Microsoft Teams und Group Governance – Teil 1 Werkzeuge

An diesem Wochenende habe ich mich mehr mit Governance in Groups beschäftigt, da wir eine gute und schöne Diskussion auf dem SPS Lissabon zum Thema Groups, Teams und Yammer Governance, Labeling und Klassification hatten. Hier möchte ich einfach mal anschließen und in einem ersten Blogbeitrag nur einen Überblick bilden. In den nächsten Blogposts gehen wir die einzelnen Punkte einmal durch. 

Basis

Zunächst möchte ich euch erstmal wieder auf den Stand bringen. Microsoft Teams besteht aus Elementen der Office 365 Kernwerkzeuge: SharePoint Online, Exchange Online, Azure, Azure AD, Skype for Business und kann durch eigene Apps oder 3rd Party Applikationen erweitert werden. Dazu kommt auch die Möglichkeiten der Telefonie intern und extern über das Mobilfunk/Festnetz, wie auch Konferenzen mit Einwahlnummern. 

Zusammengefasst handelt es sich bei Team um ein komplexes System verschiedener Dienste und diese Komplexität wird gehoben durch Microsoft eigene Erweiterungen wie Cognitive Services und vorallem durch die 3rd Party Applikationen. Gerade für deren Überwachung und Kontrolle muss Aufwand betrieben werden. 

 

Anforderungen (Auszug)

Ein Einsatz von Microsoft Teams unterliegt mehreren Anforderungen, die klassischen Anforderungen zähle ich euch einmal auf: 

  • gesetzliche Anforderungen (von Datenschutz über Steuerrecht bis Zivilrecht)
  • interne Anforderungen (z.B. Betriebsvereinbarung bis Code of Conduct oder auch Terms of Use)
  • Anforderungen aus Verträgen mit Partnern und Kunden
  • Guidelines der Verbände
  • Guidelines abgewandelt vom BSI und europäischen Behörden
  • Urteile, Beschlüsse 

 

Werkzeuge

In einem ersten Schritt liste ich euch einmal die Werkzeuge auf, die Ihr nutzen solltet. Dies ist aber nur ein Auszug, da es einen Blogbeitrag überschreiben würde und ich euch erstmal einen Überblick geben möchte. 

  • vertragliche Grundlagen zum Einsatz von Microsoft Teams 
    • mit Microsoft
    • mit dem CSP oder EA Partner
    • mit den Mitarbeitern
    • mit den Externen (z.B. Terms of Use, 
    • mit Support-Partnern
  • Allgemeine Konfiguration
    • Einschränken von Office 365 Group Erstellung
    • Nameskonvention festlegen
    • Azure AD -> Terms of Use
    • MFA für Owner und Admins
    • Schulungen für MitarbeiterInnen und Externe
    • Update und Rollout Management
    • Microsoft Teams Lifecycle definieren und konfigurieren 
    • Telemetry abschalten/ anpassen/ man in the Middle einrichten
    • Firewall und Gateway anpassen
    • Azure AD Connect anpassen
    • IP Adressen prüfen/ ggf. Netze neu binden
    • ggf. mit Netzbetreiber sprechen, Bandbreite erhöhen, Akamai kontaktieren 
    • mobile Apps konfigurieren und einrichten als Business-Apps
    • Teams Experation Policy (optional)
    • Gast Zugang definieren / Optimal an Labels hängen und nicht pro Team
    • Teams Klassifikation & Standard-Label festlegen
    • Terms of Use für Mitglieder und Gäste hinterlegen
    • Adminrollen definieren (Azure, Teams Admin Center, M365 Admin Center, Security & Compliance Center)
    • Teams in GAL anzeigen (wenn gewollt) “Set-UnifiedGroup -Id Group -HiddenFromAddressListsEnabled $True”
  • Prozesse definieren/anpassen -> Lifecycle 
    • internal User
    • external User
    • data
    • DSGVO (z.B. Dataportabilität)
  • Konzepte erweitern
    • Data Governance
    • Datenschutz
    • Data Security
    • Notfallkonzept
    • Backupkonzept
    • Support-Konzept
    • Archivierungskonzept
    • Rolloutkonzept
    • Adoption und Messung
    • Schatten-IT
    • MDM Konzept
    • MAM Konzept
    • Berechtigungskonzept
    • Update (Inhaltlich) -> Produktowner bestimmen
    • Test-User Konzept (ggf. TAP Programm) 
    • ggf. PIA durchführen (Art 35/36 DSGVO)
  • Kontrolle 3rd Party
    • Subcontractors prüfen
    • MS und 3rd Party Apps alle einzeln prüfen nach Datenschutz und Datensicherheit/ ggf. Store abschalten oder anpassen
  • interne Werkzeuge zur Kontrolle
    • Berichte, Reports im Admin Center und im Security und Compliance Center
    • Content Pack mit PowerBi
    • MDM und MAM Management (Intune, Airwatch, MobileIron)
  • interne Werkzeuge zur Durchsetzung von Datenschutz und Datensicherheit
    • Teams Admin Center
      • Owner muss feststehen
      • Beschreibung muss stehen
      • inaktive Teams finden
      • 3rd Party Apps pro Team identifizieren (neu Admin Center, früher Auditlogs)
    • Auditlog
    • DSGVO Dashboard
    • eDisvovery
    • MCAS
    • Retention Policys (E5 // Retention Policy & EXO Archive (E3)
    • DLP 
    • Azure Information Protection/ Microsoft Information Protection

Ich habe euch hier einmal die Standard-Werkzeuge und Punkte aufgelistet, aber auch hier gibt es noch einige weitere Punkte, die ihr entweder schon bei der Einführung von Office 365 oder eben nun mit der Einführung von Office 365 Groups, bzw. Team benötigt. In der Entwicklung durch den Bedarf getrieben, veröffentlicht Microsoft auch immer mehr Werkzeuge, die ihr einsetzen könnt. Damit ist die oben genannte Liste nur eine Orientierung und keine abschließende Checkliste. Der Aufwand ist groß, wenn ihr nicht die Voraussetzungen schon vorher geschaffen habt und für Microsoft Teams nicht nur Erweiterungen definieren müsste. 

Der Aufwand liegt meiner Ansicht und Erfahrung bei 3-6 Monaten für die Vorbereitungen des Einsatzes und in der Nutzung je nach Lizenzmodell mit einem Personaleinsatz von mindestens 1-2 FTEs als Hauptkraft und dahinter Security Office, Datenschutz, Betriebsrat, Influcener und natürlich der interne Support. Wenn Microsoft Teams in Zukunft die Hauptapplikation wird, muss man wie zuvor Schwerpunkte bilden und die Kernwerkzeuge an FTEs Stellen abgeben, Calling 1 FTE und ein Background Team aufbauen. 

Best practise bei den Mitarbeiterstellen rein für Teams: 

  • 10-50 FTEs = 1/2 bis 1 FTE
  • 100-1000 = 1 bis 2 FTE
  • 1000-10000 = 5 bis 8 FTEs
  • 10.000 – 60.000 = 15 FTEs
  • 60k bis 100k = 20 FTEs