Teams Besprechungsrichtlinien
Teams ist eine leistungsfähige Audio/Video-Konferenz-Plattform, bei der Teilnehmer per Default sehr umfangreche Berechtigungen haben. Das gilt automatisch für Mitarbeiter mit einem Konto im gleichen Tenant aber auch für Gäste und zum Teil auch anonyme Teilnehmer. Nicht in allen Fällen sind aber alle Teilnehmer "kooperativ" und als Konferenzleiter wollen Sie vielleicht schon einmal verhindern, dass externe Teilnehmer oder Schüler ein Meeting sprichwörtlich "kapern". Diese Seite beschreibt diese Einstellungen.
Hierarchie
Es gibt verschiedene Stellen, an denen der Administrator aber auch der Konferenzleiter Einfluss auf Meetings nehmen können:
- Globale Meeting Settings
Hier finden Sie globale Einstellungen, ob anonyme Benutzer erlaubt sind, welche URLs und Branding Teams nutzen soll und welche RTP-Parameter für ihre Firma gelten. Diese Einstellungen können nicht pro Benutzer überstimmt werden - Meeting Policies
Diese Einstellungen können Sie Global, über Gruppen und pro Benutzer zuweisen und steuern die meisten Belange, welche Funktionen ein Administrator dem Benutzer gewährt. Eine Benutzerrichtlinie überstimmt die Richtlinien von Gruppen die wiederrum die globale Richtlinie überstimmen. Ein Benutzer ohne Richtlinien bekommt also immer die "Globale Policy".
Wenn Benutzer in mehreren Gruppen Mitglied sind, bestimmt die Priorität der Gruppe die effektive Richtlinie. - Per Meeting Policies
Der Konferenzleiter kann dann aber pro Meeting noch einmal eigene Einstellungen vornehmen.
Wenn Sie beim Benutzer die Richtlinien verwalten, gibt es eine Detail-Ansicht, die ihnen die effektiven Richtlinien anzeigt:
Änderungen an den Richtlinien werden umgehend eingetragen aber es kann einige Stunden dauern, bis die Richtlinien verteilt und letztlich vom Client auch angewendet werden.
Schaue wir uns die Einstellungen einmal an.
- Zuweisen einer Richtlinie zu einem
Benutzer Batch
https://docs.microsoft.com/de-de/microsoftteams/assign-policies#assign-a-policy-to-individual-users
Meeting Settings
Zuerst sollten Sie sich global die Einstellung anschauen, ob überhaupt anonyme Teilnahme möglich ist und diese Teilnehmer dann auch Apps (z.B. Forms etc) nutzen dürfen. Diese Einstellung ist global für den gesamten Tenant und bestimmt die Obergrenze.
Wenn sie diese Einstellung deaktivieren, kann niemand in ihrem Tenant die Funktion "anonyme Teilnehmer" nutzen. Das kann durchaus gewollt sein, wenn Sie sehr strengen Vorgaben bezüglich der Identifizierung der Teilnehmer unterliegen, z.B. KRITIS-Umgebungen, Energie, Bank, Medizin Militär etc. Bei den meisten gewerblichen Nutzern wird man aber nicht darauf bestehen, dass alle Teilnehmer entweder ein Konto in ihrem Tenant oder als Gast eines anderen Tenants bekannt und identifiziert sind.
- Manage meeting settings in Microsoft Teams
https://docs.microsoft.com/en-us/microsoftteams/meeting-settings-in-teams
Meeting Policies
Wie weiter oben schon geschrieben, gibt es eine "Global (Org-wide default)"-Richtlinie, die für alle Benutzer (und Gäste) in ihrem Tenant angewendet wird.
Guest users follow Teams Org-wide settings for the
coexistence Upgrade mode. This can't be changed.
Quelle
https://docs.microsoft.com/en-us/microsoftteams/guest-access
Wer also Gäste einschränken will, muss aktuell die Default Policy entsprechend einstellen und dann für alle eigenen Benutzer eine Benutzer-Richtlinie zuweisen.
