Office 365 Groups Governance – Teil 1

Microsoft hat mit den Office 365 Groups einen neuen Meilenstein in der Kollaboration gesetzt. Mit den verfügbaren Gruppeneinstellungen können wir zudem Strukturen und Richtlinien durchsetzen, um die Inhalte der Gruppen vor unerlaubten Zugriffen zu schützen. Aber die Standardwerte dieser Einstellungen sind überhaupt nicht geeignet für eine stake Governance.

Im 14. Türchen meines #O365Adventskalenders habe ich nämlich bereits erklärt, was alles mit Office 365 Groups möglich ist und dass wir eine neue Gruppe von fast überall erstellen können. In Zukunft soll außerdem fast alles eine Gruppe mit SharePoint als zentrales Daten-Repository sein. Wenn wir uns dabei auf die Standardeinstellungen verlassen, die für alle Office 365 Groups gelten, dann versinken wir schnell im Gruppen-Chaos und sensible Daten sind nicht mehr ausreichend geschützt. Die Standardwerte, die für eine starke Unternehmens-Governance alles andere als Standard sein sollten, schauen wir uns nun an.

1. Groups-Limit

Jeder einzelne Nutzer kann bis zu 250 Groups erstellen. Für O365 Administratoren gibt es kein Limit. Aber im gesamten Tenant ist die maximale Anzahl an Groups derzeit auf 500.000 beschränkt. Ein Limit, dass man mit den Standardeinstellungen schnell erreichen kann, wenn Mitarbeitern einfach mal mit den Groups experimentieren. Denn selbst wenn ich nur einen neuen Plan in Planner erstelle, wird im Hintergrund eine neue Gruppe angelegt.

2. Öffentlich oder Privat

Im Dialog zum Erstellen einer Gruppe kann man entscheiden, ob die Gruppe „Öffentlich“ oder „Privat“ sein soll. Standardmäßig ist „Öffentlich“ ausgewählt, was bedeutet, dass auch automatisch alle Nutzer des gesamten Tenants darauf berechtigt werden. Dies kann beim Erstellen natürlich einfach umgestellt werden, aber wie häufig werden wohl Mitarbeiter dies vergessen, wenn man es nicht standardmäßig auf „Privat“ umstellen oder sogar zentral festlegen kann…?

Natürlich sagt Microsoft, dass die Daten sicher sind und keiner Zugriff hat und jeder Mitarbeiter nur die Daten sieht, die er sehen soll. Das ist grundsätzlich richtig, aber dieses Konzept basiert auf den SharePoint-Berechtigungen und wenn grundsätzlich erst einmal jeder auf eine Gruppe berechtigt ist, dann kann auch jeder sehen, welche Daten sich darin befinden und diese öffnen.

3. Berechtigungen

Wenn also nun alle Nutzer eines Tenants auf eine neue öffentliche Gruppe berechtigt werden, bekommen sie auch gleichzeitig Editierungsrechte auf die dazugehörige Site Collection und können Dokumente bearbeiten – ALLE! Mitglieder in der Owner-Gruppe einer O365 Group werden sogar Administratoren. Das bedeutet, sie haben Zugriff auf all die umfangreichen und einflussreichen Funktionen, wie z.B. Audit Logs, Site Collection Features oder auch das Löschen der SC. Wollen wir das? Direkt in SharePoint gehen wir schließlich auch sehr sorgsam mit dieser Berechtigungsrolle um.

4. Berechtigungen teilen

Selbst wenn eine Gruppe nicht öffentlich ist, so haben dennoch alle Teilnehmer einer Gruppe das Recht direkt weitere Mitarbeiter einzuladen – sogar an externe Mitarbeiter, wenn dies grundsätzlich pro Tenant so eingestellt ist. Was passiert also mit der Kontrolle über meine vertraulichen Daten, die ich vermutlich auch in Gruppen teilen und daran arbeiten möchte?

5. Zusammenarbeit mit Externen

Eine weitere Gruppen-Standardeinstellung ist die Möglichkeit, dass Nutzer eine Gruppe mit externen Mitarbeitern teilen können, die bereits im Unternehmensverzeichnis gelistet sind. Das bedeutet, dass Externe mit einem O365-Konto dieses Tenants als Interne betrachtet werden und diese können damit weiterhin berechtigt werden – selbst wenn das Teilen mit Externen abgeschaltet ist.

6. Speicherplatz

Im #O365Adventskalender habe ich außerdem erklärt, dass die SharePoint Site Collections der Groups nicht im User Interface der O365 SharePoint Administration auftauchen und damit nicht von dort verwaltet werden können. Und standardmäßig gibt es selbstverständlich keine Speicherplatzbegrenzung. So kann auch schnell der verfügbare SharePoint Speicherplatz meines Tenants aufgebraucht sein – besonders in Bezug auf Punkt 1.

