Die Administration von Microsoft Teams und den Möglichkeiten im Client wurde letztes Jahr im ersten Teil der Blogartikelreihe über Teams vorgestellt. In der Zwischenzeit hat sich mit der Weiterentwicklung des Service einiges getan, insbesondere bei der Erweiterung der Funktionen durch eigene Apps. Wer als Admin oder Sicherheitsbeauftragter bisher aufgrund von Governance und Compliance eher mit gemischten Gefühlen auf diese Möglichkeit geschaut hat, mit Daten in Teams zu interagieren, hat nun etwas mehr Einfluss auf die Nutzung.
Mit einem der letzten Updates hat Microsoft einige weitere Konfigurationsmöglichkeiten zu dem Einstellungsdialog in Teams hinzugefügt. Damit ist es Zeit, sich einmal anzuschauen, welche Möglichkeiten ein Administrator in Office 365 überhaupt hat, auf den Service einzuwirken und welche Überlegungen hinsichtlich Governance, IT-Sicherheit und Firmenkultur zu machen sind. Grundsätzlich bleibt weiterhin festzustellen, was auch schon im November letzten Jahres der Fall gewesen ist: Die Konfiguration ist nach wie vor recht geradeaus und im Gegensatz zu Boliden wie SharePoint übersichtlich und unkompliziert.
Allgemeines zu Einstellungen in Teams
Die erste Neuerung ist eher kosmetischer Natur: Die Einstellungen passen sich in das neue Design ein und kommen ein wenig wie Konfigurationspanels in Azure daher. Alle relevanten Einstellungen zu Teams lassen sich hier finden:
Die zwei darüber hinaus noch relevanten Stellen sind die Lizenzverwaltung und die Konfiguration der einzelnen Teams, was aber wieder eher inhaltliche Arbeit ist. Die Lizenzverwaltung gibt den einzelnen Mitgliedern der Organisation überhaupt erst einmal das Recht, Teams verwenden zu können. Darüber hinaus gibt es die hier widersprüchlich erscheinende Konfiguration, ob Teams für die gesamte Organisation aktiviert oder deaktiviert werden soll:
Der Begleittext lässt erahnen, dass auch den Mitarbeitern von Microsoft klar war, dass das zur Verwirrung führt. Die Andeutung, das Control könnte demnächst verschwinden, sollte man auch durchaus ernst nehmen, trotz (oder gerade wegen?) des schönen modalen Hilfsverbs „kann“.
Generell lässt sich hier für das Ausrollen und die Governance empfehlen, die Lizenzen über den dafür vorgesehenen Dialog zuzuweisen. So lässt sich punktuell steuern, für wen Teams zur Verfügung steht und wer die entsprechende Kachel (noch) nicht sehen soll. Insbesondere, wenn Ausrollprozesse in der IT (teil-)automatisiert ablaufen, sollte auch die Teamslizenz wie die übrigen Lizenzoptionen behandelt werden.
Einstellungen für den gesamten Tenant
Der erste Block der Einstellungen gibt einige Möglichkeiten, einzelne Funktionen zu beeinflussen:
Die Option, Organigramme im Profil anzuzeigen, wirkt erst einmal wenig vertraut, wenn man schon einige Zeit mit dem Client gearbeitet hat, aber hauptsächlich mit Chats und Dokumenten zu tun hatte. Denn es gibt hier auf dem Profilbild eines Teammitglieds ähnlich wie dem Infopanel in SharePoint eine Möglichkeit, neben den allgemeinen Kontaktdaten auch das Organigramm eines Organisationsmitglieds anzeigen zu lassen. Den Knopf dafür findet man im Kontaktpopup:
Und ähnlich, wie man es von SharePoint auch kennt, kann man sich anschauen, in welcher Hierarchieebene mit welchen Mitarbeitern das jeweilige Teammitglied steht.
