Archiv der Kategorie: Information

Microsoft Teams – Die spannendsten Fragen und Antworten

Am 25.01.2017 habe ich zusammen mit Ragnar von Microsoft und MVP Samuel ein Webinar zu Microsoft Teams gemacht. Viele spannende Fragen wurden gestellt, die wir nicht alle in der Zeit beantworten konnten. Wir haben dann noch einmal alle Fragen und Antworten zusammengefasst.

All diese Informationen findet ihr in meinem Partner-Blog bei AvePoint:
https://www.avepoint.com/blog/technical-blog/microsoft-teams-die-wichtigsten-fragen-aus-dem-webinar

Weiterhin habe ich euch einmal die wichtigsten Quellen und Resourcen zu Microsoft Teams hier zusammen getragen.

Weitere Quellen und Informationen

 

Office 365 Groups Governance – Teil 1

Microsoft hat mit den Office 365 Groups einen neuen Meilenstein in der Kollaboration gesetzt. Mit den verfügbaren Gruppeneinstellungen können wir zudem Strukturen und Richtlinien durchsetzen, um die Inhalte der Gruppen vor unerlaubten Zugriffen zu schützen. Aber die Standardwerte dieser Einstellungen sind überhaupt nicht geeignet für eine stake Governance.

Im 14. Türchen meines #O365Adventskalenders habe ich nämlich bereits erklärt, was alles mit Office 365 Groups möglich ist und dass wir eine neue Gruppe von fast überall erstellen können. In Zukunft soll außerdem fast alles eine Gruppe mit SharePoint als zentrales Daten-Repository sein. Wenn wir uns dabei auf die Standardeinstellungen verlassen, die für alle Office 365 Groups gelten, dann versinken wir schnell im Gruppen-Chaos und sensible Daten sind nicht mehr ausreichend geschützt. Die Standardwerte, die für eine starke Unternehmens-Governance alles andere als Standard sein sollten, schauen wir uns nun an.

  1. Groups-Limit

Jeder einzelne Nutzer kann bis zu 250 Groups erstellen. Für O365 Administratoren gibt es kein Limit. Aber im gesamten Tenant ist die maximale Anzahl an Groups derzeit auf 500.000 beschränkt. Ein Limit, dass man mit den Standardeinstellungen schnell erreichen kann, wenn Mitarbeitern einfach mal mit den Groups experimentieren. Denn selbst wenn ich nur einen neuen Plan in Planner erstelle, wird im Hintergrund eine neue Gruppe angelegt.

  1. Öffentlich oder Privat

Im Dialog zum Erstellen einer Gruppe kann man entscheiden, ob die Gruppe „Öffentlich“ oder „Privat“ sein soll. Standardmäßig ist „Öffentlich“ ausgewählt, was bedeutet, dass auch automatisch alle Nutzer des gesamten Tenants darauf berechtigt werden. Dies kann beim Erstellen natürlich einfach umgestellt werden, aber wie häufig werden wohl Mitarbeiter dies vergessen, wenn man es nicht standardmäßig auf „Privat“ umstellen oder sogar zentral festlegen kann…?

Natürlich sagt Microsoft, dass die Daten sicher sind und keiner Zugriff hat und jeder Mitarbeiter nur die Daten sieht, die er sehen soll. Das ist grundsätzlich richtig, aber dieses Konzept basiert auf den SharePoint-Berechtigungen und wenn grundsätzlich erst einmal jeder auf eine Gruppe berechtigt ist, dann kann auch jeder sehen, welche Daten sich darin befinden und diese öffnen.

  1. Berechtigungen

Wenn also nun alle Nutzer eines Tenants auf eine neue öffentliche Gruppe berechtigt werden, bekommen sie auch gleichzeitig Editierungsrechte auf die dazugehörige Site Collection und können Dokumente bearbeiten – ALLE! Mitglieder in der Owner-Gruppe einer O365 Group werden sogar Administratoren. Das bedeutet, sie haben Zugriff auf all die umfangreichen und einflussreichen Funktionen, wie z.B. Audit Logs, Site Collection Features oder auch das Löschen der SC. Wollen wir das? Direkt in SharePoint gehen wir schließlich auch sehr sorgsam mit dieser Berechtigungsrolle um.

  1. Berechtigungen teilen

Selbst wenn eine Gruppe nicht öffentlich ist, so haben dennoch alle Teilnehmer einer Gruppe das Recht direkt weitere Mitarbeiter einzuladen – sogar an externe Mitarbeiter, wenn dies grundsätzlich pro Tenant so eingestellt ist. Was passiert also mit der Kontrolle über meine vertraulichen Daten, die ich vermutlich auch in Gruppen teilen und daran arbeiten möchte?

  1. Zusammenarbeit mit Externen

Eine weitere Gruppen-Standardeinstellung ist die Möglichkeit, dass Nutzer eine Gruppe mit externen Mitarbeitern teilen können, die bereits im Unternehmensverzeichnis gelistet sind. Das bedeutet, dass Externe mit einem O365-Konto dieses Tenants als Interne betrachtet werden und diese können damit weiterhin berechtigt werden – selbst wenn das Teilen mit Externen abgeschaltet ist.

  1. Speicherplatz

Im #O365Adventskalender habe ich außerdem erklärt, dass die SharePoint Site Collections der Groups nicht im User Interface der O365 SharePoint Administration auftauchen und damit nicht von dort verwaltet werden können. Und standardmäßig gibt es selbstverständlich keine Speicherplatzbegrenzung. So kann auch schnell der verfügbare SharePoint Speicherplatz meines Tenants aufgebraucht sein – besonders in Bezug auf Punkt 1.

Wenn wir diese Standardeinstellungen nun noch einmal durchdenken, dann sollten die Alarmglocken läuten in Bezug auf

I.
Chaos unzähliger Groups
II.
Unkontrollierter Zugriff für Interne und Externe auf Groups-Inhalte
III.
Schneller Verbrauch des verfügbaren Tenant-Speicherplatzes

Aus diesem Grund ist es ratsam, Richtlinien zu konfigurieren, um als Administrator wieder die Kontrolle über die Office 365 Groups zu erlangen. Nicht alles ist mit nativen Mitteln konfigurierbar, aber die Möglichkeiten, die es gibt, sollten wir nutzen.

Um Punkt 1 zu adressieren, können wir auf Anfrage bei Microsoft das Gruppenlimit hoch setzen lassen. Den Standardwert beim Status einer Gruppe, also ob öffentlich oder privat, können wir jedoch leider nicht konfigurieren. Und für die Punkte 3 bis 6 können wir aber folgende Lösungen finden.

I.
Chaos unzähliger Groups

Einschränkung der Gruppenersteller:

Ein dringend empfohlener Ansatz, um Problem I anzugehen, ist das Einschränken der Rechte sodass nicht jeder Mitarbeiter Gruppen erstellen kann. Dies kann man mit einer neuen Gruppenkonfiguration sowie einer zusätzlichen Sicherheitsgruppe erzielen. Diese und alle anderen Einstellungen sind ausschließlich über PowerShell konfigurierbar. Wie man dies realisiert, zeige ich euch in Teil zwei zur O365 Groups Governance.

Frage: Wenn ich die Gruppenerstellung nur für eine bestimmte Sicherheitsgruppe zulasse, muss ich dann auch Administratoren hinzufügen, damit sie Office 365 Groups erstellen können?

Antwort: Jein! Warum so ungenau? Weil jede Firma unter dem „Administrator“ eine andere Rolle versteht und es auch in Office 365 verschiedene Administrator-Rollen gibt, die weiterhin Gruppen erstellen können. Folgende Built-In Rollen können unabhängig von den Einstellungen in der Gruppenvorlage oder dem globalen Abschalten der Gruppen weiterhin Office 365 Groups erstellen:

  • Global Admins
  • User Management Admins
  • Mailbox Administrator
  • Partner Tier1 Support
  • Partner Tier2 Support
  • Directory Writers

Dies ist dann weiterhin im O365 Admin Center sowie beim Anlegen einer SharePoint Site Collection möglich. Allerdings nicht mehr über Planner oder aus der Mail oder People Ansicht heraus!

Klassifizierung:

Um weiterhin einen besseren Überblick über alle Gruppen zu bekommen, so kann ich eine Liste von Schlüsselwörtern definieren, aus denen der Gruppenersteller auswählen kann und somit zu den Eigenschaften einer Gruppe hinzugefügt werden. Das Ersteller einer solchen „Classification List“ in PowerShell zeige ich euch ebenfalls in Teil 2.

O365 Groups Governance KlassifizierungAber Achtung, obwohl es die Office 365 Groups schon relativ lange gibt, sind noch nicht alle Einstellungen voll ausgereift. So kann ich in diesem Fall die Schlüsselwörter zur Klassifizierung der Gruppe nur beim Erstellen über SharePoint auswählen. Bei allen anderen Einstiegspunkten über das User Interface ist dieses Auswahlfeld nicht verfügbar.

Namenskonventionen:

Neben der Klassifizierung kann ich auch Namenskonventionen mit Pre- und Suffixen vorgeben. Damit können wir mehr Struktur in unseren Gruppennamen bringen. Mehrere Pre- und/oder Suffixe können vergeben werden. Dabei können wir entweder selber per Freitext Wörter eingeben oder aber auch automatisch Attribute aus dem Konto des Benutzers, der die Gruppe erstellt, auslesen und eintragen lassen.

