Checkliste Tenant Einrichtung
Ein Office 365 Tenant ist schnell angelegt aber haben Sie dann wirklich schon alles beachtet? Die Checkliste soll ihnen dabei helfen, die Einrichtung komplett und geplant vorzunehmen.
Wenn auch wenn Microsoft vieles per Browser einstellt, so sind einige Standardvorgaben darauf ausgerichtet, dass die Anwender möglichst problemlos die Dienste nutzen können. Das ist aber nicht immer im Interesse des Unternehmens, welches natürlich die Einführung von verschiedenen kontrollieren will. Einige Dinge dürfen ja auch erst freigeschaltet werden, wenn die rechtlichen und organisatorischen Randbedingungen vorhanden sind. Ich denke da an Compliance, Retention Policies, Disclaimer, Journalregel, etc. Insofern ist diese Liste nur ein Anfang.
Diese Seite beschränkt sich allein auf die Konfiguration des Tenants. Themen Netzwerk Assessment, Firewall-Planungen, User Adoption, Migration etc. sind hier nicht aufgeführt. Das Ziel ist eine gesunde und auf ihre Anforderungen angepasste Umgebung mit den Leitplanken für die Nutzung bereit zu stellen. Nach dem Abschluss der Checkliste fängt die Reise oder das Abenteuer aber erst an.
Am 26. Jan 2023 habe ich eine Teil der Checkliste als Vortrag auf den TeamsCommunityDays 2023 gehalten. Die Folien dazu sind auf:
2023-teamscomunityday_m365checkliste.pdf
Einige Einstellmöglichkeiten sind nur vorhanden, wenn Sie eine passende Lizenz im Tenant aktiviert haben.
| Aktion | Status |
|---|---|
Sponsor vorhanden?Sie können natürlich direkt über www.office365.com einen neuen Tenant einrichten. Wenn Sie aber Kontakt zu einem Partner oder Lizenzvertrieb haben, dann fragen Sie doch mal nach deren "Sponsor-Möglichkeiten". Wenn ein Partner ihnen einen Tenant vorbereitet, dann kann das Vorteile haben, z.B. dass die Testlizenzen deutlich länger laufen. Achten Sie dabei auf bestehende Tenants.
|
|
Namen festlegenJedes Kind braucht einen Namen und genauso müssen Sie sich Gedanken über den Tenant-Namen machen. Die meisten Administratoren kennen den Namen nur als <%tenantname%>.onmicrosoft.com und damit als UPN-Suffix des ersten Administrators. Der Name erscheint durchaus an der ein oder anderen Stelle, z.B.
Es könnten zukünftig noch an weiteren Stellen der Name sichtbar werden. Achtung: Legen Sie keinen Tenant über eine "TrialVersion" an, denn dann wird der Name von der Maildomain abgeleitet. Aus msxfaq.de wird dann nicht msxfaq.onmicrosoft.com sondern msxfaqde.onmicrosoft.com Denken Sie auch an andere Firmen und Töchter, die vielleicht später einmal ausgegründet werden. Man kann auch Tenants auf Vorrat für wenig Geld belegen. Der Tenantnamen ist auf 25 Zeichen beschränkt.
|
|
Tenant beantragenWenn Sie den Namen und die Region fetgelegt haben, können Sie ihren Tenant beantragen. Dazu benötigen Sie nur einen Webbrowser. Ja nach gewünschtem Tenant (Business oder EDU) müssen Sie aber unterschiedliche Zugänge nutzen. Sie benötigen in der Regel auch eine Kreditkarte für die Identifizierung.