Microsoft macht diese Einstellung konfigurierbar, damit Organisationen nicht unbedingt alles über ihre Mitglieder in Teams preisgeben müssen. Wenn einzelne Mitglieder eines Teams lediglich die Teams-Lizenz haben, sonst aber keine Rechte oder Möglichkeiten besitzen, auf weitere personenbezogene Daten eines anderen Mitglieds zuzugreifen, kann diese Option auch hier verhindern, dass diese Informationen mit diesen geteilt werden können.
Die zweite Option legt fest, wie mit Teammitgliedern bei Chats umzugehen ist, die nicht Teams verwenden. Standardmäßig ist hier aktiviert, dass diese dann über den Skype for Business Client angesprochen werden können. Diese Option auszuschalten macht für einen Administrator eigentlich nur dann Sinn, wenn ähnlich wie bei der Argumentation beim Organigramm eine strikte Trennung der Organsationsmitglieder aufrechterhalten werden soll. So wäre es Organisationsmitgliedern, die lediglich Zugriff auf Teams haben, nicht möglich, sich mit anderen Kontakten außerhalb Teams über die integrierte Chatfunktion zu unterhalten. Dieses kann hier für entsprechende Szenarien mit dieser Option unterbunden werden.
Die dritte Option beschäftigt sich mit der integrierten Hilfe, die Microsoft als einen Hybrid aus Bot und klassische Nachschlageseiten implementiert hat. Das Konstrukt nennt sich T-Bot und kann über den Chat erreicht werden.
Um dem Bot und seinen Möglichkeiten etwas Aufmerksamkeit zu verleihen, meldet sich dieser ab und zu selber beim Benutzer, was durch eine entsprechende Benachrichtigung wie bei einem richtigen Chat visualisiert wird. Nun ist es so, dass nahezu alle (insbesondere deutschen) Benutzern in Unternehmen es nicht gewohnt sind, von automatisierten Systemen in Chatform von der Seite angequatscht zu werden, es sei denn, sie haben ihr Trauma mit Karl Klammer aus den Jahren vor der Jahrtausendwende noch nicht restlos verarbeitet. Daher wird hier die Möglichkeit geschaffen, eine solche „proaktive“ Ansprache zu unterbinden.
Nutzen von Emails in Teams
Teams ist von Natur aus Chat-geprägt. Anders als Groups steht hier die unmittelbare, direkte und schnelle Kommunikation ganz klar im Vordergrund. Dementsprechend hat E-Mail hier einen eher untergeordneten Charakter.
Dennoch gibt es die Möglichkeit, einen Kanal in einem Team quasi „E-Mail-fähig“ zu machen, indem die dazugehörige Konfiguration auf dem Kanal mit einem Klick ins Kontextmenü aufgerufen wird. Die Adresse ist dabei ein generierter Buchstabensalat und kann aus Sicherheitsgründen eingeschränkt werden.
Dieses Feature kann aus Gründen der Governance allerdings auch in der Administration von Office 365 komplett abgeschaltet werden. Dazu gibt es die Optionen in dem betreffenden Bereich, in denen die Funktion komplett deaktiviert oder auf bestimmte Domänen tenantübergreifend eingeschränkt werden kann:
Für den Verantwortlichen in einem Unternehmen macht diese Einstellung sicherlich auch Sinn. Denn sobald Teams im Unternehmen ausgerollt ist und einzelne Mitglieder der Organisation Besitzer-Rechte auf ihren Teams haben, sind sie es, die Herr über diese Einstellungen sind. Möchte die Unternehmens-IT also aufgrund von Governanceregeln diese Art der Kommunikation ggf. auch mit Quellen außerhalb der Organisation verhindern, kann das hier entsprechend konfiguriert werden.
Governance von Erweiterungen
Kommen wir nun zu dem Teil, der brandneu im August für die meisten Tenants ausgerollt wurde. Bereits in den ersten Versionen der Betas gab es die Möglichkeiten, Teams mit verschiedenen Konzepten zu erweitern. Im Laufe der letzten Monate haben sich diese Erweiterungen etwas weiterentwickelt. Microsoft spricht auch hier jetzt von Apps. (Kleiner Einschub: Hatte man sich nicht eigentlich auf Add-In geeinigt? Was für ein Chaos!)
