Schlagwort-Archive: Governance

Office 365 Groups Governance – Teil 2

Im ersten Teil der O365 Groups Governance haben wir uns aus der Business Perspektive angeschaut, welche Groups Standardeinstellungen problematisch sind und mit welchem Ansatz man diese Probleme lösen kann. Heute gehen wir ins Detail und dafür habe ich mir folgende Agenda überlegt:

  1. Gruppenvorlagen
  2. Gruppenersteller einschränken mit einer neuen Groups-Vorlage
  3. Gruppenersteller einschränken durch Anpassen einer Gruppenvorlage
  4. Klassifizierung
  5. Namenskonventionen
  6. Berechtigungen Einschränken
  7. Speicherplatz beschränken

Das Ändern und Definieren neuer Standardwerte für Gruppenvorlagen, die für eine starke Unternehmens-Governance besser geeignet sind,  ist nur über die Online PowerShell-Konsole möglich. GANZ WICHTIG ist hierbei, dass das aktuellste Microsoft Azure AD PowerShell Modul (Version 1.1.166.0) nicht mehr die Befehle enthält, die es braucht, um die Gruppeneinstellungen anzupassen. Stattdessen gibt es diese nur in der vorherigen Version 1.1.130.0. Solltet ihr also bereits auf der neueren Version sein, müsst ihr diese über die Systemsteuerung wieder deinstallieren und die ältere Version installieren. Einen Download Link zu beiden Versionen findet ihr hier:
http://connect.microsoft.com/site1164/Downloads/DownloadDetails.aspx?DownloadID=59185

Haben wir dies erledigt, so müssen wir uns zunächst wieder auf unseren Tenant verbinden. Die nötigen Befehle findet ihr im 6. Türchen meines #O365Adventskalenders.

1. Gruppenvorlagen:

Ähnlich wie auch unsere SharePoint Bibliotheken oder Seiten auf Vorlagen basieren, so ist dies auch für die Office 365 Groups der Fall. Über den nur in der Version 1.1.130.0 enthaltenen Befehl New-MsolAllSettingTemplate können wir auf die „Group.Unified“ Vorlage zugreifen und mehr Informationen erhalten.

O365 Groups Governance New-MsolAllSettingTemplate

Noch weiter im Detail können wir herausfinden, welche Werte überhaupt für so eine Vorlage definiert werden können:

O365 Groups Governance Werte der Vorlage

Das Problem hierbei ist jedoch, dass wir wirklich nur diese eine Vorlage haben. In Hinblick auf die verfügbaren PowerShell Befehle können wir zwar theoretisch auch eine neue Vorlage erstellen, ist aber bereits eine vorhanden, so erhalten wir eine Fehlermeldung. Die Architektur beim Erstellen von Gruppen gibt es außerdem noch nicht her, dass wir aus verschiedenen Vorlagen wählen können. Dies können derzeit nur Drittanbieter. Zur Vollständigkeit nachfolgend kurz das Vorgehen, um eine neue Vorlage zu erstellen. Anschließend beziehe ich mich aber nur auf das Anpassen der Werte der bereits existierenden Vorlage.

2. Gruppenersteller einschränken mit einer neuen Groups-Vorlage:

Falls ihr die existierende Groups-Vorlage über Remove-MsolSettings gelöscht habt, sind im Folgenden zur Information die Befehle, um auf eine neue Vorlage schreiben zu können. Dabei referenziere ich auf die $template – Variable aus dem Screenshot oben und deaktiviere das Gruppenerstellen als Ganzes, aber erlaube nur einer bestimmten Gruppe weiterhin das Erstellen. Das Erstellen dieser AD Sicherheitsgruppe und die Identifikation ihrer GUID geht mit folgenden Befehlen:

  • New-MsolGroup -Displayname „Gruppenersteller“ -Description „This group is intended for power users, who are able to create Groups“
  • Get-MsolGroup -SearchString Gruppenersteller
    -> Screenshot
  • $setting = $template.CreateSettingObject()
    -> Screenshot
  • $setting[„EnableGroupCreation“] = „$false“
  • $setting[„GroupCreationAllowedGroupId“] = „ID“
  • New-MsolSettings -SettingObject $setting
    -> Screenshot

3. Gruppenersteller einschränken durch Anpassen einer Gruppenvorlage:

Wir konzentrieren uns nun aber auf das Anpassen einer bereits existierenden Vorlage mit entsprechenden Standardwerten. Wie im obigen Beispiel, erstellen oder suchen wir die entsprechenden AD-Gruppe, die wir berechtigen wollen:

  • New-MsolGroup -Displayname „Gruppenersteller“ -Description „This group is intended for power users, who are able to create Groups“
  • Get-MsolGroup -SearchString Gruppenersteller

Damit ist der einfachste Schritt erledigt – weiter zum nächsten.

