Archiv der Kategorie: Best Practices

Office 365 Groups Governance – Teil 2

Im ersten Teil der O365 Groups Governance haben wir uns aus der Business Perspektive angeschaut, welche Groups Standardeinstellungen problematisch sind und mit welchem Ansatz man diese Probleme lösen kann. Heute gehen wir ins Detail und dafür habe ich mir folgende Agenda überlegt:

  1. Gruppenvorlagen
  2. Gruppenersteller einschränken mit einer neuen Groups-Vorlage
  3. Gruppenersteller einschränken durch Anpassen einer Gruppenvorlage
  4. Klassifizierung
  5. Namenskonventionen
  6. Berechtigungen Einschränken
  7. Speicherplatz beschränken

Das Ändern und Definieren neuer Standardwerte für Gruppenvorlagen, die für eine starke Unternehmens-Governance besser geeignet sind,  ist nur über die Online PowerShell-Konsole möglich. GANZ WICHTIG ist hierbei, dass das aktuellste Microsoft Azure AD PowerShell Modul (Version 1.1.166.0) nicht mehr die Befehle enthält, die es braucht, um die Gruppeneinstellungen anzupassen. Stattdessen gibt es diese nur in der vorherigen Version 1.1.130.0. Solltet ihr also bereits auf der neueren Version sein, müsst ihr diese über die Systemsteuerung wieder deinstallieren und die ältere Version installieren. Einen Download Link zu beiden Versionen findet ihr hier:
http://connect.microsoft.com/site1164/Downloads/DownloadDetails.aspx?DownloadID=59185

Haben wir dies erledigt, so müssen wir uns zunächst wieder auf unseren Tenant verbinden. Die nötigen Befehle findet ihr im 6. Türchen meines #O365Adventskalenders.

1. Gruppenvorlagen:

Ähnlich wie auch unsere SharePoint Bibliotheken oder Seiten auf Vorlagen basieren, so ist dies auch für die Office 365 Groups der Fall. Über den nur in der Version 1.1.130.0 enthaltenen Befehl New-MsolAllSettingTemplate können wir auf die „Group.Unified“ Vorlage zugreifen und mehr Informationen erhalten.

O365 Groups Governance New-MsolAllSettingTemplate

Noch weiter im Detail können wir herausfinden, welche Werte überhaupt für so eine Vorlage definiert werden können:

O365 Groups Governance Werte der Vorlage

Das Problem hierbei ist jedoch, dass wir wirklich nur diese eine Vorlage haben. In Hinblick auf die verfügbaren PowerShell Befehle können wir zwar theoretisch auch eine neue Vorlage erstellen, ist aber bereits eine vorhanden, so erhalten wir eine Fehlermeldung. Die Architektur beim Erstellen von Gruppen gibt es außerdem noch nicht her, dass wir aus verschiedenen Vorlagen wählen können. Dies können derzeit nur Drittanbieter. Zur Vollständigkeit nachfolgend kurz das Vorgehen, um eine neue Vorlage zu erstellen. Anschließend beziehe ich mich aber nur auf das Anpassen der Werte der bereits existierenden Vorlage.

2. Gruppenersteller einschränken mit einer neuen Groups-Vorlage:

Falls ihr die existierende Groups-Vorlage über Remove-MsolSettings gelöscht habt, sind im Folgenden zur Information die Befehle, um auf eine neue Vorlage schreiben zu können. Dabei referenziere ich auf die $template – Variable aus dem Screenshot oben und deaktiviere das Gruppenerstellen als Ganzes, aber erlaube nur einer bestimmten Gruppe weiterhin das Erstellen. Das Erstellen dieser AD Sicherheitsgruppe und die Identifikation ihrer GUID geht mit folgenden Befehlen:

  • New-MsolGroup -Displayname „Gruppenersteller“ -Description „This group is intended for power users, who are able to create Groups“
  • Get-MsolGroup -SearchString Gruppenersteller
    -> Screenshot
  • $setting = $template.CreateSettingObject()
    -> Screenshot
  • $setting[„EnableGroupCreation“] = „$false“
  • $setting[„GroupCreationAllowedGroupId“] = „ID“
  • New-MsolSettings -SettingObject $setting
    -> Screenshot

3. Gruppenersteller einschränken durch Anpassen einer Gruppenvorlage:

Wir konzentrieren uns nun aber auf das Anpassen einer bereits existierenden Vorlage mit entsprechenden Standardwerten. Wie im obigen Beispiel, erstellen oder suchen wir die entsprechenden AD-Gruppe, die wir berechtigen wollen:

  • New-MsolGroup -Displayname „Gruppenersteller“ -Description „This group is intended for power users, who are able to create Groups“
  • Get-MsolGroup -SearchString Gruppenersteller

Damit ist der einfachste Schritt erledigt – weiter zum nächsten.

Wir müssen nun die ID der existierenden Vorlage identifizieren und wollen uns die darin enthaltenen Werte auslesen lassen:

  • $setting = Get-MsolSettings -SettingId „ObjectId“
  • $setting.Values
    O365 Groups Governance Get-MsolSettings

Wir sehen also, dass das Erstellen der Gruppen generell angeschaltet ist (EnableGroupCreation = True) und noch keine explizite Gruppe zum Erstellen zugewiesen wurde (kein Wert bei GroupCreationAllowedGroupId). Dies wollen wir nun ändern. Dafür hilft uns die GetSettingsValue – Methode, über die wir dann die Werte definieren. Anschließend schreiben wir diese Werte in das existierende SettingsObject.

  • $value = $setting.GetSettingsValue()
  • $value[„GroupCreationAllowedGroupId“] = „ID“
  • $value[„EnableGroupCreation“] = „$false“
  • Set-MsolSettings -SettingId „ID“ -SettingsValue $value

Anschließend vergewissern wir uns noch einmal, dass die Einstellungen auch erfolgreich geschrieben wurden:

$setting.Values

Im Screenshot ist dies nun schön zu sehen, dass wir erfolgreich die Standardwerte geändert haben. Das Erstellen von neuen Gruppen ist jetzt das Privileg der Mitglieder der entsprechenden AD-Gruppe.
O365 Groups Governance Gruppenersteller einschränken

Es ist noch interessant zu erwähnen, dass ich diese Vorlage auch nur explizit den Office Web Apps zuweisen kann. Das heißt, dass ich vielleicht grundsätzlich das Erstellen erlauben möchte, aber nicht über die Mail und People Ansicht in den Office Web Apps. Neben der Option für Administratoren im O365 Admin Center, können so dann nur noch Gruppen im Planner und bei einer neuen SharePoint Site Collection angelegt werden. Aus meiner Sicht ist dies auch schon mal ein guter Start in mehr Struktur und Übersicht bei den O365 Groups.

4. Klassifizierung:

Aus dem obigen Screenshot der verfügbaren Einstellungen für eine Gruppenvorlage war schon zu sehen, dass es dort auch eine „ClassificationList“ gibt. Hier kann ich genauso vorgehen, wie beim Einschränken der Gruppenersteller und mit Komma getrennte Schlüsselwörter definieren, die dann an eine neu erstellte Gruppe angehängt werden.

  • $value[„ClassificationList“] = „Public,Internal use – non confidential,Confidential,Secret,Top Secret“

Damit kann ich leichter eine Übersicht von Gruppen nach bestimmten Kriterien erstellen, z.B. Sensitivität oder Zweck.

Wie in Teil 1 bereits erwähnt, stehen diese Werte allerdings nur beim Erstellen über SharePoint zur Verfügung und werden sonst leider nicht hinzugefügt!

5. Namenskonventionen:

Für die Namenskonventionen sehen wir auch die entsprechende Eigenschaft im Screenshot: „PrefixSuffixNamingRequirement“. Leider kann man dies ausnahmsweise nicht über PowerShell, sondern nur über das User Interface im Exchange Online Administration Center konfigurieren.

Dort navigieren wir zu den Empfängern und weiter auf Groups. Mit Klick auf „…“ öffnet sich das Kontextmenü, aus dem wir „Configure group naming policy“ auswählen.
O365 Groups Governance Namenskonvention

Hier können wir nun verschiedene Freitext-Werte vergeben sowie Attribute aus dem Benutzerkonto des Erstellers auslesen und eintragen lassen.
O365 Groups Governance Namenskonvention definieren

Am unteren Ende der Ansicht würd dann eine Vorschau angezeigt, wie ein zukünftiger Gruppenname aussehen wird.
O365 Groups Governance Namenskonvention

Beim Anlegen einer neuen Gruppe in der Mail und People Ansicht wird der resultierende Name auch gleich angezeigt, damit der Ersteller gleich weiß, wie seine Gruppe und die dazugehörige URL heißen wird.
O365 Groups Governance Namenskonvention Vorschau

Aber auch hier sei Achtung geboten, da die Namenskonventionen nicht auf Gruppen aus Planner oder SharePoint angewendet werden. Es gibt also schöne Ansätze, jedoch wirkt es, dass bei Microsoft nicht zu Ende gedacht wurde.

Schön finde ich auch die Möglichkeit, dass bestimmte Wörter nicht verwendet werden können. Dies kann auch sehr einfach konfiguriert werden.
O365 Groups Governance Namenskonvention verbotene Wörter

6. Berechtigungen Einschränken:

Zurück zu PowerShell – wie bereits in Teil 1 erwähnt, gibt es ein paar Standardwerte, mit denen wir Berechtigungen auf Gruppen einschränken können. Das Konfigurieren dieser Eigenschaften funktioniert analog zur Klassifizierungsliste oder dem Einschränken der Gruppenerstellung. Zum Beispiel:

  • $value[„AllowGuestToAccessGroups“] = „$false“
  • $value[„AllowToAddGuests“] = „$false“
  • $value[„UsageGuidelinesUrl“] = „https://domain.sharepoint.com/sites/policies/Guideline.aspx“

Zusätzlich können und sollten wir die Richtlinie zum Teilen einer bestehenden Groups Site Collection weiter anpassen, da standardmäßig folgende Richtlinie hinterlegt ist: Freigabe nur für die externen Benutzer erlauben, die im Verzeichnis Ihrer Organisation bereits vorhanden sind.

Ein SharePoint Online PowerShell Befehl hilft uns, dies nachträglich anzupassen. (Hinweis: das SharePoint Online PowerShell Modul muss dazu in die Online PowerShell Konsole geladen werden.)

Set-SPOSite -Identity https://domain.sharepoint.com/sites/site1 -SharingCapability -ExternalUserSharingOnly

Dies bedeutet zum Beispiel, dass nur Externe per Email eingeladen werden können, aber kein Gäste-Link erzeugt werden kann. Weiterhin kann ich das Teilen komplett für Externe abschalten und auch erlaubte und geblockte Domains referenzieren. Weitere Informationen findet ihr dazu in der Referenz zum Set-SPO Befehl:
https://technet.microsoft.com/de-de/library/fp161394.aspx

Außerdem können die Nutzerberechtigungen der Group Site Collection angepasst werden, also ganz normal, wie man SharePoint Berechtigungen verwaltet. Dies ist aber eher nur ein Workaround, weil man diese leider nicht in einer Vorlage mit nativen Mitteln festlegen kann. Auch hier gibt es Drittanbieter am Markt, die dafür einen Mehrwert liefern können.

7. Speicherplatz beschränken:

Wenn wir nun schon in der SharePoint Online PowerShell Administration sind, dann machen wir mit dem Speicherplatz gleich weiter. Wenn das manuelle Storage Modell ausgewählt ist (und nicht der Pooled Storage), können wir Quotas nachträglich für die erstellten Group Site Collections definieren.

