Governance für Microsoft 365 und Teams
Ordnungsrahmen
Veröffentlicht in Ausgabe 10/2024 - PRAXIS
Rund um das Thema Governance für Microsoft 365 und Teams gibt es eine Reihe von Bestimmungen, die Sicherheit und Struktur in der Unternehmensumgebung gewährleisten sollen. Dazu gehören Regeln, Prozesse und Richtlinien sowie die Verwaltung von Mitgliedschaften und Berechtigungen, die Sicherung von Daten und die Einhaltung gesetzlicher Vorschriften. Vor allem geht es um Prozesse, die von den Anwendern erwartet werden, und die Grenzen, die einzuhalten sind.
Die schnelle Einführung von Teams während der Pandemie hat in vielen Firmen die Notwendigkeit einer klaren Governance-Strategie deutlich gemacht. Denn
zu wenig Regulierung führt zu enormem Wildwuchs und immer unübersichtlicheren Ablagestrukturen. Die anfängliche Begeisterung schlägt dann schnell in Frustration beim Anwender um. Zu viel Regulierung hemmt hingegen ebenso die Akzeptanz der Nutzer, zu schwerfällige und komplexe Prozesse machen keinen Spaß. Deshalb ist ein Governance-Konzept so wichtig.
Rund um das Thema Governance für Microsoft 365 und Teams gibt es eine Reihe von Bestimmungen, die Sicherheit und Struktur in der Unternehmensumgebung gewährleisten sollen. Dazu gehören Regeln, Prozesse und Richtlinien sowie die Verwaltung von Mitgliedschaften und Berechtigungen, die Sicherung von Daten und die Einhaltung gesetzlicher Vorschriften. Vor allem geht es um Prozesse, die von den Anwendern erwartet werden, und die Grenzen, die einzuhalten sind.
Die schnelle Einführung von Teams während der Pandemie hat in vielen Firmen die Notwendigkeit einer klaren Governance-Strategie deutlich gemacht. Denn
zu wenig Regulierung führt zu enormem Wildwuchs und immer unübersichtlicheren Ablagestrukturen. Die anfängliche Begeisterung schlägt dann schnell in Frustration beim Anwender um. Zu viel Regulierung hemmt hingegen ebenso die Akzeptanz der Nutzer, zu schwerfällige und komplexe Prozesse machen keinen Spaß. Deshalb ist ein Governance-Konzept so wichtig.
Die oft überstürzte Implementierung – vorrangiges Ziel war zunächst die Aufrechterhaltung des Betriebs – hinterließ jedoch auch Lücken in den Einführungskonzepten. Die Organisationen verzeichneten innerhalb weniger Monate mehrere Hundert Teams, meist unkontrolliert von den Anwendern angelegt. Die IT verlor den Überblick über den Datenfluss, da externe Benutzer hinzugefügt und nicht entfernt wurden oder Rechte auf der hinter Teams liegenden SharePoint-Website vergeben wurden, ohne diese einzuschränken. Nach der ersten Testphase standen die Unternehmen daher bald vor Konsolidierungsprojekten.
Teams und SharePoint eng verflochten
Microsoft Teams hat sich zu einem der meistgenutzten Tools für die Zusammenarbeit entwickelt. In den letzten Jahren hat das Werkzeug ein bemerkenswertes Wachstum erlebt. Eine Software, die häufig zum Einsatz kommt und sehr erfolgreich ist, wirft jedoch einen langen Schatten. Denn sobald es ein Produkt gibt, bei dem Selfservice ein wichtiger Bestandteil ist, entsteht schnell die Möglichkeit des Chaos. Und davon ist auch Microsoft Teams nicht ausgenommen.
