AzureADDirectorySetting -DirectorySetting $null
Achten Sie aber vielleicht darauf, ob zwischenzeitlich über die gleiche Einstellungsoption nicht noch anderer Parameter konfiguriert wurden, die sie dann auch mit entsorgen würden.
- Azure Active Directory-Cmdlets zum
Konfigurieren von Gruppeneinstellungen
https://docs.microsoft.com/de-de/azure/active-directory/users-groups-roles/groups-settings-cmdlets - New-AzureADDirectorySetting
https://docs.microsoft.com/en-us/powershell/module/azuread/new-azureaddirectorysetting?view=azureadps-2.0-preview - Solve problem with missing
Get-AzureADDirectorySetting and Set-AzureADDirectorySetting
PowerShell cmdlets
http://sadomovalex.blogspot.com/2018/05/solve-problem-with-missing-get.html
Verwaltung strukturieren
Sie können diese Steuerung aber nun auch als Chance begreifen, um die Verwaltung von Groups und Teams in geregelte Bahnen zu lenken. Wichtig ist hier z.B. zu erfassen, wozu ein Team angefordert wird, welche Daten darin zu erwarten sind und wer darauf zugreifen soll. Sie sollten Sie ein Konzept für die Benennung der Gruppen und die Sichtbarkeit im Outlook Adressbuch übernehmen.
Sie könnten auch überlegen als Administrator nach der Anlage des Teams bestimmte Firmenvorgaben vorab schon umzusetzen, z.B. vorbereitete Channels, oder Layouts.
Je größer eine Firma ist und je mehr Teams zu verwalten sind, desto eher dürfte sich sogar ein automatisierter und per Skript gesteuerter Workflow rechnen. Die Anlage und Verwaltung der Inhalte von Teams ist per PowerShell schon möglich
Weitere Links
- Teams blockieren (SfBOnly)
- Teams Lebenslauf
- Teams anlegen
- Assign roles and permissions in Microsoft Teams
https://docs.microsoft.com/en-us/microsoftteams/assign-roles-permissions - Disable Office 365 Groups Creation
https://blogs.technet.microsoft.com/undocumentedfeatures/2016/08/02/disable-office-365-groups-creation/ - Disable Office 365 Groups Creation: Redux
https://blogs.technet.microsoft.com/undocumentedfeatures/2017/04/29/disable-office-365-groups-creation-redux/ - Controlling the creation of Office 365 Groups using an Azure Active Directory
policy
https://thoughtsofanidlemind.com/2016/06/07/controlling-the-creation-of-office-365-groups-using-an-azure-active-directory-policy/ - Manage who can create Office 365 Groups
https://support.office.com/en-us/article/manage-who-can-create-office-365-groups-4c46c8cb-17d0-44b5-9776-005fced8e618?ui=en-US&rs=en-US&ad=US - Microsoft Teams and Office 365 Creation
Lockdown Tool
https://gallery.technet.microsoft.com/Teams-and-Office-365-8a4461a2