Set-SPOSite -Identity https://domain.sharepoint.com/sites/Group1 -StorageQuota 3000 -StorageQuotaWarningLevel 2000

Mit diesem Befehl weisen wir beispielsweise der Group Site Collection /sites/Group1 ein Quota von 3000 MB zu und eine Warnung wird bereits bei Erreichen von 2000 MB an den primären Site Collection Administrator geschickt.

 

Natürlich wäre es schöner, wenn wir alles in einer Gruppen-Vorlage definieren könnten oder gar mehrere Vorlagen zur Auswahl stellen können, aber da dies leider aktuell mit nativen Mitteln noch nicht möglich ist, sollten wir zumindest die hier beschriebenen Möglichkeiten nutzen, um Unternehmensrichtlinien auch auf die Office 365 Groups anzuwenden.

Wenn euch diese Funktionen nicht weit genug gehen, dann kann ich Drittanbieter im Markt empfehlen, die neben dem kontrollierten Anlegen von Gruppen auch gleich Backup und Lifecycle Funktionen anbieten. Mit solchen Möglichkeiten kann ich dann wirklich sorgenfrei auch produktiv mit Gruppen arbeiten.

Happy „SharePointing“!

 

Weitere Quellen:

 

Office 365 Groups Governance – Teil 1

Microsoft hat mit den Office 365 Groups einen neuen Meilenstein in der Kollaboration gesetzt. Mit den verfügbaren Gruppeneinstellungen können wir zudem Strukturen und Richtlinien durchsetzen, um die Inhalte der Gruppen vor unerlaubten Zugriffen zu schützen. Aber die Standardwerte dieser Einstellungen sind überhaupt nicht geeignet für eine stake Governance.

Im 14. Türchen meines #O365Adventskalenders habe ich nämlich bereits erklärt, was alles mit Office 365 Groups möglich ist und dass wir eine neue Gruppe von fast überall erstellen können. In Zukunft soll außerdem fast alles eine Gruppe mit SharePoint als zentrales Daten-Repository sein. Wenn wir uns dabei auf die Standardeinstellungen verlassen, die für alle Office 365 Groups gelten, dann versinken wir schnell im Gruppen-Chaos und sensible Daten sind nicht mehr ausreichend geschützt. Die Standardwerte, die für eine starke Unternehmens-Governance alles andere als Standard sein sollten, schauen wir uns nun an.

  1. Groups-Limit

Jeder einzelne Nutzer kann bis zu 250 Groups erstellen. Für O365 Administratoren gibt es kein Limit. Aber im gesamten Tenant ist die maximale Anzahl an Groups derzeit auf 500.000 beschränkt. Ein Limit, dass man mit den Standardeinstellungen schnell erreichen kann, wenn Mitarbeitern einfach mal mit den Groups experimentieren. Denn selbst wenn ich nur einen neuen Plan in Planner erstelle, wird im Hintergrund eine neue Gruppe angelegt.

  1. Öffentlich oder Privat

Im Dialog zum Erstellen einer Gruppe kann man entscheiden, ob die Gruppe „Öffentlich“ oder „Privat“ sein soll. Standardmäßig ist „Öffentlich“ ausgewählt, was bedeutet, dass auch automatisch alle Nutzer des gesamten Tenants darauf berechtigt werden. Dies kann beim Erstellen natürlich einfach umgestellt werden, aber wie häufig werden wohl Mitarbeiter dies vergessen, wenn man es nicht standardmäßig auf „Privat“ umstellen oder sogar zentral festlegen kann…?

Natürlich sagt Microsoft, dass die Daten sicher sind und keiner Zugriff hat und jeder Mitarbeiter nur die Daten sieht, die er sehen soll. Das ist grundsätzlich richtig, aber dieses Konzept basiert auf den SharePoint-Berechtigungen und wenn grundsätzlich erst einmal jeder auf eine Gruppe berechtigt ist, dann kann auch jeder sehen, welche Daten sich darin befinden und diese öffnen.

  1. Berechtigungen

Wenn also nun alle Nutzer eines Tenants auf eine neue öffentliche Gruppe berechtigt werden, bekommen sie auch gleichzeitig Editierungsrechte auf die dazugehörige Site Collection und können Dokumente bearbeiten – ALLE! Mitglieder in der Owner-Gruppe einer O365 Group werden sogar Administratoren. Das bedeutet, sie haben Zugriff auf all die umfangreichen und einflussreichen Funktionen, wie z.B. Audit Logs, Site Collection Features oder auch das Löschen der SC. Wollen wir das? Direkt in SharePoint gehen wir schließlich auch sehr sorgsam mit dieser Berechtigungsrolle um.

  1. Berechtigungen teilen

Selbst wenn eine Gruppe nicht öffentlich ist, so haben dennoch alle Teilnehmer einer Gruppe das Recht direkt weitere Mitarbeiter einzuladen – sogar an externe Mitarbeiter, wenn dies grundsätzlich pro Tenant so eingestellt ist. Was passiert also mit der Kontrolle über meine vertraulichen Daten, die ich vermutlich auch in Gruppen teilen und daran arbeiten möchte?

  1. Zusammenarbeit mit Externen

Eine weitere Gruppen-Standardeinstellung ist die Möglichkeit, dass Nutzer eine Gruppe mit externen Mitarbeitern teilen können, die bereits im Unternehmensverzeichnis gelistet sind. Das bedeutet, dass Externe mit einem O365-Konto dieses Tenants als Interne betrachtet werden und diese können damit weiterhin berechtigt werden – selbst wenn das Teilen mit Externen abgeschaltet ist.

  1. Speicherplatz

Im #O365Adventskalender habe ich außerdem erklärt, dass die SharePoint Site Collections der Groups nicht im User Interface der O365 SharePoint Administration auftauchen und damit nicht von dort verwaltet werden können. Und standardmäßig gibt es selbstverständlich keine Speicherplatzbegrenzung. So kann auch schnell der verfügbare SharePoint Speicherplatz meines Tenants aufgebraucht sein – besonders in Bezug auf Punkt 1.

Wenn wir diese Standardeinstellungen nun noch einmal durchdenken, dann sollten die Alarmglocken läuten in Bezug auf

I.
Chaos unzähliger Groups
II.
Unkontrollierter Zugriff für Interne und Externe auf Groups-Inhalte
III.
Schneller Verbrauch des verfügbaren Tenant-Speicherplatzes

Aus diesem Grund ist es ratsam, Richtlinien zu konfigurieren, um als Administrator wieder die Kontrolle über die Office 365 Groups zu erlangen. Nicht alles ist mit nativen Mitteln konfigurierbar, aber die Möglichkeiten, die es gibt, sollten wir nutzen.

Um Punkt 1 zu adressieren, können wir auf Anfrage bei Microsoft das Gruppenlimit hoch setzen lassen. Den Standardwert beim Status einer Gruppe, also ob öffentlich oder privat, können wir jedoch leider nicht konfigurieren. Und für die Punkte 3 bis 6 können wir aber folgende Lösungen finden.

I.
Chaos unzähliger Groups

Einschränkung der Gruppenersteller:

Ein dringend empfohlener Ansatz, um Problem I anzugehen, ist das Einschränken der Rechte sodass nicht jeder Mitarbeiter Gruppen erstellen kann. Dies kann man mit einer neuen Gruppenkonfiguration sowie einer zusätzlichen Sicherheitsgruppe erzielen. Diese und alle anderen Einstellungen sind ausschließlich über PowerShell konfigurierbar. Wie man dies realisiert, zeige ich euch in Teil zwei zur O365 Groups Governance.

Frage: Wenn ich die Gruppenerstellung nur für eine bestimmte Sicherheitsgruppe zulasse, muss ich dann auch Administratoren hinzufügen, damit sie Office 365 Groups erstellen können?

Antwort: Jein! Warum so ungenau? Weil jede Firma unter dem „Administrator“ eine andere Rolle versteht und es auch in Office 365 verschiedene Administrator-Rollen gibt, die weiterhin Gruppen erstellen können. Folgende Built-In Rollen können unabhängig von den Einstellungen in der Gruppenvorlage oder dem globalen Abschalten der Gruppen weiterhin Office 365 Groups erstellen:

  • Global Admins
  • User Management Admins
  • Mailbox Administrator
  • Partner Tier1 Support
  • Partner Tier2 Support
  • Directory Writers

Dies ist dann weiterhin im O365 Admin Center sowie beim Anlegen einer SharePoint Site Collection möglich. Allerdings nicht mehr über Planner oder aus der Mail oder People Ansicht heraus!

Klassifizierung:

Um weiterhin einen besseren Überblick über alle Gruppen zu bekommen, so kann ich eine Liste von Schlüsselwörtern definieren, aus denen der Gruppenersteller auswählen kann und somit zu den Eigenschaften einer Gruppe hinzugefügt werden. Das Ersteller einer solchen „Classification List“ in PowerShell zeige ich euch ebenfalls in Teil 2.

O365 Groups Governance KlassifizierungAber Achtung, obwohl es die Office 365 Groups schon relativ lange gibt, sind noch nicht alle Einstellungen voll ausgereift. So kann ich in diesem Fall die Schlüsselwörter zur Klassifizierung der Gruppe nur beim Erstellen über SharePoint auswählen. Bei allen anderen Einstiegspunkten über das User Interface ist dieses Auswahlfeld nicht verfügbar.

Namenskonventionen:

Neben der Klassifizierung kann ich auch Namenskonventionen mit Pre- und Suffixen vorgeben. Damit können wir mehr Struktur in unseren Gruppennamen bringen. Mehrere Pre- und/oder Suffixe können vergeben werden. Dabei können wir entweder selber per Freitext Wörter eingeben oder aber auch automatisch Attribute aus dem Konto des Benutzers, der die Gruppe erstellt, auslesen und eintragen lassen.

O365 Groups Governance Namenskonvention

Aber Achtung, auch hier finden die Konventionen nur Anwendung bei Erstellung über das O365 Admin Center, in der Mails oder People-Ansicht. Über SharePoint und Planner werden keine konfigurierten Pre- oder Suffixe hinzugefügt.

Zusätzlich zu Pre- oder Suffixen können wir Wörter in eine „Black List“ eintragen. Diese dürfen dann nicht für einen Gruppennamen verwendet werden und der Benutzer bekommt einen entsprechenden Dialog angezeigt, wenn er es dennoch versucht.

O365 Groups Governance Namenskonvention DialogÜberwachung:

Um weiterhin einen Überblick über alle Gruppen zu haben, empfehle ich die zentrale Gruppenübersicht im Office 365 Admin Center. Von dort aus kann ich die Gruppen auch verwalten und löschen. Ich empfehle diese Ansicht deswegen, weil

a) in der SharePoint Administration die Site Collections nicht auftauchen,
b) in der Exchange Administration nicht die Gruppen angezeigt werden, die vom Planner oder SharePoint kommen und
c) die Ansicht in SharePoint schnell unübersichtlich wird bei vielen Gruppen.

Daher ist die zentrale Gruppenansicht meiner Meinung nach für Tenant-Administratoren die beste Lösung.

II.
Unkontrollierter Zugriff für Interne und Externe auf Groups-Inhalte

Berechtigungen einschränken:

Für Problem II, also die Berechtigungen und das Teilen mit Internen und Externen Mitarbeitern, gibt es auch ein paar PowerShell Konfigurationen und Workarounds in SharePoint. Für die O365 Gruppen Vorlage stehen uns dafür folgende Eigenschaften zur Verfügung:

  • AllowGuestsToBeOwner
  • AllowGuestsToAccessGroups
  • AllowToAddGuests

Das Schöne an diesen zentralen Einstellungen an der Vorlage ist, dass die Werte dann für alle neu erstellten Gruppen angewendet werden. Wenn wir dabei speziell diese drei Eigenschaften abschalten, haben wir schon viel erreicht in Bezug auf das Teilen von Gruppen und Hinzufügen von weiteren Mitgliedern. Weiterhin können wir noch URLs hinterlegen, in denen die Regeln und Richtlinien von Gruppen erläutert werden, um so eine gewisse Aufmerksamkeit der Nutzer für Gruppenrichtlinien zu schaffen.