Wenn wir diese Standardeinstellungen nun noch einmal durchdenken, dann sollten die Alarmglocken läuten in Bezug auf

I.
Chaos unzähliger Groups
II.
Unkontrollierter Zugriff für Interne und Externe auf Groups-Inhalte
III.
Schneller Verbrauch des verfügbaren Tenant-Speicherplatzes

Aus diesem Grund ist es ratsam, Richtlinien zu konfigurieren, um als Administrator wieder die Kontrolle über die Office 365 Groups zu erlangen. Nicht alles ist mit nativen Mitteln konfigurierbar, aber die Möglichkeiten, die es gibt, sollten wir nutzen.

Um Punkt 1 zu adressieren, können wir auf Anfrage bei Microsoft das Gruppenlimit hoch setzen lassen. Den Standardwert beim Status einer Gruppe, also ob öffentlich oder privat, können wir jedoch leider nicht konfigurieren. Und für die Punkte 3 bis 6 können wir aber folgende Lösungen finden.

I.
Chaos unzähliger Groups

Einschränkung der Gruppenersteller:

Ein dringend empfohlener Ansatz, um Problem I anzugehen, ist das Einschränken der Rechte sodass nicht jeder Mitarbeiter Gruppen erstellen kann. Dies kann man mit einer neuen Gruppenkonfiguration sowie einer zusätzlichen Sicherheitsgruppe erzielen. Diese und alle anderen Einstellungen sind ausschließlich über PowerShell konfigurierbar. Wie man dies realisiert, zeige ich euch in Teil zwei zur O365 Groups Governance.

Frage: Wenn ich die Gruppenerstellung nur für eine bestimmte Sicherheitsgruppe zulasse, muss ich dann auch Administratoren hinzufügen, damit sie Office 365 Groups erstellen können?

Antwort: Jein! Warum so ungenau? Weil jede Firma unter dem „Administrator“ eine andere Rolle versteht und es auch in Office 365 verschiedene Administrator-Rollen gibt, die weiterhin Gruppen erstellen können. Folgende Built-In Rollen können unabhängig von den Einstellungen in der Gruppenvorlage oder dem globalen Abschalten der Gruppen weiterhin Office 365 Groups erstellen:

• Global Admins
• User Management Admins
• Mailbox Administrator
• Partner Tier1 Support
• Partner Tier2 Support
• Directory Writers

Dies ist dann weiterhin im O365 Admin Center sowie beim Anlegen einer SharePoint Site Collection möglich. Allerdings nicht mehr über Planner oder aus der Mail oder People Ansicht heraus!

Klassifizierung:

Um weiterhin einen besseren Überblick über alle Gruppen zu bekommen, so kann ich eine Liste von Schlüsselwörtern definieren, aus denen der Gruppenersteller auswählen kann und somit zu den Eigenschaften einer Gruppe hinzugefügt werden. Das Ersteller einer solchen „Classification List“ in PowerShell zeige ich euch ebenfalls in Teil 2.

Aber Achtung, obwohl es die Office 365 Groups schon relativ lange gibt, sind noch nicht alle Einstellungen voll ausgereift. So kann ich in diesem Fall die Schlüsselwörter zur Klassifizierung der Gruppe nur beim Erstellen über SharePoint auswählen. Bei allen anderen Einstiegspunkten über das User Interface ist dieses Auswahlfeld nicht verfügbar.

Namenskonventionen:

Neben der Klassifizierung kann ich auch Namenskonventionen mit Pre- und Suffixen vorgeben. Damit können wir mehr Struktur in unseren Gruppennamen bringen. Mehrere Pre- und/oder Suffixe können vergeben werden. Dabei können wir entweder selber per Freitext Wörter eingeben oder aber auch automatisch Attribute aus dem Konto des Benutzers, der die Gruppe erstellt, auslesen und eintragen lassen.

Aber Achtung, auch hier finden die Konventionen nur Anwendung bei Erstellung über das O365 Admin Center, in der Mails oder People-Ansicht. Über SharePoint und Planner werden keine konfigurierten Pre- oder Suffixe hinzugefügt.

Zusätzlich zu Pre- oder Suffixen können wir Wörter in eine „Black List“ eintragen. Diese dürfen dann nicht für einen Gruppennamen verwendet werden und der Benutzer bekommt einen entsprechenden Dialog angezeigt, wenn er es dennoch versucht.

Überwachung:

Um weiterhin einen Überblick über alle Gruppen zu haben, empfehle ich die zentrale Gruppenübersicht im Office 365 Admin Center. Von dort aus kann ich die Gruppen auch verwalten und löschen. Ich empfehle diese Ansicht deswegen, weil

a) in der SharePoint Administration die Site Collections nicht auftauchen,
b) in der Exchange Administration nicht die Gruppen angezeigt werden, die vom Planner oder SharePoint kommen und
c) die Ansicht in SharePoint schnell unübersichtlich wird bei vielen Gruppen.

