M365 Privatsphäre: Item Insights und People Insights

Einer der großen Vorzüge von Microsoft 365 (M365) im Allgemeinen und des Microsoft Modern Workplace im Besonderen ist die verbesserte Zusammenarbeit. Dieser Vorteil kommt gerade in verteilten Teams zum Tragen. Welche Dokumente wurden kürzlich bearbeitet oder wer arbeitet mit wem zusammen? Über Microsoft Delve und Microsoft Graph werden Informationen bereitgestellt, welche über Aktivitäten von Kolleg:innen informieren. Dabei werden die vorhandenen Berechtigungen bei der Präsentation der Ergebnisse berücksichtigt. Es werden nur die Dokumente und Daten derjenigen angezeigt, bei denen die Zugriffsberechtigung vorliegt.

Die Nutzer entscheiden selbst

Diese Eigenschaften wecken erwartungsgemäß die Aufmerksamkeit von Betriebsräten und des Datenschutzes. Bis Juli 2021 waren diese Funktionen fest mit der Aktivierung bzw. Deaktivierung von Microsoft Delve verknüpft. Wurde Delve über das SharePoint Online Admin Center deaktiviert, so wurden automatisch einige grundlegende Funktionen des Microsoft Graph ebenfalls ausgeschaltet. Seit Juli 2021 ist das anders: Beide Funktionen wurden getrennt, sodass sich Delve deaktivieren lässt, ohne dass Microsoft Graph deaktiviert wird.

https://docs.microsoft.com/en-us/sharepoint/delve-for-office-365-admins#control-access-to-delve

Eine Deaktivierung von Delve im SharePoint Online Admin Center wirkt sich auf den gesamten Tenant aus. Über die persönlichen Einstellungen in Delve kann jeder Anwendende die Anzeige von den persönlichen zuletzt bearbeiteten Dateien selbst steuern.

Eine Deaktivierung von Microsoft Delve betrifft jedoch lediglich die Anzeige der zuletzt bearbeiteten Dateien. Microsoft Graph sammelt hingegen weiterhin Daten – und zwar bezüglich der Personen, mit denen man aktuell zusammenarbeitet. Diese werden z. B. auf der M365-Kontaktkarte unter „arbeitet mit“ oder „works with“ angezeigt.

Die „works with“ Anzeige bleibt aktiv, auch wenn Microsoft Delve deaktiviert wurde. Dies geschieht sowohl bei einer Tenant-weiten Deaktivierung als auch bei der Deaktivierung im persönlichen Delve-Profil.

Neu: Item Insights und People Insights

Kürzlich hat Microsoft weitere Einstellungsmöglichkeiten eingeführt, welche allerdings teilweise noch im Preview sind (Stand April 2022):

• Item Insights
• People Insights

Item Insights

Die Einstellung „Item Insights“ ist vergleichbar mit der Deaktivierung von Microsoft Delve. Hier wird die Anzeige der zuletzt bearbeiteten Dokumente auf der Profil-Karte, der Delve-Seite oder auf der OneDrive-Homepage ausgeschaltet.

People Insights

Die Steuerung von „People Insights“ ist eine neue Funktion und befindet sich aktuell (April 2022) noch im Preview. Hiermit wird die Anzeige von „works with“ aktiviert oder deaktiviert.

Einstellung im Microsoft 365 Admin Center

Im Microsoft 365 Admin Center sind diese Einstellungen unter Settings > Search & Intelligence > Configurations zu finden.

Die Funktionen können für den gesamten Tenant oder nur für Mitglieder einer bestimmten Gruppe deaktiviert werden.

People Insights per Graph API

Die Funktionen „People Insights“ und „Item Insights“ lassen sich per Graph API konfigurieren. Für den Zugriff auf die Graph API empfiehlt sich hier das Microsoft Graph PowerShell SDK.

Link zur Microsoft Dokumentation

Installation der Microsoft Graph PowerShell SDK

Die Microsoft Graph PowerShell SDK-Module sind nicht automatisch vorinstalliert, können aber mit diesem Kommando integriert werden:

Install-Module Microsoft.Graph
Import-Module Microsoft.Graph -force

Zugriff auf das Beta Profile

Da sich die Funktionen „People Insights“ als auch „Item Insights“ noch im Preview befinden, muss das SDK auf das Beta Profile umgeschaltet werden.

