In de vorige blog heeft onze Office365 consultant Jorik Polhuis je meegenomen in de functionele zijde van 'Shared Channels' (vanaf nu gedeelde kanalen genoemd) binnen Microsoft Teams. Daar is uitgelegd wat een gedeeld kanaal functioneel kan, hoe het logischerwijs in elkaar zit en wat de voordelen zijn. In deze blog gaat hij verder inzoomen op de technische zijde van gedeelde kanalen. Functioneel biedt het veel voordelen voor de gebruiker, maar aan de achterzijde is het net zo interessant! Er schuilt namelijk een nieuwe techniek onder deze gedeelde kanalen. Jorik neemt je graag weer mee!
Even kort de voordelen opgesomd:
- Overschakelen tussen omgevingen niet meer nodig. Gedeelde kanalen worden getoond tussen de andere kanalen in je eigen Teams-omgeving. Niet meer hoeven schakelen tussen omgevingen op een werkdag, waardoor er geen tijd verloren gaat, is een groot pluspunt voor veel gebruikers.
- Verminder het te veel delen van data. In plaats van de gastgebruiker toegang te geven tot je omgeving en deze toegang te geven tot het team met alle inhoud die daarin zit, kun je hem enkel toegang geven tot een gedeeld kanaal met alleen toegang tot de inhoud die daarin staat. Er worden geen andere kanalen of teams zichtbaar voor de gebruiker!
- Verminder de enorme groei van teams. De enorme groei van teams is geen goede ontwikkeling, het creëert meer Azure AD-groepen en sitecollecties dan je lief is. Een gedeeld kanaal creëert één plek om samen te werken binnen een team en ontwijkt hiermee het proces dat er een apart team moet worden aangemaakt. Het overmatig aanmaken van teams blijft echter een uitdaging.
Azure AD cross-tenant
Gedeelde kanalen gebruiken niet de gebruikelijke Azure AD B2B Collaboration, externe gebruikers hebben geen gastaccount nodig in de omgeving waar het kanaal staat. In plaats daarvan wordt Azure B2B Direct Connect gebruikt. In de praktijk wordt de toegang geautoriseerd door de omgeving waar de gebruiker zelf vandaan komt. Een gedeeld kanaal kan gebruikers uit diverse omgevingen toegang verlenen. Er kan op globaal niveau toegang vanaf een bepaald domein worden ingetrokken, gebruikers van die omgeving zullen dan binnen een uur hun toegang verliezen.
Nu kunnen gastgebruikers authentiseren vanuit een andere Office365 omgeving en niet Microsoft domeinen. Een gedeeld kanaal heeft deze mogelijkheid nog niet, alleen gebruikers met een Azure AD-account kunnen uitgenodigd worden op een gedeeld kanaal. Maar je weet natuurlijk nooit wat er nog gaat komen!
Om toe te laten dat gebruikers vanuit andere Azure AD-omgevingen uitgenodigd kunnen worden in een gedeeld kanaal dient B2B direct connect in Azure AD cross-tenant access geconfigureerd te worden. Hier wordt de toegang verleend om samen te werken met andere omgevingen. Andersom dient B2B direct connect ook geconfigureerd te zijn in de omgevingen waar de gebruikers vandaan komen. B2B direct connect wordt op het moment alleen gebruikt voor Microsoft Teams, maar het is denkbaar dat dit breder ingezet gaat worden voor andere diensten.
Standaard staat B2B direct connect uit, om dit te gebruiken dient dit geconfigureerd te worden. Denk hierbij aan de mogelijkheid om dit stapsgewijs te gaan introduceren. Er zijn mogelijkheden om bijvoorbeeld voor specifieke organisaties, Teams of gebruikers dit aan te zetten.
SharePoint Online en gedeelde kanalen
Privékanalen en gedeelde kanalen hebben beide een eigen SharePoint site collectie. De site van het gedeelde kanaal krijgt de privacy- en gasttoegang instellingen van zijn bovenliggende team, deze instellingen kunnen niet gewijzigd worden. Als je bijvoorbeeld niet wilt dat documenten worden gedeeld via SharePoint dan kunnen sensitivity labels overwogen worden.
De site van een gedeeld kanaal gebruikt de TeamChannel#1 template, deze wordt ook voor privékanalen gebruikt. De gebruikelijke zoekopdrachten via PowerShell om privékanalen op te zoeken hoeft maar iets aangepast te worden, specifiek bij het TeamsChannelType, om een lijst van alle gedeelde kanalensites te krijgen.
Adminzijde
Inzoomend op de administratieve zijde zien we dat dit goed op orde is. Bijvoorbeeld PowerShell, Microsoft Graph en admin portals zijn al klaargemaakt voor het gebruik van gedeelde kanalen. Daarnaast geldt de normale gang van zaken voor gedeelde kanalen, denk hierbij aan het kunnen herstellen van een gedeeld kanaal tot 30 dagen na verwijderen.
Machtigingen
Tot nu waren leden van een team of privé kanaal altijd op de achtergrond lid van een Azure AD Groep, dit was direct met elkaar verbonden. Zo konden de admins toch nog rapporten uitdraaien wie waar rechten op heeft en op welk niveau inclusief alle andere Azure AD-groepen. Een overzicht van het gehele Azure AD waar ook Teams toegang tot behoorde. Nu door B2B direct connect kunnen gebruikers toegang hebben tot een gedeeld kanaal zonder in een gebruikelijke Azure AD-groep te zitten. Een nieuwe uitdaging dus om voor admins het overzicht te houden in deze al maar complexer wordende omgevingen.
Zal dit het einde betekenen van Azure B2B Collaboration?
Als je het aan mij vraagt niet en al zeker niet op korte termijn. Op dit moment zijn er nog redenen om Azure B2B Collaboration te gebruiken. Namelijk wanneer je als gastgebruiker zelf geen Teams gebruikt, toegang hebt tot meerdere teams in de gastomgeving of geen Azure AD account op dit moment hebt. Buiten deze redenen om nog te werken met gastaccounts is het hoogstwaarschijnlijk dat het aantal gastaccounts erg gaat teruglopen door deze nieuwe ontwikkeling. Dat is naast het functionele gewin bij gebruikers ook zeer waardevol voor de beheerders van de omgeving. Het aantal gastaccounts gaat teruglopen en kortstondige toegang van gasten in de omgeving vervuilt het Azure AD niet meer.