Credo che un po’ a tutti sia capitato, confrontandosi con i propri clienti o per semplice curiosità, di affrontare il tema della Governance di Teams.
Come posso definire chi può creare un Team all’interno della mia organizzazione?
Come posso evitare la proliferazione di Teams aventi nomi molto o per nulla fantasiosi (test01, test 02, etc.) e comunque non conformi alle naming convention dell’organizzazione?
Come posso restringere l’accesso di utenti non facenti parte dell’organizzazione (guest) a determinati gruppi di lavoro in Teams?
Come posso classificare, sulla base dei contenuti che verranno condivisi, l’intero Team?
Per queste domande cerchiamo di fornire alcune indicazioni sugli strumenti che Microsoft Teams mette nativamente a disposizione a chi amministra o è deputato al governo di questa soluzione; parliamo quindi di Teams Governance!
Creazione di gruppi e team
Per quanto riguarda la possibilità di creare Team, l’approccio consigliato è quello di non privare gli utenti di questa importante funzionalità di collaborazione ma, piuttosto, quello di andare ad implementare opportune politiche di retention/expiration, di limitazione dell’accesso di determinate utenze come quelle guest oltre all’implementazione di una precisa naming convention.
Se proprio si vuole limitare solo a specifici utenti la possibilità di creare nuovi Team si dovrà, in realtà, andare a gestire specificamente chi può creare Microsoft 365 Groups . Questa operazione però ha impatti ben più ampi rispetto all’ impedire solamente la creazione di nuovi gruppi di lavoro all’ interno di Microsoft Teams.
Quando si limitano gli utenti autorizzati a creare un gruppo, questo influisce su tutti i servizi che si basano sui gruppi di Microsoft 365 per l’accesso, tra cui, solo per citarne alcuni, Outlook, SharePoint, Yammer, Microsoft Stream, Planner oltre a Microsoft Teams.
Configurazione di una Naming convention in Microsoft Teams
Questa possibilità viene fornita sia attraverso Azure AD Powershell che attraverso il portale di Azure AD Admin Center. Volendo utilizzare la seconda opzione quello che dovrò fare è collegarmi al portale con un utente che abbia privilegi di Group Administrator e da qui selezionare le impostazioni relative ai Criteri di denominazione
Oltre a bloccare determinate parole è possibile impostare prefissi e suffissi che contribuiranno in modo automatico alla creazione del nome del Gruppo M365 (ivi compreso quello di Microsoft Teams)
Bloccare l’accesso degli utenti guest
Questo obiettivo può essere raggiunto in due modi. Utilizzando le Sensitivity Label oppure andando a lavorare sui Settings Template di Azure AD. La prima opzione, soprattutto se già vengono utilizzate le Sensitivity Label per la protezione dell’informazione all’interno dell’organizzazione, è quella preferenziale e sarà oggetto di uno dei prossimi post.
Volendo invece utilizzare i Settings Template di Azure AD, quello che posso fare è utilizzare, come descritto in questo articolo , la Azure Active Directory PowerShell for Graph e il seguente script:
$GroupName = “<GroupName>”
Connect-AzureAD
$template = Get-AzureADDirectorySettingTemplate | ? {$_.displayname -eq “group.unified.guest”}
$settingsCopy = $template.CreateDirectorySetting()
$settingsCopy[“AllowToAddGuests”]=$False
$groupID= (Get-AzureADGroup -SearchString $GroupName).ObjectId
New-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -DirectorySetting $settingsCopy
Politiche di expiration dei gruppi Teams
L’ incremento di gruppi M365 e Teams rende necessario l’utilizzo di strumenti per eliminare quegli elementi ormai inutilizzati. Una Expiration Policy applicata a questi oggetti permette la rimozione di quei gruppi ormai inattivi e inutilizzati.
La scadenza viene impostata dal portale di Azure AD a livello di gruppi (un po’ come già visto per le Naming Conventions)
È importante notare che questa scadenza si applica ai gruppi inattivi, a partire dalla creazione o dall’ultimo rinnovo, che verranno di conseguenza messi in uno stato di soft-deletion in modo da poter essere recuperabili entro 30 giorni. Si noti inoltre che le seguenti azioni mantengono attivi i gruppi:
- SharePoint: visualizzare, modificare, scaricare, spostare, condividere o caricare file. La visualizzazione di un SharePoint non viene conteggiato come azione per il rinnovo automatico.
- Outlook – Partecipare al gruppo, leggere o scrivere un messaggio di gruppo dal gruppo e come un messaggio (Outlook sul web).
- Teams: visitare un canale di teams
In questo primo post abbiamo voluto fornire una panoramica di come e cosa possiamo governare quando parliamo di Teams Governance. Alcuni di questi concetti verranno ulteriormente approfonditi in post futuri perciò Stay Tuned!