Genehmigungsaufgaben in Microsoft 365 – eine persönliche Angelegenheit?

IOZ Blog Titelbild Genehmigungsaufgaben

Veröffentlicht:
Aktualisiert: 27. Juni 2021

Wer Genehmigungen von Anträgen aller Art (Dokumente, Investitionsanträge, Spesenabrechnungen etc.) in Microsoft 365 im Rahmen eines automatisierten Prozesses abwickeln möchte, findet in den Genehmigungsaufgaben von Power Automate eine simple und praktische Lösung. In diesem Blogbeitrag zeige ich auf, wie Sie die Zuweisungslogik der Aufgaben nutzen können, um eine Genehmigungsaufgabe durch ganze Teams erledigen zu lassen. 

Neues E-Book «modernes Taskmanagement»

Welche wichtige Rolle Genehmigungsaufgaben in einem modernen Taskmanagement übernehmen können, beschreiben wir ausführlich in unserem neusten E-Book (Stand Juni 2021). Es steht hier kostenlos zum Download bereit.

Genehmigungsaufgaben werden immer persönlich zugewiesen

Um eine Genehmigungsaufgabe in Power Automate zu erstellen, benötige ich drei Dinge:

  • Zuweisung: Die E-Mail-Adressen der Benutzer, die bspw. Genehmigen oder Ablehnen dürfen
  • Titel: Die Überschrift der Aufgabe, mit welcher die Aufabe in E-Mails oder Aufgabenübersichten erscheint
  • Text: Die Beschreibung der Aufgabe

In diesem Beitrag gehe ich auf die Zuweisung der Aufgaben ein. Genehmigungsaufgaben kann ich nur Personen zuweisen, welche eine E-Mail-Adresse hat und als Benutzer (auch Gastbenutzer) in meiner Microsoft 365 Plattform registriert sind.

Zuweisen einer Genehmigungsaufgabe
Zuweisen einer Genehmigungsaufgabe

Was also explizit nicht möglich ist, sind unpersönliche Zuweisungen an:

  • AD-Gruppen (Sicherheitsgruppen mit oder ohne E-Mail, Verteilergruppen)
  • Shared-Mailboxen
  • Benutzer, die in meiner Plattform unbekannt sind (die werden vom System einfach ignoriert)

Quelle: Microsoft

Jede Person erhält eine persönliche Aufgabe zugeteilt und nur diese Person kann die Aufgabe erledigen. Hier stellt sich ein gewichtiger Vorzug dieser Lösung heraus: Die Aufgabe ist sozusagen von unberechtigten Eingriffen geschützt. Nur ein Administrator mit der Rolle Powerplattform Admin hätte die Möglichkeit, über die Datensätze in Dataverse Genehmigungsaufgaben zu verändern (anderen Benutzern zuweisen, Inhalte anpassen). In dem Sinne besteht also ein kleines Restrisiko, dass durch den Eingriff eines Administrators eine Genehmigung zu früh oder fälschlicherweise gesprochen würde. Doch wiederum ist es im System nachvollziehbar, wer die Genehmigung gesprochen hat.

Best Practice: Wer darf Genehmigungsaufgaben empfangen?

Die Zuordnung, an wen ich einen Genehmigungstask zuweise, löse ich in SharePoint üblicherweise mit einer Datenstruktur, mit welcher die Verantwortungsbereiche abzugrenzen sind:

  • Personen, welche eine Klasse von Informationen genehmigen dürfen
  • Personen, welche für eine bestimmte Genehmigungsstufe verantwortlich sind (falls der Genehmigungsprozess durch mehrere Genehmigungsstufen läuft)

Diese Personen werden in speziellen Listen (Prozesse mit Prozesseigner, Themenlisten mit Verantwortlichkeiten, Rollen mit Inhaber) gepflegt. Sie können nur durch Administratoren verändert werden, wodurch ein ungerechtfertigtes Umgehen der Genehmigungsprozesse verhindert werden soll.

