Lees zeker ook deel 1 in deze reeks via deze link
In deze reeks houden we vanaf nu geen rekening meer met Stream gezien dit vanaf maart 2021 niet meer wordt gebruikt om Teams meeting recordings op te slaan ten voordele van OneDrive for Business en SharePoint Online voor channel meetings.
Weet dat je met Teams kan werken zonder een Exchange mailbox en/of SharePoint Online – OneDrive for Business, maar je mist heel wat belangrijke functionaliteit.
Wat is noodzakelijk voor een goede werking?
- Sharepoint Online Service geactiveerd voor de gebruiker (SharePoint Online service omvat ook OneDrive for business)
- Exchange Online / Exchange Hybrid (of minimaal Modern authentication enabled op de on-premises MS supported Exchange servers)
Item | Purpose |
SPO Site | Teams channel location for files |
OD4B | Personal storage location when working directly with another person or a in a group chat |
Voor elk Team wordt automatisch de daarbij horende SPO-site aangemaakt waarin alle gedeelde files & folders worden opgeslagen. Het “general” channel, dat in elk aangemaakt Team standaard wordt voorzien, wordt aangemaakt met een SPO-site folder.
Voor elk additioneel channel dat wordt toegevoegd in het Team, wordt er ook een SPO-site folder aangemaakt onder de hoofd SPO-site.
Private channel
Een private channel maakt een aparte SPO-site aan ten opzichte van een additionele folder bij een normaal channel, om op die manier te verzekeren dat channel files & folders enkel toegankelijk zijn voor de leden van dit private channel.
External Access & guest access
Binnen MS Teams zijn external access en guest access twee verschillende begrippen.
External access geeft de mogelijkheid aan andere partijen/domeinen (buiten je eigen organisatie) om gebruikers binnen je organisatie te zoeken, chatten en meetings op te zetten.
Je kan niet samenwerken in een Team channel en in de bijhorende SPO-site waarin de gedeelde bestanden worden opgeslagen. (Tenzij je dit specifiek op de SharePoint Online site instelt – Zie onderaan bij item “Teams permission vs SharePoint online permissions”)
Guest access laat toe om gebruikers buiten je organisatie toe te voegen in een MS Team channel.
Die “guest” kan dan deelnemen aan channel chat’s, channel meetings en de gedeelde documenten (op SharePoint Online) raadplegen.
Deze guest accounts worden aangemaakt in de Azure Active Directory van je organisatie, de authenticatie vindt plaats bij de identity provider, de partij die de bronaccount host.
Azure B2B guest users: What is B2B collaboration in Azure Active Directory? | Microsoft Docs
Guest access is een krachtige functionaliteit waarbij de nodige aandacht moet gaan naar veiligheid & governance om dit op een beheersbare manier in te richten.
Guest access governance
We raden aan om guest access binnen Teams goed te controleren en regelmatig te reviewen.
Implementeer een conditional access policy om MFA af te dwingen voor guest accounts.
Wij raden aan om MFA voor alle gebruikers af te dwingen. Je kan hier werken met condities die bepalen of je al dan niet MFA moet doen, zoals “require device to be marked compliant” (in Endpoint Manager). Op die manier hoeft een eindgebruiker met een “managed device” niet steeds MFA te doen, wat de gebruikerservaring verbetert.
Aanmaken van guest accounts uitschakelen voor gewone gebruikers. Aanvraag door de gebruiker via service request en uitvoering door de IT-afdeling zorgt ervoor dat een doordachte procedure gevolgd wordt en niet nodeloos guest accounts worden aangemaakt in je Azure Active Directory.
Zet hier ook de guest user access restrictions op “most restrictive” om te verhinderen dat guest accounts aanloggen op de aad portal van je organisatie en de directory kunnen lezen.
Zorg ervoor dat de meest bedrijfsgevoelige teams enkel beschikbaar zijn voor interne gebruikers. Schakel het toevoegen van guests uit voor deze teams.
Allow or Block Guest Users from a Specific Team in Microsoft Teams – Microsoft Tech Community
Install-Module ExchangeOnlineManagement
Import-Module ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName <UPN>
#Set specific Group back to $True or $False
$GroupID = get-unifiedgroup -Identity <Insert SMTP or Identity> | Select-Object -ExpandProperty ExternalDirectoryObjectId
$SettingID = Get-AzureADObjectSetting -TargetType Groups -TargetObjectID $GroupID | select-object -expandproperty ID
remove-azureadobjectsetting -id $settingid -targettype Groups -TargetObjectID $GroupID
$template = Get-AzureADDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}
$settingsCopy = $template.CreateDirectorySetting()
$settingsCopy["AllowToAddGuests"]=$False
New-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -DirectorySetting $settingsCopy
Invite process governance
Eerder raadden we aan om guest invitation te limiteren tot een beperkte groep via Azure Active Directory Group zodat de eindgebruiker dit kan aanvragen via een service request.
Op die manier kan je de interne gebruiker (inviter) de noodzakelijke parameters in de service request laten doorgeven, zoals:
Hieronder zie je in de rechtse screenshot hoe dezelfde naam verschillende keren kan getoond worden in Teams search resultaten. (Guest) wordt automatisch toegevoegd bij een guest account. Wij raden aan om ook het bedrijf – in dit geval NIMBLE – toe te voegen in de display name.
Teams search by name
Teams gebruikt Azure Active Directory als address book, tenzij anders ingesteld.
Dit impliceert dat elke gebruiker iedereen in AAD kan opzoeken en contacteren in Teams.
In sommige gevallen van confidentialiteit, segregatie van taken en/of wettelijke verplichtingen, is het nodig om dit te verhinderen.
Dit kan door MS-teams search te koppelen aan je Exchange address book met de daarin opgenomen information barrier policies.
!! Dit is niet mogelijk met Exchange on-premises !!
Use Microsoft Teams scoped directory search – Microsoft Teams | Microsoft Docs
Learn about information barriers in Microsoft 365 – Microsoft 365 Compliance | Microsoft Docs
Teams permission vs SharePoint online permissions
Het is essentieel om onderscheid te maken tussen guest toegang in MS Teams en de SharePoint Online guest toegang – toegang tot files & folders die op de gekoppelde SharePoint site worden voorzien.
Je kan de rechten die vanuit Teams worden voorzien op de bijhorende SPO-site afwijkend instellen dan wat er in het Team wordt ingesteld.
Zo heeft een Teams guest bijvoorbeeld geen SPO “visitor role” (met read only permissions), maar de “site member role”
Teams kent drie rollen die een gebruiker kan toegewezen krijgen:
SPO kent 4 rollen die een gebruiker kan toegewezen krijgen:
External Sharing in SharePoint online / OneDrive for Business
Om guest access te activeren op SharePoint Online, moet je dat specifiek activeren in de admin portal. Weer een duidelijke indicatie dat Teams en SPO aparte services zijn die verschillend ingesteld worden om flexibiliteit toe te laten, maar waardoor de complexiteit toeneemt.
Het is hier waar je de sharing levels kan kiezen voor SharePoint online (SPO) & OneDrive for Business (OD4B). Het SPO sharing level overstijgt het sharing level van OD4B gezien OD4B hiërarchisch onder SPO valt.
Om optimaal gebruiksgemak met voldoende controle te garanderen raden we volgende settings aan:
Zet de sharing levels op “most permissive” om dan per AAD securitygroep te bepalen wie naar niet ge-authentiseerde gebruikers kan delen. (Zie tweede screenshot hieronder)
Een beperkte groep van gebruikers die goed moet opgevolgd worden.
Gebruik de audit log in de compliance admin portal voor rapportage op external sharing activities:
Dan een tweede groep die moet kunnen delen met guest users die geauthentiseerd zijn. Over deze gebruikers heb je controle, als je (zoals eerder aangehaald) guest users via service request aanmaakt, waardoor deze gecontroleerd worden door je IT-dienst.
Dit besluit dit deel van de reeks Microsoft Teams – de bewegende onderdelen & governance. Exchange als Teams onderdeel bespreek ik in een opvolg blog.
Heb je na het lezen van dit artikel nog vragen, of ben je benieuwd om meer te weten over de governance en beveiliging van Microsoft Teams? Contacteer ons gerust via onderstaand formulier. Wij raken niet uitgepraat over de mogelijkheden van het Microsoft 365 ecosysteem. Maar nog liever luisteren we naar jouw verhaal!