Microsoft Teams Tech Blog - Teil 3: Governance

Michele Casazza
24.05.2020 16:37:05

Governance wird oft als Kontrolle oder Einschränkung gesehen, doch bei neuen Plattformen wie Microsoft Teams sollte es bei der Governance weniger um Schatten-IT und mehr um die Befähigung der Nutzer mit dem notwendigen Gleichgewicht zwischen Unternehmenskontrolle und Sicherheit gehen. Bei der Erstellung einer Governance-Strategie ist es wichtig, die folgenden Fragen zu berücksichtigen und zu diskutieren:

  • Warum tun wir das?
  • Was sind die gewünschten Ergebnisse?
  • Welche Instrumente werden wir verwenden?
  • Wo wenden wir Kontrollen an?
  • Wer ist verantwortlich?
  • Wann tun wir das?

Teams all Webinars


In dieser dreiteiligen Blog-Serie zu Microsoft Teams wird das Thema Sharing in Office 365 und Microsoft-Teams aus verschiedenen Perspektiven beleuchtet: Benutzer, Administrator und Advisor.

  1. Teil 1: Das Microsoft Office 365 Sharing Model
  2. Teil 2: Gemeinsame Nutzung und Gastzugang
  3. Teil 3: Microsoft Teams Governance

 


Rollen und ihre Bedürfnisse

Als IT-Experten müssen wir bei der Entwicklung einer Governance-Strategie an alle Rollen in der Organisation denken, die beeinflusst werden können:

  • Business: Erreichen Sie gesteckten Geschäftsziele so einfach wie möglich - wenn es zu schwierig ist, finden Sie einen einfacheren Weg.
  • Mitarbeiter: Get out of my way; Make it easy for me to get my work done fast; Let me share easily, but protect my secret stuff
  • Security officer: Verhindern Sie Datenlecks und Datenschutzverletzungen; Schützen Sie wertvolle Informationen
  • Legal: Einhaltung der Aufbewahrungspflicht; Unterstützung von eDiscovery

Microsoft Teams Free Ebook

Haben Sie ein Datenklassifizierungsschema?

Datenklassifizierung ist ein Prozess der konsistenten Kategorisierung von Daten auf der Grundlage spezifischer und vordefinierter Kriterien, so dass diese Daten effizient und effektiv geschützt werden können. Die Klassifizierung kann durch die Unternehmensführung, die Unternehmens-Compliance, Bestimmungen (z.B. PCI, GDPR) und den Schutz des geistigen Eigentums (IP) bestimmt werden. Ein Datenklassifizierungsschema ist für Microsoft Teams Governance nicht unbedingt erforderlich, aber wie wir sehen werden, ist Teams Teil des Office 365-Ökosystems, und wenn Sie die Sicherheit und Konformität Ihrer Daten in Office 365 (und Azure) gewährleisten möchten, benötigen Sie zumindest als Ausgangspunkt einige Kategorien, um Ihre Daten zu klassifizieren. PWC empfiehlt, mit nur drei Kategorien zu beginnen. Mit drei Kategorien zu beginnen kann den Start des Projekts dramatisch vereinfachen. Wenn nach dem Einsatz mehr benötigt werden, wird die Entscheidung von Daten und nicht von Spekulationen bestimmt.

Wenn Sie nicht wissen, was Sie vorliegen haben (Daten), wo sie sich befinden und warum Sie sie haben, können Sie nicht erwarten, die entsprechenden Richtlinien und Kontrollen zum Schutz dieser Daten durchzusetzen. Beispielsweise können Sie die Sensibilitätskennzeichen von Office 365 nicht verwenden, um Dokumenten eine unterschiedliche Vertraulichkeitsstufe zuzuweisen. 

Microsoft bietet im Sicherheits- und Compliance-Zentrum einen Vorschau-Dienst zur Datenklassifizierung an:

Microsoft Data Classification Preview Service

Nachdem wir nun einige der Hintergrundinformationen zur Data Governance verstanden haben, wollen wir uns Microsoft-Teams ansehen. Wie Sie wahrscheinlich wissen, stützt sich Microsoft Teams auf andere Office 365-Dienste, und wenn Sie ein Microsoft Teams-Team erstellen, erhalten Sie automatisch eine Reihe anderer Anwendungen, nämlich eine SharePoint-Website, ein OneNote-Notizbuch, einen Planerplan, ein freigegebenes Postfach und einen Kalender. Und was noch wichtiger ist: Alle diese Dienste teilen sich eine zugrunde liegende Office 365-Gruppe (jetzt Microsoft 365 Groups genannt), deren Mitgliedschaft in diesen Anwendungen gemeinsam genutzt wird.

