Seit einiger Zeit ist es ja (wieder) möglich, die sehr beschränkte App-Steuerung mittels Team App Permission Policies auf die neue App Permission zu migrieren.
Da mit dem neuen Verfahren die Verwaltung endlich wesentlich besser wird, ist diese Migration empfohlen, hier ein paar Best practices.
Vorbereitung und Dokumentation
Wenn Du mehrere App Permission Policies heute hast, empfiehlt sich eine Dokumentation der derzeitigen Policies. Ich habe mir dazu ein Excel gemacht, wo in den Zeilen die zugewiesenen Apps sind und in den Spalten die einzelnen Policies:
Alle Apps, die in jeder App Permission Policy verwendet wurden, bekommen in der GLOBAL ein X
Nun brauche ich für jede Spalte (ausgenommen GLOBAL) eine Gruppe. Es sollten NIEMALS Apps einzelnen Usern direkt zugeordnet werden, es sollte entweder pro App eine Gruppe geben oder eine Gruppe für App-Sammlungen (wie in dem Beispiel für die Azure-Apps)
Wie weiß ich, welcher User heute welche App Permission Policy zugewiesen hat ?
Einfach ins Teams Admin Center gehen, auf Users – Manage Users und mit dem Keil (?) im rechten Eck einen Filter auf die jeweilige App Permission Policy setzen – die gefundenen User können dann mit dem Excel Symbol links neben dem Keil exportiert werden (und dann in die jeweilige Gruppe hinzugefügt werden):
Problematisch sind die User, die ALLE Apps installieren dürfen, weil der Migrationswizard mir ALLE jemals installierten Apps aufzeigt. Hier ist meine Empfehlung, diesen hoffentlich WENIGEN Usern eine Mail zu schicken und zu fragen, welche Apps sie in Verwendung haben in Teams.
Dürfen ALLE User ALLE Apps installieren (ja, soll vorkommen 😉 ) kann ich mir die Vorbereitung sparen 😉
Migration
Nach dieser Vorbereitung kann ich die Migration starten – der Wizard findet sich dazu im App Permission Policy Menü bzw. dem Manage App Menü:
Danach wähle ich alle App Permission Policies aus, die ich migrieren möchte
Nun werden alle Apps angezeigt in den Kategorien:
Für jeden User verfügbar, für keinen User verfügbar und für gewisse User verfügbar.
Ich kann global für Microsoft Apps, 3rd Party Apps und Custom Apps die Verfügbarkeit auswählen (siehe weiter unten)
Ich muss JEDE EINZELNE APP, die dieser globalen Einstellung NICHT entspricht, manuell anklicken und mit Manage Users Erlauben/verbieten/einer Gruppe zuweisen!
Meine Empfehlung:
3rd Party Apps und Custom Apps sollten für alle User global gesperrt werden.
Microsoft Apps entweder global freigeben (einfach) oder hier selektiv die nützlichen auswählen (empfohlen)
Im nächsten Schritt kann ich meine Einstellungen noch verifizieren:
Und erst im nächsten Schritt starte ich die eigentliche Migration – bis dorthin kann ich den Prozess jederzeit unterbrechen oder neu starten.
Offenes Thema
Was ich noch nicht gefunden habe ist eine Konfiguration, die wir bei einigen Kunden haben:
Da darf eine sehr kleine Gruppe von Usern ALLE Apps installieren –
Hintergrund: Diese Poweruser sollen Appanfragen prüfen und nützliche Apps rausfiltern.
Das geht ja problemlos mit den „alten“ App Permission Policies (weil Userbasierend) aber wie ich das mit den neuen App Policies löse, weiß ich noch nicht…
