Microsoft Teams Governance


Mit der im Jahr 2020 zunehmenden Verbreitung von Homeoffice wird Microsoft Teams zum Arbeitsmittelpunkt vieler Organisationen. Während diese Anwendung großes Potenzial hat, Arbeitsgruppen in die Lage zu versetzen, ihre Aufgaben zu erledigen und zu verwalten, kämpfen viele IT-Führungskräfte mit der Verwaltung dieser boomenden Umgebung. Ist die Zusammenarbeit sicher und geschützt? Was können Sie vor der Implementierung und nach der Bereitstellung dafür tun? Gehen Sie nicht den Weg des geringsten Widerstands, indem Sie Microsoft Teams einfach aktivieren und alle bitten, es zu benutzen. Das wird sich auf lange Sicht nicht auszahlen.

Wir haben in diesem Artikel für Sie die besten Vorgehensweisen für eine sichere Zusammenarbeit in Microsoft Teams zusammengestellt. Er wird Ihnen als nützlicher Leitfaden dienen und vermeidet ein potentielles Chaos, das Sie dann später beseitigen müssten.

Teams Governance

GUI (Grafische Benutzerschnittstelle)

Im Teams Admin Center stehen Ihnen zahlreiche Teams-spezifische Konfigurationsoptionen zur Verfügung. Da die Microsoft-365-Gruppen das Rückgrat von Microsoft Teams bilden, können Sie diese im Microsoft 365 Admin Center und im Azure Active Directory Admin Center verwalten. Einige Funktionen werden vom Security & Compliance Center gemanagt, manche erfordern Skripting.

PowerShell

Falls Sie sich im Umgang mit PowerShell wohl fühlen, können Sie damit alles verwalten – sogar Einstellungen, die in der GUI nicht verfügbar sind. Wir empfehlen immer, umfangreiche Einstellungen mittels PowerShell zu konfigurieren. Wenn Sie kein PowerShell-Experte sind und auf der sicheren Seite sein wollen, stehen Ihnen online zahlreiche gebrauchsfertige Skripte zur Verfügung, mit denen Sie experimentieren können, oder lassen Sie diese von einem Experten erstellen. Impactory hat Umgebungen mit PowerShell erfolgreich bereitgestellt und verwaltet, und unser erfahrenes Team hilft Ihnen gerne dabei, auch Ihren Fall zu meistern.

Tools von Drittanbietern

Es gibt einige benutzerfreundliche Tools von Drittanbietern, die Ihnen bei der Teams-Verwaltung per GUI helfen; einige von ihnen sind als Cloud-basierte Abonnementdienste verfügbar. Zwar ist dies die schnellste und einfachste Methode, aber auch die kostenintensivste.

Die vier wichtigsten Aspekte bei der Einführung von Teams sind:

  • Erstellungsregeln und -prozesse in Teams
  • Namenskonventionen
  • Externer Zugang und Gastzugang
  • Koexistenz von Teams mit Skype for Business (und)

Die folgende Tabelle gibt einen Überblick über die Lizenzierungsanforderungen für einige wichtige Governance-Fähigkeiten in Teams.

Fähigkeit
Details
Azure-AD-Premium-
Lizenz erforderlich*
Team-BenennungsrichtlinieVerwendung von Präfix-Suffix-basierten, benutzerdefinierten gesperrten WörternP1
Team-KlassifizierungZuweisung von Klassifizierungen an TeamsP1
Team-GastzugangErlaubt oder verhindert das Hinzufügen von Gästen zu TeamsNein
Team-ErstellungBeschränkung der Teamerstellung auf AdministratorenNein
Team-ErstellungBeschränkung der Teamerstellung auf SicherheitsgruppenmitgliederP1
VertraulichkeitsbezeichnungenKonfiguration von Datenschutz und GastfreigabeNein
Quelle: Microsoft

Tipp: Azure AD Premium ist eine Einzelplatzlizenz, die normalerweise nicht in der Microsoft 365 Suite enthalten ist. Die P1-Version, die für einige der Funktionen in dieser Tabelle benötigt wird, kostet etwa 5 EUR pro Benutzer monatlich. Weitere Informationen zur Preisgestaltung finden Sie unter: https://azure.microsoft.com/en-us/pricing/details/active-directory/

