Если ваша компания недавно завершила переход на Office 365 и вы хотите грамотно подойти к использованию групп Office 365 или вы уже работаете в «облаке», но столкнулись с проблемами в группах Office 365, тогда предлагаемые ответы на вопросы — для вас. Специалисты Quest отвечают на 13 самых распространенных вопросов о создании, управлении и удалении групп Office 365, чтобы вы могли добиться максимальной эффективности своих вложений в «облако».
1. В чем разница между группой Office 365 и списком рассылки (DL) Exchange?
И списки рассылки Exchange, и группы Office 365 позволяют отправлять сообщения по электронной почте нескольким адресатам одновременно. Так в чем разница? Нужно ли вам и то и другое?
Списки рассылки Exchange существуют уже давно и используются в большинстве компаний. Их единственная цель — предоставить удобный способ отправлять электронные сообщения определенному кругу получателей, не вводя адреса электронной почты каждого из них. Например, менеджеры часто составляют списки рассылки для своих подчиненных, а отдел кадров может подготовить один список рассылки для штатных сотрудников и отдельный список рассылки для подрядчиков. Списки рассылки доступны как в локальной версии Exchange, так и в Exchange Online.
Охват группы Office 365 гораздо шире, чем список рассылки. Собственно группа не больше, чем объект Azure AD, который содержит элементы. Но когда группа создана, служба Office 365 выдает ресурсы в соответствующие рабочие приложения Office 365, и члены группы автоматически получают разрешения для доступа к этим ресурсам. В частности, каждая группа Office 365 имеет общий почтовый ящик и календарь. Электронные сообщения, отправленные группе, не только распространяются между всеми ее членами, как в случае со списком рассылки, но и сохраняются в отдельном почтовом ящике.
Кроме того, группа располагает связанным семейством веб-сайтов SharePoint, блокнотом OneNote и общей группой ресурсов в таких приложениях, как Microsoft Teams, Yammer, Planner и PowerBI. Члены группы могут обращаться ко всем ресурсам и участвовать во всех рабочих нагрузках Office 365, назначенных группе. Конечно, в отличие от списков рассылки, группы Office 365 — исключительно «облачная» конструкция.
Другое важное различие между группами Office 365 и списками рассылки Exchange заключается в том, что сохраняется вся совместная работа в группе Office 365. Если в группу добавляется новый участник, он имеет доступ ко всему контенту, опубликованному со времени создания группы, включая содержимое почтового ящика группы, но не ограничиваясь им. Если новый участник добавляется в список рассылки, то он получает доступ к сообщениям электронной почты только начиная с этого момента.
Итак, нужны ли вам оба инструмента? Почти наверняка — да. Списки рассылки Exchange широко применяются, так как они весьма удобны, и часто их ограниченная функциональность — именно то, что нужно пользователю: отправить электронное сообщение, и ничего больше. Создавая группу Office 365, вы создаете ресурсы и данные, которыми необходимо управлять и которые требуется защищать, поэтому группы Office 365 следует создавать, только если вам нужны преимущества совместной работы, а не просто пересылка электронных сообщений.
2. В чем разница между группой Office 365 и Microsoft Team?
Microsoft Teams — платформа для быстрого обмена сообщениями, собраний, заметок и вложений. Когда вы создаете Team в приложении, вы формируете пространство для совместной работы, в том числе связанную группу Office 365, создаваемую автоматически. Некоторые другие приложения Microsoft, в частности Yammer, также скрыто создают группы Office 365. Группы Office 365 можно создать и напрямую.
Чтобы понять разницу между группой и Team, полезно вспомнить, что группы — функциональная основа, которую можно использовать самостоятельно или как часть приложения, такого как Teams.
Что предпочесть? Это зависит от ваших нужд. Если вы создаете собственную группу Office 365 напрямую, то получаете общий почтовый ящик и общий календарь, а также другие ресурсы и рабочие приложения, описанные выше. Ваша рабочая группа может взаимодействовать со связанным набором функций непосредственно из связанных приложений Office 365, таких как семейство веб-сайтов SharePoint группы.
Когда вы создаете команду Team, приложение Teams автоматически формирует группу Office 365 и связанные ресурсы и рабочие процессы, но вы не используете их напрямую; приложение Teams задействует их от вашего имени. Например, в ходе быстрого обмена сообщениями в канале Team приложение сохраняет все содержимое в семействе веб-сайтов SharePoint Online, связанном с группой Office 365 для Team, и участники могут просмотреть его позднее из интерфейса Teams; им не нужно открывать SharePoint Online или даже знать, где он хранится. Но когда вы создаете группу Office 365 напрямую, необходимо самостоятельно обратиться к SharePoint Online, чтобы увидеть сохраненный там контент.
3. Как создать группу Office 365 и добавить в нее участников?
Группы Office 365 создаются автоматически различными приложениями, такими как Microsoft Teams, Yammer, SharePoint Online и Planner. И конечные пользователи, и администраторы могут создавать группы Office 365 напрямую. По умолчанию создавать группы Office 365 может каждый сотрудник компании.
Самый распространенный способ, используемый конечными пользователями при создании групп Office 365 вручную, — задействовать Outlook, Outlook в Интернете (ранее известный как Outlook Web Access) или Outlook Mobile. Например, в Outlook 2016 вы просто выбираете пункты меню Home, New Group («Домашняя страница», «Новая группа»), а затем нужно указать имя, описание и другие необходимые подробности. После того как группа создана, в нее можно добавлять участников.
Для администраторов также предусмотрено несколько вариантов. Создавать группы они могут как в центре администрирования Office 365, так и в центре администрирования Exchange. Либо это можно сделать в PowerShell, который располагает рядом дополнительных настроек, которых нет в порталах администрирования.
Обратите внимание, что по умолчанию группы создаются как частные: членство требует одобрения и только члены могут увидеть, что есть внутри группы. Если параметру безопасности присвоено значение Public («Общедоступный»), то каждый сотрудник компании может просматривать содержимое группы и стать участником. Обратите внимание, что Private («Частный») не означает «скрытый»; например, частные группы входят в глобальный список адресов (GAL).
4. Как удалить группу Office 365?
Владельцы групп и администраторы могут удалить группу с помощью тех же инструментов, которые применяются для их создания. То есть конечные пользователи могут задействовать различные приложения Outlook, а администраторы — порталы администрирования или PowerShell.
Обратите внимание, что при удалении группы Office 365 все ресурсы, связанные с этой группой: сообщения электронной почты, файлы, документы OneNote и SharePoint, любые задачи Planner и т. д. — удаляются вместе с ней. Поэтому будьте осторожны.
5. Могут ли пользователи управлять принадлежащими им группами Office 365?
Да. Базовые функции управления группами предусмотрены в приложениях, используемых для создания групп. В Outlook владельцы могут добавлять и удалять участников и гостей, изменять имя группы и параметры безопасности и т. д. Приложения, которые создают и используют группы скрыто, такие как Teams, предоставляют очень похожую функциональность.
Обратите внимание, что способа удалять отдельные функции управления не существует. Например, нельзя лишить владельца группы возможности изменить имя группы. Кроме того, у каждой группы может быть до 100 владельцев, все с одинаковыми полными правами управления. Встроенных возможностей делегировать функции управления определенной группой также не предусмотрено.
6. Могу ли я добавить кого-нибудь не из моей компании в свою группу Office 365?
Возможно, вы захотите добавить в свою группу Office 365 партнеров, поставщиков, консультантов или других участников не из вашей компании. Вы можете пригласить этих людей стать «гостями» в группе. Участники могут представлять гостей, но только владельцы групп могут добавлять их в группу.
Чтобы добавить гостя, владелец группы просто указывает адрес электронной почты соответствующего пользователя в диалоговом окне Add member («Добавить участника») в Outlook. Гость получит приветственное письмо с информацией о группе и способах участия. В зависимости от того, как была создана группа, возможно, потребуется выполнить некоторые действия, чтобы позволить гостям связываться с группой по электронной почте.
Все взаимодействия гостя с группой производятся через его ящик электронной почты; он не может обращаться к сайту группы напрямую. Если гость участвует в группе через приложение Office 365, такое как Teams, то он будет использовать функциональность этого приложения. Гости могут получать календарные приглашения, участвовать в диалогах по электронной почте и открывать общие файлы с помощью ссылки или вложения (если администратор клиента не отключил эту функцию). Подробную информацию о том, что именно могут делать гости, можно найти в статье Guest access in office 365 groups базы знаний Microsoft (https://support.office.com/). Все электронные сообщения и календарные приглашения группы будут содержать ссылку, с помощью которой гости могут покинуть группу, и, конечно, владелец группы может удалять гостей.
7. Как стандартизировать именование групп Office 365?
Компаниям полезно иметь возможность контролировать именование групп. В частности, удачные, согласованные имена групп позволят сотрудникам легко найти группу в глобальном списке адресов и понять, для чего она предназначена.
Однако стандартов для именования групп Office 365 на сегодня не существует; пользователь, создавший группу, может дать ей любое имя. Компаниям приходится по-прежнему именовать группы так же, как они делали это до появления групп Office 365 — устанавливая стандарты, публикуя их и обучая пользователей.
При этом в общедоступной предварительной версии Office 365 есть функция политики именования. С помощью этой политики можно сделать следующее.
- Запретить использование определенных слов в имени группы. Вы можете определить набор слов, которые нельзя использовать в именах групп, в частности оскорбительные слова или такие, которые могут привлечь внимание злоумышленников, например «директор» или «платежная ведомость».
- Добавлять префикс или суффикс к именам групп. Префикс и суффикс можно добавлять к имени группы автоматически. Вы можете указать фиксированную строку или ввести атрибут пользователя, например «[Department]», и соответствующее значение вводится в зависимости от связанного атрибута пользователя, создавшего группу.
Эта функция должна в некоторой степени помочь в применении стандартов именования, хотя по-прежнему потребуется обучение пользователей. Но за данную возможность придется платить: вам потребуются лицензии Azure AD Premium P1 для всех пользователей, имеющих членство в группах Office 365 на клиенте.
8. Существует ли способ выполнить аттестацию групп Office 365?
Важно регулярно выполнять аттестацию групп Office 365, чтобы убедиться, что группа по-прежнему необходима. Термин «аттестация» относится к повторной проверке (обычно владельцами и участниками групп), в ходе которой выясняется, у всех ли участников и гостей по-прежнему есть потребность состоять в группе и обращаться к ресурсам и рабочим нагрузкам. Как отмечалось выше, с каждой группой Office 365 связаны корпоративные данные и службы, поэтому регулярные аттестации необходимы для защиты, обеспечения соответствия требованиям, предотвращения потери и нарушения целостности данных. К сожалению, встроенного механизма, обеспечивающего сквозную аттестацию, не существует. Вместо этого компании должны подготовить сценарии PowerShell, чтобы составить список участников каждой группы и разработать особое решение для обработки выходных данных PowerShell с последующей отправкой их по электронной почте владельцам групп для аттестации.
Для решения этой проблемы в предварительной версии предусмотрена еще одна функция — проверки доступа Azure AD. В каждой группе можно заставить каждого пользователя повторно сертифицировать собственный доступ или поручить одному или нескольким пользователям проверить доступ для всех остальных.
9. Как реализовать поток утверждения для подготовки групп Office 365?
Компании вполне обоснованно озабочены отсутствием контроля над тем, какие группы Office 365 создают их сотрудники. К сожалению, в базовых лицензиях Office 365 отсутствуют встроенные инструменты, обеспечивающие рабочую нагрузку утверждения для создания групп.
Компаниям приходится создавать внутренние рабочие процессы, чтобы ввести такие обязательные шаги, как утверждение создания групп руководством. Этот процесс может выполняться полностью вручную; например, пользователи могут быть обязаны загрузить с сайта SharePoint форму и представить ее на рассмотрение. Или вы можете внести элемент автоматизации через службу поддержки и инструменты управления билетами, включающие рабочий процесс утверждения, например ServiceNow.
10. Как можно отслеживать свои группы Office 365?
У администраторов есть два способа с помощью встроенных инструментов выяснить, какие существуют группы Office 365 и кто в них входит. К сожалению, в обоих случаях требуется значительный объем ручной работы, и оба способа не отличаются хорошими возможностями масштабирования.
Просмотр вручную через порталы администрирования
Самый простой способ просмотреть группы Office 365 и их участников — использовать портал администрирования Office 365 или центр администрирования Exchange. Отличить в списке гостей обычно не составляет труда по внешним адресам электронной почты.
Если в вашей компании 100 рабочих мест и вы недавно перешли на Office 365, то ручная проверка групп может быть приемлемым решением, по крайней мере временно. Но для более крупных или давно использующих Office 365 компаний, количество групп в которых может исчисляться десятками тысяч, такой подход неприемлем.
PowerShell
Для перечисления всех групп и их участников можно воспользоваться командами PowerShell. Вы можете даже подготовить сценарии, чтобы, например, определить все группы с внешними участниками. Но и в этом случае вы сталкиваетесь с необходимостью регулярно просматривать огромные массивы данных вручную.
Поэтому часто предпочтительно приобрести сторонние инструменты, которые упрощают процесс просмотра групп и членства в них.
11. Следует ли беспокоиться о разрастании групп Office 365?
Разрастание групп — огромная проблема в современной локальной среде. Если общедоступные папки и группы Exchange не подвергаются строгому контролю, то постепенно накапливаются большие объемы данных. Хранить, архивировать и управлять ими очень затратно, особенно если необходимо сохранять высокую доступность.
Однако в «облаке» подписка Office 365 по умолчанию предоставляется с большим пространством для хранения данных. Почему проблема разрастания групп актуальна в «облаке», если с ней не связано никаких неизбежных затрат?