Obwohl Teams eine hohe Benutzerfreundlichkeit und Funktionalität bietet, gibt es Herausforderungen bei der Verwaltung der Berechtigungsstruktur in Teams-Gruppen. Die Standardstruktur in Gruppen besteht aus Eigentümern und Mitgliedern. Besitzer haben die vollständige Kontrolle über die Teams-Gruppe und können Mitglieder hinzufügen oder entfernen, Inhalte bearbeiten und freigeben und Einstellungen ändern. Mitglieder haben eingeschränkte Berechtigungen, können aber Inhalte hinzufügen und freigeben. Es gibt jedoch keine Trennung zwischen internen Benutzern und Gästen in einer Teams-Gruppe, was zu Problemen führen kann.
Die Berechtigungen zwischen der Gruppe und der zugrunde liegenden SharePoint Site Collection sind eng miteinander verknüpft. Der Besitzer einer Gruppe ist auch der Site-Collection-Administrator in SharePoint. Mitglieder von Teams werden automatisch Mitglieder der Site Collection. Das bedeutet, dass sie Änderungen daran vornehmen können, die sich auf die Teams-Gruppe auswirken. Dies bringt potenzielle Risiken mit sich. Beispielsweise kann der Besitzer unangemessene Änderungen durchführen, was die Standardisierung und spätere Modifikation erschweren kann.
Probleme von Standardberechtigungen
Die Tabelle unten zeigt das grundlegende Konzept der Berechtigungsstruktur von Microsoft Teams und gibt ein Überblick über die Funktionsweise; wie bereits erwähnt existieren die Rollen der Besitzer und der Mitglieder. Hingegen findet keine Trennung zwischen internen Benutzern und Gästen statt. Vollzugriff ist die höchste Berechtigungsstufe, die sich in einer SharePoint Site Collection vergeben lässt. Sie gibt einem Benutzer alle Freiheiten, einschließlich der Möglichkeit, die Einstellungen für die Inhaltsfreigabe zu ändern.
Ein Benutzer kann Listen hinzufügen, bearbeiten und löschen sowie Listenelemente und Dokumente anzeigen, hinzufügen, aktualisieren und löschen, wenn seine SharePoint-Sicherheitsgruppe die Berechtigungsstufe "Bearbeiten" hat. Ist der Besitzer einer Teams-Gruppe gleichzeitig Site Collection Administrator in SharePoint, kann er einige Probleme verursachen:
- Änderung der Content-Sharing-Einstellungen: Der Besitzer kann die Einstellungen für das Teilen von Inhalten auf der SharePoint-Website ändern. Hierdurch erhalten eventuell Benutzer, die nicht Teil der Teams-Gruppe sind, Zugriff auf die Dokumente, was ein Sicherheitsrisiko darstellt.
- Unangemessene Änderungen: Der Besitzer kann unangemessene Änderungen an der SharePoint-Website vornehmen, die die Funktionalität und Integrität der Teams-Gruppe beeinträchtigen.
- Datensicherheit: Da der Besitzer vollständigen Zugriff auf die SharePoint-Website hat, besteht das Risiko, dass er versehentlich oder absichtlich sensible Daten auf der Website preisgibt.
- Übermäßige Kontrolle kann Standardisierung beeinträchtigen: Durch den vollen Zugriff des Besitzers auf die SharePoint-Website besteht die Gefahr, dass er übermäßige Kontrolle ausübt, was die Standardisierung der Teams-Gruppen verhindert. Diese nicht standardisierten Umgebungen lassen sich nicht durch automatisierte Prozesse betreiben, was wiederum höhere Betriebskosten zur Folge haben kann.
- Archivierung: Die Besitzer von Teams-Gruppen verfügen über Schreibrechte auf der Teams-Gruppe und der SharePoint Site Collection, auch wenn diese im archivierten Status sind. Dies kann dazu führen, dass sich die Richtlinien zur Archivierung und Aufbewahrung von Unternehmensdaten nicht einhalten lassen.
| Benutzertyp | Berechtigung in SharePoint Site Collection | SharePoint-Berechtigungsstufe | |
|---|---|---|---|
| Besitzer | Interner Benutzer | Owners | Vollzugriff |
| Member | Interner Benutzer | Members | Bearbeiten |
| Member | Externer Benutzer | Members | Bearbeiten |
Werkzeuge für mehr Governance
Die Auswahl eines passenden Governance-Werkzeugs ist von unterschiedlichen Faktoren abhängig. Je nach Unternehmensgröße, Anzahl der Teams- und SharePoint-Sites sowie der Komplexität im Unternehmen kann die Wahl des Anbieters unterschiedlich ausfallen. Naming, Konventionen, Reporting, Lifecycle Management für Teams und Benutzer, Policies, Genehmigungsprozesse oder Templates – das alles sollte zum Funktionsumfang eines Governance-Produkts gehören, um sicheres und modernes Arbeiten zu ermöglichen.