  • GuestUsageGuidelinesUrl
  • UsageGuidelinesUrl

In Bezug auf die Berechtigungen bereits existierender Mitglieder in Groups, da kann ich nur über den unschönen manuellen Weg gehen, dass ich den Nutzern entsprechende Rechte in der SharePoint Site Collection wieder nehme. Ein PowerShell Skript kann dies zwar automatisieren, aber es ist und bleibt ein Workaround, weil ich die Berechtigungen nicht bereits beim Erstellen einer neuen Gruppen definieren und einschränken kann.

III.
Schneller Verbrauch des verfügbaren Tenant-Speicherplatzes

Speicherplatz einschränken:

Das letzte Problem III bekommen wir einfach in den Griff, indem wir über PowerShell den Gruppen Site Collections ein Quota Limit hinzufügen, wie wir es bereits gewohnt sind bei „normalen“ Site Collections. Genauer zeige ich auch dies im zweiten Teil. Allerdings darf ich für diese Funktion nicht den „Pooled Storage“ im Tenant für SharePoint aktiviert haben, damit ich die Quotas manuell konfigurieren kann. (siehe auch 12. #O365Adventskalender Türchen)

Auch wenn dies eine gute und einfache Möglichkeit ist, das Datenwachstum in Gruppen einzuschränken, so ist auch diese Lösung dennoch nur ein Workaround, wie schon bei den Berechtigungen beschrieben, weil es ein manueller nachträglicher Schritt ist.

 

Zusammenfassend können wir sagen, dass viele O365 Groups Standardwerte nicht gut für eine starke Unternehmens-Governance ist. Dafür haben wir ein paar gute Ansätze, um die O365 Groups Vorlagen anzupassen und so Eigenschaften gemäß unserer Richtlinien zu konfigurieren. Dies ist bereits nicht schlecht, wird aber komplexen Governance Anforderungen nicht gerecht. Zudem gibt es noch einige Einschränkungen und „Ungereimtheiten“ bei der Anwendung konfigurierter Gruppeneigenschaften (siehe Namenskonventionen und Klassifizierung). Microsoft entwickelt hier aber stets weiter. Ihr könnt euch auf der Roadmap informieren, was für die Office 365 Groups Governance geplant ist.

Alternativ gibt es bereits O365 Governance Lösungen am Markt, die selbst herausfordernden Anforderungen gerecht werden und oben beschriebene Probleme zu 100% in den Griff bekommt und sogar noch zusätzliche Backup und LifeCycle Funktionen integrieren. Ich empfehle sich da schlau zu machen, damit wir ohne Sicherheitssorgen die Vorteile von Office 365 Groups voll ausschöpfen können.

Happy „SharePointing“!

 

Weitere Quellen:

 

Office 365 Tipps und Tricks für Administratoren

24. Türchen

Fröhlichen 24. Dezember! 🙂 Wir haben ja nun unseren Tenant mit Daten und Emailkonten befüllt. Weiterhin haben wir uns einen bunten Blumenstrauß an Produkten unseres Office 365 Tenants angeschaut und diese entsprechend konfiguriert. Wir sind nun also wirklich bereit, mit unserer Firma in der Microsoft Cloud live zu gehen. Wirklich? Ist es tatsächlich schon so weit? Irgendwie fehlt uns noch das Branding und der ein oder andere schnelle Tipp für z.B. die Nutzerverwaltung, damit unser Tenant nach unsere Firma aussieht und wir ihn optimal verwalten können.

Office 365 Tipps und Tricks

Dies und ein paar weitere Kniffe verraten uns Tom Werner, Kate Follis und Nino Bilic in ihrem Vortrag von der diesjährigen Microsoft Ignite Konferenz. Damit können wir das Maximum aus unserem Office 365 Portal herauszuholen. Im Prinzip war der Vortrag fast nur eine reine Live Demo, in der wir gesehen haben, wo was zu klicken ist. Es ist also ein entspannter Beitrag für den 24. Dezember und damit das letzte O365Adventskalender Türchen. Aber es sind auch echt ein paar coole Tipps, welche die Administrator-Augen leuchten lassen. Und genau das soll ja auch zu Weihnachten passieren. 😉

Ich habe euch dafür nun die verschiedenen Tipps aufgelistet und ab welchen Zeitpunkt ihr dafür einsteigen könnt. Den Link für das Video findet ihr darunter.

Tipp

Thema

Zeit

1

Company Branding

  • Navigation Bar einfärben + Logo + App Launcher
  • App Launcher Kacheln hinzufügen
  • Branded Help Desk Karte
  • Company Portal
  • Sign-in Seite
  • Website Sign-In (von GoDaddy Beispiel)
 

02:10
03:20
04:50
05:40
07:00
09:00

2

Office 365 Erweiterte Benutzerverwaltung

  • Bulk-Aktionen und Filter
  • Erstellen nicht-lizensierter Benutzer
  • Self-Service Passwort Richtlinie
  • Universal App
 

14:00
16:00
17:50
21:00

3

Email und Kollaborations-Management

  • Rooms vs. Equipment
  • O365 Group Privacy Umstellung
  • Email Weiterleitung
  • Kein OOF Notiz mehr für Shared Mailboxes
  • Email Programme verwalten
  • Zentraler „Gesendet“ Ordner für Shared Mailbox
 

22:45
24:30
25:30
27:30
29:30
31:00

4

„Advanced Tricks“

  • Integrated Scripting Environment (PowerShell ISE)
  • Attribute im PowerShell Output nicht mehr abschneiden

34:00
34:45

5

Message Center, um auf dem Laufenden zu bleiben

36:00

MyIgnite:
https://myignite.microsoft.com/videos/1263

oder YouTube:
https://www.youtube.com/watch?v=fGfmaHK04Vk

Das ganze Video geht knapp 44 Minuten und ab Minute 38 werden „nur“ noch Publikums-Fragen beantwortet. Das ganz geht also fix und hat eine echt hohe Informationsdichte.

Damit möchte ich den O365Adventskalender nun schließen und hoffe, ich konnte euch die Wartezeit auf Weihnachten etwas verkürzen, nützliche Tipps für Office 365 geben und generell etwas die Zweifel vor der Cloud nehmen. Ich freue mich über Kommentare und auch Wünsche, worüber ihr gern mehr erfahren möchtet.

Und wenn wir gerade schon bei Wünschen sind, dann wünsche ich euch nun ein frohes und besinnliches Weihnachtsfest im Kreise eurer Liebsten mit leckerem Essen und vielen Geschenken! Rutscht anschließend gut ins neue Jahr, in dem wir uns dann wieder sehen.

Alles Gute und Happy „SharePointing“!

O365Adventskalender

Zur O365Adventskalender Übersicht

Skype for Bsuiness in Office 365

23. Türchen

In den letzten Tagen haben wir eine Menge Tools aus Office 365 kennengelernt und wer sich auskennt, der weiß, dass eigentlich nur noch ein wesentliches Produkt übrig ist. Also wollen wir uns im vorletzten Beitrag diesem Tool widmen: Skype for Business oder kurz S4B.

Das frühere Lync, das für die Kommunikation innerhalb von Firmen genutzt wurde, ist mit Skype, das wiederum für private Personen gedacht war und von Microsoft im Mai 2011 für 8,5 Milliarden Dollar aufgekauft wurde, mittlerweile verschmolzen. Somit kann ich auch mit S4B private Konten anrufen und umgekehrt – wenn ich das denn möchte.

Lync bzw. nun Skype for Business war immer alles andere als einfach zu konfigurieren. Besonders, wenn man per VoIP auch Festnetz- und Handynummern anrufen wollte. Auch dies ist ein weiterer Vorteil der Office 365 Cloud: Skype ist einfach da und funktioniert. Ein paar interessante Dinge kann und sollte der Administrator aber im S4B Admin Center konfigurieren.

Organization:

Hier kann ich einerseits konfigurieren, ob der aktuelle Verfügbarkeits-Status der Mitarbeiter generell angezeigt werden soll oder nur für Nutzer in der Kontaktliste. Andererseits kann ich auch einstellen, ob Nutzer, die sich mit einem Mobiltelefon angemeldet haben, auch Push-Notifications erhalten sollen, also eine Nachricht bekommen, sobald sie über S4B kontaktiert werden. Ich persönlich finde diese Einstellung so ganz gut, weil ich so einerseits gleich weiß, ob man jemanden „stören“ kann und andererseits bemerke ich unterwegs, ob mich jemand kontaktieren möchte. Dies ist sicherlich förderlich für die Zusammenarbeit.

O365 Skype For Business Organization

Eine besonders nützliche Funktion ist aber die sogenannte „Federation“, also dass man auch mit Kollegen außerhalb des Unternehmensnetzwerkes chatten oder telefonieren kann. Besonders für mich, weil ich oft mit verschiedenen Firmen in Kontakt bin, ist das ein riesen Mehrwert. Ich merke deutlich, dass die Zusammenarbeit mit Firmen, die diese Funktion auch aktiviert haben, deutlich einfacher, schneller und unkomplizierter funktioniert, also mit denen ohne diese Funktion. Also dringende Empfehlung, wenn ihr mit Externen oder Partnern arbeitet, dass ihr dieses Feature nutzt.

O365 Skype For Business Federation

Ihr dürft aber auch gern zusätzlich geblockte oder erlaubte Domains hinzufügen, um die Sicherheit zu erhöhen und nicht jedem den Verfügbarkeitsstatus anzeigen. Wenn ihr möchtet, könnt ihr dies sogar pro Nutzer anpassen. Also einfach den Nutzer im S4B Admin Center auswählen und mit einem Klick auf dieses Stift-Symbol gelangt ihr dann in folgende Ansicht:

O365 Skype For Business User configuration

 

Dial-In Conferencing:

Ich hoffe, ihr habt euch im 3. Kalendertürchen für einen E5 plan entschieden, denn dann könnt ihr auch diese Funktion konfigurieren und nutzen. Das Dial-In bzw. PSTN (Public Switched Telephone Network) Conferencing bedeutet nämlich, dass sich Teilnehmer einer Telefonkonferenz auch ganz normal mit einem Festnetztelefon oder Handy einwählen können. Ein für mich noch größerer Vorteil ist aber, dass ich jedem Kollegen auch eine eigene Festnetznummer zuweisen kann, um über S4B auch normale (internationale) Anrufe führen zu können oder über eine normale Telefonnummer angerufen werden kann. Damit erspare ich mir auch andere Telefonanbieter und Microsoft packt sogar noch ein paar gebührenfreie Nummern für die Konferenzbesprechungen oben drauf.

Sehr schön ist die Konfiguration des PSTN Conferencing mit einer Schritt-für-Schritt Anleitung im folgenden Blog erläuert:

https://blogs.technet.microsoft.com/skypehybridguy/2016/01/30/cloud-pbx-modern-voice-pstn-calling-in-office365-2/

Wenn ihr den E5 plan habt, erhaltet ihr außerdem im S4B Admin Center eine weitere Kategorie, und zwar Voice. Darunter könnt ihr beispielsweise den Nutzern die angesprochene Telefonnummer zuzuweisen.

 

Online Meetings:

In der Kategorie Online Meetings könnt ihr ein paar Anpassungen vornehmen, wie und was bei einer Konferenzeinladung mit S4B angezeigt werden soll. Das ist nett, aber nichts Besonderes.