Microsoft stellt dazu sogar eine ganze Liste von Standardrichtlinien bereit, von denen Sie je eine pro Benutzer anwenden können. Die Liste der Einstellmöglichkeiten erweitert sich manchmal. So kam Ende 2020 die NDI-Einstellung dazu. Aber nicht alle Policies machen Sinn. Sie wurden von Microsoft noch nicht gelöscht aber es wird angezeigt:
Die Richtlinien stammen von früheren Stufen ab, bei denen die globale Einrichtung neue Funktionen nicht aktiv hatte und später dann zum neuen Default wurden. Allerdings sind einige Hinweise auch irreführend. Die Policy "NDI-out active" wird auch als "Do not assign. This policy is same as global defaults and would be deprecated" beschrieben aber aber NDI eingeschaltet. hat z.B. "All On" entgegen dem Namen die Funktion "NDI" nicht aktiviert.
Einstellung | "Global (Org-wide default)" AllOn BypassMediaLobby RestrictedAnonymousAccess |
NDI-out active | Kiosk AllOff |
RestrictedAnonymousNoRecording |
---|---|---|---|---|
Generalhttps://docs.microsoft.com/en-US/microsoftteams/meeting-policies-in-teams?#bkgeneral |
||||
Allow Meet now in channels |
On |
On |
Off |
On |
Allow the Outlook add-in |
On |
On |
Off |
On |
Allow channel meeting scheduling |
On |
On |
Off |
On |
Allow scheduling private meetings |
On |
On |
Off |
On |
Audio&Videohttps://docs.microsoft.com/en-US/microsoftteams/meeting-policies-in-teams?bkaudioandvideo |
||||
Allow transcription |
Off |
Off |
Off |
Off |
Allow cloud recording |
On |
On |
Off |
Off |
Mode for IP audio |
In/Out |
In/Out |
- |
- |
Mode for IP video |
In/Out |
In/Out |
- |
- |
Allow IP video |
On |
On |
Off |
Off |
Allow NDI streaming |
Off |
On |
Off |
Off |
Media bit rate (Kbs) |
50000 |
50000 |
50000 |
50000 |
Content Sharinghttps://docs.microsoft.com/en-US/microsoftteams/meeting-policies-in-teams?#bkcontentsharing |
||||
Screen sharing mode |
Entire |
Entire |
- |
Entire |
Allow a participant to give or request control |
On |
On |
- |
On |
Allow an external participant to give or request control |
On |
On |
- |
Off |
Allow PowerPoint sharing |
On |
On |
- |
On |
Allow whiteboard |
On |
On |
- |
On |
Allow shared notes |
On |
On |
- |
On |
Participants&Guestshttps://docs.microsoft.com/en-US/microsoftteams/meeting-policies-in-teams?#bkparticipantsandguests |
||||
Let anonymous people start a meeting |
Off |
Off |
- |
Off |
Roles that have presenter rights in meetings |
Everyone User Overwrite |
Everyone User Overwrite |
- |
Everyone User Overwrite |
Automatically admit people |
Everyone |
Everyone |
- |
Everyone |
Allow dial-in users to bypass the lobby |
Off |
Off |
- |
Off |
Allow Meet now in private meetings |
On |
On |
- |
On |
Enable live captions |
Diabled, User Overwrite |
Diabled, User Overwrite |
- |
Diabled |
Allow chat in meetings |
Enabled |
Enabled |
- |
Enabled |
Die Richtlinie können Sie per Teams Admin Center oder PowerShell zuweisen.
Grant-CsTeamsMeetingPolicy ` -Identity user@msxfaq.de ` -PolicyName "Name der Richtlinie"
Wenn Sie als Einstellung für Gäste die globale Policy einschränken, sollten Sie per Provisioning die Einstellungen für ihre Anwender automatisch setzen. Es kann aber auch sein, dass Sie absichtlich die Gäste und Standardanwender einschränken, um die Konferenzleiter erst nach einer Schulung für gewisse Funktionen frei zu schalten.