O365 Groups Governance Namenskonvention

Aber Achtung, auch hier finden die Konventionen nur Anwendung bei Erstellung über das O365 Admin Center, in der Mails oder People-Ansicht. Über SharePoint und Planner werden keine konfigurierten Pre- oder Suffixe hinzugefügt.

Zusätzlich zu Pre- oder Suffixen können wir Wörter in eine „Black List“ eintragen. Diese dürfen dann nicht für einen Gruppennamen verwendet werden und der Benutzer bekommt einen entsprechenden Dialog angezeigt, wenn er es dennoch versucht.

O365 Groups Governance Namenskonvention DialogÜberwachung:

Um weiterhin einen Überblick über alle Gruppen zu haben, empfehle ich die zentrale Gruppenübersicht im Office 365 Admin Center. Von dort aus kann ich die Gruppen auch verwalten und löschen. Ich empfehle diese Ansicht deswegen, weil

a) in der SharePoint Administration die Site Collections nicht auftauchen,
b) in der Exchange Administration nicht die Gruppen angezeigt werden, die vom Planner oder SharePoint kommen und
c) die Ansicht in SharePoint schnell unübersichtlich wird bei vielen Gruppen.

Daher ist die zentrale Gruppenansicht meiner Meinung nach für Tenant-Administratoren die beste Lösung.

II.
Unkontrollierter Zugriff für Interne und Externe auf Groups-Inhalte

Berechtigungen einschränken:

Für Problem II, also die Berechtigungen und das Teilen mit Internen und Externen Mitarbeitern, gibt es auch ein paar PowerShell Konfigurationen und Workarounds in SharePoint. Für die O365 Gruppen Vorlage stehen uns dafür folgende Eigenschaften zur Verfügung:

  • AllowGuestsToBeOwner
  • AllowGuestsToAccessGroups
  • AllowToAddGuests

Das Schöne an diesen zentralen Einstellungen an der Vorlage ist, dass die Werte dann für alle neu erstellten Gruppen angewendet werden. Wenn wir dabei speziell diese drei Eigenschaften abschalten, haben wir schon viel erreicht in Bezug auf das Teilen von Gruppen und Hinzufügen von weiteren Mitgliedern. Weiterhin können wir noch URLs hinterlegen, in denen die Regeln und Richtlinien von Gruppen erläutert werden, um so eine gewisse Aufmerksamkeit der Nutzer für Gruppenrichtlinien zu schaffen.

  • GuestUsageGuidelinesUrl
  • UsageGuidelinesUrl

In Bezug auf die Berechtigungen bereits existierender Mitglieder in Groups, da kann ich nur über den unschönen manuellen Weg gehen, dass ich den Nutzern entsprechende Rechte in der SharePoint Site Collection wieder nehme. Ein PowerShell Skript kann dies zwar automatisieren, aber es ist und bleibt ein Workaround, weil ich die Berechtigungen nicht bereits beim Erstellen einer neuen Gruppen definieren und einschränken kann.

III.
Schneller Verbrauch des verfügbaren Tenant-Speicherplatzes

Speicherplatz einschränken:

Das letzte Problem III bekommen wir einfach in den Griff, indem wir über PowerShell den Gruppen Site Collections ein Quota Limit hinzufügen, wie wir es bereits gewohnt sind bei „normalen“ Site Collections. Genauer zeige ich auch dies im zweiten Teil. Allerdings darf ich für diese Funktion nicht den „Pooled Storage“ im Tenant für SharePoint aktiviert haben, damit ich die Quotas manuell konfigurieren kann. (siehe auch 12. #O365Adventskalender Türchen)

Auch wenn dies eine gute und einfache Möglichkeit ist, das Datenwachstum in Gruppen einzuschränken, so ist auch diese Lösung dennoch nur ein Workaround, wie schon bei den Berechtigungen beschrieben, weil es ein manueller nachträglicher Schritt ist.

 

Zusammenfassend können wir sagen, dass viele O365 Groups Standardwerte nicht gut für eine starke Unternehmens-Governance ist. Dafür haben wir ein paar gute Ansätze, um die O365 Groups Vorlagen anzupassen und so Eigenschaften gemäß unserer Richtlinien zu konfigurieren. Dies ist bereits nicht schlecht, wird aber komplexen Governance Anforderungen nicht gerecht. Zudem gibt es noch einige Einschränkungen und „Ungereimtheiten“ bei der Anwendung konfigurierter Gruppeneigenschaften (siehe Namenskonventionen und Klassifizierung). Microsoft entwickelt hier aber stets weiter. Ihr könnt euch auf der Roadmap informieren, was für die Office 365 Groups Governance geplant ist.

Alternativ gibt es bereits O365 Governance Lösungen am Markt, die selbst herausfordernden Anforderungen gerecht werden und oben beschriebene Probleme zu 100% in den Griff bekommt und sogar noch zusätzliche Backup und LifeCycle Funktionen integrieren. Ich empfehle sich da schlau zu machen, damit wir ohne Sicherheitssorgen die Vorteile von Office 365 Groups voll ausschöpfen können.

Happy „SharePointing“!

 

Weitere Quellen:

 

Office 365 Tipps und Tricks für Administratoren

24. Türchen

Fröhlichen 24. Dezember! 🙂 Wir haben ja nun unseren Tenant mit Daten und Emailkonten befüllt. Weiterhin haben wir uns einen bunten Blumenstrauß an Produkten unseres Office 365 Tenants angeschaut und diese entsprechend konfiguriert. Wir sind nun also wirklich bereit, mit unserer Firma in der Microsoft Cloud live zu gehen. Wirklich? Ist es tatsächlich schon so weit? Irgendwie fehlt uns noch das Branding und der ein oder andere schnelle Tipp für z.B. die Nutzerverwaltung, damit unser Tenant nach unsere Firma aussieht und wir ihn optimal verwalten können.

Office 365 Tipps und Tricks

Dies und ein paar weitere Kniffe verraten uns Tom Werner, Kate Follis und Nino Bilic in ihrem Vortrag von der diesjährigen Microsoft Ignite Konferenz. Damit können wir das Maximum aus unserem Office 365 Portal herauszuholen. Im Prinzip war der Vortrag fast nur eine reine Live Demo, in der wir gesehen haben, wo was zu klicken ist. Es ist also ein entspannter Beitrag für den 24. Dezember und damit das letzte O365Adventskalender Türchen. Aber es sind auch echt ein paar coole Tipps, welche die Administrator-Augen leuchten lassen. Und genau das soll ja auch zu Weihnachten passieren. 😉

Ich habe euch dafür nun die verschiedenen Tipps aufgelistet und ab welchen Zeitpunkt ihr dafür einsteigen könnt. Den Link für das Video findet ihr darunter.

Tipp

Thema

Zeit

1

Company Branding

  • Navigation Bar einfärben + Logo + App Launcher
  • App Launcher Kacheln hinzufügen
  • Branded Help Desk Karte
  • Company Portal
  • Sign-in Seite
  • Website Sign-In (von GoDaddy Beispiel)
 

02:10
03:20
04:50
05:40
07:00
09:00

2

Office 365 Erweiterte Benutzerverwaltung

  • Bulk-Aktionen und Filter
  • Erstellen nicht-lizensierter Benutzer
  • Self-Service Passwort Richtlinie
  • Universal App
 

14:00
16:00
17:50
21:00

3

Email und Kollaborations-Management

  • Rooms vs. Equipment
  • O365 Group Privacy Umstellung
  • Email Weiterleitung
  • Kein OOF Notiz mehr für Shared Mailboxes
  • Email Programme verwalten
  • Zentraler „Gesendet“ Ordner für Shared Mailbox
 

22:45
24:30
25:30
27:30
29:30
31:00

4

„Advanced Tricks“

  • Integrated Scripting Environment (PowerShell ISE)
  • Attribute im PowerShell Output nicht mehr abschneiden

34:00
34:45

5

Message Center, um auf dem Laufenden zu bleiben

36:00

MyIgnite:
https://myignite.microsoft.com/videos/1263

oder YouTube:
https://www.youtube.com/watch?v=fGfmaHK04Vk

Das ganze Video geht knapp 44 Minuten und ab Minute 38 werden „nur“ noch Publikums-Fragen beantwortet. Das ganz geht also fix und hat eine echt hohe Informationsdichte.

Damit möchte ich den O365Adventskalender nun schließen und hoffe, ich konnte euch die Wartezeit auf Weihnachten etwas verkürzen, nützliche Tipps für Office 365 geben und generell etwas die Zweifel vor der Cloud nehmen. Ich freue mich über Kommentare und auch Wünsche, worüber ihr gern mehr erfahren möchtet.

Und wenn wir gerade schon bei Wünschen sind, dann wünsche ich euch nun ein frohes und besinnliches Weihnachtsfest im Kreise eurer Liebsten mit leckerem Essen und vielen Geschenken! Rutscht anschließend gut ins neue Jahr, in dem wir uns dann wieder sehen.

Alles Gute und Happy „SharePointing“!

O365Adventskalender

Zur O365Adventskalender Übersicht

Skype for Bsuiness in Office 365

23. Türchen

In den letzten Tagen haben wir eine Menge Tools aus Office 365 kennengelernt und wer sich auskennt, der weiß, dass eigentlich nur noch ein wesentliches Produkt übrig ist. Also wollen wir uns im vorletzten Beitrag diesem Tool widmen: Skype for Business oder kurz S4B.

