Teams Governance: creación y configuración de directiva de nombramiento

Con el objetivo de aprender y compartir un poco más sobre Microsoft Teams, trataré de crear una serie de artículos alrededor de gobernanza, seguridad y cumplimiento. Hay que tener en cuenta que esto aplicará para todos los workloads de Microsoft 365 (SharePoint, Exchange, Teams, etc.), así que conviene analizar bien si hace parte de una necesidad empresarial y, por supuesto, se cumplen con los requerimientos a nivel de licenciamiento.

No sé hasta dónde me dé, pero iniciaré primero con lo que es Teams Governance. Para este artículo en cuestión, vamos a hablar sobre Naming Policy.

Requerimientos

Para habilitar este tipo de directivas es necesario tener Azure Active Directory Premium P1.

¿Qué es Naming Policy?

En pocas palabras, crear una directiva de nombramiento (Naming Policy) nos permitirá forzar una convención específica de nombres para todos los grupos de Microsoft 365 nuevos o que se editen. Estas reglas se aplicarán tanto para el nombre del grupo como para el alias.

En este orden de ideas, los nombres siempre van a tener un estándar establecido por la organización, que se reflejará en Microsoft Teams y en otros servicios como grupos de SharePoint, etc.

La estructura general es: Prefijo(s) [NombreGrupo] Sufijo(s).

Prefijo

El prefijo, es decir, lo que hay antes del nombre del grupo, puede ser algo fijo o basado en una serie de atributos del de Azure Active Directory que está creando el grupo. Puede haber más de un prefijo, así que podría existir una combinación entre algo fijo y algo basado en atributo, por ejemplo:

GRP [Department]

Donde «GRP» es el prefijo que es fijo y [Department] es el atributo traído de Azure AD.

Los atributos soportados son:

  • [Department]
  • [Company]
  • [Office]
  • [StateOrProvince]
  • [CountryOrRegion]

Cuando el atributo que se utiliza no está en el objeto de Azure AD, simplemente quedará en blanco esa parte en el nombre.

[NombreGrupo]

Lo que va en el medio siempre será el nombre que el usuario decide ponerle al equipo de Microsoft Teams, así que esto no tiene restricción de forma predeterminada. Sin embargo, también se pueden habilitar palabras prohibidas en la organización para que los nombres no las puedan utilizar, pero eso queda para otro artículo.

Sufijo

El sufijo, es decir, lo que hay después del nombre, puede también ser una cadena fija o puede utilizar alguno de los atributos soportados (iguales a los del prefijo). Puede haber más de un sufijo, así que es posible combinar entre algo fijo y algo variable.

Ejemplo: [CountryOrRegion]

Si el equipo se va a llamar Programming 101, todo quedaría así:

GRP [Department] Programming 101 [CountryOrRegion]

Hay que tener en cuenta que todo no puede superar los 53 caracteres.

No es necesario habilitar prefijo y sufijo, puede ser solo uno de los dos. Por ejemplo, podría quedar solamente: GRP [Department] Programming 101 como nombre de equipo. Aquí yo habilitaré los dos para ilustrar, pero personalmente creo que entre más simple mejor.

Configuración de Naming Policy

Para configurar Naming Policy:

1. Navegamos hasta https://portal.azure.com/ e iniciamos sesión con un usuario que esté dentro del grupo de Group Administrator o Global Admin

2. Abrimos Azure Active Directory

3. Debajo de la categoría de Manage, en el panel izquierdo, clic en Groups:

image

4. En la página de Groups, debajo de Settings, panel izquierdo, hacemos clic en Naming Policy y luego, en el panel central, clic en la pestaña de Group naming policy:

image

5. En la página de Group naming policy,  tendremos las categorías de Add prefix y Add suffix. En cada una podremos agregar lo que hayamos definido como directiva de nombramiento.

Vamos a tener dos opciones: Attribute y String. La primera es para escoger alguno de los atributos de Azure AD, y la segunda es para una cadena fija:

Para mi caso, agregué un String en Prefix para poner el GRP y un Attribute para poner Department. Como Suffix, puse también un Attribute para escoger CountryOrRegion:

image

Sobra aclarar que cada uno tendrá un formato diferente, según la directiva que escojan.

6. Clic en el botón Save de la parte superior para que todos los cambios queden guardados y se apliquen.

Prueba de funcionamiento

Basta con abrir Microsoft Teams, crear un equipo y podremos ver que nuestro nombre cambiará de acuerdo a la directiva:

image

El alias también se modificará:

image

Aunque no lo muestro aquí, lo mismo aplicará para grupos individuales de Microsoft 365, SharePoint, Planner, etc.

Como dato particular, estéticamente es importante jugar un poco con los espacios para que se vea bien, además de no exagerar con los prefijos o sufijos ya que, como lo mencioné antes, el límite es de 53 caracteres.

Espero sea de utilidad.

—Checho

Auditar la eliminación de un equipo en Microsoft Teams

En mi trabajo actual estoy casi todos los días viendo algo en los alrededores de Microsoft Teams y como ahora es una de las plataformas más utilizadas en educación, empiezan a surgir nuevas necesidades como el hecho de poder saber quién realizar ciertas operaciones en la organización, por ejemplo, borrar un equipo accidental o con intención.

Como, de hecho, no sabía la forma, decidí investigar un poco y escribirlo mientras lo aprendía para:

  1. Entender el proceso
    2. Documentarlo para que fuese más sencillo de compartir
    3. Generar un poco de contenido en el blog

Cabe decir que me estoy basando en algunos documentos sobre búsqueda en registro de eventos y activación.