Team-Erstellung

Es gibt drei Herangehensweisen für die Verwaltung der Teambildung, die im Grunde genommen auf der Microsoft-365-Group- Ebene verwaltet wird. Denken Sie also daran, einen ganzheitlichen Ansatz zu verfolgen, wenn Sie eine diesbezügliche Entscheidung treffen. Eine Änderung dieser Einstellung wirkt sich nicht nur auf Teams aus, sondern auch auf Gruppen, die durch andere Workloads erstellt wurden wie etwa Outlook oder Planner (Aufgaben). Wir von Impactory raten dazu, die Gruppenbildung nicht einzuschränken, sofern Sie keinen triftigen Grund dafür haben; dies hat sich in der Praxis bewährt, da es Kollaboration und Produktivität fördert. Anderenfalls prüfen Sie die Ansätze in der Tabelle unten. In jedem Fall können Sie die Gruppenerstellung über die Microsoft-365-Audit-Protokolle überprüfen. Egal welchen Ansatz Sie wählen: Stellen Sie sicher, dass Sie ihn kommunizieren, einschließlich der Gründe, warum Sie ihn gewählt haben, bevor Sie Teams in Ihrer Organisation einführen.

Ansatz
Team-Erstellung
Vorteile
Nachteile
LoseOffen für alle
  • Überlasst die Kontrolle den Anwendern
  • Keine IT-Abhängigkeit
  • Fördert die Zusammenarbeit
  • Kann mit der Zeit eine Menge ungenutzter Teams erzeugen
  • Bedarf an Schulung der Benutzer über die verantwortungsvolle Nutzung von Teams
MediumSpezifische Benutzer oder Gruppen
  • Beschränkung der Kontrolle aufgeschulte Benutzern
  • Nützlich, wenn Sie bestimmte Gruppen wie z. B. externe Berater einschränken möchten
  • Benutzer finden möglicherweise schwer heraus, wer Teams erstellen kann
  • Die Aufrechterhaltung der Gruppenmitgliedschaft erfordert die Unterstützung der IT-Abteilung
  • Sie benötigen einen Prozess zur Anforderung von Teams
StrengMit Freigabeverfahren
  • Höchstmögliche Kontrolle
  • Verfolgung, wer die Erstellung beantragt und wer sie freigegeben hat
  • Grenzt die Zusammenarbeit ein
  • Starke Abhängigkeit von IT
  • Benutzer könnten möglicherweise auf in Ihrer Organisation nicht zugelassene IT-Tools umsteigen.

Benennungsrichtlinie

Sie können die folgenden Optionen als Teil der Benennungsrichtlinie erzwingen:

  • Präfix / Suffix – Z. B. Cloud_ am Anfang oder am Ende jedes Gruppennamens, damit Sie zwischen lokalen Gruppen und Gruppen, die in Microsoft 365 erstellt wurden, unterscheiden können. Nachteilig ist, dass Sie kein dynamisches Präfix konfigurieren können, das auf der Anwendung basiert, durch die die Gruppe erstellt wird, z.B. Teams, Outlook. Das Präfix kann nur auf der Grundlage einiger weniger Benutzerattribute, der die Gruppe erstellt, dynamisiert werden: z. B. Titel, Abteilung, Land.
    Microsoft 365 Group Prefix and Suffix
  • Benutzerdefinierte blockierte Wörter – Mit dieser Funktion können Sie eine CSV-Datei mit bis zu 5000 Wörtern hochladen, deren Verwendung in Gruppennamen nicht zulässig ist. Ziel ist es, den Gebrauch schlechter, beleidigender Sprache oder Schimpfwörter zu verhindern bzw. zu vermeiden, dass einige Abteilungsnamen wie HR oder Gehaltsabrechnung missbraucht werden. Sie können diese Liste über die Benutzeroberfläche von Azure Active Directory hochladen oder PowerShell einsetzen.Das sehen Endbenutzer, wenn sie ein neues Team erstellen und Sie fixe (hier: Grp) und dynamische Präfixe (hier: Abteilung) sowie ein dynamisches Suffix (hier: das Land) in der Benennungsrichtlinie festgelegt haben:Microsoft 365 Groups Naming Policy

