Abonnieren Sie gerne unseren Blog, um weitere Tipps zu Microsoft Teams-Nutzungsbedingungen zu erhalten!
Im Compliance-Bereich ist zwischen verschiedenen Arten von Kontrollen zu unterscheiden, von denen je nach Anforderung nur einige oder alle relevant sein können:
- Technische Kontrollen (z. B. automatische Anwendung von Vertraulichkeitsbezeichnungen basierend auf Inhalten oder Standort)
- Betriebliche Kontrollen/Prozesskontrollen (z. B. regelmäßige Gast-Zugriffsüberprüfungen)
- Manuelle Kontrollen (z. B. manuelle Zustimmung zur Einhaltung von Richtlinien durch Endnutzer)
Wenn Sie als IT-Administrator für Microsoft Teams zuständig sind, konzentrieren Sie sich im Alltag wahrscheinlich auf die technischen Aspekte, die sie kontrollieren können, d. h. die Backend-Konfiguration, mit der kontrolliert wird, wie der Dienst für die Endnutzer funktioniert.
Trotz guter Technologie muss jedoch auch der Faktor Mensch berücksichtigt werden. Manchmal ist es sinnvoll, eine technische Kontrolle mit einer manuellen Endnutzer-Kontrolle zu kombinieren. In diesem Beitrag wird ein praktisches Beispiel hierfür durchgegangen – mit Aspekten, die Sie für Microsoft Teams in Erwägung ziehen können, insbesondere wenn Sie in einer stark regulierten Branche tätig sind.
Nutzungsbedingungen von Microsoft Teams
Praktische Anwendungsfälle für Nutzungsbedingungen (Terms of Use, ToU) finden sich im Bereich Compliance und Audits. Jedes Unternehmen, das die Inhalte und Dateifreigabe in Microsoft Teams regeln will, sollte dafür sowohl technische Kontrollen einrichten (Microsoft Purview-Tools wie Communication Compliance, Teams DLP, Vertraulichkeit von Dateien/E-Mails und Containern), aber auch Nutzungsbedingungen haben, die von allen Nutzern, die Teams in ihrem Unternehmen nutzen – eigene Mitarbeitende und Gäste – regelmäßig gelesen und akzeptiert werden müssen.
Viele für Daten Verantwortliche sagen im informellen Gespräch: „Bei uns im Unternehmen sollen wir in Teams-Unterhaltungen keine geschäftlichen Entscheidungen treffen“ oder „Wir sollten besser keine vertraulichen Dokumente über Teams teilen“. Die oben erwähnten technischen Kontrollen können sicherlich eingerichtet werden, um das Risiko für derartige Fälle so gering wie möglich zu halten. Trotzdem muss gewährleistet sein, dass Microsoft Teams-Nutzer auch die Richtlinien kennen, denn ohne diese Richtlinien sind Ihre Teams-Nutzer die Achillesferse Ihrer Compliance-Strategie.
Eine Kette ist nur so stark wie ihr schwächstes Glied.
– Thomas Reid
Eine gute Möglichkeit zur Stärkung des schwächsten Glieds ist die Einrichtung von spezifischen Nutzungsbedingungen für Microsoft Teams.
Hinweis: Ich bin kein Anwalt. Zwar glaube ich, dass Nutzungsbedingungen nicht unbedingt rechtlich bindend sind, dennoch können Sie im Falle einer Gerichtsverhandlung, einer internen Untersuchung oder eines Audits durch eine Aufsichtsbehörde auf die Bestätigung der Nutzungsbedingungen durch Nutzer verweisen.
Es gibt viele Möglichkeiten, diese Art von Teams-Richtlinien zu kommunizieren, z. B.
