Office 365 Pro Plus Deployment Checkliste

Als Firma möchten Sie natürlich mehrt Kontrolle über ein Office Rollout haben. Sie möchten sicher die Version bestimmen, aber auch wann installiert wird und vor allem aus welcher Quelle. Der aktuell einfachste Weg an Office 2016 zu kommen ist auch hier ein Office 365 Abonnement, über welches die Installationsquellen bereitgestellt und Lizenzen zugewiesen werden. Sie brauchen also ein Office 365 Subscription mit entsprechenden Lizenzen für jeden Anwender. Aber natürlich wollen Sie nicht, dass alle Anwender eigenständig Office aus der Cloud herunter laden. Zum einen bräuchten die Anwender wohl lokale Administrations-Rechte, solange die Basiskomponenten für App-Streaming nicht eingerichtet sind und die Internet-Leitung muss auch nicht durch mehrfache Downloads belastet werden.

Aber auch hierfür hat Microsoft eine Lösung in Form der "Office 2016 Deployment Tool".

Achtung: Lesen Sie unbedingt die Abhängigkeiten. So können Sie nicht Office 365 (2013) und Office 365 (2016) parallel betreiben. Sie können aber durchaus ein e Volume License Version von Office 2013 parallel betreiben. Allerdings wird z.B. Infopath deinstalliert, kann aber wieder nachinstalliert werden. u.a. Siehe dazu:
Prepare to Update Office 365 ProPlus to the Office 2016 version https://technet.microsoft.com/en-us/library/mt422981.aspx

Für einen Firmeneinsatz habe ich folgende verkürzte Checkliste.

Aufgabe Erledigt

Office 365 Tenant Vorarbeiten

Wenn Sie noch keinen Office 365 Tenant haben, dann müssen Sie natürlich erst einmal diese Vorarbeit erledigen,

  1. Office 365 Tenant kaufen
  2. Domain registrieren
  3. User anlegen

Auf den Einsatz eines Verzeichnisabgleich (Siehe Office 365:Identity) und Authentifizierung gehe ich hier nicht weiter ein.

Download durch Anwender verhindern

Zu aller erst würde ich verhindern, dass Anwender über portal.office365.com eigenverantwortlich Office 365 ProPlus herunterladen können. Das können Sie als Administrator ganz einfach per Webbrowser konfigurieren.

Solange der Anwender noch keine Lizenz hat, kann er natürlich sowieso nichts herunter laden. Aber das ändert sich im nächsten Schritt.

Lizenzen zuweisen

Nachdem die Anwender selbst Office 365 Pro Plus nicht mehr herunterladen und installieren können, weise ich gerne vorab die Lizenzen zu. Auch das geht per Browser oder natürlich per Powershell.

Auch wenn der Anwender Office 365 ProPlus nicht mehr manuell selbst herunter laden können, so benötigen Sie natürlich eine Lizenz, damit das später vom Administrator installierte Office 365 ProPlus funktioniert.

Downloadbereich anlegen

Über das "Office 2016 Deployment Tool" können Sie als Administrator in Kürze die Installationsquellen auf einen internen Server herunterladen und von den Client installieren lassen. Dazu benötigen Sie natürlich einige Gigabyte Platz auf einem SMB-Server oder Webserver. Da hier auch mehrere Office-Versionen landen können, sollten Sie hier nicht zu knapp planen. Ich nutze gerne dazu den klassischen Dateiserver und gebe das Verzeichnis zusätzlich per HTTP frei.

Jede Office Version ist ca. 800MB zzgl. 200MB je Sprache. Er also 12 Monate vorhalten will, sollte hier einige GB einrechnen oder ältere Versionen konsequent löschen.

Wenn Sie den Download nicht per SMB sondern per HTTP einrichten, dann können Sie über die IISLogs sehr elegant das Volumen der Updates auswerten. Zudem kann so der Download komplett "Anonym" erfolgen und erfordert keine Anmeldung am Server.

Sie können später über verschiedene XML-Dateien auch verschiedene URLs und SMB-shared zuweisen. Wen Sie mehrere Standorte haben, dann sollten Sie überlegen, ob ein DFS-Share mit Replikation in die verschiedenen Standorte und einen gemeinsamen Namen eine passende Option ist. Denkbar ist natürlich auch ein HTTP-Download. Homeoffice-User haben den Vorteil, dass das Setup zumindest Updates auch von Microsoft direkt herunterlädt, wenn der Share nicht erreichbar ist.

Office 2016 Deployment Tool auspacken

Laden Sie sich das Office 2016 Deployment Tool herunter und starten Sie die EXE.

Office 2016 Deployment Tool
http://www.microsoft.com/en-us/download/details.aspx?id=49117

Programm ist nur selbstextrahierendes Archiv, welches Sie nach einem Ziel-Pfad fragt und dort einfach nur eine "SETUP.EXE" und eine XML-Datei ablegt:

Die SETUP.EXE wird für eine Firmeninstallation am besten mit der passenden XML-Datei als Konfigurationsbeschreibung aufgerufen.