Tipps

  • Wenn Sie Präfixe bzw. Suffixe verwenden wollen, werden Sie nicht zu kreativ: Die Gesamtlänge eines Gruppennamens ist auf 264 Zeichen begrenzt.
    Die Gesamtlänge von Präfix und Suffix kann 53 Zeichen betragen.
  • Wenn eine bestehende Microsoft-365-Gruppe mit dem gleichen Namen existiert, können Benutzer diese – anders als bei SharePoint – in Teams trotzdem erstellen.
  • Ein langes Präfix macht Gruppennamen in der Navigationsleiste in Teams unleserlich.
Microsoft Teams Long Prefix
Quelle: jamielaporte.com

Die Benennungsrichtlinie wird bei der Erstellung oder Bearbeitung einer bestehenden Gruppe angewendet. Sowohl die Funktionen für Gruppenpräfix/Suffix als auch für blockierte Wörter können entweder über die Administrationsoberfläche von Azure Active Directory oder mit PowerShell-Befehlen konfiguriert werden.

Die Benennungsrichtlinie bietet zwar einige positive Effekte, aber sie hat auch ihre Schattenseiten.

Vorteile:

  • Ermöglicht Ihnen, eine konsistente Bezeichnungsstrategie für Gruppen durchzusetzen, die von Benutzern in Ihrer Organisation angelegt werden.
  • Sie helfen Ihren Benutzern, die Funktion der Gruppe, die Mitgliedschaft, die geografische Region oder den Ersteller der Gruppe zu identifizieren.

Nachteile:

  • Gilt nicht für Verteilergruppen, die in Exchange Online erstellt wurden.
  • Erfordert eine Azure-AD-Premium-P1-Lizenz oder eine Azure-AD-Basic-EDU-Lizenz für jeden einzelnen Benutzer (einschließlich Gäste), der Mitglied einer oder mehrerer Microsoft-365-Gruppen ist.
  • Unterstützt Sie nicht bei der Unterscheidung zwischen verschiedenen Microsoft 365 Workloads wie Teams, Yammer oder Planner-Gruppen.

Vertraulichkeitsbezeichnungen

Genauso wie Sie Vertraulichkeitsbezeichnungen verwenden können, um Dokumente und E-Mails zu klassifizieren bzw. zu schützen, können Sie sie mit Microsoft Groups (bzw. Teams) einsetzen.

Mit den Vertraulichkeitsbezeichnungen lassen sich:

  • eine einfache, visuelle Darstellung des Vertraulichkeitsgrades eines Teams bereitstellen
  • das Datenschutzniveau (öffentlich oder privat) eines Teams kontrollieren
  • Externe Zugänge verwalten
  • Zugriff von nicht verwalteten Geräten einschränken

Tipp: Um Vertraulichkeitsbezeichnungen für die Verwendung mit Microsoft 365 Groups zu aktivieren, führen Sie zuerst den PowerShell-Befehl Execute-AzureAdLabelSync aus. Markieren Sie dann Groups & sites in der GUI.

Microosft 365 Sensitivity Labels Settings

Benutzer können bei der Erstellung neuer Teams in Microsoft Teams Vertraulichkeitsbezeichnungen wählen. Wenn sie die Bezeichnung aus der Dropdown-Liste Sensitivity auswählen, kann sich die Datenschutzeinstellung ändern, um die Konfiguration der Bezeichnung widerzuspiegeln. Abhängig von der externen Zugriffseinstellung, die Sie für die Bezeichnung gewählt haben, können Benutzer Personen außerhalb der Organisation zum Team hinzufügen oder nicht.

Microsoft Teams - New Team

Sobald Ihr Team mit einer Vertraulichkeitsbezeichnung erstellt wurde, sehen Sie diese in der oberen rechten Ecke:

Microsoft Teams Sensitvity Label Settings

Wenn Sie sich tiefer in dieses Thema einarbeiten möchten, lesen Sie unseren ausführlichen Blog-Beitrag dazu.

Dateispeicherung bei Drittanbietern

Microsoft Teams vertraut auf SharePoint Online und OneDrive for Business als native Dateispeicherlösungen. Jede Datei, die Sie in einem privaten Chat freigeben, wird im Ordner Microsoft Team Chat Files im OneDrive for Business des Uploaders abgelegt, und jede in einem Channel hochgeladene Datei geht in die zugrunde liegende SharePoint-Online-Dokumentenbibliothek. Dieselbe Bibliothek ist über die Registerkarte Files in jedem Channel zugänglich. Darüber hinaus ermöglicht Teams den Anwendern standardmäßig, Dateispeicherlösungen von Drittanbietern wie Google Drive, Box.com o. ä. zu ihren Teams hinzuzufügen.