Das "Teams Center" [1] des deutschen Dienstleisters Valprovia beispielsweise adressiert die Herausforderungen bei Berechtigungen und Strukturierungen wie folgt: Es löst das Problem des Teams-Gruppenbesitzers durch einen eigenen Sicherheitsmechanismus, der auf der Standard-Berechtigungsstruktur von Teams-Gruppen aufbaut. Bei diesem Sicherheitsmechanismus gibt es keinen Teams-Gruppenbesitzer und keinen SharePoint-Site-Collection-Administrator.
Daher lassen sich die Content-Sharing-Einstellungen einer Collection nur von IT-Administratoren ändern. Da kein Administrator für die SharePoint Site Collection mehr vorhanden ist, gibt es keine übermäßige Kontrolle durch den Besitzer und die Strukturen sind nicht einfach so anpassbar. Änderungen erfolgen stattdessen mithilfe des Bulk-Update-Features im Teams-Center. Die IT-Abteilung kann die Teams-Gruppen so konfigurieren, dass keine Sicherheitsrisiken für Daten bestehen. Dass es keine Teams-Gruppenbesitzer gibt, erleichtert zudem die Archivierung.
Teams-Center bietet einen virtuellen Security Layer auf den Microsoft-Standards. Dies ermöglicht eine feingranulare Steuerung der Berechtigungen innerhalb von Teams-Gruppen. Es verfügt über einen virtuellen Gruppenbesitzer, der in der Lage ist, alle Aktionen auszuführen, die ein echter Gruppenbesitzer in einer Teams-Gruppe ausführen kann. Die Funktionalität hat also keine Einschränkungen in Teams zur Folge, sondern sie stellt eine sichere Struktur für die Berechtigungen in Teams-Gruppen bereit.
Zentrales Tool: Microsoft Purview
Microsoft selbst hat den Bedarf an Governance-Tools erkannt und bietet bereits Software an oder hat diese angekündigt, wie das Beispiel Microsoft Purview [2] zeigt. Dabei handelt es sich um ein leistungsstarkes Werkzeug für Data Governance und Datenmanagement. Es erlaubt Unternehmen, ihre Datenressourcen aus verschiedenen Quellen sowohl innerhalb der Organisation als auch in der Cloud zu finden, zu klassifizieren und zu verwalten.
Die Anwendung ist eine Familie von Data-Governance-, Risiko- und Compliance-Tools, die eine Organisation bei der Kontrolle, dem Schutz und der Verwaltung ihres gesamten Datenbestands unterstützen kann. Purview soll laut Microsoft dabei helfen, die zunehmende Konnektivität von Remotebenutzern, die Fragmentierung von Daten in Organisationen und die Unschärfe traditioneller IT-Management-Rollen zu bewältigen.
Weitere Bordmittel aus Redmond
Durch die Integration von Datenklassifizierung in Microsoft Teams lässt sich zusätzliche Sicherheit und Compliance in die Kollaborationsumgebung bringen. Mit Sensitivity Labels [3] klassifizieren und schützen Sie Dokumente und E-Mails. Auch Inhalte auf Teams-Webseiten, Microsoft-365-Gruppen und SharePoint-Sites lassen sich so absichern: Ein Team kann privat oder öffentlich sein, externen Benutzer verboten sein, ebenso wie externen Freigaben und der Zugriff von nicht verwalteten Geräten.