Wir müssen nun die ID der existierenden Vorlage identifizieren und wollen uns die darin enthaltenen Werte auslesen lassen:

  • $setting = Get-MsolSettings -SettingId „ObjectId“
  • $setting.Values
    O365 Groups Governance Get-MsolSettings

Wir sehen also, dass das Erstellen der Gruppen generell angeschaltet ist (EnableGroupCreation = True) und noch keine explizite Gruppe zum Erstellen zugewiesen wurde (kein Wert bei GroupCreationAllowedGroupId). Dies wollen wir nun ändern. Dafür hilft uns die GetSettingsValue – Methode, über die wir dann die Werte definieren. Anschließend schreiben wir diese Werte in das existierende SettingsObject.

  • $value = $setting.GetSettingsValue()
  • $value[„GroupCreationAllowedGroupId“] = „ID“
  • $value[„EnableGroupCreation“] = „$false“
  • Set-MsolSettings -SettingId „ID“ -SettingsValue $value

Anschließend vergewissern wir uns noch einmal, dass die Einstellungen auch erfolgreich geschrieben wurden:

$setting.Values

Im Screenshot ist dies nun schön zu sehen, dass wir erfolgreich die Standardwerte geändert haben. Das Erstellen von neuen Gruppen ist jetzt das Privileg der Mitglieder der entsprechenden AD-Gruppe.
O365 Groups Governance Gruppenersteller einschränken

Es ist noch interessant zu erwähnen, dass ich diese Vorlage auch nur explizit den Office Web Apps zuweisen kann. Das heißt, dass ich vielleicht grundsätzlich das Erstellen erlauben möchte, aber nicht über die Mail und People Ansicht in den Office Web Apps. Neben der Option für Administratoren im O365 Admin Center, können so dann nur noch Gruppen im Planner und bei einer neuen SharePoint Site Collection angelegt werden. Aus meiner Sicht ist dies auch schon mal ein guter Start in mehr Struktur und Übersicht bei den O365 Groups.

4. Klassifizierung:

Aus dem obigen Screenshot der verfügbaren Einstellungen für eine Gruppenvorlage war schon zu sehen, dass es dort auch eine „ClassificationList“ gibt. Hier kann ich genauso vorgehen, wie beim Einschränken der Gruppenersteller und mit Komma getrennte Schlüsselwörter definieren, die dann an eine neu erstellte Gruppe angehängt werden.

  • $value[„ClassificationList“] = „Public,Internal use – non confidential,Confidential,Secret,Top Secret“

Damit kann ich leichter eine Übersicht von Gruppen nach bestimmten Kriterien erstellen, z.B. Sensitivität oder Zweck.

Wie in Teil 1 bereits erwähnt, stehen diese Werte allerdings nur beim Erstellen über SharePoint zur Verfügung und werden sonst leider nicht hinzugefügt!

5. Namenskonventionen:

Für die Namenskonventionen sehen wir auch die entsprechende Eigenschaft im Screenshot: „PrefixSuffixNamingRequirement“. Leider kann man dies ausnahmsweise nicht über PowerShell, sondern nur über das User Interface im Exchange Online Administration Center konfigurieren.

Dort navigieren wir zu den Empfängern und weiter auf Groups. Mit Klick auf „…“ öffnet sich das Kontextmenü, aus dem wir „Configure group naming policy“ auswählen.
O365 Groups Governance Namenskonvention

Hier können wir nun verschiedene Freitext-Werte vergeben sowie Attribute aus dem Benutzerkonto des Erstellers auslesen und eintragen lassen.
O365 Groups Governance Namenskonvention definieren

Am unteren Ende der Ansicht würd dann eine Vorschau angezeigt, wie ein zukünftiger Gruppenname aussehen wird.
O365 Groups Governance Namenskonvention

Beim Anlegen einer neuen Gruppe in der Mail und People Ansicht wird der resultierende Name auch gleich angezeigt, damit der Ersteller gleich weiß, wie seine Gruppe und die dazugehörige URL heißen wird.
O365 Groups Governance Namenskonvention Vorschau

Aber auch hier sei Achtung geboten, da die Namenskonventionen nicht auf Gruppen aus Planner oder SharePoint angewendet werden. Es gibt also schöne Ansätze, jedoch wirkt es, dass bei Microsoft nicht zu Ende gedacht wurde.

