Office 365 Groups Governance – Teil 2

Im ersten Teil der O365 Groups Governance haben wir uns aus der Business Perspektive angeschaut, welche Groups Standardeinstellungen problematisch sind und mit welchem Ansatz man diese Probleme lösen kann. Heute gehen wir ins Detail und dafür habe ich mir folgende Agenda überlegt:

  1. Gruppenvorlagen
  2. Gruppenersteller einschränken mit einer neuen Groups-Vorlage
  3. Gruppenersteller einschränken durch Anpassen einer Gruppenvorlage
  4. Klassifizierung
  5. Namenskonventionen
  6. Berechtigungen Einschränken
  7. Speicherplatz beschränken

Das Ändern und Definieren neuer Standardwerte für Gruppenvorlagen, die für eine starke Unternehmens-Governance besser geeignet sind,  ist nur über die Online PowerShell-Konsole möglich. GANZ WICHTIG ist hierbei, dass das aktuellste Microsoft Azure AD PowerShell Modul (Version 1.1.166.0) nicht mehr die Befehle enthält, die es braucht, um die Gruppeneinstellungen anzupassen. Stattdessen gibt es diese nur in der vorherigen Version 1.1.130.0. Solltet ihr also bereits auf der neueren Version sein, müsst ihr diese über die Systemsteuerung wieder deinstallieren und die ältere Version installieren. Einen Download Link zu beiden Versionen findet ihr hier:
http://connect.microsoft.com/site1164/Downloads/DownloadDetails.aspx?DownloadID=59185

Haben wir dies erledigt, so müssen wir uns zunächst wieder auf unseren Tenant verbinden. Die nötigen Befehle findet ihr im 6. Türchen meines #O365Adventskalenders.

1. Gruppenvorlagen:

Ähnlich wie auch unsere SharePoint Bibliotheken oder Seiten auf Vorlagen basieren, so ist dies auch für die Office 365 Groups der Fall. Über den nur in der Version 1.1.130.0 enthaltenen Befehl New-MsolAllSettingTemplate können wir auf die „Group.Unified“ Vorlage zugreifen und mehr Informationen erhalten.

O365 Groups Governance New-MsolAllSettingTemplate

Noch weiter im Detail können wir herausfinden, welche Werte überhaupt für so eine Vorlage definiert werden können:

O365 Groups Governance Werte der Vorlage

Das Problem hierbei ist jedoch, dass wir wirklich nur diese eine Vorlage haben. In Hinblick auf die verfügbaren PowerShell Befehle können wir zwar theoretisch auch eine neue Vorlage erstellen, ist aber bereits eine vorhanden, so erhalten wir eine Fehlermeldung. Die Architektur beim Erstellen von Gruppen gibt es außerdem noch nicht her, dass wir aus verschiedenen Vorlagen wählen können. Dies können derzeit nur Drittanbieter. Zur Vollständigkeit nachfolgend kurz das Vorgehen, um eine neue Vorlage zu erstellen. Anschließend beziehe ich mich aber nur auf das Anpassen der Werte der bereits existierenden Vorlage.

2. Gruppenersteller einschränken mit einer neuen Groups-Vorlage:

Falls ihr die existierende Groups-Vorlage über Remove-MsolSettings gelöscht habt, sind im Folgenden zur Information die Befehle, um auf eine neue Vorlage schreiben zu können. Dabei referenziere ich auf die $template – Variable aus dem Screenshot oben und deaktiviere das Gruppenerstellen als Ganzes, aber erlaube nur einer bestimmten Gruppe weiterhin das Erstellen. Das Erstellen dieser AD Sicherheitsgruppe und die Identifikation ihrer GUID geht mit folgenden Befehlen:

  • New-MsolGroup -Displayname „Gruppenersteller“ -Description „This group is intended for power users, who are able to create Groups“
  • Get-MsolGroup -SearchString Gruppenersteller
    -> Screenshot
  • $setting = $template.CreateSettingObject()
    -> Screenshot
  • $setting[„EnableGroupCreation“] = „$false“
  • $setting[„GroupCreationAllowedGroupId“] = „ID“
  • New-MsolSettings -SettingObject $setting
    -> Screenshot

3. Gruppenersteller einschränken durch Anpassen einer Gruppenvorlage:

Wir konzentrieren uns nun aber auf das Anpassen einer bereits existierenden Vorlage mit entsprechenden Standardwerten. Wie im obigen Beispiel, erstellen oder suchen wir die entsprechenden AD-Gruppe, die wir berechtigen wollen:

  • New-MsolGroup -Displayname „Gruppenersteller“ -Description „This group is intended for power users, who are able to create Groups“
  • Get-MsolGroup -SearchString Gruppenersteller

Damit ist der einfachste Schritt erledigt – weiter zum nächsten.