- Manage meeting policies in Teams
https://docs.microsoft.com/en-US/microsoftteams/meeting-policies-in-teams - Zuweisen von Richtlinien zu Ihren Benutzern in Microsoft
Teams
https://docs.microsoft.com/de-de/microsoftteams/assign-policies
Policies für Konferenzleiter, Mitglieder und Gäste
Es ist nicht der Regelfall, dass in einem Meeting alle Teilnehmer immer die gleiche Richtlinie und damit auch Berechtigung haben
Für Gäste in ihrem Team gibt es zwar entsprechende Gast-Accounts im AzureAD aber die haben keine Teams Lizenz und sind auch im Teams Admin Center nicht zu sehen. Sie bekommen per Default die Berechtigungen der "Global (Org-wide default)"-Richtlinie. Dennoch gibt es noch andere Unterscheidungen, die nicht explizit in einer Policy hinterlegt sind.
People outside your organization, such as federated and
anonymous users, can't start the recording. Guest users can't start or stop the
recording.
Quelle:
https://docs.microsoft.com/en-us/microsoftteams/meeting-policies-in-teams#allow-cloud-recording
Auch ist nicht immer die Richtlinie des Konferenzleiters maßgeblich. So kann auch ein Teilnehmer ein Meeting aufzeichnen, wenn er die Berechtigung dazu hat. Selbst wenn der Konferenzleiter dieses recht nicht hat
Das ist insbesondere bei Schulung und EDU-Tenants wichtig, damit z.B. Schüler keine Aufzeichnung starten.
- Manage audio/video for meeting participants
https://docs.microsoft.com/en-us/microsoftteams/meeting-policies-in-teams#manage-audiovideo-for-meeting-participants
Einstellungen vor dem Meeting
Neben den Default Einstellungen für den Anwender kann auch der Konferenzleiter einige Einstellungen individuell pro Meeting konfigurieren.
- Outlook
Wenn Sie den Termin als Konferenzleiter planen, dann landet er in ihrem Outlook. Dort gibt es einen Link zu den Konferenzeinstellungen:
- Teams Kanalmeeting
Wenn Sie einen Termin in Teams planen, dann addiert Teams diesen auch in ihren Outlook Kalender. Sie können aber auch den Termin in einem Kanal veröffentlichen. Auch dort gibt es den gleichen Link:
Diese Einstellungen können Sie als Vorbereitend schon vornehmen. In beiden Fällen öffnet sich eine Webseite:
Die Einstellmöglichkeiten orientieren sich natürlich an ihren Richtlinien.
Hinweis
Wenn Sie beim Klick auf die Besprechungsoptionen einen Fehler bekommen, dann
starten Sie in dem Browser bitte einmal Teams über die URL "https://teams.microsoft.com"
und prüfen Sie rechts oben, ob sie in dem Browser auch in ihrem Tenant sind.
Einstellungen im Meeting
Als Konferenzleiter haben Sie im Meeting auch noch die Möglichkeit zur Kontrolle der Besprechung. Hier öffnet sich aber keine eigen Webseite sondern direkt die Einstellung in Teams.
Diese Einstellungen wirken dann direkt auf die laufende Besprechung aus.
Meetings einschränken
Sie sehen also, dass ein Admin schon einmal die Obergrenze festlegen kann, was ein Anwender einstellen darf aber die wichtige Funktion bleibt der Konferenzleiter. Eine Schlüsselfunktion kommt der Frage "Wer kann präsentieren" zu. Wenn hier "Jeder" steht, dann ist jeder Teilnehme auch Referenz und kann im schlimmsten Fall den eigentlichen Konferenzleiter stumm schalten oder sogar aus der Konferenz rauswerfen. Damit eine Abstufung nach "Teilnehmer" und "Referent" verfügbar wird, muss der Konferenzleiter diese Einstellung anpassen, damit Sie dann Referenten und Teilnehmer trennen.