Tipp: Es ist eine gute Idee, die Drittanbieter-Optionen zu deaktivieren, wenn sie nicht zu den genehmigten Dateispeicherplattformen Ihrer Organisation gehören. Dies erfolgt über das Teams Admin Center -> Teams Settings -> Files.

Microsoft Teams Third Party Storage

Teams-Lebenszyklus

Ablaufrichtlinie

Microsoft Teams baut auf Microsoft 365 Groups als Backbone. Sie können mehrere Richtlinien durchsetzen, um zu vermeiden, dass Ihre Umgebung mit einer großen Anzahl inaktiver Gruppen vollgestopft wird. Das Erste, was dabei zu beachten ist, ist das Ablaufdatum. Standardmäßig haben Gruppen kein Ablaufdatum, und Sie haben drei Optionen zur Auswahl:

  • 180 Tage
  • 365 Tage
  • Benutzerdefiniert (> 30 Tage)

Sie können diese im Azure Active Directory Admin Center -> Groups -> Expiration konfigurieren.

Microsoft 365 Groups Expiration Policy

Sie müssen ferner einen E-Mail-Kontakt einrichten, um die Benachrichtigungen zu erhalten, wenn keine Mitglieder mehr im Team sind.

Verlängerung

Wenn das Ablaufdatum aktiviert ist, erhalten Gruppenbesitzer 30 Tage, 15 Tage sowie 1 Tag vor dem Ablaufdatum eine E-Mail. Wird die Gruppe nicht verlängert, geht das Team in einen „soft-deleted“ – Zustand über, d. h. die Admins können es innerhalb der nächsten 30 Tage wiederherstellen. Das Renew-Fenster sieht wie folgt aus:

Microsoft Teams Renewal

Automatische Verlängerung

Wenn ein Teambesitzer nicht in der Lage ist, das Team zu verlängern – weil er es vergessen hat oder zum Zeitpunkt der fälligen Verlängerung abwesend war –, kann ein aktiv genutztes Team aufgrund von für das Team geltenden Ablaufrichtlinien gelöscht werden.

Um ein versehentliches Löschen zu verhindern, ist die automatische Verlängerung für Teams standardmäßig aktiviert. Ist die Gruppenablaufrichtlinie eingerichtet, so wird jedes Team, das vor seinem Ablaufdatum mindestens einen Channel-Besuch von einem Teammitglied hat, automatisch verlängert, ohne dass der Teambesitzer manuell eingreifen muss.

Tipp: Wird eine Gruppe im Rahmen einer Teamverlängerung erneuert, so erfolgt die Synchronisierung des Ablaufdatums mit Teams nicht sofort. Gewähren Sie etwas Zeit (bis zu 24 Stunden Zeit), bis etwaige Diskrepanzen behoben sind.

Archivierung

Ein Team-Service-Administrator kann Teams unabhängig von den Ablaufrichtlinien archivieren. Archivierte Teams lassen sich jederzeit wieder dearchivieren. Archivieren bedeutet, dass keine neue Aktivität im Team möglich ist. Bei der Archivierung eines Teams können Sie optional auch die dahinter liegende SharePoint-Website für Teammitglieder als schreibgeschützt markieren. Teambesitzer und der Team-Service-Administrator können weiterhin Mitglieder hinzufügen/entfernen und Rollen in archivierten Teams aktualisieren. Die Archivierung des Teams beinhaltet auch alle privaten Channels, die im Team erstellt wurden.

Microsoft Teams Archiving

Tipp: Denken Sie daran, ein Team immer erst zu archivieren, bevor Sie es löschen. Löschen Sie ein Team nur, wenn Sie sicher sind, dass es nicht mehr benötigt wird, da der Wiederherstellungsprozess weitaus schwieriger ist, als ein archiviertes Team wieder zu aktivieren.

Externer Zugang & Gastzugang

Wenn Sie mit Personen außerhalb Ihrer Organisation kommunizieren bzw. zusammenarbeiten müssen, haben Sie mit Microsoft Teams zwei Möglichkeiten: ein externer Zugang (der restriktivere von beiden) oder ein Gastzugang. Der Letztere ermöglicht es Ihnen, mit Drittparteien zusammenzuarbeiten, wie Sie es mit Personen innerhalb Ihrer Organisation tun würden.

