Leitfaden für Administratoren zum App-Management

Apps unterstützen dein Team bei der Steigerung der Produktivität, indem sie wichtige Tools dort in Slack zugänglich machen, wo dein Team bereits arbeitet. Als Administrator besteht deine Rolle darin, ein ausgewogenes Verhältnis zu schaffen zwischen der Flexibilität der Mitarbeiter bei der Nutzung von Apps und der Kontrolle über die Funktionsweise von Apps im Unternehmen.

Zu diesem Zweck haben wir bewährte Verfahren zusammengestellt, mit deren Hilfe du die sichere und skalierbare Verwaltung von Anwendungen für dein Unternehmen einfacher und reibungsloser gestalten kannst.

Einführung in das App-Management

Zunächst unterteilen wir das App-Management in die folgenden vier Schritte:

  1. App anfordern
  2. App genehmigen oder einschränken
  3. App installieren
  4. Authentifizieren deines Kontos bei einer App

Für jeden dieser Schritte gibt es spezifische Entscheidungen, die du treffen kannst, um das App-Management an die Bedürfnisse deines Unternehmens anzupassen.

Denke bei jedem Schritt darüber nach, welche Art von Governance du auf das App-Management anwenden möchtest. Sollen Entscheidungen von oben nach unten getroffen werden, d. h. von den Organisationsadministratoren und -inhabern so festgelegt werden, dass sie für alle Workspaces im Unternehmen gelten?

Oder ist es besser, einen Bottom-up-Ansatz zu verfolgen, sodass die Workspace-Administratoren für die Entscheidungen in ihren jeweiligen Workspaces verantwortlich sind? 

Jede Organisation bzw. jedes Unternehmen verfolgt eine andere Herangehensweise an die Entscheidungsfindung – es gibt also keine „richtige“ Antwort. Tatsächlich verwenden viele Organisationen einen hybriden Ansatz, bei dem einige Entscheidungen von oben nach unten und andere von unten nach oben getroffen werden. 

Schritt 1: App anfordern

Die Aktivierung von App-Genehmigungen ist ein wichtiger Schritt, um sicherzustellen, dass du die Kontrolle darüber hast, welche Apps in deinem Unternehmen verwendet werden und, was noch wichtiger ist, welche Daten für Apps verfügbar werden, sobald sie installiert sind. 

Aktivieren von App-Genehmigungen für einen Workspace

Du kannst App-Genehmigungen für jeden Workspace einschalten, indem du zu den Einstellungen für das App-Management wechselst. Hierbei handelt es sich um einen Bottom-up-Ansatz, bei dem die Workspace-Inhaber die App-Genehmigungen aktivieren und bestimmen, ob sie den Ort, an den App-Anforderungen gesendet werden, konfigurieren möchten. Außerdem kannst du Teammitglieder als App-Manager bestimmen. Das sind Personen, die die Möglichkeit haben, App-Anforderungen zu überprüfen.

Aktivieren von App-Genehmigungen für eine Organisation

Organisationsadministratoren können eine Organisationsrichtlinie hinzufügen, über die automatisch die App-Genehmigungsfunktion für alle vorhandenen und zukünftig erstellten Workspaces aktiviert wird. 

Organisationsrichtlinien ermöglichen es dir, Entscheidungen zum App-Management zu treffen, die für alle Workspaces innerhalb der Organisation gelten. Diese Richtlinien dienen als Sicherheitsvorkehrungen, um die konsistente Einhaltung derselben Regeln in allen Workspaces zu gewährleisten.

Schritt 2: App genehmigen oder einschränken

Sobald die App-Genehmigungen aktiviert sind, besteht der nächste Schritt im App-Management-Prozess in der Genehmigung oder Einschränkung einer App. Um Strukturen zu schaffen und Vorhersehbarkeit darüber zu schaffen, welche Apps genehmigt oder eingeschränkt werden, hilft es, sich selbst etwas zurückzunehmen und in einem Team zu arbeiten, um die Praktiken der internen Sicherheit in Leitprinzipien zu überführen, die festlegen, warum eine App genehmigt oder abgelehnt werden sollte. 

