Teams-Governance mit Azure: Mit Bordmitteln die Teams-Nutzung in geordnete Bahnen lenken

[Quelle: Zoom]

In Zeiten der Pandemie benötigten viele Unternehmen schnelle Lösungen, um arbeitsfähig zu bleiben. Zum einen ging es dabei um Unterstützung für die „ausgelagerten“ Home-Office-Mitarbeiter, aber auch darum, den Kontakt zu Kunden und Partnern aufrecht zu erhalten.

Wer ist zuständig für Ordnung in der Teams-Umgebung?

Unabhängig von den technischen Erfordernissen steht dabei immer auch die Frage im Raum, wie man solche Remote-Arbeitsumgebungen organisiert – Stichwort „Governance“. Folgende zwei exemplarische Fragen umreißen das Problem:

  • „Wenn alle Anwender eigenständig Teams und Kanäle anlegen können, und darüber auch noch Inhalte mit externen Benutzern teilen, ergibt das nicht ein großes Chaos?“
  • Wer soll später die vielen eingerichteten Kanäle und Datenhalden wieder aufräumen? Und wer soll entscheiden, welche Daten und welcher Gastbenutzer noch benötigt wird?

Allein die Angst vor solchen Folgen ruft schon große Widerstände hervor und verhindert nicht selten den Einsatz von Microsoft Teams. Auf der anderen Seite ist der Druck hoch, Unternehmen und Geschäftskontakte am Laufen zu halten, so dass wenig Zeit für Abwägungen und Planungen beseht.

Die Governance-Funktionen von Azure nutzen

Microsoft stellt in Azure Funktionen zum Automatisieren von Teams-Governance bereit, nämlich Identity Governance und Lifecycle Management. Über diesen Weg lassen sich Datengräber, Duplikate und verwaiste Gastzugänge einfach bereinigen. Die beiden wichtigen Sektionen hier sind Entitlement Management und Access Reviews & Groups Expiration Policies.

Identitäten verwalten mit Entitlement Management

Azure AD Entitlement Management ist eine Funktion zur Verwaltung von Identitäten. Damit können Unternehmen Identitäts- und Zugriffzyklen verwalten, und zwar mittels Automatisierung von Zugriffsanfrage-Workflows, Zugriffszuweisungen, Überprüfungen und Abläufe.

Die folgende Grafik stellt die verschiedenen Elemente von Azure AD Entitlement Management dar:

Das Zugriffspaket 1 (Access Package 1) definiert eine bestimmte Gruppe als Ressource. Der Zugriff darauf wird über eine Richtlinie definiert, die es Benutzern aus einer bestimmten Azure Active Directory (AD)-Gruppe ermöglicht, den Zugriff anzufordern.

Zugriffspaket 2 definiert eine Gruppe, eine Anwendung und eine SharePoint-Seite als Ressourcen. Der Zugriff wird über zwei verschiedene Richtlinien definiert. Die erste Richtlinie ermöglicht es einer Gruppe von Benutzern im Verzeichnis Zugriff anzufordern. Die zweite Richtlinie ermöglicht es Benutzern aus einem weiteren, auch externen Azure AD den Zugriff anzufordern.

Beim Anlegen eines Zugriffspaketes wird im Reiter Lifecycle festgelegt, wie lange der Zugriff aktiv bleibt bevor er wieder deaktiviert wird:

Für jedes Paket wird eine individuelle Zugriffs-URL erzeugt. Diese nutzten Anwender dann, um das Paket für sich zu aktivieren.

Prüfen von Mitgliedschaften und Zugriffen

Um die Mitgliedschaften in Gruppen, den Zugriff auf Anwendungen und die Rollenzuweisung regelmäßig automatisiert zu überprüfen, gibt es Azure AD Access Reviews . Damit lässt sich sicherstellen, dass nur jene Personen weiterhin Zugriff haben, die ihn auch benötigen.

Übersicht der Funktionen:

Beim Erstellen eines Access Reviews (Prüfung des Zugriffsrechts) wird ein Benutzer festgelegt, der die Überprüfung durchführen muss. Die Zuweisung kann auch automatischen auf den Gruppen- oder Teams-Inhaber erfolgen. Mittels einer E-Mail erfolgt dann der Hinweis auf die anstehenden Reviews:

Wichtige und überflüssige Gruppen

In unserem Beispiel sieht man, dass die ersten beiden Gruppen jeweils nur ein Mitglied haben und vermutlich lediglich zu Testzwecken erzeugt wurden (siehe Bild: „0/1“). Die Dritte Gruppe hat 16 Mitglieder. Mit der Schaltfläche Begin review sieht man die Details und die automatisch erzeugten Empfehlungen:

Ablauf von Gruppen

Groups Expiration Policies – also Richtlinien zum Ablauf von Gruppen – sind nicht im Bereich Identity Governance aufgelistet, sondern müssen über das Azure AD -> Groups -> Expiration aufgerufen werden:

Auch in diesem Fall erhält der Group Owner eine Mail, in der er bestätigen muss, dass die Gruppe noch benötigt wird. Tut er das nicht, wird sie automatisch gelöscht. Wenn eine Gruppe gelöscht wird, erfolgt das vorläufig („soft-delete“). Auf diese Weise kann sie von einem Administrator bis zu 30 Tage lang wiederhergestellt werden.

Weitere Optionen: Bedingter Zugriff und Mobile-Apps

Falls diese Funktionen zur Automatisierung nicht ausreichen sollten, um die gewünschten Anforderungen umzusetzen, steht als weitere Mittel noch Azure AD Conditional Access sowie MAM App Management zur Verfügung.

Azure AD Conditional Access steuert den Zugriff auf Anwendungen auf der Basis bestimmter Bedingungen. Basierend auf den jeweiligen Kontext wird hierbei mittels Richtlinien eine Zugriffskontrolle implementiert.

Einsatzbeispiele Azure AD Conditional Access:

  • Microsoft Teams soll nur von einem Firmengerät aus genutzt werden können.
  • E-Mail soll von jedem Gerät aus genutzt werden können. Sobald der Zugriff jedoch von außerhalb des Unternehmensnetzwerks erfolgt, wird eine Multifaktor Authentifizierung erzwungen.

Zur Umsetzung von Einhaltung von Datensicherheitsrichtlinien und Datenschutzanforderungen kann Intune Mobile Application Management (MAM) eingesetzt werden. Es stellt auch Maßnahmen gegen Datenverlust bereit.

Einsatzbeispiele Moblie Application Management:

  • Daten aus Microsoft Teams sollen nicht über Mobilgeräte in ein iOS- oder Android-Backup aufgenommen werden.
  • Der Zugriff auf per „Jailbreak“ entsperrte Geräten soll unterbunden werden.

MAM ohne Geräteregistrierung oder MAM-WE (WE=without enrollment) ermöglicht IT-Administratoren auch die Verwaltung von Apps auf Geräten, die nicht in Intune MDM registriert sind.

Fazit: Teams-Governance an Szenarien ausrichten

Bevor Sie sich mit den Funktionen von Azure für Teams-Governance auseinandersetzen, sollten Sie sollten sich klar machen, was Sie erreichen soll, und auch, wie der Business Case aussieht. Starten sie deshalb am besten mit ihren Szenarien. Im zweiten Schritt können Sie dann mit dem Umsetzen der Governance in Form von Azure-Funktionen beginnen.