Private Kanäle in Microsoft Teams – F&A zum Webinar

Sie möchten mehr über Private Kanäle in Microsoft Teams erfahren? Sehen Sie sich hier unser kostenloses Webinar On-Demand an! 

---

Keine andere Funktion wurde in Microsoft Teams so sehnlichst gewünscht, wie Private Kanäle. Dies bestätigen die mit Abstand meisten Stimmen für ein Feature in der Microsoft User Voice. 

Eines vorweg: Dass Microsoft diese Funktion nun implementiert hat, zeigt, wie sehr der Konzern auf die Wünsche seiner Nutzer und Kunden reagiert. Eine absolut lobenswerte Einstellung, die auch demonstriert, wie sehr sich der Konzern gewandelt hat. 

Aber kaum wurden die Privaten Kanäle im Frühjahr 2019 angekündigt, so stellten sich Firmen im Office 365–Umfeld nur noch eine Frage: Sind wir FÜR oder GEGEN Private Kanäle in Microsoft Teams? Diese Frage spaltet Abteilungen bis heute. Nicht nur wurde die Diskussion teilweise sehr emotional geführt. Man musste Stellung beziehen. Denn zwischen den beiden Lagern konnte man nicht sitzen bleiben. 

Genau aus diesem Grund haben wir – Luise Fresse, Office Apps & Services MVP und ich, Robert Mulsow, gleiche MVP–Kategorie und VP für den Pre-Sales in EMEA bei AvePoint, ein Webinar gehalten. Wir wollten mit Mythen aufräumen, Vor- und Nachteile aufzeigen sowie sinnvolle Anwendungsszenarien vorstellen. Aber vor allem, wollten wir eines: All eure Fragen beantworten. Und von diesen gab es reichlich. 

Alle Fragen wollen wir hier erneut in schriftlicher Form zur Nachlese beantworten. Weiterhin könnt ihr die Präsentation herunterladen und euch die Aufzeichnung des Webinars ansehen, in dem wir noch viele weitere Themen rund um Private Kanäle in Microsoft Teams erklären. 

Private Kanäle: Architektur 

Wo werden die Konversationen gespeichert? Ich habe gelesen, dass diese in der User Mailbox gespeichert werden. Die Frage wäre, welche Mailbox? Was passiert, wenn dieser User die Firma verlässt? Wo wird gespeichert, wenn das Benutzerpostfach nicht auf Exchange Online, sondern On-Premises liegt? 

Bei Standard–Kanälen wissen wir, dass die Konversationen in einer versteckten Mailbox der zum Team gehörenden Office 365–Gruppe gespeichert werden. Wenn Private Kanäle nun eine eigene Sicherheits- bzw. Berechtigungsgrenze haben sollen, können die Konversationen also nicht in der Mailbox der Teams-Gruppe abgespeichert werden. Stattdessen werden die Unterhaltungen des Privaten Kanals in die persönlichen Mailboxen der Nutzer repliziert, die auf den Kanal berechtigt sind. Heißt auch, wenn ein Nutzer des Kanals die Firma verlässt, liegt die Konversation noch auf den Mailboxen der anderen Nutzer des Privaten Kanals. 

Im (hybriden) Exchange–Szenario oder auch bei externen Mitarbeitern, die keine eigene Exchange Online-Mailbox haben, wird die Unterhaltung in Azure in einer Cosmos-Datenbank gespeichert. 

Was mache ich, wenn meine 30 privaten Kanäle je Team voll sind und ich die Dateien sichern muss, um jemand anderen in den Kanal reinzubringen? 

Ich bin mir nicht sicher, ob ich die Frage zu 100 % verstanden habe. Ich versuche es mal… 

