Teams Policies&Packages
Eine Vielzahl von Richtlinien fassten Einstellungen für Nutzer in Microsoft Teams zusammen und werden an die Benutzer zugewiesen. Eine Zuweisung kann direkt an den Benutzer, indirekt über Gruppen oder über Policy-Packages erfolgen. Diese Seite beschreibt die verschiedenen Möglichkeiten.
Globale Einstellungen
Es gibt einige globalen Einstellungen wie "Gastzugriff" und "Federation", die für den kompletten Tenant gelten und nicht pro Benutzer oder Gruppe abweichend konfiguriert werden können.
Bereich | Einstellungen |
---|---|
External Access
|
|
Gast-ZugriffSteuerung der Zusammenarbeit mit anderen Benutzern aus anderen Tenants.
|
|
Team Einstellungen
|
|
Teams Upgrade
|
|
FerienGlobale Ferientermine für "Auto-Attendant"-Einstellungen. Leider ist die Einstellung im Tenant und nicht pro Land steuerbar |
|
Resource AccountsFür Auto-Attentant, CallQueue etc |
|
Skype for Business
|
Individuelle Richtlinien
Wenn Sie im Teams Admin Center auf einen Benutzer gehen, können Sie sich die Policies nicht nur anzeigen lassen, sondern auch zuweisen. Spätestens hier fällt auf, dass es jede Menge Richtlinien gibt, die pro Benutzer zugewiesen werden können. Damit stellt sich natürlich für den Administrator die Frage, wo er all die Richtlinien verwaltet. Die Verwaltung selbst verteilt sich nämlich auf verschiedene Stellen im Admin-Portal. Nur bei der Zuweisung beim Benutzer sehen Sie alle Policies auf einen Blick.
|
Sie können solche Richtlinien pro Benutzer per Browser oder natürlich per PowerShell zuweisen. Die manuelle Zuweisung ist nur bei kleineren Firmen oder Tests sinnvoll nutzbar aber ein automatisches Provisioning per PowerShell kommt eher für größere Firmen mit einem Identity Management in Frage.
Ein Benutzer kann immer nur genau eine Richtlinie pro Typ haben. Sie können einem Benutzer also z.B. nicht zwei Meeting-Richtlinien zuweisen.
Die Definition der Richtlinien erfolgt an den verschiedenen Stellen im Teams Admin Center. Es gibt keine zentrale Stelle, an der alle Richtlinien auf einen Blick zu finden sind. Hier die verschiedenen Stellen (Stand Jun 2021)
Das stimmt aber nicht ganz, denn mittlerweile können sie mehrere Richtlinien in einem "Richtlinienpaket" zusammenfassen und hier können Sie sehr schnell neue Richtlinien anlegen und an die Stelle springen, an der sie die Richtlinie bearbeiten können.
Policy Packages definieren
Richtlinienpakete gruppieren verschiedene unterschiedliche Richtlinien in Paket zusammen, welches Sie dann direkt an einen Benutzer oder eine Gruppe zuweisen können. Anfangs lieferte Microsoft erst einmal eine ganze Menge an vordefinierten Richtlinienpaketen mit, an deren Namen Sie schon erkennen oknnten, dass diese für Schulen (Education), Gesundheitswesen und kleine Firmen abgestimmt waren:
Diese vorgegebenen Richtlinienpakete können Sie aktuell (Jun 2021) noch nicht löschen oder ändern. Sie können aber eigene Pakete zusätzlich anlegen.
Ein Richtlinienpaket muss nicht alle Richtlinien zusammenfassen. Sie können auch nur eine Teilmenge der Richtlinien anwenden. Sie können sogar direkt von hier neue Richtlinien anlegen.
Allerdings ist das noch nicht ganz perfekt, denn die gerade angelegte Richtlinie taucht nicht sofort auf. Ich musste erst wieder raus und einen Page Reload machen, damit die neu angelegten Richtlinien auch verwendet werden konnten. Über "Add more" können Sie auswählen, welche Richtlinie sie mit in das Paket einbringen wollen. Sie müssen übrigens nicht alle möglichen Richtlinien in einem Paket verwenden.