Jede Organisation verfolgt unterschiedliche Sicherheitspraktiken und verfügt über eine andere Risikotoleranz. Indem du diese Informationen im Voraus festlegst, kannst du dazu beitragen, Vorgaben für die Funktionsweise von Apps in deinem Unternehmen zu definieren. 

Bewerten von Slack-Berechtigungen

Die erste Gruppe von Kriterien, die du bewerten kannst, ist, welche Berechtigungen die App für den Zugriff in deinem Slack-Workspace benötigt. Dabei ist es wichtig, die Risiken und Vorteile zu erkennen, die sich aus der Erteilung bestimmter Berechtigungen für Apps ergeben. Zwar können Apps die Workflows in deinem Unternehmen verändern, aber dies könnte zu Lasten der gemeinsamen Nutzung von Daten geschehen.

Apps fordern bestimmte Berechtigungen an, damit die folgenden drei Funktionen in Slack freigeschaltet werden: 

  • Informationen anzeigen
  • Informationen posten
  • Aktionen ausführen

Schauen wir uns an dieser Stelle ein Beispiel mit der Jira Cloud-App an. Nachstehend wird ein Gespräch über einen Fehler wiedergegeben, den das Team festgestellt hat. Nachdem Mamadou den Fehler protokolliert hat, wird die Jira Cloud-App wieder in den Channel gepostet, damit das gesamte Team Einblick in das Problem erhält. 

Die Berechtigungen einer App werden durch API-Umfang und -Methoden geregelt, auf die die App Zugriff hat. Wir wollen nun analysieren, welche Berechtigungen und welcher Umfang erforderlich ist, damit die Jira Cloud-App funktioniert.

  • Informationen anzeigen

Die erste Gruppe von Berechtigungen bezieht sich auf die Anzeige von Informationen. Hierbei gibt die Jira Cloud-App an, dass es Mamadou ist, der den Fehler erzeugt hat. Dazu benötigt die App Berechtigungen zum „Anzeigen von Leuten im Workspace“, damit sie deren Slack-Nutzer-IDs wieder ihren Jira-Nutzer-IDs zuordnen kann. 

Durch die Erteilung dieser Berechtigung ermöglicht es die Jira Cloud-App, schnell zu ermitteln, wer einen Fehler erzeugt hat. Der Nutzer erhält dann eine entsprechende Nachricht in Slack, ohne dass er Jira aufrufen muss, um nach diesen Informationen zu suchen.

  • Informationen posten

Die zweite Art von Berechtigung, die eine App benötigt, ist die Möglichkeit, Informationen zu posten. Die Jira Cloud-App postet in Channels, und um dies zu unterstützen, benötigt die App die Berechtigung, Nachrichten unter dem Namen „Jira Cloud“ zu versenden.

Durch die Gewährung des Zugriffs auf diese Berechtigung leitet die Jira Cloud-App Echtzeit-Benachrichtigungen in einen Channel weiter, wodurch das Team Einblick in Fehler erhält, sodass es kurzfristig auf Probleme reagieren kann.

  • Aktionen ausführen

Schließlich fordern Apps die Berechtigung an, eine Reihe von Aktionen in Slack durchführen zu können. Die Jira Cloud-App ermöglicht es Nutzern, aus einer Benachrichtigung heraus Maßnahmen zu ergreifen, z. B. ein Problem zu beobachten oder es jemandem zuzuweisen.

Durch die Gewährung des Zugriffs auf diese Berechtigung ist es nicht mehr erforderlich, Jira zu öffnen, nach einem Problem zu suchen oder es einer Person zuzuweisen – all dies kann mithilfe weniger Klicks direkt in Slack erledigt werden.

Ein neues detailliertes Modell für Slack-Berechtigungen

Anhand dieses Jira-Beispiels wird deutlich, wie wichtig bestimmte Berechtigungen für das Funktionieren einer App sind. Es kommt jedoch vor, dass eine App umfangreichere Berechtigungen erfordert und dass diese Berechtigungen nicht immer zum Funktionsumfang der App passen. Stattdessen benötigt die App scheinbar eine unnötig große Menge an Daten. 

Zur Vermeidung dieses Problems haben wir ein detailliertes Berechtigungsmodell eingeführt, welches es App-Entwicklern ermöglicht, ausschließlich die Bereiche anzufordern, die ihre App für ein einwandfreies Funktionieren tatsächlich benötigt.

Da eine zunehmende Zahl von App-Entwicklern das detaillierte Berechtigungsmodell anwendet, wirst du schon bald feststellen, dass Apps insgesamt weniger Berechtigungen anfordern, die in einem engeren Bezug zur eigentlichen App-Funktionalität stehen. Dies wird sich wiederum in einem insgesamt schlankeren Sicherheitsbedarf widerspiegeln.

Als Administrator oder App-Manager sollte dir dies den Prozess der Genehmigung und Beschränkung von Apps transparenter und spezifischer gestalten, sodass es einfacher ist, Apps nach Berechtigungen zu bewerten, die deinen Sicherheitsstandards nicht entsprechen, und zügig solche zu genehmigen, die den Anforderungen entsprechen. 

Überprüfung der Sicherheitsdetails einer App

Zusätzlich zu den Berechtigungen in Slack sollten die Administratoren auch den Sicherheitspraktiken des App-Entwicklers vertrauen können. Entwickler können nun ihre Sicherheits- und Compliance-Details auf einer neuen Registerkarte in ihrem App-Verzeichnis aufführen, von SOC- und HIPAA-Compliance-Zertifikaten bis hin zu Datenaufbewahrungsrichtlinien und mehr.

Anstatt über verschiedene Ressourcen hinweg zu suchen, kannst du an einem Ort auf wichtige Sicherheits- und Compliance-Details zu einer App zugreifen, und zwar direkt aus dem App-Verzeichnis von Slack heraus.

Unternehmensweite App-Genehmigungen managen

Die nächste logische Frage ist, wie man App-Genehmigungen auf eine Weise operationalisiert, die skalierbar und effizient ist. Mit den Administrationsfunktionen von Slack ist es wesentlich einfacher, Apps in großem Maßstab zu verwalten.

Zum einen verfügen wir über ein neues Dashboard für unternehmensweite App-Genehmigungen, das speziell für Enterprise Grid-Administratoren entwickelt wurde, die Apps in mehreren Workspaces managen. 

Dieses Dashboard wurde dazu entwickelt, den Prozess zur Überprüfung von Apps zu optimieren, so dass Administratoren Apps in großen Mengen innerhalb des gesamten Unternehmens genehmigen oder einschränken können.

Dies bedeutet, dass du weniger Zeit für die Verwaltung einer Warteschlange von Anfragen aufwenden musst. Außerdem kannst du von einer einzigen Stelle aus einen Überblick über die angeforderten, eingeschränkten und genehmigten Apps in verschiedenen Workspaces pflegen. Dies ist nützlich, um zu überprüfen, ob die App-Managementpraktiken in der gesamten Organisation durchgesetzt werden.

Automatisieren von App-Genehmigungen mithilfe der API von Slack.

Manche Administratoren verwenden differenziertere Kriterien für die Genehmigung von Apps oder wollen einfach nur den App-Genehmigungsprozess weiter optimieren. Die Administrations-APIs für das App-Management bieten die erforderliche Infrastruktur für die Erstellung einer benutzerdefinierten App, wodurch der App-Genehmigungsprozess teilweise (oder gar vollständig) automatisiert wird.

Mit der API von Slack können Entwickler Kriterien definieren und Regeln festlegen, um die Genehmigung und Ablehnung von Apps in allen Workspaces einer Grid-Organisation zu automatisieren.