Microsoft 365 Unique Workstyle of every Group

Der wichtigste Punkt hier ist, dass Sie Microsoft 365 Gruppen verwalten müssen, um Microsoft-Teams zu verwalten. In Teil 2 finden Sie weitere Einzelheiten zu Microsoft 365 Gruppen (früher bekannt als Office 365 Gruppen). Je nach den Richtlinien Ihres Unternehmens und dem Reifegrad der Organisation sollten Sie bei der Bildung von Gruppen mehr oder weniger offen vorgehen. Die Deaktivierung der Möglichkeit, Microsoft 365 Gruppen zu erstellen, könnte zu restriktiv sein und sich auf die Zusammenarbeit und das Engagement auswirken. Am anderen Ende des Spektrums könnte die Erlaubnis für jeden Benutzer, eine Gruppe oder ein Team zu erstellen, schnell zu einer Ausuferung führen, wenn Sie nicht über die richtige Ausbildung und die richtigen Richtlinien an einigen Stellen verfügen.

Sie könnten einen Mittelweg beschreiten, indem Sie die Erstellung nur für bestimmte Benutzer ermöglichen, vielleicht unter Verwendung einer dynamischen Mitgliedschaft, die dem Attribut eines bestimmten Benutzers entspricht (z.B. Manager). So beschränken Sie die Erstellung auf bestimmte Benutzer:

  1. Erstellen einer Sicherheits- oder dynamischen Gruppe in Azure AD
  2. Gruppenerstellung global deaktivieren
  3. Aktivieren der Gruppenerstellung für die spezifische Gruppe

Es gibt natürlich auch andere Lösungen, die es den Benutzern ermöglichen, die Einrichtung einer neuen Gruppe/eines neuen Teams über einen Genehmigungsprozess zu beantragen. Diese könnten intern entwickelt oder durch Tools von Drittanbietern bereitgestellt werden. Die Governance für Microsoft-Teams lässt sich in den folgenden Säulen zusammenfassen:

Governance pillars in Microsoft Teams

Die Bereitstellung kann je nach Bedarf bis zu einem gewissen Grad mit "out of the box"-Tools durchgeführt werden. Im operationellen Teil geht es um die verfügbaren Funktionalitäten und wie sie verschiedenen Arten von Benutzern zur Verfügung gestellt werden, um Think Meeting-Fähigkeiten, Gastzugang, aber auch darum, wie die Informationen in Microsoft Teams strukturiert sind, d.h. um Ihre Informationsarchitektur und Ihre Richtlinien für den Zugriff darauf. Im Informationslebenszyklus geht es darum, was mit dem Inhalt geschieht, wenn ein Team gelöscht wird.

Schauen wir uns einige der Bereitstellungs- und Betriebsoptionen an

Wer kann Teams erstellen: Dies entspricht fast dem Äquivalent von "Wer kann eine Gruppe erstellen?", denn um ein Team zu erstellen, benötigen Sie die Erlaubnis, eine Microsoft 365-Gruppe zu erstellen.

Richtlinien zur Namensgebung: Namensrichtlinien können auf Gruppen angewendet werden und erlauben die Angabe eines Präfixes oder Suffixes für Gruppennamen. Es ist auch möglich, eine Liste von blockierten Wörtern hochzuladen, die nicht in Gruppennamen verwendet werden können; diese Funktion erfordert Azure AD Premium P1.

Verfallsdatum und Erneuerung: Es gibt eine Richtlinie, die leicht umzusetzen ist (sie erfordert allerdings Azure AD Premium P1). Sie befindet sich in Azure AD -> Gruppen -> Ablauf>

  • Gruppenbesitzer erhalten 30 Tage vor Ablauf eine E-Mail mit der Option, die Gruppe zu verlängern. Wenn die Gruppe keinen Eigentümer hat, geht die E-Mail an den Administrator.
  • Admins können eine Gruppe bis zu 30 Tage nach Ablauf wiederherstellen

Gast-Zugriff: Wir haben dies in Teil 1 und Teil 2 behandelt. Zusätzlich könnten Sie in den Einstellungen für Gruppen in Azure AD Access Reviews verwenden, um die Gruppenbesitzer aufzufordern, die Gäste in ihren Gruppen regelmäßig zu überprüfen (erfordert Azure AD P2). 
Eine weitere Option, die sich auf den Gastzugang bezieht, ist die Möglichkeit, anonymen Benutzern die Teilnahme an einem Meeting zu erlauben. Dies ist in den "Meeting-Einstellungen" im Verwaltungszentrum zu finden.

Governance questions in Microsoft Teams


Möglichkeiten für Meetings: Es gibt viele Richtlinieneinstellungen, die für Besprechungen im Microsoft Teams Admin Centre konfiguriert werden können, z. B. wer Besprechungen in einem Channel starten und planen kann, welche Inhalte in einer Besprechung freigegeben werden können, wer teilnehmen kann und wie. Eine gute Praxis vor der Einführung einer Richtlinie ist es, sie nur auf eine Untergruppe von Benutzern auszurichten und sie zu testen. Wenn Sie Änderungen an der Richtlinie vornehmen, müssen Sie unter Umständen bis zu 24 Stunden warten, bevor die Richtlinie in Kraft tritt.

