Mobile-Menu

Berechtigungen in Microsoft 365 steuern So nutzen Sie Active-Directory-Gruppen in Microsoft Teams

Von Thomas Joos

Bei der Planung von Berechtigungen in Microsoft Teams stellt sich oft auch die Frage, ob die Integration von Gruppen aus Active Directory möglich ist. Wir zeigen in diesem Beitrag wie das geht und erläutern die Hintergründe.

Firma zum Thema

Die manuelle Rechte- und Gruppen-Pflege in Microsoft-Teams ist aufwändig – doch es gibt auch die Möglichkeit, Gruppen und Rechte in Teams über dynamische AD-Gruppen zu steuern.
Die manuelle Rechte- und Gruppen-Pflege in Microsoft-Teams ist aufwändig – doch es gibt auch die Möglichkeit, Gruppen und Rechte in Teams über dynamische AD-Gruppen zu steuern.
(Bild: © Postmodern Studio - stock.adobe.com)

Microsoft Teams ist ein Dienst in Microsoft 365. Die Konfiguration der Berechtigungen in Microsoft 365 erfolgt über Azure Active Directory. Um mit Benutzern und Gruppen aus Active Directory arbeiten zu können, ist daher eine Synchronisierung von lokalen AD-Umgebungen mit Azure AD notwendig. Wir haben im Beitrag „Troubleshooting von Azure-Verbindungen und Azure AD“ das Thema ebenfalls behandelt.

Das muss beim Hinzufügen von AD-Gruppen in Teams beachtet werden

Wenn in Microsoft Teams mit Gruppen aus Active Directory gearbeitet wird, müssen diese mit Azure AD Connect zu Azure AD synchronisiert werden. In diesem Fall lassen sich die Gruppen auch in Teams hinzufügen. Allerdings nutzt Microsoft Teams die Gruppe nicht als Identität, sondern liest die Mitglieder aus und fügt diese einzeln hinzu.

Bildergalerie
Bildergalerie mit 8 Bildern

Ändern sich die Gruppenmitgliedschaften in AD, synchronisiert Azure AD Connect die Gruppen zwar mit Azure AD, aber Teams löst die Gruppe nicht neu auf. Die Rechte der Gruppe ändern sich also nicht, auch wenn ein Benutzer nicht mehr Mitglied der Gruppe ist oder Mitglieder hinzukommen. Die statische Pflege von AD-Gruppen ist daher keine Lösung, um mit Berechtigungen in Teams zu arbeiten.

Um mit Gruppen zu arbeiten, bietet Azure AD mit der P1-Lizenz die Möglichkeit zum Aufbau von dynamischen Gruppen. Hier lassen sich Regeln definieren, die wiederum als Gruppen in Microsoft 365/Office 365 zum Einsatz kommen können. Diese Gruppen sind in diesem Beispiel eine Basis für dynamische Teams. Damit das funktioniert, ist es aber unbedingt notwendig, dass die Felder der AD-Gruppen und die Attribute und Felder der Benutzerkonten in Active Directory vollständig und fehlerfrei gepflegt sind, damit Azure AD die Daten bei der Erstellung von dynamischen Gruppen korrekt auslesen kann. Eine manuelle Anpassung der Gruppenmitgliedschaft ist bei dynamischen Gruppen nicht möglich. Die Regeln müssen daher sauber konfiguriert sein.

Dynamische Mitgliedschaften in Microsoft Teams

Mit der dynamischen Mitgliedschaft in Microsoft Teams können Unternehmen Berechtigungen dynamisch steuern. Mit Microsoft 365-Gruppen ist es dadurch möglich, Gruppenmitgliedschaften einfacher zu steuern und Berechtigungen in Microsoft Teams zu konfigurieren, ohne Mitglieder manuell hinzufügen zu müssen.

Die dynamischen Gruppen nutzen Attribute der Benutzerkonten in Azure AD. Die Benutzerkonten können in diesem Fall direkt in Azure AD angelegt werden, oder mit Azure AD Connect aus Active Directory stammen.