Wenn Sie möchten, können Sie sowohl den externen Zugang als auch den Gastzugang nutzen – der eine schließt den anderen nicht aus.

Externer Zugang

Der externe Zugang, auch als Verbund bekannt, ist eine Funktion, die von Skype for Business übernommen wurde. Er ermöglicht es externen Benutzern in anderen Domänen, den Chat zu finden, anzurufen und Besprechungen mit Ihren Benutzern einzurichten. Sie haben keinen Zugang zu Ihren Teams und den darin befindlichen Ressourcen. Der externe Zugang ist die richtige Wahl, wenn Sie mit Dritten kommunizieren müssen, die noch Skype bzw. Skype for Business nutzen. Wenn Sie externen Benutzern Zugriff auf Ihre Teams und Channels gewähren möchten, wählen Sie den Gastzugang. Der externe Zugang ist standardmäßig eingeschaltet und kann auf einer Zulassungs- oder einer Blockliste basieren. Wir empfehlen, die Domänen, denen Sie vertrauen, in die Zulassungsliste aufzunehmen. Diese wird über das Team Admin Center -> Org-wide settings -> External access konfiguriert.

Microsoft Teams External Access

Gastzugang

Gäste können zu Teams zugelassen werden. Dazu empfiehlt es sich, diesen Zugang mit einer Domain-Liste zu verwalten, die Sie zulassen würden. Standardmäßig ist der Gastzugriff ausgeschaltet. Wenn Sie ihn jedoch einschalten, kann jeder mit einer E-Mail-Adresse als Gast zu Ihren Teams hinzugefügt werden, was bedeutet, dass sie auch auf die Dateien in den jeweiligen Teams zugreifen und an ihnen mitarbeiten können. Der Gastzugang wird von drei verschiedenen Standorten aus verwaltet: dem Teams Admin Center, dem Microsoft 365 Admin Center und Azure Active Directory.

So sieht der Hauptschalter im Teams Admin Center -> Org-wide setting -> Guest Access aus:

Microsoft Teams Guest Access

Teams verwendet Microsoft 365 Groups für die Teammitgliedschaft. Die Gast-Einstellungen von Microsoft 365 Groups müssen aktiviert sein, damit der Gastzugriff in Teams funktioniert.

Microsoft 365 Groups Guest Settings

Um bestimmte Domänen von Partnern oder Kunden, mit denen Sie zusammenarbeiten möchten, zu konfigurieren, müssen Sie zu Azure Active Directory Admin Center -> External Identities -> External collaboration settings gehen und die Einstellung Collaboration restrictions auf Allow invitations only to the specified domains (most restrictive) ändern. Wenn Sie es lieber umgekehrt machen möchten, bitten Sie die andere Partei, Ihre Domain(s) in deren Zulassungsliste in der Azure Active Directory aufzunehmen.

Hier ist ein ausführlicher Funktionsvergleich zwischen externem Zugang und Gastzugang:

Funktion
Benutzer mit externem Zugang
Benutzer mit Gastzugang
Benutzer kann mit jemandem in einem anderen Unternehmen chattenJaJa
Benutzer kann jemanden in einer anderen Firma anrufenJaJa
Benutzer können sehen, ob jemand von einer anderen Firma für einen Anruf oder Chat verfügbar istJaJa1
Benutzer können über externe Mandanten hinweg nach anderen Benutzern suchenJaNein
Benutzer können Dateien austauschenNeinJa
Benutzer können auf Team-Ressourcen zugreifenNeinJa
Benutzer können zu einem Gruppenchat hinzugefügt werdenNeinJa
Benutzer können zu einem Treffen eingeladen werdenJaJa
Zusätzliche Benutzer können zu einem Chat mit einem externen Benutzer hinzugefügt werdenNein3k. A.
Benutzer wird als externe Partei identifiziertJaJa
Die Anwesenheit wird angezeigtJaJa
Abwesenheitsmeldung wird angezeigtNeinJa
Einzelne Benutzer können blockiert werdenNeinJa
@Erwähnungen werden unterstütztJaJa
Private Anrufe tätigenJaJa
Anzeigen der Telefonnummer für Teilnehmer von Dial-In-MeetingsNeinJa
IP-Video zulassenJaJa
Modus zur gemeinsamen BildschirmnutzungJaJa
Sofortbesprechung erlaubenNeinJa
Gesendete Nachrichten bearbeitenJaJa
Kann gesendete Nachrichten löschenJaJa
Giphy im Gespräch verwendenJaJa
Memes im Gespräch verwendenJaJa
Aufkleber im Gespräch verwendenJaJa