Hinweis: |
|
Sprache und RegionBei der Einrichtung des Tenant ist die Auswahl der Region zu beachten, da Sie nachträglich nicht mehr geändert werden kann.
|
|
DatalocationMit der Auswahl der Region wird auch festgelegt, wo die Daten liegen. Wobei auch das nicht immer stimmen muss, wie folgendes Bild eines Tenants zeigt:
Es gibt Vermutungen zu dem Fall, dass der Kunde in Südafrika war und es noch keine Datacenter in Südafrika gab. Der Kunde hat dann wohl nur Exchange Online lizenziert und die Daten landeten in Europa. Mittlerweile gibt es aber ein Datacenter in Südafrika und wenn der Kunde danach SharePoint/OneDrive/Teams lizenziert hat, konnte dieser Fall eintreten. Microsoft verlagert aber üblicherweise keine Daten nach dem diese einmal provisioniert wurde. Denkbar könnte
|
|
Admin-Konten sichernBei der Beantragung des Tenants ist auch ein Administrator anzugeben. Um Missbrauch zu erschweren, wird hier eine Rufnummer erwartet, unter der Office 365 anruft oder eine SMS sendet. Der so übermittelte Verification-Code muss im Beantragungsprozess angegeben werden. In dem Prozess sollte auch eine Mailadresse außerhalb des Tenant angegeben werden, um notfalls einen Rücksetzlink zu erhalten. Mittlerweile sollten auch alle Administratoren per MFA abgesichert sein. Prüfen Sie dies bei bestehenden und älteren Konten. Wenn ein Admin sein Kennwort zurücksetzt, dann können Sie davon alle anderen Administratoren in Kenntnis setzen. Das ist durchaus ein schnelles Alarmzeichen, wenn jemand dies "versucht" aber nicht schafft.
|
|
Firmendaten pflegenNachdem der Tenant angelegt wurde, landet der Browser direkt auf dem Benutzer-Portal Es bietet sich an hier noch mal die Firmendaten zu komplettieren. Auf dem Portal können Sie dazu oben auf den Firmennamen klicken und die weiteren Felder ausfüllen.
Hinweis: |
|
UPN/Mail-Domains einrichtenNiemand will mit einer "tenantname.onmicrosoft.com"-Adresse dauerhaft arbeiten. Daher sollte Sie alle Domains, sie sie als UPN-Domain, SMTP-Domain, SIP-Domain etc. nutzen in ihrem Tenant addieren und über einen DNS-Eintrag auch verifizieren. Im Zuge der Einrichtung wird auch festgelegt, für welche Dienste die Domänen genutzt werden. Office 365 zeigt dann an, welche weitere DNS-Einträge erforderlich sind, z.B. "autodiscover", MX-Records, Skype for Business, Intune etc. Denken Sie an alle Domains, die sie für Mails und als UPN verwenden. Nebenbei verhindern Sie so den Missbrauch mit einem Viraler Tenant. Denken daran, alle Domains zu addieren, die als "AcceptedDomains" in Exchange hinterlegt sind. Das gleiche gilt für die SIP-Domains von Skype for Business/Teams. Auch wenn Sie nur noch Teams nutzen, sollten Sie die Skype for Business-DNS-Einträge addieren, damit eine Federation mit anderen Firmen möglich ist.
Achten Sie darauf, dass nicht alle Empfehlungen von Office 365 für ihre Umgebung zutreffend sind. |
|
Anlegen weitere Admin Konten mit MFASie sollten nicht nur einen Administrator haben. Legen Sie entsprechend ihrem Security-Konzept weitere Administratoren an und aktivieren Sie möglichst auch MFA. Denken Sie aber auch einen "Notfall-Administratoren" ohne MFA", dessen sehr langes Kennwort und nicht offensichtlicher Benutzername z.B. im Schließfach hinterlegt wird. Sie umgehen damit den Recovery-Prozess, wenn Sie alle anderen Zugänge nicht mehr nutzen können. Letztlich haben Sie aber mehrere Optionen, die sie auch gemischt betreiben können.
