Teilen über


Konfigurieren der Ablaufrichtlinie für Microsoft 365-Gruppen

In diesem Artikel wird beschrieben, wie Sie den Lebenszyklus von Microsoft 365-Gruppen durch Festlegen einer Ablaufrichtlinie verwalten können. Sie können Ablaufrichtlinien nur für Microsoft 365-Gruppen in Microsoft Entra ID, festlegen.

Das Festlegen eines Ablaufs für eine Gruppe bewirkt Folgendes:

  • Gruppen mit Benutzeraktivitäten werden kurz vor Ablauf automatisch verlängert.
  • Besitzer der Gruppe werden aufgefordert, die Gruppe zu erneuern, wenn die Gruppe nicht automatisch erneuert wird.
  • Nicht erneuerte Gruppen werden gelöscht.
  • Eine gelöschte Microsoft 365-Gruppe kann innerhalb von 30 Tagen von den Gruppenbesitzern oder vom Administrator wiederhergestellt werden.

Zurzeit kann für alle Microsoft 365-Gruppen in einer Microsoft Entra-Organisation nur eine einzige Ablaufrichtlinie konfiguriert werden.

Hinweis

Beim Konfigurieren und Verwenden der Ablaufrichtlinie für Microsoft 365-Gruppen müssen Sie über Microsoft Entra ID P1- oder P2-Lizenzen für die Mitglieder aller Gruppen verfügen, auf die die Ablaufrichtlinie angewendet wird, diese Lizenzen aber nicht unbedingt zuweisen.

Informationen zum Herunterladen und Installieren von Microsoft Graph PowerShell-Cmdlets finden Sie unter Installieren des Microsoft Graph PowerShell SDK.

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.

Aktivitätsbasierte automatische Erneuerung

Mit Microsoft Entra-Intelligence werden Gruppen nun automatisch erneuert, je nachdem, ob sie kürzlich verwendet wurden. Dieses Feature beseitigt die Notwendigkeit manueller Aktionen durch Gruppenbesitzer. Es basiert auf Benutzeraktivitäten in Gruppen für Microsoft 365-Dienste wie Outlook, SharePoint, Teams, Yammer.

Beispielsweise kann ein Besitzer oder ein Gruppenmitglied etwa wie folgt vorgehen:

  • Senden einer E-Mail an die Gruppe in Outlook.
  • Laden Sie ein Dokument an SharePoint hoch.
  • Besuchen eines Teams-Kanals.
  • Anzeigen eines Beitrag in Yammer.

In den vorherigen Szenarien wird die Gruppe automatisch ca. 35 Tage vor Ablauf der Gruppe verlängert, und der Besitzer erhält keine Verlängerungsbenachrichtigungen.

Betrachten Sie nun eine Ablaufrichtlinie, die so festgelegt ist, dass eine Gruppe nach 30 Tagen Inaktivität abläuft. Um zu verhindern, dass an dem Tag, an dem der Gruppenablauf aktiviert wird, eine Ablauf-E-Mail gesendet wird (weil es noch keine Datensatzaktivität gibt), wartet Microsoft Entra zunächst fünf Tage. Führen Sie dann folgende Schritte aus:

  • Wenn in diesen fünf Tagen Aktivitäten zu erwarten sind, funktioniert die Ablaufrichtlinie wie erwartet.
  • Wenn innerhalb von fünf Tagen keine Aktivität vorhanden ist, sendet die Microsoft Entra-ID eine Ablauf- oder Verlängerungs-E-Mail.
  • Wenn die Gruppe fünf Tage lang inaktiv war, eine E-Mail gesendet wurde und die Gruppe dann aktiv war, wird Microsoft Entra sie neu starten und den Ablaufzeitraum erneut starten.

Aktivitäten, durch die der Ablauf der Gruppe automatisch verlängert wird

Die folgenden Benutzeraktionen bewirken die automatische Gruppenerneuerung:

  • SharePoint: Anzeigen, Bearbeiten, Herunterladen, Verschieben, Freigeben oder Hochladen von Dateien.
  • Outlook: Beitreten zur Gruppe, Lesen/Schreiben von Gruppennachrichten im Gruppenbereich, Markieren einer Nachricht mir „Gefällt mir“ (in Outlook Web Access).
  • Teams: Besuchen eines Teams-Kanals.
  • Yammer: Anzeigen eines Beitrages in einer Yammer Community oder einer interaktiven E-Mail in Outlook.

Überwachung und Berichterstellung

Administratoren können eine Liste der automatisch erneuerten Gruppen aus den Aktivitätsüberwachungsprotokollen in Microsoft Entra ID abrufen.

Screenshot: automatische Verlängerung von Gruppen auf Grundlage von Aktivitäten.

Rollen und Berechtigungen

Nachfolgend sind Rollen aufgeführt, mit denen der Ablauf für Microsoft 365-Gruppen in Microsoft Entra ID konfiguriert und verwendet werden kann.

Rolle Berechtigungen
Globaler Administrator, oder Benutzeradministrator Kann die Einstellungen der Ablaufrichtlinie für Microsoft 365-Gruppen erstellen, lesen, aktualisieren oder löschen
Kann eine beliebige Microsoft 365-Gruppe erneuern
Benutzer Sie können eine Microsoft 365-Gruppe erneuern, die sie besitzen
Sie können eine Microsoft 365-Gruppe wiederherstellen, die sie besitzen
Kann die Einstellungen der Ablaufrichtlinie lesen

Weitere Informationen zu Berechtigungen zum Wiederherstellen einer gelöschten Gruppe finden Sie unter Wiederherstellen einer gelöschten Microsoft 365-Gruppe in Microsoft Entra ID.

Festlegen des Gruppenablaufs

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.

  2. Wählen Sie Microsoft Entra ID aus.

  3. Wählen Sie zuerst Gruppen>Alle Gruppen, and dann Ablauf aus, um die Ablaufeinstellungen zu öffnen.

    Screenshot: Ablaufeinstellungen für Gruppen.

  4. Auf der Seite Ablauf haben Sie folgende Möglichkeiten:

    • Die Gruppenlebensdauer in Tagen festlegen. Sie können einen der voreingestellten Werte oder einen benutzerdefinierten Wert auswählen. Dieser sollte 30 Tage oder mehr betragen.
    • Geben Sie eine E-Mail-Adresse an, an die die Verlängerungs- und Ablaufbenachrichtigungen gesendet werden, wenn eine Gruppe keinen Besitzer hat.
    • Wählen Sie aus, welche Microsoft 365-Gruppen ablaufen sollen. Sie können den Ablauf wie folgt festlegen:
      • Alle Microsoft 365-Gruppen.
      • Ausgewählte Microsoft 365 Gruppen.
      • Für Keine, um den Ablauf für alle Gruppen einzuschränken.
    • Speichern Sie die Einstellungen durch Auswahl von Speichern.

Hinweis

  • Beim erstmaligen Einrichten des Ablaufs wird für alle Gruppen, deren Alter das Ablaufintervall übersteigt, ein Ablaufzeitraum von 35 Tagen festgelegt – außer wenn der Besitzer ihn verlängert oder die Gruppe automatisch erneuert wird.
  • Wenn eine dynamische Gruppe gelöscht und wiederhergestellt wird, gilt sie als neue Gruppe und wird der Regel entsprechend erneut aufgefüllt. Dieser Vorgang kann bis zu 24 Stunden dauern.
  • Benachrichtigungen über den Ablauf für in Teams verwendeten Gruppen werden im Feed „Teams-Besitzer“ angezeigt.
  • Wenn Sie den Ablauf für ausgewählte Gruppen aktivieren, können Sie der Liste bis zu 500 Gruppen hinzufügen. Wenn Sie mehr als 500 Gruppen hinzufügen müssen, können Sie den Ablauf für alle Gruppen aktivieren. In diesem Szenario gilt die Einschränkung von 500 Gruppen nicht.
  • Gruppen werden nicht sofort verlängert, wenn Aktivitäten zur automatischen Verlängerung auftreten. Im Falle einer Aktivität wird die Gruppe mit einem Flag versehen, um anzugeben, dass sie zur Verlängerung bereit ist, wenn sie kurz vor dem Ablauf steht. Wenn die Gruppe kurz vor dem Ablauf steht, erfolgt die Verlängerung innerhalb von 24 Stunden.

E-Mail-Benachrichtigungen

Werden Gruppen nicht automatisch erneuert, so werden E-Mail-Benachrichtigungen wie diese 30 Tage, 15 Tage und 1 Tag vor Ablauf der Gruppe an die Microsoft 365-Gruppenbesitzer gesendet.

Die Sprache der E-Mail richtet sich nach der bevorzugten Sprache des Gruppenbesitzers oder der Microsoft Entra-Spracheinstellung. Wenn der Gruppenbesitzer eine bevorzugte Sprache definiert hat oder mehrere Besitzer die gleiche bevorzugte Sprache haben, wird diese Sprache verwendet. In allen anderen Fällen wird die Microsoft Entra-Spracheinstellung verwendet.

Screenshot: E-Mail-Benachrichtigungen zum Ablauf.

Aus der Benachrichtigungs-E-Mail zu Gruppe verlängern können Gruppenbesitzer direkt auf die Seite mit den Gruppendetails im Zugriffsbereich zugreifen. Auf dieser Seite erhalten Benutzer weitere Informationen zur Gruppe, z.B. Beschreibung, Zeitpunkt der letzten Verlängerung, Ablaufzeitpunkt und Möglichkeit zur Verlängerung der Gruppe. Die Seite mit den Gruppendetails enthält jetzt auch Links zu den Microsoft 365-Gruppenressourcen, sodass der Gruppenbesitzer den Inhalt und die Aktivitäten der Gruppe bequem anzeigen kann.

Wichtig

Wenn ein Problem mit den Benachrichtigungs-E-Mails besteht und sie nicht gesendet werden oder verzögert werden, sollten Sie sicher sein, dass Microsoft eine Gruppe niemals löscht, bevor die letzte E-Mail gesendet wird.

Wenn eine Gruppe abläuft, wird die Gruppe einen Tag nach dem Ablaufdatum gelöscht. Eine E-Mail-Benachrichtigung wie diese wird an die Microsoft 365-Gruppenbesitzer gesendet, um sie über den Ablauf und die nachfolgende Löschung ihrer Microsoft 365-Gruppe zu informieren.

Screenshot: E-Mail-Benachrichtigungen zum Löschen von Gruppen.

Sie können die Gruppe innerhalb von 30 Tagen nach dem Löschen wiederherstellen, indem Sie Gruppe wiederherstellen wählen, oder mithilfe von PowerShell-Cmdlets. Für weitere Informationen, siehe Wiederherstellung einer gelöschten Microsoft 365-Gruppe in Microsoft Entra ID. Der 30-tägige Zeitraum für die Wiederherstellung der Gruppe kann nicht angepasst werden.

Wenn die Gruppe, die Sie wiederherstellen, Dokumente, SharePoint-Websites oder andere beständige Objekte enthält, kann es bis zu 24 Stunden dauern, bis die Gruppe und deren Inhalte vollständig wiederhergestellt werden.

Abrufen des Ablaufdatums für eine Microsoft 365-Gruppe

Zusätzlich zum Zugriffsbereich, in dem Benutzer Gruppendetails wie das Ablaufdatums und das Datums der letzten Erneuerung anzeigen können, kann das Ablaufdatum einer Microsoft 365-Gruppe von der Microsoft Graph REST API Beta abgerufen werden. Die Gruppeneigenschaft expirationDateTime ist in Microsoft Graph Beta aktiviert. Sie kann mit einer GET-Anforderung abgerufen werden. Weitere Informationen finden Sie in diesem Beispiel.

Hinweis

Um Gruppenmitgliedschaften im Zugriffsbereich zu verwalten, muss Zugriff auf Gruppen im Zugriffsbereich einschränken in der Einstellung Microsoft Entra Gruppen Allgemein auf Nein gesetzt werden.

Wenn eine Gruppe abläuft und gelöscht wird, werden die Daten der Gruppe für Apps wie Planner, Sites oder Teams 30 Tage nach dem Löschvorgang endgültig gelöscht. Das Gruppenpostfach, das sich in der gesetzlichen Aufbewahrungspflicht befindet, wird aufbewahrt und nicht dauerhaft gelöscht. Der Administrator kann Exchange-Cmdlets verwenden, um das Postfach zum Abrufen der Daten wiederherzustellen.

Microsoft 365-Gruppenablauf mit Aufbewahrungsrichtlinie

Sie können die Aufbewahrungsrichtlinie mithilfe des Security & Compliance-Portals konfigurieren. Dort können Sie eine Aufbewahrungsrichtlinie für Microsoft 365-Gruppen einrichten. Die Gruppenunterhaltungen im Postfach der Gruppe und die Dateien auf der Site der Gruppe werden nach dem Ablauf und der Löschung einer Gruppe im Aufbewahrungscontainer gemäß der Angabe in der Aufbewahrungsrichtlinie (in Tagen) beibehalten. Die Benutzer sehen die Gruppe oder deren Inhalte nach Ablauf nicht mehr. Sie können die Website- und Postfachdaten über E-Discovery wiederherstellen.

PowerShell-Beispiele

Hier finden Sie einige Beispiele dafür, wie Sie die Ablaufeinstellungen für Microsoft 365-Gruppen in Ihrer Microsoft Entra-Organisation mithilfe von PowerShell-Cmdlets konfigurieren können:

  1. Installieren Sie das Microsoft Graph PowerShell-Modul, und melden Sie sich an der PowerShell-Eingabeaufforderung an.

    Install-Module Microsoft.Graph -Scope CurrentUser
    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    
  2. Konfigurieren Sie die Ablaufeinstellungen. Verwenden Sie das Cmdlet New-MgGroupLifecyclePolicy, um die Lebensdauer für alle Microsoft 365-Gruppen in der Microsoft Entra-Organisation auf 365 Tage festzulegen. Benachrichtigungen zur Erneuerung für Microsoft 365-Gruppen ohne Besitzer werden an emailaddress@contoso.com gesendet.

    New-MgGroupLifecyclePolicy -AlternateNotificationEmails emailaddress@contoso.com `
       -GroupLifetimeInDays 365 -ManagedGroupTypes All
    
  3. Rufen Sie die vorhandene Richtlinie mithilfe von Get-MgGroupLifecyclePolicy ab. Mit diesem Cmdlet können Sie die aktuellen konfigurierten Einstellungen zum Microsoft 365-Gruppenablauf abrufen.

    Get-MgGroupLifecyclePolicy
    

    In diesem Beispiel sehen Sie Folgendes:

    • Richtlinien-ID.
    • Benachrichtigungen zur Erneuerung für Microsoft 365-Gruppen ohne Besitzer werden an emailaddress@contoso.com gesendet.
    • Festlegung der Lebensdauer für alle Microsoft 365-Gruppen in der Microsoft Entra-Organisation auf 365 Tage.
    Id                                   AlternateNotificationEmails GroupLifetimeInDays ManagedGroupTypes
    --                                   --------------------------- ------------------- -----------------
    1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5 emailaddress@contoso.com    365                 All
    
  4. Aktualisieren Sie die vorhandene Richtlinie mithilfe von Update-MgGroupLifecyclePolicy. Dieses Cmdlet dient zum Aktualisieren einer vorhandenen Richtlinie. Im folgenden Beispiel wird die Lebensdauer der Gruppe in der vorhandenen Richtlinie von 365 Tagen in 180 Tage geändert.

    Update-MgGroupLifecyclePolicy -GroupLifecyclePolicyId "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5" -GroupLifetimeInDays 180 -AlternateNotificationEmails "emailaddress@contoso.com"
    
  5. Fügen Sie der Richtlinie mithilfe von Add-MgGroupToLifecyclePolicy bestimmte Gruppen hinzu. Mit diesem Cmdlet können Sie der Lebenszyklusrichtlinie eine Gruppe hinzufügen. Beispiel:

    Add-MgGroupToLifecyclePolicy -GroupLifecyclePolicyId "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5" -GroupId "cffd97bd-6b91-4c4e-b553-6918a320211c"
    
  6. Entfernen Sie die vorhandene Richtlinie mithilfe von Remove-MgGroupLifecyclePolicy. Mit diesem Cmdlet können Sie die Einstellungen für den Microsoft 365-Gruppenablauf löschen (unter Angabe der Richtlinien-ID). Dieses Cmdlet deaktiviert den Ablauf für Microsoft 365-Gruppen.

    Remove-MgGroupLifecyclePolicy -GroupLifecyclePolicyId "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5"
    

Die folgenden Cmdlets können verwendet werden, um die Richtlinie ausführlicher zu konfigurieren. Weitere Informationen finden Sie in der Dokumentation zu Microsoft Graph PowerShell.

Nächste Schritte

Für weitere Informationen über Microsoft Entra-Gruppen: