Dies ist der erste Teil unserer Blogreihe zum Thema Private Kanäle in Microsoft Teams. Sie wollen darüber informiert werden, wenn der nächste Teil verfügbar ist? Dann abonnieren Sie jetzt unseren Blog!
Mit Teams hat Microsoft die Zusammenarbeit auf das nächste Level gehoben. Nie war es einfacher, mit verschiedenen Menschen an einem gemeinsamen Projekt zu arbeiten, sich einfach nur auszutauschen oder auch Prozesse zu optimieren und automatisieren.
Dennoch konnten nicht alle Geschäftsszenarien mit Blick auf Datensicherheit und einfache Verwaltung in der Standard-Version realisiert werden. Der Ruf nach privaten Bereichen innerhalb eines Teams wurde laut und dieser Wunsch wurde nun durch Private Kanäle erfüllt. Doch nicht so schnell, vorher nochmal einen Schritt zurück. Der Wunsch nach privaten Bereichen konnte bisher folgendermaßen gelöst werden:
1. Komplett neues Team Weil mit jedem Team eine neue Office 365-Gruppe erstellt wird, müssen auch Services bereitgestellt werden, die in vielen solcher Szenarien gar nicht gebraucht werden und die Nutzer damit nur verwirren. Zur Erinnerung… Bei Office 365-Gruppen handelt es sich um den anwendungsübergreifenden Mitgliedschaftsdienst in Office 365. Grundsätzlich ist eine Office 365-Gruppe ein Objekt in Azure Active Directory mit einer Liste von Mitgliedern und einer losen Kopplung zu verwandten Workloads. Dazu zählen eine SharePoint Site Collection, eine Yammer-Gruppe, ein gemeinsames Exchange-Postfach und -kalender, Planner, Power BI und OneNote.https://docs.microsoft.com/de-de/microsoftteams/office-365-groups
Für die meisten Anwendungsszenarien wird dies überdimensioniert sein.
2. Privater Chat Mit dem privaten Chat erspart man sich all die Workloads, die mit einer Office 365-Gruppe einhergehen. Geteilte Dateien sind im OneDrive des jeweiligen Senders des Chats gespeichert. Nützliche Teams-Funktionen, wie Registerkarten, Apps oder einen übersichtlichen Gesprächsfaden (Thread) gibt es nicht. Es handelt sich also nicht um ein gleichwertiges Äquivalent zum Privaten Kanal und ist daher auch für viele Anwendungsfälle unterdimensioniert.
Das Problem beider Alternativen ist zudem, dass die Kollaboration in komplett abgegrenzten Bereichen stattfindet. Dies ist schwieriger zu administrieren und erschwert dem Nutzer die Suche nach Informationen.
In diesem Leitfaden soll daher nicht nur die technische Umsetzung Privater Kanäle behandelt werden, sondern auch die Vorteile, Best Practices und sinnvolle Einsatzszenarien. Das Verständnis sowie die Orientierung vorgestellter Ansätze helfen dabei, Microsoft Teams und Private Kanäle optimal einzusetzen und damit bestmöglich Ihre Geschäftsprozesse abzubilden.
Private Kanäle: Allgemeines
Struktur eines Microsoft-Teams (vor Privaten Kanälen) Seit Microsoft Teams Ende 2016 als “Vorschau” eingeführt wurde, hat sich die zugrunde liegende Struktur und das Sicherheitsmodell von Teams nicht geändert. Sowohl die Informationsarchitektur als auch das Mitgliedschaftsmodell waren einfach und leicht zu verstehen.
Zuerst gab es die “Mitgliedschaft”; zwei einfache Rollen von “Besitzer” und “Mitglied”, die es Ihnen ermöglichten, die “Gruppe” von Personen zu definieren, die zusammenarbeiten sollen. Im Hintergrund wurde tatsächlich eine Office 365-Gruppe generiert, damit ein Microsoft-Teams erstellt werden konnte.