Schön finde ich auch die Möglichkeit, dass bestimmte Wörter nicht verwendet werden können. Dies kann auch sehr einfach konfiguriert werden.
O365 Groups Governance Namenskonvention verbotene Wörter

6. Berechtigungen Einschränken:

Zurück zu PowerShell – wie bereits in Teil 1 erwähnt, gibt es ein paar Standardwerte, mit denen wir Berechtigungen auf Gruppen einschränken können. Das Konfigurieren dieser Eigenschaften funktioniert analog zur Klassifizierungsliste oder dem Einschränken der Gruppenerstellung. Zum Beispiel:

  • $value[„AllowGuestToAccessGroups“] = „$false“
  • $value[„AllowToAddGuests“] = „$false“
  • $value[„UsageGuidelinesUrl“] = „https://domain.sharepoint.com/sites/policies/Guideline.aspx“

Zusätzlich können und sollten wir die Richtlinie zum Teilen einer bestehenden Groups Site Collection weiter anpassen, da standardmäßig folgende Richtlinie hinterlegt ist: Freigabe nur für die externen Benutzer erlauben, die im Verzeichnis Ihrer Organisation bereits vorhanden sind.

Ein SharePoint Online PowerShell Befehl hilft uns, dies nachträglich anzupassen. (Hinweis: das SharePoint Online PowerShell Modul muss dazu in die Online PowerShell Konsole geladen werden.)

Set-SPOSite -Identity https://domain.sharepoint.com/sites/site1 -SharingCapability -ExternalUserSharingOnly

Dies bedeutet zum Beispiel, dass nur Externe per Email eingeladen werden können, aber kein Gäste-Link erzeugt werden kann. Weiterhin kann ich das Teilen komplett für Externe abschalten und auch erlaubte und geblockte Domains referenzieren. Weitere Informationen findet ihr dazu in der Referenz zum Set-SPO Befehl:
https://technet.microsoft.com/de-de/library/fp161394.aspx

Außerdem können die Nutzerberechtigungen der Group Site Collection angepasst werden, also ganz normal, wie man SharePoint Berechtigungen verwaltet. Dies ist aber eher nur ein Workaround, weil man diese leider nicht in einer Vorlage mit nativen Mitteln festlegen kann. Auch hier gibt es Drittanbieter am Markt, die dafür einen Mehrwert liefern können.

7. Speicherplatz beschränken:

Wenn wir nun schon in der SharePoint Online PowerShell Administration sind, dann machen wir mit dem Speicherplatz gleich weiter. Wenn das manuelle Storage Modell ausgewählt ist (und nicht der Pooled Storage), können wir Quotas nachträglich für die erstellten Group Site Collections definieren.

Set-SPOSite -Identity https://domain.sharepoint.com/sites/Group1 -StorageQuota 3000 -StorageQuotaWarningLevel 2000

Mit diesem Befehl weisen wir beispielsweise der Group Site Collection /sites/Group1 ein Quota von 3000 MB zu und eine Warnung wird bereits bei Erreichen von 2000 MB an den primären Site Collection Administrator geschickt.

 

Natürlich wäre es schöner, wenn wir alles in einer Gruppen-Vorlage definieren könnten oder gar mehrere Vorlagen zur Auswahl stellen können, aber da dies leider aktuell mit nativen Mitteln noch nicht möglich ist, sollten wir zumindest die hier beschriebenen Möglichkeiten nutzen, um Unternehmensrichtlinien auch auf die Office 365 Groups anzuwenden.

Wenn euch diese Funktionen nicht weit genug gehen, dann kann ich Drittanbieter im Markt empfehlen, die neben dem kontrollierten Anlegen von Gruppen auch gleich Backup und Lifecycle Funktionen anbieten. Mit solchen Möglichkeiten kann ich dann wirklich sorgenfrei auch produktiv mit Gruppen arbeiten.

Happy „SharePointing“!

 

Weitere Quellen:

 

Office 365 Groups Governance – Teil 1

Microsoft hat mit den Office 365 Groups einen neuen Meilenstein in der Kollaboration gesetzt. Mit den verfügbaren Gruppeneinstellungen können wir zudem Strukturen und Richtlinien durchsetzen, um die Inhalte der Gruppen vor unerlaubten Zugriffen zu schützen. Aber die Standardwerte dieser Einstellungen sind überhaupt nicht geeignet für eine stake Governance.

