Konfigurieren der Ablaufrichtlinie für Microsoft 365-GruppenConfigure the expiration policy for Microsoft 365 groups

In diesem Artikel wird beschrieben, wie Sie den Lebenszyklus von Microsoft 365-Gruppen durch Festlegen einer Ablaufrichtlinie verwalten können.This article tells you how to manage the lifecycle of Microsoft 365 groups by setting an expiration policy for them. Sie können eine Ablaufrichtlinie nur für Microsoft 365-Gruppen in Azure Active Directory (Azure AD) festlegen.You can set expiration policy only for Microsoft 365 groups in Azure Active Directory (Azure AD).

Das Festlegen eines Ablaufs für eine Gruppe bewirkt Folgendes:Once you set a group to expire:

  • Gruppen mit Benutzeraktivitäten werden kurz vor Ablauf automatisch verlängert.Groups with user activities are automatically renewed as the expiration nears.
  • Besitzer der Gruppe werden aufgefordert, die Gruppe zu erneuern, wenn die Gruppe nicht automatisch erneuert wird.Owners of the group are notified to renew the group, if the group is not auto-renewed.
  • Nicht erneuerte Gruppen werden gelöscht.Any group that is not renewed is deleted.
  • Eine gelöschte Microsoft 365-Gruppe kann innerhalb von 30 Tagen von den Gruppenbesitzern oder vom Administrator wiederhergestellt werden.Any Microsoft 365 group that is deleted can be restored within 30 days by the group owners or the administrator.

Zurzeit kann für alle Microsoft 365-Gruppen in einer Azure AD-Organisation nur eine einzige Ablaufrichtlinie konfiguriert werden.Currently, only one expiration policy can be configured for all Microsoft 365 groups in an Azure AD organization.

Hinweis

Beim Konfigurieren und Verwenden der Ablaufrichtlinie für Microsoft 365-Gruppen müssen Sie über Azure AD Premium-Lizenzen für die Mitglieder aller Gruppen verfügen, auf die die Ablaufrichtlinie angewendet wird, diese Lizenzen aber nicht unbedingt zuweisen.Configuring and using the expiration policy for Microsoft 365 groups requires you to possess but not necessarily assign Azure AD Premium licenses for the members of all groups to which the expiration policy is applied.

Informationen zum Herunterladen und Installieren der Azure AD-PowerShell-Cmdlets finden Sie unter Azure Active Directory PowerShell for Graph – 2.0.0.137 (Azure Active Directory: PowerShell für Graph – 2.0.0.137).For information on how to download and install the Azure AD PowerShell cmdlets, see Azure Active Directory PowerShell for Graph 2.0.0.137.

Aktivitätsbasierte automatische ErneuerungActivity-based automatic renewal

Mit Azure AD-Intelligence werden Gruppen nun automatisch erneuert, je nachdem, ob sie kürzlich verwendet wurden.With Azure AD intelligence, groups are now automatically renewed based on whether they have been recently used. Durch dieses Feature müssen Gruppenbesitzer keine manuellen Aktionen mehr ausführen, weil es auf der Benutzeraktivität in Gruppen in Microsoft 365-Diensten wie Outlook, SharePoint oder Teams basiert.This feature eliminates the need for manual action by group owners, because it's based on user activity in groups across Microsoft 365 services like Outlook, SharePoint, or Teams. Wenn z. B. ein Besitzer oder ein Gruppenmitglied ein Dokument in SharePoint hochlädt, einen Teams-Kanal besucht oder eine E-Mail an die Gruppe in Outlook sendet, wird die Gruppe automatisch erneuert, und der Besitzer erhält keine Benachrichtigung zur Erneuerung.For example, if an owner or a group member does something like upload a document in SharePoint, visit a Teams channel, or send an email to the group in Outlook, the group is automatically renewed and the owner does not get any renewal notifications.

Aktivitäten, durch die der Ablauf der Gruppe automatisch verlängert wirdActivities that automatically renew group expiration

Die folgenden Benutzeraktionen bewirken die automatische Gruppenerneuerung:The following user actions cause automatic group renewal:

  • SharePoint: Anzeigen, Bearbeiten, Herunterladen, Verschieben, Freigeben oder Hochladen von DateienSharePoint: View, edit, download, move, share, or upload files
  • Outlook: Beitreten zur Gruppe, Lesen/Schreiben von Gruppennachrichten im Gruppenbereich, Markieren einer Nachricht mir „Gefällt mir“ (in Outlook Web Access)Outlook: Join group, read/write group message from group space, Like a message (in Outlook Web Access)
  • Teams: Besuchen eines Teams-KanalsTeams: Visit a Teams channel

Überwachung und BerichterstellungAuditing and reporting

Administratoren können eine Liste der automatisch erneuerten Gruppen aus den Aktivitätsüberwachungsprotokollen in Azure AD abrufen.Administrators can get a list of automatically renewed groups from the activity audit logs in Azure AD.

