AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
Unternehmen und Organisationen, die auf Microsoft Teams setzen, bilden häufig ihre Gruppen aus dem Active Directory auch in Teams ab. Dadurch lassen sich lokale Organisationen schneller und einfacher strukturieren. Denn es ist bereits über die Mitgliedschaften in Active Directory eine Struktur vorhanden, mit denen auch die Rechte in Azure AD und die Pflege von Teams einfacher möglich ist. In diesem Beitrag erfahren Sie, wie man AD-Gruppen am effektivsten in Microsoft Teams nutzt.
Index
Ausgangslage: Synchronisierte AD-Gruppen in Azure AD
Administratoren müssen bisher mit folgender Situation zurechtkommen:
Die aus dem Active Directory (AD) synchronisierten Gruppen können in Azure Active Directory (AAD) prinzipiell nicht editiert werden. Diese Gruppen sind statisch und lassen sich nur so einsetzen, wie sie aus dem AD übernommen wurden.
Azure P1 und P2 Lizenzen versprechen eine höhere Flexibilität, sind aber kostspielig und in vielen Fällen auch nicht ausreichend flexibel genug. Dazu kommt, dass Unternehmen beim Buchen von P1-Lizenzen auch Funktionen erhalten, die sie unter Umständen überhaupt nicht benötigen, die aber das Unternehmen mit bezahlen muss. Diese Mehrkosten reduzieren wiederum Budgets an anderer Stelle, die dringend notwendig sind. Hier gibt es aber anderweitige Möglichkeiten, die wir in diesem Beitrag ausführlicher behandeln.
Warum bietet es sich an, AD-Gruppen in Microsoft Teams zu verwenden?
Gut gepflegte Gruppen in Active Directory bieten sich hervorragend an, um
- die Teams-Struktur im Unternehmen abzubilden und
- auch die Berechtigungen für den Zugriff auf Dateien an verschiedenen Orten zu steuern.
Nicht umsonst sind Gruppen in AD seit Jahren ein bewährtes Mittel, um Berechtigungen über die Mitgliedschaften einfacher zu steuern. Sie lassen sich an verschiedenen Stellen nutzen, zum Beispiel für Berechtigungen in Active Directory, als Verteilergruppen in Exchange und auch für Freigaben, Drucker und andere Bereiche.
Durch die Synchronisierung der AD-Gruppen zu Azure AD stehen diese parallel in der Cloud zur Verfügung und lassen sich auch hier einsetzen, um Berechtigungen zu steuern. Über das Hinzufügen in die Gruppe erhalten die Anwender sofort die notwendigen Berechtigungen (oder verlieren sie beim Entfernen), ohne dass Administratoren weitere Änderungen vornehmen müssen. Das ist bequem, effektiv, leicht zu pflegen, gut zu dokumentieren und gleichzeitig auch sicher. Allerdings lassen sich synchronisierte Gruppen in AAD nicht mehr so einfach editieren und ändern. Das macht den Einsatz wiederum unflexibel und praxisfern.
AD-Gruppen können auch in Microsoft Teams genutzt werden, zum Beispiel um ein Team für eine AD-Gruppe zu erstellen. Hier gibt es die Möglichkeit, direkt mit den synchronisierten AD-Gruppen zu arbeiten, die Unternehmen in Azure AD aus dem lokalen AD übernommen haben. Microsoft stellt dazu verschiedene Möglichkeiten zur Verfügung. Diese haben wir bereits in verschiedenen Beiträgen behandelt haben, zum Beispiel in „Azure AD Connect und Azure AD Connect Cloud Sync„.
Welche Möglichkeiten gibt es, AD-Gruppen in Microsoft Teams zu nutzen?
Es gibt verschiedene Möglichkeiten, mit denen lokale Gruppen aus Active Directory in Azure AD zum Einsatz kommen können, zum Beispiel für die Anbindung an Teams. Diese Möglichkeiten bieten allerdings auch unterschiedliche Vorteile und Nachteile, die berücksichtigt werden wollen. Es ist wichtig, dass die Synchronisierung funktioniert und gleichzeitig auch flexibel, sowie für die Administratoren einfach zu verwalten ist.
Möglichkeit 1: Statische Gruppen aus AD direkt in Teams nutzen
Durch die Synchronisierung von Gruppen zwischen AD und Azure AD sind die AD-Gruppen auch 1:1 in Azure AD verfügbar. Es ist natürlich verlockend, diese ebenfalls in Teams so zu nutzen. Das geht zunächst auch unproblematisch. Bei der Erstellung eines neuen Teams auf Basis einer synchronisierten AD-Gruppe erhalten alle Mitglieder der Gruppe auch den gewünschten Zugriff.