In Microsoft Teams ist das Team selbst die “Sicherheitsgrenze”. Dies bedeutet, dass alles, was irgendwo im Team und über einen Teams Channel erstellt oder geteilt wurde, für jedes Teammitglied sichtbar und zugänglich war.
Ziel von Kanälen Nur weil Sie alles sehen können, was im gesamten Team geteilt oder bearbeitet wird, brauchen oder wollen Sie sich vielleicht nicht von allen Aktivitäten und Neuigkeiten ablenken lassen (oder sich zumindest nicht sofort darum kümmern).
Kanäle boten eine Möglichkeit, die gesamte Zusammenarbeit innerhalb des Teams in “Aufmerksamkeitsgruppen” zu segmentieren, denen Benutzer entsprechend der Dringlichkeit Ihre Zeit widmen konnten.
2019 hat AvePoint mehrere „Microsoft Teams Adoption Workshops“ durchgeführt, hier haben wir durch die Segmentierung der Kanäle in “Logistik”, “Materialien” und “Spaß” Nutzern beispielsweise die Möglichkeit gegeben sofortige Benachrichtigungen für die Bereiche (Kanäle) zu abonnieren, die für uns wesentlich waren. Dadurch wurden wir nicht durch andere weniger relevante Kommunikationen über Fotos und Spaß-Beiträge abgelenkt.
Im Gegensatz zu meinem E-Mail-Posteingang, der mich über jede neue Nachricht informiert, bedeutet dieses Teams-Modell, dass ich nur Benachrichtigungen erhalte, die ich ausdrücklich als relevant bezeichnet habe.
Darüber hinaus dienen Kanäle auch dem organisatorischen Zweck, Unterhaltungen und Dateien zu bestimmten Themen zu separieren. Auf diese Weise können Benutzer schnell das finden, was sie benötigen. Beispielsweise werden alle Abbildungen, die in den Kanal “Spaß” hochgeladen werden, von Teams in einem kanalspezifischen Ordner in der SharePoint-Dokumentbibliothek gut organisiert.
Ziel von Privaten Kanälen Standard-Kanäle funktionieren perfekt für das oben vorgestellte Workshop Szenario. In der Realität gibt es aber noch weitere Anforderungen, in der nicht alle Inhalte und Kommunikationen für alle Mitglieder eines Teams geeignet sind. Bevor wir in Kapitel 4 verschiedene Anwendungsfälle genauer beschreiben, soll hier nur grundlegend der Bedarf für Private Kanäle am Beispiel des Workshops erkundet werden.
Während die Struktur eines Teams sehr gut für die Organisation, Durchführung und Verwaltung eines Workshops geeignet ist, sind nicht alle Inhalte relevant und geeignet für den gesamten Personenkreis des Teams. Interne Abstimmungen zur Planung sowie eine Nachbearbeitung des Workshops sind Informationen, die man (noch) nicht mit den Teilnehmern teilen möchte. Manch ein Austausch über den ein oder anderen Teilnehmer – natürlich nur im positiven Sinne – soll vermutlich auch privat bleiben.
Ein extra Team (mit eigener Office 365-Gruppe und daher auch eigener SP-Site Collection) oder ein Gruppenchat (Dateien werden im OneDrive des Senders gespeichert) sind grundsätzlich mögliche Workarounds. Allerdings wird damit das eigentliche Kollaborations-Objekt verlassen und es werden zwei verschiedene Orte mit Informationen geschaffen, welche sich jedoch eigentlich um ein und denselben Workshop drehen.
Wenn dies nun alles im Kontext eines Teams geschehen kann, so ist der Verwaltungsaufwand geringer, weil keine „Extra-Teams“ dafür erstellt werden müssen. Auf der anderen Seite geben Private Kanäle die Sicherheit, die bestimmte Geschäftsszenarien erfordern.