Sobald du über das Regelwerk für das App-Management in deiner Organisation verfügst, gibt dir die API von Slack die Möglichkeit, auf diese Regeln zu reagieren und eine maßgeschneiderte Lösung zu entwickeln, die auf den spezifischen Bedürfnissen deiner Organisation basiert.

Nicht jeder verfügt über interne Ressourcen zur Erstellung einer benutzerdefinierten App. Falls du einen Entwickler beauftragen möchtest, haben wir vor kurzem ein neues Servicepartnerprogramm mit hoch qualifizierten Unternehmen gestartet, die dir beim Aufbau einer Lösung mithilfe der APIs helfen können. 

Schritt 3: App installieren

Sobald eine App genehmigt wurde, besteht der nächste Schritt in ihrer Installation. Der Nutzer, der die ursprüngliche Anforderung eingereicht hat, erhält eine Nachricht von Slackbot, die ihn darüber informiert, dass die App für die Installation in dem von ihm angeforderten Workspace genehmigt wurde. An diesem Punkt wird der Nutzer angewiesen, das App-Verzeichnis aufzurufen, um die Anwendung in dem gewünschten Workspace zu installieren.

Die Installationsabläufe variieren von App zu App, da jede App eine andere Kombination von Berechtigungen und zusätzlichen Konfigurationen benötigt, um vollständig eingerichtet zu werden. Es gibt zwei grundlegende Angaben, die den Installationsablauf bestimmen:

  • Was für einen Datenzugriff benötigt die App? Benötigt sie Zugriff auf Daten von Slack, auf Daten des Drittanbieterdienstes oder auf beides? 
  • Welche zusätzliche Konfiguration benötigt die App? Sind zusätzliche Schritte erforderlich, um die App in Slack, im Drittanbieterdienst oder in beiden einzurichten? 

Schauen wir uns einige Beispiele für jedes dieser Szenarien an, um diese Eingaben in den richtigen Kontext zu stellen. 

Zugriff auf Daten gewähren

Wenn es darum geht, auf welche Daten zugegriffen wird, benötigen einige Apps nur die Berechtigungen von Slack, um zu funktionieren. Die App Simple Poll ermöglicht elementare Umfragen und benötigt nur die Antworten der Nutzer, d. h. Daten, die ausschließlich in Slack vorliegen. 

Andere Apps hingegen benötigen die Berechtigungen Dritter für die zu integrierenden Dienste. Beispielsweise benötigt die Google Calendar-App Zugriff auf die Kalenderdaten eines Nutzers, damit die App ihre primäre Funktion erfüllen kann – das Senden von Besprechungserinnerungen und die Synchronisierung des Slack-Status eines Nutzers mit seinem Kalender.

Konfigurieren einer App

Nach der Erteilung von Berechtigungen besteht der nächste Schritt darin, jede zusätzliche Konfigurationseinstellung vorzunehmen. Nicht alle Apps müssen konfiguriert werden, aber bei den Apps, die dies erfordern, liegt es in der Regel daran, dass eine Art manuelle Eingabe durch den Nutzer erforderlich ist. Wenn du zum Beispiel die Twitter-App benutzt, musst du konfigurieren, in welchem Channel Tweets gepostet werden sollen. 

Andere Apps erfordern eine viel detailliertere Konfiguration durch den Drittanbieterdienst, und zwar in der Regel dann, wenn ein anderer App-Marktplatz involviert ist. Um beispielsweise die Salesforce-App zu installieren, musst du deinen Salesforce-Administrator bitten, die Salesforce AppExchange auszuführen und das richtige Salesforce-Paket zu installieren. 

Dabei ist es wichtig, auf diese Nuancierung zu achten, denn wenn man eine App genehmigt, bedeutet das nicht, dass sie sofort in Slack funktioniert. Achte bei der Überprüfung einer App-Anforderung auf Hinweise, die besagen, dass zusätzliche Konfigurationen erforderlich sind, wie z. B. bei Salesforce, Workday oder Zoom

Schritt 4: Authentifizieren einer App

Sobald eine Anwendung installiert ist, steht sie jedem Nutzer in dem betreffenden Workspace zur Verfügung. Abhängig vom Installationsablauf erfordern einige Apps jedoch, dass jeder einzelne Nutzer einen zusätzlichen Authentifizierungsschritt durchlaufen muss.

Speziell bei Apps, die mit Daten auf Nutzerebene arbeiten, muss jeder Nutzer der App die Berechtigung für den Zugriff auf seine individuellen Account-Daten erteilen, indem er sich bei dem Drittanbieterdienst authentifiziert. Dies ermöglicht es den Nutzern, weitere persönliche Daten – wie z. B. Kalenderdetails – freizugeben, anstatt die Daten automatisch mit der App zu teilen.

Bewährte Methoden des Slack-Sicherheitsteams

Nachdem du nun die Grundlagen des App-Managements kennst, folgen hier einige praktische Tipps und Tricks des Sicherheitsteams von Slack:

Dokumentiere Leitprinzipien für App-Reviews

Arbeite mit deinem Sicherheitsteam an der Festlegung von Leitprinzipien zur Bestimmung der Gründe, warum eine App genehmigt oder abgelehnt werden sollte. Klare Leitlinien ermöglichen es Administratoren und App-Managern, sinnvolle Entscheidungen in Bezug auf eine App zu treffen, ohne das Team konsultieren zu müssen.

Schule die Nutzer in deiner Organisation hinsichtlich der App-Anforderungen

Eine ausgezeichnete Möglichkeit, die Qualität von App-Anforderungen zu verbessern, ist das Erstellen und Vermitteln eines FAQ-Dokuments: Wenn die Leute bereits wissen, was sie installieren dürfen und was nicht, wirst du bessere Anforderungen erhalten.

Wenn du zum Beispiel beschlossen hast, irgendwelche Berechtigungen als absolute No-Gos einzuschränken, musst du erklären, um welche Berechtigungen es sich handelt. Informiere die Nutzer und gib die Gründe dafür bekannt. Es ist auch sinnvoll, Richtlinien darüber zu erstellen, worauf die Nutzer achten sollten, wenn sie neue Apps in Erwägung ziehen. Du könntest ihnen vertrauenswürdige Entwickler nennen, mit denen sie zunächst beginnen können, oder du berichtest von bestimmten Apps, die bereits eingeschränkt wurden.

Fördere die Suche nach genehmigten Apps

Um unsere Angriffsfläche zu verkleinern, versucht das Sicherheitsteam von Slack, die wiederholte Installation von ähnlichen Apps zu vermeiden. Beispielsweise ist es unter Umständen nicht notwendig, drei verschiedene Arten von Polling-Apps zu benutzen, wenn jede einen ähnlichen Anwendungsfall bedient. Wir bewerten und ermitteln eine App, die für einen bestimmten Anwendungsfall am besten geeignet ist, und empfehlen unseren Mitarbeitern dann die Nutzung dieser speziellen App, es sei denn, es besteht ein unternehmerischer Bedarf für eine ähnliche App.

Wir stellen zudem immer wieder fest, dass Nutzer Apps anfordern, weil sie nach einer Lösung suchen und möglicherweise nicht wissen, was bereits verfügbar ist. Mittlerweile gibt es eine spezielle „Apps“-Seite, die über die Seitenleiste rechts in Slack erreichbar ist. Dort können Nutzer Apps finden, die bereits in ihrem Workspace installiert sind.

Verweise die Nutzer auf diese Seite und gib ihnen die Möglichkeit, sich mit genehmigten Apps vertraut zu machen, bevor sie neue anfordern.

Lernst du eventuell lieber durch Zuhören? Wir haben diese Inhalte in dem folgenden Webinar zusammengestellt: Apps sicher und umfassend managen

War diese Ressource hilfreich?

0/600

Super!

Vielen Dank für dein Feedback!

Okay!

Vielen Dank für dein Feedback.

Hoppla! Wir haben gerade Schwierigkeiten. Bitte versuche es später noch einmal!