Ob zukünftig nun die Zuweisung per Gruppen per per Richtlinienpaket das Rennen macht, ist noch offen. Beide Konzepte haben ihre Vorteile. Auch der Weg per PowerShell selbst Richtlinien im Rahmen eines Provisioning zuzuweisen, steht weiter offen.
Zuweisen von Richtlinien
Ehe ich auf die einzelnen Arten der Zuweisung eingehe, soll diese Tabelle einen ersten Überblick geben, welche Richtlinien überhaupt über welchen Weg zugewiesen werden können.
Die Tabelle gibt meinen Stand vom 25. Juni 2021 wieder. Korrekturen bitte gerne an mich Kontakt
Policy | Pro Benutzer | Gruppenzuweisung | Richtlinienpaket |
---|---|---|---|
Meeting policy |
Ja |
Ja |
Ja |
Messaging policy |
Ja |
Ja |
Ja |
Live events policy |
Ja |
Ja |
Ja |
App permission policy |
Ja |
noch nicht? |
noch nicht? |
App setup policy |
Ja |
noch nicht? |
Ja |
Call park policy |
Ja |
Ja |
Ja |
Calling policy |
Ja |
Ja |
Ja |
Caller ID policy |
Ja |
noch nicht? |
Ja |
Teams policy |
Ja |
Ja |
Ja |
Update policy |
Global |
Global |
Ja |
Emergency calling policy |
Ja |
noch nicht?, nicht in der GUI |
noch nicht? |
Emergency call routing policy |
Ja |
noch nicht?, nicht in der GUI |
noch nicht? |
Dial plan |
Ja |
noch nicht? |
noch nicht? |
Voice routing policy |
Ja |
noch nicht? |
Ja |
Templates policy |
Ja |
noch nicht? |
noch nicht? |
Richtlinien zuweisen
Nun wird es etwas knifflig, denn Richtlinien wirken ja nur, wenn Sie diese auch an den Benutzer zuweisen. Und hier gibt es eine ganze Menge möglicher Kombinationen.
Zuweisung | Beschreibung |
---|---|
Individuelle Richtlinie direkt an den Benutzer
|
Dies ist die direkte Art einem Benutzer definitiv eine Einstellung zuzuweisen. Sie wird nicht durch andere Zuweisungen überstimmt und eignet sich daher gut für Pilotbenutzer und Tests. Es ist auch effektiv, wenn Sie per Provisioning die Richtlinien für Benutzer automatisch zuweisen und schnelle Ergebnisse sehe wolle Allerdings skaliert dieses Verfahren nicht für viele Benutzer, wenn Sie die Einstellungen von Hand im Browser machen. |
Richtlinie über Gruppe |
Die Zuweisung von Richtlinien kann aber auch über Gruppen erfolgen. Allerdings ist die Einstellung nicht beim Benutzer zu finden und eine Gruppe gibt es im Teams Admin Center nicht. Stattdessen müssen Sie in den Einstellungen zu den Richtlinien eine oder mehreren Gruppen " zuweisen. Das Bild zeigt als Beispiel eine Meeting Policy. Allerdings werden Sie hier feststellen, das nicht alle Richtlinien per Gruppen zugewiesen werden können. Einige Richtlinien erlauben noch keine Zuweisung über Gruppen. |
Richtliniengruppe direkt an den Benutzer
|
Wenn Sie schon mit Richtliniengruppen arbeiten, dann können Sie beim Benutzer auch direkt sehen, welche Richtliniengruppe dem Benutzer direkt oder über eine Gruppe zugewiesen wurde. |
Richtlinienpaket über Gruppe
|
Auch bei der Definition der Richtlinienpakete können Sie eine Zuweisung über Gruppen konfigurieren. Beachten Sie dabei aber, dass diese Zuweisung im Hintergrund erfolgt und noch nicht alle Einstellungen unterstützt werden. Teams weist sie aber darauf hin:
|
- Zuweisen von Richtlinienpaketen zu Benutzern und Gruppen
https://docs.microsoft.com/de-de/microsoftteams/assign-policy-packages#assign-a-policy-package-to-a-group
Die Zuweisung der Richtlinien im Teams Admin-Center bedeutet aber nicht, dass der Anwender sofort diesen neuen Richtlinien unterworfen ist. Darauf weist Sie das Admin Center auch explizit hin:
Die Konfigurationsänderungen müssen nicht nur innerhalb des Teams backend repliziert werden sondern auch die Teams-Clients müssen diese neuen Richtlinien einlesen. Wie bei Skype for Business prüfen die Clients diese Einstellungen nicht in Echtzeit sondern halten diese einige Zeit im Cache. Sie können die Übernahme auf dem Client durch eine Neuanmeldung, ggfls. mit Löschen des lokalen Cache beschleunigen.