Automatische Erneuerung von Gruppen auf der Grundlage von Aktivitäten

Rollen und BerechtigungenRoles and permissions

Nachfolgend sind Rollen aufgeführt, mit denen der Ablauf für Microsoft 365-Gruppen in Azure AD konfiguriert und verwendet werden kann.The following are roles that can configure and use expiration for Microsoft 365 groups in Azure AD.

RoleRole BerechtigungenPermissions
Globaler Administrator, Gruppenadministrator oder BenutzeradministratorGlobal administrator, Group administrator, or User administrator Kann die Einstellungen der Ablaufrichtlinie für Microsoft 365-Gruppen erstellen, lesen, aktualisieren oder löschenCan create, read, update, or delete the Microsoft 365 groups expiration policy settings
Kann eine beliebige Microsoft 365-Gruppe erneuernCan renew any Microsoft 365 group
BenutzerUser Kann eine Microsoft 365-Gruppe, deren Besitzer er ist, erneuernCan renew an Microsoft 365 group that they own
Kann eine Microsoft 365 Gruppe, deren Besitzer er ist, wiederherstellenCan restore an Microsoft 365 group that they own
Kann die Einstellungen der Ablaufrichtlinie lesenCan read the expiration policy settings

Weitere Informationen zu Berechtigungen zum Wiederherstellen einer gelöschten Gruppe finden Sie unter Wiederherstellen einer gelöschten Microsoft 365-Gruppe in Azure Active Directory.For more information on permissions to restore a deleted group, see Restore a deleted Microsoft 365 group in Azure Active Directory.

Festlegen des GruppenablaufsSet group expiration

  1. Öffnen Sie das Azure AD Admin Center mit dem Konto eines globalen Administrators in Ihrer Azure AD-Organisation.Open the Azure AD admin center with an account that is a global administrator in your Azure AD organization.

  2. Wählen Sie zuerst Gruppen und dann Ablauf aus, um die Ablaufeinstellungen zu öffnen.Select Groups, then select Expiration to open the expiration settings.

    Ablaufeinstellungen für Gruppen

  3. Auf der Seite Ablauf haben Sie folgende Möglichkeiten:On the Expiration page, you can:

    • Die Gruppenlebensdauer in Tagen festlegen.Set the group lifetime in days. Sie könnten einen der voreingestellten Werte oder einen benutzerdefinierten Wert auswählen (sollte mindestens 30 Tage sein).You could select one of the preset values, or a custom value (should be 30 days or more).
    • Geben Sie eine E-Mail-Adresse an, an die die Verlängerungs- und Ablaufbenachrichtigungen gesendet werden sollten, wenn eine Gruppe keinen Besitzer hat.Specify an email address where the renewal and expiration notifications should be sent when a group has no owner.
    • Wählen Sie aus, welche Microsoft 365-Gruppen ablaufen sollen.Select which Microsoft 365 groups expire. Sie können den Ablauf wie folgt festlegen:You can set expiration for:
      • Alle Microsoft 365-GruppenAll Microsoft 365 groups
      • Eine Liste von ausgewählten Microsoft 365 GruppenA list of Selected Microsoft 365 groups
      • Für Keine, um den Ablauf für alle Gruppen einzuschränkenNone to restrict expiration for all groups
    • Speichern Sie die Einstellungen durch Auswahl von Speichern.Save your settings when you're done by selecting Save.

Hinweis

  • Beim erstmaligen Einrichten des Ablaufs wird für alle Gruppen, deren Alter das Ablaufintervall übersteigt, ein Ablaufzeitraum von 35 Tagen festgelegt – außer wenn der Besitzer ihn verlängert oder die Gruppe automatisch erneuert wird.When you first set up expiration, any groups that are older than the expiration interval are set to 35 days until expiration unless the group is automatically renewed or the owner renews it.
  • Wenn eine dynamische Gruppe gelöscht und wiederhergestellt wird, gilt sie als neue Gruppe und wird der Regel entsprechend erneut aufgefüllt.When a dynamic group is deleted and restored, it's seen as a new group and re-populated according to the rule. Dieser Vorgang kann bis zu 24 Stunden dauern.This process can take up to 24 hours.
  • Benachrichtigungen über den Ablauf für in Teams verwendeten Gruppen werden im Feed „Teams-Besitzer“ angezeigt.Expiration notices for groups used in Teams appear in the Teams Owners feed.