Über den Weg können Sie immer noch einen Teilnehmer zum Referenten hochstufen. Das sollten Sie aber auch hier nur für Personen machen, denen Sie vertrauen, denn als Referent könnte dieser sie dann auch wieder aus der Konferenz entfernen.
Das Risiko ist aber überschaubar, denn die Konten sind ja nicht anonym und ein klärendes Gespräch sollte solche Störungen zukünftig vermeiden.
Sie können natürlich auch vorher oder beim Meeting die Auswahl auf "Bestimmte Personen" stellen und damit mehrere Referenten schon vorab zulassen. Bei einer laufenden Konferenz müssen Sie als Referent aktuell das Meeting danach aber noch mal verlassen und neu beitreten.
Die Einstellung "Personen in meiner Organisation" ist bei Firmen durchaus üblich aber in Schulen natürlich kontraproduktiv, da auch die Schüler ja "in der Organisation" sind
Policies und EDU
Ein Sonderfall sind hier z.B. Tenants für Schulen und Universitäten. Hier wäre es sehr ungeschickt, wenn alle Schüler zugleich auch Referenten sind. Hier sollten Sie umgehend als Lehrkraft dafür sorgen, dass bei ihren Meetings die Einstellungen von "Roles that have presenter rights in meetings" auf "Organizers, but users can overwrite" steht:
Das kann durchaus auch eine sinnvolle Einstellung für Firmen sein um Fehlbedienungen von Anwendern zu erschweren
Die Folge ist, dass bei einer Einladung die Standardeinstellung auf "nur Ich" steht aber vom Konferenzleiter natürlich wieder geändert werden kann. Die Teilnehmer sehen beim Eintritt folgende Meldung
Der Link verweist auf
- Roles in a Teams meeting
https://support.microsoft.com/en-us/office/roles-in-a-teams-meeting-c16fa7d0-1666-4dde-8686-0a0bfe16e019?ui=en-us&rs=en-us&ad=us
Bei einem EDU-Tenant habe ich noch keine Funktion gesehen, dass Schüler und Lehrer unterschiedliche Richtlinien haben
Zumindest in meinem Tenant haben Lehrer und Schüler beide die "Global Policy"
Der Versuch die Richtlinie im Teams Admin Center anzuschauen, schlug am 10. Nov 2020 bei mir fehlt:
Policy Packages
Stattdessen arbeitet Microsoft hier sehr intensiv mit "Policy Packages". Mit diesen Paketen können Sie an bestimmte Benutzer gleich eine ganze Gruppen von Richtlinien anwenden. Microsoft liefert dazu eine ganze Menge an "Policy Packages" mit aus, die z.B. nur per PowerShell zu sehen sind.
