Teams Policies&Packages

Eine Vielzahl von Richtlinien fassten Einstellungen für Nutzer in Microsoft Teams zusammen und werden an die Benutzer zugewiesen. Eine Zuweisung kann direkt an den Benutzer, indirekt über Gruppen oder über Policy-Packages erfolgen. Diese Seite beschreibt die verschiedenen Möglichkeiten.

Globale Einstellungen

Es gibt einige globalen Einstellungen wie "Gastzugriff" und "Federation", die für den kompletten Tenant gelten und nicht pro Benutzer oder Gruppe abweichend konfiguriert werden können.

Bereich Einstellungen

External Access

  • Federation zu anderen Teams und Skype for Business Firmen
  • Federation zu Skype Consumer
  • Pflege der erlaubten/verbotenen Domains

Gast-Zugriff

Steuerung der Zusammenarbeit mit anderen Benutzern aus anderen Tenants.

  • Globale Erlaubnis oder Verbot
  • Meeting-Funktion für Gäste
  • Messaging-Einstellungen

Team Einstellungen

  • Benachrichtigungen und Feeds
  • Tagging von Elementen
  • E-Mail-Integration um Kanäle per Mail erreichbar zu machen.
  • Integration verschiedener Datei-Dienste (Dropbox, GDrive, etc)
  • Anzeige des Orgcharts bei Personen
  • Surface Hub PIN Policies
  • Suche nach Namen
  • Rollen-basierte Chat-Berechtigungen

Teams Upgrade

  • Koexistenz-Mode
  • Preferred App

Ferien

Globale Ferientermine für "Auto-Attendant"-Einstellungen. Leider ist die Einstellung im Tenant und nicht pro Land steuerbar

Resource Accounts

Für Auto-Attentant, CallQueue etc

Skype for Business

  • Skype Meeting Broadcast
  • Präsenzanzeige

Individuelle Richtlinien

Wenn Sie im Teams Admin Center auf einen Benutzer gehen, können Sie sich die Policies nicht nur anzeigen lassen, sondern auch zuweisen. Spätestens hier fällt auf, dass es jede Menge Richtlinien gibt, die pro Benutzer zugewiesen werden können. Damit stellt sich natürlich für den Administrator die Frage, wo er all die Richtlinien verwaltet. Die Verwaltung selbst verteilt sich nämlich auf verschiedene Stellen im Admin-Portal. Nur bei der Zuweisung beim Benutzer sehen Sie alle Policies auf einen Blick.

  • Meeting policy
  • Messaging policy
  • Live events policy
  • App permission policy
  • App setup policy
  • Call park policy
  • Calling policy
  • Caller ID policy
  • Teams policy
  • Update policy
  • Emergency calling policy
  • Emergency call routing policy
  • Dial plan
  • Voice routing policy
  • Templates policy

Sie können solche Richtlinien pro Benutzer per Browser oder natürlich per PowerShell zuweisen. Die manuelle Zuweisung ist nur bei kleineren Firmen oder Tests sinnvoll nutzbar aber ein automatisches Provisioning per PowerShell kommt eher für größere Firmen mit einem Identity Management in Frage.

Ein Benutzer kann immer nur genau eine Richtlinie pro Typ haben. Sie können einem Benutzer also z.B. nicht zwei Meeting-Richtlinien zuweisen.

Die Definition der Richtlinien erfolgt an den verschiedenen Stellen im Teams Admin Center. Es gibt keine zentrale Stelle, an der alle Richtlinien auf einen Blick zu finden sind. Hier die verschiedenen Stellen (Stand Jun 2021)

Das stimmt aber nicht ganz, denn mittlerweile können sie mehrere Richtlinien in einem "Richtlinienpaket" zusammenfassen und hier können Sie sehr schnell neue Richtlinien anlegen und an die Stelle springen, an der sie die Richtlinie bearbeiten können.

