Microsoft Teams Aufbewahrung - Microsoft Teams Usergroup Berlin
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Microsoft Teams Usergroup Berlin
Microsoft
Teams
Aufbewahrung
By Raphael Köllner
1
Microsoft Regional Director
Raphael Köllner
Executive Consultant, BDO Digital GmbH
Microsoft Regional Director
Microsoft MVP Office Apps & Services
Microsoft MVP Windows Insider
www.rakoellner.com / rakoellner.de
raphael.koellner@rakoellner.com
@Ra_Koellner
Microsoft 365 Community - www.office365hero.de
Windows Insider Community - www.windowscommunity.de
Azure Meetup Cologne - www.azurecgn.de
Mitglied z.B.: DGRI, IT techlaw
Vorstandsvorsitzender Gesellschaft
für Digitalisierung und digitalen Fortschritt e.V. (gemeinnützig)
2
Agenda
Microsoft Teams - Aufbewahrung
Einführung Anforderungen Retention Best Practices Q&A
3
Einführung
Aufbewahrung
4
Aufbewahrung vs. Backup
Aufbewahrung Backup
Gesetzliche Aufbewahrung Notfallwiederherstellung
GoBD Gewährleistung des Betriebes
Gerichtsverfahren Reparatur
Historisches Archiv Wiederherstellung durch die IT
5
Typische Herausforderungen
Umsetzung der Anforderungen Historie (der IT) des Unternehmens
Kenntnis über die Daten
Ansprechpartner im Unternehmen Kenntnis über den Einsatz des Werkzeugs
Wofür wird es eingesetzt?
Organisation im Unternehmen Weltweit unterschiedliche gesetzliche
Regelungen
6
Typische Situation im Unternehmen
„Wir speichern für immer und alles. Warum wissen wir nicht.“
„Datenschutz? Darum kümmert sich doch unser Datenschutzteam.“
„Wir können Ihnen auch die einzelene Datei eines Bewerbers von vor
15 Jahren extrahieren.“
„Unser IT-System kann nicht löschen, nur immer 3 Jahre.“
„Wir haben auch keine eDiscovery.“
7
Retention
Anforderungen
8
Was heißt Aufbewahrung?
in Deutschland
Start Ende
in der Regel: Löschen
Lösch- und Sperrfrist. (DSGVO)
Taktisches Löschen
Zeitraum der Aufbewahrung
• gesetzliche Aufbewahrungsfrist
• Gerichtsverfahren
• Verordnung
• Interne Compliance Richtlinie
• Rechtsfortbildung durch Gerichte
9
Widerstreitende Situationen?
Datenschutz GobD
Rechtsabteilung Datenschutz
CIO Archivteam
10Zählung des Zeitraums in Deutschland
Das Datum der Aufbewahrung passt nicht zur Zählart in Deutschland und vielen Ländern weltweit.
• +1 bei Retention Labels
• Zählung ab Ende des Kalenderjahres
Ende des Kalenderjahres
Datei erstellt,
Datei gelabelt Zeitraum bis zum Ende des
Datei zuletzt geändert, Jahres (z.B. 156 Tage) Zählung des
Event (O365 E5)
Aufbewahrungszeitraumes
Folge 1: 10 Jahre (Aufbewahrung) + 1 Jahr = 11 Jahre
Folge 2: Aufbewahrung findet zu lange statt
Folge 3: automatische Lösung z.B. per PS Skript in den ersten Tagen des Jahres nach Ablauf des Aufbewahrungszeitraumes
11Aufbewahrungsverpflichtung in Deutschland
Ein Auszug
Bücher und Aufzeichnungen,
Inventare,
empfangene Handels- oder Geschäftsbriefe Jahresabschlüsse (Bilanz und GuV),
Wiedergaben der abgesandten Handels- Lageberichte,
oder Geschäftsbriefe Eröffnungsbilanz mit allen zum Verständnis
sonstige Unterlagen, soweit sie für die erforderlichen Arbeitsanweisungen und
Besteuerung von Bedeutung: z.B. Angebote 6 Jahre Organisationsunterlagen, 10 Jahre
Auftragsbestätigungen § 257 HGB (§ 238 HGB) Buchungsbelege und Rechnungen (z. B. §147 AO
Buchführungsprogramm Bewirtungsbelege, Reisekostenabrechnungen,
Mahnungen Lieferscheine, Quittungen),
Versicherungspolicen Bankunterlagen und Kontoauszüge,
Fahrtenbücher,
Verträge
Steuererklärungen und
Umsatzsteuervoranmeldungen
empfangene Handels- oder Geschäftsbriefe 3 Jahre
6 Jahre
Wiedergaben der abgesandten Handels- Regelverjährung
oder Geschäftsbriefe für die Besteuerung §147 AO § 195 BGB
Urteile, Mahnbescheide, Prozessakten 30 Jahre
Datenschutz-Grundsatz:
„Aus dem Prinzip der Datensparsamkeit dürfen
personenbezogene Daten nur so lange aufbewahrt
werden, wie es einen Grund dafür gibt.“
12Personalakte
Betriebsrentengesetz Arbeitsrecht
Anspruch auf Leistungen aus Verjährung von Ansprüchen
der betrieblichen ehemaliger Arbeitnehmer (z.B.