Allerdings kann Teams bei Änderung der Gruppen in AD oder auch in Azure AD keine Aktualisierung durchführen. Die Mitglieder, die beim Erstellen des Teams oder der Zuweisung der Berechtigungen hinzugefügt wurden, bleiben als Benutzerkonten in der Gruppe. Es findet danach keine weitere Synchronisierung statt, die komplette Einrichtung ist statisch. Auch das Anpassen der aus dem AD synchronisierten Gruppen in AAD ist nachträglich nicht mehr möglich. Das gilt auch für die Synchronisierung zwischen Azure AD-Gruppen und Microsoft 365-Gruppen. Diese Vorgehensweise scheidet daher für die meisten Unternehmen aus, da sich dadurch keinerlei Anpassungsmöglichkeiten ergeben.
Möglichkeit 2: Dynamische Gruppen aus Azure AD P1/P2-Abo in Teams nutzen
Die zweite Möglichkeit ist die Verwendung von dynamischen Gruppen in Azure AD. Das hört sich schon vom Namen her als idealer Weg an, um auch dynamische Teams zu nutzen. Das funktioniert generell auch so wie es sich liest, hat aber einige Haken.
Zunächst ist für den Einsatz von dynamischen Gruppen ein P1/P2-Abonnement von Azure AD Premium notwendig. Dieses Abo ist nicht gerade günstig und macht nur dann Sinn, wenn auch die anderen Funktionen von Azure AD Premium P1 zum Einsatz kommen. Eine Lizenz für Azure AD Premium P1 kostet in etwa 5,40 Euro pro Benutzer und Monat, eine P2-Lizenz kostet pro Benutzer und Monat etwa 8 Euro.
Eines der Features von Azure AD Premium P1 sind dynamische Gruppen. Hier synchronisiert Azure AD nicht die kompletten Gruppen aus dem AD, sondern liest Attribute und Felder aus. Auf Basis dieser Felder erstellt Azure AD passende Gruppen, die sich auch jederzeit dynamisch pflegen lassen. Auch Microsoft Teams kann diese dynamischen Gruppen nutzen.
Die Pflege dieser Gruppen ist aber recht kompliziert und nur bei der Erstellung von korrekten Regeln funktioniert auch alles. Außerdem ist es bei der Verwendung von dynamischen Gruppen nicht mehr möglich, manuell Benutzer zu einem Team hinzuzufügen. Dies bedeutet, dass ein Team Owner beim Hinzufügen eines neuen Kollegen die IT um Hilfe bitten muss. Die statischen Gruppen in AD sind hier nicht unterstützt. Administratoren müssen neue Gruppen erstellen, Felder und Attribute pflegen und darauf achten, dass die Daten auch richtig in die Cloud synchronisiert werden.
Möglichkeit 3: Gruppenbasierte Synchronisierung mit DynamicSync
Mit dem Cloud-Dienst DynamicSync von FirstAttribute lassen sich ebenfalls dynamische Gruppen in Azure pflegen.
Dabei gibt es aber einige entscheidende Vorteile:
Zunächst ist für die Verwendung des Dienstes kein P1-Abonnement von Azure AD notwendig. Der Cloud-Dienst selbst ist wesentlich günstiger und bietet parallel mehr Funktionen und Flexibilität als die dynamischen Gruppen in Azure AD Premium P1/P2. Für den Einsatz von DynamicSync ist keine lokale Installation notwendig, der Dienst arbeitet komplett in der Cloud. Basis können hier auch statische Gruppen in Active Directory sein. Diese lassen sich mit DynamicSync effektiv in der Cloud einsetzen.
Durch die dynamische Gruppenpflege zwischen AD und Azure AD können alle Dienste in Microsoft 365 auf dynamische Gruppen setzen. Diese werden im lokalen AD gepflegt und durch Azure AD Connect in Azure AD verfügbar gemacht. DynamicSync kümmert sich anschließend um die sinnvolle Synchronisierung der Cloud-Gruppen und ihrer Mitglieder.
Die Synchronisierung der Mitgliedschaften mit DynamicSync erfolgt automatisiert und, wenn gewünscht, auch nach definierten Zeitvorgaben. Admins können ihre Gruppen problemlos weiter im lokalen AD pflegen. Mit DynamicSync lassen sich die synchronisierten AD Gruppen weiterverwenden und an verschiedenen Stellen nutzen. Zum Beispiel können Mitarbeiter mit DynamicSync regelmäßig und zeitgesteuert in Teams synchronisiert werden, sodass die Mitgliedschaften immer aktuell sind.
Einfach ausgedrückt, können Unternehmen bei der gruppenbasierten Synchronisierung mit DynamicSync ihre vorhandenen statischen Gruppen in AD dynamisch für die Gruppenmitgliedschaft in Teams nutzen. Änderungen der statischen Gruppen in AD resultiert automatisch in Änderungen der Teams-Mitgliedschaft. Das ist mit Azure AD Premium P1/P2 nicht möglich!
