Konfigurieren der Ablaufrichtlinie für Microsoft 365-Gruppen
In diesem Artikel wird beschrieben, wie Sie den Lebenszyklus von Microsoft 365-Gruppen durch Festlegen einer Ablaufrichtlinie verwalten können. Sie können Ablaufrichtlinien nur für Microsoft 365-Gruppen in Microsoft Entra ID, festlegen.
Das Festlegen eines Ablaufs für eine Gruppe bewirkt Folgendes:
- Gruppen mit Benutzeraktivitäten werden kurz vor Ablauf automatisch verlängert.
- Besitzer der Gruppe werden aufgefordert, die Gruppe zu erneuern, wenn die Gruppe nicht automatisch erneuert wird.
- Nicht erneuerte Gruppen werden gelöscht.
- Eine gelöschte Microsoft 365-Gruppe kann innerhalb von 30 Tagen von den Gruppenbesitzern oder vom Administrator wiederhergestellt werden.
Zurzeit kann für alle Microsoft 365-Gruppen in einer Microsoft Entra-Organisation nur eine einzige Ablaufrichtlinie konfiguriert werden.
Hinweis
Beim Konfigurieren und Verwenden der Ablaufrichtlinie für Microsoft 365-Gruppen müssen Sie über Microsoft Entra ID P1- oder P2-Lizenzen für die Mitglieder aller Gruppen verfügen, auf die die Ablaufrichtlinie angewendet wird, diese Lizenzen aber nicht unbedingt zuweisen.
Informationen zum Herunterladen und Installieren von Microsoft Graph PowerShell-Cmdlets finden Sie unter Installieren des Microsoft Graph PowerShell SDK.
Wichtig
Bei Azure AD PowerShell ist die Einstellung der Unterstützung für den 30. März 2024 geplant. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Microsoft Graph PowerShell ermöglicht den Zugriff auf alle Microsoft Graph-APIs und ist in PowerShell 7 verfügbar. Antworten auf allgemeine Migrationsfragen finden Sie unter Häufig gestellte Fragen zur Migration.
Aktivitätsbasierte automatische Erneuerung
Mit Microsoft Entra-Intelligence werden Gruppen nun automatisch erneuert, je nachdem, ob sie kürzlich verwendet wurden. Dieses Feature beseitigt die Notwendigkeit manueller Aktionen durch Gruppenbesitzer. Es basiert auf Benutzeraktivitäten in Gruppen für Microsoft 365-Dienste wie Outlook, SharePoint, Teams, Yammer.
Beispielsweise kann ein Besitzer oder ein Gruppenmitglied etwa wie folgt vorgehen:
- Senden einer E-Mail an die Gruppe in Outlook.
- Laden Sie ein Dokument an SharePoint hoch.
- Besuchen eines Teams-Kanals.
- Anzeigen eines Beitrag in Yammer.
In den vorherigen Szenarien wird die Gruppe automatisch ca. 35 Tage vor Ablauf der Gruppe verlängert, und der Besitzer erhält keine Verlängerungsbenachrichtigungen.
Betrachten Sie nun eine Ablaufrichtlinie, die so festgelegt ist, dass eine Gruppe nach 30 Tagen Inaktivität abläuft. Um zu verhindern, dass an dem Tag, an dem der Gruppenablauf aktiviert wird, eine Ablauf-E-Mail gesendet wird (weil es noch keine Datensatzaktivität gibt), wartet Microsoft Entra zunächst fünf Tage. Führen Sie dann folgende Schritte aus:
- Wenn in diesen fünf Tagen Aktivitäten zu erwarten sind, funktioniert die Ablaufrichtlinie wie erwartet.
- Wenn innerhalb von fünf Tagen keine Aktivität vorhanden ist, sendet die Microsoft Entra-ID eine Ablauf- oder Verlängerungs-E-Mail.
- Wenn die Gruppe fünf Tage lang inaktiv war, eine E-Mail gesendet wurde und die Gruppe dann aktiv war, wird Microsoft Entra sie neu starten und den Ablaufzeitraum erneut starten.
Aktivitäten, durch die der Ablauf der Gruppe automatisch verlängert wird
Die folgenden Benutzeraktionen bewirken die automatische Gruppenerneuerung:
- SharePoint: Anzeigen, Bearbeiten, Herunterladen, Verschieben, Freigeben oder Hochladen von Dateien.
- Outlook: Beitreten zur Gruppe, Lesen/Schreiben von Gruppennachrichten im Gruppenbereich, Markieren einer Nachricht mir „Gefällt mir“ (in Outlook Web Access).