O365 Skype For Business Online Meetings

Viel spannender finde ich unter diesem Punkt aber den Reiter „Broadcast Meetings“. Das ist ein neues Feature, um Konferenzen mit bis zu 10.000 Teilnehmern abhalten zu können. Die normalen Skype for Business Limits liegen nämlich bei 250 Teilnehmer. Zugegeben, für die meisten Anwendungsfälle wird dieses Limit reichen, aber bei größeren Abteilungstreffen oder gar einer ganzen Firma (z.B. Keynote oder „Townhall Meetings“) kann dann schon schnell „Feierabend“ sein mit den Standard-Grenzwerten. Daher finde ich es super, dass diese Funktion Teil von Office 365 ist und wir somit von Microsoft immer mehr Argumente bekommen, Firmen von den Vorteilen der Cloud zu überzeugen.

O365 Skype For Business Broadcasting

 

Tools und Reports:

Unter den Tools finden wir ein paar Analysewerkzeuge, um die interne und externe Verbindungsqualität zu testen sowie ein paar weiterführende Links zum Troubleshooting oder Konfigurieren.

Die Reports zeigen an, welche Konferenzen wann geführt wurden. Diese Funktion befindet sich jedoch noch in der Preview Phase und spätestens in Deutschland wird sie auch wieder den einen oder anderen Betriebsrat auf den Plan rufen.

O365 Skype For Business Reports

Wenn ich nun die Anforderungen und Konfigurationen für S4B in Office 365 mit einem On-Premises Deployment vergleiche, dann wird deutlich, welchen großen Mehrwert die Microsoft Cloud vor allem für kleine und mittelständische Firmen bietet – nämlich die Einfachheit bei der Konfiguration bei selbst komplexen Microsoft Produkten wie Skype for Business. Für größere Unternehmungen sind zudem Funktionen wie das Broadcast Meeting für bis zu 10.000 Teilnehmer extrem attraktiv.

Office 365 ist also mittlerweile ein wirklich sehr gut gereiftes Produkt und bietet eine breite Palette an Funktionen für verschiedenste Kundenanforderungen. Und es kommen stets neue Funktionen dazu, weil die Plattform regelmäßig mit Sicherheits- und Feature-Updates aktualisiert wird. Habt ihr dennoch Bedenken? Falls ja, lasst es ich wissen!

Happy „SharePointing“!

 Zur O365Adventskalender Übersicht

Exchange Online Compliance und Archive

22. Türchen

Mit dem heutigen O365 Adventskalender Türchen schauen wir uns noch ein zweites Exchange Thema an, das meiner Meinung nach nicht so selbst erklärend ist, wie die anderen Konfigurationen. Und zwar geht es dabei um das Compliance Management.

Exchange Online Compliance

In-Place eDiscovery:

Die eDiscovery ist in Europa und speziell Deutschland weniger bekannt und genutzt. Hauptsächlich geht es mit dieser Funktion um die Identifizierung und Bereitstellung von elektronischen Informationen, die in Rechtsfällen als Beweismaterial verwendet werden können. Ich denke, es erklärt sich von selbst, dass die Funktion ursprünglich eine Anforderung aus den USA war. 😉 Da Firmen aber immer größer werden und global agieren, kann diese Funktion auch für europäische und deutsche Unternehmen sehr interessant sein. Daher schauen wir uns schnell an, wie wir uns eine eDiscovery-Suche erstellen.

Exchange Online Compliance eDiscovery

Es läuft ähnlich, wie auch gestern bei den Malware und Spam Filtern. Also nachdem ich einem eDiscovery-Fall einen aussagekräftigen Namen gegeben habe, definiere ich auf der zweiten Dialogseite den Scope, also wo überall gesucht werden soll. Mit der Administratorrolle „Discovery Management“ kann ich auf der nächsten Seite bestimmte Schlüsselwörter konfigurieren, die beispielsweise im entsprechenden Rechtsstreit eine Relevanz haben könnten. Die weiteren Filteroptionen seht ihr im folgenden Screenshot.

Exchange Online Compliance eDiscovery Filter

Im letzten Schritt könnt ihr noch sagen, wie lange die gefundenen Informationen zu so einem Fall aufbewahrt werden sollen.

Exchange Online Compliance eDiscovery Aufbewahrung

Wichtig zu verstehen ist hier, dass die Suchergebnisse und damit die entsprechenden Emails und Dateianhänge exportiert werden können. Selbst wenn ein Mitarbeiter schnell versucht, belastendes Material zu löschen, dann habe ich mit der eDiscovery eine zusätzliche Sicherung.

Auditing:

Die Auditierung erinnert mich ein wenig an die alten SharePoint Protokolle, die als Excel zur Verfügung gestellt wurden. Dies hat meiner Meinung nach nie den Anforderungen einer Firma genügt. Ähnlich „übersichtlich“ ist auch hier die Exchange Auditierung. Es gibt die paar Reports, die ihr im Screenshot seht mit einem Beispiel für die Administrations-Auditierung. Spannend ist hier zu sehen, dass die Aktion anhand des PowerShell-Befehls aufgelistet wird. Dies zeigt schön, dass ich alles im User Interface auch über PowerShell konfigurieren kann. Und damit möchte ich noch einmal den krassen PowerShell Unterschied zu SharePoint Online betonen.

Exchange Online Compliance Auditierung

Da wir uns mit dem heutigen Beitrag in der Kategorie Datenschutz bewegen, ist diese Auditierung dennoch gut und sinnvoll, um Aktionen zu überwachen und nachvollziehen zu können und damit Schaden von der Firma abzuwenden. Ich kann dabei nur immer wieder auf die neue EU-Datenschutzgrundverordnung verweisen.

Data Lost Prevention:

Die Data Lost Prevention ist ein sehr komplexes Thema und würde allein schon ein paar weitere Blog Beiträge decken. Grundsätzlich geht es hierbei um die Identifikation von Inhalten – auch in Dateianhängen – wie z.B. Kreditkarteninformationen oder persönlichen Daten (Geburtsdatum etc.) oder anderen Datenschutzregeln. Sollte ein Dokument oder Email mit solchen Daten identifiziert werden, so werden entsprechende Aktionen gemäß Richtlinie angewendet. Einen ersten guten Überblick bekommt ihr dazu auf meinem Blogbeitrag über die DLP für SharePoint On-Premises. In Exchange Online sieht es ähnlich aus, nur dass uns mehr Vorlagen und ein paar weitere Optionen zur Verfügung stehen.

Retention Tags:

Bevor wir zur Archivierung kommen, knöpfen wir uns zunächst die Aufbewahrungs-Schlüsselwörter vor. Diese Schlüsselwörter oder einfach Metadaten einer Email können in drei Kategorien erstellt und angewendet werden:

  1. Automatisch an der gesamten Mailbox
  2. Automatisch auf entsprechende Standardordner
  3. Manuell durch den Nutzer

Für unser Beispiel wollen wir nun ein weiteres manuelles Schlüsselwort hinzufügen.

Exchange Online Compliance Retention Tags

Hierbei definiere ich einfach einen Namen für eine der drei Archivierungsfunktionen (siehe nächster Screenshot) und dann einen Archivierungszeitraum, bzw. dass eine Email mit diesem Schlüsselwort nicht archiviert werden soll.

Exchange Online Compliance Retention Tag Aufbewahrung

Retention Policy:

In der Retention Policy können wir nun die Schlüsselwörter übernehmen und in einer Archivierungs-/Aufbewahrungsrichtlinie anwenden. Die Default MRM Policy ist dabei die, welche standardmäßig auf alle Nutzer zutrifft. Darin sind auch bereits die Standardregeln, dass eine Email nach zwei Jahren automatisch archiviert wird.

Exchange Online Compliance Retention Policy

Der Vorteil der Archivierung ist der, dass wir dadurch zusätzlichen Speicher nutzen können, nämlich den Archivspeicher. Außerdem kann ich so meine Emails kategorisieren und aufräumen. Weitere Informationen, welche Standardaufbewahrungsrichtlinien es in Exchange Online gibt, findet ihr hier:

https://technet.microsoft.com/de-de/library/dn775046(v=exchg.150).aspx

Im Screenshot oben, habe ich unser Adventskalender-Schlüsselwort der Standardrichtlinie hinzugefügt und nach einigen Stunden (bis der entsprechende Exchange Online Timer Service im Hintergrund gelaufen ist) steht es mir in Outlook zur Auswahl zur Verfügung.

Ihr seht im Screenshot neben der Standardrichtlinie aber auch eine weitere O365Adventskalender-Richtlinie. Diese kann ich nun einzelnen Nutzern über Empfänger (Recipients) zuweisen.

Exchange Online Compliance Retention Policy zuweisen

Ihr müsst darauf achten, dass ihr in der Richtlinie, die ihr euren Mitarbeitern zuweist, alle Metadaten zur Verfügung stellt, die ihr braucht, denn Richtlinien erben nicht voneinander. Der Mailbox eines Mitarbeiters sind also wirklich nur die automatischen und persönlichen Schlüsselwörter und Archivierungsfunktionen hinterlegt, die in der ihm zugewiesenen Richtlinie enthalten sind!

 

Journal Rules:

Die Journal Rules sind in Office 365 relativ neu und ermöglichen das Aufbewahren zum Teil der gesamten Unternehmenskommunikation. Für manche Industrien, wie z.B. Banken und Versicherungen, ist dies sogar regulatorisch vorgeschrieben. Daher ist es gut und wichtig, dass wir diese Möglichkeit in der Microsoft Cloud haben. Der Sinn ist ähnlich, wie bei der eDiscovery, nur zielen die Journals generell auf die Kommunikation und nicht nur auf spezielle Suchbegriffe ab.

Die Konfiguration einer Journal Regel ist einfach und erfordert nur vier Eingaben:

  1. Einen Empfänger für die Journal Protokollierung
  2. Einen Namen für diese Richtlinie
  3. Ob alle Nutzer oder nur für bestimmte die Protokollierung angewendet werden soll
  4. Ob alle oder nur interne bzw. externe Emails protokolliert werden sollen

Exchange Online Compliance Journal Rules

 

Zur Information möchte ich nur noch kurz die anderen Hauptpunkte erwähnen, unter denen ihr Exchange Online noch weitere im Detail für eure Anwendungsszenarien anpassen könnt.

Empfänger (Recipients):

Übersicht der Nutzer, Gruppen und Ressourcen (z.B. Konferenzräume, Beamer, etc.). Hier kann man z.B. auch einzelnen oder mehreren Nutzern eine Archivrichtlinie zuweisen oder andere weitergehende Email-Einstellung auf Nutzerbasis vornehmen.

Berechtigungen (Permissions):

Hier werden Rollen und Berechtigungen verwaltet sowie zugewiesen und man kann konfigurieren, welche Funktionen in der Outlook Web App zur Verfügung stehen sollen, z.B. eine LinkedIn Kontakt-Synchronisation.

Organization Sharing:

Hier wird konfiguriert, ob und was Mitarbeiter aus ihrem Exchange Kalender teilen dürfen.

Mail Flow:

In dieser Kategorie geht es um Email-Regeln, also was z.B. beim Eintreffen einer Email passieren soll. Die anderen Themen beschäftigen sich mit dem Routing von Emails, also das Nachverfolgen einer Email-Spur sowie das konfigurieren entsprechender interner und externer Domains oder dedizierter Dienst-Server.

Mobile:

Unter diesem Punkt konfigurieren wir, welche mobilen Geräte und Gerätetypen auf unseren Exchange Online zugreifen dürfen bzw. in Quarantäne sind. Außerdem können Regeln für den Abruf von Emails durch mobile Endgeräten eingestellt werden.

Public Folders:

Ist lediglich die Verwaltung der bekannten Exchange „Public Folder“ Funktionalität.

Unified Messaging:

Hier kann ich grundlegende Funktionen wie Voicemail, Outlook Voice Access und Mailboxansageregeln konfigurieren.

Hybrid:

Dies ist aktuell nur der (doppelte) Link zum Download des Office 365 Hybrid Configuration Tool, welches wir bereits im 20. Kalendertürchen bei der Postfach-Migration angeschaut haben.

 —–

All diese Dinge kann ich auch per PowerShell konfigurieren. Dies ist der große Unterschied zu SharePoint Online. Manche Dinge kann ich in Exchange sogar nur über die Kommandozeile konfigurieren, wie z.B. eine Passwort-Ablaufregel. Wir wollten uns aber im O365Adventskalender nur auf die einfachsten und wichtigsten Anwendungsszenarien konzentrieren, um für den Start in die Microsoft Cloud gut aufgestellt zu sein. All die weiteren Funktionen, die ich hier nur kurz aufgezählt habe, haben natürlich auch einen gewissen Mehrwert, sind aber nur bei bestimmten Anwendungsszenarien sinnvoll.

Die Konfiguration all dieser Funktionen ist sehr übersichtlich über das UI und daher könnt ihr einfach mal drauf los konfigurieren. Andernfalls sind für fast alle Funktionen auch gute Technet Artikel verfügbar, um notfalls etwas nachlesen zu können.

Happy „SharePointing“ und „fröhlichen Austauschen“… 😉

Zur O365Adventskalender Übersicht

Exchange Online Sicherheitsfunktionen in O365

21. Türchen

Gestern habe ich das Exchangen Admin Center bereits angedeutet, als es um die Mailbox Migration ging. (Ab) heute schauen wir uns in diesem Admin Center genauer um. Es gibt eine Reihe Funktionen, mit denen wir unseren Exchange Online konfigurieren können. Wir können nicht alle in diesem Adventskalender-Rahmen besprechen, daher möchte ich mich auf die meiner Meinung nach wichtigsten konzentrieren – Heute: Exchange Sicherheitsfunktionen.

Exchange Online Übersicht

Mit diesen Funktionen kann ich mein Unternehmen und die Nutzer davor schützen, dass Spam, Phishing und Malware (Schadsoftware) von außen nach innen gelangt. In der umgekehrten Richtung kann ich aber auch dafür sorgen, dass nicht mein Exchange Server gehackt und missbraucht wird und nun solche Dinge von innen nach außen geraten. Besonderen Fokus legen wir also auf die Malware und Spam Filter.

Malware Filter:

Mit diesem Filter kann Exchange Online für Schadsoftware sensibilisiert werden, die meist in Email-Anhängen zu finden sind. Dafür stehen uns einige Option zur Verfügung, die wir uns nun anschauen.

O365 Exchange Online Malware Detection Response

Nachdem wir von der Übersichtsseite direkt in die Mailware Filterregeln gelangt sind, können wir dort über das „+“ Zeichen eine neue Regel hinzufügen, der wir als erstes einen eindeutigen Namen vergeben. Anschließend können wir entscheiden, was bei einem Fund getan werden soll. Also ob die komplette Email gelöscht wird oder nur die Anhänge und der Benutzer im letzteren Fall mit einer Standard- oder einer angepassten Notiz darüber informiert wird.

O365 Exchange Online Malware Attachment Types

Weiterhin können wir festlegten, bei welchen Dateitypen die Regel zutrifft. Standardmäßig sind dafür schon die wichtigsten Formate hinterlegt, wie Skripte oder EXE-Dateien. Ich kann diese Liste aber auch mit eigenen Definitionen erweitern.

Der Benachrichtigungsteil im Malware Filter ist sehr umfangreich. Hierbei geht es um die Versender solcher Email, deren Dateianhänge als Malware eingestuft werden. Dafür kann ich gezielt Absender-Name und Email-Adresse sowie Betreff und Inhalt definieren. Dies ist natürlich wichtig, damit ich bei solchen Antworten nicht zu viel preisgebe, sollte es sich wirklich um eine Viren- oder Phishing Attacke handeln.

O365 Exchange Online Malware Notifications

Neben angepassten Einstellungen sowohl für interne als auch für externe Versender fragwürdiger Emailanhänge, so kann ich mich ebenso als Administrator zusätzlich darüber informieren lassen, um das Auslösen dieser Richtlinie zu überwachen. Gegebenenfalls kann ich also einschreiten und interne Nutzer besser über das Versenden solcher Dateianhänge informieren oder bei Externen Angriffen eventuell meine Einstellungen noch weiter verfeinern und verstärken.

Und dies ist fast schon ein Stichwort für die letzte Konfiguration, denn ich kann Richtlinien auch ganz bestimmten Personen zuordnen. So wende ich beispielsweise auf externe Mitarbeiter strengere Richtlinien an, als auf die Internen. Oder aber ich habe einen Verdacht gegen einen bestimmten Kollegen und kann diesen so auch genauer unter die Lupe nehmen, um Schaden von der Firma abzuwenden.

O365 Exchange Online Malwar Spam Filter Applied to

Am Ende nicht vergessen abzuspeichern und gegebenenfalls die Rangordnung, der verschiedenen Regeln anpassen.

Testen können wir die Malware (Schadsoftware) Filter mit einer EICAR.TXT Datei. Dies ist eine normale Textdatei, die aber aufgrund ihrer Zeichenfolge als Schadsoftware identifiziert wird. Somit erstellen wir uns eine Text-Datei und nennen sie EICAR.TXT. In die Datei kopieren wir uns folgende Zeichenfolge:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Achtung, auch normale Antivirenprogramme auf eurem Rechner oder in Outlook erkennen so eine Datei als Virus, daher stellt sicher, dass ihr die Datei in einem sicheren bzw. vom Virenprogramm ausgeschlossenen Verzeichnis erstellen. Ich habe es ehrlich gesagt nicht hinbekommen, diese Textdatei zu versenden, weil mindestens Outlook diese Datei nicht zugelassen hat. Ihr müsst also im Unternehmen spezielle Nutzer komplett ausschließen, um solche Regeln testen zu können.

Spam Filter:

Neben dem Malware Filter, der auf Schadprogramme abzielt, kann ich mit dem Spam Filter den Inhalt von Emails auf Werbung, Phishing oder ähnliches überwachen. Dafür ist auch etwas mehr Fingerspitzengefühl gefragt, damit wichtige Emails eben auch ankommen und nicht fälschlicher Weise als Spam markiert werden.

Interessant ist dabei bereits – nachdem wir auch der Spam Filter Regel einen aussagekräftigen Namen gegeben haben – dass wir zwei verschiedene Stufen haben, mit welcher Wahrscheinlichkeit eine Email wahrscheinlich oder nur vermutlich Spam ist. Auf dem Screenshot sehen wir dazu, was möglich ist.

O365 Exchange Online Spam Filter Aktionen

Ich würde folgendes Fingerspitzengefühl empfehlen: Wenn es sich „vermutlich“ um eine Spam Mail handelt, dass diese zwar ausgeliefert, aber im Titel mit einem Prefix versehen wird, um den Empfänger entsprechend zu sensibilisieren. Nur wenn es sich sehr sicher um Spam handelt, dann verschiebe es in den – von Endbenutzern selten beachteten – Junk-Mail Ordner. So stelle ich sicher, dass es keine unnötigen Falschmeldungen gibt und meine Nutzer keine großen Einschränkungen erfahren. Weitere mögliche Aktionen sind folgende:

O365 Exchange Online Weitere Spam Filter Aktionen

Zusätzlich zum Algorithmus für die Identifikation von Spam kann man auch ganz dedizierte Absender und Domains in eine „Schwarzen Liste“, aber auch in eine „Weißen Liste“ hinzufügen. Ich denke, es ist klar, was eine Black – und White List ist, daher können wir uns hier weitere Details sparen.

Ganz spannend finde ich aber noch die „Internationalen Spam“ Einstellungen. Hier kann ich gezielte Sprachen und Länder auswählen, denen man hohen Spam Verkehr unterstellt und somit Emails aus diesen Gegenden oder mit dieser Sprache ähnlich mit hoher Wahrscheinlichkeit als Spam einstuft.

O365 Exchange Online Spam Filter International Spam

Aber es geht auch noch detaillierter! Um das Ranking und die Wahrscheinlichkeit von Spam-Identifikationen zu präzisieren, können wir sogar auf ganz bestimmte Eigenschaften filtern, wie verlinkte Bilder zu einer anderen Quelle, Redirect-URLs, JavaScripte, eingebettet iFrames und und und… Die Liste ist sehr umfangreich und schön finde ich auch, dass ich manche Filter auch nur zum Testen einstellen kann.

O365 Exchange Online Spam Filter Advanced Option

Werden also Eigenschaften gefunden, die ich nur testen möchte, dann soll die Mail erst mal noch kein Spam sein, sondern ich kann konfigurieren, ob nur ein Standard-Kopfzeilen-Text mit eingefügt wird oder ein Administrator eine Blindkopie-Email (Bcc) erhält.

O365 Exchange Online Spam Filter Test Mode

Genauso wie bei den Malware Filtern kann ich auch hier wieder gezielt Personen, Domains oder Gruppen definieren, auf die unsere Spam Filter Richtlinie angewendet werden soll. Abspeichern und fertig!

Das ist schon wirklich sehr umfangreich und einfach zu konfigurieren, damit wir schnell und sicher per Exchange Online kommunizieren können. Um das Ganze zu testen, ob die Richtlinien wirklich funktionieren, so können wir uns einfach eine Email mit folgendem Text ohne Leerzeichen und Zeilenumbrüche zusenden:

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

So eine GTUBE-Nachricht funktioniert wie eine EICAR.TXT Nachricht, die Schadsoftware simuliert.

Der Vollständigkeit halber noch kurz die anderen Sicherheitsfunktionen.

Connection Filter:
Hier kann man erlaubte und nicht erlaubte IP Adressen und IP-Adressräume angeben, von denen Emails akzeptiert oder geblockt werden.

Outbound Spam:
Hier kann nur die „Default“ Richtlinie angepasst werden. Es geht im Prinzip nur darum, dass auch die gesendeten Emails von O365 geprüft werden, ob sie spam-verdächtig sind. Eine Email kann dann an entsprechende Administratoren gesendet werden, um zu überprüfen, ob der Unternehmens-Exchange nicht für Spamming gehackt wurde – oder Mitarbeiter Spam in eigener Sache verschicken.

Quarantine:
Hier werden Email-Fälle aufgelistet, die im Spam Filter als Spam identifiziert wurden. Von hier kann man auch Emails wieder frei geben, wenn sie fälschlicher Weise als Spam identifiziert wurden.

Action Center:
Hier sehen wie alle Accounts, die aktuell von den Exchange Sicherheitsrichtlinien betroffen sind, also bei denen beispielsweise in den Emails Malware gefunden wurde. Dieser Bereich ist noch relativ neu und es gibt noch keine weiteren Information darüber, was genau hier möglich sein wird.

DKIM:
Das steht für Domain Keys Identified Mail und erhöht die Sicherheit beim Email-Verkehr gegen Spam und Phishing. Hiermit kann man nämlich spezielle DKIM Signaturen hinzufügen, die bestätigen, dass die Email wirklich vom entsprechenden Nutzer kommt und nicht im Versand abgefangen und geändert wurde.

