Konfigurieren der Ablaufrichtlinie für Microsoft 365-Gruppen

  • Artikel

In diesem Artikel wird beschrieben, wie Sie den Lebenszyklus von Microsoft 365-Gruppen durch Festlegen einer Ablaufrichtlinie verwalten können. Sie können Ablaufrichtlinien nur für Microsoft 365-Gruppen im Azure Active Directory (Azure AD), das Teil von Microsoft Entra ist, festlegen.

Das Festlegen eines Ablaufs für eine Gruppe bewirkt Folgendes:

  • Gruppen mit Benutzeraktivitäten werden kurz vor Ablauf automatisch verlängert.
  • Besitzer der Gruppe werden aufgefordert, die Gruppe zu erneuern, wenn die Gruppe nicht automatisch erneuert wird.
  • Nicht erneuerte Gruppen werden gelöscht.
  • Eine gelöschte Microsoft 365-Gruppe kann innerhalb von 30 Tagen von den Gruppenbesitzern oder vom Administrator wiederhergestellt werden.

Zurzeit kann für alle Microsoft 365-Gruppen in einer Azure AD-Organisation nur eine einzige Ablaufrichtlinie konfiguriert werden.

Hinweis

Beim Konfigurieren und Verwenden der Ablaufrichtlinie für Microsoft 365-Gruppen müssen Sie über Azure AD Premium-Lizenzen für die Mitglieder aller Gruppen verfügen, auf die die Ablaufrichtlinie angewendet wird, diese Lizenzen aber nicht unbedingt zuweisen.

Informationen zum Herunterladen und Installieren der Azure AD-PowerShell-Cmdlets finden Sie unter Azure Active Directory PowerShell for Graph – 2.0.0.137 (Azure Active Directory: PowerShell für Graph – 2.0.0.137).

Aktivitätsbasierte automatische Erneuerung

Mit Azure AD-Intelligence werden Gruppen nun automatisch erneuert, je nachdem, ob sie kürzlich verwendet wurden. Durch dieses Feature müssen Gruppenbesitzer nicht mehr manuell eingreifen, da es auf Benutzeraktivität von Gruppen in Microsoft 365-Diensten wie Outlook, SharePoint, Teams oder Yammer basiert. Wenn beispielsweise ein Besitzer oder ein Gruppenmitglied ein Dokument in SharePoint hochlädt, einen Teams-Kanal besucht, eine E-Mail an die Gruppe in Outlook sendet oder einen Beitrag in Yammer anzeigt, wird die Gruppe etwa 35 Tage vor Ablauf der Gruppengültigkeitsdauer automatisch erneuert, und der Besitzer erhält keine Benachrichtigung zur Erneuerung.

Betrachten Sie beispielsweise eine Ablaufrichtlinie, die so festgelegt ist, dass eine Gruppe nach 30 Tagen Inaktivität abläuft. Um jedoch zu verhindern, dass an dem Tag, an dem der Gruppenablauf aktiviert wird, eine Ablauf-E-Mail gesendet wird (weil es noch keine Datensatzaktivität gibt), wartet Azure AD zunächst fünf Tage. Wenn in diesen fünf Tagen Aktivitäten zu erwarten sind, funktioniert die Ablaufrichtlinie wie erwartet. Wenn innerhalb von fünf Tagen keine Aktivität besteht, senden wir eine E-Mail zum Ablauf bzw. zur Verlängerung. Wenn die Gruppe fünf Tage lang inaktiv war, eine E-Mail gesendet wurde und die Gruppe dann aktiv war, werden wir sie neu starten und den Ablaufzeitraum erneut starten.

Aktivitäten, durch die der Ablauf der Gruppe automatisch verlängert wird

Die folgenden Benutzeraktionen bewirken die automatische Gruppenerneuerung:

  • SharePoint: Anzeigen, Bearbeiten, Herunterladen, Verschieben, Freigeben oder Hochladen von Dateien
  • Outlook: Beitreten zur Gruppe, Lesen/Schreiben von Gruppennachrichten im Gruppenbereich, Markieren einer Nachricht mir „Gefällt mir“ (in Outlook Web Access)
  • Teams: Besuchen eines Teams-Kanals
  • Yammer: Anzeigen eines Beitrages in einer Yammer Community oder einer interaktiven E-Mail in Outlook

Überwachung und Berichterstellung

Administratoren können eine Liste der automatisch erneuerten Gruppen aus den Aktivitätsüberwachungsprotokollen in Azure AD abrufen.

Automatische Erneuerung von Gruppen auf der Grundlage von Aktivitäten

Rollen und Berechtigungen

Nachfolgend sind Rollen aufgeführt, mit denen der Ablauf für Microsoft 365-Gruppen in Azure AD konfiguriert und verwendet werden kann.

Role Berechtigungen
Globaler Administrator, Gruppenadministrator oder Benutzeradministrator Kann die Einstellungen der Ablaufrichtlinie für Microsoft 365-Gruppen erstellen, lesen, aktualisieren oder löschen
Kann eine beliebige Microsoft 365-Gruppe erneuern
Benutzer Sie können eine Microsoft 365-Gruppe erneuern, die sie besitzen
Sie können eine Microsoft 365-Gruppe wiederherstellen, die sie besitzen
Kann die Einstellungen der Ablaufrichtlinie lesen

Weitere Informationen zu Berechtigungen zum Wiederherstellen einer gelöschten Gruppe finden Sie unter Wiederherstellen einer gelöschten Microsoft 365-Gruppe in Azure Active Directory.

Festlegen des Gruppenablaufs

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Globaler Administrator an.

  2. Wählen Sie Microsoft Entra ID (Azure AD) aus.

  3. Wählen Sie zuerst Gruppen, Alle Gruppen und dann Ablauf aus, um die Ablaufeinstellungen zu öffnen.

    Ablaufeinstellungen für Gruppen

  4. Auf der Seite Ablauf haben Sie folgende Möglichkeiten:

    • Die Gruppenlebensdauer in Tagen festlegen. Sie könnten einen der voreingestellten Werte oder einen benutzerdefinierten Wert auswählen (sollte mindestens 30 Tage sein).
    • Geben Sie eine E-Mail-Adresse an, an die die Verlängerungs- und Ablaufbenachrichtigungen gesendet werden sollten, wenn eine Gruppe keinen Besitzer hat.
    • Wählen Sie aus, welche Microsoft 365-Gruppen ablaufen sollen. Sie können den Ablauf wie folgt festlegen:
      • Alle Microsoft 365-Gruppen
      • Eine Liste von ausgewählten Microsoft 365 Gruppen
      • Für Keine, um den Ablauf für alle Gruppen einzuschränken
    • Speichern Sie die Einstellungen durch Auswahl von Speichern.

Hinweis

  • Beim erstmaligen Einrichten des Ablaufs wird für alle Gruppen, deren Alter das Ablaufintervall übersteigt, ein Ablaufzeitraum von 35 Tagen festgelegt – außer wenn der Besitzer ihn verlängert oder die Gruppe automatisch erneuert wird.
  • Wenn eine dynamische Gruppe gelöscht und wiederhergestellt wird, gilt sie als neue Gruppe und wird der Regel entsprechend erneut aufgefüllt. Dieser Vorgang kann bis zu 24 Stunden dauern.
  • Benachrichtigungen über den Ablauf für in Teams verwendeten Gruppen werden im Feed „Teams-Besitzer“ angezeigt.
  • Wenn Sie den Ablauf für ausgewählte Gruppen aktivieren, können Sie der Liste bis zu 500 Gruppen hinzufügen. Wenn Sie mehr als 500 Gruppen hinzufügen müssen, können Sie den Ablauf für alle Gruppen aktivieren. In diesem Szenario gilt die Einschränkung von 500 Gruppen nicht.
  • Gruppen werden nicht sofort verlängert, wenn Aktivitäten zur automatischen Verlängerung auftreten. Im Falle einer Aktivität wird die Gruppe mit einem Flag versehen, um anzugeben, dass sie zur Verlängerung bereit ist, wenn sie kurz vor dem Ablauf steht. Wenn die Gruppe kurz vor dem Ablauf steht, erfolgt die Verlängerung innerhalb von 24 Stunden.

E-Mail-Benachrichtigungen

Werden Gruppen nicht automatisch erneuert, so werden E-Mail-Benachrichtigungen wie diese 30 Tage, 15 Tage und 1 Tag vor Ablauf der Gruppe an die Microsoft 365-Gruppenbesitzer gesendet. Die Sprache der E-Mail richtet sich nach der bevorzugten Sprache des Gruppenbesitzers oder der Azure AD-Spracheinstellung. Wenn der Gruppenbesitzer eine bevorzugte Sprache definiert hat oder mehrere Besitzer die gleiche bevorzugte Sprache haben, wird diese Sprache verwendet. In allen anderen Fällen wird die Azure AD-Spracheinstellung verwendet.

E-Mail-Benachrichtigungen zum Ablauf

Aus der Benachrichtigungs-E-Mail zu Gruppe verlängern können Gruppenbesitzer direkt auf die Seite mit den Gruppendetails im Zugriffsbereich zugreifen. Auf dieser Seite erhalten Benutzer weitere Informationen zur Gruppe, z.B. Beschreibung, Zeitpunkt der letzten Verlängerung, Ablaufzeitpunkt und Möglichkeit zur Verlängerung der Gruppe. Die Seite mit den Gruppendetails enthält jetzt auch Links zu den Microsoft 365-Gruppenressourcen, sodass der Gruppenbesitzer den Inhalt und die Aktivitäten der Gruppe bequem anzeigen kann.

Wichtig

Wenn ein Problem mit den Benachrichtigungs-E-Mails besteht und sie nicht gesendet werden oder verzögert werden, sollten Sie sicher sein, dass Microsoft eine Gruppe niemals löscht, bevor die letzte E-Mail gesendet wird.

Wenn eine Gruppe abläuft, wird die Gruppe einen Tag nach dem Ablaufdatum gelöscht. Eine E-Mail-Benachrichtigung wie diese wird an die Microsoft 365-Gruppenbesitzer gesendet, um sie über den Ablauf und die nachfolgende Löschung ihrer Microsoft 365-Gruppe zu informieren.

E-Mail-Benachrichtigungen zur Gruppenlöschung

Die Gruppe kann innerhalb von 30 Tagen nach ihrer Löschung durch Auswählen von Gruppe wiederherstellen oder mithilfe von PowerShell-Cmdlets wiederhergestellt werden. Dies wird unter Wiederherstellen einer gelöschten Microsoft 365-Gruppe in Azure Active Directory beschrieben. Beachten Sie, dass der 30-tägige Wiederherstellungszeitraum für Gruppen nicht angepasst werden kann.

Wenn die Gruppe, die Sie wiederherstellen, Dokumente, SharePoint-Websites oder andere beständige Objekte enthält, kann es bis zu 24 Stunden dauern, bis die Gruppe und deren Inhalte vollständig wiederhergestellt werden.

Abrufen des Ablaufdatums für eine Microsoft 365-Gruppe

Zusätzlich zum Zugriffsbereich, in dem Benutzer Gruppendetails einschließlich des Ablaufdatums und des Datums der letzten Erneuerung anzeigen können, kann das Ablaufdatum einer Microsoft 365-Gruppe von der Microsoft Graph REST API Beta abgerufen werden. expirationDateTime als Gruppeneigenschaft wurde in der Betaversion von Microsoft Graph aktiviert. Sie kann mit einer GET-Anforderung abgerufen werden. Weitere Informationen finden Sie in diesem Beispiel.

Hinweis

Um Gruppenmitgliedschaften im Zugriffsbereich zu verwalten, muss „Zugriff auf Gruppen im Zugriffsbereich einschränken“ in der Allgemeinen Einstellung für Azure Active Directory-Gruppen auf „Nein“ festgelegt werden.

Wenn eine Gruppe abläuft und gelöscht wird, werden die Daten der Gruppe für Apps wie Planner, Sites oder Teams 30 Tage nach dem Löschvorgang endgültig gelöscht. Das Postfach der Gruppe, für das eine gesetzliche Aufbewahrungspflicht gilt, wird beibehalten und nicht endgültig gelöscht. Der Administrator kann Exchange-Cmdlets verwenden, um das Postfach zum Abrufen der Daten wiederherzustellen.

Funktionsweise des Microsoft 365-Gruppenablaufs mit Aufbewahrungsrichtlinie

Die Aufbewahrungsrichtlinie wird mit Hilfe des Security & Compliance Center konfiguriert. Wenn Sie eine Aufbewahrungsrichtlinie für Microsoft 365-Gruppen eingerichtet haben, werden die Gruppenunterhaltungen im Postfach einer Gruppe und die Dateien auf deren Website nach dem Ablauf und der Löschung der Gruppe im Aufbewahrungscontainer entsprechend der Angabe in der Aufbewahrungsrichtlinie (in Tagen) beibehalten. Benutzer können die Gruppe oder ihren Inhalt nach dem Ablauf nicht mehr anzeigen, aber sie können die Site- und Postfachdaten per E-Discovery wiederherstellen.