Im 14. Türchen meines #O365Adventskalenders habe ich nämlich bereits erklärt, was alles mit Office 365 Groups möglich ist und dass wir eine neue Gruppe von fast überall erstellen können. In Zukunft soll außerdem fast alles eine Gruppe mit SharePoint als zentrales Daten-Repository sein. Wenn wir uns dabei auf die Standardeinstellungen verlassen, die für alle Office 365 Groups gelten, dann versinken wir schnell im Gruppen-Chaos und sensible Daten sind nicht mehr ausreichend geschützt. Die Standardwerte, die für eine starke Unternehmens-Governance alles andere als Standard sein sollten, schauen wir uns nun an.

  1. Groups-Limit

Jeder einzelne Nutzer kann bis zu 250 Groups erstellen. Für O365 Administratoren gibt es kein Limit. Aber im gesamten Tenant ist die maximale Anzahl an Groups derzeit auf 500.000 beschränkt. Ein Limit, dass man mit den Standardeinstellungen schnell erreichen kann, wenn Mitarbeitern einfach mal mit den Groups experimentieren. Denn selbst wenn ich nur einen neuen Plan in Planner erstelle, wird im Hintergrund eine neue Gruppe angelegt.

  1. Öffentlich oder Privat

Im Dialog zum Erstellen einer Gruppe kann man entscheiden, ob die Gruppe „Öffentlich“ oder „Privat“ sein soll. Standardmäßig ist „Öffentlich“ ausgewählt, was bedeutet, dass auch automatisch alle Nutzer des gesamten Tenants darauf berechtigt werden. Dies kann beim Erstellen natürlich einfach umgestellt werden, aber wie häufig werden wohl Mitarbeiter dies vergessen, wenn man es nicht standardmäßig auf „Privat“ umstellen oder sogar zentral festlegen kann…?

Natürlich sagt Microsoft, dass die Daten sicher sind und keiner Zugriff hat und jeder Mitarbeiter nur die Daten sieht, die er sehen soll. Das ist grundsätzlich richtig, aber dieses Konzept basiert auf den SharePoint-Berechtigungen und wenn grundsätzlich erst einmal jeder auf eine Gruppe berechtigt ist, dann kann auch jeder sehen, welche Daten sich darin befinden und diese öffnen.

  1. Berechtigungen

Wenn also nun alle Nutzer eines Tenants auf eine neue öffentliche Gruppe berechtigt werden, bekommen sie auch gleichzeitig Editierungsrechte auf die dazugehörige Site Collection und können Dokumente bearbeiten – ALLE! Mitglieder in der Owner-Gruppe einer O365 Group werden sogar Administratoren. Das bedeutet, sie haben Zugriff auf all die umfangreichen und einflussreichen Funktionen, wie z.B. Audit Logs, Site Collection Features oder auch das Löschen der SC. Wollen wir das? Direkt in SharePoint gehen wir schließlich auch sehr sorgsam mit dieser Berechtigungsrolle um.

  1. Berechtigungen teilen

Selbst wenn eine Gruppe nicht öffentlich ist, so haben dennoch alle Teilnehmer einer Gruppe das Recht direkt weitere Mitarbeiter einzuladen – sogar an externe Mitarbeiter, wenn dies grundsätzlich pro Tenant so eingestellt ist. Was passiert also mit der Kontrolle über meine vertraulichen Daten, die ich vermutlich auch in Gruppen teilen und daran arbeiten möchte?

  1. Zusammenarbeit mit Externen

Eine weitere Gruppen-Standardeinstellung ist die Möglichkeit, dass Nutzer eine Gruppe mit externen Mitarbeitern teilen können, die bereits im Unternehmensverzeichnis gelistet sind. Das bedeutet, dass Externe mit einem O365-Konto dieses Tenants als Interne betrachtet werden und diese können damit weiterhin berechtigt werden – selbst wenn das Teilen mit Externen abgeschaltet ist.

  1. Speicherplatz

Im #O365Adventskalender habe ich außerdem erklärt, dass die SharePoint Site Collections der Groups nicht im User Interface der O365 SharePoint Administration auftauchen und damit nicht von dort verwaltet werden können. Und standardmäßig gibt es selbstverständlich keine Speicherplatzbegrenzung. So kann auch schnell der verfügbare SharePoint Speicherplatz meines Tenants aufgebraucht sein – besonders in Bezug auf Punkt 1.

