Microsoft Teams: Berechtigungen an Benutzer und Gruppen zuweisen mittels Richtlinien

In Microsoft Teams kann der Administrator über Richt­linien bestimmen, welche Funktionen für welche Benutzer zur Ver­fügung stehen. So empfiehlt es sich etwa, Schülern im Online-Unterricht Rechte zu entziehen. Sinn­voll kann es aber auch sein, bei der Einführung von Teams erst nur einige Basis­funk­tionen frei­zuschalten.

Richtlinien lassen sich in Microsoft Teams über mehrere Wege zuweisen, darunter pro User oder pro Gruppe. Die globalen Richtlinien stellen die Grund­konfiguration dar, welche für alle Benutzer gilt. Eigene Richtlinien braucht man erst, wenn die Berechtigungen von den vor­gegebenen Ein­stellungen abweichen sollen.

Rechte für Teams und Kanäle

Die Berechtigung, neue Teams zu erstellen, hängt indes daran, ob der betreffende User neue Microsoft 365 Groups anlegen darf. Dieses Recht beschränkt sich somit nicht auf Teams und wirkt sich auf alle möglichen Anwendungen in der Microsoft-Cloud aus.

Der Besitzer eines Teams kann weitere Mitglieder zu diesem hinzufügen, während einfache Benutzer standard­mäßig darauf beschränkt sind, neue Channels zu erzeugen. Löschen können sie diese aber nicht.

Teams bietet eine große Zahl an Einstellungen, die nach Features gegliedert sind:

• Messaging
• Meeting
• App setup
• Calling
• Live events

Alleine die Besprechungs­richtlinien unterteilen sich in vier weitere Kategorien. Neben den allgemeinen Berechtigungen finden sich dort solche für das Teilen von Inhalten, die Konfiguration von Audio und Video und welche Benutzer direkten Zutritt zu Meetings erhalten.

Richtlinienpakete

Aufgrund der vielen Kombinationen, die auf Basis der zahlreichen Einstellungen möglich sind, kann die Konfiguration der Berechtigungen recht aufwändig werden. Microsoft bietet daher so genannte Policy Packs an, die ein plausibles Profil für bestimmte berufliche Rollen in ausgewählten Branchen erzeugen.

Künftig soll es für Admins möglich sein, für ihre Umgebung auch selbst passende Richtlinien­pakete zu erstellen. Die Funktion Custom Policy Packages befindet sich derzeit im Stadium einer privaten Preview. Darüber hinaus sollen weitere vorgefertigte Policy Packs hinzukommen.

Anwendungspriorität einer Richtlinie

Wie bei anderen Ressourcen, etwa bei einem Dateisystem, stellt sich immer die Frage, wie das System überlappende oder rivalisierende Berechtigungen interpretiert. Teams verfährt hier wie erwartet so, dass Richtlinien den Vorzug erhalten, wenn sie einem Benutzer direkt zugewiesen wurden.

Sie haben Priorität vor solchen Policies, die ein User als Mitglied einer Gruppe bekommt. Und diese stechen ihrerseits die Berechtigungen aus, die User über die globalen Richtlinien in der ganzen Organisation erhalten.

Sollte der Benutzer Mitglied mehrerer Gruppen sein, welche Richtlinien des gleichen Typs beinhalten, dann greift die Richtlinie mit der höchsten Gruppen­zuweisungs­rangfolge.

Verwalten von Richtlinien

Richtlinien können über das Microsoft Teams Admin Center oder via PowerShell erstellt, geändert, zugewiesen oder gelöscht werden. Die jeweiligen Operationen sind über die entsprechenden Icons auf der GUI leicht zugänglich. Die Einstellungen finden sich unter den betreffenden Features wie Besprechungen oder Sprachanrufen.

Die oben erwähnten Policy Packs verbergen sich hinter dem Menüpunkt Richtlinienpakete.

Bevorzugt man PowerShell für das Management der Richtlinien, dann stellt man zuerst eine Verbindung zum Tenant her:

Import-Module -Name MicrosoftTeams $Cred = Get-Credential $CSSession = New-CsOnlineSession -Credential $Cred Import-PSSession -Session $CSSession

Dann kann man mit folgendem Cmdlet die globalen Einstellungen auslesen:

Get-CsTeamsMessagingPolicy -Identity Global

Die globale Richtlinie kann dann bei Bedarf mit

Set-CsTeamsMessagingPolicy -Identity Global

und dem Parameter für die betreffende Einstellung angepasst werden.

Zuweisen einer Richtlinie zu einem Benutzer

Eine Richtlinie kann einem Benutzer im Teams Admin Center zugeteilt werden, indem man auf der Registerkarte Richtlinien den Befehl Bearbeiten für die zugewiesenen Richtlinien ausführt.

Alternativ kann man auch hier zu PowerShell greifen:

Grant-CsTeamsMeetingPolicy -Identity <UPN des Users> -PolicyName <Name der Richtlinie>

Zuweisen einer Richtlinie zu einer Gruppe

Die Gruppen­zuweisung erfolgt anders als beim Benutzer direkt im Richtlinienfenster.

Wichtig hierbei ist der so genannte Rang. Dieser bestimmt, wie bereits weiter oben erwähnt, die Priorität der Richtlinie, falls ein Benutzer Mitglied in mehreren Gruppen ist und auf diese Weise rivalisierende Richtlinien die gleichen Einstellungen konfigurieren.

In PowerShell weist man einer Gruppe Richtlinien mit folgendem Cmdlet zu:

New-CsGroupPolicyAssignment -GroupId <ID der jeweiligen Gruppe> `
-PolicyType <Typ der Richtlinie, etwa TeamsMeetingPolicy > `
-PolicyName <Name der Richtlinie> -Rank 1

Zugewiesene Policies anzeigen

Wenn man sich einen Überblick über die Richtlinien verschaffen möchte, die bestimmten Gruppen zugewiesen wurden, dann hilft das PowerShell Cmdlet Get-CsGroupPolicyAssignment weiter.

Get-CsGroupPolicyAssignment -GroupId <ID der Gruppe>

Umgekehrt kann man damit auch herausfinden, welche Gruppen eine bestimmte Richtlinie erhalten haben:

Get-CsGroupPolicyAssignment -PolicyType <Typ der Richtlinie>

Als Wert für PolicyType sind aktuell folgende Werte zulässig:

CallingLineIdentity	ExternalAccessPolicy	OnlineVoice­RoutingPolicy	TeamsApp­SetupPolicy
TeamsApp­PermissionPolicy	TeamsCallingPolicy	TeamsCallPark­Policy	TeamsChannels­Policy
TeamsEducation­AssignmentsAppPolicy	TeamsEmergency­CallingPolicy	TeamsMeeting­BroadcastPolicy	TeamsEmergency­Call­RoutingPolicy
TeamsMeetingPolicy	TeamsMessaging­Policy	TeamsUpdate­ManagementPolicy	TeamsUpgrade­Policy
TeamsVertical­PackagePolicy	TeamsVideoInterop­ServicePolicy	TenantDialPlan