Tipp: In dem Zuge sollten Sie auch prüfen, ob ein Partner als "Delegierte Administration in Office 365" berechtigt werden sollte oder ob sie einen voreingestellten Partner gerade nicht als Administrator eingetragen haben wollen. |
|
MFA für BenutzerUm den Zugriff der Anwender nicht nur vom Kennwortabhängig zu machen, unterstützt Office 365 die Multifaktor-Authentifizierung. Eine granulare Steuerung ist über Conditional Access möglich. Aber über die globalen Sicherheitseinstellungen des Tenant können Sie zumindest Basic-MFA aktivieren. Diese Einstellung ist bei neueren Tenants schon Standard:
Achtung: Diese Einstellung steht in Konflikt mit Conditional Access-Regeln. Wer AzureAD P1 und Conditional Access nutzt, sollte diese Einstellungen auf "Nein" stellen oder lassen. Achtung: Security Default deaktiviert SMTP AUTH mit Username/Kennwort In dem Zusammenhang können Sie auch gleich noch einmal einen Blick auf die Kennwortrichtlinien im Tenant auf https://portal.azure.com/#view/Microsoft_AAD_IAM/PasswordProtectionBlade werfen und ggfls. anpassen. Standardmäßig ist hier nur ein "Audit" aktiv und ich würde schon ein "Force" vorschlagen, wenn sie nicht allein auf MFA vertrauen wollen.
|
 |
Azure AD Device Join / Intune Device EnrollmentStandardmäßig kann jeder Anwender bis zu 20 Geräte selbst im AzureAD registrieren. Schon seit Windows 2000 können Anwender auch im lokalen Active Directory bis zu 10 PCs selbst addieren und auch wieder löschen! Suchen Sie einfach im Internet nach den folgenden Feldern:
Prüfen Sie bitte, ob diese Standardeinstellungen ihren Anforderungen entspricht. Achtung: Wenn Benutzer bei der Ersteinrichtung ihres privaten PC ihre "Mailadresse" samt Kennwort eingeben und es ein passendes AzureAD Konto gibt, dann kann der PC per "AzureAD Join" verbunden sind. Scheidet der Mitarbeiter dann aus, dann kann er sich auf seinem PC nicht mehr anmelden. Ich würde hier eher das Recht auf ausgewählte Benutzer, z.B. IT-Koordinatoren, beschränken oder komplett abschalten und auf ADSync aufbauen. ADSync repliziert ja alle im lokalen AD angelegten Konten ins AzureAD als "Hybrid AzureAD Joined". https://portal.azure.com/#blade/Microsoft_AAD_Devices/DevicesMenuBlade/DeviceSettings/menuId/
Meine Empfehlung ist hier, die Einstellung zumindest aus Selected mit einer Berechtigungsgruppe oder sogar auf "None" zu stellen, wenn die Devices eh aus dem lokalen AD repliziert werden. Die gleiche Einstellung gibt es noch mal in den InTune unter "Device Enrollment". In dem Zuge könnten Sie auch die Mitgliedschaft der AzureAD-Rolle "Azure AD Joined Device Local Administrator" pflegen, die auf diesen Geräten dann Admin-Rechte haben.
|
|
Gast AccessAchtung: ab dem 8. Feb 2021 ist der Gastzugriff in Teams per Default eingeschaltet Benutzer und Administratoren können per Default Gäste aus anderen Tenants einladen gemeinsam Daten zu bearbeiten. Diese Funktion erfordert, dass die Gäste im AzureAD angelegt werden. Diese Funktion kann über das AzureAD-Portal gesteuert werden. Die Möglichkeit selbst kann später auch noch mal pro Applikation erlaubt und verboten werden, wenn globale Einstellungen es prinzipiell erlauben. https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/UserSettings
Diese Standard-Einstellungen sind so aus meiner Sicht nicht sinnvoll. Jeder Mitarbeiter kann weitere Gäste einladen und sogar Gäste können Gäste einladen. Siehe dazu auch Management von Gast-Konten.
|
|
Verwalten von GruppenIm AzureAD Portal können und sollten Sie prüfen, ob die Einstellungen ihren Anforderungen entsprechen.