Das frühere Lync, das für die Kommunikation innerhalb von Firmen genutzt wurde, ist mit Skype, das wiederum für private Personen gedacht war und von Microsoft im Mai 2011 für 8,5 Milliarden Dollar aufgekauft wurde, mittlerweile verschmolzen. Somit kann ich auch mit S4B private Konten anrufen und umgekehrt – wenn ich das denn möchte.

Lync bzw. nun Skype for Business war immer alles andere als einfach zu konfigurieren. Besonders, wenn man per VoIP auch Festnetz- und Handynummern anrufen wollte. Auch dies ist ein weiterer Vorteil der Office 365 Cloud: Skype ist einfach da und funktioniert. Ein paar interessante Dinge kann und sollte der Administrator aber im S4B Admin Center konfigurieren.

Organization:

Hier kann ich einerseits konfigurieren, ob der aktuelle Verfügbarkeits-Status der Mitarbeiter generell angezeigt werden soll oder nur für Nutzer in der Kontaktliste. Andererseits kann ich auch einstellen, ob Nutzer, die sich mit einem Mobiltelefon angemeldet haben, auch Push-Notifications erhalten sollen, also eine Nachricht bekommen, sobald sie über S4B kontaktiert werden. Ich persönlich finde diese Einstellung so ganz gut, weil ich so einerseits gleich weiß, ob man jemanden „stören“ kann und andererseits bemerke ich unterwegs, ob mich jemand kontaktieren möchte. Dies ist sicherlich förderlich für die Zusammenarbeit.

O365 Skype For Business Organization

Eine besonders nützliche Funktion ist aber die sogenannte „Federation“, also dass man auch mit Kollegen außerhalb des Unternehmensnetzwerkes chatten oder telefonieren kann. Besonders für mich, weil ich oft mit verschiedenen Firmen in Kontakt bin, ist das ein riesen Mehrwert. Ich merke deutlich, dass die Zusammenarbeit mit Firmen, die diese Funktion auch aktiviert haben, deutlich einfacher, schneller und unkomplizierter funktioniert, also mit denen ohne diese Funktion. Also dringende Empfehlung, wenn ihr mit Externen oder Partnern arbeitet, dass ihr dieses Feature nutzt.

O365 Skype For Business Federation

Ihr dürft aber auch gern zusätzlich geblockte oder erlaubte Domains hinzufügen, um die Sicherheit zu erhöhen und nicht jedem den Verfügbarkeitsstatus anzeigen. Wenn ihr möchtet, könnt ihr dies sogar pro Nutzer anpassen. Also einfach den Nutzer im S4B Admin Center auswählen und mit einem Klick auf dieses Stift-Symbol gelangt ihr dann in folgende Ansicht:

O365 Skype For Business User configuration

 

Dial-In Conferencing:

Ich hoffe, ihr habt euch im 3. Kalendertürchen für einen E5 plan entschieden, denn dann könnt ihr auch diese Funktion konfigurieren und nutzen. Das Dial-In bzw. PSTN (Public Switched Telephone Network) Conferencing bedeutet nämlich, dass sich Teilnehmer einer Telefonkonferenz auch ganz normal mit einem Festnetztelefon oder Handy einwählen können. Ein für mich noch größerer Vorteil ist aber, dass ich jedem Kollegen auch eine eigene Festnetznummer zuweisen kann, um über S4B auch normale (internationale) Anrufe führen zu können oder über eine normale Telefonnummer angerufen werden kann. Damit erspare ich mir auch andere Telefonanbieter und Microsoft packt sogar noch ein paar gebührenfreie Nummern für die Konferenzbesprechungen oben drauf.

Sehr schön ist die Konfiguration des PSTN Conferencing mit einer Schritt-für-Schritt Anleitung im folgenden Blog erläuert:

https://blogs.technet.microsoft.com/skypehybridguy/2016/01/30/cloud-pbx-modern-voice-pstn-calling-in-office365-2/

Wenn ihr den E5 plan habt, erhaltet ihr außerdem im S4B Admin Center eine weitere Kategorie, und zwar Voice. Darunter könnt ihr beispielsweise den Nutzern die angesprochene Telefonnummer zuzuweisen.

 

Online Meetings:

In der Kategorie Online Meetings könnt ihr ein paar Anpassungen vornehmen, wie und was bei einer Konferenzeinladung mit S4B angezeigt werden soll. Das ist nett, aber nichts Besonderes.

O365 Skype For Business Online Meetings

Viel spannender finde ich unter diesem Punkt aber den Reiter „Broadcast Meetings“. Das ist ein neues Feature, um Konferenzen mit bis zu 10.000 Teilnehmern abhalten zu können. Die normalen Skype for Business Limits liegen nämlich bei 250 Teilnehmer. Zugegeben, für die meisten Anwendungsfälle wird dieses Limit reichen, aber bei größeren Abteilungstreffen oder gar einer ganzen Firma (z.B. Keynote oder „Townhall Meetings“) kann dann schon schnell „Feierabend“ sein mit den Standard-Grenzwerten. Daher finde ich es super, dass diese Funktion Teil von Office 365 ist und wir somit von Microsoft immer mehr Argumente bekommen, Firmen von den Vorteilen der Cloud zu überzeugen.

O365 Skype For Business Broadcasting

 

Tools und Reports:

Unter den Tools finden wir ein paar Analysewerkzeuge, um die interne und externe Verbindungsqualität zu testen sowie ein paar weiterführende Links zum Troubleshooting oder Konfigurieren.

Die Reports zeigen an, welche Konferenzen wann geführt wurden. Diese Funktion befindet sich jedoch noch in der Preview Phase und spätestens in Deutschland wird sie auch wieder den einen oder anderen Betriebsrat auf den Plan rufen.

O365 Skype For Business Reports

Wenn ich nun die Anforderungen und Konfigurationen für S4B in Office 365 mit einem On-Premises Deployment vergleiche, dann wird deutlich, welchen großen Mehrwert die Microsoft Cloud vor allem für kleine und mittelständische Firmen bietet – nämlich die Einfachheit bei der Konfiguration bei selbst komplexen Microsoft Produkten wie Skype for Business. Für größere Unternehmungen sind zudem Funktionen wie das Broadcast Meeting für bis zu 10.000 Teilnehmer extrem attraktiv.

Office 365 ist also mittlerweile ein wirklich sehr gut gereiftes Produkt und bietet eine breite Palette an Funktionen für verschiedenste Kundenanforderungen. Und es kommen stets neue Funktionen dazu, weil die Plattform regelmäßig mit Sicherheits- und Feature-Updates aktualisiert wird. Habt ihr dennoch Bedenken? Falls ja, lasst es ich wissen!

Happy „SharePointing“!

 Zur O365Adventskalender Übersicht

Exchange Online Compliance und Archive

22. Türchen

Mit dem heutigen O365 Adventskalender Türchen schauen wir uns noch ein zweites Exchange Thema an, das meiner Meinung nach nicht so selbst erklärend ist, wie die anderen Konfigurationen. Und zwar geht es dabei um das Compliance Management.

Exchange Online Compliance

In-Place eDiscovery:

Die eDiscovery ist in Europa und speziell Deutschland weniger bekannt und genutzt. Hauptsächlich geht es mit dieser Funktion um die Identifizierung und Bereitstellung von elektronischen Informationen, die in Rechtsfällen als Beweismaterial verwendet werden können. Ich denke, es erklärt sich von selbst, dass die Funktion ursprünglich eine Anforderung aus den USA war. 😉 Da Firmen aber immer größer werden und global agieren, kann diese Funktion auch für europäische und deutsche Unternehmen sehr interessant sein. Daher schauen wir uns schnell an, wie wir uns eine eDiscovery-Suche erstellen.

Exchange Online Compliance eDiscovery

Es läuft ähnlich, wie auch gestern bei den Malware und Spam Filtern. Also nachdem ich einem eDiscovery-Fall einen aussagekräftigen Namen gegeben habe, definiere ich auf der zweiten Dialogseite den Scope, also wo überall gesucht werden soll. Mit der Administratorrolle „Discovery Management“ kann ich auf der nächsten Seite bestimmte Schlüsselwörter konfigurieren, die beispielsweise im entsprechenden Rechtsstreit eine Relevanz haben könnten. Die weiteren Filteroptionen seht ihr im folgenden Screenshot.

Exchange Online Compliance eDiscovery Filter

Im letzten Schritt könnt ihr noch sagen, wie lange die gefundenen Informationen zu so einem Fall aufbewahrt werden sollen.

Exchange Online Compliance eDiscovery Aufbewahrung

Wichtig zu verstehen ist hier, dass die Suchergebnisse und damit die entsprechenden Emails und Dateianhänge exportiert werden können. Selbst wenn ein Mitarbeiter schnell versucht, belastendes Material zu löschen, dann habe ich mit der eDiscovery eine zusätzliche Sicherung.

Auditing:

Die Auditierung erinnert mich ein wenig an die alten SharePoint Protokolle, die als Excel zur Verfügung gestellt wurden. Dies hat meiner Meinung nach nie den Anforderungen einer Firma genügt. Ähnlich „übersichtlich“ ist auch hier die Exchange Auditierung. Es gibt die paar Reports, die ihr im Screenshot seht mit einem Beispiel für die Administrations-Auditierung. Spannend ist hier zu sehen, dass die Aktion anhand des PowerShell-Befehls aufgelistet wird. Dies zeigt schön, dass ich alles im User Interface auch über PowerShell konfigurieren kann. Und damit möchte ich noch einmal den krassen PowerShell Unterschied zu SharePoint Online betonen.