E-Mail-BenachrichtigungenEmail notifications

Werden Gruppen nicht automatisch erneuert, so werden E-Mail-Benachrichtigungen wie diese 30 Tage, 15 Tage und 1 Tag vor Ablauf der Gruppe an die Microsoft 365-Gruppenbesitzer gesendet.If groups are not automatically renewed, email notifications such as this one are sent to the Microsoft 365 group owners 30 days, 15 days, and 1 day prior to expiration of the group. Die Sprache der E-Mail richtet sich nach der bevorzugten Sprache des Gruppenbesitzers oder der Azure AD-Spracheinstellung.The language of the email is determined by groups owner's preferred language or Azure AD language setting. Wenn der Gruppenbesitzer eine bevorzugte Sprache definiert hat oder mehrere Besitzer die gleiche bevorzugte Sprache haben, wird diese Sprache verwendet.If the group owner has defined a preferred language, or multiple owners have the same preferred language, then that language is used. In allen anderen Fällen wird die Azure AD-Spracheinstellung verwendet.For all other cases, Azure AD language setting is used.

E-Mail-Benachrichtigungen zum Ablauf

Aus der Benachrichtigungs-E-Mail zu Gruppe verlängern können Gruppenbesitzer direkt auf die Seite mit den Gruppendetails im Zugriffsbereich zugreifen.From the Renew group notification email, group owners can directly access the group details page in the Access Panel. Auf dieser Seite erhalten Benutzer weitere Informationen zur Gruppe, z.B. Beschreibung, Zeitpunkt der letzten Verlängerung, Ablaufzeitpunkt und Möglichkeit zur Verlängerung der Gruppe.There, the users can get more information about the group such as its description, when it was last renewed, when it will expire, and also the ability to renew the group. Die Seite mit den Gruppendetails enthält jetzt auch Links zu den Microsoft 365-Gruppenressourcen, sodass der Gruppenbesitzer den Inhalt und die Aktivitäten der Gruppe bequem anzeigen kann.The group details page now also includes links to the Microsoft 365 group resources, so that the group owner can conveniently view the content and activity in their group.

Wenn eine Gruppe abläuft, wird die Gruppe einen Tag nach dem Ablaufdatum gelöscht.When a group expires, the group is deleted one day after the expiration date. Eine E-Mail-Benachrichtigung wie diese wird an die Microsoft 365-Gruppenbesitzer gesendet, um sie über den Ablauf und die nachfolgende Löschung ihrer Microsoft 365-Gruppe zu informieren.An email notification such as this one is sent to the Microsoft 365 group owners informing them about the expiration and subsequent deletion of their Microsoft 365 group.

E-Mail-Benachrichtigungen zur Gruppenlöschung

Die Gruppe kann innerhalb von 30 Tagen nach ihrer Löschung durch Auswählen von Gruppe wiederherstellen oder mithilfe von PowerShell-Cmdlets wiederhergestellt werden. Dies wird unter Wiederherstellen einer gelöschten Microsoft 365-Gruppe in Azure Active Directory beschrieben.The group can be restored within 30 days of its deletion by selecting Restore group or by using PowerShell cmdlets, as described in Restore a deleted Microsoft 365 group in Azure Active Directory. Beachten Sie, dass der 30-tägige Wiederherstellungszeitraum für Gruppen nicht angepasst werden kann.Please note that the 30-day group restoration period is not customizable.

Wenn die Gruppe, die Sie wiederherstellen, Dokumente, SharePoint-Websites oder andere beständige Objekte enthält, kann es bis zu 24 Stunden dauern, bis die Gruppe und deren Inhalte vollständig wiederhergestellt werden.If the group you're restoring contains documents, SharePoint sites, or other persistent objects, it might take up to 24 hours to fully restore the group and its contents.

Abrufen des Ablaufdatums für eine Microsoft 365-GruppeHow to retrieve Microsoft 365 group expiration date

Zusätzlich zum Zugriffsbereich, in dem Benutzer Gruppendetails einschließlich Ablaufdatum und letztem Erneuerungsdatum anzeigen können, kann das Ablaufdatum für eine Microsoft 365-Gruppe aus der Betaversion der Microsoft Graph-REST-API abgerufen werden.In addition to Access Panel where users can view group details including expiration date and last renewed date, expiration date of an Microsoft 365 group can be retrieved from Microsoft Graph REST API Beta. expirationDateTime als Gruppeneigenschaft wurde in der Betaversion von Microsoft Graph aktiviert.expirationDateTime as a group property has been enabled in Microsoft Graph Beta. Sie kann mit einer GET-Anforderung abgerufen werden.It can be retrieved with a GET request. Weitere Informationen finden Sie in diesem Beispiel.For more details, please refer to this example.

Hinweis

Um Gruppenmitgliedschaften im Zugriffsbereich zu verwalten, muss „Zugriff auf Gruppen im Zugriffsbereich einschränken“ in der Allgemeinen Einstellung für Azure Active Directory-Gruppen auf „Nein“ festgelegt werden.In order to manage group memberships on Access Panel, "Restrict access to Groups in Access Panel" needs to be set to "No" in Azure Active Directory Groups General Setting.

Wenn eine Gruppe abläuft und gelöscht wird, werden die Daten der Gruppe für Apps wie Planner, Sites oder Teams 30 Tage nach dem Löschvorgang endgültig gelöscht. Das Postfach der Gruppe, für das eine gesetzliche Aufbewahrungspflicht gilt, wird beibehalten und nicht endgültig gelöscht.When a group expires and is deleted, then 30 days after deletion the group's data from apps like Planner, Sites, or Teams is permanently deleted, but the group mailbox that is on legal hold is retained and is not permanently deleted. Der Administrator kann Exchange-Cmdlets verwenden, um das Postfach zum Abrufen der Daten wiederherzustellen.The administrator can use Exchange cmdlets to restore the mailbox to fetch the data.

Funktionsweise des Microsoft 365-Gruppenablaufs mit AufbewahrungsrichtlinieHow Microsoft 365 group expiration works with retention policy

Die Aufbewahrungsrichtlinie wird über das Security & Compliance Center konfiguriert.The retention policy is configured by way of the Security and Compliance Center. Wenn Sie eine Aufbewahrungsrichtlinie für Microsoft 365-Gruppen eingerichtet haben, werden die Gruppenunterhaltungen im Postfach einer Gruppe und die Dateien auf deren Website nach dem Ablauf und der Löschung der Gruppe im Aufbewahrungscontainer entsprechend der Angabe in der Aufbewahrungsrichtlinie (in Tagen) beibehalten.If you have set up a retention policy for Microsoft 365 groups, when a group expires and is deleted, the group conversations in the group mailbox and files in the group site are retained in the retention container for the specific number of days defined in the retention policy. Benutzer können die Gruppe oder ihren Inhalt nach dem Ablauf nicht mehr anzeigen, aber sie können die Site- und Postfachdaten per E-Discovery wiederherstellen.Users won't see the group or its content after expiration, but can recover the site and mailbox data via e-discovery.

PowerShell-BeispielePowerShell examples

Hier finden Sie einige Beispiele dafür, wie Sie die Ablaufeinstellungen für Microsoft 365-Gruppen in Ihrer Azure AD-Organisation mithilfe von PowerShell-Cmdlets konfigurieren können:Here are examples of how you can use PowerShell cmdlets to configure the expiration settings for Microsoft 365 groups in your Azure AD organization:

  1. Installieren Sie das PowerShell v2.0-Modul, und melden Sie sich an der PowerShell-Eingabeaufforderung an:Install the PowerShell v2.0 module and sign in at the PowerShell prompt:

    Install-Module -Name AzureAD
    Connect-AzureAD
    
  2. Konfigurieren Sie die Ablaufeinstellungen. Mithilfe des Cmdlets „New-AzureADMSGroupLifecyclePolicy“ können Sie die Lebensdauer für alle Microsoft 365-Gruppen in der Azure AD-Organisation auf 365 Tage festlegen.Configure the expiration settings Use the New-AzureADMSGroupLifecyclePolicy cmdlet to set the lifetime for all Microsoft 365 groups in the Azure AD organization to 365 days. Benachrichtigungen zur Erneuerung für Microsoft 365-Gruppen ohne Besitzer werden an emailaddress@contoso.com gesendet.Renewal notifications for Microsoft 365 groups without owners will be sent to 'emailaddress@contoso.com'

    New-AzureADMSGroupLifecyclePolicy -GroupLifetimeInDays 365 -ManagedGroupTypes All -AlternateNotificationEmails emailaddress@contoso.com
    
  3. Abrufen der vorhandenen Richtlinie per „Get-AzureADMSGroupLifecyclePolicy“: Mit diesem Cmdlet können Sie die aktuellen konfigurierten Einstellungen zum Microsoft 365-Gruppenablauf abrufen.Retrieve the existing policy Get-AzureADMSGroupLifecyclePolicy: This cmdlet retrieves the current Microsoft 365 group expiration settings that have been configured. In diesem Beispiel sehen Sie Folgendes:In this example, you can see:

    • Richtlinien-IDThe policy ID
    • Festlegung der Lebensdauer für alle Microsoft 365-Gruppen in der Azure AD-Organisation auf 365 TageThe lifetime for all Microsoft 365 groups in the Azure AD organization is set to 365 days
    • Benachrichtigungen zur Erneuerung für Microsoft 365-Gruppen ohne Besitzer werden an „emailaddress@contoso.com“ gesendet.Renewal notifications for Microsoft 365 groups without owners will be sent to 'emailaddress@contoso.com.'
    Get-AzureADMSGroupLifecyclePolicy
    
    ID                                    GroupLifetimeInDays ManagedGroupTypes AlternateNotificationEmails
    --                                    ------------------- ----------------- ---------------------------
    26fcc232-d1c3-4375-b68d-15c296f1f077  365                 All               emailaddress@contoso.com
    
  4. Aktualisieren der vorhandenen Richtlinie per „Set-AzureADMSGroupLifecyclePolicy“: Dieses Cmdlet dient zum Aktualisieren einer vorhandenen Richtlinie.Update the existing policy Set-AzureADMSGroupLifecyclePolicy: This cmdlet is used to update an existing policy. Im folgenden Beispiel wird die Lebensdauer der Gruppe in der vorhandenen Richtlinie von 365 Tagen in 180 Tage geändert.In the example below, the group lifetime in the existing policy is changed from 365 days to 180 days.

    Set-AzureADMSGroupLifecyclePolicy -Id "26fcc232-d1c3-4375-b68d-15c296f1f077" -GroupLifetimeInDays 180 -AlternateNotificationEmails "emailaddress@contoso.com"
    
  5. Hinzufügen von spezifischen Gruppen zur Richtlinie per „Add-AzureADMSLifecyclePolicyGroup“: Mit diesem Cmdlet können Sie der Lebenszyklusrichtlinie eine Gruppe hinzufügen.Add specific groups to the policy Add-AzureADMSLifecyclePolicyGroup: This cmdlet adds a group to the lifecycle policy. Beispiel:As an example:

    Add-AzureADMSLifecyclePolicyGroup -Id "26fcc232-d1c3-4375-b68d-15c296f1f077" -groupId "cffd97bd-6b91-4c4e-b553-6918a320211c"
    
  6. Entfernen der vorhandenen Richtlinie per „Policy Remove-AzureADMSGroupLifecyclePolicy“: Mit diesem Cmdlet können Sie die Einstellungen für den Microsoft 365-Gruppenablauf löschen (unter Angabe der Richtlinien-ID).Remove the existing Policy Remove-AzureADMSGroupLifecyclePolicy: This cmdlet deletes the Microsoft 365 group expiration settings but requires the policy ID. Dieses Cmdlet deaktiviert den Ablauf für Microsoft 365-Gruppen.This cmdlet disables expiration for Microsoft 365 groups.

    Remove-AzureADMSGroupLifecyclePolicy -Id "26fcc232-d1c3-4375-b68d-15c296f1f077"
    

Die folgenden Cmdlets können verwendet werden, um die Richtlinie ausführlicher zu konfigurieren.The following cmdlets can be used to configure the policy in more detail. Weitere Informationen finden Sie in der PowerShell-Dokumentation.For more information, see PowerShell documentation.

  • Get-AzureADMSGroupLifecyclePolicyGet-AzureADMSGroupLifecyclePolicy
  • New-AzureADMSGroupLifecyclePolicyNew-AzureADMSGroupLifecyclePolicy
  • Set-AzureADMSGroupLifecyclePolicySet-AzureADMSGroupLifecyclePolicy
  • Remove-AzureADMSGroupLifecyclePolicyRemove-AzureADMSGroupLifecyclePolicy
  • Add-AzureADMSLifecyclePolicyGroupAdd-AzureADMSLifecyclePolicyGroup
  • Remove-AzureADMSLifecyclePolicyGroupRemove-AzureADMSLifecyclePolicyGroup
  • Reset-AzureADMSLifeCycleGroupReset-AzureADMSLifeCycleGroup
  • Get-AzureADMSLifecyclePolicyGroupGet-AzureADMSLifecyclePolicyGroup

Nächste SchritteNext steps

Diese Artikel enthalten zusätzliche Informationen zu Azure AD-Gruppen.These articles provide additional information on Azure AD groups.