Select-MgProfile -Name "beta"

Mit “Get-MgProfile” kann die Einstellung geprüft werden:

Abbildung 5: Prüfung des Graph SDK Profils

Verbindung mit der Microsoft Graph API

Die Verbindung zur Graph API unterscheidet sich von einer herkömmlichen Verbindung per PowerShell. Zusätzlich zur Azure-AD Admin-Rolle wird beim Verbindungsaufbau jede benötigte Berechtigung mitgegeben und per Admin-Consent bestätigt. Im Hintergrund wird in Azure-AD ein Service Principal „Microsoft Graph PowerShell“ unter Enterprise Applications angelegt, der die delegierten Berechtigungen sammelt.

Die nötigen Berechtigungen variieren je nachdem, welche Einstellungen per Graph API geändert werden sollen. Für Item Insights und People Insights liegt allerdings noch keine vollständige Dokumentation bei Microsoft vor. Mit diesen Rechten ist es jedoch möglich, die Einstellungen zu ändern:

• „Directory.ReadWrite.All“
• „Directory.AccessAsUser.All“
• „User.ReadBasic.All“
• „User.ReadWrite“

Der Verbindungsaufbau wird mit “Connect-MgGraph“ ausgeführt:

$TenantID="3e062688-79ca-41ec-855c-xxxxxxxxxxxx"

$Permissions="Directory.ReadWrite.All","Directory.AccessAsUser.All","User.ReadBasic.All","User.ReadWrite"

Connect-MgGraph -Scopes $Permissions -TenantId $TenantID

Die für die aktuelle Verbindung genutzten Berechtigungen können daraufhin per „Get-MgContext“ abgefragt werden:

Konfiguration Item Insights und People Insights

Die genaue Konfiguration der Insights erfolgt mit jeweils eigenen cmdlets.

Item Insights:

• Get-MgOrganizationSettingItemInsight
• Update-MgOrganizationSettingItemInsight

People Insights:

• Get-MgOrganizationSettingPersonInsight
• Update-MgOrganizationSettingPersonInsight

Das Auslesen der aktuellen Konfiguration für People Insights kann auf diese Art veranlasst werden:

Get-MgOrganizationSettingPersonInsight -OrganizationId $TenantID | select IsEnabledInOrganization

In diesem Fall ist People Insights noch aktiviert:

Über diesen Weg kann People Insights für den gesamten Tenant deaktiviert werden:

Update-MgOrganizationSettingPersonInsight -OrganizationId $TenantID -IsEnabledInOrganization:$false

Nun ist People Insights deaktiviert:

Überprüfung per Graph Explorer

Eine schnelle Überprüfung der Einstellungen lässt sich per Graph Explorer durchführen, denn Microsoft stellt eine Browserschnittstelle bereit, mit welcher sich Einstellungen auslesen und anpassen lassen.

https://developer.microsoft.com/en-us/graph/graph-explorer

Zur Nutzung des Graph Explorers muss die gesamte Graph URI bekannt sein – d.h. der Pfad, welcher per Graph API abgefragt werden soll. Im Falle von Item Insights und People Insights sind dies die benötigten URIs:

https://graph.microsoft.com/beta/organization/{ID}/settings/itemInsights

https://graph.microsoft.com/beta/organization/{ID}/settings/peopleInsights

Ergänzend muss der Platzhalter „{ID}“ mit der Tenant-ID ersetzt werden.

Wichtig ist hier, dass die Methode „Get“ und das „Beta“ Profile ausgewählt werden. Mit „run query“ wird die Abfrage ausgelöst.

Die Rückmeldung zeigt sich auch hier: „isEnabledInOrganization: false“

Link zur Microsoft Dokumentation:

https://docs.microsoft.com/en-us/graph/api/organizationsettings-list-peopleinsights

Hinweis: Es kann bis zu 48 Stunden dauern, bis die Einstellungen im Tenant aktiv werden – es ist etwas Geduld nötig.

Kontrolle der Profile-Card

Nachdem die Funktion People Insights per Graph API deaktiviert wurde, wird der Bereich „works with“ nicht mehr auf der Profilkarte angezeigt:

Fazit

Mit den neuen Einstellungsmöglichkeiten People Insights und Item Insights ist es möglich, die Sichtbarkeit von persönlichen Dokumenten und Kontakten in Microsoft 365 für die gesamte Organisation oder für Mitglieder einer Gruppe zu steuern. In Diskussionen mit Datenschützern und Betriebsräten kann die neue Möglichkeit durchaus positiven Einfluss haben.