Exchange Online Compliance Auditierung

Da wir uns mit dem heutigen Beitrag in der Kategorie Datenschutz bewegen, ist diese Auditierung dennoch gut und sinnvoll, um Aktionen zu überwachen und nachvollziehen zu können und damit Schaden von der Firma abzuwenden. Ich kann dabei nur immer wieder auf die neue EU-Datenschutzgrundverordnung verweisen.

Data Lost Prevention:

Die Data Lost Prevention ist ein sehr komplexes Thema und würde allein schon ein paar weitere Blog Beiträge decken. Grundsätzlich geht es hierbei um die Identifikation von Inhalten – auch in Dateianhängen – wie z.B. Kreditkarteninformationen oder persönlichen Daten (Geburtsdatum etc.) oder anderen Datenschutzregeln. Sollte ein Dokument oder Email mit solchen Daten identifiziert werden, so werden entsprechende Aktionen gemäß Richtlinie angewendet. Einen ersten guten Überblick bekommt ihr dazu auf meinem Blogbeitrag über die DLP für SharePoint On-Premises. In Exchange Online sieht es ähnlich aus, nur dass uns mehr Vorlagen und ein paar weitere Optionen zur Verfügung stehen.

Retention Tags:

Bevor wir zur Archivierung kommen, knöpfen wir uns zunächst die Aufbewahrungs-Schlüsselwörter vor. Diese Schlüsselwörter oder einfach Metadaten einer Email können in drei Kategorien erstellt und angewendet werden:

  1. Automatisch an der gesamten Mailbox
  2. Automatisch auf entsprechende Standardordner
  3. Manuell durch den Nutzer

Für unser Beispiel wollen wir nun ein weiteres manuelles Schlüsselwort hinzufügen.

Exchange Online Compliance Retention Tags

Hierbei definiere ich einfach einen Namen für eine der drei Archivierungsfunktionen (siehe nächster Screenshot) und dann einen Archivierungszeitraum, bzw. dass eine Email mit diesem Schlüsselwort nicht archiviert werden soll.

Exchange Online Compliance Retention Tag Aufbewahrung

Retention Policy:

In der Retention Policy können wir nun die Schlüsselwörter übernehmen und in einer Archivierungs-/Aufbewahrungsrichtlinie anwenden. Die Default MRM Policy ist dabei die, welche standardmäßig auf alle Nutzer zutrifft. Darin sind auch bereits die Standardregeln, dass eine Email nach zwei Jahren automatisch archiviert wird.

Exchange Online Compliance Retention Policy

Der Vorteil der Archivierung ist der, dass wir dadurch zusätzlichen Speicher nutzen können, nämlich den Archivspeicher. Außerdem kann ich so meine Emails kategorisieren und aufräumen. Weitere Informationen, welche Standardaufbewahrungsrichtlinien es in Exchange Online gibt, findet ihr hier:

https://technet.microsoft.com/de-de/library/dn775046(v=exchg.150).aspx

Im Screenshot oben, habe ich unser Adventskalender-Schlüsselwort der Standardrichtlinie hinzugefügt und nach einigen Stunden (bis der entsprechende Exchange Online Timer Service im Hintergrund gelaufen ist) steht es mir in Outlook zur Auswahl zur Verfügung.

Ihr seht im Screenshot neben der Standardrichtlinie aber auch eine weitere O365Adventskalender-Richtlinie. Diese kann ich nun einzelnen Nutzern über Empfänger (Recipients) zuweisen.

Exchange Online Compliance Retention Policy zuweisen

Ihr müsst darauf achten, dass ihr in der Richtlinie, die ihr euren Mitarbeitern zuweist, alle Metadaten zur Verfügung stellt, die ihr braucht, denn Richtlinien erben nicht voneinander. Der Mailbox eines Mitarbeiters sind also wirklich nur die automatischen und persönlichen Schlüsselwörter und Archivierungsfunktionen hinterlegt, die in der ihm zugewiesenen Richtlinie enthalten sind!

 

Journal Rules:

Die Journal Rules sind in Office 365 relativ neu und ermöglichen das Aufbewahren zum Teil der gesamten Unternehmenskommunikation. Für manche Industrien, wie z.B. Banken und Versicherungen, ist dies sogar regulatorisch vorgeschrieben. Daher ist es gut und wichtig, dass wir diese Möglichkeit in der Microsoft Cloud haben. Der Sinn ist ähnlich, wie bei der eDiscovery, nur zielen die Journals generell auf die Kommunikation und nicht nur auf spezielle Suchbegriffe ab.

Die Konfiguration einer Journal Regel ist einfach und erfordert nur vier Eingaben:

  1. Einen Empfänger für die Journal Protokollierung
  2. Einen Namen für diese Richtlinie
  3. Ob alle Nutzer oder nur für bestimmte die Protokollierung angewendet werden soll
  4. Ob alle oder nur interne bzw. externe Emails protokolliert werden sollen

Exchange Online Compliance Journal Rules

 

Zur Information möchte ich nur noch kurz die anderen Hauptpunkte erwähnen, unter denen ihr Exchange Online noch weitere im Detail für eure Anwendungsszenarien anpassen könnt.

Empfänger (Recipients):

Übersicht der Nutzer, Gruppen und Ressourcen (z.B. Konferenzräume, Beamer, etc.). Hier kann man z.B. auch einzelnen oder mehreren Nutzern eine Archivrichtlinie zuweisen oder andere weitergehende Email-Einstellung auf Nutzerbasis vornehmen.

Berechtigungen (Permissions):

Hier werden Rollen und Berechtigungen verwaltet sowie zugewiesen und man kann konfigurieren, welche Funktionen in der Outlook Web App zur Verfügung stehen sollen, z.B. eine LinkedIn Kontakt-Synchronisation.

Organization Sharing:

Hier wird konfiguriert, ob und was Mitarbeiter aus ihrem Exchange Kalender teilen dürfen.

Mail Flow:

In dieser Kategorie geht es um Email-Regeln, also was z.B. beim Eintreffen einer Email passieren soll. Die anderen Themen beschäftigen sich mit dem Routing von Emails, also das Nachverfolgen einer Email-Spur sowie das konfigurieren entsprechender interner und externer Domains oder dedizierter Dienst-Server.

Mobile:

Unter diesem Punkt konfigurieren wir, welche mobilen Geräte und Gerätetypen auf unseren Exchange Online zugreifen dürfen bzw. in Quarantäne sind. Außerdem können Regeln für den Abruf von Emails durch mobile Endgeräten eingestellt werden.

Public Folders:

Ist lediglich die Verwaltung der bekannten Exchange „Public Folder“ Funktionalität.

Unified Messaging:

Hier kann ich grundlegende Funktionen wie Voicemail, Outlook Voice Access und Mailboxansageregeln konfigurieren.

Hybrid:

Dies ist aktuell nur der (doppelte) Link zum Download des Office 365 Hybrid Configuration Tool, welches wir bereits im 20. Kalendertürchen bei der Postfach-Migration angeschaut haben.

 —–

All diese Dinge kann ich auch per PowerShell konfigurieren. Dies ist der große Unterschied zu SharePoint Online. Manche Dinge kann ich in Exchange sogar nur über die Kommandozeile konfigurieren, wie z.B. eine Passwort-Ablaufregel. Wir wollten uns aber im O365Adventskalender nur auf die einfachsten und wichtigsten Anwendungsszenarien konzentrieren, um für den Start in die Microsoft Cloud gut aufgestellt zu sein. All die weiteren Funktionen, die ich hier nur kurz aufgezählt habe, haben natürlich auch einen gewissen Mehrwert, sind aber nur bei bestimmten Anwendungsszenarien sinnvoll.

Die Konfiguration all dieser Funktionen ist sehr übersichtlich über das UI und daher könnt ihr einfach mal drauf los konfigurieren. Andernfalls sind für fast alle Funktionen auch gute Technet Artikel verfügbar, um notfalls etwas nachlesen zu können.

Happy „SharePointing“ und „fröhlichen Austauschen“… 😉

Zur O365Adventskalender Übersicht

Exchange Online Sicherheitsfunktionen in O365

21. Türchen

Gestern habe ich das Exchangen Admin Center bereits angedeutet, als es um die Mailbox Migration ging. (Ab) heute schauen wir uns in diesem Admin Center genauer um. Es gibt eine Reihe Funktionen, mit denen wir unseren Exchange Online konfigurieren können. Wir können nicht alle in diesem Adventskalender-Rahmen besprechen, daher möchte ich mich auf die meiner Meinung nach wichtigsten konzentrieren – Heute: Exchange Sicherheitsfunktionen.

Exchange Online Übersicht

Mit diesen Funktionen kann ich mein Unternehmen und die Nutzer davor schützen, dass Spam, Phishing und Malware (Schadsoftware) von außen nach innen gelangt. In der umgekehrten Richtung kann ich aber auch dafür sorgen, dass nicht mein Exchange Server gehackt und missbraucht wird und nun solche Dinge von innen nach außen geraten. Besonderen Fokus legen wir also auf die Malware und Spam Filter.

Malware Filter:

Mit diesem Filter kann Exchange Online für Schadsoftware sensibilisiert werden, die meist in Email-Anhängen zu finden sind. Dafür stehen uns einige Option zur Verfügung, die wir uns nun anschauen.