Grundsätzlich schaltet die erste Option alle Teams Apps frei, sodass sie den einzelnen Kanälen hinzugefügt werden können. Damit gemeint sind
- Tabs, die Weboberflächen zu anderen Anwendungen mitbringen
- Konnektoren, die Ereignisse in die Kanäle posten
- Bots, die angechattet werden können und Automatisierungen oder Informationen anbieten
- Weitere „new capabilities we add in the future“, was auch immer damit angedeutet ist.
Wenn diese Option auf „Ein“ steht und Apps im Tenant installiert worden sind, können diese noch dediziert erlaubt oder verboten werden. So kann eine App zwar installiert, für die Nutzung allerdings noch ausgeschaltet sein. Somit lässt sich für die IT steuern, welche Anwendungen, die den Teams Client (extern) erweitern, für die Besitzer der Teams zur Verfügung stehen.
Anwendungen werden in den sogenannten Teams App Katalog geladen und so über die Organisation verteilt. Damit ist sichergestellt, dass alle Benutzer nur die Apps zur Auswahl haben, die durch die zentrale IT auch technisch freigeschaltet worden ist. Wenn eine Organisation strategisch entscheidet, Teams langfristig zu nutzen, kann somit auch festgelegt werden, welche Erweiterungen zur generellen Auswahl stehen. Wenn diese Apps hinzugefügt werden, können sie mit der zweiten Option erst einmal standardmäßig aktiviert bzw. deaktiviert werden. Auch hier ist die Steuerung der Verfügbarkeit der Hintergedanke. Ist die Option ausgeschaltet, muss ein solches Addin erst einmal manuell im Punkt davor aktiviert werden.
Neben diesem offiziellen Weg über den App Katalog gibt es noch das Sideloading, auf Deutsch „querladen“. Hierbei wird eine App ganz banal in ein Zip-Archiv verpackt und über die Oberfläche hochgeladen. Diese Art der Provisionierung bietet sich zum einen zum Testen einer App an, zum anderen kann damit ohne großen organisatorischen Aufwand ein Team seine eigenen Apps bereitstellen, ohne dass die IT einen langwierigen Freigabeprozess abhalten muss. Diese Option ist traditionell recht gut versteckt, man findet sie mittlerweile auf Ebene des Teams im Reiter „Bots“:
Das Querladen von Apps ist ein typisches Dilemma, wie es an vielen Ecken und Enden in Office 365 ähnlich auftritt. Erlaubt man das Hochladen eines lokalen Zips, sind dem Benutzer Tür und Tor geöffnet, allerlei Dinge damit in sein Team zu bringen, die man dort eigentlich nicht haben möchte. Zum einen kann es bei technischen Problemen schwierig sein, per Support zu reagieren. Woher soll der Mensch am Telefon auch wissen, was der einzelne Benutzer sich evtl. aus dubioser Quelle in sein Team gezogen hat? Zum anderen ist bei Bots und Tabs bisweilen nicht so ganz klar, welche Daten wo verarbeitet werden. Zwar gibt ggf. es auch hier einen Conscent, bei dem abgefragt wird, was die App denn so darf, allerdings ist Risikofaktor Endbenutzer hier natürlich manchmal auch etwas blauäugig unterwegs.
Auf der anderen Seite gibt die Option des Querladens eine ungeheure Flexibilität und Agilität, zudem sind die Zeiten mittlerweile vorbei, dass eine Installation an einer Stelle die ganze Plattform zu korrumpieren vermag. Heißt hier: Ist die App in einem Team per Sideloading eingefügt, kann das dem anderen Team vollkommen egal sein, da es das in keiner Weise mitbekommt. Den verantwortlichen Entscheidern obliegt es hier also abzuwägen und sicherzustellen, dass die Optionen complient zur Unternehmenspolicy konfiguriert werden.