DOWNLOAD.XML erstellen

Zuerst baue ich mir eine XML-Datei, die die erforderlichen Office Pro Plus-Module und Sprachen herunter lädt. Hier ein Beispiel:

<Configuration>
   <Add SourcePath="\\deployserver\Office365\" OfficeClientEdition="32" >
      <Product ID="O365ProPlusRetail">
         <Language ID="en-us" />
         <Language ID="de-de" />
      </Product>
      <Product ID="VisioProRetail">
         <Language ID="en-us" />
         <Language ID="de-de" />
      </Product>
   </Add>
   <Logging Name="Download.log" Path="\\deployserver\Office365\" /> 
</Configuration>

Durch die Angabe eines "Logging"-Parameters wird auch beim Download ein "Log" geschrieben. Ich konnte dem setup.exe aber noch keine GUI-Ausgabe oder einen Error-Level entlocken. Da bleibt wohl nur das Parsen der Log-Datei, die auch nicht den Namen "download.log" annimmt, sondern dem Schema "%Rechnername%-YYYYMMDD-HHMM.log" folgt.

 

Office Pro Plus Download und Updates einplanen

Über den Windows Taskplaner stelle ich nun den regelmäßigen Aufruf der der folgenden Datei ein:

Rem Download Office 365 Updates

"\\deplyserver\Office365\setup.exe" /Download "\\deplyserver\Office365\download.xml"

Das ist natürlich nur eine sehr verkürzte Version. Es reicht aus, den Download immer dann zu machen, wenn Microsoft eine neue Version veröffentlicht. Sie sollten natürlich den Aufruf des Download überwachen, d.h. dass er auch wirklich erfolgt. Auch das Skript könnte ja bei jedem Start und Ende einen Eventlog-Eintrag erzeugen und Mail versenden.

Microsoft stelle immer am zweiten Dienstag des Monat eine aktualisierte Version bereit.

Achtung: Ein Download findet immer statt. Das Programm lädt mit der Option "/Download" die Dateien immer erst nach %temp%, selbst wenn im Pfad schon die gleichen Dateien liegen.

Hinweis; Office 365 Pro Plus können sie nicht über WSUS oder andere Verteilungsprogramme "erkennen" und Updaten, sondern nur über diesen Update per Streaming.

Wenn ein Client direkt die Update von Microsoft bezieht, holt er sich nur die Deltas. Das macht auch ein Client, der sich später die Update von diesem Share holt. Der Downloadprozess selbst muss aber immer alle Dateien und damit alle Monat auch eine neue Vollversion.

Das können Sie auch schön in der Verzeichnisstruktur sehen:


Das Basisverzeichnis mit dem Downloader

Und hier dann das Zielverzeichnis der Versionen

Insofern sollten Sie ab und an auch ganz alte Versionen (ca. 1,3 GB je Verzeichnis) entfernen, die von Clients nicht mehr benötigt werden.

INSTALL.XML erzeugen

Auch die Clients nutzen das gleiche Setup aber eine andere XML-um die Installation zu steuern. Hier ein Muster:

<Configuration>
   <Add SourcePath="\\deplyserver\Office365\Click to Run\" OfficeClientEdition="32" >
      <Product ID="O365ProPlusRetail">
         <Language ID="de-de" />
      </Product>
      <Product ID="VisioProRetail">
         <Language ID="de-de" />
      </Product>
   </Add> 
   <Updates Enabled="TRUE" UpdatePath="\\deplyserver\Office365\Click to Run\" /> 
   <Display Level="None" AcceptEULA="TRUE" /> 
   <Logging Name="OfficeSetup.txt" Path="%temp%" /> 
   <Property Name="AUTOACTIVATE" Value="1" /> 
</Configuration>

Wird das Setup mit dieser Datei als Parameter aufgerufen, dann installiert sich Office 365 Pro Plus komplett in deutsch inklusive Visio und aktualisiert sich auch automatisch aus der gleichen Quelle und sollte eine Logdatei nach %temp% schreiben. Schon hier sehen Sie, dass Sie über mehrere XML-Dateien verschiedenen Clients auch verschiedene Quelle und Update-Pfade bereitstellen können.

Gruppenrichtlinie erzeugen

Auch wenn Office 365 Pro Plus dank oder leider wegen der Streaming-Technologie nicht über WSUS oder SCCM direkt gesehen und aktualisiert werden, so kann es doch per Gruppenrichtlinien gesteuert werden.

Office 2016 Administrative Template files (ADMX/ADML) and Office Customization Tool
http://www.microsoft.com/en-us/download/details.aspx?id=49030
Hinweis: diese Vorlagen werden manchmal auch aktualisiert.

Über Gruppenrichtlinien können auch die Werte aus den XML-Dateien übersteuert werden.

 

Das sie Gruppenrichtlinien auf Computer, Gruppen von Computern und OUs filtern können, sind unterschiedliche Einstellungen für Zielsysteme möglich. So kann z.B. über den Wert "Target Version" verhindert werden, dass bestimmte Client eine neuere Office Version erhalten. Das ist wichtig für produktionsnahe Systeme, die nicht jeden Monat ein Update erhalten dürfen. Umgekehrt können Sie über die Version und Deadline bei Piloten die aktuellste Version quasi "erzwingen".

Das geht aber alles leider nur in Verbindung mit einer regelmäßigen Anpassung der Gruppenrichtlinie. Einen Modus, dass ein Update quasi immer mit 3 Monaten Verzögerung eingespielt wird, ist so nicht möglich. Hier hilft dann wirklich nur ein zweites "Quell-Verzeichnis" und ein Task, der die gewünschte Version aus dem Download-Bereich in den Deploy-Bereich kopiert.

Office 365 Pro Plus auf dem Client installieren

Nachdem alle Vorarbeiten zur Bereitstellung erfolgt sind, bleibt ihnen nun nur noch die Installation auf dem Client. Das ist technisch der gleiche SETUP-Aufruf, wie beim Download, allerdings mit der passenden Install.XML:

Rem Install Office 365 ProPlus

"\\deplyserver\Office365\setup.exe" /configure "\\deplyserver\Office365\download.xml"

Wie und wann Sie diesen Aufruf nun auf dem Client ausführen, überlasse ich ihnen. Sie können den Aufruf auf immer wieder machen. Das Setup prüft, was da ist und was nicht und ändert die lokale Installation. Sie können also ein "Startup-Skript" oder eine ZAP-Datei in einer Gruppenrichtlinie nutzen oder ihre bekannte Software-Verteilung einsetzen. Notfalls tut es auch ein Anmeldeskript, ein RCMD o.ä. Beachten Sie aber, dass Benutzer beim ersten Aufruf als Administrator arbeiten müssen, wenn die entsprechenden Vorarbeiten für Streaming Updates noch nicht erfolgt sind.

Aktivierung

Office 365 Pro Plus muss durch den Benutzer aktiviert werden. Damit der Anwender am besten nichts davon mit bekommt, sollte eine automatische Authentifizierung konfiguriert worden sein. Wenn der Anwender auf einem "Domain Joined"-Client arbeitet und sich an der Domäne angemeldet hat, dann ist es am einfachsten, wenn der Anwender sich an Office 365 per ADFS anmeldet und "intern" ist.

Wenn der Anwender extern ist oder eine eigenständige Office 365 Identität nutzt oder Sie das Kennwort in die Cloud synchronisieren, dann wird diese automatische Anmeldung nicht funktionieren. Aber selbst mit ADFS sind einige Dinge zu beachten:

  • IE-Einstellungen für automatische Anmeldung
    Ich bevorzuge die automatische Anmeldung nur in der Intranet-Zone und nicht die Aktivierung mit aktuellem Benutzernamen und Kennwort zu arbeiten.
  • ADFS mit Negotiate
    Damit der Client zumindest von Intern sich am ADFS-Server integriert anmeldet, muss der Zugriffe intern direkt zum ADFS-Server ohne Umweg über einen ADFSProxy erfolgen. Zudem muss der Client die URL des ADFS-Servers als "Local Intranet" aufgeführt haben. Prüfen Sie auch, ob eine Anmeldung per Kerberos (Siehe ADFS Authentication und Kerberos Browser) möglich ist.
  • Gruppenrichtlinie für Office 365 Pro Plus
    Sie nächstes Kapitel
  • EIULA-Meldungen
    Manchmal kommen trotz aller Einstellungen in der XML-Datei noch Hinweise und Warnung an die Lizenzbedingungen. Dies kann man durch folgenden Registrierungsschlüssel unterbinden. Wer mit Gruppenrichtlinien arbeitet, sollte den Wert hierüber setzen.
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Registration]
"AcceptAllEulas"=dword:00000001

Nachfolgende Updates

Das Office 2016 Setup richtet bei der Installation entsprechende "Geplante Tasks" auf dem Client ein, welche regelmäßig starten und Office 365 Pro Plus ggfls. aktualisieren. Das Office auf dem Client selbst prüft immer So/Di/Fr zwischen 03:00-07:00 nach Updates ( https://technet.microsoft.com/DE-DE/library/dn761709.aspx) und 15,30, und 75Min, nachdem sich der Benutzer angemeldet hat. Das können Sie aber auch steuern.

Sie laden dazu die Deltas herunter und wenden diese an, wenn gerade keine Office Applikation aktiv ist. Nach einigen Tagen kommt aber ein Popup in der Taskbar, dass Updates anstehen.

Wenn der Anwender selbst das Update manuell antriggert, dann stößt er in Wirklichkeit nur den geplanten Task an. Der Anwender selbst braucht dann keine Admin-Rechte.

Office 365 ProPlus: Updates, Updates, Updates!
https://channel9.msdn.com/Events/Ignite/2015/BRK3133

Office 365 ProPlus: Updates, Updates, Updates!
http://video.ch9.ms/sessions/ignite/2015/decks/BRK3133_Sawin.pptx

 

Weitere Links