Photo by Scott Graham on Unsplash
Francesco Fois

Governance in Microsoft Teams

Credo che un po’ a tutti sia capitato, confrontandosi con i propri clienti o per semplice curiosità, di affrontare il tema della Governance di Teams.

Come posso definire chi può creare un Team all’interno della mia organizzazione?

Come posso evitare la proliferazione di Teams aventi nomi molto o per nulla fantasiosi (test01, test 02, etc.) e comunque non conformi alle naming convention dell’organizzazione?

Come posso restringere l’accesso di utenti non facenti parte dell’organizzazione (guest) a determinati gruppi di lavoro in Teams?

Come posso classificare, sulla base dei contenuti che verranno condivisi, l’intero Team?

Per queste domande cerchiamo di fornire alcune indicazioni sugli strumenti che Microsoft Teams mette nativamente a disposizione a chi amministra o è deputato al governo di questa soluzione; parliamo quindi di Teams Governance!   

Creazione di gruppi e team

Per quanto riguarda la possibilità di creare Team, l’approccio consigliato è quello di non privare gli utenti di questa importante funzionalità di collaborazione ma, piuttosto, quello di andare ad implementare opportune politiche di retention/expiration, di limitazione dell’accesso di determinate utenze come quelle guest oltre all’implementazione di una precisa naming convention.

Se proprio si vuole limitare solo a specifici utenti la possibilità di creare nuovi Team si dovrà, in realtà, andare a gestire specificamente chi può creare Microsoft 365 Groups . Questa operazione però ha impatti ben più ampi rispetto all’ impedire solamente la creazione di nuovi gruppi di lavoro all’ interno di Microsoft Teams.

Quando si limitano gli utenti autorizzati a creare un gruppo, questo influisce su tutti i servizi che si basano sui gruppi di Microsoft 365 per l’accesso, tra cui, solo per citarne alcuni, Outlook, SharePoint, Yammer, Microsoft Stream, Planner oltre a Microsoft Teams.

Configurazione di una Naming convention in Microsoft Teams

Questa possibilità viene fornita sia attraverso Azure AD Powershell che attraverso  il portale di Azure AD Admin Center. Volendo utilizzare la seconda opzione quello che dovrò fare è collegarmi al portale con un utente che abbia privilegi di Group Administrator e da qui selezionare le impostazioni relative ai Criteri di denominazione

AAD – Criteri di denominazione

Oltre a bloccare determinate parole è possibile impostare prefissi e suffissi che contribuiranno in modo automatico alla creazione del nome del Gruppo M365 (ivi compreso quello di Microsoft Teams)

AAD – Criteri di denominazione
Bloccare l’accesso degli utenti guest

Questo obiettivo può essere raggiunto in due modi. Utilizzando le Sensitivity Label oppure andando a lavorare sui Settings Template di Azure AD. La prima opzione, soprattutto se già vengono utilizzate le Sensitivity Label per la protezione dell’informazione all’interno dell’organizzazione, è quella preferenziale e sarà oggetto di uno dei prossimi post.

Volendo invece utilizzare i Settings Template di Azure AD, quello che posso fare è utilizzare, come descritto in questo articolo , la  Azure Active Directory PowerShell for Graph e il seguente script:

$GroupName = “<GroupName>”
Connect-AzureAD
$template = Get-AzureADDirectorySettingTemplate | ? {$_.displayname -eq “group.unified.guest”}
$settingsCopy = $template.CreateDirectorySetting()
$settingsCopy[“AllowToAddGuests”]=$False
$groupID= (Get-AzureADGroup -SearchString $GroupName).ObjectId
New-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -DirectorySetting $settingsCopy
Politiche di expiration dei gruppi Teams

L’ incremento di gruppi M365 e Teams rende necessario l’utilizzo di strumenti per eliminare quegli elementi ormai inutilizzati. Una Expiration Policy applicata a questi oggetti permette la rimozione di quei gruppi ormai inattivi e inutilizzati.     

La scadenza viene impostata dal portale di Azure AD a livello di gruppi (un po’ come già visto per le Naming Conventions)

AAD – Gruppi

È importante notare che questa scadenza si applica ai gruppi inattivi, a partire dalla creazione o dall’ultimo rinnovo, che verranno di conseguenza messi in uno stato di soft-deletion in modo da poter essere recuperabili entro 30 giorni. Si noti inoltre che le seguenti azioni mantengono attivi i gruppi:

  • SharePoint: visualizzare, modificare, scaricare, spostare, condividere o caricare file. La visualizzazione di un SharePoint non viene conteggiato come azione per il rinnovo automatico.
  • Outlook – Partecipare al gruppo, leggere o scrivere un messaggio di gruppo dal gruppo e come un messaggio (Outlook sul web).
  • Teams: visitare un canale di teams

In questo primo post abbiamo voluto fornire una panoramica di come e cosa possiamo governare quando parliamo di Teams Governance. Alcuni di questi concetti verranno ulteriormente approfonditi in post futuri perciò Stay Tuned!

Non fermarti qui, continua a leggere

Emanuele Satta

Teams Admin: gestione “Call Forwarding”

Aggiornando il modulo Powershell Teams alla versione 4.0.0, sono disponibili i comandi per configurare la gestione delle chiamate sul client degli utenti, tra cui le funzionalità relative a Teams Call Forwarding.

yooda

Nimbus evolution

Di Nimbus ne abbiamo già parlato ad inizio anno offrendovi una panoramica generale…Ma Luware non è rimasta ferma, anzi ha proseguito con un intenso lavoro di sviluppo sulla piattaforma Nimbus al fine di renderla sempre più affidabile e simile, come funzioni, alla versione on-premise Lucs; inoltre, sono state introdotte nuove funzionalità. La continua evoluzione fa…

Emanuele Satta

Teams Batch Policy Assignment

Come gestire configurazioni massive su Teams? Vogliamo usare Teams batch policy assignment? Vi consigliamo questo comando “New-CsBatchPolicyAssignmentOperation” che permette di assegnare configurazioni fino a 5000 utenti in poche linee di codice. E’ possibile gestire l’assegnazione di queste Teams Policy: CallingLineIdentity [possibilità di mascherare/manipolare la propria numerazione in uscita sulla rete pubblica] ExternalAccessPolicy [gestire comunicazioni con…