Mit Teams App Policies [4] zum Verwalten des Zugriffs und der Installation von Teams-Apps kontrolliert der Teams-Administrator, welche Anwendungen jedem Benutzer in seiner Organisation zur Verfügung stehen. Sie können einige Programme für alle Benutzer zulassen, wieder andere nur für eine bestimmte Benutzergruppe oder bestimmte Apps für bestimmte Benutzer.
Mit der Site-Lifecycle-Management-Funktion [5] von SharePoint Premium verwalten Sie über das SharePoint Admin Center inaktive Sites in einem gesamten Mandanten. Darüber etablieren Sie auch eine Richtlinie für inaktive Sites, um diese automatisch zu erkennen und E-Mail-Benachrichtigungen an die Eigentümer der Site zu senden. Diese können dann bestätigen, ob die Site noch in Benutzung ist.
Beim Einrichten einer Richtlinie für den Lebenszyklus einer Website wählen Sie zwischen einer Simulations- und einer aktiven Richtlinie aus. Die Simulationsrichtlinie wird einmal ausgeführt und erzeugt einen Bericht auf der Grundlage der festgelegten Parameter. Die aktive Richtlinie kommt monatlich zur Ausführung, generiert Berichte und sendet Benachrichtigungen an die jeweiligen Websitebesitzer, um den Status der inaktiven Website zu bestätigen. Wenn die aktive Richtlinie in einem bestimmten Monat fehlschlägt, kommt sie im nächsten Zeitplan erneut zum Einsatz.
Eine weitere Möglichkeit für mehr Governance ist eine Naming Policy, um eine konsistente Benennungsstrategie für von Anwendern erstellte Microsoft-365- und Teams-Gruppen durchzusetzen. Die Richtlinie lässt sich verwenden, um Gruppen im Adressbuch zu kategorisieren und kann die Nutzung bestimmter Wörter in Gruppen- und Aliasnamen blockieren. Sie gilt sowohl, wenn ein Benutzer eine Gruppe erstellt als auch wenn der Gruppenname, der Alias, die Beschreibung oder der Avatar einer bestehenden Gruppe nur bearbeitet werden. Weitere Beispiele für Governance-Tools aus Redmond sind Zugriffsüberprüfungen in Microsoft Entra.
Marktübersicht zu weiteren Dienstleistern
Bereits im Jahr 2023 hat das SharePointForum Stuttgart mit Unterstützung der Hochschule der Medien und des Microsoft Business User Forum e.V. (mbuf e.V.) eine Marktstudie zum Thema "Governance Tools für Microsoft Teams" erstellt. Der umfassende Anforderungs- und Kriterienkatalog zur systematischen Bewertung der am Markt verfügbaren Governance-Tools identifiziert und bewertet insgesamt 27 internationale Anbieter. Eine kostenlose englische Kurzversion steht unter [6] zum Download bereit. Der komplette Report ist kostenpflichtig unter [7] erhältlich. Wirtschaftlich lohnt sich der Vergleich durchaus: Bei Lizenzen für Unternehmen mit mehr als 500 Mitarbeitern etwa lassen sich bei einer dreijährigen Softwarenutzung Preisunterschiede von mehr als 100.000 Euro zwischen den Anbieterangeboten feststellen.
Laut der Marktübersicht hat die Anfangseuphorie für MS Teams deutlich nachgelassen. Es fehlt meist an einem nachhaltigen Lebenszykluskonzept für das Erstellen und das Löschen von Teams-Inhalten sowie an den geeigneten "Lagerplätzen" für Dokumente und anderem Content in seinen unterschiedlichen Reifestufen. Selbst wenn die IT noch das Schaffen von Teams kontrolliert, so kann sie unmöglich auch die Rolle des "Content-Wächters" und Aufräumers leisten. Immer mehr Unternehmen sehen angesichts eines solchen Inhaltschaos den Bedarf, ein Lebenszykluskonzept einzuführen und mithilfe von automatisierten Abläufen auf den Anwender und Content-Besitzer zwingend umzulegen.