Altersversorge Zeugnisanspruch)
30 Jahre / § 18a BetrAVG 3 Jahre / 195 BGB
Arbeitnehmerdatenschutz/
Steuerrecht
Bewerbungen
alle Unterlagen wie Anschreiben,
Gehaltsabrechnungen,
Lebenslauf, Zeugniskopien, Notizen Lohnsteuerkarten
aus dem Bewerbungsgespräch, 6 Jahre / § 41 Abs. 1 Nr. 9 EStG
sowie bei interner Verschickung der
Bewerbungsunterlagen per E-Mail
an Mitarbeiter auch sämtliche E-
Mails dieses Vorgangs
Maximal 6 Monate (BDSG)
13Microsoft 365 Retention
Policies
Schnelleinstieg / Grundsätze
14Architektur – Retention für Teams
3rd Apps own solution
DMS System / Buchhaltung (SAP) 3rd Party Tool
Communication Compliance Insider Risk Management
eDiscovery (Legal) Expire Policy / AAD P1
Informationgovernance (Basement
Microsoft Retention Polices (Basement)
Chats/Kanal)
16Microsoft 365 Retention Policies (Vergleich)
Funktion Regular Label Label with Label mit Regulatory GobD 11.2019 17a4 USA
Record Record und Retention
Admin Label
Prevent (NEW)
Verhindern von Veränderungen Nein Ja Ja Ja verpflichtend verpflichtend
des Inhalts
Löschen der Datei verhindern Ja / nein Ja Ja Ja verpflichtend verpflichtend
Auditable Events Ja Ja Ja ja verpflichtend optional
Nachweis der Löschung Nein Nein Nein ja verpflichtend verpflichtend
Verhindern der Nein Nein Nein Ja (nur mit verpflichtend optional
Datensatzverschiebung der lib.)
außerhalb des Containers
Verhindern des Entfernens des Nein Nein Nein ja verpflichtend verpflichtend
Record Label durch den
Container Admin
Verhindern der Record Nein Nein Nein ja verpflichtend verpflichtend
versioning
Verhindern der Verkürzung´der Nein Nein Nein Ja verpflichtend verpflichtend
Aufbewahrungsdauer
Verhindern des SPO Site Nein Nein Nein Ja verpflichtend optional
wiederherstellung 17Löschen ist nicht Löschen
Es gibt in der Regel immer eine Graceperiode in der der Admin
z.B. per eDiscovery an Inhalte kommt und diese wiederherstellen
kann. Dies ist eine Sicherheitsmaßnahme und muss pro Werkzeug
ins Lösch- und Sperrkonzept aufgenommen werden.
Ausnahme z.B.
• Planner
• 3rd Party Apps (diverse)
• Profilbild in Yammer / Gruppenbild in Yammer
18Beispiel SharePoint Online
19Exchange Online
20Microsoft Teams
21Limits & Was geht nicht?
Grundsätze für Retention Polcies
• Retention Polcies setzen/entfernen/editieren auf mobilen Endgeräten wie iOS, iPad oder Android.
• Migration von Retention Policies in andere Tenants. (z.B. DueDilliance)
• Harte Limits bei der Filterung von Retention Policies
1. Bewahrung hat immer Vorrang vor Löschung
• 1000 Postfächer
• 100 SharePoint Sites
• 100 Unified Groups
2. Der längste Aufbewahrungszeitraum hat immer Vorrang
• M365 nicht wirken
• Sway, Planner, OneNote, Whiteboard usw.
3. Explizite Einbindung hat Vorrang vor impliziter Einbindung was
• Retention Label im Dokument selber setzen Speicherorte angeht
• Keine 2 Retention Policies pro Dokument 4. Der kürzeste Löschzeitraum hat Vorrang
• Autolabeling ist ausbaufähig
• Weiteres Archivieren statt löschen am Ende
• Retention im großen Maßstab ist zu kompliziert (100k User and more)
• Physische Dokumente und die Aufbewahrung? ResiScan nicht fläschendeckend im Standard möglich / nur IDW Zertifizierung
• Zu kompliziert für die klassische IT: weltweite Retention Regeln in mehr als 3 Ländern
• Keine Nesten von Policies möglich
• Migrationsszenarien von 3rd Partysystemen noch nicht sauber implementiert bis nicht möglich
• Retention Policies mit dem UL Scanner ausrollen
• Kein Sensitivity Labeling und Retention zusammen in einem Label
• Keine gute Transferlösung von Office 365 zu SAP / keine Verbindung der Retention Systeme
• Noch kein 100% DMS System möglich
• Trainable Classifier nur englische Dokumente
• Dateien OnPremises können nicht gelabelt werden
• Zeitraum des Autolabeling kann bis zu 7-10 Tage dauern
22Microsoft Retention Policy
Autolabeling Retention
Erstellen • Default Label für Lib/list (E3)
Security.Microsoft.com • Event (E5)
• Wörter/ Ausdruck (E5)
• Fileplan / Ablagedeskriptoren (E5)
Bezeichnung Bezeichnungsrichtlinie Autolabeling
• DLP Schemata (E5)
• Trainable Classifier (en/ E5)
• Power Plattform (E5/E3)
• 3rd Party Tool (APIs)
23Teams Retention Polices
Nicht Möglich
Möglich • Keine Giphys
• Kanalnachrichten (alle
• Private Channel Nachrichten
Inhalte)
(ABER mit eDiscovery)
• 1 zu 1 und 1 zu N private
• Kein Autolabel mit
Nachrichten (zB. bestimmte
Wörtern/Ausdrücken oder DLP
Nutzer)
24Auf Microsoft Team anwenden
https://docs.microsoft.com/de-de/microsoftteams/retention-policies
• Teams Chats- und/oder Kanalnachrichten für eine bestimmte
Dauer beibehalten und danach nichts tun.
• Teams Chats- und/oder Kanalnachrichten für eine bestimmte
Dauer beibehalten und danach die Daten löschen.
• Teams Chats- und/oder Kanalnachrichten nach einer
bestimmten Dauer löschen.
• Gilt auch für Externe
• Generell für alle
• Auswahl: 100 Teams pro einschließen
• 1-2 Tage bis zur Anwendung
https://protection.office.com/retention • Achtung: Fall Freshfields
Freshfiedls nicht beachtet und löscht 147k Nachrichten
„Eine Aufbewahrungsrichtlinie für Teams löst einen Prozess zum Löschen von Chat-und
Kanal Nachrichten aus, wenn diese Nachrichten ablaufen (basierend auf dem
Erstellungsdatum der Nachricht). Je nach Dienstauslastung kann es jedoch bis zu sieben
Tage dauern, diese Nachrichten aus dem Back-End-Speicher und der Teams-App
endgültig zu löschen. Darüber hinaus können diese Nachrichten mit Compliance-Tools
(eDiscovery, Endbenutzersuche) durchsucht werden, bis Sie endgültig aus dem Back-
End-Speicher gelöscht werden“
25
-> Ausschließen genutztRetention Policy für ein Team
Überwachen Compliance.microsoft.com
• MCAS
• PowerShell
• Microsoft Graph
• Nachrichtenverfolgung
26Aktivity-Explorer (Compliance Center)
27Microsoft Teams
Microsoft 365 Retention Policies
28Microsoft 365 Groups
Membership services für Microsoft-Teamwork-Apps
Erweiterte Partner
Freigabe Ecosystem
Beispiele Microsoft 365 Groups
(Unified Groups)
Azure Active Directory
Zentral verwaltet, gesichert, administriert
29Unified Group
SharePoint Site
Exchange mailbox
Microsoft 365 Groups
(Unified Groups)
Planner Plan
User
30Teamify a Unified Group
SharePoint Site
Exchange mailbox
Microsoft 365 Groups
(Unified Groups)
Planner Plan
User
Channels, Chat, Phonesystem
Achtung: Jeder Unified Group Owner kann teamifien. 31Group Lifecycle und Löschcyklus
Archive Leider keine Auto-Policy für Archiv, wie die
expire Polciy für Unified Groups
New Active Expiry/Delete Soft-deleted Hard-delete Retention
32Gruppenaktivitätsverfolgung und Auto-Renewal
Komponenten
Activity Tracking service
• Tenant weites Aktivitäts-Tracking auf
Gruppenebene
User U1 is active on
- Send, reply, like mail
Group G1 belonging to - View/Edit files
Tenant T1 - Read, write chats
• Nur aktiv in Teams, SharePoint oder Outlook, die
für die automatische Verlängerung nachverfolgt
Microsoft 365 Groups wurden
Activity Tracking • Nur Absichtsaktivitäten werden mit einer
Voreingenommenheit für die Beibehaltung von
If Group G1 is in expiry
Gruppen- und Löschaktivitäten abgedeckt.
window and active
then, auto-renew G1
Else, mark G1 for Ablaufservice
deletion
• Policy-basierte Ablaufablauf mit Erinnerungs-E-
Mails für inaktive Gruppen
Azure Active Directory
• Portal für Besitzer, Gruppen manuell zu erneuern
33Löschvorgang einer Gruppe
Group object in Azure AD
Exchange
mailbox Planner Plan
Teams channel SharePoint
thread Site
34Löschvorgang einer Gruppe
Group object in Azure AD
Exchange
mailbox Planner Plan Benutzer löscht
Gruppe
Teams channel SharePoint
thread SiteLöschvorgang einer Gruppe
Group object in Azure AD
Exchange
mailbox Planner Plan Benutzer löscht
Gruppe
Teams channel SharePoint
thread SiteLöschvorgang einer Gruppe
Group object in Azure AD
Gruppenobjekt für 30 Tage weich gelöscht
Exchange
mailbox Planner Plan
Planer-Inhalte werden 30
Tage lang soft gelöscht
Teams channel SharePoint
thread SiteLöschvorgang einer Gruppe
Group object in Azure AD
Gruppenobjekt für 30 Tage weich gelöscht
Gruppenlöschbenachrichtigung
Exchange
mailbox Planner Plan
Planer-Inhalte werden 30
Tage lang weich gelöscht
Teams channel SharePoint
thread SiteLöschvorgang einer Gruppe
Group object in Azure AD
Gruppenobjekt für 30 Tage weich gelöscht
Gruppenlöschbenachrichtigung
Exchange
mailbox Planner Plan
Gruppe wird für 30 Tage soft-delete
Planer-Inhalte werden 30
& E-Mail-Adresse wird freigegeben
Tage lang soft gelöscht
Teams channel SharePoint
thread Site
Gruppe wird für 30 Tage soft gelöscht Gruppe wird 93 Tage lang soft gelöscht
& site-url wird nicht freigegebenRestore einer Gruppe
User restores from
GroupsHub in OWA
Group object in Azure AD
Gruppenobjekt für 30 Tage weich gelöscht
Gruppenlöschbenachrichtigung
Exchange
mailbox Planner Plan
Gruppe wird für 30 Tage weich gelöscht
Planer-Inhalte werden 30
& E-Mail-Adresse wird freigegeben
Tage lang weich gelöscht
Teams channel SharePoint
thread Site
Gruppe wird für 30 Tage weich gelöscht Group is soft-deleted for 93 days
& site-url is not releasedRestore einer Gruppe
User restores from
GroupsHub in OWA
Group object in Azure AD
Group object is restored
Group delete notification
Exchange
mailbox Planner Plan
Group is soft-deleted for 30 days
Planner content is soft-
& email address is released
deleted for 30 days
Teams channel SharePoint
thread Site
Group is soft-deleted for 30 days Group is soft-deleted for 93 days
& site-url is not releasedRestore einer Gruppe
User restores from
GroupsHub in OWA
Group object in Azure AD
Group object is restored
Group restore notification
Exchange
mailbox Planner Plan
Group is soft-deleted for 30 days
Planner content is soft-
& email address is released
deleted for 30 days
Teams channel SharePoint
thread Site
Group is soft-deleted for 30 days Group is soft-deleted for 93 days
& site-url is not releasedRestore einer Gruppe
User restores from
GroupsHub in OWA
Group object in Azure AD
Group object is restored
Group restore notification
Exchange
mailbox Planner Plan
Group restored if email
Group is restored
address is available
Teams channel SharePoint
thread Site
Group is restored Groups is restoredLöschvorgang einer Gruppe
Group still in
deleted
state
Group object in Azure AD
Group object soft-deleted for 30 days
Group delete notification
Exchange
mailbox Planner Plan
Group is soft-deleted for 30 days
Planner content is soft-
