Le déploiement de la partie collaborative de Teams (canaux et partages de fichiers) s’avère relativement aisé, comparé aux défis que posent la partie téléphonie d’entreprise et plus généralement la qualité des communications.
Comment gérer efficacement vos équipes Teams
Seulement , beaucoup d’entreprises s’interrogent sur la gouvernance qu’il convient d’appliquer vis-à-vis de ces espaces de travail. Faut-il les contrôler ? Doit-on mettre en place des stratégies afin de limiter certains usages ? Comment supprimer les équipes inactives ? Autant de questions qu’il vaut mieux se poser avant d’ouvrir le service.
Dans cet article, nous essaierons par conséquent de vous donner quelques pistes pour mieux gérer vos équipes Microsoft Teams et surtout ne pas être en face d’un environnement totalement incontrôlé voire anarchique.
Création ouverte des équipes Teams
Une des premières questions que vous devez vous poser est si vous allez laisser n’importe quel utilisateur pouvoir créer et paramétrer une équipe Teams. Car, par défaut, tous les utilisateurs ayant une licence Teams peuvent créer des équipes. Certaines entreprises choisissent ce mode de fonctionnement mais beaucoup en reviennent.
En effet, le risque de laisser n’importe qui pouvoir créer une équipe est de vous retrouver, plusieurs mois après, avec des milliers d’équipes dont la plupart des propriétaires ont quitté l’entreprise ou ne gèrent plus du tout leur contenu. C’est également assumer le risque que ces données ou ces espaces de stockage puissent continuer à être exploités par des personnes extérieures ou invitées par l’entreprise sans que personne ne se soucie de ces accès.
C’est aussi, risquer de vous retrouver avec des noms d’équipe comme : Pot_de_Depart_de_Gerard, MonEquipe_Laurent etc… Un peu comme à l’image de ces serveurs de fichiers, à qui on a laissé l’accès libre aux utilisateurs et qui au bout de quelques années, regorgent de données dont personne ne sait si elles sont encore utiles, sensibles et qui y a accès.
Laisser ouverte la création des équipes Teams, c’est permettre, selon les paramétrages en vigueur, aux utilisateurs de synchroniser leurs données personnelles sans véritable limite de stockage puis de les partager avec des tiers et ce sans que personne ne puisse réellement le contrôler .
C’est aussi permettre la création d’autant de « listes de distribution » dans l’environnement Exchange online que d’équipes. En effet, chaque équipe Teams (groupe Office 365) va posséder une adresse de messagerie de la sorte : Pot_de_Depart_de_Gerard 1d5c5900.montenant.fr@fr.teams.ms qui pourrait être utilisée de l’extérieur. Notez également que vos utilisateurs Exchange pourront de facto créer des groupes Office 365 depuis leurs Outlook Web Access.
Le risque est, par conséquent, de vous retrouver quelques mois après avec des milliers d’équipes totalement incontrôlées, avec des utilisateurs quelques peu désorientés, et des administrateurs du service relativement impuissants.
Vous l’avez compris, je ne suis pas un grand supporter de cette option, mais néanmoins elle existe. Pour fermer ou laisser ouverte la création des équipes à vos utilisateurs c’est extrêmement simple, il suffit d’autoriser la création des groupes Office 365 dans le portail de gestion de Azure AD comme le montre la figure suivante.
L’alternative à la mise en place de la création ouverte des équipes Teams, est de définir votre propre processus d’approbation via PowerApps. Pour plus d’informations, merci de vous reporter au lien suivant : https://www.sharepointnutsandbolts.com/2018/04/control-office-365-group-creation.html
Mettre en place des stratégies d’équipe
En dehors de la question d’ouvrir ou pas la création d’équipe, la première chose à faire est de mettre en place des stratégies d’équipes et surtout, de modifier la stratégie par défaut si vous laissez la création d’équipe ouverte. Ces stratégies d’équipes vont vous permettre de contrôler si vos utilisateurs pourront :
- Créer au sein de leurs équipes des canaux privés. En effet, les propriétaires d’équipes et les membres ayant une autorisation pourront créer des canaux privés pour un groupe spécifique d’utilisateurs dans l’organisation. Seules les personnes ajoutées au canal privé pourront par conséquent lire et écrire des messages.
- Créer des canaux partagés. Les propriétaires d’équipe pourront créer des canaux partagés pour les personnes à l’intérieur et à l’extérieur de votre organisation. Seules les personnes ajoutées au canal partagé pourront par conséquent lire et écrire des messages.
- Inviter des utilisateurs externes à des canaux partagés. En effet, si vos politiques de partage externe d’Azure AD sont configurées, les propriétaires d’un canal partagé pourront inviter des utilisateurs externes à rejoindre le canal. Notez que si le canal a été partagé avec un membre ou une équipe externe, ils continueront à avoir accès au canal, et ce même si le contrôle est désactivé par la suite.