Wir müssen nun die ID der existierenden Vorlage identifizieren und wollen uns die darin enthaltenen Werte auslesen lassen:

  • $setting = Get-MsolSettings -SettingId „ObjectId“
  • $setting.Values
    O365 Groups Governance Get-MsolSettings

Wir sehen also, dass das Erstellen der Gruppen generell angeschaltet ist (EnableGroupCreation = True) und noch keine explizite Gruppe zum Erstellen zugewiesen wurde (kein Wert bei GroupCreationAllowedGroupId). Dies wollen wir nun ändern. Dafür hilft uns die GetSettingsValue – Methode, über die wir dann die Werte definieren. Anschließend schreiben wir diese Werte in das existierende SettingsObject.

  • $value = $setting.GetSettingsValue()
  • $value[„GroupCreationAllowedGroupId“] = „ID“
  • $value[„EnableGroupCreation“] = „$false“
  • Set-MsolSettings -SettingId „ID“ -SettingsValue $value

Anschließend vergewissern wir uns noch einmal, dass die Einstellungen auch erfolgreich geschrieben wurden:

$setting.Values

Im Screenshot ist dies nun schön zu sehen, dass wir erfolgreich die Standardwerte geändert haben. Das Erstellen von neuen Gruppen ist jetzt das Privileg der Mitglieder der entsprechenden AD-Gruppe.
O365 Groups Governance Gruppenersteller einschränken

Es ist noch interessant zu erwähnen, dass ich diese Vorlage auch nur explizit den Office Web Apps zuweisen kann. Das heißt, dass ich vielleicht grundsätzlich das Erstellen erlauben möchte, aber nicht über die Mail und People Ansicht in den Office Web Apps. Neben der Option für Administratoren im O365 Admin Center, können so dann nur noch Gruppen im Planner und bei einer neuen SharePoint Site Collection angelegt werden. Aus meiner Sicht ist dies auch schon mal ein guter Start in mehr Struktur und Übersicht bei den O365 Groups.

4. Klassifizierung:

Aus dem obigen Screenshot der verfügbaren Einstellungen für eine Gruppenvorlage war schon zu sehen, dass es dort auch eine „ClassificationList“ gibt. Hier kann ich genauso vorgehen, wie beim Einschränken der Gruppenersteller und mit Komma getrennte Schlüsselwörter definieren, die dann an eine neu erstellte Gruppe angehängt werden.

  • $value[„ClassificationList“] = „Public,Internal use – non confidential,Confidential,Secret,Top Secret“

Damit kann ich leichter eine Übersicht von Gruppen nach bestimmten Kriterien erstellen, z.B. Sensitivität oder Zweck.

Wie in Teil 1 bereits erwähnt, stehen diese Werte allerdings nur beim Erstellen über SharePoint zur Verfügung und werden sonst leider nicht hinzugefügt!

5. Namenskonventionen:

Für die Namenskonventionen sehen wir auch die entsprechende Eigenschaft im Screenshot: „PrefixSuffixNamingRequirement“. Leider kann man dies ausnahmsweise nicht über PowerShell, sondern nur über das User Interface im Exchange Online Administration Center konfigurieren.

Dort navigieren wir zu den Empfängern und weiter auf Groups. Mit Klick auf „…“ öffnet sich das Kontextmenü, aus dem wir „Configure group naming policy“ auswählen.
O365 Groups Governance Namenskonvention

Hier können wir nun verschiedene Freitext-Werte vergeben sowie Attribute aus dem Benutzerkonto des Erstellers auslesen und eintragen lassen.
O365 Groups Governance Namenskonvention definieren

Am unteren Ende der Ansicht würd dann eine Vorschau angezeigt, wie ein zukünftiger Gruppenname aussehen wird.
O365 Groups Governance Namenskonvention

Beim Anlegen einer neuen Gruppe in der Mail und People Ansicht wird der resultierende Name auch gleich angezeigt, damit der Ersteller gleich weiß, wie seine Gruppe und die dazugehörige URL heißen wird.
O365 Groups Governance Namenskonvention Vorschau

Aber auch hier sei Achtung geboten, da die Namenskonventionen nicht auf Gruppen aus Planner oder SharePoint angewendet werden. Es gibt also schöne Ansätze, jedoch wirkt es, dass bei Microsoft nicht zu Ende gedacht wurde.

Schön finde ich auch die Möglichkeit, dass bestimmte Wörter nicht verwendet werden können. Dies kann auch sehr einfach konfiguriert werden.
O365 Groups Governance Namenskonvention verbotene Wörter

6. Berechtigungen Einschränken:

Zurück zu PowerShell – wie bereits in Teil 1 erwähnt, gibt es ein paar Standardwerte, mit denen wir Berechtigungen auf Gruppen einschränken können. Das Konfigurieren dieser Eigenschaften funktioniert analog zur Klassifizierungsliste oder dem Einschränken der Gruppenerstellung. Zum Beispiel:

  • $value[„AllowGuestToAccessGroups“] = „$false“
  • $value[„AllowToAddGuests“] = „$false“
  • $value[„UsageGuidelinesUrl“] = „https://domain.sharepoint.com/sites/policies/Guideline.aspx“

Zusätzlich können und sollten wir die Richtlinie zum Teilen einer bestehenden Groups Site Collection weiter anpassen, da standardmäßig folgende Richtlinie hinterlegt ist: Freigabe nur für die externen Benutzer erlauben, die im Verzeichnis Ihrer Organisation bereits vorhanden sind.