1 Vorausgesetzt, dass der Benutzer als Gast hinzugefügt wurde und beim Gast-Mandanten als Gast angemeldet ist.
2 Nur per E-Mail oder SIP-Adresse (Session Initiation Protocol).
3 Der externe (Federated-) Chat ist nur 1:1.
4 Unterstützt wird 1:1-Chat nur für Teams-Only zu Teams-Only-Benutzern von zwei verschiedenen Organisationen.
5 Standardmäßig können externe Teilnehmer die Telefonnummern der eingewählten Teilnehmer nicht sehen. Wenn Sie die Vertraulichkeit dieser Telefonnummern wahren möchten, wählen Sie die Ansageart Töne für Einstiegs-/Ausgangsansage (dies verhindert, dass die Nummern von Teams vorgelesen werden)
Quelle: Microsoft

Externe Freigabe

Sharing in Teams basiert auf den SharePoint-Online und OneDrive-for-Busines- Einstellungen, sodass alles, was Sie im SharePoint Admin Center einrichten, auch für Teams gilt.
Gehen Sie dazu zu SharePoint Admin Center -> Policies -> Sharing.
Wenn Ihre Organisation plant, Microsoft Teams mit Gästen zu verwenden, müssen die Einstellungen mindestens auf New and existing guests eingestellt sein. Sie können auch die Option Anyone aktivieren. Dies ist jedoch die unsicherste Option, da sie keine Form der Authentifizierung erfordert.

SharePoint and OneDrive Sharing Policies

Tipp: Bitte denken Sie daran, dass SharePoint weniger restriktiv eingestellt werden kann als OneDrive, umgekehrt ist dies jedoch nicht möglich.

Es stehen einige andere Feineinstellungen zur Verfügung, die sich auf das Austauschverhalten in Teams auswirken. Wir empfehlen, sie zunächst wie unten beschrieben einzustellen. Sicherlich möchten Sie eine Datei nicht in einem privaten Chat in Teams freigeben und allen Ihren Benutzern automatisch Zugriff darauf gewähren. Setzen Sie daher den Defaultwert auf Specific people (bestimmte Personen), um sicherzustellen, dass nur den Empfängern der Datei Dateiberechtigungen zugewiesen werden. Das geschieht im Hintergrund. Der Empfänger erhält Ansichts- oder Bearbeitungsberechtigungen für die Datei, die in einem Chat oder über einen Link freigegeben wird. Die Datei befindet sich auf dem OneDrive des Absenders. Obwohl Ansicht für die Zusammenarbeit etwas restriktiv ist, ist er der sicherere Standard-Berechtigungstyp, der bei dieser Art der Dateifreigabe gewährt wird. Sie können sie natürlich jedes Mal, wenn Sie eine Datei freigeben, anpassen und bei Bedarf auf Edit setzen.

SharePoint Files and Fodler Links

Aufbewahrungsrichtlinien

Häufig sehen Organisationen private Chat-Daten als etwas Kurzfristiges an als Channel-Nachrichten, die typischerweise eher projektbezogene Diskussionen sind und eine Bereicherung für die Organisation darstellen

Sie können separate Aufbewahrungsrichtlinien für private Chats und Channel-Nachrichten einrichten. Sie können aber auch individuelle Richtlinien konfigurieren, die für bestimmte Benutzer oder Teams in Ihrer Organisation gelten. Bei Teams-Chats lässt sich auswählen, für welche Benutzer und für Teams-Channel-Nachrichten, für welche Teams die Richtlinie gilt.

Teams benötigen eine von anderen Workloads getrennte Aufbewahrungsrichtlinie. Mit anderen Worten, Sie müssen spezielle Aufbewahrungsrichtlinien für Team-Chats bzw. Channel-Nachrichten erstellen. Aus diesem Grund können Sie Teams nicht in organisationsweite Aufbewahrungsrichtlinien einbeziehen.

