Checkliste Tenant Einrichtung

Ein Office 365 Tenant ist schnell angelegt aber haben Sie dann wirklich schon alles beachtet? Die Checkliste soll ihnen dabei helfen, die Einrichtung komplett und geplant vorzunehmen.

Wenn auch wenn Microsoft vieles per Browser einstellt, so sind einige Standardvorgaben darauf ausgerichtet, dass die Anwender möglichst problemlos die Dienste nutzen können. Das ist aber nicht immer im Interesse des Unternehmens, welches natürlich die Einführung von verschiedenen kontrollieren will.

Einige Dinge dürfen ja auch erst freigeschaltet werden, wenn die rechtlichen und organisatorischen Randbedingungen vorhanden sind. Ich denke da an Compliance, Retention Policies, Disclaimer, Journalregel. etc.

Insofern ist diese Liste nur ein Anfang.

Aktion Status

Sie können natürlich direkt über www.office365.com einen neuen Tenant einrichten. Wenn Sie aber Kontakt zu einem Partner oder Lizenzvertrieb haben, dann fragen Sie doch mal nach deren "Sponsor-Möglichkeiten". Wenn ein Partner ihnen einen Tenant vorbereitet, dann kann das Vorteile haben, z.B. dass die Testlizenzen deutlich länger laufen.

Namen festlegen

Jedes Kind braucht einen Namen und genauso müssen Sie sich Gedanken über den Tenant-Namen machen. Der Name erscheint durchaus an der ein oder anderen Stelle, z.B.

  • SharePoint URL
  • OneDrive URL
  • CRM URL

Es könnten zukünftig noch an weiteren Stellen der Name sichtbar werden

Sprache und Region

Bei der Einrichtung des Tenant ist die Auswahl der Region zu beachten, da Sie nachträglich nicht mehr geändert werden kann.

Admin mit Rückrufnummer

Bei der Beantragung des Tenants ist auch ein Administrator anzugeben. Um Missbrauch zu erschweren, wird hier eine Rufnummer erwartet, unter der Office 365 anruft oder eine SMS sendet. Der so übermittelte Verification-Code muss im Beantragungsprozess angegeben werden. In dem Prozess sollte auch eine Mailadresse außerhalb des Tenant angegeben werden, um notfalls einen Rücksetzlink zu erhalten.

Firmendaten pflegen

Nachdem der Tenant angelegt wurde, landet der Browser direkt auf dem Benutzer-Portal Es bietet sich an hier noch mal die Firmendaten zu komplettieren. Auf dem Portal können Sie dazu oben auf den Firmennamen klicken und die weiteren Felder ausfüllen.

Domains einrichten

Niemand will mit einer "tenantname.onmicrosoft.com"-Adresse dauerhaft arbeiten. Daher sollte Sie alle Domains, sie sie als UPN-Domain, SMTP-Domain, SIP-Domain etc. nutzen in ihrem Tenant addieren und über einen DNS-Eintrag auch verifizieren.

Im Zuge der Einrichtung wird auch festgelegt, für welche Dienste die Domänen genutzt werden. Office 365 zeigt dann an, welche weitere DNS-Einträge erforderlich sind, z.B. "autodiscover", MX-Records, Skype for Business, Intune etc.

Achten Sie darauf, dass nicht alle Empfehlungen von Office 365 für ihre Umgebung zutreffend sind

Anlegen weitere Admin Konten mit MFA

Sie sollten nicht nur einen Administrator haben. Legen Sie entsprechend ihrem Security-Konzept weitere Administratoren an und aktivieren Sie möglichst auch MFA.

Teams/Groups

Für die Nutzung von Teams und Office Groups sollten Sie Voreinstellungen vornehmen:

  • Teams und Groups Provisioning
    Per Default kann jeder Benutzer sofort "Office Groups" und "Microsoft Teams" einrichten. Das ist bei den meisten Firmen so nicht gewünscht. Hier sind meist Anpassungen erforderlich.
  • Guest Access
    Der ist zum Glück pe Default eingeschaltet. Aber auch diese Änderung sollten Sie vorbereiten.

Office 365 Pro Plus Installation

Per Default kann jeder Anwender mit einer Lizenz auch die Office Applikationen herunter laden. Das ist interessant für Anwender im Außendienst aber Firmenstandorte wählen lieber den Weg die Installationsquellen vor Ort bereit zu stellen und zu verteilen. Dann sollten sie die "Selbstinstallation" durch Anwender deaktivieren.

Early Features

Ob Sie für einen produktiven Tenant diese Funktion aktivieren, bleibt ihnen überlassen. Auf einem Test-Tenant kann es durchaus erforderlich sein.

App-Store und Trial Lizenz unterbinden

Für einige Dienste kann sich ein Anwender selbst eine Trial Lizenz anfordern. Auch die Nutzung des App Store können Sie in dem Schritt gleich mit abschalten.