- Rejoindre des canaux partagés externes. Si vos politiques de partage externe d’Azure AD sont configurées, vos utilisateurs et vos équipes pourront être invités à des canaux partagés externes. Si une équipe de votre organisation fait partie d’un canal partagé externe, les nouveaux membres de l’équipe auront accès au canal, et ce, même si le contrôle est désactivé a posteriori.
Pour modifier la stratégie des équipes rendez-vous dans le centre d’administration de Microsoft Teams comme le montre la figure suivante
Durée de vie des équipes Teams
Une solution pour ne pas avoir à gérer des milliers d’équipes Microsoft Teams est de mettre en place une durée d’expiration. Cette option permet de fixer une durée de vie du groupe Office 365 donc des équipes Teams et de déclencher éventuellement sa suppression automatique.
Comment cela fonctionne-t-il ? Les administrateurs vont fixer une période d’expiration sur tous les groupes 0365. Les propriétaires du groupe recevront automatiquement une notification avant l’expiration, ce qui leur permettra de renouveler le groupe pour un autre intervalle d’expiration. La période d’expiration d’un groupe commence lorsque le groupe est créé ou depuis la date de son dernier renouvellement.
La figure suivante illustre ce paramétrage.
Un des problèmes lorsque vous laissez la création ouverte des équipes Teams est qu’il vous faudra positionner cette expiration de groupe pour tous les groupes Office 365. Or, pour certains groupes Office 365 générés par d’autres applications, il pourrait être souhaitable de ne pas mettre en place cette fonctionnalité. Une des solutions consiste donc à écrire un script PowerShell que vous devrez exécuter régulièrement et qui positionnera cette fonctionnalité uniquement pour les groupes Teams via l’option Selected comme le montre la figure suivante :
Mettre en place la revue des accès
Le fait d’avoir un nombre important d’équipes incluant des partages de données avec des personnes situées à l’extérieur de l’entreprise pose une sérieux problème de gouvernance. Comment s’assurer que ces accès sont encore nécessaires après plusieurs mois ou plusieurs années ? Avec la vérification automatique des accès, les propriétaires d’ équipes Teams devront valider au bout d’un délai qui sera fixé par l’administrateur, si les personnes invitées ou l’ensemble des utilisateurs doivent conserver l’accès à cette équipe.
La figure suivante illustre la création d’une revue des accès pour une équipe Teams en particulier.
Là-aussi, si vous décidez de laisser ouverte la création des équipes et si vous voulez restreindre la revue des accès uniquement aux équipes Teams, il faudra régulièrement utiliser un script Powershell pour s’assurer que toutes les équipes Teams figurent bien dans cette revue.
La figure ci-dessous illustre la mise en place de la fréquence des rappels et la période de grâce accordées aux propriétaires des équipes pour répondre à la revue des accès.
Si les propriétaires omettent de faire la revue des accès, Azure AD peut, soit supprimer l’accès, soit ne rien faire, soit approuver l’accès, ou enfin émettre des recommandations comme le montre la figure suivante. Tout dépend de votre stratégie.
D’une façon générale, je vous conseille de mettre en place une revue des accès pour tous les groupes Office 365, que cela soit des groupes Teams ou autres, afin de détecter les accès invités qui n’ont pas été utilisés depuis une période que vous aurez fixée. Cela est possible en utilisant l’option suivante dans la revue des accès.
Téléchargez cette ressource
Les mégatendances cybersécurité et cyber protection 2024
L'évolution du paysage des menaces et les conséquences sur votre infrastructure, vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la synthèse des conseils et recommandations à appliquer dans votre organisation.
Utiliser un script pour analyser les usages
Une autre solution pour savoir si vos équipes sont utilisées ou pas, consiste à utiliser un script développé par Tony Redmond que vous pouvez récupérer ici : https://office365itpros.com/2020/01/14/microsoft-365-groups-teams-report/
Ce script vous donnera de précieuses informations sur tous les groupes Teams et leurs usages. Des éléments statistiques indispensables que vous ne retrouvez pas dans le portail d’administration de Teams. A consommer donc sans modération !
Rapport d’usage fourni par le script de Tony Redmond
Teams est une solution exceptionnelle pour le partage documentaire et la collaboration mais selon moi, demande que son usage soit encadré voire surveillé. Laisser sans aucun contrôle la solution peut faire courir un risque important de fuites de données. Aussi, avant d’ouvrir le service, je vous invite à vous positionner en tant qu’utilisateur et tester tout ce que vous êtes capable de faire une fois le client Teams en mains, puis de vérifier si cela est conforme avec la politique de sécurité de l’entreprise, comme le partage avec des invités ou les externes, le création de site SharePoint etc…
Les stratégies Microsoft disponibles dans l’environnement Azure AD, SharePoint Online et Teams sont présentes pour justement limiter certaines fonctions.
Avouez qu’il serait dommage de ne pas en profiter !
Smart DSI N° 27
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