Aufbewahrungsrichtlinien werden im Security & Compliance Center oder mit PowerShell konfiguriert.

Microsoft 365 Reention Policies

Wenn Sie sich intensiver mit allen Sicherheits- und Compliance-Funktionen der Microsoft 365 Suite vertraut machen möchten, lesen Sie doch unseren neuesten Blog-Beitrag zum Thema

Zugriffsüberprüfungen

Früher oder später lässt sich nur noch schwer feststellen, ob noch alle Zugriffsberechtigungen in Microsoft-Teams relevant sind. Sie können Azure Active Directory verwenden, um eine Zugriffsüberprüfung für Team(gruppen)mitglieder zu erstellen, damit diese bestätigen, ob der bestehende Zugriff von Mitgliedern und Gästen noch benötigt wird.

Dabei lassen sich die Zugriffsüberprüfungen auf bestimmte Gruppen eingrenzen und wählen, wer die Reviewer sein sollen: Gruppenbesitzer, Mitglieder oder bestimmte Benutzer.

Wir empfehlen, eine wöchentliche, monatliche, vierteljährliche oder jährliche Zugangsüberprüfung einzurichten. Die Reviewer werden zu Beginn jeder Überprüfung benachrichtigt und können den Zugang über eine benutzerfreundliche Oberfläche und mithilfe von intelligenten Empfehlungen genehmigen bzw. verweigern.

Azure AD Access Review

Hinweis: Für Zugriffsüberprüfungen ist eine Azure AD Premium P2 oder EMS E5 Lizenz erforderlich.

Teams Anwendungen

Es gibt drei Anwendungsarten, die Sie in Microsoft Teams verwenden können, und diesbezügliche Entscheidungen sollten Teil Ihres Governance-Plans sein. Sie werden über das Teams Admin Center -> Teams Apps gesteuert. Sie können sie auf organisatorischer Ebene unter Manage Apps -> Org-wide app settings (blockieren bzw. zulassen) für alle steuern. Sie können auch über App permission policies (App-Berechtigungsrichtlinie) und App setup policies (App-Setuprichtlinien) eine detailliertere Steuerung vornehmen. Die App-Berechtigungsrichtlinie ermöglicht es Ihnen, die drei App-Arten zu kontrollieren und gezielt einige von ihnen zu blockieren bzw. zuzulassen. Standardmäßig sind alle aktiviert, und Sie haben nur eine einzige Richtlinie: Global. Sie können mehrere Richtlinien erstellen und bestimmten Untergruppen Ihrer Benutzer zuweisen.

Microsoft Teams App Permissions

Die App-Setuprichtlinien ermöglichen Ihnen die Kontrolle darüber, welche Apps für Ihre Benutzer automatisch installiert und welche in der Navigationsleiste verankert werden sollen. Sie können Benutzern auch gestatten, Apps, die ihnen gefallen, selbst anzupinnen.

Microsoft Teams App Setup Policies

Microsoft Apps

Microsoft Apps sind standardmäßig aktiviert, und einige von ihnen lassen sich problemlos in Teams integrieren, wie zum Beispiel die SharePoint-App. Damit können Sie Ihr Intranet als Registerkarte in Teams wie in einem Browser nutzen, ohne zwischen den Anwendungen wechseln zu müssen. Wir empfehlen Ihnen, die vorhandenen Microsoft Apps zu überprüfen und nur diejenigen zu deaktivieren, die Ihrer Meinung nach nicht für Ihr Unternehmen geeignet sind.

Microsoft Teams Apps

Drittanbieter-Apps

Diese wurden von anderen Anbietern als Microsoft entwickelt, und Microsoft übernimmt keine Verantwortung für Ihre Daten. Sie können im App-Storage des Anbieters oder sogar außerhalb der EU-Region gespeichert sein – darauf haben Sie keinen Einfluss. Wir raten zu einem vorsichtigen Ansatz und empfehlen, die Anwendungen von Drittanbietern zunächst zu deaktivieren. Bewerten Sie dann jede einzelne Anwendung und aktivieren Sie sie bei Bedarf.

