Teams und Groups Provisioning

Microsoft führte Teams und Groups in Office 365 ein und jeder Mitarbeiter kann sich seine Teams bzw. Groups anlegen, als Besitzer selbst verwalten und per Mail erreichbar machen. Genial für Startups und kleine Firmen ohne Administrator aber ein Schreckgespenst für die alteingesessene IT und größere Firmen mit Prozessen. Daher sollten Sie überlegen, ob sie diese Freizügigkeit früh schon begrenzen und in geregelte Bahnen lenken.

Worum geht es ?

Groups und insbesondere Teams sind die moderne Plattform für Zusammenarbeit dar und Microsoft legt für jedes Team z.B.: eine SharePoint Teamsite und ein Exchange Group-Postfach im Hintergrund an, in denen dann die unterschiedlichen Daten landen. Für Firmen mit geordneten Prozessen ist so eine quasi chaotische Datenorganisation in Eigenverantwortung nicht tolerierbar.

Benutzer und Daten müssen geführt und gesteuert werden, damit Sie die Daten nur an Orte ablegen, die alle Anforderungen an Compliance und Arbeitsprozesse erfüllen. Dazu stellen die für die Daten verantwortlichen Personen entsprechende Bereiche frei und erlauben den Zugriff für die Anwender. Das kann eine SMB-Freigabe, ein GIT-Repository, SharePoint oder Teams werden. Die Standardeinstellung bei Teams erlaubt es aber jedem Anwender eigenverantwortlich entsprechende Groups und Teams anzulegen.

Mittlerweile erscheinen diese dann auch im Adressbuch und werden in Outlook angezeigt und durch Anwender gefunden. Allerdings haben diese Teams dann eine "onmicrosoft.com"-Adresse in der Cloud und werden im Exchange Hybrid Mode nur gesehen, wenn auch "Groups Writeback" beim AADConnect aktiviert ist.

Verschiedene Benutzer können sogar Teams mit dem gleichen "Display"-Namen anlegen. Das kann letztlich mehr verwirren als nützen und ist eher für kleine Startups oder Firmen  praktikabel. Natürlich können Sie als Administrator über die "Besitzer" immer ermitteln welcher Anwender denn so frei war, eine Team anzulegen. Aber die Rückabwicklung und Aufräumarbeit bleibt dann doch bei ihnen hängen. Es können ja durchaus relevante Dateien und Informationen schon in so einem Team gelandet sein.

Ich gehe daher davon aus, dass vermutlich die meisten Firmen die Berechtigungen zu Anlage von Groups und Teams einschränken und durch einen Beantragungsprozess führen wollen.

Dazu muss ein Office 365 Administrator erst einmal einstellen, dass eben nicht mehr jeder Benutzer eigenständig Teams anlegen darf. Microsoft hat dazu gleich mehrere Artikel veröffentlicht. Zum Einstieg verweise ich auf folgende Seite:

Dieser Artikel beginnt gleich am Anfang nämlich mit der Information, dass die Einschränkung nicht nur Groups und Teams betrifft, sondern auch jede Menge andere Funktionen von Office 365, die direkt oder indirekt von Groups abhängig sind. Dazu zählen z.B.

  • Outlook
    Anwender können keine Groups mehr anlegen
  • SharePoint
    Anwender können keine Groups/Teams mehr anlegen, da diese im Hintergrund auch SharePoint Sites anlegen würden.
  • Yammer
  • Microsoft Teams
    Weder Administratoren noch Anwender können dann neue Teams anlegen.
  • StaffHub
    Weder Administratoren noch Anwender können dann neue Teams anlegen
  • Planner
    Anwender können keinen neuen Plan in der mobilen App oder per Browser anlegen.
  • PowerBI
    Einschränkungen soll es auch hier geben

Die Steuerung der Berechtigungen wirkt sich also durchaus auf mehrere Produkte aus.

Rechte beschränken

Die Funktion zur Beschränkung und Steuerung der Berechtigungen ist es versteckt, wie Sie aus dem URL-Anteil "undocumentedfeatures" der beiden Blog-Artikel schon erahnen können. Mitterlweile ist es natürlich dokumentiert.

Die Einstellung erfolgt über die Azure PowerShell und ist eine globale Einstellung auf dem Tenant. Es gibt dazu einige Beispiele im Internet. Die Filterung, wer Groups/Teams und andere Dienste anlegen darf, erfolgt über eine Sicherheitsgruppe. Sie als Administrator müssen also entscheiden, ob Sie dazu eine "CloudOnly"-Security Group oder eine lokale AD-Security Gruppe Nutzen möchten, die dann samt Mitglieder über AADConnect in den Tenant übertragen wird. Mit dem Wissen um den Namen der Gruppe können Sie dann im Tenant diese Gruppe eintragen. In meinem Beispiel lautet die Gruppe "Office365GroupTeamsAdminstrators"

$Office365GroupTeamsAdminstratorsGroup = ( Get-AzureADGroup -SearchString ‘Office365GroupTeamsAdminstrators‘)
if ($Office365GroupTeamsAdminstratorsGroup) { 
   write-host "Gruppe gefunden"
   # Lade AzureADSettings in eine Variable
   $AzureADSettings = Get-AzureADDirectorySetting | Where-Object {$_.DisplayName -eq ‘Group.Unified’}

   If ( !( $AzureADSettings)) {
      write-host" Konfiguration nicht vorhanden. Bereite Einrichtung vor.
      $AzureADTemplate = Get-AzureADDirectorySettingTemplate | Where-Object {$_.DisplayName -eq ‘Group.Unified’}
      $AzureADSettings = $AzureADTemplate.CreateDirectorySetting()
   }

   write-verbose "Setze Einstellungen"
   $AzureADSettings[‘EnableGroupCreation’] = ‘false’
   $AzureADSettings[‘AllowToAddGuests’] = ‘false’
   $AzureADSettings[‘GroupCreationAllowedGroupId’] = $Office365GroupTeamsAdminstratorsGroup.ObjectId
   If ( Get-AzureADDirectorySetting | Where-Object {$_.DisplayName -eq ‘Group.Unified’} ) {
      write-host "Update GroupTeams Setting"
      $AzureADSettings | Set-AzureADDirectorySetting -DirectorySetting $AzureADSettingss
   }
   Else {
      write-host "Create new GroupTeams Setting"
      New-AzureADDirectorySetting -DirectorySetting $AzureADSettingss
   }
}
else {
  write-host "Berechtigungsgruppe nicht gefunden"
}

Danach können nur noch Anwender die Groups und Teams anlegen, die in dieser Gruppen enthalten sind.

Verwaltung strukturieren

Sie können diese Steuerung aber nun auch als Chance begreifen, um die Verwaltung von Groups und Teams in geregelte Bahnen zu lenken. Wichtig ist hier z.B. zu erfassen, wozu ein Team angefordert wird, welche Daten darin zu erwarten sind und wer darauf zugreifen soll. Sie sollten Sie ein Konzept für die Benennung der Gruppen und die Sichtbarkeit im Outlook Adressbuch übernehmen.

Sie könnten auch überlegen als Administrator nach der Anlage des Teams bestimmte Firmenvorgaben vorab schon umzusetzen, z.B. vorbereitete Channels, oder Layouts.

Je größer eine Firma ist und je mehr Teams zu verwalten sind, desto eher dürfte sich sogar ein automatisierter und per Skript gesteuerter Workflow rechnen. Die Anlage und Verwaltung der Inhalte von Teams ist per PowerShell schon möglich

Weitere Links