Wir sehen also schnell, auch wenn wir fast den gesamten Exchange Online per PowerShell verwalten können – ganz im Gegensatz zu SharePoint Online – wir haben hier auch ein schönes User Interface, mit dem ich mir ohne tief technische Kenntnisse einen sicheren Mailversand in Office 365 konfigurieren kann. Dies ist vor allem für kleinere bis mittlere Firmen ein großer Vorteil, die sich keinen dedizierten Exchange Administrator leisten können oder wollen. Mit Office 365 kann ich also einfach Sicherheitsstandards erfüllen, die normalerweise nur Großunternehmen mit dedizierten Ressourcen erreichen konnten. Die Ausrede, dass die Cloud unsicher sei, lasse ich also nicht gelten. 😉

Happy „SharePointing“! (oder fröhliches Austauschen? 😉 )

Zur O365Adventskalender Übersicht

Exchange Migration nach Office 365

20. Türchen

In den letzten Tagen haben wir uns all die coolen Funktionen rund um SharePoint Online angeschaut. Aber eine wirkliche Zusammenarbeit startet natürlich nur dann, wenn wir auch mehrere Kollegen in Office 365 haben. Diese könnte man natürlich alle manuell „from scratch“ im Admin Portal anlegen. Was ist aber mit den bereits bestehenden Email-Konten und den Daten darin? Richtig, das wollen wir natürlich nicht verlieren, also machen wir uns heute an eine Migration bestehender Email-Konten nach Exchange Online.

Microsoft unterstützt – neben dem FastTrack Service vom 4. O365Adventskalender Türchen – natürlich auch nativ verschiedene Email-Quellen, die wir dann nach Office 365 schaufeln können. Dies sind aktuell:

  • Gmail
  • Exchange On-Premises
  • Yahoo
  • PST-Datei Import
  • „Weitere Quellen“

Exchange Online Migrationsmöglichkeiten

Wie ihr am Screenshot schon seht, werden wir uns auch gleich den vor kurzem neu eingeführte Migrationsdialog anschauen. Denn bis vor wenigen Tagen gab es nur die Exchange Migration und die Anbindung über einen IMAP Server, was wir unter „Other email sources“ finden. Es sind also ein paar Optionen hinzugekommen. Für alle Möglichkeiten gilt aber, dass ihr einen entsprechenden Exchange Plan in O365 abonniert habt bzw. den O365 Nutzern bereits eine Exchange Lizenz zugewiesen habt. Andernfalls können all diese Migrationsszenarien nicht durchgeführt werden.

Exchange On-Premises:

Als erstes schauen wir uns die Exchange On-Premises zu O365 Migrationsstrategien an. Dafür bauen wir im Prinzip eine hybride Umgebung auf, um die On-Premises Email-Konten mit Exchange Online zu synchronisieren. Dafür hat Microsoft nun extra ein „Office 365 Hybrid Configuration“ Tool eingeführt, dass für uns das hybride Setup deutlich vereinfacht. Das Tool kann direkt heruntergeladen werden, wenn ihr im O365 Admin Center -> Users -> Data migration auf Exchange klickt.

Office 365 Exchange Migration

Das Tool unterstützt das Aufsetzen einer hybriden Exchange Umgebung für die Versionen ab 2010. Damit wird dann im ersten Schritt ein lokaler Exchange Server gesucht oder man gibt selbst den On-Premises Exchange an. Außerdem kann man auswählen, in welcher O365 Region man einen Tenant hat. Schön ist zu sehen, dass man bereits Deutschland als dedizierten Standardort auswählen kann, auch wenn aktuell das Release für Office 365 in der deutschen Cloud erst für Q1-2017 angekündigt ist.

O365 Exchange hybrid Migration

Im nächsten Schritt muss man seine Zugangsdaten für den On-Premises Server sowie für den O365 Tenant angeben. Es wird dann eine Verbindung aufgebaut und geprüft, ob das angegebene Konto über die nötigen rechte verfügt. Sind wir da durch, können wir uns für eine Migrations-Strategie entscheiden:

Full Hybrid
(früher Remote Move Migration)
Minimal Hybrid
(früher Staged Migration)
Express Migration
(früher Cutover Migration)
Unterstützte Exchange Version Ab 2010
  • Ab 2007 (manuell konfiguriert)
  • Ab 2010 mit dem Konfigurations-Tool
  • Ab 2007 (manuell konfiguriert)
  • Ab 2010 mit dem Konfigurations-Tool
Nutzerverwaltung On-Premises Cloud Cloud
Anzahl der Nutzerkonten Empfohlen für mehr als 2.000 Keine Einschränkung Empfohlen für weniger als 2.000
Geplanter Migrationszeitraum Dauerhafte Koexistenz von On-Premises und Online bzw. sehr langer Zeithorizont Wenige Wochen bis Monate Weniger als eine Woche
Komplexität hoch mittel gering
Hinweis
  • Kein Cross-premises Free/Busy möglich
  • Kein TLS geschützer Mailverkehr zwischen On-Prem und Online
  • Kein Cross-premises eDiscovery
  • Kein Outlook im Web und ActiveSync Weiterleitung
  • Keine automatische Aufbewahrung/Löschung von archivierten Postfächern
On-Premises wird nach der Migration abgeschaltet. Dies ist also eine Komplettmigration ohne ein wirklich lebendes Hybrid-Szenario.
Weitere Informationen und Anleitungen Full Hybrid Minimal Hybrid

Am Ende des Wizard haben wir die Möglichkeit eine Einmal-Synchronisation durchzuführen. Dies ist empfohlen, weil wir damit direkt als Tenant-Administrator eine Verbindung zum Azure Active Directory herstellen. So können die Nutzer und Gruppen aus Exchange On-Premises ausgelesen und im Azure AD erzeugt werden. Anschließend sehen wir diese Nutzerkonten in unserem O365 Admin Center und müssen nur noch alle oder bestimmte Nutzer auswählen, deren Postfach migriert werden soll. Dies ist beispielsweise ein Vorteil gegenüber der früheren „Staged Migration“, bei der man für das Mapping noch eine CSV-Datei erstellen musste.

O365 Exchange hybrid Migration User Mapping

Zusammengefasst werden bei dieser Migration die Nutzerkonten von Exchange On-Premises mit dem Hybrid Configuration Tool zu Exchange online synchronisiert und anschließend startet der Datentransfer der Postfächer. Ob man dann hybrid weiter fährt, ob minimal hybrid mit entsprechenden Einschränkungen oder sogar den On-Presmies Server komplett abschaltet ist eure Entscheidung.

IMAP:

Die IMAP Konfiguration war bis vor kurzem noch die zweite und letzte mögliche Option, bei der man eine Verbindung zu einem beliebigen Email-Dienst über IMAP herstellen kann. Daher heißt dieser Ansatz auch mittlerweile einfach „Other email sources“. Mit dieser Möglichkeit könnte man sogar seine Email von privaten Konten von beispielsweise 1und1 oder GMX in seinen O365 Tenant migrieren. Der jeweilige Email-Dienstanbieter sollte die nötigen Informationen aus dem Screenshot standardmäßig zur Verfügung stellen, sodass ihr die Verbindung schnell konfigurieren könnt.

O365 Exchange IMAP Migration

Wenn dies geschehen ist, dann könnt ihr die Mappings zu existierenden Nutzern in O365 vornehmen. Ihr seht im Screenshot, dass ich so also eine Verbindung zu meinem Homepage-Provider hergestellt habe und nun die dortigen Konto referenzieren kann.

O365 Exchange IMAP Migration User Mapping

Aber Achtung: verlasst ihr dieses Menü, dann sind die vorherigen Einstellung zur IMAP-Verbindung auch wieder weg. Bei diesem Migrationsansatz müsstet ihr also immer wieder die Konfiguration vornehmen, wenn ihr nicht alles auf einmal starten möchtet. Auch wenn es nicht super aufwendig ist, so ist es doch unschön.

Yahoo, Gmail, Outlook, Hotmail:

Schöner hat es Microsoft stattdessen mit den bekanntesten Email-Diensten gelöst. Dort ist diese einfache IMAP-Verbindungskonfiguration bereits vorgenommen worden, sodass ihr direkt mit dem Benutzerkonto-Mapping sowie Migration starten könnt. Der Screenshot ist also sehr ähnlich, wie zur obigen manuellen IMAP Konfiguration.

O365 Exchange Google Migration User Mapping

Bei Google, Outlook und Hotmail müssen zuvor noch ein paar wenige Konfiguration vorgenommen werden, damit eine Verbindung aufgebaut werden kann. Diese sind aber sehr übersichtlich mit Screenshots hinter dem entsprechenden Link erklärt (siehe erster Screenshot oben).

Natürlich wäre es sehr aufwendig, jeden einzelnen User zu mappen, daher empfehle ich die Verwendung einer CSV-Datei, um dies einfacher in Excel zu erledigen und dann automatisiert in O365 zu übertragen. Dieser Ansatz kann für Yahoo, Google, Outlook und Hotmail verwendet werden, aber auch für die manuelle IMAP Anbindung. Wie so eine CSV-Datei auszusehen hat, findet ihr hier: https://technet.microsoft.com/de-de/library/jj200730(v=exchg.150).aspx

Habt ihr so eine Datei erstellt und wollt nun loslegen, dann könnt ihr das aktuell noch nicht im O365 Admin Center. Stattdessen geht ihr direkt in das Exchange Admin Center und gelangt über Empfänger und Migration zum entsprechenden Dialog (siehe folgender Screenshot), der (aktuell) noch auf dem alten User Interface basiert. Alle weiteren Schritte der IMAP Migration mit PST-Datei werden dann auch von hier verwaltet.

O365 Exchange PST-file Migration

Ganz harmonisch ist dies noch nicht, weil die Ansichten zum O365 Admin Center unterschiedlich sind und das oben gezeigte Hybrid Konfigurationstool mehr Funktionen anbietet, welche direkt in Exchange nicht (mehr) möglich sind, z.B. die Express Migration. Ich denke aber, dass wir dennoch alle eine IMAP Migration hin bekommen, da sich die Komplexität wirklich in Grenzen hält.

Upload PST:

Als letzten Ansatz schauen wir uns den Upload einer PST-Datei an. Im Prinzip läuft dies eigentlich genau so ab, wie wir bereits im 9. Kalendertürchen zur PowerShell Datenmigration gesehen haben. Hierbei starten wir nun jedoch das ganze mit einem kleinen User Interface über das Admin Center und nutzen nicht nur PowerShell. Im UI wählen wir bei der Datenmigration nun PST Upload aus (Mit dem Upload zu OneDrive gelangen wir zum selben Interface).

O365 Exchange PST-Fil eMigration

Im ersten Schritt sehen wir gleich, egal ob PST-Datei oder Daten für SharePoint/OneDrive, dass wir ein PowerShell Tool benötigen und wir uns Container anlegen lassen können. Dies sind exakt die, welche wir noch am 9.12. per PowerShell selbst definiert haben. Wir brauchen aber nun PowerShell, um eben wieder die Daten in O365-freundliche Formate zu konvertieren.

O365 Exchange PST-File Migration Mapping

Ist dies erledigt, erzeugen wir uns noch eine Azure Warteschleife.

O365 Exchange PST-File Migration azure queue

Im Anschluss müssen wir nun per Azure PowerShell (und SharePoint Online PS-Module, je nach Upload Daten) das Paket konvertieren und im nächsten Schritt über das UI hochladen.