Ein SharePoint Online PowerShell Befehl hilft uns, dies nachträglich anzupassen. (Hinweis: das SharePoint Online PowerShell Modul muss dazu in die Online PowerShell Konsole geladen werden.)

Set-SPOSite -Identity https://domain.sharepoint.com/sites/site1 -SharingCapability -ExternalUserSharingOnly

Dies bedeutet zum Beispiel, dass nur Externe per Email eingeladen werden können, aber kein Gäste-Link erzeugt werden kann. Weiterhin kann ich das Teilen komplett für Externe abschalten und auch erlaubte und geblockte Domains referenzieren. Weitere Informationen findet ihr dazu in der Referenz zum Set-SPO Befehl:
https://technet.microsoft.com/de-de/library/fp161394.aspx

Außerdem können die Nutzerberechtigungen der Group Site Collection angepasst werden, also ganz normal, wie man SharePoint Berechtigungen verwaltet. Dies ist aber eher nur ein Workaround, weil man diese leider nicht in einer Vorlage mit nativen Mitteln festlegen kann. Auch hier gibt es Drittanbieter am Markt, die dafür einen Mehrwert liefern können.

7. Speicherplatz beschränken:

Wenn wir nun schon in der SharePoint Online PowerShell Administration sind, dann machen wir mit dem Speicherplatz gleich weiter. Wenn das manuelle Storage Modell ausgewählt ist (und nicht der Pooled Storage), können wir Quotas nachträglich für die erstellten Group Site Collections definieren.

Set-SPOSite -Identity https://domain.sharepoint.com/sites/Group1 -StorageQuota 3000 -StorageQuotaWarningLevel 2000

Mit diesem Befehl weisen wir beispielsweise der Group Site Collection /sites/Group1 ein Quota von 3000 MB zu und eine Warnung wird bereits bei Erreichen von 2000 MB an den primären Site Collection Administrator geschickt.

 

Natürlich wäre es schöner, wenn wir alles in einer Gruppen-Vorlage definieren könnten oder gar mehrere Vorlagen zur Auswahl stellen können, aber da dies leider aktuell mit nativen Mitteln noch nicht möglich ist, sollten wir zumindest die hier beschriebenen Möglichkeiten nutzen, um Unternehmensrichtlinien auch auf die Office 365 Groups anzuwenden.

Wenn euch diese Funktionen nicht weit genug gehen, dann kann ich Drittanbieter im Markt empfehlen, die neben dem kontrollierten Anlegen von Gruppen auch gleich Backup und Lifecycle Funktionen anbieten. Mit solchen Möglichkeiten kann ich dann wirklich sorgenfrei auch produktiv mit Gruppen arbeiten.

Happy „SharePointing“!

 

Weitere Quellen:

 

Robert Mulsow

Rob hinterfragt kontinuierlich den Status quo! Er ist ein Digitaler Transformator, Microsoft MVP und Gründer des Unternehmens SkillBridge. Alle drei Rollen konzentrieren sich darauf, den Geschäftserfolg durch moderne Kooperationslösungen und neue Arbeitsweisen voranzutreiben. Als zertifizierter Trainer und MCSA für Office 365 unterstützt er Unternehmen ihre Geschäftsprozesse auf moderne Arbeitsplatzlösungen umzustellen und macht sie erfolgreicher bei der Transformation ihres Geschäftsmodells, fördert die Benutzerakzeptanz und erhöht den Schutz der Informationen. Mit seiner Erfahrung als Premier Field Engineer bei Microsoft hilft er großen Unternehmen bei ihren komplizierten SharePoint-Herausforderungen und zugehörigen Microsoft Technologien. Fragen Sie mich etwas zu (Cloud) Backup & Disaster Recovery, Information Governance, Teams Adoption Strategien sowie Compliance Themen.

Das könnte dich auch interessieren …

Eine Antwort

  1. Februar 3, 2017

    […] Ein dringend empfohlener Ansatz, um Problem I anzugehen, ist das Einschränken der Rechte sodass nicht jeder Mitarbeiter Gruppen erstellen kann. Dies kann man mit einer neuen Gruppenkonfiguration sowie einer zusätzlichen Sicherheitsgruppe erzielen. Diese und alle anderen Einstellungen sind ausschließlich über PowerShell konfigurierbar. Wie man dies realisiert, zeige ich euch in Teil zwei zur O365 Groups Governance. […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.