Dependiendo de la licencia asignada al usuario, la actividad recolectada puede permanecer entre 90 días y 1 año.

Asignar el rol de Compliance Management en Exchange Online

Antes de poder activar el registro de eventos, a menos de que usemos el usuario que es administrador global, vamos a necesitar asignar el rol de Compliance Management (o el de Organization Management) a un usuario encargado de auditar. Es importante precisar que, en realidad, el único rol necesario es el de Audit Logs, pero ya está incluido en el grupo de Compliance Management (o de Organization Management).

Desde la consola de administración de Office 365 (admin.microsoft.com), utilizando un usuario con privilegios de Administrador global, hacemos clic en el botón de Exchange del panel izquierdo, debajo de Admin centers:

image

En el portal de Exchange admin center, clic en la página de permissions del panel izquierdo:

image

En el panel central, debajo de admin roles, doble clic en Compliance Management para editarlo:

image

En la ventana de Compliance Management, bajamos hasta Members y ahí hacemos clic en el botón del más (+) para agregar un nuevo miembro:

image

En la ventana de Select Members, buscamos el usuario al que le asignaremos el rol, lo seleccionamos, clic en el botón add –> y en OK:

image

Una vez agregado el miembro, hacemos clic en el botón de Save para cerrar:

image

Ya tenemos nuestro usuario listo para poder activar o desactivar la auditoría en la organización.

Activar los registros de auditoría

Iniciamos sesión con el usuario que tiene el rol de Compliance Management en el portal de Security & Compliance Center:

image

Expandimos el panel izquierdo de Search y clic en Audit log search:

image

En el panel central, debajo de Audit log search, hacemos clic en el botón de Turn on auditing para habilitar el registro:

image

En el mensaje adicional de Security & Compliance, clic en el botón Yes para aceptar los cambios:

image

image

Puede tardar unos minutos antes de que aparezca el segundo mensaje. Antes de eso, probablemente salga un mensaje de error diciendo que debe intentar más tarde.

Después de esto, la página de Audit log search nos indicará que debemos esperar algunas horas antes de que los resultados empiecen a retornar:

image

Caso de uso: auditar la eliminación de un equipo en Teams

Aunque hay una cantidad considerable de actividades recolectadas en Teams específicamente, voy a concentrarme en la que más suelen interesarse ahora en las universidades: eliminación de equipos.

Normalmente, para eliminar un equipo debemos hacer clic en los puntos suspensivos al lado derecho del nombre () y luego en Eliminar el equipo:

image

La segunda fase de esto es un mensaje en el que debemos indicar que somos conscientes de su eliminación:

image

Cuesta creer que alguien no se dé cuenta de lo que está haciendo luego de estos pasos, pero podría darse el caso en el que creen que están haciendo otra operación.

Auditando

Antes de iniciar la auditoría, debemos tener en cuenta que:

  1. Se demora 24 horas en estar completamente activa, aunque traerá registros de las primeras horas del siguiente día después de activarse

  2. La búsqueda debe de hacerse indicando el día siguiente a la activación pero, obviamente, antes de la fecha final

Para auditar la eliminación de equipos:

  1. Con la cuenta que tiene los privilegios de Audit logs, es decir, la que pertenece al grupo de Compliance Management u Organization Management, navegamos al sitio de Security & Compliance

  2. Hacemos clic en el botón de Search –> Audit log search:

image

  1. En Activities, buscamos Deleted team, luego escogemos la fecha inicial de búsqueda, después la fecha final y hacemos clic en el botón de Search:

image

  1. Podremos ver el detalle general de los usuarios que eliminaron equipos en Teams en ese rango de fechas:

image

Si hacemos clic en la actividad, podremos ver muchos más detalles sobre el usuario, fechas, organización, etc.:

image

Lo siguiente puede ser simplemente restaurar el equipo eliminado y proceder a determinar la razón interna con el usuario sobre el porqué se eliminó.

Espero sea de utilidad.

—Checho

Tip: restaurar un equipo eliminado de Microsoft Teams

En este momento que se están utilizando tan masivamente las soluciones de colaboración como Teams, es muy normal que mientras los usuarios se acostumbran, terminen borrando los equipos de forma accidental, si es que son propietarios. En mi día a día de trabajo lo veo mucho con profesores a los que se les asigna un curso. En este pequeño artículo explicaré cómo podemos restaurar fácilmente un equipo eliminado.

Aunque esta tarea la puede ejecutar sin problemas con administrador global de la organización, es recomendable que sea otro usuario de servicio al que se le asigne el rol de Groups admin:

image

Recuperación del equipo

Para realizar la recuperación:

  1. Iniciamos sesión en el portal de administración de Microsoft 365 (admin.microsoft.com) con la cuenta global o que pertenece al Groups admin

  2. En el panel izquierdo, hacemos clic en la categoría de Groups y después en Deleted groups:

image

  1. Seleccionamos el grupo dentro de los eliminados y hacemos clic en el botón de Restore group en la parte superior:

image

  1. Si todo sale bien, debemos recibir el mensaje de que se restauró satisfactoriamente:

image

Todos los componentes asociados al grupo (objetos de AD, grupos de Yammer, buzón, equipo en Teams, etc.) pueden tardar hasta 24 en restaurarse y aparecer. En mi caso, fue cuestión de 5 minutos, aunque, obviamente, hay que cerrar e iniciar sesión:

image

Espero sea de utilidad.

—Checho