Wenn wir diese Standardeinstellungen nun noch einmal durchdenken, dann sollten die Alarmglocken läuten in Bezug auf

I.
Chaos unzähliger Groups
II.
Unkontrollierter Zugriff für Interne und Externe auf Groups-Inhalte
III.
Schneller Verbrauch des verfügbaren Tenant-Speicherplatzes

Aus diesem Grund ist es ratsam, Richtlinien zu konfigurieren, um als Administrator wieder die Kontrolle über die Office 365 Groups zu erlangen. Nicht alles ist mit nativen Mitteln konfigurierbar, aber die Möglichkeiten, die es gibt, sollten wir nutzen.

Um Punkt 1 zu adressieren, können wir auf Anfrage bei Microsoft das Gruppenlimit hoch setzen lassen. Den Standardwert beim Status einer Gruppe, also ob öffentlich oder privat, können wir jedoch leider nicht konfigurieren. Und für die Punkte 3 bis 6 können wir aber folgende Lösungen finden.

I.
Chaos unzähliger Groups

Einschränkung der Gruppenersteller:

Ein dringend empfohlener Ansatz, um Problem I anzugehen, ist das Einschränken der Rechte sodass nicht jeder Mitarbeiter Gruppen erstellen kann. Dies kann man mit einer neuen Gruppenkonfiguration sowie einer zusätzlichen Sicherheitsgruppe erzielen. Diese und alle anderen Einstellungen sind ausschließlich über PowerShell konfigurierbar. Wie man dies realisiert, zeige ich euch in Teil zwei zur O365 Groups Governance.

Frage: Wenn ich die Gruppenerstellung nur für eine bestimmte Sicherheitsgruppe zulasse, muss ich dann auch Administratoren hinzufügen, damit sie Office 365 Groups erstellen können?

Antwort: Jein! Warum so ungenau? Weil jede Firma unter dem „Administrator“ eine andere Rolle versteht und es auch in Office 365 verschiedene Administrator-Rollen gibt, die weiterhin Gruppen erstellen können. Folgende Built-In Rollen können unabhängig von den Einstellungen in der Gruppenvorlage oder dem globalen Abschalten der Gruppen weiterhin Office 365 Groups erstellen:

  • Global Admins
  • User Management Admins
  • Mailbox Administrator
  • Partner Tier1 Support
  • Partner Tier2 Support
  • Directory Writers

Dies ist dann weiterhin im O365 Admin Center sowie beim Anlegen einer SharePoint Site Collection möglich. Allerdings nicht mehr über Planner oder aus der Mail oder People Ansicht heraus!

Klassifizierung:

Um weiterhin einen besseren Überblick über alle Gruppen zu bekommen, so kann ich eine Liste von Schlüsselwörtern definieren, aus denen der Gruppenersteller auswählen kann und somit zu den Eigenschaften einer Gruppe hinzugefügt werden. Das Ersteller einer solchen „Classification List“ in PowerShell zeige ich euch ebenfalls in Teil 2.

O365 Groups Governance KlassifizierungAber Achtung, obwohl es die Office 365 Groups schon relativ lange gibt, sind noch nicht alle Einstellungen voll ausgereift. So kann ich in diesem Fall die Schlüsselwörter zur Klassifizierung der Gruppe nur beim Erstellen über SharePoint auswählen. Bei allen anderen Einstiegspunkten über das User Interface ist dieses Auswahlfeld nicht verfügbar.

Namenskonventionen:

Neben der Klassifizierung kann ich auch Namenskonventionen mit Pre- und Suffixen vorgeben. Damit können wir mehr Struktur in unseren Gruppennamen bringen. Mehrere Pre- und/oder Suffixe können vergeben werden. Dabei können wir entweder selber per Freitext Wörter eingeben oder aber auch automatisch Attribute aus dem Konto des Benutzers, der die Gruppe erstellt, auslesen und eintragen lassen.

O365 Groups Governance Namenskonvention

Aber Achtung, auch hier finden die Konventionen nur Anwendung bei Erstellung über das O365 Admin Center, in der Mails oder People-Ansicht. Über SharePoint und Planner werden keine konfigurierten Pre- oder Suffixe hinzugefügt.

Zusätzlich zu Pre- oder Suffixen können wir Wörter in eine „Black List“ eintragen. Diese dürfen dann nicht für einen Gruppennamen verwendet werden und der Benutzer bekommt einen entsprechenden Dialog angezeigt, wenn er es dennoch versucht.