O365 Exchange Online Malware Detection Response

Nachdem wir von der Übersichtsseite direkt in die Mailware Filterregeln gelangt sind, können wir dort über das „+“ Zeichen eine neue Regel hinzufügen, der wir als erstes einen eindeutigen Namen vergeben. Anschließend können wir entscheiden, was bei einem Fund getan werden soll. Also ob die komplette Email gelöscht wird oder nur die Anhänge und der Benutzer im letzteren Fall mit einer Standard- oder einer angepassten Notiz darüber informiert wird.

O365 Exchange Online Malware Attachment Types

Weiterhin können wir festlegten, bei welchen Dateitypen die Regel zutrifft. Standardmäßig sind dafür schon die wichtigsten Formate hinterlegt, wie Skripte oder EXE-Dateien. Ich kann diese Liste aber auch mit eigenen Definitionen erweitern.

Der Benachrichtigungsteil im Malware Filter ist sehr umfangreich. Hierbei geht es um die Versender solcher Email, deren Dateianhänge als Malware eingestuft werden. Dafür kann ich gezielt Absender-Name und Email-Adresse sowie Betreff und Inhalt definieren. Dies ist natürlich wichtig, damit ich bei solchen Antworten nicht zu viel preisgebe, sollte es sich wirklich um eine Viren- oder Phishing Attacke handeln.

O365 Exchange Online Malware Notifications

Neben angepassten Einstellungen sowohl für interne als auch für externe Versender fragwürdiger Emailanhänge, so kann ich mich ebenso als Administrator zusätzlich darüber informieren lassen, um das Auslösen dieser Richtlinie zu überwachen. Gegebenenfalls kann ich also einschreiten und interne Nutzer besser über das Versenden solcher Dateianhänge informieren oder bei Externen Angriffen eventuell meine Einstellungen noch weiter verfeinern und verstärken.

Und dies ist fast schon ein Stichwort für die letzte Konfiguration, denn ich kann Richtlinien auch ganz bestimmten Personen zuordnen. So wende ich beispielsweise auf externe Mitarbeiter strengere Richtlinien an, als auf die Internen. Oder aber ich habe einen Verdacht gegen einen bestimmten Kollegen und kann diesen so auch genauer unter die Lupe nehmen, um Schaden von der Firma abzuwenden.

O365 Exchange Online Malwar Spam Filter Applied to

Am Ende nicht vergessen abzuspeichern und gegebenenfalls die Rangordnung, der verschiedenen Regeln anpassen.

Testen können wir die Malware (Schadsoftware) Filter mit einer EICAR.TXT Datei. Dies ist eine normale Textdatei, die aber aufgrund ihrer Zeichenfolge als Schadsoftware identifiziert wird. Somit erstellen wir uns eine Text-Datei und nennen sie EICAR.TXT. In die Datei kopieren wir uns folgende Zeichenfolge:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Achtung, auch normale Antivirenprogramme auf eurem Rechner oder in Outlook erkennen so eine Datei als Virus, daher stellt sicher, dass ihr die Datei in einem sicheren bzw. vom Virenprogramm ausgeschlossenen Verzeichnis erstellen. Ich habe es ehrlich gesagt nicht hinbekommen, diese Textdatei zu versenden, weil mindestens Outlook diese Datei nicht zugelassen hat. Ihr müsst also im Unternehmen spezielle Nutzer komplett ausschließen, um solche Regeln testen zu können.

Spam Filter:

Neben dem Malware Filter, der auf Schadprogramme abzielt, kann ich mit dem Spam Filter den Inhalt von Emails auf Werbung, Phishing oder ähnliches überwachen. Dafür ist auch etwas mehr Fingerspitzengefühl gefragt, damit wichtige Emails eben auch ankommen und nicht fälschlicher Weise als Spam markiert werden.

Interessant ist dabei bereits – nachdem wir auch der Spam Filter Regel einen aussagekräftigen Namen gegeben haben – dass wir zwei verschiedene Stufen haben, mit welcher Wahrscheinlichkeit eine Email wahrscheinlich oder nur vermutlich Spam ist. Auf dem Screenshot sehen wir dazu, was möglich ist.

O365 Exchange Online Spam Filter Aktionen

Ich würde folgendes Fingerspitzengefühl empfehlen: Wenn es sich „vermutlich“ um eine Spam Mail handelt, dass diese zwar ausgeliefert, aber im Titel mit einem Prefix versehen wird, um den Empfänger entsprechend zu sensibilisieren. Nur wenn es sich sehr sicher um Spam handelt, dann verschiebe es in den – von Endbenutzern selten beachteten – Junk-Mail Ordner. So stelle ich sicher, dass es keine unnötigen Falschmeldungen gibt und meine Nutzer keine großen Einschränkungen erfahren. Weitere mögliche Aktionen sind folgende:

O365 Exchange Online Weitere Spam Filter Aktionen

Zusätzlich zum Algorithmus für die Identifikation von Spam kann man auch ganz dedizierte Absender und Domains in eine „Schwarzen Liste“, aber auch in eine „Weißen Liste“ hinzufügen. Ich denke, es ist klar, was eine Black – und White List ist, daher können wir uns hier weitere Details sparen.

Ganz spannend finde ich aber noch die „Internationalen Spam“ Einstellungen. Hier kann ich gezielte Sprachen und Länder auswählen, denen man hohen Spam Verkehr unterstellt und somit Emails aus diesen Gegenden oder mit dieser Sprache ähnlich mit hoher Wahrscheinlichkeit als Spam einstuft.

O365 Exchange Online Spam Filter International Spam

Aber es geht auch noch detaillierter! Um das Ranking und die Wahrscheinlichkeit von Spam-Identifikationen zu präzisieren, können wir sogar auf ganz bestimmte Eigenschaften filtern, wie verlinkte Bilder zu einer anderen Quelle, Redirect-URLs, JavaScripte, eingebettet iFrames und und und… Die Liste ist sehr umfangreich und schön finde ich auch, dass ich manche Filter auch nur zum Testen einstellen kann.

O365 Exchange Online Spam Filter Advanced Option

Werden also Eigenschaften gefunden, die ich nur testen möchte, dann soll die Mail erst mal noch kein Spam sein, sondern ich kann konfigurieren, ob nur ein Standard-Kopfzeilen-Text mit eingefügt wird oder ein Administrator eine Blindkopie-Email (Bcc) erhält.

O365 Exchange Online Spam Filter Test Mode

Genauso wie bei den Malware Filtern kann ich auch hier wieder gezielt Personen, Domains oder Gruppen definieren, auf die unsere Spam Filter Richtlinie angewendet werden soll. Abspeichern und fertig!

Das ist schon wirklich sehr umfangreich und einfach zu konfigurieren, damit wir schnell und sicher per Exchange Online kommunizieren können. Um das Ganze zu testen, ob die Richtlinien wirklich funktionieren, so können wir uns einfach eine Email mit folgendem Text ohne Leerzeichen und Zeilenumbrüche zusenden:

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

So eine GTUBE-Nachricht funktioniert wie eine EICAR.TXT Nachricht, die Schadsoftware simuliert.

Der Vollständigkeit halber noch kurz die anderen Sicherheitsfunktionen.

Connection Filter:
Hier kann man erlaubte und nicht erlaubte IP Adressen und IP-Adressräume angeben, von denen Emails akzeptiert oder geblockt werden.

Outbound Spam:
Hier kann nur die „Default“ Richtlinie angepasst werden. Es geht im Prinzip nur darum, dass auch die gesendeten Emails von O365 geprüft werden, ob sie spam-verdächtig sind. Eine Email kann dann an entsprechende Administratoren gesendet werden, um zu überprüfen, ob der Unternehmens-Exchange nicht für Spamming gehackt wurde – oder Mitarbeiter Spam in eigener Sache verschicken.

Quarantine:
Hier werden Email-Fälle aufgelistet, die im Spam Filter als Spam identifiziert wurden. Von hier kann man auch Emails wieder frei geben, wenn sie fälschlicher Weise als Spam identifiziert wurden.

Action Center:
Hier sehen wie alle Accounts, die aktuell von den Exchange Sicherheitsrichtlinien betroffen sind, also bei denen beispielsweise in den Emails Malware gefunden wurde. Dieser Bereich ist noch relativ neu und es gibt noch keine weiteren Information darüber, was genau hier möglich sein wird.

DKIM:
Das steht für Domain Keys Identified Mail und erhöht die Sicherheit beim Email-Verkehr gegen Spam und Phishing. Hiermit kann man nämlich spezielle DKIM Signaturen hinzufügen, die bestätigen, dass die Email wirklich vom entsprechenden Nutzer kommt und nicht im Versand abgefangen und geändert wurde.

Wir sehen also schnell, auch wenn wir fast den gesamten Exchange Online per PowerShell verwalten können – ganz im Gegensatz zu SharePoint Online – wir haben hier auch ein schönes User Interface, mit dem ich mir ohne tief technische Kenntnisse einen sicheren Mailversand in Office 365 konfigurieren kann. Dies ist vor allem für kleinere bis mittlere Firmen ein großer Vorteil, die sich keinen dedizierten Exchange Administrator leisten können oder wollen. Mit Office 365 kann ich also einfach Sicherheitsstandards erfüllen, die normalerweise nur Großunternehmen mit dedizierten Ressourcen erreichen konnten. Die Ausrede, dass die Cloud unsicher sei, lasse ich also nicht gelten. 😉

Happy „SharePointing“! (oder fröhliches Austauschen? 😉 )

Zur O365Adventskalender Übersicht

Exchange Migration nach Office 365

20. Türchen

In den letzten Tagen haben wir uns all die coolen Funktionen rund um SharePoint Online angeschaut. Aber eine wirkliche Zusammenarbeit startet natürlich nur dann, wenn wir auch mehrere Kollegen in Office 365 haben. Diese könnte man natürlich alle manuell „from scratch“ im Admin Portal anlegen. Was ist aber mit den bereits bestehenden Email-Konten und den Daten darin? Richtig, das wollen wir natürlich nicht verlieren, also machen wir uns heute an eine Migration bestehender Email-Konten nach Exchange Online.