Technische Umsetzung
Architektur Wir wissen, dass ein Microsoft Team mit einer Office 365 Gruppe verbunden ist und diese einen sogenannten „Membership-Service“ nutzt. Das heißt, jedes Team hat nicht nur eine eigene Mailbox, Kalender, Planner usw., sondern auch eine SharePoint Online Site Collection. So werden “Standard”-Kanäle eines Teams mit einem entsprechenden Ordner im Stammverzeichnis der Dokumentbibliothek dieser Website (z. B. Ordner “Allgemein”) abgebildet.
Die Architektur für private Kanäle ist anders. Für jeden privaten Kanal, der in Teams erstellt wird, wird eine komplett eigene SharePoint Site Collection erstellt. Dateien, die im Privaten Kanal gespeichert sind, befinden sich in der Dokumentbibliothek dieser Site Collection.
Die Site Collections privater Kanäle basieren auf einer eigenen Vorlage („teamchannel#0“). Im Prinzip soll dies nur die Dokumentenbibliothek sein, ohne eigene Home-Seite. Während in dieser Vorlage auch keine weiteren Seiten (Pages) hinzugefügt werden können, so können aber zusätzliche Dokumentenbibliotheken und Listen erstellt werden. Site Collections Privater Kanäle besitzen auch eine eigene Kennzeichnung in ihrer Eigenschaftsliste („Property Bag“).
Auch die URL dieser Site Collection folgt dem Schema „https://tenantname.sharepoint.com/…/Team-Name_Kanal-Name“. So kann die Informationsarchitektur von Teams zu seinen privaten Kanälen möglichst transparent dargestellt werden. Es wäre hilfreich, dem Endbenutzer in der Site Collection des Privaten Kanals auch eine Art Navigation zur „übergeordneten“ Teams Site Collection anzubieten. Zum jetzigen Zeitpunkt kann sich der Nutzer jedoch nur anhand der URL orientieren.
Weitere Limitationen für Private Kanäle sind folgende:
30 Private Kanäle pro Team (wird sich später auf 200 erhöhen)
250 Mitglieder pro PrivatenKanal
Der Lebenszyklus einer Site Collection für einen Privaten Kanal wird automatisch mit Teams verwaltet. Das bedeutet, wenn ein Privater Kanal entfernt wird, so wird auch die entsprechende Site Collection nach Ablauf der 60-tägigen Aufbewahrungsfrist gelöscht. Wenn das Team gelöscht wird, werden alle privaten Kanalwebsites gelöscht. Wird ein Privater Kanal (innerhalb der Aufbewahrungsfrist) wiederhergestellt, wird auch die ihm zugeordnete Site Collection wiederhergestellt.
Weil Site Collections Privater Kanäle ihrer darüberliegenden Office 365-Gruppe “zugeordnet” sind, erben Sie die Klassifikation der Elternseite. Aus Sicherheits- und Vertraulichkeitsgründen – wie der Name „Private Kanäle“ schon sagt – sind weitere Einstellungen, Konfigurationen und Richtlinien nicht synchronisiert, sondern mit Standardwerten belegt, basierend auf den Tenant-Einstellungen. Diese können unabhängig von ihren Elternseiten von den Besitzern Privater Kanäle konfiguriert werden.
Eine weitere Besonderheit finden wir in den Konversationen, dem Herzen von Microsoft Teams. Konversationen aus einem Standard-Kanal werden in einem versteckten Ordner in der dazugehörigen Office 365-Gruppen-Mailbox gespeichert. Weil Private Kanäle eine besondere Sicherheit und Abgrenzung benötigen, können die Konversationen darin nicht einfach in der gleichen Mailbox gespeichert werden. Man verfolgt daher den gleichen Ansatz wie bei 1:1 bzw. 1:many Chats. Das bedeutet, dass eine Kopie der Konversationen eines Privaten Kanals in alle privaten Mailboxen der Mitglieder dieses Privaten Kanals repliziert wird. Auf diese Weise können die Sicherheitsanforderungen Privater Kanäle hinsichtlich „Security Trimming“ bei der Teams Suche, als auch für eDiscovery und Compliance Funktionen sichergestellt werden.