Дело в том, что фиксированная стоимость — лишь часть общей стоимости разрастания групп, как локально, так и в «облаке». В локальной среде фиксированные затраты настолько велики, что по сравнению с ними другие затраты часто ничтожны. Однако при переходе в «облако» увеличивается значимость других затрат, связанных с разрастанием, особенно относящихся к удобству использования и безопасности. Оценить эти затраты труднее, чем расходы на хранение данных, но от этого проблема не становится менее актуальной.
Прежде всего, наличие большого числа групп приводит к путанице и потере производительности. Глобальный список адресов, который постоянно используется всеми сотрудниками, может вырасти до нескольких тысяч записей, что затруднит поиск получателей, без которого невозможно эффективно работать с электронной почтой. А затем проблемы нарастают как снежный ком: пользователям трудно выяснить, существует ли уже группа для данных целей, поэтому создаются дублирующие группы и появляются многочисленные группы с разными владельцами, предназначенные для похожих целей. В результате разрастание групп мешает решить задачу, ради которой были созданы группы Office 365, — улучшить обмен данными и совместную работу.
Еще более важно, что разрастание групп повышает угрозу безопасности из-за потери возможностей учета. Владельцы увольняются из компании, и их группы оказываются потерянными. Аттестация трудна, поэтому даже группы с добросовестными владельцами часто имеют участников, у которых более нет рабочей необходимости в доступе к ресурсам. Это нарушает принцип предоставления минимальных прав, обязательный для обеспечения безопасности. Кроме того, можно упустить из виду группы, включающие гостей, и данные оказываются открытыми для внешнего доступа. Через группы также открывается доступ к конфиденциальным и поднадзорным данным, поэтому обеспечить соответствие требованиям очень трудно.
12. Могу ли я скрыть некоторые группы Office 365 из глобального списка адресов?
Да. Вы можете уменьшить затраты, связанные с разрастанием групп, скрывая некоторые из них из глобального списка адресов. Чтобы скрыть группу Office 365 из глобального списка адресов, администратору следует воспользоваться PowerShell и установить свойство группы с помощью следующей команды:
Set-UnifiedGroup -Id-HiddenFromAddressListsEnabled $True
Скрывая группы, особенно частные, из глобального списка адресов, можно также снизить угрозы безопасности; группы по-прежнему существуют, но они не будут видны. Чтобы скрыть все частные группы разом, используйте команду:
Get-UnifiedGroup | Where-Object {$_. AccessType -eq ‘Private’} | Set-UnifiedGroup -HiddenFromAddressListsEnabled $true
Однако обратите внимание, что, даже если группа скрыта из глобального списка адресов, она может быть видна в других местах, таких как «Планировщик».
13. Каким образом можно сбалансировать желание создать группы самообслуживания с необходимостью сдерживать разрастание групп?
Это самый трудный вопрос в данной статье. К сожалению, хорошего способа детального управления созданием групп не существует. Вы либо даете пользователям право создавать любые группы на их усмотрение, что ведет к разрастанию, или отказываете пользователям в этом праве, что ограничивает ценность капиталовложений в Office 365, перекрывая важный канал обмена данными и совместной работы.
Есть один встроенный метод, позволяющий только определенным пользователям создавать группы Office 365 в связанных службах, которые используют их. Но это сложно и требует лицензии Azure AD Premium, использования PowerShell и предварительной версии модуля PowerShell. Процесс описан в статье базы знаний Microsoft по адресу: https://support.office.com/en-us/article/manage-who-can-create-office-365-groups-4c46c8cb-17d0-44b5-9776-005fced8e618. Другой вариант сдержать разрастание, доступный обладателям лицензий Azure AD Premium P1 и более полных, — назначить политику сроков действия (https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/groups-lifecycle) для каждой группы.
Учитывая ограниченность имеющихся вариантов, необходимо использовать традиционные ручные методы, которые обеспечивают базовую организационную гигиену. Среди рекомендаций по управлению — подготовка четких политик именования; обучение пользователей, когда и как лучше всего создавать группу; процедуры регулярной аттестации и регулярный просмотр всех новых групп в поисках дубликатов. Или же вы можете запретить пользователям самостоятельно создавать группы, но внедрить процесс, в рамках которого они могут запросить новые группы, например подготовив билет или заполнив форму SharePoint.
В целом группы Office 365 представляют собой мощный инструмент для обмена данными и совместной работы. Однако ими важно правильно управлять. При переходе в «облако» не забудьте подготовить следующие политики и процедуры:
- создание и именование групп — чтобы навести порядок и позволить пользователям найти нужные группы;
- включение гостей не из своей компании — чтобы предупредить раскрытие корпоративной информации;
- текущее управление и регулярную аттестацию — чтобы убедиться, что ваши группы по-прежнему актуальны и включают нужных участников.
Сочетайте эти политики и процедуры с тщательным контролем, и вы ощутите все преимущества самостоятельного создания групп и уменьшите затраты и риски, связанные с их разрастанием.