Microsoft Teams 3rd Party Apps

Benutzerdefinierte Apps

Microsoft Teams ermöglicht benutzerdefinierte Anwendungen, die Sie selbst entwickeln und zur Nutzung innerhalb Ihrer Organisation oder für ausgewählte Benutzer hochladen können. Ob Sie diesen Weg einschlagen oder den Upload benutzerdefinierter Anwendungen ganz verbieten wollen, müssen Sie selbst entscheiden. Wir empfehlen Ihnen, den Upload benutzerdefinierter Anwendungen nur dann zu aktivieren, wenn Sie erfahrene Entwickler haben, die mit der modernen Teams-/SharePoint-Entwicklung vertraut sind.

Microsoft Teams Custom App

Teams-Richtlinien

Es gibt viele Richtlinien, die Sie als Team-Administrator erstellen und an Ihre Benutzer verteilen können. Wir werden uns jedoch auf die drei wichtigsten konzentrieren, die Sie auf jeden Fall vor dem Teams-Rollout überprüfen und konfigurieren sollten.

Besprechungsrichtlinien

Besprechungsrichtlinien werden verwendet, um zu steuern, welche Funktionen den Benutzern zur Verfügung stehen, wenn sie an Microsoft-Teams-Besprechungen teilnehmen. Es gibt insgesamt sechs Standardrichtlinien, die Sie überprüfen sollten. Hiermit steuern Sie Dinge wie die Aufzeichnungsfunktion einer Besprechung, die Transkription und die Audio-/Videoeinstellungen.

Microsoft Teams Meeting Policies

Wenn Sie auf eine Richtlinie klicken, gelangen Sie zu deren Einstellungen.

Microsoft Teams Meeting Policies General and Audio Video Settings

Bei Gästen empfehlen wir eine vorsichtige Herangehensweise und die Einführung einiger Restriktionen – lassen Sie z. B. Gäste nicht automatisch zu Besprechungen zu.

Microsoft Teams Meeting Policies Content Sharing and Participants and Guests

Messaging-Richtlinien

Messaging-Richtlinien werden verwendet, um zu steuern, welche Chat- und Channel-Messaging-Funktionen den Teams-Benutzern zur Verfügung stehen. Damit kontrollieren Sie Dinge wie das Löschen von gesendeten Nachrichten durch den Benutzer, die Verwendung von Giphys usw. Standardmäßig gibt es nur eine globale Richtlinie (Global). Sie können jedoch mehrere Richtlinien erstellen und sie verschiedenen Untergruppen Ihrer Benutzer zuweisen.

Microsoft Teams Messaging Policies

Liveereignis-Richtlinien

Die Liveereignis-Richtlinien in Teams dienen zum Ein- und Ausschalten von Funktionen, z. B. wer an einem Live-Event teilnehmen kann, ob eine Transkription für die Teilnehmer vorgesehen ist oder ob die Aufzeichnung von Live-Events für Personen, die Live-Events planen und durchführen, verfügbar ist. Es gibt standardmäßig nur eine globale Richtlinie (Global).

Microsoft Teams Live Event Policies

Schlussfolgerung

Teams Governance ist ein großes und höchstwahrscheinlich heißes Thema für all jene Beteiligten, die an Ihrer Teams-Einführung beteiligt sind. Wenn Sie dazu professionelle Hilfe benötigen, bieten wir von Impactory für Organisationen wie die Ihre unsere Teams Governance Workshops an. Darin behandeln wir alle Themen, die wir hier nur oberflächlich betrachtet haben, bewerten Ihre individuellen Bedürfnisse und geben Ihnen Empfehlungen. Lassen Sie uns lieber früher als später über Ihren Team-Governance-Plan sprechen! Da Skype for Business im Juli 2021 ausläuft, bleibt wenig Zeit und keine Alternative – Teams ist der Weg voran, und wir möchten sicherstellen, dass Sie sich auf diesem Weg sicher fühlen.

IMPACTORY

Ihr zuverlässiger und performancestarker Partner

Bei uns erhalten Sie ein breites Service- und Beratungsangebot rund um Planung, Einführung und Umsetzung von SharePoint, Microsoft 365 oder Hybrid-Anwendungen. Profitieren Sie dabei von unserer langjährigen Branchenerfahrung

Leistungen

Wir sorgen dafür, das Microsoft 365 und SharePoint in Ihrem Unternehmen optimal läuft

Lösungen

Mit innovativen Lösungen zu mehr Produktivität. Unser Ziel sind effektive Lösungen, die einfach und schnell in Ihrem Unternehmen umzusetzen sind