Microsoft Teams Private Channels – the good, the bad and the ugly

Nun ist sie da, die lang ersehnte Funktionalität «Private Channels» in Microsoft Teams. Über 25’000 Votes hatte dieser Feature Wunsch bereits vorgängig auf dem User Feedback Forum «Microsoft Teams User Voice» angesammelt.

Was steckt nun genau hinter «Private Channels». In diesem Blogbeitrag schauen wir etwas hinter die Kulissen und teilen unsere ersten Erkenntnisse.

 

The good

Bisher konnte in Microsoft Teams innerhalb eines Team kein Channel mit spezifischen Berechtigungen eingerichtet werden. Dies führte mitunter dazu, dass die Informationsarchitektur oftmals rund um diese fehlende Funktionalität gebaut wurde. Ein typischer Workaround war somit bisher, dass dann innerhalb eines Channels Folderstrukturen mit spezifischen (SharePoint) Berechtigungen erstellt wurden, oder aber dass zusätzliche Teams mit spezifischen Berechtigungen erstellt wurden.

 

SharePoint kann es, Slack kann es und nun kann es auch Microsoft Teams

Dank einer klaren visuellen Kennzeichnung können Private Channels in der Channel Übersicht eines Teams gut von den restlichen «normalen» Channels unterschieden werden.

 

Ein paar Facts & Figures zu Private Channels:

  • Der Ersteller des Channels ist automatisch der Owner. Per default gibt es keine Members, diese müssen erst berechtigt werden.
  • Der Private Channel Owner muss nicht zwingend der Team Owner sein.
  • Ein Team Owner kann alle Private Channels sehen,  jedoch nur auf jene zugreifen, wo er auch effektiv berechtigt ist.
  • Nur die Members eines Teams können in einem Private Channel berechtigt werden!
  • Tabs (ausser Stream, Planner und Forms) und Connectors werden in Private Channels unterstützt.
  • Messaging Extensions und Bots werden in Private Channels aktuell nicht unterstützt.
  • Es sind 30 Private Channels pro Team möglich. Die aktuelle Limite von 200 Channels pro Team wird damit um 30 erhöht.
  • Derzeit können maximal 250 User pro Private Channel berechtigt werden.
  • Es gibt eigene Settings in Privat Channels für Member Permissions, Mentioning und Chat Features
  • Graph API und Powershell Commandlets für Entwickler sind auch schon da

Tolle Sache,  man kann nun also innerhalb eines Teams Bereiche bzw. Channels erstellen, welche nicht von allen Team Meambers eingesehen werden können.

 

The Bad

Es können derzeit nur Benutzer, welche bereits Member des jeweiligen Teams sind, in den Private Channels berechtigt werden.  Jeder User der in einem Private Channel berechtigt wird, kann demzufolge auch auf die restlichen Inhalte des Teams zugreifen. Natürlich mit Ausnahme von anderen Private Channels, wo er nicht berechtigt ist.

 

Dies gilt ebenso für externe Benutzer. Der Use Case, dass externen Benutzen Informationen mittels eines Private Channel dediziert zur Verfügung gestellt werden können, ohne dass diese Zugriff auf die restlichen Informationen des Teams haben, kann damit nicht umgesetzt werden.

Dieser Umstand kann sogar die Benutzer dazu verleiten, nur noch Private Channels zu erstellen, und diese jeweils mit dedizierten Berechtigungen auszustatten.

 

Als Faustregel für den Einsatz von Private Channels kann man sich derzeit aus Sicht Informationsarchtietkur folgende Fragen stellen:

  • Gibt es bereits ein Team, dass alle Benutzer als Member hat?
  • Ist es OK, wenn die Benutzer bzw. Member des Private Channel auch die Inhalte in den „normalen“ Channels einsehen können?
  • Werden die Files primär via Teams Client konsumiert?

Falls diese Fragen mit Ja beantwortet werden können, ist die bewusste Erstellung eines Private Channels, unter Berücksichtigung aller Vor- und Nachteile, eventuell ein valabler Lösungsansatz. Falls nicht, gilt es auszuloten, ob ein neues dediziertes Team nicht der bessere Lösungsansatz ist.