O365 Exchange PST-File Migration Upload

Ist das erledigt, kann es auch schon losgehen. Ich persönlich würde den PST-Upload lieber komplett per PowerShell machen, weil ich über das UI hin und her springe und ich über PowerShell nicht drum herum komme. Außerdem empfehle ich auch hier dringend die Verwendung einer CSV-Datei, um die Benutzer entsprechend zu mappen. Dies ist im Detail sehr schön Schritt für Schritt hier erklärt und ich empfehle euch diese Anleitung wirklich sehr.

https://support.office.com/de-de/article/Verwenden-des-Netzwerkuploads-zum-Importieren-von-PST-Dateien-in-Office-365-103f940c-0468-4e1a-b527-cc8ad13a5ea6?ui=de-DE&rs=de-DE&ad=DE

Manche Ansätze bei der Exchange Online Migration funktionieren wirklich gut und sind sehr intuitiv. Andere sind hingegen noch etwas „Buggy“ oder umständlich. Aber wir sind ja schließlich nicht bei „Wünsch dir was“ und um ehrlich zu sein, eine Migration ist in den allerseltensten Fällen simpel. Daher geht so ein Projekt ohnehin mit viel Planung und Tests einher, bei den dann auch diese auf den ersten Blick komplexeren Ansätze sehr schnell einfach werden, weil die Anwendungsszenarien aus meiner Sicht wirklich gut beherrschbar sind. Und mit den nativen Möglichkeiten haben wir aktuell auch schon wirklich viele gute Ansätze, um Benutzerkonten nach Office 365 zu migrieren. Also nicht warten, sondern starten! 😉

Happy „SharePointing“!

Zur O365Adventskalender Übersicht

Microsoft Flow

17. Türchen

Der große Schock für alle Firmen, die sich auf Workflows spezialisiert haben, ist Microsoft Flow. In den letzten Jahren wurden Workflows von Microsoft sehr stiefmütterlich behandelt. Daher wurde Drittanbieter-Software für SharePoint Workflows sehr interessant. Mittlerweile hat Microsoft seinen „Bunker“ verlassen und hört wieder aktiv auf die Stimmen und Wünsche der Kunden. Und dies hat uns neben Groups, Teams, External Sharing und und und… auch die neue Workflow Technologie Flow gebracht.

Jeder kann im Prinzip einen Flow erstellen, wenn er dazu im Admin Center freigeschaltet wurde. GANZ wichtig zu wissen, aktuell ist ein Flow an den Mitarbeiter gebunden. Verlässt also dieser das Unternehmen, ist auch sein Workflow weg. Da kann man nur hoffen, dass sich dies ändert. Denn während beim Abgang eines Entwicklers das KnowHow wegging, aber seine entwickelten Programme logischer Weise zunächst weiter funktionierten, so wäre allerdings ein Szenario, wie aktuell mit Flow, der Supergau.

Aber wie erstellen wir uns nun einen Flow? Dazu müssen wir nur die entsprechende Flow Kachel im Office 365 App Launcher klicken und wir gelangen zu unserer Flow Übersicht, in der wir alle Workflows sehen, die wir bereits erstellt haben. Von dort aus können wir einen komplett neuen Flow erstellen oder wir starten von einer Vorlage.

Flow Übersicht

Bei bereits erstellten Flows kann man mit einem Klick auf das „i“-Symbol sogar eine kleine Protokollierung erhalten. Diese zeigt an, wann der Flow schon ausgeführt wurde, ob er erfolgreich durchlief oder nicht.

Flow Reporting

Und falls letzteres der Fall war, erfahren wir auch warum der Durchlauf nicht erfolgreich war und in welchem Block oder Bedingung es zu einem Fehler kam. Also ein echt gutes Reporting, um auch die Funktionen meiner Flows zu überwachen.

Flow detaillierte Protokollierung

Aber wir starten nun mit der Erstellung eines neuen Flow und ich würde zum Anfang empfehlen, dies mit einer Vorlage zu machen, um zu verstehen, wie das Ganze funktioniert. Außerdem haben wir unzählige Vorlagen zur Verfügung, die bereits für ganz viele Anwendungsszenarien konfiguriert sind und nun nur noch mit unseren Daten gefüttert werden müssen. Wir sehen am Scroll-Balken, aus welchem Blumenstrauß an Flows wir wählen können.

Flow Auswahl

Wir entscheiden uns für einen Genehmigungs-Flow, den wir auch noch speziell anpassen werden. Es geht nämlich um Weihnachtsgeschenke mit einem bestimmten Preis. Werden solche in die Liste eingestellt, möchte ich dies per Email genehmigen können, ob das Geschenk gekauft werden darf oder nicht. Ähnlich einfach kann man so Urlaubsanträge oder Reisekosten abwickeln.

Verbindung zu den Flow Diensten:

Flow Verbindung herstellen

Zu Beginn müssen wir mit unserem Konto eine Verbindung zu den Diensten herstellen, die wir nutzen möchten. Für unser Szenario ist das nur SharePoint und Outlook Online. Aber wir könnten auch Twitter, Box, JIRA und und und mit in unseren Flow integrieren.

Flow VerbindungskontenFertige Flow-Blöcke bearbeiten:

Klicken wir auf Weiter, so gelangen wir in die logischen Details des Workflows. Zunächst würde ich empfehlen, am oberen Rand den Namen zu ändern, damit wir ihn später leichter wiederfinden. Jeden Block können wir nun weiter ausklappen und zusätzliche Details anzeigen lassen und Informationen eingeben. Beispielsweise gebe ich hier meine SharePoint Seite und eine darin enthalte Liste an, auf die ich mich mit diesem Flow beziehen möchte. Ich kann außerdem weitere Blöcke, Aktionen, Bedingen etc. hinzufügen und auch wieder löschen. Es ist wirklich sehr einfach und erinnert stark an die Drag-and-Drop Funktionalität von Nintex.

Flow bearbeiten

Innerhalb der Blöcke können wir ganz einfach bestimmte Eigenschaften aus unserer verbundenen Liste referenzieren, die z.B. besonders bei WENN-DANN-Bedingungen hilfreich sind. Für unsere Genehmigungs-Email kann ich also nicht nur den Titel (Name des Geschenks), sondern auch den Preis als Spaltenwerte mit auslesen und in der Email angeben.

Flow Referenzvariablen

Weitere Aktionen und Funktionen einfügen:

Wir wollen nicht nur, dass einfach eine „Genehmigt“-Email an den Ersteller eines SharePoint Elements gesendet wird, sondern wir wollen auch den Status dieses Elements automatisch aktualisieren. Somit fügen wir nun unserer Flow-Vorlage eine weitere Aktion hinzu – der Einfachheit halber nur bei Genehmigung, bei Ablehnung passiert für unser Beispiel erst einmal nichts.

Flow Aktion hinzufügen

Als neue Aktion können wir nun aus allen möglichen Diensten und Aktionen auswählen. Somit könnten wir den zu Anfang gewählten SharePoint und Outlook Online Diensten noch weitere hinzufügen und so ganz einfach eine Flow Vorlage weiter anpassen. Sicherlich kann auch ein extrem spezieller Wunsch dabei mal offenbleiben, aber ich habe wirkliche viele Aktionen gefunden, die eine Menge Anwendungsszenarien abdecken werden. Und das Schöne daran, diese sind wirklich ganz einfach anzupassen ohne viele Entwicklerkenntnisse. Mein Tipp, nicht nur nach eurer gesuchten Aktion scrollen, sondern explizit den Dienst im Suchbegriff angeben, denn ohne diese Eingabe werden nicht alle möglichen Aktionen je Dienst in der standardmäßig geladenen Drop-Down-Liste angezeigt. Meine Aktion „Element aktualisieren“ kam auch erst nach Eingabe des Produkts „SharePoint“.

Flow Dienst suchen

In unserem Beispiel möchten wir nur den Status ändern und belassen daher die anderen Spaltenwerte, wie sie ausgelesen werden. Wenn man möchte, kann man auch hier noch mehr Logik integrieren, sollte man z.B. den Preis anpassen bei einer Ablehnung. (Oder bei einer abgelehnten Urlaubsanfrage noch eine Begründung schreiben, die dann dem Element hinzugefügt wird).

Flow Dienst bearbeitenWenn dies erledigt ist, speichern wir den Flow oben rechts ab. Als nächstes erstellen wir uns ein paar Geschenkewünsche in unserer List.

Flow SharePoint Liste

Dazu erhalten wir die entsprechenden Emails, wie im Flow konfiguriert.

Flow Genehmigungs-Email

Das dazu erzeugte Element (Geschenk) können wir nun direkt in der Email genehmigen oder ablehnen. Ich genehmige mir einmal das Surface Book und sehe anschließend den aktualisierten Status in meiner SharePoint-Liste.

Flow genehmigte SharePoint Liste

War das nun kompliziert? Ich denke nein. Sicherlich muss man sich erst daran gewöhnen und besonders bei speziellen Anforderungen kann man schon etwas ins Schwitzen kommen. Aber für nicht zu komplexe Unternehmensprozesse kann man Flow echt gut einsetzen. Mal sehen, wohin sich dieses Produkt weiter entwickelt.

Als Administrator kann man auch hier lediglich ein paar Einstellungen vornehmen. Das ist einerseits ein Vorteil, weil es einfach funktioniert. Aber andererseits kann dies auch ein Nachteil sein, wenn man wenig beeinflussen kann. Zwei Dinge möchte ich erwähnen, die man sich als Administrator anschauen sollte.

Zum einen kann ich verschiedene Umgebungen konfigurieren, denen eine eigene Flow Datenbank zur Verfügung gestellt wird. Dies ist Vorteilhaft, um z.B. Entwickler-Flows von den produktiven zu trennen.

Flow Umgebungen

Ein weiterer Vorteil dieser Umgebungen ist der zweite Punkt für Administratoren – nämlich das Anwenden von Richtlinien. So kann ich bestimmten Umgebungen untersagen, dass sie sich z.B. nicht per Flow mit Salesforce oder Box verbinden können.

Flow Datengruppen

Teil einer Richtlinie sind auch Berechtigungseinstellungen. Also bestimmte Rollen, aber auch einzelne Rechte, die Nutzer haben können, ähnlich wie wir es aus SharePoint kennen.

Flow Berechtigungen

Mit diesen Richtlinien habe ich also einerseits die Möglichkeit, bestimmte Dienste nicht zur Verfügung zu stellen und andererseits kann ich granulare Rechte und Rollen vergeben, um Nutzer bei der Erstellung von Flows etwas einzuschränken. Dies ist sehr sinnvoll, um meine Unternehmensdaten zu sichern und damit sie nicht ungewollt per Flow in den unzähligen verschiedenen anderen Diensten erzeugt werden.

Auch wenn Microsoft Flow aktuell bereits sehr gut funktioniert und wichtige Konfigurationen bietet, so ersetzt es meiner Ansicht nach noch nicht den Funktionsumfang der etablierten Workflow-Anbieter. Wir können aber gespannt sein, was da noch auf uns zukommt!

Happy „SharePointing“!

 Zur O365Adventskalender Übersicht

Office 365 Groups

14. Türchen

Seit wenigen Monaten hat Microsoft die Office 365 Groups eingeführt. Grund genug, dass wir uns diese im Rahmen des O365Adventskalenders genauer anschauen.

Im Prinzip sind die Groups eine Gruppierung der Microsoft Produkte, die man mit O365 nutzen kann. Ziel ist aber natürlich, Freunde und Kollegen zu gruppieren, damit sie effizienter gemeinsam an Projekten und anderen Aufgaben arbeiten können. Dafür packt Microsoft gleich einen Blumenstrauß an Funktionen in eine O365 Group. Wenn ich euch nun aufzähle, von wo wir überall eine Group erstellen können, dann wird schnell klar, was alles zu einer Group dazu gehört. Also, von wo aus kann ich eine Gruppe erstellen:

  1. O365 Administration Portal unter Groups
  2. Outlook Web Client und Outlook Client unter „New Item“ oder Rechtsklick auf die Gruppe
  3. People (und eigentlich bei allen Office Anwendung mit entsprechender linker Spalte, siehe erster Screenshot)
  4. SharePoint Sites
  5. Planner

In Anlehnung an diese Aufzählung sehen wir also, dass wir für die berechtigten und eingetragenen Nutzer (O365 Administration) einen eigenen Ort mit eigener Groups-Email-Adresse (Outlook) bekommen, um Diskussionen innerhalb dieser Gruppe zu führen. Weiterhin erhalten wir einen Gruppen-Kalender (Office Kalender) und können Dateien hochladen und teilen (SharePoint).

