Checkliste Tenant Einrichtung

Ein Office 365 Tenant ist schnell angelegt aber haben Sie dann wirklich schon alles beachtet? Die Checkliste soll ihnen dabei helfen, die Einrichtung komplett und geplant vorzunehmen.

Wenn auch wenn Microsoft vieles per Browser einstellt, so sind einige Standardvorgaben darauf ausgerichtet, dass die Anwender möglichst problemlos die Dienste nutzen können. Das ist aber nicht immer im Interesse des Unternehmens, welches natürlich die Einführung von verschiedenen kontrollieren will.

Einige Dinge dürfen ja auch erst freigeschaltet werden, wenn die rechtlichen und organisatorischen Randbedingungen vorhanden sind. Ich denke da an Compliance, Retention Policies, Disclaimer, Journalregel. etc.

Insofern ist diese Liste nur ein Anfang.

Aktion Status

Sie können natürlich direkt über www.office365.com einen neuen Tenant einrichten. Wenn Sie aber Kontakt zu einem Partner oder Lizenzvertrieb haben, dann fragen Sie doch mal nach deren "Sponsor-Möglichkeiten". Wenn ein Partner ihnen einen Tenant vorbereitet, dann kann das Vorteile haben, z.B. dass die Testlizenzen deutlich länger laufen.

Namen festlegen

Jedes Kind braucht einen Namen und genauso müssen Sie sich Gedanken über den Tenant-Namen machen. Der Name erscheint durchaus an der ein oder anderen Stelle, z.B.

  • SharePoint URL
  • OneDrive URL
  • CRM URL

Es könnten zukünftig noch an weiteren Stellen der Name sichtbar werden

Sprache und Region

Bei der Einrichtung des Tenant ist die Auswahl der Region zu beachten, da Sie nachträglich nicht mehr geändert werden kann.

Admin mit Rückrufnummer

Bei der Beantragung des Tenants ist auch ein Administrator anzugeben. Um Missbrauch zu erschweren, wird hier eine Rufnummer erwartet, unter der Office 365 anruft oder eine SMS sendet. Der so übermittelte Verification-Code muss im Beantragungsprozess angegeben werden. In dem Prozess sollte auch eine Mailadresse außerhalb des Tenant angegeben werden, um notfalls einen Rücksetzlink zu erhalten.

Firmendaten pflegen

Nachdem der Tenant angelegt wurde, landet der Browser direkt auf dem Benutzer-Portal Es bietet sich an hier noch mal die Firmendaten zu komplettieren. Auf dem Portal können Sie dazu oben auf den Firmennamen klicken und die weiteren Felder ausfüllen.

Hinweis:
An mehreren Stellen in Office 365 können Sie Mailadressen hinterlegen, z.B. als technische Ansprechpartner aber auch als Empfänger für Systembenachrichtigungen, Reports, Exchange Quarantänemeldungen, Alarme etc. Vermeiden Sie hier "persönliche" Adressen, denn Mitarbeiter ändern auch ihren Arbeitsbereich. überlegen Sie sich Funktions-Adresse, z.B. messages.intune.%tenantname% o.ä., die sie dann einem Postfach, einem Verteiler oder einem Teams zusätzlich geben können.

Domains einrichten

Niemand will mit einer "tenantname.onmicrosoft.com"-Adresse dauerhaft arbeiten. Daher sollte Sie alle Domains, sie sie als UPN-Domain, SMTP-Domain, SIP-Domain etc. nutzen in ihrem Tenant addieren und über einen DNS-Eintrag auch verifizieren.

Im Zuge der Einrichtung wird auch festgelegt, für welche Dienste die Domänen genutzt werden. Office 365 zeigt dann an, welche weitere DNS-Einträge erforderlich sind, z.B. "autodiscover", MX-Records, Skype for Business, Intune etc.

Achten Sie darauf, dass nicht alle Empfehlungen von Office 365 für ihre Umgebung zutreffend sind.

Anlegen weitere Admin Konten mit MFA

Sie sollten nicht nur einen Administrator haben. Legen Sie entsprechend ihrem Security-Konzept weitere Administratoren an und aktivieren Sie möglichst auch MFA.