Interessant ist noch, was passiert, wenn eine vormals aktivierte Option deaktiviert wird;
- Bestehende Unterhaltungen mit Bots bleiben weiterhin sichtbar. Neue Konversationen können nicht gestartet werden.
- Bestehende Tabs in Kanälen verschwinden komplett. Sollte die App wieder aktiviert werden, werden auch alle vorher angelegten Instanzen wieder sichtbar.
- Konnektoren verweigern Ihre Arbeit ab dem Zeitpunkt der Deaktivierung. Bestehende Nachrichten in den Kanälen werden allerdings nicht gelöscht. Wenn ein Konnektor wieder aktiviert wird, reagieren Instanzen auch wieder auf die Trigger und schreiben ohne weiteres Zutun wieder in die Kanäle.
Cloudspeicher
Ein in der Praxis eher weniger genutztes Feature von Teams ist die Interaktion mit abgelegten Dateien in einem Cloudspeicher über die Programmkategorie. Hier können direkt im Client weitere Cloudspeicherorte hinzugefügt werden, um so unter einer Oberfläche alle Dateien aus verschiedenen Quellen im Zugriff zu haben.
Microsoft beschränkt sich hier nicht nur auf den eigenen OneDrive-Dienst sondern bietet auch Integrationen für die anderen Platzhirsche. Diese Integrationen können erlaubt oder verboten werden:
Erlaubt man die Hinzunahme der anderen Clouddienste, stößt man eventuell wieder in den immer verhassten Bereich der Schatten-IT. Was in den USA ggf. gang und gäbe ist, ist unter deutschen Gesichtspunkten oftmals überhaupt nur der Grund, mit modernen Tools den Mitarbeitern etwas unter Firmengovernance zu bieten statt sich irgendwelcher privaten Speicher zu bedienen. Hier tauchen sie nun wieder ganz unverhohlen auf und bieten den Endanwendern sogar noch Integration. Einige mir bekannte Entscheider wären mir wahrscheinlich bereits vor drei Sätzen barsch mit einem dahingebellten „Abschalten!“ ins Wort gefallen. Werden diese Dienste jedoch offiziell genutzt, ist eine Aktivierung sicherlich keine schlechte Idee.
Kommunikationsoptionen
Zu guter Letzt sind noch einige Optionen hinsichtlich des Leistungsumfangs des Clients in den Einstellungen zu finden. Zum einen werden für die Chat- und Besprechungsoptionen die einzelnen Features aufgeführt, welche der Client hier mitbringt. Diese können ein- bzw. ausgeschaltet werden, um so zu steuern, was der Endbenutzer verwenden kann.
Die Optionen sind weitestgehend selbsterklärend und bedienen die Funktionsvielfalt in der Anwendungskategorie Chat. Neben Bandbreitenüberlegungen spielen hier Datenschutz-, IT-Security- und eventuell auch strategische Aspekte für die Entscheidung der Konfiguration eine Rolle.
Wenn die Benutzer bereits mit Skype for Business ausgestattet sind, erhalten sie hier mit Teams ein ähnliches Featureset noch einmal in einem zweiten Client. Das führt schnell zur Verwirrung, wann denn was zu nutzen ist. Somit kann es durchaus sein, dass man zu Gunsten einer Applikationshygiene die Optionen hier ausgeschaltet lässt.
Ansonsten treten hier ähnliche Überlegungen in den Vordergrund wie die, die typischerweise mit Skype for Business einhergehen. Desktopsharing, Videotelefonie und Ad-hoc-Meetups sind für einige von uns selbstverständlich, für andere Firmen aber absolute No-Gos. Sei es, dass es Bedenken aus Richtung des Betriebsrats hier eine gewichtige Rolle spielen oder generelle kulturelle Gegebenheiten einen Einsatz solcher Technologien widersprechen.