Als weiterer großer Aufgabenbereich ist gemäß der Marktstudie das Management der externen Mitarbeiter und Gäste in der Microsoft-365-Umgebung zu sehen. Denn vor allem Accounts und Zugriffsrechte von externen Kollegen oder solchen, die ausscheiden, müssen konsequent reguliert und nach dem Ende der Zusammenarbeit gelöscht werden, was sich aufgrund der knappen Mitarbeiter- und IT-Ressourcen immer schwieriger gestaltet. Zentral ist zudem der Aspekt des Datenschutzes. Wenn IT-Verantwortliche nicht genau wissen, wo überall Unternehmensinhalte liegen und wer alles darauf zugreift, dann fällt es sehr schwer, sensible Daten angemessen zu schützen.
KI nutzen, KI zügeln
Dort, wo Microsoft Teams in den letzten Jahren die Art und Weise der Zusammenarbeit neu definiert hat, soll Microsoft Copilot als Assistentenfunktion mit künstlicher Intelligenz Microsoft-365-Anwendungen und -Dienste weiter verbessern. Copilot ist in der Lage, Inhalte zu verstehen, zu interpretieren und Zusammenhänge aufzuzeigen, denn Nutzer wollen auch im KI-Zeitalter ihre Dokumente möglichst effizient finden und einfach Zugriff haben.
Da es im eigenen Unternehmen eine Vielzahl von sensiblen Daten gibt, die nicht allen Mitarbeitenden vollumfänglich zur Verfügung stehen sollen, müssen auch hier Regeln und Einstellungen her. Der Schlüssel liegt im Zusammenspiel von Ablagestrukturen und Berechtigungen, denn Copilot stehen nur die Daten zur Verfügung, auf die der angemeldete Benutzer Zugriff besitzt – sei es über die Freigabe einer Teams-Mitgliedschaft, eines Channels, einer verbundenen SharePoint-Site, einer Dokumentenbibliothek oder direkt auf dem Verzeichnis beziehungsweise Dokument.
Es gilt also beim Einsatz von Copilot im Unternehmen sicherzustellen, dass sensible Daten nicht in die Trainingsbasis der KI-Software gelangen und damit unternehmensweit und vielleicht externen Mitarbeitern verfügbar gemacht werden. Der bisher nur angekündigte Microsoft Purview AI Hub bietet grafische Tools und Berichte zur KI-Nutzung in der Organisation. Er ist nicht nur für Copilot, sondern auch für Drittanbieter-Werkzeuge verfügbar.
Fazit
Mit der Einführung von Microsoft 365 und Teams hat sich für viele Mitarbeiter die Arbeitsweise verändert. Um hier für mehr Struktur und Sicherheit zu sorgen, sind Prozesse zur IT-Governance gefragt. Für die Verwaltung von Teams-Gruppen etwa sind Richtlinien und Regeln der zentrale Baustein. Eine übersichtliche Darstellung von Rechten und Teilnehmern ist dabei wichtig. Herausforderungen können der Lebenszyklus von Gruppen sowie die Rechte von Externen sein. Hier gilt es, die Balance zwischen Regulierung und Freiheit zu finden. Die Administration lässt sich durch automatisierte Prozesse vereinfachen – der Markt bietet hierzu bereits einige hilfreiche Tools an.
(ln)
Link-Codes
[1] Valprovia Teams Center: https://www.valprovia.com/de/teams-center
[2] Microsoft Purview: https://azure.microsoft.com/de-de/products/purview
[3] Sensitivity Labels in Teams: https://learn.microsoft.com/en-us/microsoftteams/sensitivity-labels
[4] App Policies in Teams: https://learn.microsoft.com/en-us/microsoftteams/app-policies
[5] SharePoint Site Lifecycle Management: https://learn.microsoft.com/de-de/sharepoint/site-lifecycle-management
[6] Leseprobe Marktübersicht Governance-Tools: https://www.stuttgarter-sharepointforum.de/readingsample-ms-365-governance-technology-study-2023-download/
[7] Vollständige Marktübersicht: https://www.stuttgarter-sharepointforum.de/studie-teams-governance-2023-download/