Daher ist die zentrale Gruppenansicht meiner Meinung nach für Tenant-Administratoren die beste Lösung.

II.
Unkontrollierter Zugriff für Interne und Externe auf Groups-Inhalte

Berechtigungen einschränken:

Für Problem II, also die Berechtigungen und das Teilen mit Internen und Externen Mitarbeitern, gibt es auch ein paar PowerShell Konfigurationen und Workarounds in SharePoint. Für die O365 Gruppen Vorlage stehen uns dafür folgende Eigenschaften zur Verfügung:

• AllowGuestsToBeOwner
• AllowGuestsToAccessGroups
• AllowToAddGuests

Das Schöne an diesen zentralen Einstellungen an der Vorlage ist, dass die Werte dann für alle neu erstellten Gruppen angewendet werden. Wenn wir dabei speziell diese drei Eigenschaften abschalten, haben wir schon viel erreicht in Bezug auf das Teilen von Gruppen und Hinzufügen von weiteren Mitgliedern. Weiterhin können wir noch URLs hinterlegen, in denen die Regeln und Richtlinien von Gruppen erläutert werden, um so eine gewisse Aufmerksamkeit der Nutzer für Gruppenrichtlinien zu schaffen.

• GuestUsageGuidelinesUrl
• UsageGuidelinesUrl

In Bezug auf die Berechtigungen bereits existierender Mitglieder in Groups, da kann ich nur über den unschönen manuellen Weg gehen, dass ich den Nutzern entsprechende Rechte in der SharePoint Site Collection wieder nehme. Ein PowerShell Skript kann dies zwar automatisieren, aber es ist und bleibt ein Workaround, weil ich die Berechtigungen nicht bereits beim Erstellen einer neuen Gruppen definieren und einschränken kann.

III.
Schneller Verbrauch des verfügbaren Tenant-Speicherplatzes

Speicherplatz einschränken:

Das letzte Problem III bekommen wir einfach in den Griff, indem wir über PowerShell den Gruppen Site Collections ein Quota Limit hinzufügen, wie wir es bereits gewohnt sind bei „normalen“ Site Collections. Genauer zeige ich auch dies im zweiten Teil. Allerdings darf ich für diese Funktion nicht den „Pooled Storage“ im Tenant für SharePoint aktiviert haben, damit ich die Quotas manuell konfigurieren kann. (siehe auch 12. #O365Adventskalender Türchen)

Auch wenn dies eine gute und einfache Möglichkeit ist, das Datenwachstum in Gruppen einzuschränken, so ist auch diese Lösung dennoch nur ein Workaround, wie schon bei den Berechtigungen beschrieben, weil es ein manueller nachträglicher Schritt ist.

 

Zusammenfassend können wir sagen, dass viele O365 Groups Standardwerte nicht gut für eine starke Unternehmens-Governance ist. Dafür haben wir ein paar gute Ansätze, um die O365 Groups Vorlagen anzupassen und so Eigenschaften gemäß unserer Richtlinien zu konfigurieren. Dies ist bereits nicht schlecht, wird aber komplexen Governance Anforderungen nicht gerecht. Zudem gibt es noch einige Einschränkungen und „Ungereimtheiten“ bei der Anwendung konfigurierter Gruppeneigenschaften (siehe Namenskonventionen und Klassifizierung). Microsoft entwickelt hier aber stets weiter. Ihr könnt euch auf der Roadmap informieren, was für die Office 365 Groups Governance geplant ist.

Alternativ gibt es bereits O365 Governance Lösungen am Markt, die selbst herausfordernden Anforderungen gerecht werden und oben beschriebene Probleme zu 100% in den Griff bekommt und sogar noch zusätzliche Backup und LifeCycle Funktionen integrieren. Ich empfehle sich da schlau zu machen, damit wir ohne Sicherheitssorgen die Vorteile von Office 365 Groups voll ausschöpfen können.

Happy „SharePointing“!

 

Weitere Quellen:

• Azure Active Directory-Cmdlets zum Konfigurieren von Gruppeneinstellungen
  https://docs.microsoft.com/de-de/azure/active-directory/active-directory-accessmanagement-groups-settings-cmdlets
• Manage Office 365 Group Creation https://support.office.com/en-US/article/Manage-Office-365-Group-creation-4c46c8cb-17d0-44b5-9776-005fced8e618
• Verwenden von PowerShell zum Verwalten von Office 365-Gruppen – Hilfe für Administratoren https://support.office.com/de-de/article/Verwenden-von-PowerShell-zum-Verwalten-von-Office-365-Gruppen-%e2%80%93-Hilfe-f%c3%bcr-Administratoren-aeb669aa-1770-4537-9de2-a82ac11b0540?ui=de-DE&rs=de-DE&ad=DE