Bleibt noch all das spaßige Zeug in den Chats. In der Artikelserie zu Anfang des Jahres habe ich bereits angedeutet, dass sich gerade bei den Adaptionen der neueren Kommunikationsgebahren des Internets die Geister scheiden werden. Der 55-jährige Sachbearbeiter im Versicherungskonzern wird mit wackelnden Affenpopos in seinen Kommunikationsverläufen vielleicht ähnlich viel anfangen können wie der junge Neu-Azubi mit dem staubtrockenen Fachdeutsch eines Notarbriefs. Hier entscheiden die Firmenkultur und der Mut, diese Formen der modernen Kommunikation im eigenen Unternehmen zuzulassen. Wichtig zu erwähnen ist dabei noch, dass diese Optionen auch noch einmal für jedes Team einzeln einstellbar sind.
Das bedeutet also, dass auch im Fall einer Freischaltung auf oberster Ebene ein Team von Memes, Badges und all die anderen Sachen befreit werden kann.
Fazit
Das Titelbild dieses Beitrags mit der komplizierten Verkabelung eines Modularsynths ist zugegebenermaßen ein wenig Schaumschlägerei: Auch wenn über die letzten neun Monate, die es Teams nun mittlerweile gibt, einiges neues in Sachen Konfiguration hinzugekommen ist, ist der technische Aspekt des Ausrollens und der grundlegenden, tenantweiten Governance nach wie vor sehr simpel. Die Optionen, die dem Administrator zur Verfügung stehen, den Dienst nach den Ansprüchen des Unternehmens bzw. der Organisation zu gestalten, sind logisch aufgebaut, zentral gehalten, gut dokumentiert und sogar noch verhältnismäßig ok übersetzt. Wenn man sich mit dem Funktionsumfang und den Möglichkeiten mit Teams etwas vertraut gemacht hat, sind die Stellschrauben klar und tendenziell wahrscheinlich noch dem ein oder anderen an manchen Stellen zu rudimentär.
Nichtdestotrotz gibt es aus Sicht der Compliance und Governance einige interessante Aspekte zu klären, die in den Grenzgebieten der IT-Sicherheit, Datenschutz, Verantwortlichkeiten und einen ganz großen Eimer Firmenkultur oszillieren. Wie bei allem sind Wissen und gute Planung hier hilfreich, wenn Konfiguration und Einführung anstehen. Und wie bei vielem anderen ist die Problemstellung weniger ein technisches, sondern eher eine organisatorisch-inhaltliche Herausforderung.
In einigen der nächsten Artikel werde ich sicherlich auch noch einmal auf den Aspekt der Benutzeradoption und -akzeptanz zu sprechen kommen. Dieses ist die logische Fortführung der hier geschilderten Konfiguration im Ausrollprozess von Teams.
Titelbild: Modularer Synth, Headphone Commute https://reviews.headphonecommute.com/2014/06/02/in-the-studio-with-christopher-bissonnette
2 thoughts on “Konfiguration und Governance von Microsoft Teams”
[…] Addendum am 04.09.2017: Die Konfiguration hat sich seit der Erstellung dieses Artikels um einiges verändert und erweitert. Eine aktuellere Betrachtung findet sich in diesem Beitrag. […]
Microsoft Teams und wie man damit arbeitet. Teil 1: Vorbereitungen - SharePoint Moshpit
[…] Es sieht also so aus, dass Microsoft diesen Punkt endlich mehr in den Mittelpunkt stellt. Auch wenn ich die schiere Panik, die einige Leute gerade hier in Deutschland blank in den Augen steht, manchmal etwas skeptisch sehe, ist hier ein Feld, dass es tatsächlich stark nötig hat, beackert zu werden. Die bisherigen Möglichkeiten waren da sehr übersichtlich. […]
Die Zukunft von Teams und Skype for Business - Ignite 2017 - SharePoint Moshpit