 

The Ugly

Schauen wir nun ein bisschen weiter hinter die Kulissen des meistgewünschten Team Features. Man stellt dabei fest, dass Microsoft für die Isolierung der Berechtigungen in den Private Channels ein eher unerwartetes Konzept implementiert hat.

Zuerst zu den Basics:

Ein Team hat im Background immer eine Office 365 Group (hier werden auch die Berechtigungen verwaltet), eine SharePoint Site für die Files sowie ein Outlook Postfach wo die Messages gespeichert werden.

Private Channels stellen dieses Konzept nun auf den Kopf. Jeder Private Channel erhält nämlich eine eigene SharePoint Site.

 

Ein paar Facts & Figures zu den SharePoint Sites hinter den Private Channels

  • Die SharePoint Site hinter einem Private Channel ist nicht „Group-Connected“. Die SharePoint Site berechtigt nämlich die Benutzer mit den altbekannten SharePoint Permissions. Hinzufügen von Members in Teams synchronisiert diese Benutzer in die entsprechende SharePoint Permission Group. Achtung: Dies erfolgt nur one-way. Permissions die direkt in SharePoint gesetzt werden, fliessen nicht zurück in Teams.
  • Die Azure Information Protection Klassifizierung von Chats und Files werden vom Team übernommen.
  • Die Data Loss Prevention (DLP) für Chats wird vom Team übernommen.
  • Die Data Loss Prevention (DLP) für Files ist unabhängig vom Team.

Der Grund weshalb eine eigene SharePoint Site für Private Channels benötigt wird, ist der Fakt das Team Owner per Definition die Rolle «Site Collection Admin» innehaben. Diese können somit jeglichen Inhalt einer Site sehen. Private Channels erlauben es jedoch Informationen vom Team Owner zu verbergen. Dies kann demzufolge nur erreicht werden, wenn die Daten ausserhalb der Team SharePoint Site in einer eigenen dedizierten Private Channel SharePoint Site gespeichert werden.

 

Konsequenzen

Die Art wie Private Channels technisch implementiert sind, stellen uns vor einige Herausforderungen und Fragen wie z.B.:

  • Governance
    • Das Klonen von Teams (create from Team) berücksichtigt aktuell keine Private Channels, und muss deshalb bei Bedarf mit einem eigenem Provisioning umgesetzt werden.
    • Metadaten auf Teams (ja, dass ist möglich) müssen zusätzlich auf die Private Channel Sites gepusht werden.
  • Informationsarchitektur
    • Wann soll ein Private Channel in einem Team und wann ein neues Team erstellt werden?
    • Was ist ein sinnvolles Naming Konzept für die Teams und die Channels?
    • Wie werden Informationssilos vermieden?
  • Apps & Integrationslösungen
    • Keine Bots in Private Channels erfordern eine alternative Integration.
    • Meetings können nicht für Private Channels geplant werden.
  • Offline Synchronisation
    • Da die Daten nun auf mehrere SharePoint Sites verteilt sind, müssen sich die Benutzer die Standard Document Library des Teams lokal synchronisieren und zusätzlich auch noch die Document Library in der SharePoint Site der jeweiligen Private Channels.

 

Fazit

Noch sind Private Channels neu und es gibt noch keine wirklichen Erfahrungswerte. Es mag durchaus Use Cases geben, wo der Einsatz eines Private Channels Sinn macht. Dies sollte jedoch nur sehr bewusst und restriktiv gemacht werden, nachdem die Anforderung bzw. der Use Case zuerst genau von allen verstanden wird. Ansonsten ensteht schon bald ein unübersichtlicher Wildwuchs von Teams und Private Channels den niemand mehr so richtig durchschaut.

 

1stQuad – Ihr Erfolgsrezept für die Einführung und Nutzung von Microsoft Teams

Beschäftigen Sie sich derzeit gerade mit der Frage, wie Sie bei beim Thema Microsoft Teams weiter kommen? Dann sollten Sie unbedingt jetzt mit uns sprechen. Gerne dürfen Sie uns kontaktieren, um mehr über unser ganzheitliches, modulares Teams Angebot zu erfahren. Zudem finden Sie weitere interessante Informationen in unseren anderen Blogbeiträgen zu Microsoft Teams.