In dem Zuge sollten Sie auch prüfen, ob ein Partner als "Delegierte Administration in Office 365" berechtigt werden sollte oder ob sie einen voreingestellten Partner gerade nicht als Administrator eingetragen haben wollen.

Teams/Groups

Für die Nutzung von Teams und Office Groups sollten Sie Voreinstellungen vornehmen:

  • Teams und Groups Provisioning
    Per Default kann jeder Benutzer sofort "Office Groups" und "Microsoft Teams" einrichten. Das ist bei den meisten Firmen so nicht gewünscht. Hier sind meist Anpassungen erforderlich.
  • Guest Access
    Der ist zum Glück per Default eingeschaltet. Aber auch diese Änderung sollten Sie vorbereiten.

Office 365 Pro Plus Installation

Per Default kann jeder Anwender mit einer Lizenz auch die Office Applikationen herunter laden. Das ist interessant für Anwender im Außendienst aber Firmenstandorte wählen lieber den Weg die Installationsquellen vor Ort bereit zu stellen und zu verteilen. Dann sollten sie die "Selbstinstallation" durch Anwender deaktivieren.

Early Features

Ob Sie für einen produktiven Tenant diese Funktion aktivieren, bleibt ihnen überlassen. Auf einem Test-Tenant kann es durchaus erforderlich sein.

App-Store und Trial Lizenz unterbinden

Für einige Dienste kann sich ein Anwender selbst eine Trial Lizenz anfordern. Auch die Nutzung des App Store können Sie in dem Schritt gleich mit abschalten.

External Access und Sharing

Der Zugriff bzw. die Freigabe von Dokumenten in OneDrive, SharePoint etc kann über die Funktion "External Sharing" gesteuert werden.

Ich schalte die Funktionen meist erst einmal ab, bis der Kunde sich Gedanken über Dokument-Klassifizierung, Mitarbeiterschulungen, Data Leakage Protection (DLP), Azure Information Protection (AIP) etc. gemacht hat.

Exchange

Wenn das erste Postfach in der Cloud ist, ist es auch von überall erreichbar, wenn sich der Anwender anmelden kann. Entscheiden Sie vorher, wie Sie unerwünschte Zugriffe von nicht autorisierten Endgeräten unterbinden.

  • ActiveSync Quarantine
    Aktivieren der Exchange Online Quarantäne ist ein einfacher Weg, unbekannte Clients zu blockieren. Sie könnten z.B. nur "Outlook for IOS/Android" per Regel zulassen und native Clients manuell freigeben.
  • ActiveSync Policies
    Auch ohne MDM könnten Sie z.B. über Exchange Richtlinien eine PIN auf Mobilgeräten vorschreiben.
  • OWA-Policies
    Für den Anfang könnte es auch reichen, den Zugriff per OWA über OWA-Policies zu steuern.
  • Exchange Mailbox Pläne
    Über Templates können Sie z.B. die Freischaltung von POP3/IMAP4 für neue Postfächer per Default abschalten
  • AntiSpam/Quarantäne
    Microsoft empfiehlt den Attachment-Filter für ausführbare Anlagen zu aktivieren. Per Default ist aber aber nicht aktiv.
  • Transport Regeln
    z.B. für Disclaimer, Signatur, Umleitungen, Journal
  • EOP/Connectoren
    Meist wollen Sie bestimmte Systeme einen direkten Zugang zum Tenant einrichten oder ausgehende Mails alternativ routen. Fax-Server oder Archisysteme sind hier Beispiele.
  • Sonstige Exchange Policies
    Denken Sie aber auch an all die anderen Exchange Einstellungen wie Adressbuchrichtlinien, (ABP), Offline Adressbücher, etc. Genau genommen kopiert man diese mit der Konfiguration von Exchange Hybrid und ehe die erste Mailbox in der Cloud ankommt. Aber es soll ja auch Installationen geben, bei denen direkt mit Exchange Online gestartet wird und die Mails von Notes oder GroupWise o.ä. übertragen werden.

Für Outlook und andere Clients müssen Sie sich zu Conditional Access, MFA oder Claimrules auf dem lokalen ADFS-Server umschauen. Denken Sie dran, dass Exchange Online alle erlaubt, damit sie erst einmal nichts gesondert freischalten müssen. Ob Sie so starten wollen, müssen Sie entscheiden.

OneDrive Default Size

Über das OneDrive Admin Center (https://admin.onedrive.com) können Sie einstellen, wie groß der Platz pro Benutzer auf dem OneDrive ist. Per Default sind hier 1TB möglich aber vielleicht wollen sie, dass der Default erst mal geringer ist.

Company-Einstellungen

Es gibt einige globale Einstellungen, die ich beim Tenant vielleicht abweichen einstellen will. Sie sind über das Commandlet "set-msolcompanyinformation" zu erreichen und mit Set-MsolCompanyInformation zu schreiben. Einen Teil der Einstellungen erreichen Sie auch auch über die Webseite.

  • AllowAdHocSubscriptions
  • AllowEmailVerifiedUsers
  • SelfServePasswordResetEnabled
  • MarketingNotificationEMails
  • TechnicalNotificationEMails
  • SelfServePasswordResetEnabled
  • DefaultUsageLocation

Allerdings haben Sie hier auch den schnellen Überblick.

AADConnect ausführen

Wenn Sie nicht gerade ein 1-10 User Tenant haben und ihre Anwender schon ein lokales Active Directory nutzen, dann sollten Sie AADConnect ausführen, um einen kleinen Verzeichnisabgleich einzurichten. Das geht schnell und die Benutzer in der Cloud werden dann anhand der lokalen Daten gepflegt. Es gibt zwar ein paar Vorabreiten aber das schaffen Sie schon

Lizenzen

Ohne Lizenz funktioniert nichts. Es gibt Test-Lizenzen oder sie addieren einen Lizenzcode.

  • Lizenzen im Tenant einspielen
    Sei es per Kauf, per Code oder als Trial-Lizenz
  • POR/DPOR pflegen
    Wenn Sie einen Vertragspartner haben, dann könnte es sinnvoll sein, diese Firma als POR - Digital Partner of Records einzutragen.
  • Default UsageLocation
    Bei der Vergabe einer Lizenz ist die Angabe einer Location erforderlich. Sie könne das pro Benutzer eintragen. Wenn eine Firma aber eh in einem Land ist, dann kann eine Default Location konfiguriert werden. Damit vereinfachen Sie die Konfiguration der Anwender, wenn eine Mehrheit eh die gleiche Location hat.
Set-MsolDCompanySettings`
   -DefaultUsageLocation DE
  • Lizenzen an die Benutzer zuweisen
    Vergessen sie nicht, die Benutzer mit Lizenzen zu versehen. Das kann mittlerweile über AD-Gruppen erfolgen (Siehe Office 365 Lizenzen mit Azure Groups). Aber Exchange und SfB bitte erst zuweisen, wenn der DirSync die User in der Cloud korrekt mit Attributen versehen hat.

Branding

Sie können an verschiedenen Stellen das Aussehen von Office 365, SharePoint u.a. bestimmen.

 

Eher zur Kür gehört die Anpassung der Office 365 Portal-Webseite hinsichtlich einem Firmenlogo. Es sollte folgende Abmessungen haben:

200x300 Pixel mit bis zu 10kByte Größe. Das Hintergrundbild ist 1266x50 Pixel und darf maximal 18kByte groß sein.

Ich habe mir aber als Administrator eine deutlich abweichende Farbe im Portal hinterlegt, damit ich den Unterschied sofort erkenne.

Interessanter ist sicherlich das Branding der SharePoint-Seiten, da diese von den Anwendern gesehen wird.

Wenn Sie einen ADFS-Server oder AzureAD nutzen, können Sie auch hier das Anmeldefenster anpassen:

Das sind sicher noch nicht alle Einstellungen und wenn sie glauben, dass hier unbedingt noch eine Einstellung mit rein muss, dann schreiben Sie mir doch einfach.

Weitere Links