Sicherheit und Compliance: Die Sensitivitätskennzeichnungen für Microsoft-Teams befinden sich zum Zeitpunkt des Verfassens dieses Artikels noch in der Vorschau, aber sie ermöglichen es Ihnen, den Datenschutz und den externen Zugriff zu konfigurieren. Beispielsweise könnten Sie festlegen, dass bei der Erstellung eines Teams mit einem Vertraulichkeitslabel für vertrauliche Daten die externe Freigabe für dieses Team nicht erlaubt ist.

Admin Centre: Das Admin Centre ist sicherlich der wichtigste Einstiegspunkt für die Verwaltung von Microsoft Teams, in dem alle verschiedenen Richtlinien konfiguriert werden können, für Besprechungen, Messaging, Anwendungen (z.B. Pinning von Kernfunktionen oder genehmigte Anwendungen); hier finden sich auch Einstellungen für den externen und Gastzugriff (siehe Teil 2 für Details zum externen Zugriff).
Wenn Sie am Anfang Ihrer Teams Reise stehen, ist der Microsoft Teams Advisor im Admin Centre ein guter Leitfaden für Ihre nächsten erforderlichen Schritte.

Die Analyse und das Monitoring können einige Einblicke in die Nutzung durch Teams, Benutzeraktivitäten, Live-Events, Geräte und Anrufe geben. Dies kann auch mit PowerBI erweitert werden, um aussagekräftigere Erkenntnisse zu gewinnen.
Für den Hauptadministrator gibt es sogar die mobile Anwendung Admin Centre, in der Sie grundlegende Aktionen wie die Zuweisung von Lizenzen oder das Zurücksetzen des Passworts eines Benutzers durchführen können.


Informations-Lebenszyklus 


Das war der einfache Teil. Etwas heikler wird es, wenn es um die Streichung von Teams geht. Nachdem ein Team gelöscht wurde, bleiben alle zugrundeliegenden Gruppeninhalte 30 Tage lang erhalten, danach werden sie endgültig gelöscht. Lassen Sie uns schauen, was wir beachten müssen:

  • Was geschieht mit Dateien? Kopieren wir sie an einen SharePoint-Archivierungsort? Dafür bräuchten wir einen Auslöser und einen Prozess. Power Automate oder Logic App könnte eine Option sein
  • Unterhaltungen: Dies sind ebenfalls Aufzeichnungen, die einer E-Mail entsprechen könnten. Sie werden in Exchange Online gespeichert. Müssen sie aufbewahrt werden?
  • Was ist mit anderen SharePoint-Inhalten, die keine Dateien sind, z. B. Listen, Webparts?
  • Gäste: selbst nachdem der Inhalt eines Teams dauerhaft gelöscht wurde, sind Gäste immer noch in Azure AD, sie können möglicherweise immer noch Nachrichten an Benutzer senden, keine grosse Sache, aber sie sollten auch überprüft, vielleicht gelöscht werden.
  • Stream-Videos wie Sitzungsaufzeichnungen werden verwaisen. Stream ist wahrscheinlich die bisher am wenigsten integrierte der 365 Dienste von Office 365. Wem gehören diese Inhalte? Was geschieht mit ihnen?

Leider gibt es noch keine sofort einsatzbereiten Tools zur Verwaltung des Lebenszyklus der verschiedenen Arten von Inhalten in Microsoft-Teams.

Eine Möglichkeit wäre die Verwendung von Aufbewahrungsrichtlinien, aber diese gelten nur für Chat- und Kanalnachrichten, und selbst dann haben sie einige Einschränkungen und private Kanäle werden noch nicht unterstützt. Um vorerst den gesamten Lebenszyklus zu verwalten, müssen wir interne Prozesse schaffen oder auf Tools von Dritten zurückgreifen.

Governance ist kein starres und vergessenes Dokument, es entwickelt sich weiter, weil ständig neue Funktionen eingeführt werden, und sie müssen regiert werden (denken Sie an die kürzlich veröffentlichten Tags). Governance muss auch nicht kompliziert sein, denn mit einfachen Schritten zu beginnen, kann helfen, die Sache in Gang zu bringen und von Anfang an effektiv zu sein.

Beginnen Sie mit der Erstellung einer Website für Governance, auf der Sie:
  • Informationen teilen
  • Leitfaden bereitstellen
  • Rollen und Verantwortlichkeiten festlegen
  • Auflisten, was gemacht werden kann und was nicht

 

FRONT_HEADER Microsoft Teams Einführung

FREE EBOOK

Language/Sprache: German/Deutsch

Download Ebook

CYCLOPEDIA Blog

News, Trends, Insights und Meinungen
über den modernen Arbeitsplatz

Abonnieren

Das könnte auch interressant sein

Die Artikel zu CYCLOPEDIA MS TEAMS

Abonnieren