Effektive Richtlinie
Bei so vielen Zuweisungen stellt sich natürlich die Frage, welche effektive Richtlinie nun beim Benutzer ankommen. Der einfachste Weg ist die Anzeige des Benutzers und über den "Details"-Button hinter jeder Richtlinien.
Teams betrachtet hier nur die drei folgenden Stufen:
- Benutzer
- über Gruppe
- Global Default
Die Richtliniengruppe erscheint hier aber nicht gesondert und theoretisch kann ein Benutzer auch Mitglied ein mehreren Gruppen mit unterschiedlichen Richtlinien sein. Wenn Sie mit den verschiedenen Einstellungen herumspielen, dann ist mir folgendes aufgefallen:
- Direkte Zuweisungen gewinnen
Eine direkt dem Benutzer zugewiesene Richtlinie gewinnt. Insofern ist auch die Anzeige der aktuellen Richtlinien hier für die Fehlersuche und Auswertung hilfreich. - Policy Packages am Benutzer weisen
additiv/überschreiben einmal zu.
Ich hatte einem Benutzer manuell Richtlinien zugewiesen und habe dann ein Richtlinienpaket angewendet. Die Richtlinien aus dem Paket haben dann die vormals manuell gesetzten Richtlinien überschrieben. Richtlinien, die nicht durch das Richtlinienpaket definiert wurden, blieben unverändert.
d.h. wenn ich als Administrator an einem Benutzer eine Richtliniengruppe zuweise, dann entspricht das der einmaligen manuelle Änderung der Richtlinien am Benutzer. Es ist aber keine "Policy", die immer wieder angewendet wird. Da komme ich gleich im Abschnitt "Unstimmigkeit" noch mal dazu.
Wenn ich aber ein Richtlinienpaket wieder entferne, dann setzt er die manuell zugewiesenen Policies wieder auf "global" aber - Dynamik mit Gruppen
Wenn ich eine Richtlinie über eine Gruppe zuweise, dann hat dies wieder eine Charakter einer Richtlinie, die im Hintergrund auf alle Personen dieser Gruppe angewendet wird.
Unstimmigkeit
In meinem Beispiel weise ich ein Richtlinienpaket zu, welches eine Meeting-Policy enthält. Wenn ich mir dann die Gruppenzuweisungen bei den Meeting-Policies anschaue, dann ist auch hier die Zuweisung zu sehen:
Ich kann sie hier sogar entfernen:
Hier ist wohl noch etwas "Feinarbeit" bei Microsoft offen, um solche "Unstimmigkeiten" zu vermeiden
- New-CsBatchPolicyAssignmentOperation
https://docs.microsoft.com/de-de/powershell/module/teams/new-csbatchpolicyassignmentoperation?view=teams-ps
Weitere Links
- Teams Policy Enforcement
- Teams Besprechungsrichtlinien
- Manage policy packages in Microsoft
Teams
https://docs.microsoft.com/en-US/microsoftteams/manage-policy-packages - Assign policies to your users in
Microsoft Teams
https://docs.microsoft.com/en-US/microsoftteams/assign-policies?WT.mc_id=TeamsAdminCenterCSH#which-policy-takes-precedence