Wenn Sie schon in dem Bereich sind, dann schauen Sie sich links auch noch die beiden weitere Punkte an:
|
|
B2B Direct Connect -Teams Shared ChannelDer Zugriff auf Teams in anderen Tenants über Gastkonten ist per Default "offen". Als Administrator können Sie dies natürlich absichern, indem Sie z.B. die Anlage von Gastkonten beschränken oder die B2B-Federation zwischen Tenants reduzieren. Teams Shared Channels basieren nicht mehr aus Gast-Konten, sondern nutzt B2B Connect-Einstellungen. Die Identitäten von anderen Benutzern erscheinen dabei nicht mehr in ihrem Tenant als Gast. Das bedeutet aber auch, dass Sie diesen Konten nicht nur keine Lizenz zuweisen können. Auch "Conditional Access"-Einstellungen scheinen aktuell nicht mehr zu greifen, bzw. es gelten die Sicherheitseinstellungen im Heimattenant des Benutzers.
Die Pflege von B2B Connect ist eine Voraussetzung für den Betrieb von Teams Shared Channels.
Wie sie sehen, ist B32B Direct Connect standardmäßig abgeschaltet und muss von beiden Administratoren entsprechend konfiguriert werden. Die Nutzung von Shared Channels kann den Bedarf an "Gast-Benutzer" reduzieren. |
|
Microsoft 365 Apps InstallationPer Default kann jeder Anwender mit einer Lizenz auch die Office Applikationen herunter laden. Das ist interessant für Anwender im Außendienst aber Firmenstandorte wählen lieber den Weg die Installationsquellen vor Ort bereit zu stellen und zu verteilen. Dann sollten sie die "Selbstinstallation" durch Anwender deaktivieren. https://admin.microsoft.com/AdminPortal/Home#/Settings/Services/:/Settings/L1/SoftwareDownload
|
|
Microsoft 365 on the WebWenn Sie verhindern möchten, dass Anwender z.B. Dateien in anderen 3rd Party Cloud-Diensten ablegen, dann können Sie dies über Gruppenrichtlinien in Office einschränken. Für Microsoft 365 on the Web gibt es eine separate Einstellung im Admin-Portal.
|
|
Early FeaturesOb Sie für einen produktiven Tenant diese Funktion aktivieren, bleibt ihnen überlassen. Auf einem Test-Tenant kann es durchaus erforderlich sein. Aber auch in der Produktion können Sie früher Funktionen für bestimmte Personen freischalten: https://admin.microsoft.com/AdminPortal/Home#/companyprofile
|
|
Messagecenter/RoadmapDer Funktionsumfang von Office 365 passt sich kontinuierlich an die Anforderungen des Marktes an.
Als Administrator sollten Sie sich daher darüber informieren lassen, was sich ändern wird. Konfigurieren Sie daher die Benachrichtigungen im Nachrichtencenter und ggfls. eine Synchronisation zu einem Planner.
Einige Firmen aktivieren hier den Versand per Mail an ein Ticket-System, um basierend darauf dann Aufgaben zu verteilen. Interessant ist natürlich auch der Abgleich mit einem Planner oder die automatisierte Abfrage per Skript um die in eigenen Plattformen, z.B. Jira etc. zu verarbeiten. Sie sollte Änderungen und Neuerungen aktiv verarbeiten, damit sie nicht überrascht werden. |
|
App-Store und Trial Lizenz unterbindenFür einige Dienste kann sich ein Anwender selbst eine Trial Lizenz anfordern. Auch die Nutzung des App Store können Sie in dem Schritt gleich mit abschalten. https://admin.microsoft.com/AdminPortal/Home#/Settings/ServicesAndAddIns
Die automatische Anforderung ist per Default "aus" und muss zudem noch über eine Richtlinie konfiguriert werden. Im Jan 2023 wäre auch Microsoft Teams die einzige App, die eine Selbstzuweisung untertützt. Insofern ist diese Einstellung noch unkritisch. Aber die "Probeläufe", was quasi eine "Eval-Version" ist, sollten sie aber vielleicht besser abschalten. In einem EDU-Tenant gibt es die untere Checkbox. |
|
Self Licensing abschaltenMitte November 2019 hat Microsoft angekündigt, dass jeder Benutzer in einem Tenant quasi mit seiner eigenen Kreditkarte Services im Tenant kaufen kann. Die Meldung bezog sich anfangs auf die "Power Plattform" aber ist nicht darauf beschränkt. MC193609 Announcing self-service purchase capabilities for Power Platform products
Ein Entwickler oder eine Fachabteilung kann also am "Rechnungs-Admin" vorbei entsprechende Lizenzen mit seiner eigenen Zahlungsmethode dazu kaufen. Das würde in viele Firmen natürlich alle Prozesse umgehen und ich würde es im ersten Schritt erst einmal deaktivieren. Der folgende Code funktioniert nicht mit Version 1.9. Ältere oder neuere Versionen funktionieren. # Aktuell (Stand Sep2013) funktioniert dies noch nicht mit PowerShell 7 / PSCore