- Teams: Besuchen eines Teams-Kanals.
- Yammer: Anzeigen eines Beitrages in einer Yammer Community oder einer interaktiven E-Mail in Outlook.
Überwachung und Berichterstellung
Administratoren können eine Liste der automatisch erneuerten Gruppen aus den Aktivitätsüberwachungsprotokollen in Microsoft Entra ID abrufen.
Rollen und Berechtigungen
Nachfolgend sind Rollen aufgeführt, mit denen der Ablauf für Microsoft 365-Gruppen in Microsoft Entra ID konfiguriert und verwendet werden kann.
| Rolle | Berechtigungen |
|---|---|
| Globaler Administrator, Gruppenadministrator oder Benutzeradministrator | Kann die Einstellungen der Ablaufrichtlinie für Microsoft 365-Gruppen erstellen, lesen, aktualisieren oder löschen Kann eine beliebige Microsoft 365-Gruppe erneuern |
| Benutzer | Sie können eine Microsoft 365-Gruppe erneuern, die sie besitzen Sie können eine Microsoft 365-Gruppe wiederherstellen, die sie besitzen Kann die Einstellungen der Ablaufrichtlinie lesen |
Weitere Informationen zu Berechtigungen zum Wiederherstellen einer gelöschten Gruppe finden Sie unter Wiederherstellen einer gelöschten Microsoft 365-Gruppe in Microsoft Entra ID.
Festlegen des Gruppenablaufs
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Globaler Administrator an.
Wählen Sie Microsoft Entra ID aus.
Wählen Sie zuerst Gruppen>Alle Gruppen, and dann Ablauf aus, um die Ablaufeinstellungen zu öffnen.
Auf der Seite Ablauf haben Sie folgende Möglichkeiten:
- Die Gruppenlebensdauer in Tagen festlegen. Sie können einen der voreingestellten Werte oder einen benutzerdefinierten Wert auswählen. Dieser sollte 30 Tage oder mehr betragen.
- Geben Sie eine E-Mail-Adresse an, an die die Verlängerungs- und Ablaufbenachrichtigungen gesendet werden, wenn eine Gruppe keinen Besitzer hat.
- Wählen Sie aus, welche Microsoft 365-Gruppen ablaufen sollen. Sie können den Ablauf wie folgt festlegen:
- Alle Microsoft 365-Gruppen.
- Ausgewählte Microsoft 365 Gruppen.
- Für Keine, um den Ablauf für alle Gruppen einzuschränken.
- Speichern Sie die Einstellungen durch Auswahl von Speichern.
Hinweis
- Beim erstmaligen Einrichten des Ablaufs wird für alle Gruppen, deren Alter das Ablaufintervall übersteigt, ein Ablaufzeitraum von 35 Tagen festgelegt – außer wenn der Besitzer ihn verlängert oder die Gruppe automatisch erneuert wird.
- Wenn eine dynamische Gruppe gelöscht und wiederhergestellt wird, gilt sie als neue Gruppe und wird der Regel entsprechend erneut aufgefüllt. Dieser Vorgang kann bis zu 24 Stunden dauern.
- Benachrichtigungen über den Ablauf für in Teams verwendeten Gruppen werden im Feed „Teams-Besitzer“ angezeigt.
- Wenn Sie den Ablauf für ausgewählte Gruppen aktivieren, können Sie der Liste bis zu 500 Gruppen hinzufügen. Wenn Sie mehr als 500 Gruppen hinzufügen müssen, können Sie den Ablauf für alle Gruppen aktivieren. In diesem Szenario gilt die Einschränkung von 500 Gruppen nicht.
- Gruppen werden nicht sofort verlängert, wenn Aktivitäten zur automatischen Verlängerung auftreten. Im Falle einer Aktivität wird die Gruppe mit einem Flag versehen, um anzugeben, dass sie zur Verlängerung bereit ist, wenn sie kurz vor dem Ablauf steht. Wenn die Gruppe kurz vor dem Ablauf steht, erfolgt die Verlängerung innerhalb von 24 Stunden.
E-Mail-Benachrichtigungen
Werden Gruppen nicht automatisch erneuert, so werden E-Mail-Benachrichtigungen wie diese 30 Tage, 15 Tage und 1 Tag vor Ablauf der Gruppe an die Microsoft 365-Gruppenbesitzer gesendet.