Microsoft unterstützt – neben dem FastTrack Service vom 4. O365Adventskalender Türchen – natürlich auch nativ verschiedene Email-Quellen, die wir dann nach Office 365 schaufeln können. Dies sind aktuell:

  • Gmail
  • Exchange On-Premises
  • Yahoo
  • PST-Datei Import
  • „Weitere Quellen“

Exchange Online Migrationsmöglichkeiten

Wie ihr am Screenshot schon seht, werden wir uns auch gleich den vor kurzem neu eingeführte Migrationsdialog anschauen. Denn bis vor wenigen Tagen gab es nur die Exchange Migration und die Anbindung über einen IMAP Server, was wir unter „Other email sources“ finden. Es sind also ein paar Optionen hinzugekommen. Für alle Möglichkeiten gilt aber, dass ihr einen entsprechenden Exchange Plan in O365 abonniert habt bzw. den O365 Nutzern bereits eine Exchange Lizenz zugewiesen habt. Andernfalls können all diese Migrationsszenarien nicht durchgeführt werden.

Exchange On-Premises:

Als erstes schauen wir uns die Exchange On-Premises zu O365 Migrationsstrategien an. Dafür bauen wir im Prinzip eine hybride Umgebung auf, um die On-Premises Email-Konten mit Exchange Online zu synchronisieren. Dafür hat Microsoft nun extra ein „Office 365 Hybrid Configuration“ Tool eingeführt, dass für uns das hybride Setup deutlich vereinfacht. Das Tool kann direkt heruntergeladen werden, wenn ihr im O365 Admin Center -> Users -> Data migration auf Exchange klickt.

Office 365 Exchange Migration

Das Tool unterstützt das Aufsetzen einer hybriden Exchange Umgebung für die Versionen ab 2010. Damit wird dann im ersten Schritt ein lokaler Exchange Server gesucht oder man gibt selbst den On-Premises Exchange an. Außerdem kann man auswählen, in welcher O365 Region man einen Tenant hat. Schön ist zu sehen, dass man bereits Deutschland als dedizierten Standardort auswählen kann, auch wenn aktuell das Release für Office 365 in der deutschen Cloud erst für Q1-2017 angekündigt ist.

O365 Exchange hybrid Migration

Im nächsten Schritt muss man seine Zugangsdaten für den On-Premises Server sowie für den O365 Tenant angeben. Es wird dann eine Verbindung aufgebaut und geprüft, ob das angegebene Konto über die nötigen rechte verfügt. Sind wir da durch, können wir uns für eine Migrations-Strategie entscheiden:

Full Hybrid
(früher Remote Move Migration)
Minimal Hybrid
(früher Staged Migration)
Express Migration
(früher Cutover Migration)
Unterstützte Exchange Version Ab 2010
  • Ab 2007 (manuell konfiguriert)
  • Ab 2010 mit dem Konfigurations-Tool
  • Ab 2007 (manuell konfiguriert)
  • Ab 2010 mit dem Konfigurations-Tool
Nutzerverwaltung On-Premises Cloud Cloud
Anzahl der Nutzerkonten Empfohlen für mehr als 2.000 Keine Einschränkung Empfohlen für weniger als 2.000
Geplanter Migrationszeitraum Dauerhafte Koexistenz von On-Premises und Online bzw. sehr langer Zeithorizont Wenige Wochen bis Monate Weniger als eine Woche
Komplexität hoch mittel gering
Hinweis
  • Kein Cross-premises Free/Busy möglich
  • Kein TLS geschützer Mailverkehr zwischen On-Prem und Online
  • Kein Cross-premises eDiscovery
  • Kein Outlook im Web und ActiveSync Weiterleitung
  • Keine automatische Aufbewahrung/Löschung von archivierten Postfächern
On-Premises wird nach der Migration abgeschaltet. Dies ist also eine Komplettmigration ohne ein wirklich lebendes Hybrid-Szenario.
Weitere Informationen und Anleitungen Full Hybrid Minimal Hybrid

Am Ende des Wizard haben wir die Möglichkeit eine Einmal-Synchronisation durchzuführen. Dies ist empfohlen, weil wir damit direkt als Tenant-Administrator eine Verbindung zum Azure Active Directory herstellen. So können die Nutzer und Gruppen aus Exchange On-Premises ausgelesen und im Azure AD erzeugt werden. Anschließend sehen wir diese Nutzerkonten in unserem O365 Admin Center und müssen nur noch alle oder bestimmte Nutzer auswählen, deren Postfach migriert werden soll. Dies ist beispielsweise ein Vorteil gegenüber der früheren „Staged Migration“, bei der man für das Mapping noch eine CSV-Datei erstellen musste.

O365 Exchange hybrid Migration User Mapping

Zusammengefasst werden bei dieser Migration die Nutzerkonten von Exchange On-Premises mit dem Hybrid Configuration Tool zu Exchange online synchronisiert und anschließend startet der Datentransfer der Postfächer. Ob man dann hybrid weiter fährt, ob minimal hybrid mit entsprechenden Einschränkungen oder sogar den On-Presmies Server komplett abschaltet ist eure Entscheidung.

IMAP:

Die IMAP Konfiguration war bis vor kurzem noch die zweite und letzte mögliche Option, bei der man eine Verbindung zu einem beliebigen Email-Dienst über IMAP herstellen kann. Daher heißt dieser Ansatz auch mittlerweile einfach „Other email sources“. Mit dieser Möglichkeit könnte man sogar seine Email von privaten Konten von beispielsweise 1und1 oder GMX in seinen O365 Tenant migrieren. Der jeweilige Email-Dienstanbieter sollte die nötigen Informationen aus dem Screenshot standardmäßig zur Verfügung stellen, sodass ihr die Verbindung schnell konfigurieren könnt.

O365 Exchange IMAP Migration

Wenn dies geschehen ist, dann könnt ihr die Mappings zu existierenden Nutzern in O365 vornehmen. Ihr seht im Screenshot, dass ich so also eine Verbindung zu meinem Homepage-Provider hergestellt habe und nun die dortigen Konto referenzieren kann.

O365 Exchange IMAP Migration User Mapping

Aber Achtung: verlasst ihr dieses Menü, dann sind die vorherigen Einstellung zur IMAP-Verbindung auch wieder weg. Bei diesem Migrationsansatz müsstet ihr also immer wieder die Konfiguration vornehmen, wenn ihr nicht alles auf einmal starten möchtet. Auch wenn es nicht super aufwendig ist, so ist es doch unschön.

Yahoo, Gmail, Outlook, Hotmail:

Schöner hat es Microsoft stattdessen mit den bekanntesten Email-Diensten gelöst. Dort ist diese einfache IMAP-Verbindungskonfiguration bereits vorgenommen worden, sodass ihr direkt mit dem Benutzerkonto-Mapping sowie Migration starten könnt. Der Screenshot ist also sehr ähnlich, wie zur obigen manuellen IMAP Konfiguration.

O365 Exchange Google Migration User Mapping

Bei Google, Outlook und Hotmail müssen zuvor noch ein paar wenige Konfiguration vorgenommen werden, damit eine Verbindung aufgebaut werden kann. Diese sind aber sehr übersichtlich mit Screenshots hinter dem entsprechenden Link erklärt (siehe erster Screenshot oben).

Natürlich wäre es sehr aufwendig, jeden einzelnen User zu mappen, daher empfehle ich die Verwendung einer CSV-Datei, um dies einfacher in Excel zu erledigen und dann automatisiert in O365 zu übertragen. Dieser Ansatz kann für Yahoo, Google, Outlook und Hotmail verwendet werden, aber auch für die manuelle IMAP Anbindung. Wie so eine CSV-Datei auszusehen hat, findet ihr hier: https://technet.microsoft.com/de-de/library/jj200730(v=exchg.150).aspx

Habt ihr so eine Datei erstellt und wollt nun loslegen, dann könnt ihr das aktuell noch nicht im O365 Admin Center. Stattdessen geht ihr direkt in das Exchange Admin Center und gelangt über Empfänger und Migration zum entsprechenden Dialog (siehe folgender Screenshot), der (aktuell) noch auf dem alten User Interface basiert. Alle weiteren Schritte der IMAP Migration mit PST-Datei werden dann auch von hier verwaltet.

O365 Exchange PST-file Migration

Ganz harmonisch ist dies noch nicht, weil die Ansichten zum O365 Admin Center unterschiedlich sind und das oben gezeigte Hybrid Konfigurationstool mehr Funktionen anbietet, welche direkt in Exchange nicht (mehr) möglich sind, z.B. die Express Migration. Ich denke aber, dass wir dennoch alle eine IMAP Migration hin bekommen, da sich die Komplexität wirklich in Grenzen hält.