Prozesse und Prozesseigner
Prozesse und Prozesseigner

Die Kategorisierung des zu genehmigenden Objekts (Dokument, Antrag) selber erfolgt jedoch beim Objekt selber. Im Beispiel eines Prozessdokumentationssystems bzw. QMS ist dies eine manuelle Eingabe des relevanten Prozesses durch den Benutzer. Sinn hinter der Prozesszuordnung ist hier, dass ein genehmigtes Dokument als Vorgabe für die Arbeit in einem Prozess einfliesst. In dem Sinne genehmigt ein Prozesseigner, dass die Informationen in dem Dokument für den Prozess gültig sind.

In einem zweistufigen Genehmigungsverfahren genehmigt dann

  • In erster Instanz der Prozesseigner (abhängig vom gewählten Thema/Prozess)
  • In zweiter Instanz die Qualitätsverantwortlichen (unabhängig vom Thema/Prozess)

Genehmigungsaufgaben können von ganzen Gruppen übernommen werden

Wenn also Genehmigungsaufgaben immer persönlich zugewiesen werden, stellt sich die Frage, wie wir mit Situationen umgehen, in denen ganze Personengruppen sich gegenseitig stellvertreten dürften.

Ein einfacher Ansatz dazu ist, dass die Personen in einer SharePoint-Liste oder in einem Benutzerfeld erfasst werden.

SharePoint-Liste mit Rollen
SharePoint-Liste mit Rollen

Wenn jedoch die relevanten Personen bereits in einer AD-Gruppe gepflegt werden, wäre es doch schick, wenn die Genehmigungsaufgabe gleich dieser Gruppe zugewiesen werden könnte. Power Automate stellt die Möglichkeit, wie weiter oben erwähnt leider nicht direkt zur Verfügung. Allerdings kann über den Azure AD Connector in der Aktion «Mitglieder einer Gruppe auflisten» auf die Personen zugegriffen werden. Um den Connector verwenden zu können, sind allerdings die Voraussetzungen zu beachten:

  • Es ist mind. eine Flow per User Lizenz nötig
  • Der Zugriff auf das Azure AD muss von einem Benutzer mit der System-Rolle “Globaler Administrator” genehmigt werden

Ist die AD-Gruppe in einer SharePoint-Liste eingetragen, sind Power Automate die Schritte nötig, um die Mitglieder der Gruppe zu beschaffen: Eine Textvariable, um die E-Mail-Adressen der Mitglieder zu sammeln

Azure AD Connection - «Mitglieder einer Gruppe auflisten»
Azure AD Connection – «Mitglieder einer Gruppe auflisten»
  • Das Listenelement mit der Gruppe auslesen, hier über eine Aktion gelöst, welche aus einer SharePoint-Liste die relevante Rolle ausgibt
Relevante Rolle aus der SharePoint-Liste ausgeben
Relevante Rolle aus der SharePoint-Liste ausgeben
  • Aus dem Claims-Attribut die ID der Gruppe herauslesen. Im Beispiel erledige ich das in einer Compose-Aktion
  • Mit der Azure-AD-Aktion die Gruppenmitglieder abrufen. Als Input wird hier die ID in Form einer GUID benötigt.
  • In einer Apply-to-each-Aktion die einzelnen Benutzer in einer Text-Variable (mit Semikolon getrennt) sammeln

Nun ist die Variable soweit bereit und kann in die Genehmigungsaktion gefügt werden.

Eingefügte Variable in der Genehmigungsaktion
Eingefügte Variable in der Genehmigungsaktion

Genehmigungsaufgaben können in Microsoft Teams integriert werden

Nun stellt sich die Frage, wie diese Personengruppe über die neue Aufgabe benachrichtigt werden soll. Solche Gruppen-Aufgaben treffen wir häufig in einem Kontext an, in welchem die Aufgaben durch abwechselnde Verantwortlichkeiten abgearbeitet werden. Bspw. wechseln sich die Personen in einem täglichen Rhythmus ab. Eine Benachrichtigung per E-Mail ist in so einem Fall nur unerwünschte Datenlast. In so einem Fall kann die Benachrichtigung der Genehmigungsaufgabe ausgeschaltet werden. In dem Beispiel wird über eine boolsche Variable der Wert “FALSE” in das Feld “Benachrichtigungen aktivieren” eingetragen.

Benachrichtigung der Genehmigungsaufgabe ausschalten
Benachrichtigung der Genehmigungsaufgabe ausschalten

Diese Einstellung bewirkt, dass

  • keine E-Mail an die zugewiesenen Personen geht
  • Keine Notifikation in Microsoft Teams erscheint
  • Die Genehmigungs-App von Microsoft Teams keine offene Aufgabe signalisiert (mit einem roten Punkt)
  • Die Genehmigungsaufgabe aber trotzdem in der Genehmigungs-App von Microsoft Teams oder auch in der Genehmigungs-Übersicht von Power Automate erscheint

Führt eine zuständige Person ihren täglichen Review von offenen Genehmigungsaufgaben aus, kann die Aufgabe über die Listen von offenen Genehmigungen bestens ausgeführt werden.

Weiter organisieren sich vermehrt Teams ihre gemeinsamen Arbeitsgebiete über die Applikation Microsoft Teams. Diese eignet sich hervorragend, gemeinsame Verantwortungsbereich über ein Team abzubilden. Beispiel könnte die gemeinsame Verantwortung über das Qualitätsmanagement sein. Solche Teams-Benachrichtigungen sind in Power Automate aus dem Stegreif machbar mit der folgenden Aktion:

Beanchrichtigungen via Microsoft Teams aktivieren
Beanchrichtigungen via Microsoft Teams aktivieren

Im Feld “Adaptive Card” setzt man ganz einfach die aus der Genehmigungsaufgabe generierte Eigenschaft “Adaptive Karte für Teams” ein und schon kann die Aufgabe in einem Teams-Kanal dargestellt werden.

Adaptive Card in Microsoft Teams aktivieren

Auch wenn weitere Personen Zugriff auf diesen Teams-Kanal haben, kann die Aufgabe ausschliesslich von Mitgliedern der zuvor definierten AD-Gruppe erledigt werden. Die Aufgaben bleiben also persönlich.

Adaptive Card in Microsoft Teams
Adaptive Card in Microsoft Teams

Natürlich kann im gleichen Stil mit einer anderen Aktion aus dem Teams-Konnektor eine Adaptive Karte an eine einzelne Person versandt werden:

Eine Adaptive Card für einen anderen Benutzer posten
Eine Adaptive Card für einen anderen Benutzer posten

Die Nachricht erscheint in einem persönlichen Chat:

Adaptive Card in einem persönlichen Chat
Adaptive Card in einem persönlichen Chat

Natürlich lassen sich diese Varianten auch kombinieren. Inspiriert durch ein aktuelles Kundenprojekt könnte das so aussehen:

  • Die leitenden Verantwortlichen für das Qualitätsmanagement erhalten eine Chat-Nachricht in einen Teams-Kanal. So behalten sie die Übersicht, was so läuft.
  • Die Administratoren des QMS, welche häufig ausführende Instanz der obengenannten Verantwortlichen sind, erhalten die Nachricht persönlich als Chat-Nachricht.
  • Die beiden genannten Rollen werden in der gleichen Genehmigungsaufgabe persönlich zugewiesen. Die Benachrichtigung ist ausgeschaltet.

Eine Kombination von E-Mail an die eine und Teams-Chat (ohne E-Mail) an die andere Gruppe ist nicht möglich, wenn dieselbe Genehmigungsaufgabe verwendet wird. Ich muss mich also für oder gegen eine E-Mail-Benachrichtigung an alle Empfänger entscheiden.

Fazit zu Genehmigungsaufgaben

In einem modernen Taskmanagement können Genehmigungsaufgaben zu wirkungsvollen Instrumenten werden. Genehmigungsaufgaben können zwar nur dediziert an Personen zugewiesen werden. Sollen trotzdem ganze Gruppen eine Aufgabe erledigen können, kann dies über ein paar wenige Aktionen in Power Automate realisiert werden. Mittels der Chat-Funktionen in Teams können die Aufgaben sogar “unpersönlich” in Kanälen gepostet werden. Trotzdem bleibt sichergestellt, dass nur die dafür vorgesehenen Personen die Aufgabe erledigen können – ohne dass sich ein Entwickler Gedanken über Zugriffsberechtigungen auf eine Aufgabenliste machen muss.

Beitrag teilen

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IOZ_LOGO_weiss

Profis für M365-Intranets & digitale Arbeitsplätze, Power Apps, Power Automate Workflows, sowie Managementsysteme.

Angebote

Angebotsübersicht

Nach oben scrollen