PS C:\> Get-CsPolicyPackage | ft name,description Name Description ---- ----------- Education_HigherEducationStudent This is an Education_HigherEducationStudent package Education_PrimaryStudent This is an Education_PrimaryStudent package Education_PrimaryStudent_RemoteLearning This is an Education_PrimaryStudent_RemoteLearning package Education_PrimaryTeacher_RemoteLearning This is an Education_PrimaryTeacher_RemoteLearning package Education_SecondaryStudent This is an Education_SecondaryStudent package Education_Teacher This is an Education_Teacher package Firstline_Manager This is a Firstline_Manager package Firstline_Worker This is a Firstline_Worker package Healthcare_ClinicalWorker This is a Healthcare_ClinicalWorker package Healthcare_InformationWorker This is a Healthcare_InformationWorker package Healthcare_Patient_Room This is a Healthcare_Patient_Room package PublicSafety_Officer This is a PublicSafety_Officer package SmallMediumBusiness_BusinessVoice This is a SmallMediumBusiness_BusinessVoice package SmallMediumBusiness_NoBusinessVoice This is a SmallMediumBusiness_NoBusinessVoice package
Sie können die Policies aber auch im Teams Admin Center zuweisen. Hier weise ich eine Policy einem Lehrer zu. Für einen Schüler werden andere Pakete vorgeschlagen
Anscheinend sind aber EDU-Tenants als auch GOV und Gesundheitswesen identisch. Mit folgendem PowerShell-Befehl können Sie
Get-CsPolicyPackage Education_Teacher | fl
Hier einmal zwei Policies im direkten Vergleich:
Name |
Education_Teacher |
Education_PrimaryStudent |
---|---|---|
Name : Education_Teacher Description : This is an Education_Teacher package PolicyName : TeamsMessagingPolicy PolicyContent : { "Identity": "", "Description": "", "GiphyRatingType": "", "AllowRemoveUser": } PolicyName : TeamsMeetingPolicy PolicyContent : { "Identity": "", "Description": "", "AllowPrivateMeetingScheduling": , "AllowOutlookAddIn": , "AllowChannelMeetingScheduling": , "AllowExternalParticipantGiveRequestControl": , "AllowMeetNow": true, "AllowOrganizersToOverrideLobbySettings": , "AllowPrivateMeetNow": true } PolicyName : TeamsAppSetupPolicy PolicyContent : { "Identity": "", "Description": "", "PinnedAppBarApps": Total "PinnedAppBarAppsForInput": Total PolicyName : TeamsCallingPolicy PolicyContent : { "Identity": "", "Description": "", "AllowPrivateCalling": , "AllowCallForwardingToUser": , "AllowCallForwardingToPhone": , "AllowVoicemail": "", "PreventTollBypass": } PolicyName : TeamsMeetingBroadcastPolicy PolicyContent : { "Identity": "", "Description": "", "AllowBroadcastScheduling": } |
Education_Teacher This is an Education_Teacher package "Education_Teacher", "This is an Education_Teacher Messaging policy", "Moderate", true "Education_Teacher", "This is an Education_Teacher TeamsMeeting policy", true, true, true, true, true, true, true "Education_Teacher", "This is an Education_Teacher AppSetup policy", 4 4 "Education_Teacher", "This is an Education_Teacher Calling policy", true, true, true, "UserOverride", true "Education_Teacher", "This is an Education_Teacher TeamsBroadcast policy", true |
Education_PrimaryStudent This is an Education_PrimaryStudent package "Education_PrimaryStudent", "This is an Education_PrimaryStudent Messaging policy", "Strict", false "Education_PrimaryStudent", "This is an Education_PrimaryStudent TeamsMeeting policy", false, false, false, false, false, false, false "Education_PrimaryStudent", "This is an Education_PrimaryStudent AppSetup policy", 3 3 "Education_PrimaryStudent", "This is an Education_PrimaryStudent Calling policy", false, false, false, AlwaysDisabled", false "Education_PrimaryStudent", "This is an Education_PrimaryStudent TeamsBroadcast policy", false |
- Manage policy packages in Microsoft Teams
https://docs.microsoft.com/en-us/MicrosoftTeams/manage-policy-packages - Get-CsPolicyPackage
https://docs.microsoft.com/en-us/powershell/module/teams/get-cspolicypackage?view=teams-ps
Weitere Links
- Teams Policy Enforcement
- Teams Führerschein
- Meeting- Knigge
- Teams Meetings
-
Roles in a Teams meeting
https://support.microsoft.com/en-us/office/roles-in-a-teams-meeting-c16fa7d0-1666-4dde-8686-0a0bfe16e019?ui=en-us&rs=en-us&ad=us -
Manage meeting policies in Teams
https://docs.microsoft.com/en-US/microsoftteams/meeting-policies-in-teams -
Zuweisen einer Richtlinie zu einem
Benutzer Batch
https://docs.microsoft.com/de-de/microsoftteams/assign-policies#assign-a-policy-to-individual-users