Upload PST:

Als letzten Ansatz schauen wir uns den Upload einer PST-Datei an. Im Prinzip läuft dies eigentlich genau so ab, wie wir bereits im 9. Kalendertürchen zur PowerShell Datenmigration gesehen haben. Hierbei starten wir nun jedoch das ganze mit einem kleinen User Interface über das Admin Center und nutzen nicht nur PowerShell. Im UI wählen wir bei der Datenmigration nun PST Upload aus (Mit dem Upload zu OneDrive gelangen wir zum selben Interface).

O365 Exchange PST-Fil eMigration

Im ersten Schritt sehen wir gleich, egal ob PST-Datei oder Daten für SharePoint/OneDrive, dass wir ein PowerShell Tool benötigen und wir uns Container anlegen lassen können. Dies sind exakt die, welche wir noch am 9.12. per PowerShell selbst definiert haben. Wir brauchen aber nun PowerShell, um eben wieder die Daten in O365-freundliche Formate zu konvertieren.

O365 Exchange PST-File Migration Mapping

Ist dies erledigt, erzeugen wir uns noch eine Azure Warteschleife.

O365 Exchange PST-File Migration azure queue

Im Anschluss müssen wir nun per Azure PowerShell (und SharePoint Online PS-Module, je nach Upload Daten) das Paket konvertieren und im nächsten Schritt über das UI hochladen.

O365 Exchange PST-File Migration Upload

Ist das erledigt, kann es auch schon losgehen. Ich persönlich würde den PST-Upload lieber komplett per PowerShell machen, weil ich über das UI hin und her springe und ich über PowerShell nicht drum herum komme. Außerdem empfehle ich auch hier dringend die Verwendung einer CSV-Datei, um die Benutzer entsprechend zu mappen. Dies ist im Detail sehr schön Schritt für Schritt hier erklärt und ich empfehle euch diese Anleitung wirklich sehr.

https://support.office.com/de-de/article/Verwenden-des-Netzwerkuploads-zum-Importieren-von-PST-Dateien-in-Office-365-103f940c-0468-4e1a-b527-cc8ad13a5ea6?ui=de-DE&rs=de-DE&ad=DE

Manche Ansätze bei der Exchange Online Migration funktionieren wirklich gut und sind sehr intuitiv. Andere sind hingegen noch etwas „Buggy“ oder umständlich. Aber wir sind ja schließlich nicht bei „Wünsch dir was“ und um ehrlich zu sein, eine Migration ist in den allerseltensten Fällen simpel. Daher geht so ein Projekt ohnehin mit viel Planung und Tests einher, bei den dann auch diese auf den ersten Blick komplexeren Ansätze sehr schnell einfach werden, weil die Anwendungsszenarien aus meiner Sicht wirklich gut beherrschbar sind. Und mit den nativen Möglichkeiten haben wir aktuell auch schon wirklich viele gute Ansätze, um Benutzerkonten nach Office 365 zu migrieren. Also nicht warten, sondern starten! 😉

Happy „SharePointing“!

Zur O365Adventskalender Übersicht

Sway

19. Türchen

—–

Diesen Beitrag direkt in Sway lesen? Hier geht’s lang!

—–

So wie Office 365 Planner eine stark abgespeckte Version von Microsoft Project ist, so kann man Sway also eine abgespeckte Version für PowerPoint + Word betrachten. Aus meiner Sicht ist es für ein paar spezielle Anwendungsszenarien in der Tat sehr gut geeignet. Zum Beispiel, um normalen Texten etwas Pepp zu geben, wie in einem Blog, Referat oder anderen Geschichten. Auch für Präsentationen kann man es eingeschränkt verwenden, aber da würde ich lieber auf das gute alte PowerPoint zurückgreifen, weil ich da einfach mehr Kontrolle über Layout, Größen, Animationen, etc. habe.

Welche Szenarien besonders gut geeignet sind, finden wir auf der Sway Startseite. Denn dort sind Beispiele und Vorlagen hinterlegt, mit denen ich wir gleich loslegen könnten. Wir können aber auch mit einer leeren Vorlage starten oder bestehende Dokumente hochladen. Dies klappte auch bei einem Blogeintrag aus Word ganz gut, aber mit einer Präsentation (in den Screenshots verwendet) konnte ich im Prinzip nichts mehr anfangen. Dies liegt natürlich auch daran, dass ich mehrere Bilder und Objekte pro Slide habe. Habt ihr nur ein Bild je Slide, dann wird sicher auch eine Präsentation mit Sway schick werden. Um nun aber eure Sway Projekte zu bearbeiten, haben wir verschiedene Obkjekte, die wir konfigurieren können.

Sway Übersicht

Karten:

In einem Sway gibt es verschiedene „Blöcke“ – sogenannte Karten – die wir relativ einfach in einen Sway einfügen können. Diese Karten werden als Objekt verstanden und Sway versucht diese moderat zu animieren. Die Karten haben verschiedene Kategorien, sodass sie die jeweiligen Inhalte entsprechend aufbereiten.

Sway Karten

Das Einfügen kann entweder per Drag-and-Drop aus der linken Seite erfolgen oder ich drücke das kleine „Plus“-Zeichen an der unteren linken Ecke einer Karte und wähle anschließend die entsprechende Karte aus.

Sway Karten bearbeiten

Jede Karte kann man noch zusätzlich bearbeiten, das heißt,

  1. dem Text stehen ein paar Standardfunktionen zur Verfügung,
  2. die Karte als ganze kann größer oder kleiner in der „Animation“ erscheinen und
  3. für Bilder kann ich noch Fokuspunkte setzen. Damit kann ich definieren, ob das ganze Bild gezeigt werden soll oder Sway nur einen Ausschnitt fokussiert.

Sehr einfach kann ich auch eine Karte per Drag-and Drop verschieben. Gruppieren kann ich mehrere Karten auch mit der Drag-and-Drop Funktion oder in den zu gruppierenden Karten das Kästchen unten recht anwählen und dann auf Gruppieren klicken.

Einfügen:

Welche Funktionen haben wir noch? Zum einen können wir z.B. Bilder in unsere Karten einfügen. Schön ist, dass Sway automatisch Begriffe meines Sways extrahiert und nach ihnen bereits im Internet gesucht hat. So kann ich schneller Bilder finden, die ich einfügen möchte. Außerdem kann ich lokale Dateien aus dem Windows Explorer einfach per Drag-&-Drop in eine Karte ziehen.

Sway Bilder einfügen

Design:

Das generelle Design wartet auch mit ein paar Vorlagen auf. Im Prinzip ist dies wie eine Word oder PowerPoint Vorlage, also aus meiner Sicht eine nette Spielerei, aber zumindest für meinen Geschmack habe ich kein wirkliches „Killer-Design“ gefunden, was mir besonders gut gefallen hätte. Ich kann aber auch die Design-Vorlagen leicht anpassen. Dafür kann ich Bilder und Objekte aus meinem Sway referenzieren, die als „Farbinspiration“ genutzt werden sollen. Weiterhin kann ich dort auch die Animationen und Schriftgröße in drei Stufen anpassen. Also gut und einfach, aber eben auch sehr begrenzt von den Möglichkeiten, wenn man gern im Detail konfiguriert.

Sway Design

Layout:

Im Layout-Reiter habe ich auch nur drei Möglichkeiten zum Anpassen: vertikal scrollen, horizontal scrollen und eine Art Block, sodass nur Karte für Karte ohne Animation angezeigt wird.

Sway Layout

Sway Management:

Als letztes möchte ich noch zwei Dinge mitgeben:

  1. Wenn ihr in einer Vorschau oder der generellen Sway Wiedergabe seid, müsst ihr mit der Maus an den oberen rechten Bildschirmrad navigieren, um die entsprechenden Buttons sichtbar zu schalten.
    Sway anpassen
  2. Eigentlich machen wir so einen Sway nicht für uns allein, daher können wir es auf Microsoft’s Docs.com veröffentlichen oder den Sway per Link in eine bestehende Seite oder Blog einbinden. Das ganze kann ich dann auch intern und extern teilen.
    Sway teilen

Fazit:

Sway ist ein weiteres „Minitool“ von Microsoft, das aus meiner Sicht nur ein paar wenige Anwendungsszenarien abdeckt. Ein sehr schönes Beispiel ist dabei zweifelsohne das Aufbereiten eines Textes für Autoren. Einmal ein schönes Sway für einen Blog oder Zeitungsartikel erstellt, kann ich es duplizieren und dann mit neuem Inhalt füllen. In Firmen mit eigenen Autoren für Intranetseiten kann dies also wirklich eine willkommene Alternative sein. Bei anderen Kollaborationsszenarien habe ich bisher allerdings noch keinen entscheidenden Mehrwert gefunden.

Vielleicht kommt ja noch etwas mit dem „Windows Creator’s Update“ dazu…

Happy „SharePointing“!

Zur O365Adventskalender Übersicht

Microsoft PowerApps

18. Türchen

Microsoft bringt seine „Mobile first, Cloud first“ Strategie mit den PowerApps auf den Punkt. Denn nie war es so einfach, auch ohne sehr tiefe Entwicklerkenntnisse, Apps für Mobilgeräte zu entwickeln. Und selbst wenn man ein Windows Phone hat, wofür man die PowerApps auch leider noch nicht ausrollen kann, so emuliert zumindest die Cloud im Hintergrund ein User Interface, also würde es eine App sein, auch wenn es nur eine gerenderte Browser-Seite ist.