Die Sprache der E-Mail richtet sich nach der bevorzugten Sprache des Gruppenbesitzers oder der Microsoft Entra-Spracheinstellung. Wenn der Gruppenbesitzer eine bevorzugte Sprache definiert hat oder mehrere Besitzer die gleiche bevorzugte Sprache haben, wird diese Sprache verwendet. In allen anderen Fällen wird die Microsoft Entra-Spracheinstellung verwendet.
Aus der Benachrichtigungs-E-Mail zu Gruppe verlängern können Gruppenbesitzer direkt auf die Seite mit den Gruppendetails im Zugriffsbereich zugreifen. Auf dieser Seite erhalten Benutzer weitere Informationen zur Gruppe, z.B. Beschreibung, Zeitpunkt der letzten Verlängerung, Ablaufzeitpunkt und Möglichkeit zur Verlängerung der Gruppe. Die Seite mit den Gruppendetails enthält jetzt auch Links zu den Microsoft 365-Gruppenressourcen, sodass der Gruppenbesitzer den Inhalt und die Aktivitäten der Gruppe bequem anzeigen kann.
Wichtig
Wenn ein Problem mit den Benachrichtigungs-E-Mails besteht und sie nicht gesendet werden oder verzögert werden, sollten Sie sicher sein, dass Microsoft eine Gruppe niemals löscht, bevor die letzte E-Mail gesendet wird.
Wenn eine Gruppe abläuft, wird die Gruppe einen Tag nach dem Ablaufdatum gelöscht. Eine E-Mail-Benachrichtigung wie diese wird an die Microsoft 365-Gruppenbesitzer gesendet, um sie über den Ablauf und die nachfolgende Löschung ihrer Microsoft 365-Gruppe zu informieren.
Sie können die Gruppe innerhalb von 30 Tagen nach dem Löschen wiederherstellen, indem Sie Gruppe wiederherstellen wählen, oder mithilfe von PowerShell-Cmdlets. Für weitere Informationen, siehe Wiederherstellung einer gelöschten Microsoft 365-Gruppe in Microsoft Entra ID. Der 30-tägige Zeitraum für die Wiederherstellung der Gruppe kann nicht angepasst werden.
Wenn die Gruppe, die Sie wiederherstellen, Dokumente, SharePoint-Websites oder andere beständige Objekte enthält, kann es bis zu 24 Stunden dauern, bis die Gruppe und deren Inhalte vollständig wiederhergestellt werden.
Abrufen des Ablaufdatums für eine Microsoft 365-Gruppe
Zusätzlich zum Zugriffsbereich, in dem Benutzer Gruppendetails wie das Ablaufdatums und das Datums der letzten Erneuerung anzeigen können, kann das Ablaufdatum einer Microsoft 365-Gruppe von der Microsoft Graph REST API Beta abgerufen werden. Die Gruppeneigenschaft expirationDateTime ist in Microsoft Graph Beta aktiviert. Sie kann mit einer GET-Anforderung abgerufen werden. Weitere Informationen finden Sie in diesem Beispiel.
Hinweis
Um Gruppenmitgliedschaften im Zugriffsbereich zu verwalten, muss Zugriff auf Gruppen im Zugriffsbereich einschränken in der Allgemeinen Einstellung für Microsoft Entra-Gruppen auf Nein festgelegt werden.
Microsoft 365-Gruppenablauf bei einem Postfach mit gesetzlicher Aufbewahrungspflicht
Wenn eine Gruppe abläuft und gelöscht wird, werden die Daten der Gruppe für Apps wie Planner, Sites oder Teams 30 Tage nach dem Löschvorgang endgültig gelöscht. Das Gruppenpostfach, das sich in der gesetzlichen Aufbewahrungspflicht befindet, wird aufbewahrt und nicht dauerhaft gelöscht. Der Administrator kann Exchange-Cmdlets verwenden, um das Postfach zum Abrufen der Daten wiederherzustellen.
Microsoft 365-Gruppenablauf mit Aufbewahrungsrichtlinie
Sie können die Aufbewahrungsrichtlinie mithilfe des Security & Compliance-Portals konfigurieren. Dort können Sie eine Aufbewahrungsrichtlinie für Microsoft 365-Gruppen einrichten. Die Gruppenunterhaltungen im Postfach der Gruppe und die Dateien auf der Site der Gruppe werden nach dem Ablauf und der Löschung einer Gruppe im Aufbewahrungscontainer gemäß der Angabe in der Aufbewahrungsrichtlinie (in Tagen) beibehalten. Die Benutzer sehen die Gruppe oder deren Inhalte nach Ablauf nicht mehr. Sie können die Website- und Postfachdaten über E-Discovery wiederherstellen.