# Achtung: NUtzen Sie der MSCommerce-Modul Version 1.8 Die Version 1.9 funktioniert mit dem Code nicht.
# Modul aus der PSGallery installieren
Install-Module -Name MSCommerce
# Modul importieren
Import-Module -Name MSCommerce
# Anmelden mit einem Global Admin oder Rechnungs Admin
Connect-MSCommerce
$product = Get-MSCommerceProductPolicies -PolicyId AllowSelfServicePurchase
$product
ProductName ProductId PolicyId PolicyValue
----------- --------- -------- -----------
Project Plan 3 CFQ7TTC0KXNC AllowSelfServicePurchase Enabled
Visio Plan 1 CFQ7TTC0KXN9 AllowSelfServicePurchase Enabled
Project Plan 1 CFQ7TTC0KXND AllowSelfServicePurchase Enabled
Power Apps CFQ7TTC0KP0P AllowSelfServicePurchase Enabled
Power BI Pro CFQ7TTC0L3PB AllowSelfServicePurchase Enabled
Power Automate CFQ7TTC0KP0N AllowSelfServicePurchase Enabled
Visio Plan 2 CFQ7TTC0KXN8 AllowSelfServicePurchase Enabled
# Alle Produkte deaktivieren
$product | %{Update-MSCommerceProductPolicy -PolicyId AllowSelfServicePurchase -ProductId $_.productid -Enabled $false}
|
|
LizenzvergabeFür jeden Dienst, den ein Anwender in der Cloud nutzen möchte, muss er eine Lizenz bekommen. Je nach Einstellung kann der Anwender aber auch selbst eine "Trial"-Lizenz anfordern. Das wollen Sie vielleicht unterbinden. In der Regel gibt es drei Optionen:
Vielleicht sollten Sie auch überprüfen, wie Sie die Nutzung der Lizenzen überwachen. Aktives Lizenzmanagement kann Kosten sparen. Das gilt auch für das Ausscheiden von Anwendern. Die Lizenz können sie nicht einfach entfernen, da dann auch die Daten gelöscht werden. Aber die Kosten laufen ansonsten weiter. |
|
Teams/GroupsFür die Nutzung von Teams und Office Groups sollten Sie Voreinstellungen vornehmen:
Überlegen Sie, ob "Open Federation" (Default) für ihre Firma passend ist. Es gibt durchaus Risiken, wenn externe Absender z.B. so Dateien teilen oder Mitarbeiter direkt anrufen oder anchatten. Ihre Anwender sollten darauf geschult sein. Ich würde zumindest die Federation zu "nicht verwalteten" Kontakten, d.h. Skype und unmanaged Teams, erst einmal unterbunden.
|
|
Azure Apps registrieren und Consent erteilenDer Zugriff auf Dienste z.B. über Graph erfolgt nicht mehr stumpf mit Benutzername und Kennwort. Applikationen müssen in AzureAD addiert und berechtigt werden. Per Default kann das jeder Benutzer für sich selbst eintragen und berechtigen. Eventuell ist es aber sinnvoll, dass dies unter Admin-Vorbehalt steht. Connect-MsolService Set-MsolCompanySettings ` -UsersPermissionToUserConsentToAppEnabled $false Das geht natürlich auch per Azure Admin Portal.