So wie wir uns gestern Microsoft Flow angeschaut haben, erfüllen die PowerApps im Prinzip den selben Zweck, nur haben wir gleich dazu eine App um die Funktionalität herum gebaut. PowerApps können dabei auf einem Flow aufbauen oder auch einen anstoßen. Apps können aber auch völlig andere Prozesse und Anwendungsszenarien abdecken, wovon Microsoft ein paar Beispiele zur Verfügung stellt. Heute möchte ich dazu ein Grundverständnis vermitteln und eine Beispiel-App erstellen.

Erstellung einer App aus SharePoint:

Zu sehr möchte ich nicht in die technische Tiefe gehen, weil wir dafür fast einen eigenen Adventskalender füllen könnten. Daher nutzen wir das einfachste Szenario und erstellen eine App direkt aus SharePoint – in diesem Falle aus unserer Geschenkeliste von unserem gestrigen Flow-Beispiel.

PowerApp erstellen

Dadurch öffnet sich in einem neuen Browser-Tab PowerApps und wir sehen, wie sich die App in einigen Sekunden selbst erstellt. Das bedeutet in diesem Beispiel, dass drei Standardansichten der App erzeugt werden und grundlegenden Funktionen hinterlegt werden, die ich für eine Liste benötige. Diese drei Ansichten sehen wir dann auf der linken Seite im PowerApps Tab, und zwar eine normale Ansicht der Listenelemente, eine Detailansicht und eine Ansicht zum Bearbeiten der Elemente. Die grundlegenden Funktionen, wie das Ändern, Löschen oder Hinzufügen neuer Elemente, sind auch bereits hinter den entsprechenden Buttons hinterlegt – wie einfach ist das denn? Wenn wir möchten, können wir nun natürlich mit dem Anpassen loslegen.

Anpassen einer PowerApp:

PowerApps anpassen Start-Tab

Mit Auswahl eines Buttons könnte man auf ihn zusätzliche oder andere Funktionen hinterlegen. Im Screenshot sehen wir, dass beim Klick eine NewForm Funktion aufgerufen wird, die auf dem Edit-Form (Code) basiert. Navigiert wird dann auch in diese EditForm, aber dabei wird nichts weiter übergeben („None“). Es wird also deutlich, wir nähern uns nun der Entwicklung an, auch wenn wahre Programmierer jetzt sicher noch schmunzeln…

Abhängig vom gewählten Reiter können wir weitere Schaltflächen, Texte, Steuerelemente, etc. hinzufügen. Auch Formulare, Medien und Diagramme können eingebaut werden, um noch mehr Funktionalitäten einzubauen.

PowerApps anpassen Einfügen-Tab

Beim Inhalts-Tab können wir – oder besser die Entwickler – dann richtig ins Detail gehen. Wir können weitere Datenquellen anbinden, um z.B. unsere Diagramme zu befüttern, können unsere Steuerelemente anpassen und im erweiterten Modus sogar auf die einzelnen Eigenschaften der Objekte zugreifen. Dies kannte ich sonst nur unter Visual Studio, aber finde diese Funktionalität nun auch direkt hier in den PowerApps Browser-Fenster.

PowerApps anpassen Inhalts-Tab

Da alles weitere aus meiner Sicht für unser heutiges Türchen zu sehr ins Detail gehen würde, so möchte ich nur zeigen, dass wir mit dem Aktions-Tab aber auch ganz einfach Aktionen ohne Entwicklerverständnis anpassen können – so können wir beispielsweise die Seitenübergänge verändern. So haben wir wenigstens etwas leicht angepasst. 🙂

PowerApp anpassen Aktions-Tab

Ausrollen der PowerApp:

So, und nun geht es daran, die App live zu schalten, damit wir sie und ihre Funktionen auch einsetzen können. Dafür vergeben wir der App zunächst einen Namen, Farbe und Symbol.

PowerApps ausrollen

Anschließend müssen wir angeben, für welche Nutzer wir die App ausrollen wollen. Hier greift PowerApps auf die Umgebung und Benutzerrollen zurück, die ich im 17. O365Adventskalender Türchen über Microsoft Flow erklärt hatte.

PowerApps freigeben

Sollte es bereits eine überarbeitete Version dieser App sein, kann ich mir in dieser Ansicht auch die Versionen anschauen und eventuell veraltete Versionen löschen.

PowerApps Versionen

Das soll nur der Information dienen, denn wir wollten nur die App abspeichern und live schalten, damit wir sie nun ausprobieren können. Wir navigieren also zurück zu unserer SharePoint Liste und finden die App nun unter den Ansichten. Ja genau, denn im Prinzip ist eine App auch in der Tat nur eine Art Ansicht von Elementen, die man bearbeiten kann. Facebook ist nichts Anderes!

Testen der App:

PowerApps anwenden

Obwohl wir die Apps aktuell nicht auf ein Windows Phone portieren können, so navigiere ich trotzdem zur entsprechenden Seite im Browser (NICHT in der SharePoint App!) und öffne dort nun diese App-Ansicht. In dem animierten Gif sehen wir, dass der Browser uns die PowerApp rendert und aufgrund der Ansicht wirkt es wie eine echt App. Zumindest funktionieren alle Schaltflächen so, wie wir sie uns eingestellt haben. Im Gif erstellen wir uns erst ein neues Geschenk, löschen ein anderes und genehmigen das Surface Studio.

PowerApp in Aktion

Das Ergebnis in SharePoint sieht so aus:
PowerApps Ergebnis in SharePoint

Im Hintergrund bekam ich auch eine Genehmigungsemail, denn der Flow von gestern läuft auch noch. Wir sehen also, wie wir Flow mit Apps kombinieren können. Zugegeben, dies ist ein wirklich einfaches Szenario, aber sind wir mal ehrlich: Ohne eine mobile SharePoint Ansicht oder der noch gar nicht so alten SharePoint App, wäre diese PowerApp zu dieser Liste ein echt großer Mehrwert. Generell ging die Bearbeitung der Aufgaben aus dem Gif schneller, als hätten wir direkt über SharePoint oder die SharePoint App gearbeitet. Und genau das ist Sinn und Zweck von Apps – eine Funktionalität anbieten. Ob dies Prozesse sind, Aufbereitung von Daten aus verschiedenen Quellen, eine Anmeldung zu Sportveranstaltungen oder Produktkataloge – mit den PowerApps können wir diese wirklich schnell und einfach erstellen.

Verwaltung eigener Apps:

Wenn man zu den PowerApps navigiert (im Browser oder in der Desktop-App), dann sehen wir zunächst die Apps, an denen wir kürzlich gearbeitet haben. Außerdem stellt Microsoft auf der Startseite der PowerApps viele Einführungsvideos und App-Beispiele zur Verfügung. Ich kann auch direkt mit dem Entwickeln einer App starten, wenn ich dies nicht aus einer bestimmten SharePoint Liste machen möchte.

PowerApps verwalten

Unter der Kategorie Apps sehe ich meine erstellten Apps und kann diese auch bearbeiten, wenn ich das möchte.

PowerApps bearbeiten

Dazu habe ich verschiedene Optionen, z.B. auch die Option, an wen die App ausgerollt werden soll, kann ich nachträglich ändern. Wir sehen aber auch, dass das Bearbeiten einer App im Browser möglich ist, aber auch eine Desktop-Anwendung wird zur Verfügung gestellt. Ich habe zwischen Browser und App keine großen Funktionsunterschiede festgestellt. Bei manchen Einstellungen, z.B. Verbindungen zu Datenquellen, wird man ohnehin zum Browser verlinkt.

PowerApps bearbeiten

Weiterhin können wir in der PowerApps-Ansicht auf der linkeen Seite einen Gateway einrichten, um eine Verbindung zu lokalen Apps herzustellen und auch unsere Flows von hier zentral zu verwalten. Zusätzlich können wir auch weiterer Entitäten und Auswahllisten einsehen, bearbeiten und erstellen, auf die wir in unseren Apps zurück greifen können. Diese Entitäten sind in unserer PowerApp/Flow Datenbank gespeichert, die für diese App-Umgebung angelegt wurde. Mit diesen Entitäten wird nun also ein weiterer Vorteil der verschiedenen Umgebungen klar, die ich bereits gestern erwähnt habe.

PowerApps Entitäten

Die Heimat der PowerApps – Dynamics 365:

Wichtig zu wissen ist noch, wo ich meine Apps her bekommen kann. Denn bisher haben wir immer nur unsere eigene App gesehen, was nicht weiter schwierig war. Wenn aber andere Kollegen oder die IT zentral Apps ausgerollt hat, kann ich diese – aber auch andere PowerApps – in „Dynamics 365“ finden, was die neue Heimat der Apps werden soll.

PowerApps Dynamics 365 Home

Wenn ich also auf „Weitere Apps abrufen“ klicke, dann bekomme ich bereits veröffentlichte professionelle Apps, kann nach bestimmten Kategorien filtern, aber sehe auch auf dem Reiter „My Organization“ die PowerApps, die in meiner Firma ausgerollt wurden. Von dort könnte ich auch die „richtigen“ Apps (und nicht nur das Browser-Rendering) für Android und iPhone herunterladen.

PowerApps Dynamics 365 Meine Apps

Ich hoffe, das gibt euch einen ersten guten Überblick über die PowerApps, was sie sind und können, was sie mit Flow zu tun haben und wie man sie erstellt und ausrollt. Ohne jegliche Anleitung hatte ich mich in ein bis zwei Tagen mit den grundlegenden Funktionen vertraut gemacht und brachte die ersten Apps zum Laufen. Das könnt ihr sicher auch, also probiert es aus! 🙂

Happy „SharePointing“!

Zur O365Adventskalender Übersicht