Apps und Funktionen Private Kanäle sollen die gleiche Funktionalität genießen können, wie „Standard“-Kanäle. Im ersten Release werden dafür verschiedene Konnektoren und Tabs unterstützt und deren Liste wird regelmäßig erweitert.
Auch Planner, Bots und die Nachrichtenerweiterungen (Message Extensions) werden in Zukunft unterstützt werden.
Berechtigungen und Sicherheit Wenn die Funktionen zum Erstellen von Microsoft Teams UND Erstellung Privater Kanäle im Tenant aktiviert sind, kann grundsätzlich jedes Team-Mitglied einen „eigenen“ Privaten Kanal erstellen. Diese Funktion kann aber auch pro Team so konfiguriert werden, sodass nur noch Team-Besitzer, aber nicht mehr Team-Mitglieder Private Kanäle erstellen können. Dies legt die Kontrolle über dieses Feature in die Hände einzelner Personen. Wünschenswert wäre eine zentrale granulare Steuerung und Überwachung, die jedoch aktuell nur via PowerShell Scripte möglich ist.
Um Mitglied eines Privaten Kanals zu werden – das inkludiert auch Tenant-Gäste – muss der Nutzer auch mindestens Mitglied des dazugehörigen Teams sein. Natürlich ist es empfohlen, Mitglieder eines Privaten Kanals über Microsoft Teams zu verwalten. Dafür wird es sogar ein eigenes „People Panel“ geben. Darin können Nutzer verwaltet werden und in die Besitzer- oder Mitglieder-Gruppe des Privaten Kanals hinzugefügt oder daraus entfernt werden. Auch eine Besucher-Gruppe mit nur Lesezugriff kann genutzt werden. Ein direktes Hinzufügen in die Berechtigungsgruppen der Site Collection des Privaten Kanals ist nicht möglich. Ein Timer-Service löscht solche Rechtezuweisungen wieder. Allerdings ist es möglich, auf der Site Collection Ebene eigene Berechtigungsgruppen zu erstellen und zu verwenden.
Nur Mitglieder eines Privaten Kanals können auch Inhalte dieses Kanals sehen. Das bedeutet, selbst ein Team-Besitzer, wenn nicht dem Privaten Kanals hinzugefügt, kann diese Inhalte nicht sehen. Das ist wichtig für den Sicherheitsaspekt, kann aber schwierig bei der Verwaltung der Kanäle werden und sollte für Governance-Richtlinien berücksichtigt werden (siehe unten). Team-Besitzer können aber zumindest sehen, ob und welche (Name und Beschreibung) Privaten Kanäle in ihrem Team existieren. Auch die letzte Aktivität ist ersichtlich, um möglicherweise inaktive Kanäle erkennen und löschen zu können.
Sollte es einmal dazu kommen, dass ein Privater Kanal keinen Besitzer mehr hat, z.B. weil der Nutzer aus dem gesamten Team entfernt wurde, so wird automatisch ein Nutzer der Mitgliedergruppe „befördert“ und zum Besitzer gemacht. Dadurch wird sichergestellt, dass stets ein Ansprechpartner des Privaten Kanals zu finden ist, der auch für selbigen verantwortlich ist.
Folgende Aktionen und Zuständigkeiten sind verfügbar:
Robert Mulsow is VP of TSP EMEA at AvePoint, and a Microsoft P-TSP. Together with his previous experience at Microsoft, he specializes in SharePoint infrastructure and peripheral technologies SQL, Windows Server and Active Directory. As a Microsoft MVP and Certified Trainer for Office servers and services, he brings extensive experience in the field of consulting, implementation and troubleshooting.