Správa MS Teams – hosté v týmu
Naposledy jsme probírali, jak se v Microsoft Teams vytvářejí týmy a jaké základní nástroje prostředí Microsoft 365 nabízí. Tentokráte se budeme zabývat hosty (externími spolupracovníky), jejich začleněním do týmů a věnovat se standardním nástrojům pro práci s nimi.
Hosté v týmu
Kromě vlastních zaměstnanců lze do týmu pozvat i externí spolupracovníky, tzv. hosty. Ti mají téměř stejné možnosti pro práci v týmu jako regulérní členové. Pro jejich autentizaci se využívá Azure Active Directory (dále též AAD), kde je jejich účet vytvořen jako host účet.
Obdobný přehled o existujících host účtech lze získat i ze správy uživatelů Microsoft 365, kde je najdeme v části „Guest Users“.
Host uživatel není plnohodnotným uživatelem, ve své podstatě si do své AAD přidáváte uživatele z jiné AD. Tím pádem nemáte ve svých rukou autentizaci uživatele (ověření totožnosti uživatele), ale zůstávají vám možnosti pro autorizaci (určování, co smí a nesmí uživatel dělat).
Nastavení hostů v prostředí Microsoft 365
Hosté mohou vznikat stejně snadno jako týmy. Ve výchozím nastavení má kterýkoliv pracovník možnost přizvat externího uživatele ke spolupráci, jinými slovy založit hosta. Kromě výhody v tom, že vaši uživatelé nemusí hledat nástroje pro sdílení a spolupráci v oblasti Shadow IT (tedy mimo vaši kontrolu), skýtá toto nastavení i určitá rizika:
- Nebezpečné se stávají volby sdílet všem autentizovaným uživatelům nebo sdílet všem. Takto sdílená data jsou přístupná i hostům, což není vždy úplně žádoucí. Naštěstí Microsoft 365 nabízí i volbu sdílet všem, vyjma host uživatelů, a tato volba je nabízena jako první.
- Další nebezpečí spočívá v retenci hostů, pozvat je ke spolupráci je snadné, ale já osobně neznám nikoho, kdo by si pohlídal, že spolupráce skončila a hosta pak odstranil.
Základní nastavení
První, co je potřeba si rozmyslet, je nastavení pravidel pro vznik hostů. Na výběr máme ze dvou scénářů. Hosta může pozvat kdokoliv (moje preferovaná, uživatelům klade co nejméně klacků pod nohy, a tak nevymýšlejí, jak pravidla obejít), nebo jen vybraní uživatelé.
Nastavení v sekci „External collaboration settings“ určuje, co hosté uvidí z údajů o členech vaší AAD. Ovlivní, kdo smí pozvat hosty ke spolupráci a určit, ze kterých domén lze hosty pozvat.
Důležitou volbou je i nastavení self-service sign up. Nastavením na hodnotu Yes je umožněno hostům získat přístup prostřednictvím aplikace, aniž by je někdo pozval.
Další zdroje identit
Kromě hostů autentizovaných prostřednictvím Azure Active Directory je možné napojit i účty Google, Facebook přes Microsoft Account a jednorázové heslo.
Správa hostů
Ti šťastnější, kteří mají v tenantu licence EMS E5 nebo Azure Active Directory P2, mají situaci jednodušší a pro základní governance mohou využít funkci Access review, kde lze definovat pravidelné potvrzování platnosti host přístupů. Ostatní se musí podívat po nějakém nástroji, který jim poskytne potřebné reporty a automatizuje aktivity, nebo využit PowerShell.
V případě, že si budete chtít vyzkoušet níže popsané skripty, budete si muset nainstalovat modul AzureADPreview.
Install-Module AzureADPreview
Přehled hostů a skupin
S PowerShell skripty začněme tím nejjednodušším, přehledem všech host účtů a jejich členstvím v týmech (skupinách).
Kdo hosta pozval ke spolupráci
Zde již situace není tak jednoduchá, protože objekt v AAD si informaci o svém původci nenese. V tomto případě je nutné průběžně monitorovat auditní log a z něj vyčítat události vytvoření host účtů.
Výsledky tohoto skriptu je nutné exportovat do databáze, protože log má omezenou velikost a po čase se nejstarší záznamy odstraní.
Autor: Zdeněk Havel, Customer Solutions Architect at Konica Minolta IT Solutions Czech