Policy Packages definieren

Richtlinienpakete gruppieren verschiedene unterschiedliche Richtlinien in Paket zusammen, welches Sie dann direkt an einen Benutzer oder eine Gruppe zuweisen können. Anfangs lieferte Microsoft erst einmal eine ganze Menge an vordefinierten Richtlinienpaketen mit, an deren Namen Sie schon erkennen oknnten, dass diese für Schulen (Education), Gesundheitswesen und kleine Firmen abgestimmt waren:

Diese vorgegebenen Richtlinienpakete können Sie aktuell (Jun 2021) noch nicht löschen oder ändern. Sie können aber eigene Pakete zusätzlich anlegen.

Ein Richtlinienpaket muss nicht alle Richtlinien zusammenfassen. Sie können auch nur eine Teilmenge der Richtlinien anwenden. Sie können sogar direkt von hier neue Richtlinien anlegen.

Allerdings ist das noch nicht ganz perfekt, denn die gerade angelegte Richtlinie taucht nicht sofort auf. Ich musste erst wieder raus und einen Page Reload machen, damit die neu angelegten Richtlinien auch verwendet werden konnten. Über "Add more" können Sie auswählen, welche Richtlinie sie mit in das Paket einbringen wollen. Sie müssen übrigens nicht alle möglichen Richtlinien in einem Paket verwenden.

Ob zukünftig nun die Zuweisung per Gruppen per per Richtlinienpaket das Rennen macht, ist noch offen. Beide Konzepte haben ihre Vorteile. Auch der Weg per PowerShell selbst Richtlinien im Rahmen eines Provisioning zuzuweisen, steht weiter offen.

Zuweisen von Richtlinien

Ehe ich auf die einzelnen Arten der Zuweisung eingehe, soll diese Tabelle einen ersten Überblick geben, welche Richtlinien überhaupt über welchen Weg zugewiesen werden können.

Die Tabelle gibt meinen Stand vom 25. Juni 2021 wieder. Korrekturen bitte gerne an mich Kontakt

Policy Pro Benutzer Gruppenzuweisung Richtlinienpaket

Meeting policy

Ja

Ja

Ja

Messaging policy

Ja

Ja

Ja

Live events policy

Ja

Ja

Ja

App permission policy

Ja

noch nicht?

noch nicht?

App setup policy

Ja

noch nicht?

Ja

Call park policy

Ja

Ja

Ja

Calling policy

Ja

Ja

Ja

Caller ID policy

Ja

noch nicht?

Ja

Teams policy

Ja

Ja

Ja

Update policy

Global

Global

Ja

Emergency calling policy

Ja

noch nicht?, nicht in der GUI

noch nicht?

Emergency call routing policy

Ja

noch nicht?, nicht in der GUI

noch nicht?

Dial plan

Ja

noch nicht?

noch nicht?

Voice routing policy

Ja

noch nicht?

Ja

Templates policy

Ja

noch nicht?

noch nicht?

 

Richtlinien zuweisen

Nun wird es etwas knifflig, denn Richtlinien wirken ja nur, wenn Sie diese auch an den Benutzer zuweisen. Und hier gibt es eine ganze Menge möglicher Kombinationen.

Zuweisung Beschreibung

Individuelle Richtlinie direkt an den Benutzer

Dies ist die direkte Art einem Benutzer definitiv eine Einstellung zuzuweisen. Sie wird nicht durch andere Zuweisungen überstimmt und eignet sich daher gut für Pilotbenutzer und Tests.

Es ist auch effektiv, wenn Sie per Provisioning die Richtlinien für Benutzer automatisch zuweisen und schnelle Ergebnisse sehe wolle

Allerdings skaliert dieses Verfahren nicht für viele Benutzer, wenn Sie die Einstellungen von Hand im Browser machen.

Richtlinie über Gruppe

Die Zuweisung von Richtlinien kann aber auch über Gruppen erfolgen. Allerdings ist die Einstellung nicht beim Benutzer zu finden und eine Gruppe gibt es im Teams Admin Center nicht. Stattdessen müssen Sie in den Einstellungen zu den Richtlinien eine oder mehreren Gruppen " zuweisen. Das Bild zeigt als Beispiel eine Meeting Policy.

Allerdings werden Sie hier feststellen, das nicht alle Richtlinien per Gruppen zugewiesen werden können. Einige Richtlinien erlauben noch keine Zuweisung über Gruppen.