1. Aktuell können nur 30 Private Kanäle pro Team angelegt werden. Das ist richtig. Ich bin mir aber unsicher, welches Anwendungsszenario sich dahinter verbirgt. Ich vermute, jeder Mitarbeiter hat seinen eigenen privaten Kanal und der letzte Teil der Frage lässt mich vermuten, dass auch wirklich nur dieser eine Mitarbeiter darin berechtigt ist. Dies ist ganz klar ein OneDrive–Szenario und NICHT für Private Kanäle gedacht. In Teams und auch in Privaten Kanälen soll zusammengearbeitet werden, das ist schwer, wenn ich der einzige Teilnehmer eines Kanals bin.
2. Dateien liegen in der dahinterliegenden Site Collection des Privaten Kanals. Diese wird nur gelöscht, wenn auch der Kanal gelöscht wird (bzw. nach 30/60 Tagen Aufbewahrungszeit). Eine Änderung der Mitgliedschaft im Kanal ändert oder löscht jedoch keine Dateien.
3. Sollte im Falle eines Teams für Lieferanten jeder Lieferant einen Kanal haben und nun kommt Lieferant 31 hinzu, dann muss man die Teams aufsplitten. Zur Sicherung von Daten kann in diesem Fall entweder das AvePoint Cloud Backup verwendet werden oder – wenn man nur Dateien in ein anderes Team verschieben möchte – man kann die native Verschiebefunktion in Teams nutzen. Auch mehrere/alle Dateien des Kanals können auf einmal an den neuen Speicherort verschoben werden, 

Unsere Nutzer greifen auch von SharePoint-Seiten auf die Teams zu und erwarten alle Dateien aus Teams in der entsprechenden Site Collection. Gibt es eine Möglichkeit alle mit dem Team „verbundenen Private-Channel-Websites” automatisch auf die Website zu verlinken? Sodass die Nutzer zumindest von dort aus weiterspringen können? 

Aus Sicherheitsgründen wurden die Dateien Privater Kanäle bewusst in andere Site Collections „ausgelagert“. Nun könnte man natürlich eine Link-Liste erstellen, die auf die Site Collections der Privaten Kanäle verlinkt. Diese sollte man zusätzlich mit Berechtigungen versehen, damit unberechtigte Nutzer nicht die Links der Kanäle sehen können, auf die sie keinen Zugriff haben. Etwas kompliziert umsetzbar. Alternativ würde mir noch der Highlighted Content Web Part einfallen (hier eine kurze Konfigurationserklärung). Damit könnte man zumindest bestimmte Inhalte in einer Web Part-„Liste“ zusammenbringen – Security-Trimmed. Diese Vermischung „öffentlicher“ mit privaten Inhalten ist jedoch aus meiner Sicht nicht optimal. Wichtiger wäre Nutzer-Sensibilisierung und Trainings, damit das Konzept Privater Kanäle in Microsoft Teams und damit die erhöhte Vertraulichkeit der darin geteilten Dokumente verstanden wird. Die Erwartungshaltung, dass Nutzer beide Dokumenttypen in ein und derselben Ansicht/Site Collection sehen könnte, sollte „abtrainiert“ werden. ? 

Verständnisfrage: Mit Site Collection meint ihr die SharePoint-Bibliothek? 

Nein, es gibt wirklich eine eigene Site Collection je Privaten Kanal. Darin fokussiert die Ansicht zwar nur auf Dokumentenbibliothek, weil auch der Klick auf „Home” ein Redirect auf die Bibliothek ist, aber letztendlich kann die Site Collection wie jede andere genutzt werden. Es können jedoch keine Seiten –  „Pages” – hinzugefügt werden. Andere Bibliotheken, Listen etc. funktionieren aber schon. 

Berechtigungen 

Müssen alle Mitglieder des Privaten Kanals auch Mitglieder des Teams sein? Wie wird die „Untermenge” der Teammitglieder technisch genau verwaltet? 

Ja, nur wenn ich Mitglied des übergeordneten Teams bin, kann ich auch dem Privaten Kanals hinzugefügt werden. Im Hintergrund gleicht ein Teams–Dienstservice – etwa alle 4 Stunden – die Mitgliedschaften ab und sollte ein Nutzer direkt auf die Site Collection berechtigt worden sein, aber nicht Mitglied des Teams sein, so werden die Nutzerberechtigungen wieder gelöscht. 

 

Nutzer in der Visitor Group hinzufügen bedeutet dann, dass kein Override von Teams passiert? 

Das ist richtig, Nutzer in der Besuchergruppe sowie eigene erstellte Berechtigungslevel werden nicht überschrieben. Voraussetzung ist aber, dass die Nutzer mindestens Mitglieder auf dem dazugehörigen Team sind. 

Wenn ich im Gruppenchat das „Memo nicht bekommen“ habe, dann gilt dasselbe doch, wenn ich nicht in dem Privaten Kanal bin. 

Zur Erklärung: Wenn Dateien in einem Chat geteilt werden, dann passiert das in dem Moment mit allen Nutzern, die zu diesem Zeitpunkt Teilnehmer des Chats sind. Werden nachträglich Nutzer in den Chat – selbst inklusive der gesamten Chat-Historie – hinzugefügt, dann werden früher geteilte Dateien nicht automatisch mit den neuen Teilnehmern geteilt. Daran muss ich dann selbst denken und alles manuell nachziehen. 

Wird jedoch bei Privaten Kanälen ein Nutzer nachträglich hinzugefügt, bekommt er automatisch Zugriff auf die dahinterliegende Site Collection und damit auch Zugriff auf früher geteilte, also bis dahin hochgeladene, Dateien. 

Ich möchte ein firmeninternes Team mit einem externen Kunden nutzen. Dabei sollen die User des Kunden nur auf einen Privaten Kanal zugreifen können. Geht das so? 

Nein, das geht nicht. Die Nutzer müssen auch dem dazugehörigen Team hinzugefügt werden und können damit auch Inhalte aus Standard–Kanälen sehen. 

Auch in der Microsoft Teams User Voice habe ich dazu einen bereits relativ häufig gewählten Eintrag (Channel only members & guests) gefunden. Gebt auch eure Stimme dafür ab, wenn ihr diese Funktion benötigt. 

Können auch ganze AD-Gruppen auf Private Kanäle berechtigt werden? 

Das geht noch nicht, weil Security Groups im Moment auch nicht zu einer Office 365–Gruppe hinzugefügt werden können.  

Private Kanäle: Governance 

Können Private Kanäle im Teams Admin Portal in der Übersicht angezeigt werden oder muss ich da jeweils in die einzelnen Teams reinsehen? 

Aktuell ist das über das UI eine manuelle Klick-by-Klick Arbeit. Es ist nicht optimal, richtig. Mit den entsprechenden Powershell Cmdlets (Get-TeamChannel -MembershipType Private) oder Graph API können Skripte oder auch PowerAutomate (Microsoft Flow) dabei helfen, eine Übersicht zu erstellen. Bald wird auch AvePoint diese Report-Funktion in den eigenen Lösungen implementieren, sodass ihr dafür dann eine ständig aktualisierte Standard-Software verwenden könnt. 

Gibt es als Tenant–Administrator die Möglichkeit, das Erstellen von Privaten Kanälen nur für „Team-Besitzer” (also die Einstellung „Mitgleider können Private Kanäle erstellen” abwählen) zentral über alle Teams zu konfigurieren und durchzusetzen? 

Aktuell ist das nicht möglich. Wenn die Funktion Private Kanäle im Tenant aktiviert wurde, ist es zunächst generell für alle Teams und auch für Mitglieder möglich. Jeder Team-Besitzer, der das nicht möchte, sollte dies also anpassen. Auch hier wird AvePoint diese Governance-Anforderung bald in seinen Lösungen mit anbieten. 

Kann eure Cloud Governance–Lösung Private Kanäle für existierende Teams anlegen? 

Ja, ganz bald. Es ist für Beginn 2020 geplant.  

Administration 

Können bereits bestehende Kanäle zu Privaten Kanälen umfunktioniert werden? Oder auch anders herum? 

Wegen der komplexen Architektur im Hintergrund (eigene Sharepoint Site Collection) können Standard-Kanäle nicht in Private Kanäle und umgekehrt umgewandelt werden. 

Auch hierzu gibt es bereits passende Einträge in der User Voice: 

• Convert Private Channel to Public Channel
• Make Public Channel Private

Kann sich ein Tenant–Admin selbst zu einem Privaten Kanal als Mitglied/Besitzer hinzufügen? 

Auch wenn Tenant–Administratoren zunächst nicht die Inhalte von Privaten Kanälen einsehen können, so können sie sich aber selbst als Mitglied/Besitzer hinzufügen. Aus meiner Sicht ist das aus Governance– und Compliance–Gründen sowie zur Wahrung der Sorgfaltspflichten nötig. Wie soll ein Admin seinen Tenant verwalten, wenn er von Nutzern ausgesperrt werden kann? 

Bevor der Aufschrei losgeht: Für die ausdrücklich GANZ wenigen Nutzer mit diesen Berechtigungen sind natürlich gesonderte Verträge mit zusätzlichen Verschwiegenheitspflichten nötig. Außerdem werden in Office 365 alle Aktionen der Administratoren auditiert, sodass nachvollzogen werden kann, welche Aktionen ein Admin – eventuell gegen die Betriebsbestimmungen – unternommen hat. 

Kann auch die Site Collection–URL des Privaten Kanals geändert werden? 

Im Webinar haben wir gesagt, dass dies via PowerShell möglich ist. Theoretisch ist das auch der Fall, leider verliert der Private Kanal dann jedoch seine Verbindung zur Site Collection. Gleiches geschieht wenn man die Site Collection des Teams manuell ändert. Dies hat Toy Redmond in diesem Beitrag erläutert.

Auch wenn nach einer gewissen Zeit – wie im Kommentar zu obigem Blog Post geschrieben – die Verbindung wiederhergestellt werden konnte, so bitte ich, diese manuellen Umbenennungen mit Vorsicht zu genießen, wenn die Funktion nicht offiziell von Microsoft bestätigt wurde. Generell gilt auch, dass manche Nutzer feste URLs als Shortcuts gespeichert haben. Diese würden auch nicht mehr funktionieren. 

Ändert sich der Name der Site Collection, wenn ich den Namen des Privaten Kanals ändere? 

Ähnlich wie in der Antwort zuvor zur manuellen Änderung via PowerShell, so wird auch bei Änderung des Kanalnamens nicht die URL nachträglich angepasst. 

Was passiert bei einer Archivierung des Teams mit dem Privaten Kanal? 

Wie im Webinar gezeigt und erklärt, folgt der Private Kanal den Aufbewahrungsregeln des dazugehörigen Teams. Das bedeutet, dass nach Archivierung die Inhalte für Mitglieder auf „Read Only” gesetzt werden. Optional können auch die Inhalte der dazugehörigen Site Collection schreibgeschützt werden. Dies gilt also gleichermaßen für das Team und die Privaten Kanäle darin. 

Funktionen 

Kann der Private Kanal einen separaten Planner haben? 

Nein, das ist aktuell noch nicht möglich. Microsoft hat aber gesagt, dass es diese Möglichkeit in Zukunft geben wird. 

Sind Access Reviews auch für Private Kanäle verfügbar? 

Zur Erklärung: Wenn man nicht selbst Mitgliedlied eines Teams ist, kann man trotzdem Nutzer hinzufügen. Dies ist dann jedoch nur ein „Vorschlag“, der erst von einem Team–Besitzer genehmigt werden muss. Gleiches gilt, wenn ein Nutzer das Team selbst gefunden hat und nun die Mitgliedschaft via Teams angefragt hat. Diese beiden Prozesse werden über Access Reviews realisiert. 

Lange Rede, kurzer Sinn: Nein, diese Funktion gibt es derzeit nicht für die Mitgliedschaft in Privaten Kanälen. Aus meiner Sicht kann dies aber eine nützliche Funktion sein. Ein weiterer Grund, einmal in der Microsoft User Voice vorbei zu schauen. 

Wie sieht es bei Privaten Kanälen mit dem Feature „Cross-Channel” Postings aus? 

Wie im Webinar kurz gezeigt, man kann man die Funktion nutzen und kann in alle Kanäle posten, in denen man auch dazu berechtigt ist. 

Kann ich Aufbewahrungsrichtlinien für Private Kanäle anwenden, wenn ich die Postfächer der Mitglieder in einer Richtlinie habe? 

Nein, das ist derzeit nicht möglich. Es gibt zwar diese Funktion der Aufbewahrung für Kanal-Konversationen und Chats. Weil sich die Unterhaltungen in Privaten Kanälen davon aber unterscheiden, können die aktuellen Funktionen der Information Governance im Security– und Compliance–Center nicht darauf angewendet werden. 

Und noch etwas Off-Topic: 

Wann kommt denn das Auffinden Privater Teams? 

Diese Funktion befindet sich bereits im Rollout. Wie im Webinar gezeigt, ist diese Funktion in meinem Tenant bereits verfügbar. 

Den genauen Eintrag in der Microsoft Roadmap findet man hier.

Pro Team ist diese Option jedoch standardmäßig ausgeschaltet. Hier müsste das Häkchen somit erst gesetzt werden. 

 

Ähnlich zur Antwort beim Berechtigen der Team–Mitglieder zum Erstellen Privater Kanäle kann auch PowerShell helfen, diese Option für alle Teams zu aktivieren (Set-Team –ShowInTeamsSearchAndSuggestions $True). 

---

Sie möchten noch mehr Tipps zu Privaten Kanälen in Microsoft Teams? Dann abonnieren Sie unseren Blog!