& email address is released
deleted for 30 days
Teams channel SharePoint
thread Site
Group is soft-deleted for 30 days Group is soft-deleted for 93 days
& site-url is not releasedAm 31. Tag
Löschvorgang einer Gruppe
– Hard-delete
Group object in Azure AD
Group object hard-deleted
Group hard-delete notification
Exchange
mailbox Planner Plan
Group is hard-deleted
Group is hard-deleted
Teams channel SharePoint
thread Site
Group is hard-deleted Site content is available for 93 daysLöschvorgang einer Am 94. Tag
Gruppe– Hard-delete
Group object in Azure AD
Group object hard-deleted
Group hard-delete notification
Exchange
mailbox Planner Plan
Group is hard-deleted
Group is hard-deleted
Teams channel SharePoint
thread Site
Group is hard-deleted Site content is permanently deletedLöschvorgang einer Gruppe- Retention
Compliance center Group still in deleted state
Group object in Azure AD
Retention policy for 7 years
Group object soft-deleted for 30 days
Group delete notification
Exchange
mailbox Planner Plan
Group is soft-deleted for 30 days
Group is soft-deleted for
& email address is released
30 days
Teams channel SharePoint
thread Site
Group is soft-deleted for 30 days Group is soft-deleted for 93 days
& site-url is not releasedLöschvorgang einer Gruppe –Retention
On 31 day st
Compliance center Group still in deleted state
Group object in Azure AD
Retention policy for 7 years
Group object hard-deleted
Group hard-delete notification
Exchange
mailbox Planner Plan
Mailbox content is not deleted
Group is hard-deleted
Teams channel SharePoint
thread Site
Teams content is not deleted Site content is not deletedZusammenfassung
Teams Retention Policy wirkt Retention Policy wirkt Retention Policy wirkt
nicht (max. 30 Tage nicht
Wiederherstellung)
SharePoint Online X
SharePoint Site / Teamsite
Public & private Channel
Exchange Online X
Gruppenpostfach
Microsoft Teams X
Kanalnachrichten
Public und private Channel
Planner X
3rd Party Apps X
Zusatzapps (MS) z:B. X X
Whiteboard
49eDiscovery
Aufbewahrung mit Microsoft 365
5051
eDiscovery und Microsoft Teams
• Legal Hold für Teams 1. Rechtliche Anträge (Prozess,
• Möglich Vorladungen dritter Parteien)
2. Regulatorische
• Chat 1 zu 1 und 1 zu n Anforderungen (zB. DSGVO
• Kanalnachrichten Art. 15 Auskunftsanfrage)
3. Internal Due Diligance
• Private Kanalnachrichten 1. M&A
2. Audit (PIA / DPIA GDPR)
4. Post data breach assessment
5. Internal / Forensic
Untersuchungen
1. Internal
2. Policy violation
3. Insider
4. Data spillage
52Electronic Discovery Reference Model
(EDRM)
53Screenshots
5455
Aufbewahren per eDiscovery
56Suche
Überprüfen von Unterhaltungen in Advanced
eDiscovery
https://docs.microsoft.com/de-de/microsoft-
365/compliance/conversation-review-sets?view=o365-
worldwide 57Ergebnisse
Prüfsatz
• Suche der Chat Elemente
• Redigieren der Chats
• Angekündigt (Ignite): PowerPlattform für
Automatisierung z.B. Approval
https://protection.office.com/advancedediscoverycases
Exchange => TeamsChats 58Q&A
Retention Policies
59Danke!
Wir sehen uns bald wieder!
Kontakt Business
E-Mail Raphael.koellner@rakoellner.com Microsoft Compliance Center
Twitter ra_koellner
E-Mail Raphael.koellner@bdo.de
www.rakoellner.de
Complianceinsider.de www.bdo-digital.de
60Sie können auch lesen