Richtliniengruppe direkt an den Benutzer

 

Wenn Sie schon mit Richtliniengruppen arbeiten, dann können Sie beim Benutzer auch direkt sehen, welche Richtliniengruppe dem Benutzer direkt oder über eine Gruppe zugewiesen wurde.

Richtlinienpaket über Gruppe

Auch bei der Definition der Richtlinienpakete können Sie eine Zuweisung über Gruppen konfigurieren.

Beachten Sie dabei aber, dass diese Zuweisung im Hintergrund erfolgt und noch nicht alle Einstellungen unterstützt werden.

Teams weist sie aber darauf hin:

    Die Zuweisung der Richtlinien im Teams Admin-Center bedeutet aber nicht, dass der Anwender sofort diesen neuen Richtlinien unterworfen ist. Darauf weist Sie das Admin Center auch explizit hin:

    Die Konfigurationsänderungen müssen nicht nur innerhalb des Teams backend repliziert werden sondern auch die Teams-Clients müssen diese neuen Richtlinien einlesen. Wie bei Skype for Business prüfen die Clients diese Einstellungen nicht in Echtzeit sondern halten diese einige Zeit im Cache. Sie können die Übernahme auf dem Client durch eine Neuanmeldung, ggfls. mit Löschen des lokalen Cache beschleunigen.

  • Zuweisen von Richtlinienpaketen zu Benutzern und Gruppen
    https://docs.microsoft.com/de-de/microsoftteams/assign-policy-packages#assign-a-policy-package-to-a-group

Effektive Richtlinie

Bei so vielen Zuweisungen stellt sich natürlich die Frage, welche effektive Richtlinie nun beim Benutzer ankommen. Der einfachste Weg ist die Anzeige des Benutzers und über den "Details"-Button hinter jeder Richtlinien.

Teams betrachtet hier nur die drei folgenden Stufen:

  1. Benutzer
  2. über Gruppe
  3. Global Default

Die Richtliniengruppe erscheint hier aber nicht gesondert und theoretisch kann ein Benutzer auch Mitglied ein mehreren Gruppen mit unterschiedlichen Richtlinien sein. Wenn Sie mit den verschiedenen Einstellungen herumspielen, dann ist mir folgendes aufgefallen:

  • Direkte Zuweisungen gewinnen
    Eine direkt dem Benutzer zugewiesene Richtlinie gewinnt. Insofern ist auch die Anzeige der aktuellen Richtlinien hier für die Fehlersuche und Auswertung hilfreich.
  • Policy Packages am Benutzer weisen additiv/überschreiben einmal zu.
    Ich hatte einem Benutzer manuell Richtlinien zugewiesen und habe dann ein Richtlinienpaket angewendet. Die Richtlinien aus dem Paket haben dann die vormals manuell gesetzten Richtlinien überschrieben. Richtlinien, die nicht durch das Richtlinienpaket definiert wurden, blieben unverändert.
    d.h. wenn ich als Administrator an einem Benutzer eine Richtliniengruppe zuweise, dann entspricht das der einmaligen manuelle Änderung der Richtlinien am Benutzer. Es ist aber keine "Policy", die immer wieder angewendet wird. Da komme ich gleich im Abschnitt "Unstimmigkeit" noch mal dazu.
    Wenn ich aber ein Richtlinienpaket wieder entferne, dann setzt er die manuell zugewiesenen Policies wieder auf "global" aber
  • Dynamik mit Gruppen
    Wenn ich eine Richtlinie über eine Gruppe zuweise, dann hat dies wieder eine Charakter einer Richtlinie, die im Hintergrund auf alle Personen dieser Gruppe angewendet wird.

Unstimmigkeit

In meinem Beispiel weise ich ein Richtlinienpaket zu, welches eine Meeting-Policy enthält. Wenn ich mir dann die Gruppenzuweisungen bei den Meeting-Policies anschaue, dann ist auch hier die Zuweisung zu sehen:

Ich kann sie hier sogar entfernen:

Hier ist wohl noch etwas "Feinarbeit" bei Microsoft offen, um solche "Unstimmigkeiten" zu vermeiden

Weitere Links