PowerShell-Beispiele
Hier finden Sie einige Beispiele dafür, wie Sie die Ablaufeinstellungen für Microsoft 365-Gruppen in Ihrer Microsoft Entra-Organisation mithilfe von PowerShell-Cmdlets konfigurieren können:
Installieren Sie das Microsoft Graph PowerShell-Modul, und melden Sie sich an der PowerShell-Eingabeaufforderung an.
Install-Module Microsoft.Graph -Scope CurrentUser Connect-MgGraph -Scopes "Directory.ReadWrite.All"Konfigurieren Sie die Ablaufeinstellungen. Verwenden Sie das Cmdlet New-MgGroupLifecyclePolicy, um die Lebensdauer für alle Microsoft 365-Gruppen in der Microsoft Entra-Organisation auf 365 Tage festzulegen. Benachrichtigungen zur Erneuerung für Microsoft 365-Gruppen ohne Besitzer werden an
emailaddress@contoso.comgesendet.New-MgGroupLifecyclePolicy -AlternateNotificationEmails emailaddress@contoso.com ` -GroupLifetimeInDays 365 -ManagedGroupTypes AllRufen Sie die vorhandene Richtlinie mithilfe von Get-MgGroupLifecyclePolicy ab. Mit diesem Cmdlet können Sie die aktuellen konfigurierten Einstellungen zum Microsoft 365-Gruppenablauf abrufen.
Get-MgGroupLifecyclePolicyIn diesem Beispiel sehen Sie Folgendes:
- Richtlinien-ID.
- Benachrichtigungen zur Erneuerung für Microsoft 365-Gruppen ohne Besitzer werden an
emailaddress@contoso.comgesendet. - Festlegung der Lebensdauer für alle Microsoft 365-Gruppen in der Microsoft Entra-Organisation auf 365 Tage.
Id AlternateNotificationEmails GroupLifetimeInDays ManagedGroupTypes -- --------------------------- ------------------- ----------------- 0d21d969-85ed-4c75-8675-eb1bc4899f4e emailaddress@contoso.com 365 AllAktualisieren Sie die vorhandene Richtlinie mithilfe von Update-MgGroupLifecyclePolicy. Dieses Cmdlet dient zum Aktualisieren einer vorhandenen Richtlinie. Im folgenden Beispiel wird die Lebensdauer der Gruppe in der vorhandenen Richtlinie von 365 Tagen in 180 Tage geändert.
Update-MgGroupLifecyclePolicy -GroupLifecyclePolicyId "0d21d969-85ed-4c75-8675-eb1bc4899f4e" -GroupLifetimeInDays 180 -AlternateNotificationEmails "emailaddress@contoso.com"Fügen Sie der Richtlinie mithilfe von Add-MgGroupToLifecyclePolicy bestimmte Gruppen hinzu. Mit diesem Cmdlet können Sie der Lebenszyklusrichtlinie eine Gruppe hinzufügen. Beispiel:
Add-MgGroupToLifecyclePolicy -GroupLifecyclePolicyId "0d21d969-85ed-4c75-8675-eb1bc4899f4e" -GroupId "cffd97bd-6b91-4c4e-b553-6918a320211c"Entfernen Sie die vorhandene Richtlinie mithilfe von Remove-MgGroupLifecyclePolicy. Mit diesem Cmdlet können Sie die Einstellungen für den Microsoft 365-Gruppenablauf löschen (unter Angabe der Richtlinien-ID). Dieses Cmdlet deaktiviert den Ablauf für Microsoft 365-Gruppen.
Remove-MgGroupLifecyclePolicy -GroupLifecyclePolicyId "0d21d969-85ed-4c75-8675-eb1bc4899f4e"
Die folgenden Cmdlets können verwendet werden, um die Richtlinie ausführlicher zu konfigurieren. Weitere Informationen finden Sie in der Dokumentation zu Microsoft Graph PowerShell.
- Get-MgGroupLifecyclePolicy
- New-MgGroupLifecyclePolicy
- Remove-MgGroupLifecyclePolicy
- Update-MgGroupLifecyclePolicy
- Add-MgGroupToLifecyclePolicy
- Remove-MgGroupFromLifecyclePolicy
- Invoke-MgRenewGroup
Nächste Schritte
Für weitere Informationen über Microsoft Entra-Gruppen: