Exchange Online Compliance und Archive
22. Türchen
Mit dem heutigen O365 Adventskalender Türchen schauen wir uns noch ein zweites Exchange Thema an, das meiner Meinung nach nicht so selbst erklärend ist, wie die anderen Konfigurationen. Und zwar geht es dabei um das Compliance Management.
In-Place eDiscovery:
Die eDiscovery ist in Europa und speziell Deutschland weniger bekannt und genutzt. Hauptsächlich geht es mit dieser Funktion um die Identifizierung und Bereitstellung von elektronischen Informationen, die in Rechtsfällen als Beweismaterial verwendet werden können. Ich denke, es erklärt sich von selbst, dass die Funktion ursprünglich eine Anforderung aus den USA war. 😉 Da Firmen aber immer größer werden und global agieren, kann diese Funktion auch für europäische und deutsche Unternehmen sehr interessant sein. Daher schauen wir uns schnell an, wie wir uns eine eDiscovery-Suche erstellen.
Es läuft ähnlich, wie auch gestern bei den Malware und Spam Filtern. Also nachdem ich einem eDiscovery-Fall einen aussagekräftigen Namen gegeben habe, definiere ich auf der zweiten Dialogseite den Scope, also wo überall gesucht werden soll. Mit der Administratorrolle „Discovery Management“ kann ich auf der nächsten Seite bestimmte Schlüsselwörter konfigurieren, die beispielsweise im entsprechenden Rechtsstreit eine Relevanz haben könnten. Die weiteren Filteroptionen seht ihr im folgenden Screenshot.
Im letzten Schritt könnt ihr noch sagen, wie lange die gefundenen Informationen zu so einem Fall aufbewahrt werden sollen.
Wichtig zu verstehen ist hier, dass die Suchergebnisse und damit die entsprechenden Emails und Dateianhänge exportiert werden können. Selbst wenn ein Mitarbeiter schnell versucht, belastendes Material zu löschen, dann habe ich mit der eDiscovery eine zusätzliche Sicherung.
Auditing:
Die Auditierung erinnert mich ein wenig an die alten SharePoint Protokolle, die als Excel zur Verfügung gestellt wurden. Dies hat meiner Meinung nach nie den Anforderungen einer Firma genügt. Ähnlich „übersichtlich“ ist auch hier die Exchange Auditierung. Es gibt die paar Reports, die ihr im Screenshot seht mit einem Beispiel für die Administrations-Auditierung. Spannend ist hier zu sehen, dass die Aktion anhand des PowerShell-Befehls aufgelistet wird. Dies zeigt schön, dass ich alles im User Interface auch über PowerShell konfigurieren kann. Und damit möchte ich noch einmal den krassen PowerShell Unterschied zu SharePoint Online betonen.
Da wir uns mit dem heutigen Beitrag in der Kategorie Datenschutz bewegen, ist diese Auditierung dennoch gut und sinnvoll, um Aktionen zu überwachen und nachvollziehen zu können und damit Schaden von der Firma abzuwenden. Ich kann dabei nur immer wieder auf die neue EU-Datenschutzgrundverordnung verweisen.
Data Lost Prevention:
Die Data Lost Prevention ist ein sehr komplexes Thema und würde allein schon ein paar weitere Blog Beiträge decken. Grundsätzlich geht es hierbei um die Identifikation von Inhalten – auch in Dateianhängen – wie z.B. Kreditkarteninformationen oder persönlichen Daten (Geburtsdatum etc.) oder anderen Datenschutzregeln. Sollte ein Dokument oder Email mit solchen Daten identifiziert werden, so werden entsprechende Aktionen gemäß Richtlinie angewendet. Einen ersten guten Überblick bekommt ihr dazu auf meinem Blogbeitrag über die DLP für SharePoint On-Premises. In Exchange Online sieht es ähnlich aus, nur dass uns mehr Vorlagen und ein paar weitere Optionen zur Verfügung stehen.
Retention Tags:
Bevor wir zur Archivierung kommen, knöpfen wir uns zunächst die Aufbewahrungs-Schlüsselwörter vor. Diese Schlüsselwörter oder einfach Metadaten einer Email können in drei Kategorien erstellt und angewendet werden:
- Automatisch an der gesamten Mailbox
- Automatisch auf entsprechende Standardordner
- Manuell durch den Nutzer
Für unser Beispiel wollen wir nun ein weiteres manuelles Schlüsselwort hinzufügen.
Hierbei definiere ich einfach einen Namen für eine der drei Archivierungsfunktionen (siehe nächster Screenshot) und dann einen Archivierungszeitraum, bzw. dass eine Email mit diesem Schlüsselwort nicht archiviert werden soll.
Retention Policy:
In der Retention Policy können wir nun die Schlüsselwörter übernehmen und in einer Archivierungs-/Aufbewahrungsrichtlinie anwenden. Die Default MRM Policy ist dabei die, welche standardmäßig auf alle Nutzer zutrifft. Darin sind auch bereits die Standardregeln, dass eine Email nach zwei Jahren automatisch archiviert wird.
Der Vorteil der Archivierung ist der, dass wir dadurch zusätzlichen Speicher nutzen können, nämlich den Archivspeicher. Außerdem kann ich so meine Emails kategorisieren und aufräumen. Weitere Informationen, welche Standardaufbewahrungsrichtlinien es in Exchange Online gibt, findet ihr hier:
https://technet.microsoft.com/de-de/library/dn775046(v=exchg.150).aspx
Im Screenshot oben, habe ich unser Adventskalender-Schlüsselwort der Standardrichtlinie hinzugefügt und nach einigen Stunden (bis der entsprechende Exchange Online Timer Service im Hintergrund gelaufen ist) steht es mir in Outlook zur Auswahl zur Verfügung.
Ihr seht im Screenshot neben der Standardrichtlinie aber auch eine weitere O365Adventskalender-Richtlinie. Diese kann ich nun einzelnen Nutzern über Empfänger (Recipients) zuweisen.
Ihr müsst darauf achten, dass ihr in der Richtlinie, die ihr euren Mitarbeitern zuweist, alle Metadaten zur Verfügung stellt, die ihr braucht, denn Richtlinien erben nicht voneinander. Der Mailbox eines Mitarbeiters sind also wirklich nur die automatischen und persönlichen Schlüsselwörter und Archivierungsfunktionen hinterlegt, die in der ihm zugewiesenen Richtlinie enthalten sind!
Journal Rules:
Die Journal Rules sind in Office 365 relativ neu und ermöglichen das Aufbewahren zum Teil der gesamten Unternehmenskommunikation. Für manche Industrien, wie z.B. Banken und Versicherungen, ist dies sogar regulatorisch vorgeschrieben. Daher ist es gut und wichtig, dass wir diese Möglichkeit in der Microsoft Cloud haben. Der Sinn ist ähnlich, wie bei der eDiscovery, nur zielen die Journals generell auf die Kommunikation und nicht nur auf spezielle Suchbegriffe ab.
Die Konfiguration einer Journal Regel ist einfach und erfordert nur vier Eingaben:
- Einen Empfänger für die Journal Protokollierung
- Einen Namen für diese Richtlinie
- Ob alle Nutzer oder nur für bestimmte die Protokollierung angewendet werden soll
- Ob alle oder nur interne bzw. externe Emails protokolliert werden sollen
Zur Information möchte ich nur noch kurz die anderen Hauptpunkte erwähnen, unter denen ihr Exchange Online noch weitere im Detail für eure Anwendungsszenarien anpassen könnt.
Empfänger (Recipients):
Übersicht der Nutzer, Gruppen und Ressourcen (z.B. Konferenzräume, Beamer, etc.). Hier kann man z.B. auch einzelnen oder mehreren Nutzern eine Archivrichtlinie zuweisen oder andere weitergehende Email-Einstellung auf Nutzerbasis vornehmen.
Berechtigungen (Permissions):
Hier werden Rollen und Berechtigungen verwaltet sowie zugewiesen und man kann konfigurieren, welche Funktionen in der Outlook Web App zur Verfügung stehen sollen, z.B. eine LinkedIn Kontakt-Synchronisation.
Organization Sharing:
Hier wird konfiguriert, ob und was Mitarbeiter aus ihrem Exchange Kalender teilen dürfen.
Mail Flow:
In dieser Kategorie geht es um Email-Regeln, also was z.B. beim Eintreffen einer Email passieren soll. Die anderen Themen beschäftigen sich mit dem Routing von Emails, also das Nachverfolgen einer Email-Spur sowie das konfigurieren entsprechender interner und externer Domains oder dedizierter Dienst-Server.
Mobile:
Unter diesem Punkt konfigurieren wir, welche mobilen Geräte und Gerätetypen auf unseren Exchange Online zugreifen dürfen bzw. in Quarantäne sind. Außerdem können Regeln für den Abruf von Emails durch mobile Endgeräten eingestellt werden.
Public Folders:
Ist lediglich die Verwaltung der bekannten Exchange „Public Folder“ Funktionalität.
Unified Messaging:
Hier kann ich grundlegende Funktionen wie Voicemail, Outlook Voice Access und Mailboxansageregeln konfigurieren.
Hybrid:
Dies ist aktuell nur der (doppelte) Link zum Download des Office 365 Hybrid Configuration Tool, welches wir bereits im 20. Kalendertürchen bei der Postfach-Migration angeschaut haben.
—–
All diese Dinge kann ich auch per PowerShell konfigurieren. Dies ist der große Unterschied zu SharePoint Online. Manche Dinge kann ich in Exchange sogar nur über die Kommandozeile konfigurieren, wie z.B. eine Passwort-Ablaufregel. Wir wollten uns aber im O365Adventskalender nur auf die einfachsten und wichtigsten Anwendungsszenarien konzentrieren, um für den Start in die Microsoft Cloud gut aufgestellt zu sein. All die weiteren Funktionen, die ich hier nur kurz aufgezählt habe, haben natürlich auch einen gewissen Mehrwert, sind aber nur bei bestimmten Anwendungsszenarien sinnvoll.
Die Konfiguration all dieser Funktionen ist sehr übersichtlich über das UI und daher könnt ihr einfach mal drauf los konfigurieren. Andernfalls sind für fast alle Funktionen auch gute Technet Artikel verfügbar, um notfalls etwas nachlesen zu können.
Happy „SharePointing“ und „fröhlichen Austauschen“… 😉
Zur O365Adventskalender Übersicht