01-groups

Darüber hinaus haben wir ein gemeinsames Notebook sowie Planner für Aufgaben ist integriert und sogar eine komplett eigene SharePoint Site Collection (wenn SharePoint im O365 Plan enthalten ist) wird pro Gruppe angelegt. Und wem das alles noch nicht reicht, der kann die Gruppe mit noch weiteren Programmen verbinden unter „Connectors“, wo wir beispielsweise Wunderlist, JIRA oder Twitter finden.

02-groups

Eine Verknüpfung mit Twitter, um Tweets bestimmter Nutzer oder #-Themen in die Gruppe zu intergieren geht wirklich super einfach, indem man einfach nur einen Twitter Account verlinkt. (Es ist fast schon zu einfach) 😉

03-groups

Zu guter letzt ist natürlich auch noch Skype integriert, damit man direkt in der Gruppe mit Mitgliedern chatten kann.

04-groupsBeim Erstellen einer neuen Gruppe ist das User Interface – zumindest vom Inhalt – identisch, egal von wo man kommt. Dies verdeutlicht, dass man wirklich immer eine O365 Group bekommt, egal von wo man sie beantragt. Im ersten Schritt vergibt man dabei einen Gruppennamen, sowie eine interne Gruppen-ID, welches dann auch gleich die Email-Adresse ist. Außerdem kann man entscheiden, ob die Gruppe öffentlich innerhalb des Unternehmens sein soll oder nur Mitglieder der Gruppe diese sehen können. Im zweiten Schritt kann man optional direkt Mitglieder in die Gruppe einladen.

Erstellung im Outlook Client:

05-groups   06-groups

07-groups

Erstellung im Office 365 Admin Center:

08-groups

Erstellung im Outlook Web:

09-groups

Erstellung über SharePoint Seiten:

11-groups

All das ist aus meiner Sicht sehr selbst erklärend. Auch wenn eine Gruppe erstellt ist, sind die Optionen einfach und schlicht. Ich erreiche meine Gruppen aus den verschiedenen Programmen, weil sie dort aufgelistet sind. Innerhalb der Gruppen ist auf dem ersten Screenshot schön zu sehen, dass es einen kleinen Trennstrich gibt, der die verfügbaren Programme in zwei Gruppen teilt. Alles links des Strichs öffnet sich direkt im Gruppenfenster. Alles rechts macht einen neuen Tab auf, weil dies noch nicht so gut in die Gruppenansicht integriert werden konnte.

33-groups

Weitere Optionen zur Gruppe finde ich einerseits mit einem Klick auf den Titel:

12-groups

Weitere Optionen, um z.B. auch das Logo der Gruppe zu ändern, gibt es mit einem Klick auf das Einstellungszahnrad:

13-groups

Um eine Gruppe wieder löschen zu können, müssen wir über obige Einstellungen navigieren und dann die Gruppe editieren. Auf der einfliegenden Editierungsfläche finden wir dann ganz unten den Link zum Löschen.

Viel mehr kann man aber zu den Groups nicht sagen. Da ihr ja bereits wisst, was Outlook, OneNote, SharePoint, Skype, etc. kann. Die Integratin all dieser Produkte ist eines – Groups – ist selbsterklärend, einfach und zusätzlich in fast jeden Ort in Office 365 intergiert. Ich habe mich sehr schnell zurechtgefunden und es funktionierte alles wirklich reibungslos.

Auch von der Windows Mobile App bin ich sehr überzeugt. Diese bietet wirklich viele Funktionen, um auch in den Groups von unterwegs auf dem Laufenden zu bleiben. Beim Öffnen sehe ich sofort alle Groups, die ich abonniert habe und beim Klicken auf einer sehe ich die letzten Aktivitäten und kann per Chatnachricht direkt darauf antworten, wenn ich möchte.

14-groups   15-groups

Dabei kann ich auch Dateien hochladen und habe auch von der App aus Zugriff auf diese Dateien.

16-groups   17-groups

Ebenso einfach kann ich neue Gruppentermine und Aufgaben einstellen sowie zuweisen. Werden von anderen Personen Aufgaben oder Termine erstellt, dann kann ich diesem auch in der App direkt zustimmen und sie in meinem Kalender speichern.

18-groups   19-groups

Für mich würde da aktuell nichts fehlen und ich könnte wirklich gut damit auch von unterwegs arbeiten. Nur eine Kleinigkeit vielleicht. Geteilte Dateien kann ich nur als Kopie herunterladen und dann bearbeiten. Dies ist in der nativen SharePoint App besser umgesetzt, weil ich da bereits direkt die Office Anwendungen verknüpft habe und so noch einfacher von unterwegs an Dokumenten arbeiten kann.

Aus Sicht der Administratoren, wie wir, gibt es aktuell noch nicht viel, das wir für die Office 365 Groups beeinflussen können. Nur auf zwei Punkte möchte ich für Administratoren hinweisen:

  1. O365 Groups Site Collections werden unter dem selben Managed Path angelegt (/sites/) wie eure anderen Site Collections, die ihr über die SharePoint Administration verwalten könnt (siehe 12. O365Adventskalender Türchen) Allerdings tauchen die Site Collections der O365 Groups dort nicht auf. Daher scheint Quota und Storage ja fast schon egal zu sein. Was ist aber mit einem Backup, denn das Löschen geht echt flott und nativ gibt es derzeit keine Möglichkeit, diese Informationen wiederherzustellen. Drittanbieter Software kann hier aber bereits helfen.
  2. Um O365 Groups überhaupt nutzen zu können, müssen Tenant Administratoren diesen Service zuvor im Admin Center freischalten.
    20-groups
    Dort können wir auch bestimmen, ob Inhalte der Gruppe auch von eingeladenen Externen gesehen werden können oder nur Dateien, die direkt mit ihnen geteilt wurden. Außerdem können Administratoren einstellen, ob überhaupt Externe in Gruppen eingeladen werden können.
    21-groups

Das soll es aber auch schon gewesen sein. Wie und wofür setzt ihr O365 Groups ein? Ich freue mich über eure Kommentare.

Happy „SharePointing“!

SharePoint zu O365 Migration

11. Türchen

Unsere FileShare Daten haben wir schon in der Cloud. Gestern haben wir mit dem eDiscovery Workaround versucht, unseren SharePoint und die darin gespeicherten Daten etwas besser zu verstehen. Mit dem heutigen Beitrag, wie wir mit PowerShell unseren SharePoint nach Office 365 migrieren, finden wir das letzte Puzzle-Teil, um Daten mit nativen Mitteln in die Cloud zu bekommen. Grundsätzlich muss man dann also das große Projekt Office 365 Migration nicht mehr länger vor sich her schieben.

Bevor es aber losgeht, müssen wir bei der SharePoint Migration über die High Speed Migration API noch ein paar Dinge beachten:

  1. Das größte mögliche Migrationspaket kann maximal eine Dokumentenbibliothek (inkl. Ordnerstruktur) umschließen. Eine Site Collection und/oder Subseiten Struktur muss ich also zuvor manuell nachbauen
  2. Die Migration wird nur für SharePoint 2013 und 2016 unterstützt
  3. Bibliotheken und Datenvolumen mit mehr als 15 GB sind nicht möglich
  4. Anpassungen (Solutions, Vorlagen, Apps, etc.) sind auch nicht möglich
  5. die Limits bei der FileShare Migration kommen auch noch dazu

Ansonsten läuft der Prozess identisch zur FileShare Migration ab. Nur ganz wenige PowerShell Befehle unterscheiden sich. Fassen wir das ganze also kurz zusammen.

Voraussetzungen:

  1. Microsoft Azure Login Assistent und PowerShell Module installieren
  2. SharePoint Online PowerShell Modul installieren und laden
  3. Azure Speicherkonto
  4. O365 Tenant mit Administrator-Konto – logisch
  5. Azure Storage Explorer als netter Zusatz für das Überwachen des Prozesses

Ablauf der SharePoint Online Migration:

1. Verbindung zu O365 herstellen

  • $Creds = Get-Credentials
  • Import-Module Microsoft.Online.SharePoint.PowerShell -ErrorAction SilentlyContinue
  • Connect-SPOService -Credential $Creds -Url https://yourdomain-admin.sharepoint.com

2. Migrationspaket erstellen

Add-PSSnaping Microsoft.SharePoint.PowerShell

  • $QuellPfad„\\Server\C`$\SP-O365-Migration“
  • $QuellPaketPfad = „\\Server\C`$\SP-O365-Migration\Quellpaket“
  • $ZielPaketPfad = „\\Server\C`$\SP-O36-5Migration\Zielpaket“
  • $Zielweburl = „https://yourdomain.sharepoint.com/sites/yoursite“
  • $Zielbibliothek = „SharePointMigration“
  • #$OptionalZielOrdner = „OnlineMigration“

Export-SPWeb -Identity „http://onpremwebapp/sites/Sitename“ -ItemUrl „Quellbibliothek“

3. Migrationspaket konvertieren

  • ConvertTo-SPOMigrationTargetedPackage -SourceFilesPath $QuellPfad -SourcePackagePath $QuellPaketPfad -OutputPackagePath $ZielPaketPfad -TargetWebUrl $Zielweburl -TargetDocumentLibraryPath $Zielbibliothek -TargetDocumentLibrarySubFolderPath $ZielOrdner -Credentials $Creds

4. Paket zum Azure Storage hochladen

  • $PayloadContainer = „sharepointpayload“
  • $PaketContainer = „sharepointpaketcontainer“
  • $AzureWarteschleife = „sharepointupload“
  • $azureKontoame = „robtheninja“
  • $AzureStorageKey = „hierdeinazurekey==“
  • $SPUpload = Set-SPOMigrationPackageAzureSource –SourceFilesPath $QuellPfad –SourcepackagePath $ZielPaketPfad –FileContainerName $PayloadContainer –PackageContainerName $PaketContainer –AzureQueueName $AzureWarteschleife –AccountName $AzureKontoName -AccountKey $AzureStorageKey

5. Migration starten

  • Submit-SPOMigrationJob –TargetwebUrl $Zielweburl –MigrationPackageAzureLocations $SPUpload –Credentials $Creds

Wir sehen, den einzigen Unterschied zwischen FileShare und SharePoint Migration über die HSM API finden wir in Punkt zwei, nämlich einerseits das Laden der SharePoint On-Premises PowerShell Befehle (Add-PSSnapin) und andererseits wie das Paket erzeugt wird (Export-SPWeb). Diese beiden Befehle habe ich aus der Aufzählung raus genommen und zentriert, um deutlich zu machen, dass dies tatsächlich der einzige Unterschied zur FileShare Migration ist. Der Rest ist identisch (sofern ihr mit Variablen arbeitet). Übrigens, bei dem SharePoint Export-Befehl können wir auch die gewohnten Switches verwenden, wie z.B. „IncludeVersions 4“.

Wie hat es bei euch mit der Migration geklappt geklappt? Lasst es mich wissen. Ich hoffe genauso unkompliziert, wie bei mir.

Happy „SharePointing“!

Zur O365Adventskalender Übersicht