Microsoft MVP Jasper Oosterveld erläuterte in einer Masterclass Sitzung von ShareGate Best Practices, die Ihnen dabei helfen zu verstehen, warum Benutzer ihre Teams erstellen, damit Sie die richtigen Governance-Richtlinien und Sicherheitseinstellungen ab dem Moment der Erstellung anwenden können (Orginalartikel).
Wie wir seit der Umstellung auf Arbeiten im Homeoffice gesehen haben, haben viele KMU und Grossunternehmen sehr schnell Microsoft Teams eingeführt, um neue Methoden der virtuellen Zusammenarbeit zu ermöglichen. Oft fehlte bei solchen «Hau-Ruck»-Übungen die Zeit, um einen Verwaltungsplan zu organisieren. Nun stehen Sie vor der Herausforderung, einen Weg zu finden, um eine produktive Teams-Umgebung zu optimieren und aufrechtzuerhalten.
Sie möchten Mitarbeitenden die Unabhängigkeit geben, neue Ressourcen nach Belieben zu erstellen, aber Sie möchten nicht, dass dadurch ein Sicherheitsrisiko entsteht. Dieser Ansatz hilft, die Zügel in der Hand zu halten:
Benutzer erstellen aus den unterschiedlichsten Gründen neue Teams in Microsoft Teams. Sie sind eine grossartige Möglichkeit, mit Kolleginnen und Kollegen und Personen ausserhalb Ihrer Organisation an gemeinsamen Projekten zusammenzuarbeiten, unabhängig davon, was diese Projekte sein mögen. Aber nicht alle Teams sind gleich; einige enthalten hochsensible Daten, während andere aus weniger geschäftsorientierten Gründen erstellt werden. Aus diesem Grund sollte der erste Schritt in jedem effektiven Lebenszyklusmanagementplan die Definition eines Erstellungsprozesses sein, der Ihnen hilft die Ziele jedes Microsoft-Teams zu verstehen. Auf diese Weise können Sie Ihre Richtlinien und Sicherheitseinstellungen basierend auf dem Geschäftszweck und der Sensibilität des jeweiligen Teams anpassen.
Fragen, die zu Beginn des Lebens eines Teams zu berücksichtigen sind:
Immer gleiche Teams können rascher mit Vorlagen erstellt werden. Vorlagen in Microsoft Teams enthalten vorgefertigte Definitionen der Teamstruktur, mit denen Sie schneller und einfacher effektive Teams erstellen können. Mit Teams-Vorlagen können Sie:
Beim Erstellen eines neuen Teams können Benutzer aus einer Vielzahl anpassbarer Vorlagen wählen, die auf eine geschäftliche Anforderung oder ein Projekt zugeschnitten sind.
Oder Sie können Ihre eigene Vorlage in der Admin-Konsole erstellen – so können Sie Teamstrukturen standardisieren, relevante Apps anzeigen und Best Practices in Teams skalieren.
Während des Erstellungsprozesses können Administratoren die Kanalstruktur, Registerkarten und Apps definieren, aus denen die neue Vorlage besteht. Auf diese Weise können Sie bewährte Teamstrukturen für gängige Szenarien verwenden und diese in Ihrem gesamten Unternehmen skalieren. Alle Teams-Vorlagen, ob integriert oder vom Administrator erstellt, können über das Microsoft Teams Admin Center verwaltet und geändert werden. Weitere Informationen zu den ersten Schritten mit Teams-Vorlagen im Admin Center finden Sie in der offiziellen Dokumentation von Microsoft.
Ein Team „Projektgewinnung“ zu nennen, verstrickt Sie vielleicht nicht in irgendwelche Familienfehden, kann aber später zu Verwirrung führen – insbesondere, wenn ständig viele Teams zusammengestellt werden und die IT nicht Teil jedes neuen Teams ist. Eine Namenskonvention kann Ihnen und Ihren Benutzern dabei helfen, die Funktion, Mitgliedschaft, geografische Region und/oder den Ersteller eines Teams zu identifizieren.
