Welche Möglichkeiten zur Definition von Teams Benennungsrichtlinien bietet Microsoft 365? Soll Teams im Unternehmen eingeführt werden, muss zuvor ein Governance-Konzept erstellt werden. Dieses Konzept klärt z.B. wie die Gruppen- und Teamerstellung durchgeführt wird, welche Sicherheitsregeln gelten, ob Gastzugriffe erlaubt ist, wie die Namensgebung geregelt ist, uvm.
Die gesamten Regeln des Governance-Konzeptes sollten im besten Fall auch technisch sichergestellt werden können.
my-IAM kennenlernen
my-IAM, die Identity and Authorization Plattform für Microsoft Teams: Teams effektiv managen mit vordefinierten Templates für die Erstellung sicherer Teams, Namenskonventionen, Einbindung von Workflows und Teams-Lebenszyklen.
In diesem Artikel möchte ich mich mit den Möglichkeiten zur Umsetzung der Benennungsrichtlinien beschäftigen. Nach entsprechender Suche in der Microsoft Dokumentation kommt man auf die Beschreibung zu Microsoft 365 Gruppen Benennungsrichtlinie und wie diese Richtlinien über Azure Active Directory erzwungen werden können. Da jedes Microsoft Teams Team über eine eigene Microsoft 365 Gruppen abgebildet wird, klang dies doch erstmal nach dem richtigen Ansatz.
Also habe ich mich an meiner Testumgebung angemeldet und habe das ganze ausprobiert.
Index
Einrichtung der Teams Namenskonventionen
Wenn wir die Teams Benennungsrichtlinien definieren möchten, gehen wir zuerst in das Azure AD Verwaltungsportal. Dort wählen wir unter “Alle Dienste” den Bereich “Gruppen” aus und gehen im Menü unter Einstellungen auf den Punkt “Benennungsrichtlinie”.
Hier können wir zwei Benennungsrichtlinien Einstellungen vornehmen:
- Blockierte Wörter: Diese Wörter dürfen nicht in Gruppennamen vorkommen. Damit können wir Wörter ausschließen, die für spezielle Gruppen reserviert sind, z.B. CEO oder Administration. Diese Wörter werden über eine CSV-Datei hochgeladen.
- Benennungsrichtlinie für Gruppen: Hier können Präfix und Suffix des Gruppennamens definiert werden. Ein Präfix bzw. Suffix kann jeweils aus mehreren Teilen bestehen. Möglich sind feste Zeichenfolgen oder Werte aus Nutzerattributen des Benutzers, der das Team erstellt.
Der Gruppenname darf inklusive Präfix und Suffix maximal 53 Zeichen betragen.
Bei der Angabe der Nutzerattribute werden aktuell die Azure AD Attribute “Department”, “Company”, “StateOrProvince”, “CountryOrRegion” und “Title” unterstützt. Alle nicht unterstützten Attribute werden wie eine feste Zeichenfolge behandelt, also eins zu eins in den Gruppennamen übernommen.
Für meinen Test verwende ich erstmal nur die Benennungsrichtlinie. Da ich hier Regeln für Teams Benennung definieren möchte, soll mein Gruppenname mit dem Präfix “TEAM” beginnen. Um zu wissen, zu welcher Abteilung ein Team gehört, soll auch der Abteilungsname im Gruppennamen enthalten sein. Dazu hole ich mir im Präfix den Wert des “Department-Attribute” des Nutzers heran. Um das ganze schön lesen zu können, werden die Bestandteile mit Bindestrich getrennt, sodass ich am Schluss des Präfixes noch eine feste Zeichenfolge für “-” definierten.
Die Teams Benennungsrichtlinien hat dann dieses Format: TEAM-[Department]-[Gruppenname]
Das sind die entsprechenden Einstellungen im Verwaltungsportal:
Test: Teams mit Name Policy erstellen
Jetzt öffne ich den Teams Web-Client mit meinem Testnutzer Alex und lege ein neues Team an.
Ich wähle die Vorlage “Ein Projekt verwalten”
Da kommen gleich schon ein paar Einstellungen mit, wie 4 Kanäle und 2 Apps.
Für meinen Test soll es mal öffentlich sein, da es eine abgeschottete Test-Umgebung ist. Das ist für meine Tests einfacher.
Jetzt noch einen passenden Namen vergeben. Die Ankündigung meines letztendlichen Teams-Namen sieht ja schonmal gut aus.
Das Team wird erstellt und… fertig!
Doch halt! Irgendwas ist schiefgelaufen.
- Team Name:
Die Anwendung der Namensregel hat nicht wie erwartet funktioniert. Das Präfix ist doppelt angesetzt und am Schluss des Namens wurde ein vielsagendes “undefined” angehangen.
- Microsoft 365 Gruppe:
Die dazugehörige Microsoft 365 Gruppe sieht genauso falsch aus.
Analyse: Teams Benennungsrichtlinien doppelt angesetzt
Was ist die Ursache. Habe ich bei der Erstellung einen Eingabefehler vorgenommen?
Also erstelle ich nochmal ein Team mit der Vorlage “Ein Projekt verwalten” als öffentliches Team. Das gleiche Verhalten. Ebenso als privates Team.
Dann erstelle ich ein Team ohne Vorlage, mit der Standardeinstellung “Von Anfang an”.
Und… es funktioniert!
Die entsprechende Microsoft 365 Gruppe sieht auch richtig aus.
Also liegt es an der Vorlage!
Die erste Prüfung der Vorlageneinstellungen hat keine näheren Erkenntnisse gebracht. Es ist eine weitergehende Untersuchung notwendig. Dies soll aber Inhalt eines zukünftigen Artikels sein.
Zusammenfassung
Wir haben gelernt wie Benennungsrichtlinien in Azure AD definiert werden können und wie sie bei der Erstellung von Teams wirken.
Diese Methodik ist zwar ein guter Ansatz aber so in der Praxis nicht anwendbar.
- Es kann nur eine Regel definiert werden. Auch wenn die Regel dynamisch aufgebaut werden kann, ist das zu wenig um z.B. unterschiedliche Team-Kategorien abbilden zu können.
- Die Regel wirkt global auf alle Microsoft 365 Gruppen und davon abgeleitete Ressourcen. Ein granularer und gesteuerter Ansatz ist im praktischen Einsatz unbedingt notwendig.
- Es ist scheinbar ein Fehler bei der Verwendung von Teams-Vorlagen enthalten. Damit können bei der Verwendung von Teams-Vorlagen aktuell keine Namensrichtlinien verwendet werden.
Letzter Stand 21.4.2023
Die Wiederholung des Tests bzgl. der Benennungsrichtlinien hat ergeben, dass das doppelte Ansetzen des Präfixes von Microsoft behoben wurde. Der Team-Name wird jetzt richtig erstellt.
Grundsätzlich ist die Beschreibung der Funktion im Artikel weiterhin aktuell. Wichtig ist darauf hinzuweisen, dass man nur eine Gruppenbenennungsrichtlinie erstellen kann, die dann für alle Gruppen gilt.
Leave a Reply
<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>