|
|
External Access und SharingDer Zugriff bzw. die Freigabe von Dokumenten in OneDrive, SharePoint etc. kann über die Funktion "External Sharing" gesteuert werden. Ich schalte die Funktionen meist erst einmal ab, bis der Kunde sich Gedanken über Dokument-Klassifizierung, Mitarbeiterschulungen, Data Leakage Protection (DLP), Azure Information Protection (AIP) etc. gemacht hat. Auch später ist zu überlegen, ob die "Standardfreigabe" für Dokumente auf "Editieren" bleibt oder auf "Nur Anzeigen" gesetzt wird und wie lange diese gültig sind.
|
|
ExchangeWenn das erste Postfach in der Cloud ist, ist es auch von überall erreichbar, wenn sich der Anwender anmelden kann. Entscheiden Sie vorher, wie Sie unerwünschte Zugriffe von nicht autorisierten Endgeräten unterbinden. Hier kommt Conditional Access natürlich zu tragen. Aber auch hinsichtlich der Einstellungen sollten Sie in Exchange Online genau hinschauen, denn die meisten Einstellungen im lokalen Exchange sind erst einmal nicht in der Cloud vorhanden oder anders eingestellt. Mittlerweiler erlaubt der HCW - Hybrid Configuration Wizard schon die Übertragung einiger Einstellungen, aber natürlich gibt es nicht übertragbare Einstellungen und viele neue zusätzliche Einstellungen.
Get-CASMailboxPlan | set-CASMailboxPlan -ImapEnabled:$false -PopEnabled:$false Set-TransportConfig -SmtpClientAuthenticationDisabled:$true
Für Outlook und andere Clients müssen Sie sich zu Conditional Access, MFA oder Claimrules auf dem lokalen ADFS-Server umschauen. Denken Sie dran, dass Exchange Online alle erlaubt, damit sie erst einmal nichts gesondert freischalten müssen. Ob Sie so starten wollen, müssen Sie entscheiden. |
|
OneDrive Default SizeDas alte OneDrive Admin Center unter https://admin.ondrive.com ist mittlerweile ins SharePoint Admin Center umgezogen. Hier können Sie nun die Maximalgröße für OneDrive-Laufwerke einstellen. Nicht alle Firmen möchten, dass Anwender bis zu 1TB quasi in einer individuellen Dateiablage horten können. Ein kleineres Limit zwingt Anwender hoffentlich dazu, die Daten in Teams oder SharePoint abzulegen, so dass eine Zusammenarbeit möglich ist.
|
|
SharePointAuch SharePoint ist von Hause aus auf "Kooperation" ausgelegt. Das bedeutet aber auch, dass jeder Mitarbeiter neue SharePoint Sites anlegen darf. Das sollten Sie ebenfalls erst einmal deaktivieren, bis die Verwendung von SharePoint in ihrem Unternehmen geregelt ist. https://<tenantname>.sharepoint.com/_layouts/15/online/AdminHome.aspx#/settings/SiteCreation
Wenn Sie schon im SharePoint Admin Center sind, können Sie auch gleich das "Sharing" auf ihre Firmenanforderungen anpassen.
Viele Kunden stellen am Anfang das Sharing von "Jeder" erst einmal auf "nur intern" um, bis Datenschutz, Compliance, Rights-Management hier Regeln definiert haben, wer unter welchen Umständen etwas nach nach Extern teilen darf. |
|
Loop/FluidDie mit Loop erstellten Daten landen im Speicherbereich des Benutzers. Das ist kritisch, da mit dem Ausscheiden des Benutzers auch diese Daten ggfls. gelöscht. Loop-Komponenten sind daher nicht als persistente Ablage geeignet sondern wirklich ein Werkzeug um Beiträge mehrerer Personen zu konsolidieren aber am Ende die Ergebnisse in ein andere Format zu überführen. Das müssen Sie aber den Anwendern auch mitteilen und Sie dafür sensibilisieren. Vielleicht wollten Sie die Nutzung erst einmal unterbinden oder auf wenige Piloten beschränken. |
|
Viva (Microsoft Analytics)Office 365 kann die Arbeitsweise der Mitarbeiter analysieren und dem Anwender einen Bericht bereitstellen. Diese Funktion wird oft als "Überwachung" falsch interpretiert und kann über mehrere Optionen abgeschaltet werden.