PowerShell-Beispiele

Hier finden Sie einige Beispiele dafür, wie Sie die Ablaufeinstellungen für Microsoft 365-Gruppen in Ihrer Azure AD-Organisation mithilfe von PowerShell-Cmdlets konfigurieren können:

  1. Installieren Sie das PowerShell v2.0-Modul, und melden Sie sich an der PowerShell-Eingabeaufforderung an:

    Install-Module -Name AzureAD
Connect-AzureAD

  2. Konfigurieren Sie die Ablaufeinstellungen. Mithilfe des Cmdlets „New-AzureADMSGroupLifecyclePolicy“ können Sie die Lebensdauer für alle Microsoft 365-Gruppen in der Azure AD-Organisation auf 365 Tage festlegen. Benachrichtigungen zur Erneuerung für Microsoft 365-Gruppen ohne Besitzer werden an emailaddress@contoso.com gesendet.

    New-AzureADMSGroupLifecyclePolicy -GroupLifetimeInDays 365 -ManagedGroupTypes All -AlternateNotificationEmails emailaddress@contoso.com

  3. Rufen Sie die vorhandene Richtlinie Get-AzureADMSGroupLifecyclePolicy ab: Dieses Cmdlet ruft die aktuellen Microsoft 365-Gruppenablaufeinstellungen ab, die konfiguriert wurden. In diesem Beispiel sehen Sie Folgendes:

    • Richtlinien-ID
    • Festlegung der Lebensdauer für alle Microsoft 365-Gruppen in der Azure AD-Organisation auf 365 Tage
    • Benachrichtigungen zur Erneuerung für Microsoft 365-Gruppen ohne Besitzer werden an „emailaddress@contoso.com“ gesendet.
    Get-AzureADMSGroupLifecyclePolicy

ID                                    GroupLifetimeInDays ManagedGroupTypes AlternateNotificationEmails
--                                    ------------------- ----------------- ---------------------------
26fcc232-d1c3-4375-b68d-15c296f1f077  365                 All               emailaddress@contoso.com

  4. Aktualisieren der vorhandenen Richtlinie per „Set-AzureADMSGroupLifecyclePolicy“: Dieses Cmdlet dient zum Aktualisieren einer vorhandenen Richtlinie. Im folgenden Beispiel wird die Lebensdauer der Gruppe in der vorhandenen Richtlinie von 365 Tagen in 180 Tage geändert.

    Set-AzureADMSGroupLifecyclePolicy -Id "26fcc232-d1c3-4375-b68d-15c296f1f077" -GroupLifetimeInDays 180 -AlternateNotificationEmails "emailaddress@contoso.com"

  5. Hinzufügen von spezifischen Gruppen zur Richtlinie per „Add-AzureADMSLifecyclePolicyGroup“: Mit diesem Cmdlet können Sie der Lebenszyklusrichtlinie eine Gruppe hinzufügen. Beispiel:

    Add-AzureADMSLifecyclePolicyGroup -Id "26fcc232-d1c3-4375-b68d-15c296f1f077" -groupId "cffd97bd-6b91-4c4e-b553-6918a320211c"

  6. Entfernen der vorhandenen Richtlinie per „Policy Remove-AzureADMSGroupLifecyclePolicy“: Mit diesem Cmdlet können Sie die Einstellungen für den Microsoft 365-Gruppenablauf löschen (unter Angabe der Richtlinien-ID). Dieses Cmdlet deaktiviert den Ablauf für Microsoft 365-Gruppen.

    Remove-AzureADMSGroupLifecyclePolicy -Id "26fcc232-d1c3-4375-b68d-15c296f1f077"

Die folgenden Cmdlets können verwendet werden, um die Richtlinie ausführlicher zu konfigurieren. Weitere Informationen finden Sie in der PowerShell-Dokumentation.

  • Get-AzureADMSGroupLifecyclePolicy
  • New-AzureADMSGroupLifecyclePolicy
  • Set-AzureADMSGroupLifecyclePolicy
  • Remove-AzureADMSGroupLifecyclePolicy
  • Add-AzureADMSLifecyclePolicyGroup
  • Remove-AzureADMSLifecyclePolicyGroup
  • Reset-AzureADMSLifeCycleGroup
  • Get-AzureADMSLifecyclePolicyGroup

Nächste Schritte

Diese Artikel enthalten zusätzliche Informationen zu Azure AD-Gruppen.