DynamicSync geht bei der gruppenbasierten Synchronisierung aber noch weiter: Es ist mit dem Cloud-Dienst auch möglich, verschiedene Typen von Cloud-Gruppen in andere Cloud-Gruppen zu synchronisieren. Dabei kann DynamicSync als Quelle auf bereits synchronisierte Gruppen zurückgreifen, auf Microsoft 365-Gruppen und auch auf Sicherheitsgruppen.
Möglichkeit 4: Attributbasierte dynamische Gruppen mit DynamicSync in Teams
Als weiteres nützliches Feature bietet DynamicSync die Synchronisierung attributbasierter AAD Gruppen auf Basis dynamischer Filter an. Bei diesen Gruppen sind die Gruppenmitgliedschaften über Felder und Attribute der Benutzer aufgebaut. Auf Basis der hinterlegten Auswahlkriterien kann DynamicSync dynamische Gruppen in Azure AD, im Speziellen auch Teams in Microsoft 365, regelmäßig und zeitgesteuert synchronisieren.
Generell kann DynamicSync hier genauso auf die Attribute und Felder in Active Directory zugreifen, wie die dynamischen Gruppen in Azure AD Premium P1. Nur ist der Zugriff einfacher zu pflegen, günstiger und bietet wesentlich mehr Einstellungsmöglichkeiten. Erstellen Admins auf Basis der dynamischen Gruppen neue Teams, können beim Einsatz von DynamicSync auch noch manuell Mitglieder vom Team Owner hinzugefügt werden. Das geht bei dynamischen Gruppen in Azure AD Premium P1 nicht.
Fazit
DynamicSync bietet eine gruppenbasierte Synchronisierung verschiedener Quell- und Zielgruppen in der Cloud an. Gleichzeitig kann der Cloud-Dienst attributbasiert Mitglieder herausfiltern und für dynamische Gruppen nutzen. Beide Funktionen lassen sich bei DynamicSync miteinander kombinieren. Beim Einsatz von Azure AD P1/P2 gibt es diese Möglichkeiten nicht. Hier bleiben die Admins auf die dynamischen Gruppen begrenzt, die dabei auch weniger flexibel sind, als die Möglichkeiten, die DynamicSync bietet.
Tabelle: Vergleich Azure AD P1/P2 und DynamicSync
In der folgenden Tabelle haben wir für Sie die wichtigsten Unterschiede zwischen Azure P1/P2 und DynamicSync zusammengefasst.
| Möglichkeiten | Vorteile | Nachteile | |
| 1 | Statische Gruppen aus AD direkt in Teams nutzen | Gruppe ist 1:1 verfügbar; kann sofort als M365 Gruppe für Teams verwendet werden | Statisches Team; keine Aktualisierung möglich; keine weitere Synchronisierung |
| 2 | Dynamische Gruppen aus AAD P1/P2-Abo in Teams | Azure AD liest Attribute/Felder aus AD Gruppen und erstellt Gruppen (Teams); dynamische Pflege und Updates möglich | AAD P1/P2 Abonnement nötig (= hohe Kosten); keine direkte Gruppensynchronisierung; Pflege der Gruppen zeitaufwendig; Team Owner können keine Mitglieder mehr in Teams hinzufügen (nur noch IT) |
| 3 | Gruppenbasierte Synchronisierung mit DynamicSync | Synchronisierung von Cloud-Gruppen in andere Cloud-Gruppen möglich; individuelle Zeitsteuerung; stets aktuelle Gruppenmitgliedschaften; Änderungen der AD Gruppen werden automatisch in Teams-Mitgliedschaften synchronisiert; kein AAD P1/P2 Abonnement nötig (= wesentlich günstiger) | Nicht mit Microsoft Bordmitteln umsetzbar |
| 4 | Attributbasierte dynamische Gruppen mit DynamicSync in Teams | DynamicSync filtert Mitglieder, die ein bestimmtes Attribut teilen, und synchronisiert sie in eine AAD Gruppe (z. Bsp. M365-Gruppe/Team); Team Owner können weiterhin Mitglieder hinzufügen; individuelle Zeitsteuerung; Include- und Exclude-Listen; kein AAD P1/P2 Abonnement nötig (= wesentlich günstiger) | Nicht mit Microsoft Bordmitteln umsetzbar |
Unterstützung benötigt?
Gerne stellen wir Ihnen unsere Leistungen und Lösungen in einem persönlichen Gespräch vor und würden uns über Ihre Kontaktaufnahme sehr freuen!
Leave a Reply
<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>