Checkliste Tenant Einrichtung

Ein Office 365 Tenant ist schnell angelegt aber haben Sie dann wirklich schon alles beachtet? Die Checkliste soll ihnen dabei helfen, die Einrichtung komplett und geplant vorzunehmen.

Wenn auch wenn Microsoft vieles per Browser einstellt, so sind einige Standardvorgaben darauf ausgerichtet, dass die Anwender möglichst problemlos die Dienste nutzen können. Das ist aber nicht immer im Interesse des Unternehmens, welches natürlich die Einführung von verschiedenen kontrollieren will.

Einige Dinge dürfen ja auch erst freigeschaltet werden, wenn die rechtlichen und organisatorischen Randbedingungen vorhanden sind. Ich denke da an Compliance, Retention Policies, Disclaimer, Journalregel. etc.

Insofern ist diese Liste nur ein Anfang.

Aktion	Status
Sponsor vorhanden? Sie können natürlich direkt über www.office365.com einen neuen Tenant einrichten. Wenn Sie aber Kontakt zu einem Partner oder Lizenzvertrieb haben, dann fragen Sie doch mal nach deren "Sponsor-Möglichkeiten". Wenn ein Partner ihnen einen Tenant vorbereitet, dann kann das Vorteile haben, z.B. dass die Testlizenzen deutlich länger laufen.
Namen festlegen Jedes Kind braucht einen Namen und genauso müssen Sie sich Gedanken über den Tenant-Namen machen. Die meisten Administratoren kennen den Namen nur als <%tenantname%>.onmicrosoft.com und damit als UPN-Suffix des ersten Administrators. Der Name erscheint durchaus an der ein oder anderen Stelle, z.B. SharePoint URL OneDrive URL CRM URL Es könnten zukünftig noch an weiteren Stellen der Name sichtbar werden Office 365 Tenantname Choose your Office 365 tenant name wisely! https://ian-moran.com/2019/04/13/choose-your-office-365-tenant-name-wisely/
Sprache und Region Bei der Einrichtung des Tenant ist die Auswahl der Region zu beachten, da Sie nachträglich nicht mehr geändert werden kann. https://admin.microsoft.com/AdminPortal/Home#/companyprofile Office 365 Region und UsageLocation
Admin mit Rückrufnummer Bei der Beantragung des Tenants ist auch ein Administrator anzugeben. Um Missbrauch zu erschweren, wird hier eine Rufnummer erwartet, unter der Office 365 anruft oder eine SMS sendet. Der so übermittelte Verification-Code muss im Beantragungsprozess angegeben werden. In dem Prozess sollte auch eine Mailadresse außerhalb des Tenant angegeben werden, um notfalls einen Rücksetzlink zu erhalten.
Firmendaten pflegen Nachdem der Tenant angelegt wurde, landet der Browser direkt auf dem Benutzer-Portal Es bietet sich an hier noch mal die Firmendaten zu komplettieren. Auf dem Portal können Sie dazu oben auf den Firmennamen klicken und die weiteren Felder ausfüllen. Hinweis: An mehreren Stellen in Office 365 können Sie Mailadressen hinterlegen, z.B. als technische Ansprechpartner aber auch als Empfänger für Systembenachrichtigungen, Reports, Exchange Quarantänemeldungen, Alarme etc. Vermeiden Sie hier "persönliche" Adressen, denn Mitarbeiter ändern auch ihren Arbeitsbereich. überlegen Sie sich Funktions-Adresse, z.B. messages.intune.%tenantname% o.ä., die sie dann einem Postfach, einem Verteiler oder einem Teams zusätzlich geben können.
Domains einrichten Niemand will mit einer "tenantname.onmicrosoft.com"-Adresse dauerhaft arbeiten. Daher sollte Sie alle Domains, sie sie als UPN-Domain, SMTP-Domain, SIP-Domain etc. nutzen in ihrem Tenant addieren und über einen DNS-Eintrag auch verifizieren. Im Zuge der Einrichtung wird auch festgelegt, für welche Dienste die Domänen genutzt werden. Office 365 zeigt dann an, welche weitere DNS-Einträge erforderlich sind, z.B. "autodiscover", MX-Records, Skype for Business, Intune etc. Achten Sie darauf, dass nicht alle Empfehlungen von Office 365 für ihre Umgebung zutreffend sind.
Anlegen weitere Admin Konten mit MFA Sie sollten nicht nur einen Administrator haben. Legen Sie entsprechend ihrem Security-Konzept weitere Administratoren an und aktivieren Sie möglichst auch MFA. Denken Sie aber auch einen "Notfall-Admins" ohne MFA", dessen sehr langes Kennwort und nicht offensichtlicher Benutzername z.B. im Schließfach hinterlegt wird. Sie umgehen damit den Recovery-Prozess, wenn Sie alle anderen Zugänge nicht mehr nutzen können. In dem Zuge sollten Sie auch prüfen, ob ein Partner als "Delegierte Administration in Office 365" berechtigt werden sollte oder ob sie einen voreingestellten Partner gerade nicht als Administrator eingetragen haben wollen.
Gast Access Benutzer und Administratoren können per Default Gäste aus anderen Tenants einladen gemeinsam Daten zu bearbeiten. Diese Funktion erfordert, dass die Gäste im AzureAD angelegt werden. Diese Funktion kann über das AzureAD-Portal gesteuert werden. Die Möglichkeit selbst kann später auch noch mal pro Applikation erlaubt und verboten werden, wenn globale Einstellungen es prinzipiell erlauben. https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/UserSettings
Teams/Groups Für die Nutzung von Teams und Office Groups sollten Sie Voreinstellungen vornehmen: Teams und Groups Provisioning Per Default kann jeder Benutzer sofort "Office Groups" und "Microsoft Teams" einrichten. Das ist bei den meisten Firmen so nicht gewünscht. Hier sind meist Anpassungen erforderlich. Guest Access https://admin.teams.microsoft.com/company-wide-settings/guest-configuration In Teams ist die Funktion "Gäste einladen" aktiv. Anwender können das Menü also sehen und nutzen. Dies können Sie im Teams Admin Center abschalten. Global maßgeblich ist aber die Einstellung in AzureAD
Office 365 Pro Plus Installation Per Default kann jeder Anwender mit einer Lizenz auch die Office Applikationen herunter laden. Das ist interessant für Anwender im Außendienst aber Firmenstandorte wählen lieber den Weg die Installationsquellen vor Ort bereit zu stellen und zu verteilen. Dann sollten sie die "Selbstinstallation" durch Anwender deaktivieren. Office 365 Professional Plus Office 365 Pro Plus Deployment Checkliste
Early Features Ob Sie für einen produktiven Tenant diese Funktion aktivieren, bleibt ihnen überlassen. Auf einem Test-Tenant kann es durchaus erforderlich sein. Aber auch in der Produktion können Sie früher Funktionen für bestimmte Personen freischalten https://admin.microsoft.com/AdminPortal/Home#/companyprofile Set up the Standard or Targeted release options in Office 365 https://docs.microsoft.com/de-de/office365/admin/manage/release-options-in-office-365?view=o365-worldwide Office365 Enable Early Release and Try New Features First https://www.slashadmin.co.uk/office365-enable-early-release-and-try-new-features-first/
App-Store und Trial Lizenz unterbinden Für einige Dienste kann sich ein Anwender selbst eine Trial Lizenz anfordern. Auch die Nutzung des App Store können Sie in dem Schritt gleich mit abschalten. https://admin.microsoft.com/AdminPortal/Home#/Settings/ServicesAndAddIns Office 365 Trial Offer PowerBI-Tenant
External Access und Sharing Der Zugriff bzw. die Freigabe von Dokumenten in OneDrive, SharePoint etc. kann über die Funktion "External Sharing" gesteuert werden. Manage sharing with external users in Office 365 Small Business- Turn external Sharing off or on https://support.office.com/en-ie/article/manage-sharing-with-external-users-in-office-365-small-business-2951a85f-c970-4375-aa4f-6b0d7035fe35#__toc336605371 SharePoint Online: External sharing overview https://docs.microsoft.com/de-de/sharepoint/external-sharing-overview https://docs.microsoft.com/de-de/sharepoint/turn-external-sharing-on-or-off Turn on or off guest access to Microsoft Teams https://docs.microsoft.com/de-de/microsoftteams/set-up-guests Ich schalte die Funktionen meist erst einmal ab, bis der Kunde sich Gedanken über Dokument-Klassifizierung, Mitarbeiterschulungen, Data Leakage Protection (DLP), Azure Information Protection (AIP) etc. gemacht hat.
Exchange Wenn das erste Postfach in der Cloud ist, ist es auch von überall erreichbar, wenn sich der Anwender anmelden kann. Entscheiden Sie vorher, wie Sie unerwünschte Zugriffe von nicht autorisierten Endgeräten unterbinden. ActiveSync Quarantine Aktivieren der Exchange Online Quarantäne ist ein einfacher Weg, unbekannte Clients zu blockieren. Sie könnten z.B. nur "Outlook for IOS/Android" per Regel zulassen und native Clients manuell freigeben. ActiveSync Policies Auch ohne MDM könnten Sie z.B. über Exchange Richtlinien eine PIN auf Mobilgeräten vorschreiben. OWA-Policies Für den Anfang könnte es auch reichen, den Zugriff per OWA über OWA-Policies zu steuern. Exchange Mailbox Pläne Über Templates können Sie z.B. die Freischaltung von POP3/IMAP4 für neue Postfächer per Default abschalten AntiSpam/Quarantäne Microsoft empfiehlt den Attachment-Filter für ausführbare Anlagen zu aktivieren. Per Default ist aber aber nicht aktiv. Transport Regeln z.B. für Disclaimer, Signatur, Umleitungen, Journal EOP/Connectoren Meist wollen Sie bestimmte Systeme einen direkten Zugang zum Tenant einrichten oder ausgehende Mails alternativ routen. Fax-Server oder Archivsysteme sind hier Beispiele. Sonstige Exchange Policies Denken Sie aber auch an all die anderen Exchange Einstellungen wie Adressbuchrichtlinien, (ABP), Offline Adressbücher, etc. Genau genommen kopiert man diese mit der Konfiguration von Exchange Hybrid und ehe die erste Mailbox in der Cloud ankommt. Aber es soll ja auch Installationen geben, bei denen direkt mit Exchange Online gestartet wird und die Mails von Notes oder GroupWise o.ä. übertragen werden. Abfragebasierte Verteiler - Querybased distribution Groups Hier sind OnPrem Anpassungen erforderlich, da abfragebasierte Verteiler im Standard nur "Mailbox"-Objekte einschließen und ein Cloud-Postfach lokal eine "Remote Mailbox" ist. Für Outlook und andere Clients müssen Sie sich zu Conditional Access, MFA oder Claimrules auf dem lokalen ADFS-Server umschauen. Denken Sie dran, dass Exchange Online alle erlaubt, damit sie erst einmal nichts gesondert freischalten müssen. Ob Sie so starten wollen, müssen Sie entscheiden.
OneDrive Default Size Über das OneDrive Admin Center können Sie einstellen, wie groß der Platz pro Benutzer auf dem OneDrive ist. Per Default sind hier 1TB möglich aber vielleicht wollen sie, dass der Default erst mal geringer ist. OneDrive Admin Center https://admin.onedrive.com Set the default storage space for OneDrive users https://docs.microsoft.com/de-de/onedrive/set-default-storage-space Change a specific user's OneDrive storage space https://docs.microsoft.com/de-de/onedrive/change-user-storage
Company-Einstellungen Es gibt einige globale Einstellungen, die ich beim Tenant vielleicht abweichen einstellen will. Sie sind über das Commandlet "set-msolcompanyinformation" zu erreichen und mit Set-MsolCompanyInformation zu schreiben. Einen Teil der Einstellungen erreichen Sie auch auch über die Webseite. AllowAdHocSubscriptions AllowEmailVerifiedUsers MarketingNotificationEMails TechnicalNotificationEMails SecurityComplianceNotificationEmails SelfServePasswordResetEnabled DefaultUsageLocation Allerdings haben Sie hier auch den schnellen Überblick. What is self-service signup for Azure Active Directory? https://docs.microsoft.com/de-de/azure/active-directory/users-groups-roles/directory-self-service-signup Set-MsolCompanySettings https://docs.microsoft.com/en-us/powershell/module/msonline/set-msolcompanysettings?view=azureadps-1.0 PowerBI: How can I prevent users from joining my existing Office 365 tenant? https://docs.microsoft.com/en-us/office365/admin/misc/power-bi-in-your-organization?redirectSourcePath=%252farticle%252fPower-BI-in-your-Organization-d7941332-8aec-4e5e-87e8-92073ce73dc5&view=o365-worldwide#how-can-i-prevent-users-from-joining-my-existing-office-365-tenant How can I prevent my existing users from starting to use Power BI? https://docs.microsoft.com/en-us/office365/admin/misc/power-bi-in-your-organization?redirectSourcePath=%252farticle%252fPower-BI-in-your-Organization-d7941332-8aec-4e5e-87e8-92073ce73dc5&view=o365-worldwide#how-can-i-prevent-my-existing-users-from-starting-to-use-power-bi
Partner-Admin Gerade kleine Firmen nutzen gerne die Funktion, dass ein Dienstleister "Admin" für einen Tenant ist und quasi als "Managed Service" die Verwaltung übernimmt. Der Dienstleister sendet dazu einen speziellen Link an den lokalen Admin und danach erscheint der Partner. Ein Blick in die Liste zeigt ob hier jemand aus ihrer Sicht "zu viel" Rechte hat. Idealerweise ist die Liste leer oder enthält nur Partner mit Servicevereinbarungen. Delegierte Administration in Office 365
AADConnect ausführen Wenn Sie nicht gerade ein 1-10 User Tenant haben und ihre Anwender schon ein lokales Active Directory nutzen, dann sollten Sie AADConnect ausführen, um einen kleinen Verzeichnisabgleich einzurichten. Das geht schnell und die Benutzer in der Cloud werden dann anhand der lokalen Daten gepflegt. Es gibt zwar ein paar Vorabreiten aber das schaffen Sie schon. Lokales AD: UPN-Domains eintragen Die Benutzer im AD brauchen eine UPN-Domäne, die auch in Office 365 gepflegt ist. Authentifizierung Hier können Sie sehr einfach z.B. mit Password Hash Sync (PHS) oder Pass-Through Authentifizierung (PTA) starten. Gerne auch mit Seamless Single Sign On
Lizenzen Ohne Lizenz funktioniert nichts. Es gibt Test-Lizenzen oder sie addieren einen Lizenzcode. Lizenzen im Tenant einspielen Sei es per Kauf, per Code oder als Trial-Lizenz POR/DPOR pflegen Wenn Sie einen Vertragspartner haben, dann könnte es sinnvoll sein, diese Firma als POR - Digital Partner of Records einzutragen. Default UsageLocation Bei der Vergabe einer Lizenz ist die Angabe einer Location erforderlich. Sie könne das pro Benutzer eintragen. Wenn eine Firma aber eh in einem Land ist, dann kann eine Default Location konfiguriert werden. Damit vereinfachen Sie die Konfiguration der Anwender, wenn eine Mehrheit eh die gleiche Location hat. Set-MsolDCompanySettings` -DefaultUsageLocation DE Lizenzen an die Benutzer zuweisen Vergessen sie nicht, die Benutzer mit Lizenzen zu versehen. Das kann mittlerweile über AD-Gruppen erfolgen (Siehe Office 365 Lizenzen mit Azure Groups). Aber Exchange und SfB bitte erst zuweisen, wenn der DirSync die User in der Cloud korrekt mit Attributen versehen hat.
Branding Sie können an verschiedenen Stellen das Aussehen von Office 365, SharePoint u.a. bestimmen. Eher zur Kür gehört die Anpassung der Office 365 Portal-Webseite hinsichtlich einem Firmenlogo. Es sollte folgende Abmessungen haben: 200x300 Pixel mit bis zu 10kByte Größe. Das Hintergrundbild ist 1266x50 Pixel und darf maximal 18kByte groß sein. Anpassen des Office 365-Designs für Ihre Organisation https://docs.microsoft.com/de-de/office365/admin/setup/customize-your-organization-theme?view=o365-worldwide Portal Branding https://admin.microsoft.com/Adminportal/Home?source=applauncher#/companyprofile Ich habe mir aber als Administrator eine deutlich abweichende Farbe im Portal hinterlegt, damit ich den Unterschied sofort erkenne. Interessanter ist sicherlich das Branding der SharePoint-Seiten, da diese von den Anwendern gesehen wird. Branding SharePoint Site https://docs.microsoft.com/de-de/sharepoint/branding-sharepoint-online-sites-modern-experience Wenn Sie einen ADFS-Server oder AzureAD nutzen, können Sie auch hier das Anmeldefenster anpassen: Signin Branding https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/ad-fs-user-sign-in-customization https://docs.microsoft.com/de-de/azure/active-directory/fundamentals/customize-branding

Das sind sicher noch nicht alle Einstellungen und wenn sie glauben, dass hier unbedingt noch eine Einstellung mit rein muss, dann schreiben Sie mir doch einfach.

Weitere Links

Checklisten
Office 365: Deciding Between Single and Multiple Tenants
https://blogs.technet.microsoft.com/ukprodandcomms/?p=182