Exchange

Wenn das erste Postfach in der Cloud ist, ist es auch von überall erreichbar, wenn sich der Anwender anmelden kann. Entscheiden Sie vorher, wie Sie unerwünschte Zugriffe von nicht autorisierten Endgeräten unterbinden.

  • ActiveSync Quarantine
    Aktivieren der Exchange Online Quarantäne ist ein einfacher Weg
  • Active Sync Policies
    Auch ohne MDM könnten Sie z.B. über Exchange Richtlinien eine PIN auf Mobilgeräten vorschreiben.
  • OWA-Policies
    Für den Anfang könnte es auch reichen, den Zugriff per OWA über OWA-Policies zu steuern.
  • Sonstige Exchange Policies
    Denken Sie aber auch an all die anderen Exchange Einstellungen wie Adressbuchrichtlinien, (ABP), Offline Adressbücher, etc. Genau genommen kopiert man diese mit der Konfiguration von Exchange Hybrid und ehe die erste Mailbox in der Cloud ankommt. Aber es soll ja auch Installationen geben, bei denen direkt mit Exchange Online gestartet wird und die Mails von Notes oder GroupWise o.ä. übertragen werden.

Für Outlook und andere Clients müssen Sie sich zu Conditional Access, MFA oder Claimrules auf dem lokalen ADFS-Server umschauen. Denken Sie dran, dass Exchange Online alle erlaubt, damit sie erst einmal nichts gesondert freischalten müssen. Ob Sie so starten wollen, müssen Sie entscheiden.

OneDrive Default Size

Über das OneDrive Admin Center (https://admin.onedrive.com) können Sie einstellen, wie groß der Platz pro Benutzer auf dem OneDrive ist. Per Default sind hier 1TB möglich aber vielleicht wollen sie, dass der Default erst mal geringer ist.

Company-Einstellungen

Es gibt einige globale Einstellungen, die ich beim Tenant vielleicht abweichen einstellen will. Sie sind über das Commandlet "set-msolcompanyinformation" zu erreichen und mit Set-MsolCompanyInformation zu schreiben. Einen Teil der Einstellungen erreichen Sie auch auch über die Webseite.

  • AllowAdHocSubscriptions
  • AllowEmailVerifiedUsers
  • SelfServePasswordResetEnabled
  • MarketingNotificationEMails
  • TechnicalNotificationEMails
  • SelfServePasswordResetEnabled
  • DefaultUsageLocation

Allerdings haben Sie hier auch den schnellen Überblick.

AADConnect ausführen

Wenn Sie nicht gerade ein 1-10 User Tenant haben und ihre Anwender schon ein lokales Active Directory nutzen, dann sollten Sie AADConnect ausführen, um einen kleinen Verzeichnisabgleich einzurichten. Das geht schnell und die Benutzer in der Cloud werden dann anhand der lokalen Daten gepflegt. Es gibt zwar ein paar Vorabreiten aber das schaffen Sie schon

Lizenzen

Ohne Lizenz funktioniert nichts. Es gibt Test-Lizenzen oder sie addieren einen Lizenzcode.

  • Lizenzen im Tenant einspielen
    Sei es per Kauf, per Code oder als Trial-Lizenz
  • Default UsageLocation
    Bei der Vergabe einer Lizenz ist die Angabe einer Location erforderlich. Sie könne das pro Benutzer eintragen. Wenn eine Firma aber eh in einem Land ist, dann kann eine Default Location konfiguriert werden. Damit vereinfachen Sie die Konfiguration der Anwender, wenn eine Mehrheit eh die gleiche Location hat.
Set-MsolDCompanySettings`
   -DefaultUsageLocation DE
  • Lizenzen an die Benutzer zuweisen
    Vergessen sie nicht, die Benutzer mit Lizenzen zu versehen. Das kann mittlerweile über AD-Gruppen erfolgen (Siehe Office 365 Lizenzen mit Azure Groups). Aber Exchange und SfB bitte erst zuweisen, wenn der DirSync die User in der Cloud korrekt mit Attributen versehen hat.

Branding

Eher zur Kür gehört die Anpassung der Webseite hinsichtlich einem Firmenlogo. Es sollte folgende Abmessungen haben:

200x300 Pixel mit bis zu 10kByte Größe. Das Hintergrundbild ist 1266x50 Pixel und darf maximal 18kByte groß sein.

Ich habe mir aber als Administrator eine deutlich abweichende Farbe im Portal hinterlegt, damit ich den Unterschied sofort erkenne.

Das sind sicher noch nicht alle Einstellungen und wenn sie glauben, dass hier unbedingt noch eine Einstellung mit rein muss, dann schreiben Sie mir doch einfach.

Weitere Links