Wildwuchs von Office 365 TEAMs verhindern

Mit der Einführung von Office 365 in Unternehmen wird üblicherweise gleich die Office 365 E3 Lizenz für alle User vergeben. Und während die IT noch damit beschäftigt ist, die Mailboxen umzustellen und Office Pro Plus zu deployen, beginnen interessierte Benutzer damit, die neuen Dienste zu erkunden.

Daher dauert es meist nicht lange, bis ein Wildwuchs an Office 365 Gruppen entsteht – da bei jeder SharePoint Teamsite, bei jedem Team und bei jedem Planner automatisch im Hintergrund eine Office 365 Gruppe angelegt wird.

Als Unternehmen steht man hier vor der Entscheidung, die Erstellung der Gruppen nur definierten Benutzern zu erlauben (um den Wildwuchs zu verhindern) oder den Benutzern freie Hand zu lassen (und damit (meistens) die Produktivität zu steigern.

Aber es gibt ein paar Möglichkeiten, den Wildwuchs im Zaum zu halten:

Namenskonventionen für Office 365 Groups

Mit Namenskonventionen wird sichergestellt, das neu angelegte Groups den vorgegebenen Richtlinien entsprechen.

Die Namenskonvention gilt für alle Office 365 Groups – dh Outlook, Microsoft Teams, SharePoint, Exchange, oder Planner.

Ich kann bei der Definition der Namenskonvention recht frei Fixtext und AD-Attribute mischen. 

Der große Nachteil ist, das die zur Verfügung stehenden AD Attribute leider beschränkt sind:

[Department], [Company], [Office], [StateOrProvince], [CountryOrRegion], [Title]

Was bei uns zB problematisch war, weil kein Feld davon gepasst hat. Zum Glück werden bei uns die AD Felder programmatisch aus dem HR Tool befüllt und wir haben uns dazu entschieden, das nicht verwendete Feld [CountryOrRegion] mit dem Niederlassungskürzel zu befüllen. In dem Wissen, das das nicht schön ist, aber notwendig.

Die Regel definiere ich dann mittels PowerShell:
(genaue Anleitung Siehe Link am Ende)

$Setting[„PrefixSuffixNamingRequirement“] =“GRP_[GroupName]_[Department]“

Hat der User im Feld [Department] den Eintrag „HR“ und erzeugt er die Gruppe „Bewerbungen“ ergibt das den Gruppennamen „GRP_Bewerbungen_HR“

Kleiner Tipp aus der Praxis:
Ich habe etwas länger gebraucht, bis der Befehl bei mir funktioniert hat. Hintergrund: Ich habe die Variable [GroupName] nicht eingebaut, weil „ich die ja nicht brauche 😉 “ Das ist aber die einzig notwendige Variable, da hier der vom User eingegeben Gruppenname eingetragen wird

Wie schaut das für den Benutzer aus ?

Erstelle ich als normaler Benutzer zB ein Team, wird mir unterhalb des Feldes, wo ich den Teamnamen eingebe, der tatsächliche Teamname angezeigt – bei uns also „AO-“ da ich in der ACP Ost sitze.

Gleiches gilt, wenn ich im SharePoint eine neue Teamwebsite erzeuge:

Wer kann das overriden ?

Administratoren mit folgenden Benutzerrollen können die Namenskonventionen umgehen und Gruppen mit beliebigen Namen erzeugen:

  • Global administrator
  • Partner Tier 1 Support
  • Partner Tier 2 Support
  • User account administrator
  • Directory writers

Welche Lizenz benötige ich dazu ?

Für diese Funktion benötigen alle Benutzer eine AD Premium P1 Lizenz

Wie schaut das in anderen Applikationen für den Benutzer aus ?

WorkloadCompliance
Azure Active Directory portalsThe Azure AD portal and the Access Panel portal show the naming policy enforced name when the user types in a group name when creating or editing a group. 
Outlook Web Access (OWA)Outlook Web Access shows the naming policy enforced name when the user types a group name or group alias. 
Outlook DesktopGroups created in Outlook desktop are compliant with the naming policy settings. Outlook desktop app doesn’t yet show the preview of the enforced group name when the user enters the group name. However, the naming policy is automatically applied when creating or editing a group, 
Microsoft TeamsMicrosoft Teams shows the group naming policy enforced name when the user enters a team name. 
SharePointSharePoint shows the naming policy enforced name when the user types a site name or group email address. 
Microsoft StreamMicrosoft Stream shows the group naming policy enforced name when the user types a group name or group email alias. 
Outlook iOS and Android AppGroups created in Outlook apps are compliant with the configured naming policy. Outlook mobile app doesn’t yet show the preview of the naming policy enforced name when the user enters the group name. However, the naming policy is automatically applied on clicking create/edit 
Groups mobile appGroups created in the Groups mobile app are compliant with the naming policy. Groups mobile app does not show the preview of the naming policy when the user enters the group name. But the naming policy is automatically applied when creating or editing a group
PlannerPlanner is compliant with the naming policy. Planner shows the naming policy preview when entering the plan name. 
Dynamics 365 for Customer EngagementDynamics 365 for Customer Engagement is compliant with the naming policy. Dynamics 365 shows the naming policy enforced name when the user types a group name or group email alias. 
School Data Sync (SDS)Groups created through SDS comply with naming policy, but the naming policy isn’t applied automatically. SDS administrators have to append the prefixes and suffixes to class names for which groups need to be created and then uploaded to SDS. Group create or edit would fail otherwise.
Outlook Customer Manager (OCM)Outlook Customer Manager is compliant with the naming policy, which is automatically applied to the group created in Outlook Customer Manager. 
Classroom appGroups created in Classroom app comply with the naming policy, but the naming policy isn’t applied automatically, and the naming policy preview isn’t shown to the users while entering a classroom group name. Users must enter the enforced classroom group name with prefixes and suffixes. If not, the classroom group create or edit operation fails with errors.
Power BIPower BI workspaces are compliant with the naming policy.
YammerWhen a user signed in to Yammer with their Azure Active Directory account creates a group or edits a group name, the group name will comply with naming policy. This applies both to Office 365 connected groups and all other Yammer groups.
If an Office 365 connected group was created before the naming policy is in place, the group name will not automatically follow the naming policies. When a user edits the group name, they will be prompted to add the prefix and suffix.
StaffHubStaffHub teams do not follow the naming policy, but the underlying Office 365 group does. StaffHub team name does not apply the prefixes and suffixes. But StaffHub does apply the prefixes and suffixes from the underlying Office 365 group.
Exchange PowerShellExchange PowerShell cmdlets are compliant with the naming policy. Users receive appropriate error messages with suggested prefixes and suffixes if they don’t follow the naming policy in the group name and group alias (mailNickname).
Azure Active Directory PowerShell cmdletsAzure Active Directory PowerShell cmdlets are compliant with naming policy. Users receive appropriate error messages with suggested prefixes and suffixes if they don’t follow the naming convention in group names and group alias.
Exchange admin centerExchange admin center is compliant with naming policy. Users receive appropriate error messages with suggested prefixes and suffixes if they don’t follow the naming convention in the group name and group alias.
Office 365 admin centerOffice 365 Admin center is compliant with naming policy. When a user creates or edits group names, the naming policy is automatically applied. The Office 365 Admin center doesn’t yet show a preview of the naming policy when the user enters the group name.

weiterführende Informationen

 https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/groups-naming-policy

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

code