|
|
DevOpsOhne besondere Einstellungen kann jeder Benutzer eines AzureAD sich selbst kostenfreie DevOps Organisationen anlegen um z.B. Sourcecode darin zu verwalten. Damit besteht aber die Gefahr einer unkoordinierten Datenablage. Daher empfehle ich diese Berechtigungen auf ausgewählte Benutzer oder Administratoren zu beschränken, die dann auf Anforderung eine DevOps Organisation anlegen und berechtigen. Dazu müssen Sie sich zuerst in die AzureAD Rolle der "Azure DevOps Administratoren" addieren.
Erst dann sehen Sie im Azure DevOps-Portal die folgende Einstellmöglichkeit unter Azure AD.
Durch die Aktivierung dieser Option verhindern Sie, dass andere Personen neue DevOps-Organisationen mit ihrem AzureAD verbinden. Sie verhindern damit nicht, dass jemand eine unabhängige DevOps Organisation, z.B. mit seinem Microsoft Konto anlegt.
Wenn ihr Tenant schon einige Zeit aktiv ist, dann sollten Sie als Administrator sich selbst eine DevOps-Organisation anlegen, um dann die Liste der mit ihrem AzureAD verbundenen DevOps Organisationen zu erhalten. Als angemeldeter Anwender können Sie unter https://aex.dev.azure.com/me sehr schnell sehen, welche DevOps Organisationen sie nutzen können. Da jeder Anwender eine DevOps Organisation mit einem freien Namen anlegen kann, könnte es als Firma interessant sein, die eigenen Namen zu belegen. Wäre doch blöde, wenn ein Spammer eine https://dev.azure.com/meinefirma-Adresse belegt und ihre Mitarbeiter dorthin zur Ablage von Sourcecode oder Abruf von "Updates" lockt.
|
|
Company-EinstellungenEs gibt einige globale Einstellungen, die ich beim Tenant vielleicht abweichen einstellen will. Sie sind über das Commandlet "Set-MsolCompanyInformation" zu erreichen und mit Set-MsolCompanyInformation zu schreiben. Einen Teil der Einstellungen erreichen Sie auch auch über die Webseite.
Allerdings haben Sie hier auch den schnellen Überblick.
|
|
Partner-AdminGerade kleine Firmen nutzen gerne die Funktion, dass ein Dienstleister "Admin" für einen Tenant ist und quasi als "Managed Service" die Verwaltung übernimmt. Der Dienstleister sendet dazu einen speziellen Link an den lokalen Admin und danach erscheint der Partner. Ein Blick in die Liste zeigt ob hier jemand aus ihrer Sicht "zu viel" Rechte hat. Idealerweise ist die Liste leer oder enthält nur Partner mit Servicevereinbarungen.
Seit 2022 gibt es mit GDAP - Granular Delegated Admin Privileges eine bessere Funktion einen Partner zu delegieren, ohne dass er gleich Helpdeskadmin und Global Admin ist. Sprechen Sie ihren Partner bitte darauf an, wenn er nicht von sich aus das neue Modell vorschlägt.
|
|
AADConnect ausführenWenn Sie nicht gerade ein 1-10 User Tenant haben und ihre Anwender schon ein lokales Active Directory nutzen, dann sollten Sie AADConnect ausführen, um einen kleinen Verzeichnisabgleich einzurichten. Das geht schnell und die Benutzer in der Cloud werden dann anhand der lokalen Daten gepflegt.
|
|
LizenzenOhne Lizenz funktioniert nichts. Es gibt Test-Lizenzen oder sie addieren einen Lizenzcode.
Set-MsolCompanySettings ` -DefaultUsageLocation DE
|
|
BrandingSie können an verschiedenen Stellen das Aussehen von Office 365, SharePoint u.a. bestimmen. In den Organisationseinstellungen bietet es sich an, vielleicht ein Firmendesign zu hinterlegen. Dies sehen dann die Anwender beim Zugriff auf portal.office.com und anderen Stellen. So können Sie auch schneller erkennen, dass sie im ihrem Tenant sind. Öffnen Sie dazu im Office 365 Admin Center (https://admin.microsoft.com) den Bereich "Einstellungen / „Organisationsprofil“/ „Verwalten von benutzerdefinierten Designs für Ihre Organisation“/“Bearbeiten“. Eher zur Kür gehört die Anpassung der Office 365 Portal-Webseite hinsichtlich einem Firmenlogo. Es sollte folgende Abmessungen haben: 200x300 Pixel mit bis zu 10kByte Größe. Das Hintergrundbild ist 1266x50 Pixel und darf maximal 18kByte groß sein.
Ich habe mir aber als Administrator eine deutlich abweichende Farbe im Portal hinterlegt, damit ich den Unterschied sofort erkenne. Interessanter ist sicherlich das Branding der SharePoint-Seiten, da diese von den Anwendern gesehen wird.
Wenn Sie einen ADFS-Server oder AzureAD nutzen, können Sie auch hier das Anmeldefenster anpassen: |
|
Azure SubscriptionsDie Dienste in Azure sind losgelöst von Office 365 zu betrachten aber Office 365 nutzt das AzureAD und eine getrennte Subscriptions wird ebenfalls an ein Office 365 Verzeichnis angebunden. So können Sie dann die Office 365 Benutzer für die Vergabe von Berechtigungen nutzen. Allerdings ist per Default nicht unterbunden, dass jemand sich eine Subscription (mit eigener Bezahlung) anlegt und diese mit ihrem AzureAD verbindet. Dies können Sie aber unter https://portal.azure.com/#blade/Microsoft_Azure_SubscriptionManagement/ManageSubscriptionPoliciesBlade steuern:
Auf den Eigenschaften ihres AzureAD können Sie ggfls. aktivieren, dass Sie als AzureAD Admin auch automatisch die damit verbundenen Subscriptions verwalten dürfen:
|
|
Neue Tenants anlegenIm Nov 2022 hat Microsoft die Berechtigung
zur Neuanlage von Tenants im Azure-Portal
addiert. Tatsächlich kann per Default jeder am
AzureAD registrierte Benutzer auch weitere
Tenants anlegen. Es ist also das Problem des Mitarbeiters, dass er die Admin-Rechte seines Tenants mit einem von ihnen verwalteten Konto verbindet und beim Verlassen der Firma auch verliert. Dennoch können Sie unterbinden, dass Benutzer ihres Tenants ihre Identität dafür verwenden.
|
|
Client und NetzwerkEs ist ja schön, wenn Sie den Tenant eingerichtet, User und Gruppen angelegt, Lizenzen gekauft und auch sonst alles erledigt haben. Maßgeblich sind aber die Anwender und ihre Clients, die natürlich die Cloud-Dienste auch nutzen müssen. Dazu gibt es einige Voraussetzungen, die auch für die Clients und das Netzwerk erfüllt sein müssen. Siehe dazu auch Checkliste M365 Client Netzwerk. |
|
Weitere Dinge
|
|
Das sind sicher noch nicht alle Einstellungen und wenn sie glauben, dass hier unbedingt noch eine Einstellung mit rein muss, dann schreiben Sie mir doch einfach.
Weitere Links
- Checklisten
- PowerBI-Tenant
- Office 365 Trial Offer
- Developer Tenant / Sandbox
- Conditional Access
- Security Defaults
-
Teams Datenschutz
Teams, Schulen, Cloud, DSGVO, Datenschutz - Wie geht das zusammen ? -
Office 365: Deciding Between Single and
Multiple Tenants
https://blogs.technet.microsoft.com/ukprodandcomms/?p=182 -
What is a “Dev Tenant” and why would you
want one?
https://techcommunity.microsoft.com/t5/microsoft-365-pnp-blog/what-is-a-dev-tenant-and-why-would-you-want-one/ba-p/2036610 -
Entra ID: Ein gekaperter Tenant und was wir
daraus lernen können!
https://asichel.de/2024/06/18/entra-id-ein-gekaperter-tenant-und-was-wir-daraus-lernen-koennen/