Art des Teams | Microsoft Teams | SharePoint |
Abteilung | DEP <Name der Abteilung> Beispiel: DEP Marketing |
/teams/dep-private-<Abteilungsname> Beispiel: /teams/dep-private-marketing |
Geographische Lage | DEP <Name der Abteilung oder des Projekts> <Geografischer Standort> Beispiele: DEP Marketing CA ODER DEP Marketing USA |
/teams/dep-private-<Abteilungsname>-<Geografischer Standort> Beispiele: /teams/dep-private-marketing-ca ODER /teams/dep-private-marketing-usa |
Mit einer durchdachten Namenskonvention können Sie die Funktion jedes Microsoft Teams schnell ermitteln, was es Ihnen letztendlich erleichtert, die richtigen Governance-Richtlinien und Sicherheitseinstellungen einzurichten. Sie können eine Benennungsrichtlinie verwenden, um eine konsistente Benennungsstrategie für Teams durchzusetzen, die von Benutzern in Ihrer Organisation erstellt wurden. Mit einer Benennungsrichtlinie können Sie einem Team eine vordefinierte Benennungskonvention zur Verfügung stellen.
Drei Optionen zum Anwenden einer Benennungsrichtlinie:
Was sind meine Empfehlungen?
Abhängig von den Anforderungen Ihrer Organisation kann die externe Freigabe verwendet werden, um Folgendes zu ermöglichen: Mit der Nutzung von Teams auf einem Allzeithoch und einer globalen Verlagerung hin zu verteilter Arbeit ist die Möglichkeit der freien Zusammenarbeit mit externen Benutzern heute wichtiger denn je. Sie möchten jedoch nicht, dass diese Freiheit auf Kosten eines Sicherheitsrisikos für Ihr Unternehmen geht.
Während einige IT-Administratoren der Meinung sind, dass es sicherer ist, die externe Freigabe vollständig zu deaktivieren, kann dies die Produktivität und Akzeptanz der Benutzer beeinträchtigen und zu einer Schatten-IT führen. Nutzen Sie stattdessen die Leistungsfähigkeit dieser "Self-Made-Organisation", um die Benutzerakzeptanz in Teams zu fördern und gleichzeitig eine Strategie zur Steuerung der ordnungsgemässen Verwendung zu implementieren. Mit den richtigen Einstellungen und Richtlinien wird sichergestellt, dass Mitarbeitende das Tool korrekt verwenden und sensible Daten sicher sind.
Wenn Ihre Benutzer mit Personen ausserhalb Ihrer Organisation auf Dokumente in SharePoint oder Microsoft OneDrive zusammenarbeiten müssen, können Sie über Links den Zugriff auf das betreffende Dokument gewähren. Dies erfolgt über diese Methode:
Wenn Endbenutzer einen neuen Freigabelink erstellen, können sie aus den folgenden Optionen wählen (die verfügbaren Optionen hängen davon ab, wie Sie die Freigabeeinstellungen in Ihrer Organisation konfiguriert haben):
Damit Personen ausserhalb Ihrer Organisation Zugriff auf ein Dokument in SharePoint oder OneDrive haben, müssen Ihre SharePoint- und OneDrive-Freigabeeinstellungen auf Organisationsebene die Freigabe für Personen ausserhalb Ihrer Organisation zulassen. Im SharePoint Admin Center können Sie die Einstellungen für die externe Freigabe für Ihre gesamte Organisation ( Richtlinien > Freigabe ) sowie für einzelne Teamwebsites ( Sites > Aktive Sites > Wählen Sie die betreffende Site aus, wählen Sie dann Richtlinien aus und klicken Sie unter Externe Freigabe auf Bearbeiten) bearbeiten.
Die Einstellungen auf Organisationsebene für SharePoint bestimmen die Einstellungen, die für einzelne SharePoint-Websites verfügbar sind, und Websiteeinstellungen können nicht freizügiger sein als die Einstellungen auf Organisationsebene. Wählen Sie daher die freizügigste Einstellung aus, die von jeder Website in Ihrer Organisation benötigt wird, wenn Sie Ihre Freigabeeinstellungen auf SharePoint-Organisationsebene konfigurieren.
Was sind meine Empfehlungen?
Gastzugriff hingegen ermöglicht es Ihnen, Personen von ausserhalb Ihrer Organisation einzuladen, einem vorhandenen Team in Ihrem Teams-Mandanten beizutreten. Mit Gastzugriff können Benutzer Personen ausserhalb Ihrer Organisation Zugriff auf Folgendes gewähren:
Teams baut auf Microsoft 365-Gruppen auf, sodass Sie Gäste in Ihrem Azure Active Directory verwalten können und dieselben Compliance- und Überwachungsschutzmassnahmen wie für den Rest von Microsoft 365 gelten. Mit dem Gastzugang behalten Sie im Wesentlichen die vollständige Kontrolle und Ihre Daten gehen nie aus den Augen. Warum sollten Sie Gäste in Teams zulassen?
Ursprünglich war der Gastzugriff standardmässig deaktiviert. Mit der jüngsten Änderung von Microsoft an der Standardkonfiguration für den Gastzugriff in Teams ist der Gastzugriff jetzt jedoch standardmässig für alle Kunden aktiviert worden, die diese Einstellung nicht konfiguriert haben, wodurch die Gastzugriffsfunktion von Teams mit dem Rest der Suite in Einklang gebracht wird. Die Einstellung ist standardmässig bereits aktiviert. Das Aktivieren des Gastzugriffs hängt von den Einstellungen in Azure Active Directory, Microsoft 365, SharePoint und Teams ab.
Bevor Sie wissen, was Gäste tun können und was nicht, müssen Sie sich überlegen, wie sie überhaupt in Ihren Tenant eingeladen werden.
Globale Administratoren können den Gastzugriff in Teams auf höchster Ebene über Ihr Azure Active Directory verwalten ( Externe Identitäten > Einstellungen für externe Zusammenarbeit > Einschränkungen für die Zusammenarbeit ). Steuern Sie, welche Gäste eingeladen werden können, indem Sie eine der folgenden Optionen auswählen:
Einem Gast können fast dieselben Teams-Funktionen wie einem nativen Teammitglied in Ihrer Organisation zugewiesen werden. Wie jedes andere Teammitglied können Gäste chatten, anrufen, sich treffen, an Dateien zusammenarbeiten und Zugriff auf andere Ressourcen innerhalb eines Teams haben. In der folgenden Tabelle werden die für die Teammitglieder einer Organisation verfügbaren Teams-Funktionen im Vergleich zu ihren Gästen verglichen:
Berechtigungen in Teams |
Teammitglied innerhalb der Organisation |
Externer Benutzer mit Gastzugang |
Kanal erstellen* |
✔ |
✔ |
Nehmen Sie an einem |
✔ |
✔ |
An einer Kanalunterhaltung teilnehmen |
✔ |
✔ |
Nachrichten posten, |
✔ |
✔ |
Eine Kanaldatei teilen |
✔ |
✔ |
Auf SharePoint-Dateien zugreifen |
✔ |
✔ |
Dateien anhängen |
✔ |
Nur Kanalbeiträge |
Teilen Sie eine Chat-Datei |
✔ |
|
Erstellen Sie Besprechungen oder greifen Sie auf Zeitpläne zu |
✔ |
|
Laden Sie einen externen Benutzer ein, Gast zu werden* |
✔ |
|
Erstellen Sie ein Team |
✔ |
|
Entdecken Sie ein öffentliches Team oder treten Sie einem bei |
✔ |
Quelle: Microsoft Teams- Gastzugriff: Berechtigungen, Einstellungen und wie man einen Gast hinzufügt
*Teambesitzer kontrollieren diese Einstellungen. Beachten Sie auch, dass Microsoft 365-Administratoren die für Gäste verfügbaren Funktionen steuern.
Wie Sie jedoch in der obigen Tabelle sehen können, können sie bestimmte Dinge nicht tun, z.B. Besprechungen erstellen oder auf Zeitpläne zugreifen, ein neues Team erstellen, eine andere Person ausserhalb Ihrer Organisation als Gast einladen oder ein öffentliches Team entdecken/beitreten.
Seien Sie vorsichtig:
Wenn der Gastzugriff aktiviert ist, können Personen ausserhalb Ihrer Organisation auf Teams und Kanäle zugreifen, wenn sie eingeladen werden, einem Team als Gast beizutreten. Sie können jedoch Gastberechtigungen in Teams konfigurieren, um zu steuern, auf welche Funktionen Gäste in der Plattform zugreifen können.
Abgesehen von der Verwaltung von Gastzugriffsberechtigungen ist das Teams Admin Center Ihre Zentrale für die Verwaltung von Microsoft Teams-Einstellungen für Ihre gesamte Organisation.
Steuern Sie, welche Einstellungen oder Features Benutzern bei der Verwendung von Teams und Kanälen zur Verfügung stehen, indem Sie Teams-Richtlinien im Teams Admin Center erstellen (oder bearbeiten) ( Teams > Teams-Richtlinien ). Ich empfehle die Aktivierung privater Kanäle in Ihrer gesamten Organisation mit der globalen Richtlinie (organisationsweiter Standard).
App-Berechtigungsrichtlinien im Teams Admin Center ( Teams-Apps > Berechtigungsrichtlinien ) steuern, welche Apps Sie Teams-Benutzern in Ihrer Organisation zur Verfügung stellen möchten. Sie können die globale (organisationsweite) Standardrichtlinie verwenden und anpassen oder neue Richtlinien erstellen, um die Anforderungen Ihrer Organisation zu erfüllen. Wir schlagen vor, Microsoft-Apps zu aktivieren und Drittanbieter-Apps für Ihre Teams-Benutzer einzuschränken oder zu blockieren.
Was sind meine Empfehlungen?
Nicht alle Daten – und damit auch nicht alle Teams – sind gleich. Sie müssen nicht die gleichen Kontrollen auf das Office-Softball-Liga-Team anwenden wie auf ein Team, das streng vertrauliche Informationen über vierteljährliche Einnahmen enthält.
Die Datenklassifizierung macht es einfacher, Ihre wertvollen Daten zu finden, zu nutzen und zu schützen – und ist entscheidend für die effektive Verwaltung Ihrer Teams-Umgebung. Einfach ausgedrückt ist es der Prozess, Daten in Kategorien zu organisieren, die es Ihnen erleichtern, sie zu verwalten und zu schützen. Um Ihre Daten zu kategorisieren, müssen Sie zunächst die Kategorien kennen. Hier kommt ein Datenklassifizierungsschema ins Spiel. Es bildet alle verfügbaren Optionen für Ihre Benutzer ab und definiert sie. In der fol-genden Tabelle sehen Sie ein Beispiel für ein grundlegendes Klassifikationsschema:
Beispiel für ein Klassifikationsschema aus der realen Welt
persönlich |
Nicht geschäftliche Daten, nur für den persönlichen Gebrauch |
Öffentlichkeit |
Firmendaten, die speziell für die öffentliche Verwendung aufbereitet und freigegeben wurden |
Intern |
Unternehmensdaten zur allgemeinen Verwendung innerhalb und ausserhalb der Organisation (Geschäftspartner) |
Geheim |
Sensible Unternehmensdaten, die ein Geschäftsrisiko darstellen, wenn sie an nicht autorisierte Personen weitergegeben werden |
Streng geheim |
Hochsensible Unternehmensdaten, die ein Geschäftsrisiko darstellen, wenn sie an nicht autorisierte Personen weitergegeben werden |
Das Klassifizierungsschema einer Organisation wird oft durch die Vorschriften Ihres Landes oder Ihrer Branche bestimmt. Zum Beispiel die EU-DSGVO. Wenn dies bei Ihnen nicht der Fall ist, lesen Sie auch den Blogartikel von ShareGate mit Einblicken von Microsoft MVP Marc D Anderson zur Definition eines effektiven Datenklassifizierungsschemas für Microsoft 365.
Sobald Sie Ihr Klassifizierungsschema eingerichtet haben, erleichtern Sie sich das Anpassen von Einstellungen und Richtlinien, indem Sie die Klassifizierung auf Containerebene anwenden, d.h. auf der Ebene jeder Microsoft 365-Gruppe oder jedes Teams.
Durch die Kategorisierung Ihrer Teams nach Zweck und Sensibilität können Sie besser verstehen, warum Benutzer ihre Teams erstellen, wie Ihre Benutzer in Teams zusammenarbeiten und wo sensible Daten gespeichert sind. Nach der Kategorisierung können die entsprechenden Kontrollen angewendet werden, um den Datenzugriff, den Transport und die Speicherung innerhalb jedes Teams zu überwachen und zu steuern.
Welche Klassifizierungsmöglichkeiten gibt es?
Microsoft 365 verfügt über eine integrierte Funktion, mit der Sie Ihre Daten auf Containerebene klassifizieren und schützen können: Vertraulichkeitsbezeichnungen durch die Microsoft Information Protection (MIP)-Lösung . Bisher nur zum Anwenden von Verschlüsselung und Inhaltsmarkierung auf Dateien und E-Mails verwendet, können Sie jetzt Vertraulichkeitsbezeichnungen verwenden, um Inhalte auf Containerebene in Microsoft Teams zu schützen. Sie können Vertraulichkeitsbezeichnungen konfigurieren, um die folgenden Sicherheitseinstellungen für ein Team zu erzwingen:
Vertraulichkeitsbezeichnungen ermöglichen Teams-Administratoren, den Zugriff auf vertrauliche Unternehmensinhalte, die während der Zusammenarbeit in Teams erstellt werden, zu schützen und zu regulieren. Nachdem Sie im Microsoft 365 Compliance Center Vertraulichkeitsbezeichnungen erstellt und veröffentlicht haben, können Benutzer beim Erstellen eines neuen Teams in Microsoft Teams eine Bezeichnung auswählen und alle vorkonfigurierten Einstellungen werden automatisch angewendet. Wenn das neue Team erstellt wird, wird die ausgewählte Vertraulichkeitsbezeichnung in der oberen rechten Ecke der Kanäle im Team angezeigt:
Es ist jedoch wichtig zu beachten, dass ein Teambesitzer die Vertraulichkeitsbezeichnung und die Datenschutzeinstellungen des Teams jederzeit ändern kann, indem er zum Team geht und auf Team bearbeiten klickt. Ich sollte auch darauf hinweisen, dass Sie zum Konfigurieren dieser Funktion zuerst Vertraulichkeitsbezeichnungen für Container aktivieren und Bezeichnungen synchronisieren müssen – was erfordert, dass Sie in Ihrer Azure AD-Organisation über mindestens eine aktive Azure Active Directory Premium P1-Lizenz verfügen.
Sie kennen ShareGate vielleicht für sein erstklassiges Migrationstool, ShareGate Desktop. Aber wussten Sie, dass das Unternehmen auch ein Governance-Tool für Microsoft Teams anbietet? Als ShareGate-Kunde können Sie sogar beide Tools - ShareGate Desktop und ShareGate Apricot - zusammen nutzen.
Die Klassifizierung Ihrer Teams und Microsoft 365 Gruppen in ShareGate Apricot ist wirklich einfach. Es gibt zwei Möglichkeiten, wie Sie das tun können:
Verwenden Sie den Teams-Chatbot von ShareGate Apricot, um die Besitzer automatisch aufzufordern, einen Teamzweck und eine Teamempfindlichkeit auszuwählen, gleich nachdem sie ihr Team erstellt haben. Sie können Ihre eigenen Zweck- und Sensibilitäts-Tags erstellen und eine Beschreibung hinzufügen, um den Besitzern die Entscheidung zu erleichtern. Oder Sie können die Benutzer aus einer Liste von Standardoptionen auswählen lassen.
Die Verwendung eines Chatbots für Teams zum Sammeln dieser Informationen sorgt für weniger Reibungsverluste bei den Eigentümern, da sie den Grossteil ihrer Arbeit bereits in Teams erledigen.
Sobald ein Besitzer eine Entscheidung getroffen hat, werden diese Informationen an Sie in der App zurückgegeben, wo Sie Teams nach Zweck und Sensibilität filtern und finden können - oder sehen können, welche Teams keine Tags haben. Der grosse Vorteil der Teamzweck- und Teamempfindlichkeits-Tags in ShareGate Apricot ist, dass Sie kein Azure AD Premium-Abonnement oder ein Bereitstellungsformular benötigen, um diese Informationen von den Eigentümern zu erhalten. Ausserdem werden sie dort gesammelt, wo sie die meiste Zeit verbringen: in Teams.
Sie können die Dinge auch selbst in die Hand nehmen und einem Team direkt in der ShareGate Apricot-App einen Teamzweck oder eine Teamempfindlichkeitskennzeichnung zuweisen. Sie können aber auch eine Kennzeichnung überschreiben, die ein Besitzer zuvor ausgewählt hat, wenn Sie das möchten. Für beide Methoden können Sie Ihre eigenen Zweck- und Empfindlichkeits-Tags erstellen und eine Beschreibung hinzufügen, die es den Besitzern leicht macht, eine Entscheidung zu treffen.
Mit den Sensitivitätskennzeichen von ShareGate Apricot können Sie Ihre Daten auf Containerebene (d. h. auf Teamebene) klassifizieren UND schützen. Ähnlich wie bei MIP-Empfindlichkeitskennzeichnungen können Sie in ShareGate Apricot Empfindlichkeitskennzeichnungen konfigurieren, um die folgenden Sicherheitseinstellungen für ein Team zu steuern:
Sobald ein Sensibilitätskennzeichen ausgewählt wurde (vom Eigentümer oder von Ihnen), wendet ShareGate Apricot automatisch die entsprechenden Sicherheitseinstellungen auf das Team an. Auf diese Weise können Sie verhindern, dass einige Teams Inhalte extern teilen und Gäste empfangen, während Sie anderen Teams mehr Freiheiten einräumen.
Die Software markiert sogar ein Team, das die falschen Sicherheitseinstellungen hat (d. h. Einstellungen, die nicht mit dem ihm zugewiesenen Sensitivitäts-Tag übereinstimmen). Wenn also einem Team die Kennzeichnung "Streng vertraulich" zugewiesen wurde und der Besitzer später den Datenschutzstatus des Teams von "privat" auf "öffentlich" ändert, erkennt ShareGate Apricot diese Abweichung von der Sensibilität automatisch für Sie. Dann können Sie das Problem schnell beheben, indem Sie die Änderungen direkt in der App vornehmen.
Sie sind sich nicht sicher, welche Klassifizierungsfunktion für Sie die richtige ist? In einem Blogartikel von ShareGate finden Sie weitere Informationen zu den Unterschieden zwischen der Sensitivitätskennzeichnung von Microsoft Information Protection und der Team-Sensitivitätsfunktion von ShareGate Apricot.
Was sind meine Empfehlungen?
UPGREAT hat bei zahlreichen Unternehmen und Organisationen aus unterschiedlichen Bereichen personalisierte Lösungen für die Kollaboration implementiert. Wir begleiten Unternehmen bei den Herausforderungen des digitalen Wandels und den verschiedenen Phasen der individuellen IT-Projekte. Gerne helfen wir Ihnen bei der Einführung von Teams, nehmen Sie noch heute Kontakt mit uns auf.