- in einer unternehmensweiten E-Mail (allerdings könnte die E-Mail im Posteingang vielbeschäftigter Nutzer untergehen),
- als Meldung im Intranet (allerdings könnten Mitarbeitende, die diesen Kanal nicht so häufig nutzen, sie nicht zur Kenntnis nehmen),
- mit einem Bescheinigungsformular, das mithilfe von Microsoft Forms erstellt wird, an die Endnutzer gesendet und nachverfolgt wird (allerdings müssen Sie das Formular erstellen und die Antworten nachverfolgen),
- mit einer nutzerdefinierten Lösung über die Power-Plattform (allerdings müssen Sie diese Lösung implementieren und unterstützen, was wiederum technische Verbindlichkeiten nach sich zieht).
Werfen wir einen Blick darauf, wie Sie für Teams-Nutzer Richtlinien mit der entsprechenden Funktion für Nutzungsbedingungen in Azure Active Directory von Microsoft 365 erstellen können.
Voraussetzungen
Endnutzer, die die Nutzungsbedingungen annehmen, benötigen eine der folgenden Lizenzen: Azure AD Premium P1, P2, EMS E3, EMS E5. Um Nutzungsbedingungen zu erstellen, müssen Sie entweder globaler Administrator, Sicherheitsadministrator oder Administrator für den bedingten Zugriff sein.
In die Funktion für Nutzungsbedingungen sind mehrere nützliche Optionen integriert:
- Sie ist auf Mitarbeitende und/oder Gäste anwendbar.
- Es kann festgelegt werden, wie häufig ein Nutzer die Nutzungsbedingungen bestätigen muss.
- Sie kann gezielt auf eine bestimmte App (z. B. Teams, SharePoint, OneDrive) angewendet werden oder für alle Apps gelten.
- Es kann abgefragt werden, wer die Nutzungsbedingungen bestätigt hat und wer nicht.
- Sie kann in verschiedenen Sprachen genutzt werden.
Schauen wir uns das Ganze genauer an.
Zunächst erstellen Sie die Nutzungsbedingungen. Für diesen Blogbeitrag erstelle ich Microsoft Teams-Nutzungsbedingungen, Sie können aber auch allgemeine Nutzungsbedingungen erstellen, um alle Kommunikationskanäle abzudecken, mehrere Nutzungsbedingungen für verschiedene Nutzerzielgruppen (Mitarbeitende oder Gäste) oder gesonderte Nutzungsbedingungen für die einzelnen Apps. Wenden Sie sich in jedem Fall an Ihre Rechts-, Risiko- und Compliance-Abteilungen, um den korrekten Wortlaut ihrer Nutzungsbedingungen zu erhalten. Im folgenden Beispiel werden die Schritte anhand der Teams-Nutzungsbedingungen erläutert:
Schritt 1: Nutzungsbedingungen erstellen
Ich möchte, dass die Terms-Nutzungsbedingungen durch Mitarbeitende und Gäste bestätigt werden müssen, bevor Sie Zugang zu Teams erhalten. Außerdem möchte ich, dass die Nutzungsbedingungen den Nutzern regelmäßig angezeigt werden – einmal pro Quartal.
Das Hinzufügen der Nutzungsbedingungen zu einem Mandanten erfolgt über das Azure-Portal. Navigieren Sie zu Azure Active Directory -> Sicherheit -> Bedingter Zugriff -> Nutzungsbedingungen. Für dieses Beispiel habe ich die obige PDF-Datei hochgeladen und folgende Einstellungen vorgenommen:
- Sprache: Englisch
- Die Bezeichnung „NexNovus Teams Terms of Use“, die den Endnutzern angezeigt wird
- Die Nutzer müssen die Anzeige der Nutzungsbedingungen ausklappen und werden so dazu angehalten, sie auch zu lesen.
- Die Einwilligung zu den Nutzungsbedingungen läuft nach einem bestimmten Zeitraum ab. Sie gilt ab sofort und muss jedes Quartal (d. h. alle 90 Tage) bestätigt werden.
Schritt 2: Richtlinien für den bedingten Zugriff erstellen
Um die Nutzungsbedingungen durchzusetzen, ist eine Richtlinie für den bedingten Zugriff erforderlich. In unserem Beispiel möchte ich, dass die Nutzungsbedingungen für interne Nutzer und Gäste gelten, wenn sie auf Microsoft Teams zugreifen, daher wähle ich die Option Nutzerdefinierte Richtlinie.
Die Seite Bedingter Zugriff wird geöffnet, damit Sie eine neue Richtlinie für dem bedingten Zugriff erstellen können. Sie können alternativ auch eine der integrierten Vorlagen verwenden. In unserem Beispiel möchte ich allerdings nur Microsoft Teams einbeziehen, daher erstelle ich eine neue nutzerdefinierte Richtlinie:
Ich gebe der Richtlinie für bedingten Zugriff eine Bezeichnung und nehme dann folgende Zuweisungen vor:
- Nutzer- oder Workload-Identitäten, auf die die Richtlinie angewendet wird (interne Nutzer, externe Nutzer, Gäste)
- Cloud-Apps oder Aktionen, auf die die Richtlinie angewendet wird (Teams)
- Zugriffskontrollen (hier Verknüpfung mit Teams-Nutzungsbedingungen)
Nutzer- oder Workload-Identitäten
Ich möchte, dass diese Nutzungsbedingungen für Gäste, externe Nutzer und folgende zwei Nutzer in meinem Mandanten gelten:
Cloud-Apps oder Aktionen
Ich möchte, dass diese Nutzungsbedingungen nur für Microsoft Teams gelten. Sie könnten so allerdings, falls gewünscht, verschiedene Nutzungsbedingungen für jede Art von Cloud-App (Exchange, SharePoint, OneDrive) einrichten, um alle an die Compliance-Kontrollen zu erinnern, die Sie umsetzen wollen:
Zugriff gewähren
Hier verknüpfe ich „NexNovus Microsoft Teams Terms of Use“ mit der Richtlinie für bedingten Zugriff. Der Zugriff auf Microsoft Teams wird nur nach Bestätigung der Nutzungsbedingungen gewährt.
Als letzten Schritt aktivieren Sie die Richtlinie:
Was wird dem Endnutzer angezeigt?
Das nächste Mal, wenn ich mich bei Teams anmelde, wird mir Folgendes angezeigt:
Wenn Sie die Nutzungsbedingungen erweitern, wird die hochgeladene PDF-Datei angezeigt:
Nun kann ich auf Microsoft Teams zugreifen. Nach 90 Tagen werden die Nutzungsbedingungen erneut angezeigt und müssen bestätigt werden. Perfekt!
Überwachen der Microsoft Teams-Nutzungsbedingungen
Administratoren und Compliance-Verantwortliche im Unternehmen werden überwachen wollen, wer die Nutzungsbedingungen angenommen und wer sie abgelehnt hat. Öffnen Sie dazu unter „Bedingter Zugriff“ den Bereich „Nutzungsbedingungen“ und wählen Sie die entsprechenden Nutzungsbedingungen aus. Es wird angezeigt, wann die Nutzungsbedingungen akzeptiert wurden und wann sie ablaufen. Darüber hinaus wird genau angezeigt, welche Version der Nutzungsbedingungen akzeptiert wurde, sollte dies einmal von Belang sein:
Schlussgedanken
Nutzungsbedingungen sind ein hervorragendes Compliance-Tool, da sie in den Arbeitsablauf integriert werden können und eine regelmäßige Erinnerung für Endnutzer darstellen, welche Erwartungen ihr Unternehmen bei der Nutzung einer App an sie hat, d. h. was sie tun können und was sie unterlassen sollen.
Suchen Sie nach umfassenderen Microsoft Teams-Verwaltungslösungen? Fordern Sie noch heute eine Demo für die Microsoft Teams Admin & Management Lösungen von AvePoint an!
Lesen Sie zum Thema Teams-Nutzungsbedingungen auch unseren folgenden Blogbeitrag:
Die 3 Ebenen der Microsoft 365-Kollaborationssicherheit – AvePoint Blog