Deel 1 – Minimaal noodzakelijk
In deze eerste blog in een reeks over Microsoft Teams en zijn bewegende delen & governance, gaan we van start met een overzicht van de bewegende delen, wat minimaal noodzakelijk is om met Teams aan de slag te gaan, de governance (hoe inrichten / welke vragen je je moet stellen), en aanbevelingen vanuit onze professionele ervaring.
The WHAT
Microsoft Teams is een krachtige samenwerkingshub die de gebruikers heel wat functionaliteit biedt om optimaal te collaboreren, zowel binnen je organisatie als met externe partijen.
The WHY
We merken bij onze klanten dat het niet altijd even duidelijk is wat er allemaal speelt om een veilige en beheersbare Teams omgeving op te zetten.
Daar willen we met deze blog reeks graag aan beantwoorden door de inzichten te verschaffen, die je helpen om de Teams governance ‘on-point’ te krijgen.
The HOW
Omdat Microsoft Teams bestaat uit heel wat delen – M365 componenten – is het belangrijk om deze componenten te identificeren en hun onderlinge relatie toe te lichten. De governance van deze componenten is net zo belangrijk als de Teams governance.
Note: In deze blog reeks houden we de focus op MS Teams governance maar ook enkel op Microsoft technologieën, als het gaat over deployment en/of security.
Componenten die de MS Teams service opbouwen:
Om goed te kunnen werken met Teams moeten volgende zaken geactiveerd & ingericht worden:
Minimaal noodzakelijk:
Alle subscriptions in bovenstaande tabel.
- Voor elke gebruiker een M365/O365 subscription om de Teams service te activeren voor de gebruiker.
- Een MS Teams client
Noodzakelijk voor een goede werking:
Alle subscriptions in bovenstaande tabel
- Sharepoint Online Service geactiveerd voor de gebruiker (SharePoint Online en OneDrive for business)
- Exchange Online / Exchange Hybrid (of minimaal Modern authentication enabled op de on premises Exchange servers)
- Microsoft Stream – Wordt uitgefaseerd
Use OneDrive for Business and SharePoint for meeting recordings – Microsoft Teams | Microsoft Docs
Opt-out mogelijk tot 1 maart 2021
Voor een ideale werking:
Microsoft 365 Business Premium (Microsoft Information Protection)
Office 365 E3 (Microsoft Information Protection)
Microsoft 365 E3 (Microsoft Information Protection)
Office 365 E5 (Microsoft Information Protection + Cloud App Security)
Microsoft 365 E5 (Microsoft Information Protection + Cloud App Security)
- Microsoft Information Protection geactiveerd voor de gebruiker
- Cloud app security geactiveerd voor de gebruiker
Subscription
Organisaties die niet alle services in de bovenstaande subscriptions willen activeren voor de eindgebruikers kunnen kiezen om dit via group based licensing in te richten.
Je maakt een security group aan (rechtstreeks in Azure Active Directory of gesynct via Azure AD Connect vanuit je on premises Active Directory) waarop je enkel de Teams service activeert. Elke gebruiker die in deze groep wordt toegevoegd zal de Teams service geactiveerd zien voor zijn account.
Dit kan een zowel een statische als een dynamische group zijn – Dynamisch enkel als het een cloud only Azure AD group betreft.
Group based licensing stelt je in staat om gefaseerd nieuwe services naar je gebruikers uit te rollen.
Door hiervoor dynamic groups te gebruiken kan je license assignments automatiseren.
Op de aad portal ga je naar groups / licenses https://aad.portal.azure.com
Daar klik je op de M365 of O365 subscription. Hier kan je de onderliggende services aan en afzetten voor die specifieke license group.
Teams client
De volgende clients zijn beschikbaar: browser (webclient), windows 10, iOS, Android of Linux besturingssysteem.
Voor het deployen van Teams client software naar je verschillende endpoints, zijn er ook een aantal overwegingen te maken.
1. Welke endpoints wil je voorzien van de Teams client?
Er bestaat een Teams fat client voor windows 10, iOS, Android, macOS of Linux. Gangbaar en voor het verdere verloop van deze blog gaan we uit van enkel Win10, iOS & Android.
Bij windows 10 machines wordt de MS Teams client geïnstalleerd in het user profiel onder de %appdata% folder.
Opgelet! Virtual Desktop Infrastructure! Indien je organisatie ook virtuele desktops aanbiedt, waarop de MS Teams fat client moet komen, hou je best rekening met het user based install mechanisme voor de Teams client.
Gezien de installatie voor elke gebruiker die inlogt op die virtuele machine opnieuw gebeurt in de appdata folder van het gebruikersprofiel (gemiddeld 500Mb) heeft dit grote disk space impact. Microsoft voorziet een per machine installatie file voor non-persistent virtual desktop omgevingen.
Kijk hier ook naar caching manager software zoals FSLogix om de performance te optimaliseren.
2. Welk mechanisme wil je gebruiken voor de distributie?
Moderne distributie door Microsoft Endpoint Manager – MEM (Intune) of traditioneel via Microsoft Endpoint Configuration Manager – MECM (SCCM).
Indien er niet reeds geïnvesteerd is in een SCCM-infrastructuur raden wij sterk Microsoft Endpoint Manager aan.
3. Wil je de Microsoft Teams fat client mee met Microsoft 365 apps installeren of als een aparte package?
Vaak hebben organisaties reeds een office 365 proplus (nu Microsoft 365 apps) package die gedeployed wordt tijdens het stagen van een nieuwe windows 10 machine. Daarnaast wordt er een aparte package voorzien voor Teams.
Sinds de 1902 build – Current Channel – released op 4/3/2019, is Teams deel van de productivity tools installer.
Je kan opteren om Teams niet mee te installeren door middel van group policy of de office deployment tool.
4. Hoe beveilig ik de MS Teams client?
De mobile teams app voor iOS & Android kan je beveiligen door Mobile Application Management policies te definiëren en distribueren via Microsoft Endpoint Manager. Dit kan zowel voor corporate (enrolled) devices, als voor BYOD devices. MAM policies zijn user targeted en worden rechtstreeks op de app toegepast als je inlogt met je corporate account in de app.
Voor de windows desktop app is er voorlopig niet veel beschikbaar wat betreft GPO’s. (autostart van de client)
Microsoft’s idee is om steeds meer en meer je data en/of je device te gaan beschermen in plaats van de perimeter omdat het moderne werken meer en meer op internet gebeurt. Kijk hiervoor naar Microsoft Information Protection.
Later volgt een blog over Microsoft Information Protection
Je kan de MS Teams Windows 10 client beperkt aanpassen door middel van de desktop-config.json file. locatie: $env:userprofile\\AppData\Roaming\Microsoft\Teams\.
5. Volledige vrijheid of volledig dichtgeschroefd?
Afhankelijk van de cultuur van het bedrijf (innovators vs behoudsgezind), sector (Financiële sector vs Retail), budget (welk subscriptions zijn beschikbaar), etc. heb je als beheerder meer of minder keuzes. Zoals duidelijk zal worden in deze reeks zijn er ook governance keuzes te maken naar beperkingen die de eindgebruiker opgelegd worden vanuit het beheer, zoals de hierboven beschreven group based licensing, die geen meerkost betekend, maar waarmee risico’s kunnen beperkt worden.
Het zoeken naar de juiste balans tussen veiligheid en gebruiksvriendelijkheid staat hier centraal.
We formuleren hier een aantal aanbevelingen vanuit onze professionele ervaring!
Aanvraag proces nieuw MS Team
Om een wildgroei van office groups in je azure active directory te vermijden raden we aan om nieuwe teams via service request aan te vragen.
- De naming conventions die je kan afdwingen als eindgebruikers teams aanmaken zijn niet voor alle bedrijven toereikend. Via service request heb je dit onder controle.
Een service request vermijdt dat er lukraak nieuwe teams worden aangemaakt als test en die in de praktijk nooit gebruikt worden.
- Je kan ook werken met een Microsoft 365 group expiration policy die inactiviteit per gekozen tijdsframe evalueert.
Het service request moet velden hebben voor owner(s) en members en of het team public of private is.
- Een public teams laat toe om lidmaatschap aan te vragen.
- Private teams moeten door de owner voorzien worden van members.
LET OP: Een tweede owner per team is aanbevolen. Bij langdurige afwezigheid van de eerste owner, heb je zo in je team een tweede owner die teams gerelateerde zaken kan organiseren.
LET OP: Standaard kan elke gebruiker met een MS Teams licentie, een nieuw team aanmaken.
Je limiteert het aanmaken van Teams door volgend script te gebruiken. Dit script limiteert wie (welke (A)AD groep) unified groups kan aanmaken, die een centraal onderdeel zijn van een MS Team:
$GroupName
= “GROUP NAME” $AllowGroupCreation = “False” Connect-AzureAD$settingsObjectID
= (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value
“Group.Unified” -EQ).idif(!$settingsObjectID) {
$template
= Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq
“group.unified”}$settingsCopy
= $template.CreateDirectorySetting()New-AzureADDirectorySetting
-DirectorySetting $settingsCopy$settingsObjectID
= (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value
“Group.Unified” -EQ).id }$settingsCopy
= Get-AzureADDirectorySetting -Id $settingsObjectID$settingsCopy[“EnableGroupCreation”]
= $AllowGroupCreationif($GroupName)
{
$settingsCopy[“GroupCreationAllowedGroupId”]
= (Get-AzureADGroup -Filter “DisplayName eq ‘$GroupName'”).objectId }else
{$settingsCopy[“GroupCreationAllowedGroupId”]
= $GroupName }Set-AzureADDirectorySetting
-Id $settingsObjectID -DirectorySetting $settingsCopy(Get-AzureADDirectorySetting -Id
$settingsObjectID).Values
LINK: Manage who can create Microsoft 365 Groups | Microsoft Docs
Aanvraag nieuwe Teams apps
We raden aan dat dit ook in een aanvraag proces gegoten wordt, door middel van service request. Op die manier is er steeds een evaluatie van de potentiële risico’s die de aangevraagde teams app in zich draagt en/of deze app wel echt een meerwaarde biedt. Overweeg ook of de IT-dienst dit kan ondersteunen.
- Indien je dit ongelimiteerd laat zal je IT-afdeling geconfronteerd worden met support aanvragen.
- Apps zoals powerapps dragen een risico in zich, indien niet goed gelimiteerd door middel van DLP policies.
Door een basis gevalideerde set teams apps aan te bieden laat je de gebruiker optimaal werken met Teams, en door klaar en duidelijk te communiceren dat een app kan aangevraagd worden en hoe (service request) vermijd je frustratie.
- Laat alle Microsoft apps standaard toe
- Kies een aantal (3-5) additionele third party apps: Youtube, Jira Cloud, Salesforce, …
Dit doe je in de Teams admin portal. https://admin.teams.microsoft.com – inloggen als Teams administrator / global admin.
Kies “permission policies” en klik “Global (Org-wide default)”
Hier stel je in om alle Microsoft apps toe te laten.
‘Third-party apps” kan je hier limiteren door alle apps te blokkeren, behalve diegene die jij toelaat.
Klik “allow apps” en rechts kan je zoeken naar de apps die je wil toe laten.
BESLUIT
Microsoft Teams is de hub die heel wat verschillende Microsoft technologieën samenbrengt om een krachtige tooling te voorzien aan de gebruikers én de beheerders ervan de mogelijkheid geeft om dit op een beheersbare en veilige manier te doen.
In volgende blogs in deze reeks – Microsoft Teams bewegende delen & Governance – lichten we de bijkomende onderdelen en hun governance toe:
Wat is noodzakelijk voor een goede werking:
- Exchange vs Exchange Hybrid
- SharePoint Online/OneDrive for Business service
Voor een ideale werking:
- Microsoft Information Protection
- Cloud app security
Heb je na het lezen van dit artikel nog vragen, of ben je benieuwd om meer te weten over de governance en beveiliging van Microsoft Teams? Contacteer ons gerust via onderstaand formulier. Wij raken niet uitgepraat over de mogelijkheden van het Microsoft 365 ecosysteem. Maar nog liever luisteren we naar jouw verhaal!