O365 Groups Governance Namenskonvention DialogÜberwachung:

Um weiterhin einen Überblick über alle Gruppen zu haben, empfehle ich die zentrale Gruppenübersicht im Office 365 Admin Center. Von dort aus kann ich die Gruppen auch verwalten und löschen. Ich empfehle diese Ansicht deswegen, weil

a) in der SharePoint Administration die Site Collections nicht auftauchen,
b) in der Exchange Administration nicht die Gruppen angezeigt werden, die vom Planner oder SharePoint kommen und
c) die Ansicht in SharePoint schnell unübersichtlich wird bei vielen Gruppen.

Daher ist die zentrale Gruppenansicht meiner Meinung nach für Tenant-Administratoren die beste Lösung.

II.
Unkontrollierter Zugriff für Interne und Externe auf Groups-Inhalte

Berechtigungen einschränken:

Für Problem II, also die Berechtigungen und das Teilen mit Internen und Externen Mitarbeitern, gibt es auch ein paar PowerShell Konfigurationen und Workarounds in SharePoint. Für die O365 Gruppen Vorlage stehen uns dafür folgende Eigenschaften zur Verfügung:

  • AllowGuestsToBeOwner
  • AllowGuestsToAccessGroups
  • AllowToAddGuests

Das Schöne an diesen zentralen Einstellungen an der Vorlage ist, dass die Werte dann für alle neu erstellten Gruppen angewendet werden. Wenn wir dabei speziell diese drei Eigenschaften abschalten, haben wir schon viel erreicht in Bezug auf das Teilen von Gruppen und Hinzufügen von weiteren Mitgliedern. Weiterhin können wir noch URLs hinterlegen, in denen die Regeln und Richtlinien von Gruppen erläutert werden, um so eine gewisse Aufmerksamkeit der Nutzer für Gruppenrichtlinien zu schaffen.

  • GuestUsageGuidelinesUrl
  • UsageGuidelinesUrl

In Bezug auf die Berechtigungen bereits existierender Mitglieder in Groups, da kann ich nur über den unschönen manuellen Weg gehen, dass ich den Nutzern entsprechende Rechte in der SharePoint Site Collection wieder nehme. Ein PowerShell Skript kann dies zwar automatisieren, aber es ist und bleibt ein Workaround, weil ich die Berechtigungen nicht bereits beim Erstellen einer neuen Gruppen definieren und einschränken kann.

III.
Schneller Verbrauch des verfügbaren Tenant-Speicherplatzes

Speicherplatz einschränken:

Das letzte Problem III bekommen wir einfach in den Griff, indem wir über PowerShell den Gruppen Site Collections ein Quota Limit hinzufügen, wie wir es bereits gewohnt sind bei „normalen“ Site Collections. Genauer zeige ich auch dies im zweiten Teil. Allerdings darf ich für diese Funktion nicht den „Pooled Storage“ im Tenant für SharePoint aktiviert haben, damit ich die Quotas manuell konfigurieren kann. (siehe auch 12. #O365Adventskalender Türchen)

Auch wenn dies eine gute und einfache Möglichkeit ist, das Datenwachstum in Gruppen einzuschränken, so ist auch diese Lösung dennoch nur ein Workaround, wie schon bei den Berechtigungen beschrieben, weil es ein manueller nachträglicher Schritt ist.

 

Zusammenfassend können wir sagen, dass viele O365 Groups Standardwerte nicht gut für eine starke Unternehmens-Governance ist. Dafür haben wir ein paar gute Ansätze, um die O365 Groups Vorlagen anzupassen und so Eigenschaften gemäß unserer Richtlinien zu konfigurieren. Dies ist bereits nicht schlecht, wird aber komplexen Governance Anforderungen nicht gerecht. Zudem gibt es noch einige Einschränkungen und „Ungereimtheiten“ bei der Anwendung konfigurierter Gruppeneigenschaften (siehe Namenskonventionen und Klassifizierung). Microsoft entwickelt hier aber stets weiter. Ihr könnt euch auf der Roadmap informieren, was für die Office 365 Groups Governance geplant ist.

Alternativ gibt es bereits O365 Governance Lösungen am Markt, die selbst herausfordernden Anforderungen gerecht werden und oben beschriebene Probleme zu 100% in den Griff bekommt und sogar noch zusätzliche Backup und LifeCycle Funktionen integrieren. Ich empfehle sich da schlau zu machen, damit wir ohne Sicherheitssorgen die Vorteile von Office 365 Groups voll ausschöpfen können.

Happy „SharePointing“!

 

Weitere Quellen: