Office 365 Groups Governance – Teil 1
Microsoft hat mit den Office 365 Groups einen neuen Meilenstein in der Kollaboration gesetzt. Mit den verfügbaren Gruppeneinstellungen können wir zudem Strukturen und Richtlinien durchsetzen, um die Inhalte der Gruppen vor unerlaubten Zugriffen zu schützen. Aber die Standardwerte dieser Einstellungen sind überhaupt nicht geeignet für eine stake Governance.
Im 14. Türchen meines #O365Adventskalenders habe ich nämlich bereits erklärt, was alles mit Office 365 Groups möglich ist und dass wir eine neue Gruppe von fast überall erstellen können. In Zukunft soll außerdem fast alles eine Gruppe mit SharePoint als zentrales Daten-Repository sein. Wenn wir uns dabei auf die Standardeinstellungen verlassen, die für alle Office 365 Groups gelten, dann versinken wir schnell im Gruppen-Chaos und sensible Daten sind nicht mehr ausreichend geschützt. Die Standardwerte, die für eine starke Unternehmens-Governance alles andere als Standard sein sollten, schauen wir uns nun an.
- Groups-Limit
Jeder einzelne Nutzer kann bis zu 250 Groups erstellen. Für O365 Administratoren gibt es kein Limit. Aber im gesamten Tenant ist die maximale Anzahl an Groups derzeit auf 500.000 beschränkt. Ein Limit, dass man mit den Standardeinstellungen schnell erreichen kann, wenn Mitarbeitern einfach mal mit den Groups experimentieren. Denn selbst wenn ich nur einen neuen Plan in Planner erstelle, wird im Hintergrund eine neue Gruppe angelegt.
- Öffentlich oder Privat
Im Dialog zum Erstellen einer Gruppe kann man entscheiden, ob die Gruppe „Öffentlich“ oder „Privat“ sein soll. Standardmäßig ist „Öffentlich“ ausgewählt, was bedeutet, dass auch automatisch alle Nutzer des gesamten Tenants darauf berechtigt werden. Dies kann beim Erstellen natürlich einfach umgestellt werden, aber wie häufig werden wohl Mitarbeiter dies vergessen, wenn man es nicht standardmäßig auf „Privat“ umstellen oder sogar zentral festlegen kann…?
Natürlich sagt Microsoft, dass die Daten sicher sind und keiner Zugriff hat und jeder Mitarbeiter nur die Daten sieht, die er sehen soll. Das ist grundsätzlich richtig, aber dieses Konzept basiert auf den SharePoint-Berechtigungen und wenn grundsätzlich erst einmal jeder auf eine Gruppe berechtigt ist, dann kann auch jeder sehen, welche Daten sich darin befinden und diese öffnen.
- Berechtigungen
Wenn also nun alle Nutzer eines Tenants auf eine neue öffentliche Gruppe berechtigt werden, bekommen sie auch gleichzeitig Editierungsrechte auf die dazugehörige Site Collection und können Dokumente bearbeiten – ALLE! Mitglieder in der Owner-Gruppe einer O365 Group werden sogar Administratoren. Das bedeutet, sie haben Zugriff auf all die umfangreichen und einflussreichen Funktionen, wie z.B. Audit Logs, Site Collection Features oder auch das Löschen der SC. Wollen wir das? Direkt in SharePoint gehen wir schließlich auch sehr sorgsam mit dieser Berechtigungsrolle um.
- Berechtigungen teilen
Selbst wenn eine Gruppe nicht öffentlich ist, so haben dennoch alle Teilnehmer einer Gruppe das Recht direkt weitere Mitarbeiter einzuladen – sogar an externe Mitarbeiter, wenn dies grundsätzlich pro Tenant so eingestellt ist. Was passiert also mit der Kontrolle über meine vertraulichen Daten, die ich vermutlich auch in Gruppen teilen und daran arbeiten möchte?
- Zusammenarbeit mit Externen
Eine weitere Gruppen-Standardeinstellung ist die Möglichkeit, dass Nutzer eine Gruppe mit externen Mitarbeitern teilen können, die bereits im Unternehmensverzeichnis gelistet sind. Das bedeutet, dass Externe mit einem O365-Konto dieses Tenants als Interne betrachtet werden und diese können damit weiterhin berechtigt werden – selbst wenn das Teilen mit Externen abgeschaltet ist.
- Speicherplatz
Im #O365Adventskalender habe ich außerdem erklärt, dass die SharePoint Site Collections der Groups nicht im User Interface der O365 SharePoint Administration auftauchen und damit nicht von dort verwaltet werden können. Und standardmäßig gibt es selbstverständlich keine Speicherplatzbegrenzung. So kann auch schnell der verfügbare SharePoint Speicherplatz meines Tenants aufgebraucht sein – besonders in Bezug auf Punkt 1.
Wenn wir diese Standardeinstellungen nun noch einmal durchdenken, dann sollten die Alarmglocken läuten in Bezug auf
I.
Chaos unzähliger Groups
II.
Unkontrollierter Zugriff für Interne und Externe auf Groups-Inhalte
III.
Schneller Verbrauch des verfügbaren Tenant-Speicherplatzes
Aus diesem Grund ist es ratsam, Richtlinien zu konfigurieren, um als Administrator wieder die Kontrolle über die Office 365 Groups zu erlangen. Nicht alles ist mit nativen Mitteln konfigurierbar, aber die Möglichkeiten, die es gibt, sollten wir nutzen.
Um Punkt 1 zu adressieren, können wir auf Anfrage bei Microsoft das Gruppenlimit hoch setzen lassen. Den Standardwert beim Status einer Gruppe, also ob öffentlich oder privat, können wir jedoch leider nicht konfigurieren. Und für die Punkte 3 bis 6 können wir aber folgende Lösungen finden.
I.
Chaos unzähliger Groups
Einschränkung der Gruppenersteller:
Ein dringend empfohlener Ansatz, um Problem I anzugehen, ist das Einschränken der Rechte sodass nicht jeder Mitarbeiter Gruppen erstellen kann. Dies kann man mit einer neuen Gruppenkonfiguration sowie einer zusätzlichen Sicherheitsgruppe erzielen. Diese und alle anderen Einstellungen sind ausschließlich über PowerShell konfigurierbar. Wie man dies realisiert, zeige ich euch in Teil zwei zur O365 Groups Governance.
Frage: Wenn ich die Gruppenerstellung nur für eine bestimmte Sicherheitsgruppe zulasse, muss ich dann auch Administratoren hinzufügen, damit sie Office 365 Groups erstellen können?
Antwort: Jein! Warum so ungenau? Weil jede Firma unter dem „Administrator“ eine andere Rolle versteht und es auch in Office 365 verschiedene Administrator-Rollen gibt, die weiterhin Gruppen erstellen können. Folgende Built-In Rollen können unabhängig von den Einstellungen in der Gruppenvorlage oder dem globalen Abschalten der Gruppen weiterhin Office 365 Groups erstellen:
- Global Admins
- User Management Admins
- Mailbox Administrator
- Partner Tier1 Support
- Partner Tier2 Support
- Directory Writers
Dies ist dann weiterhin im O365 Admin Center sowie beim Anlegen einer SharePoint Site Collection möglich. Allerdings nicht mehr über Planner oder aus der Mail oder People Ansicht heraus!
Klassifizierung:
Um weiterhin einen besseren Überblick über alle Gruppen zu bekommen, so kann ich eine Liste von Schlüsselwörtern definieren, aus denen der Gruppenersteller auswählen kann und somit zu den Eigenschaften einer Gruppe hinzugefügt werden. Das Ersteller einer solchen „Classification List“ in PowerShell zeige ich euch ebenfalls in Teil 2.
Aber Achtung, obwohl es die Office 365 Groups schon relativ lange gibt, sind noch nicht alle Einstellungen voll ausgereift. So kann ich in diesem Fall die Schlüsselwörter zur Klassifizierung der Gruppe nur beim Erstellen über SharePoint auswählen. Bei allen anderen Einstiegspunkten über das User Interface ist dieses Auswahlfeld nicht verfügbar.
Namenskonventionen:
Neben der Klassifizierung kann ich auch Namenskonventionen mit Pre- und Suffixen vorgeben. Damit können wir mehr Struktur in unseren Gruppennamen bringen. Mehrere Pre- und/oder Suffixe können vergeben werden. Dabei können wir entweder selber per Freitext Wörter eingeben oder aber auch automatisch Attribute aus dem Konto des Benutzers, der die Gruppe erstellt, auslesen und eintragen lassen.
Aber Achtung, auch hier finden die Konventionen nur Anwendung bei Erstellung über das O365 Admin Center, in der Mails oder People-Ansicht. Über SharePoint und Planner werden keine konfigurierten Pre- oder Suffixe hinzugefügt.
Zusätzlich zu Pre- oder Suffixen können wir Wörter in eine „Black List“ eintragen. Diese dürfen dann nicht für einen Gruppennamen verwendet werden und der Benutzer bekommt einen entsprechenden Dialog angezeigt, wenn er es dennoch versucht.
Überwachung:
Um weiterhin einen Überblick über alle Gruppen zu haben, empfehle ich die zentrale Gruppenübersicht im Office 365 Admin Center. Von dort aus kann ich die Gruppen auch verwalten und löschen. Ich empfehle diese Ansicht deswegen, weil
a) in der SharePoint Administration die Site Collections nicht auftauchen,
b) in der Exchange Administration nicht die Gruppen angezeigt werden, die vom Planner oder SharePoint kommen und
c) die Ansicht in SharePoint schnell unübersichtlich wird bei vielen Gruppen.
Daher ist die zentrale Gruppenansicht meiner Meinung nach für Tenant-Administratoren die beste Lösung.
II.
Unkontrollierter Zugriff für Interne und Externe auf Groups-Inhalte
Berechtigungen einschränken:
Für Problem II, also die Berechtigungen und das Teilen mit Internen und Externen Mitarbeitern, gibt es auch ein paar PowerShell Konfigurationen und Workarounds in SharePoint. Für die O365 Gruppen Vorlage stehen uns dafür folgende Eigenschaften zur Verfügung:
- AllowGuestsToBeOwner
- AllowGuestsToAccessGroups
- AllowToAddGuests
Das Schöne an diesen zentralen Einstellungen an der Vorlage ist, dass die Werte dann für alle neu erstellten Gruppen angewendet werden. Wenn wir dabei speziell diese drei Eigenschaften abschalten, haben wir schon viel erreicht in Bezug auf das Teilen von Gruppen und Hinzufügen von weiteren Mitgliedern. Weiterhin können wir noch URLs hinterlegen, in denen die Regeln und Richtlinien von Gruppen erläutert werden, um so eine gewisse Aufmerksamkeit der Nutzer für Gruppenrichtlinien zu schaffen.
- GuestUsageGuidelinesUrl
- UsageGuidelinesUrl
In Bezug auf die Berechtigungen bereits existierender Mitglieder in Groups, da kann ich nur über den unschönen manuellen Weg gehen, dass ich den Nutzern entsprechende Rechte in der SharePoint Site Collection wieder nehme. Ein PowerShell Skript kann dies zwar automatisieren, aber es ist und bleibt ein Workaround, weil ich die Berechtigungen nicht bereits beim Erstellen einer neuen Gruppen definieren und einschränken kann.
III.
Schneller Verbrauch des verfügbaren Tenant-Speicherplatzes
Speicherplatz einschränken:
Das letzte Problem III bekommen wir einfach in den Griff, indem wir über PowerShell den Gruppen Site Collections ein Quota Limit hinzufügen, wie wir es bereits gewohnt sind bei „normalen“ Site Collections. Genauer zeige ich auch dies im zweiten Teil. Allerdings darf ich für diese Funktion nicht den „Pooled Storage“ im Tenant für SharePoint aktiviert haben, damit ich die Quotas manuell konfigurieren kann. (siehe auch 12. #O365Adventskalender Türchen)
Auch wenn dies eine gute und einfache Möglichkeit ist, das Datenwachstum in Gruppen einzuschränken, so ist auch diese Lösung dennoch nur ein Workaround, wie schon bei den Berechtigungen beschrieben, weil es ein manueller nachträglicher Schritt ist.
Zusammenfassend können wir sagen, dass viele O365 Groups Standardwerte nicht gut für eine starke Unternehmens-Governance ist. Dafür haben wir ein paar gute Ansätze, um die O365 Groups Vorlagen anzupassen und so Eigenschaften gemäß unserer Richtlinien zu konfigurieren. Dies ist bereits nicht schlecht, wird aber komplexen Governance Anforderungen nicht gerecht. Zudem gibt es noch einige Einschränkungen und „Ungereimtheiten“ bei der Anwendung konfigurierter Gruppeneigenschaften (siehe Namenskonventionen und Klassifizierung). Microsoft entwickelt hier aber stets weiter. Ihr könnt euch auf der Roadmap informieren, was für die Office 365 Groups Governance geplant ist.
Alternativ gibt es bereits O365 Governance Lösungen am Markt, die selbst herausfordernden Anforderungen gerecht werden und oben beschriebene Probleme zu 100% in den Griff bekommt und sogar noch zusätzliche Backup und LifeCycle Funktionen integrieren. Ich empfehle sich da schlau zu machen, damit wir ohne Sicherheitssorgen die Vorteile von Office 365 Groups voll ausschöpfen können.
Happy „SharePointing“!
Weitere Quellen:
- Azure Active Directory-Cmdlets zum Konfigurieren von Gruppeneinstellungen
https://docs.microsoft.com/de-de/azure/active-directory/active-directory-accessmanagement-groups-settings-cmdlets - Manage Office 365 Group Creation https://support.office.com/en-US/article/Manage-Office-365-Group-creation-4c46c8cb-17d0-44b5-9776-005fced8e618
- Verwenden von PowerShell zum Verwalten von Office 365-Gruppen – Hilfe für Administratoren https://support.office.com/de-de/article/Verwenden-von-PowerShell-zum-Verwalten-von-Office-365-Gruppen-%e2%80%93-Hilfe-f%c3%bcr-Administratoren-aeb669aa-1770-4537-9de2-a82ac11b0540?ui=de-DE&rs=de-DE&ad=DE
Vielen Dank mal wieder für einen tollen Beitrag.
Es wird ein Tenant Speicherlimit angesprochen – was ist das genau? Wie hoch ist das Limit? Kann ich es kontrollieren?
Gibt es eine Möglichkeit eine Group für eine bestehende SharePoint Site zu erstellen?
Hallo Thomas und vielen Dank für dein tolles Feedback. Das freut mich wirklich sehr! Wegen Urlaub eine etwas verspätete Antwort.
Das Tenant Speicherlimit, also wie viele Daten insgesamt auf dem Tenant hochgeladen werden dürfen, setzt sich wie folgt zusammen:
Speicherplatz = 1 TB + 0,5 GB je Nutzerlizenz
Ist das aufgebraucht, kann man natürlich gern bei Microsoft Speicherplatz zukaufen. Details dazu und wie ich es kontrollieren kann, habe ich im 12. O365Adventskalender Türchen erläutert
http://rob-the-ninja.de/o365-ressourcen-und-quotas
Deine zweite Frage, aus einer bestehenden SC eine Group zu erstellen wird derzeit heiß diskutiert. Man kann bereits aus einer Group ein Team erstellen, aber noch nicht aus einer SC eine Group. Gib gern dein Voting auf der Uservoice Seite ab, auf der Microsoft auf Feedback von Kunden hört: https://office365.uservoice.com/forums/286611-office-365-groups/suggestions/17340160-associate-office-365-groups-to-existing-SharePoint
Hallo Robert,
vielen Dank für die Info. Aber geht es hier wirklich um den gesamten Tenant – geht es bei diesem Speicherlimit (Speicherplatz = 1 TB + 0,5 GB je Nutzerlizenz) nicht nur um SharePoint?
Bei Tenant würde ich dann auch den Speicherverbrauch von OneDrive, Teams, Exchange usw. dazuzählen – weil das gehört ja alles zum Tenant…?
Hallo Thomas,
das ist eine wirklich gute Frage. Ich bin mir sicher, die stellen sich auch viele andere.
Du hast nämlich absolut Recht, dass die Formel, die ich genannt habe, natürlich nur auf den SharePoint Speicherplatz zutrifft. Von den mittlerweile 100 GB Exchange Postfach je Nutzer ist hierbei also nicht die Rede.
Aber was ist genau eine Office 365 Group? Übrigens hosted Microsoft und AvePoint wieder ein Webinar darüber am 23.02.2017 (Link zur Anmeldung wird in Kürze veröffentlicht). Aus meiner Sicht ist eine Group „lediglich“ eine Site Collection mit einer besonderen Vorlage und zusätzlichen Funktionen, wie z.B. Planner, OneNote Integration, Email-Adresse, etc. Das ganze wurde dann in eine etwas andere Benutzeroberfläche zusammengeführt. Microsoft Teams hat das ganze sogar noch weiter perfektioniert aus meiner Sicht.
Der springende Punkt ist nun aber, dass die Groups tatsächlich „nur“ eine SharePoint Site Collection sind, in die alle geteilten und verschickten Dokumente automatisch hochgeladen werden. Genauso gilt es auch für Microsoft Teams. Letztendlich betrifft dies also wirklich nur den SharePoint Speicherplatz, der uns zur Verfügung steht. Die angegebene Formel passt also. 🙂 OneDrive4Business und Exchange spielen hierbei keine Rolle. Ich gebe dir also Recht, ich hätte es präziser formulieren müssen und nicht den Tenant-Speicherplatz, sondern direkt den SharePoint Speicherplatz erwähnen sollen. (Wird gleich geändert…)
Hoffe, das beantwortet deine Frage. Stelle aber gern weitere, denn du adressierst damit Themen, die viele andere auch interessieren. Also vielen Dank dafür!
Beste Grüße
Rob
Hallo Rob,
Danke für Deine Antwort. Du sagt, die Office 365 Gruppen werden dem SharePoint Storage zugeordnet. Separat davon läuft der OneDrive Storage.
In diesem Blogbeitrag wird das aber genau anders beschrieben: Office 365 Gruppen werden dem OneDrive Storage zugerechnet:
http://www.bigdata-unleashed.com/20150331/office-365-groups-welchem-storage-kontingent-werden-dateien-abgelegt
Diese Information stammt anscheinend direkt vom Support.
Viele Grüße
Thomas
Hallo Thomas,
bitte entschuldige die Verspätung. Ich war noch im Urlaub und dann dauerter der O365 TimerJob etwas, um das Datenwachstum anzuzeigen.
Dein geteilter Link ist nun schon zwei Jahre alt und verweist sogar auf Dinge, die gar nicht mehr stimmen. So auch mit dem Storage. Generell würde ich besonders im Cloud-Bereich mit älteren Artikeln vorsichtig sein.
Aber sei es drum. In anderen Foren, wo zum Teil sehr bekannte Microsoft-Größen Antworten, wird klar gesagt, dass der Office 365 Groups Storage zu SharePoint zählt.
Siehe folgende drei Beispiele:
https://techcommunity.microsoft.com/t5/Office-365-Groups/Office-365-Group-Storage-Allocation/td-p/4229
https://blogs.msdn.microsoft.com/tomvan/2015/08/12/office-365-groups-introduction-frequently-asked-questions/
https://answers.microsoft.com/en-us/msoffice/forum/msoffice_outlook/storage-limit-for-o365-group/196e752b-c391-4e4e-8a52-e5c25dcc2983
Aber auch ich teste persönlich immer gern alles selbst durch, bevor ich darüber erzähle und schreibe. Daher habe auch ich noch einmal eine Gruppe mit Daten zugepumpt. Und siehe da, kein Datenwachstum in den OD4B Reports (http://rob-the-ninja.de/wp-content/uploads/2017/02/od4b-storage.png), aber ein starkes Wachstum bei SharePoint (http://rob-the-ninja.de/wp-content/uploads/2017/02/sp-storage.png).
Das sollte das Thema also abschließend geklärt haben. 🙂
Danke für die Info und den vollzogenen Test! Jetzt haben wir Gewissheit!
Viele Grüße
Thomas Maier