Wichtig ist, dass die Attribute korrekt gesetzt sind, damit diese von den Regeln für dynamische Gruppen gelesen werden können. Manuell ist eine Pflege der Gruppen wie bereits erwähnt nicht möglich. Microsoft geht auf der Webseite „Übersicht über die dynamische Mitgliedschaft für Teams“ in der Dokumentation zu Microsoft 365 ausführlicher darauf ein.

Dynamische Mitgliedschaften in Azure Active Directory steuern

Um AD-Gruppen in Microsoft Teams zu nutzen, müssen also einige Umwege gemacht werden. Im ersten Schritt ist eine korrekte Synchronisierung der Benutzerkonten zwischen Active Directory und Azure Active Directory notwendig. Wenn Unternehmen mit AD-Gruppen arbeiten wollen, ist diese Voraussetzung in den meisten Fällen aber ohnehin bereits gegeben.

Für die Verwendung von AD-Gruppen in Microsoft Teams sind die dynamischen Gruppen in Azure AD der beste Weg. Nutzen lassen sich diese Gruppen aber nur mit einer P1-Lizenz von Azure AD. Beim Erstellen einer neuen Gruppe kann in Azure AD über das Azure-Portal die Option „Dynamischer Benutzer“ bei „Mitgliedschaftstyp“ aktiviert werden. Welche Mitglieder eine dynamische Gruppe haben soll, lässt sich wiederum mit dynamischen Abfragen steuern, die bei der Erstellung von dynamischen Gruppen erstellt werden können.

Basis der dynamischen Gruppen sind die Regeln, die wiederum auf Ausdrücken basieren. Diese lassen sich über den Assistenten zum Erstellen von neuen Gruppen sehr flexibel erstellen und anpassen. An dieser Stelle können auch Attribute von Benutzerkonten zum Einsatz kommen, die per Azure AD Connect aus Active Directory in Azure AD synchronisiert werden.

Auf der Seite „Regeln für eine dynamische Mitgliedschaft für Gruppen in Azure Active Directory“ ist in der Microsoft Dokumentation zu lesen, wie Abfragen optimal erstellt werden können. In diesem Zusammenhang ist auch die Seite „Erstellen oder Aktualisieren einer dynamischen Gruppe in Azure Active Directory“ wichtig.

Dynamische Mitgliedschaft für in Microsoft Teams

Sobald dynamische Gruppen in Azure AD funktionieren und die Mitglieder aus AD auch in den dynamischen Gruppen in AD zuverlässig hinzugefügt und entfernt werden, ist es möglich auf Basis der dynamischen Gruppen in Azure AD dynamische Teams zu erstellen. Mehr dazu ist auf der Seite „Übersicht über die dynamische Mitgliedschaft für Teams“ in der Microsoft-Dokumentation zu finden.

Mit den Regeln lassen sich die Mitglieder dynamisch steuern, aber nicht der Besitzer des Teams. Es ist bei Verwendung von dynamischen Teammitgliedschaften nicht möglich manuell Mitglieder des Teams zu steuern.

Bei der Verwendung muss darauf geachtet werden, dass es auf Grund der Verzögerungen bis zu einer Stunde oder sogar länger dauern kann, bis die Mitgliedschaft im Team geändert wird. Das Benutzerkonto in AD muss zunächst mit Azure AD synchronisiert werden. Danach erfolgt die Mitgliedschaft in der dynamischen Gruppe von Azure AD und anschließend die Einbindung in das dynamische Team.

Dynamische Teams werden auf Basis von dynamischen Gruppen erstellt. Daher muss die dynamische Gruppe zuerst vorhanden sein. Danach kann ein Team erstellt werden, das diese dynamische Gruppe als Basis nutzt. Die Vorgehensweise ist auf der Seite „Create a team from an existing group“ genauer erläutert.

Dazu wird bei der Erstellung von neuen Teams auf der Webseite von Teams die Option „Aus einer Gruppe“ bei „Team erstellen“ ausgewählt. Dazu wird auf der Teams-Webseite unten die Option „Team beitreten oder erstellen“ ausgewählt. Im Anschluss lässt sich die Option „Microsoft 365-Gruppe“ auswählen. Hier wird jetzt die dynamische Microsoft 365-Gruppe ausgewählt.

(ID:47890320)