Checkliste Tenant Einrichtung
Ein Office 365 Tenant ist schnell angelegt aber haben Sie dann wirklich schon alles beachtet? Die Checkliste soll ihnen dabei helfen, die Einrichtung komplett und geplant vorzunehmen.
Wenn auch wenn Microsoft vieles per Browser einstellt, so sind einige Standardvorgaben darauf ausgerichtet, dass die Anwender möglichst problemlos die Dienste nutzen können. Das ist aber nicht immer im Interesse des Unternehmens, welches natürlich die Einführung von verschiedenen kontrollieren will.
Einige Dinge dürfen ja auch erst freigeschaltet werden, wenn die rechtlichen und organisatorischen Randbedingungen vorhanden sind. Ich denke da an Compliance, Retention Policies, Disclaimer, Journalregel. etc.
Insofern ist diese Liste nur ein Anfang.
Aktion | Status |
---|---|
Sponsor vorhanden?Sie können natürlich direkt über www.office365.com einen neuen Tenant einrichten. Wenn Sie aber Kontakt zu einem Partner oder Lizenzvertrieb haben, dann fragen Sie doch mal nach deren "Sponsor-Möglichkeiten". Wenn ein Partner ihnen einen Tenant vorbereitet, dann kann das Vorteile haben, z.B. dass die Testlizenzen deutlich länger laufen. |
|
Namen festlegenJedes Kind braucht einen Namen und genauso müssen Sie sich Gedanken über den Tenant-Namen machen. Die meisten Administratoren kennen den Namen nur als <%tenantname%>.onmicrosoft.com und damit als UPN-Suffix des ersten Administrators. Der Name erscheint durchaus an der ein oder anderen Stelle, z.B.
Es könnten zukünftig noch an weiteren Stellen der Name sichtbar werden. Denken Sie auch an andere Firmen und Töchter, die vielleicht später einmal ausgegründet werden. Man kann auch Tenants auf Vorrat für wenig Geld belegen.
|
|
Sprache und RegionBei der Einrichtung des Tenant ist die Auswahl der Region zu beachten, da Sie nachträglich nicht mehr geändert werden kann.
|
|
Tenant beantragenWenn Sie den Namen und die Region bestimmt haben, können Sie ihren Tenant beantragen. Dazu benötigen Sie nur einen Webbrowser. Ja nach gewünschtem Tenant (Business oder EDU) müssen Sie aber unterschiedliche Zugänge nutzen. Sie benötigen in der Regel auch eine Kreditkarte für die Identifizierung.
|
|
Admin mit RückrufnummerBei der Beantragung des Tenants ist auch ein Administrator anzugeben. Um Missbrauch zu erschweren, wird hier eine Rufnummer erwartet, unter der Office 365 anruft oder eine SMS sendet. Der so übermittelte Verification-Code muss im Beantragungsprozess angegeben werden. In dem Prozess sollte auch eine Mailadresse außerhalb des Tenant angegeben werden, um notfalls einen Rücksetzlink zu erhalten. |
|
Firmendaten pflegenNachdem der Tenant angelegt wurde, landet der Browser direkt auf dem Benutzer-Portal Es bietet sich an hier noch mal die Firmendaten zu komplettieren. Auf dem Portal können Sie dazu oben auf den Firmennamen klicken und die weiteren Felder ausfüllen.
Hinweis: |
|
UPN/Mail-Domains einrichtenNiemand will mit einer "tenantname.onmicrosoft.com"-Adresse dauerhaft arbeiten. Daher sollte Sie alle Domains, sie sie als UPN-Domain, SMTP-Domain, SIP-Domain etc. nutzen in ihrem Tenant addieren und über einen DNS-Eintrag auch verifizieren. Im Zuge der Einrichtung wird auch festgelegt, für welche Dienste die Domänen genutzt werden. Office 365 zeigt dann an, welche weitere DNS-Einträge erforderlich sind, z.B. "autodiscover", MX-Records, Skype for Business, Intune etc. Denken Sie an alle Domains, die sie für Mails und als UPN verwenden. Denken daran, alle Domains zu addieren, die als "AcceptedDomains Achten Sie darauf, dass nicht alle Empfehlungen von Office 365 für ihre Umgebung zutreffend sind. |
|
Anlegen weitere Admin Konten mit MFASie sollten nicht nur einen Administrator haben. Legen Sie entsprechend ihrem Security-Konzept weitere Administratoren an und aktivieren Sie möglichst auch MFA. Denken Sie aber auch einen "Notfall-Admins" ohne MFA", dessen sehr langes Kennwort und nicht offensichtlicher Benutzername z.B. im Schließfach hinterlegt wird. Sie umgehen damit den Recovery-Prozess, wenn Sie alle anderen Zugänge nicht mehr nutzen können. In dem Zuge sollten Sie auch prüfen, ob ein Partner als "Delegierte Administration in Office 365" berechtigt werden sollte oder ob sie einen voreingestellten Partner gerade nicht als Administrator eingetragen haben wollen. |
|
Azure AD Device Join / Intune Device EnrollmentStandardmäßig kann jeder Anwender bis zu 20 Geräte selbst im AzureAD registrieren. Schon seit Windows 2000 können Anwender auch im lokalen Active Directory bis zu 10 PCs selbst addieren. Prüfen Sie bitte, ob diese Standardeinstellungen ihren Anforderungen entspricht. Ich würde hier eher das Recht auf ausgewählte Benutzer, z.B. IT-Koordinatoren, beschränken oder komplett abschalten und auf ADSync aufbauen. ADSync repliziert ja alle im lokalen AD angelegten Konten ins AzureAD als "Hybrid AzureAD Joined". https://portal.azure.com/#blade/Microsoft_AAD_Devices/DevicesMenuBlade/DeviceSettings/menuId/
Die gleiche Einstellung gibt es noch mal in den InTune unter "Device Enrollment". |
|
Gast AccessAchtung: ab dem 8. Feb 2021 ist der Gastzugriff in Teams per Default eingeschaltet Benutzer und Administratoren können per Default Gäste aus anderen Tenants einladen gemeinsam Daten zu bearbeiten. Diese Funktion erfordert, dass die Gäste im AzureAD angelegt werden. Diese Funktion kann über das AzureAD-Portal gesteuert werden. Die Möglichkeit selbst kann später auch noch mal pro Applikation erlaubt und verboten werden, wenn globale Einstellungen es prinzipiell erlauben. https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/UserSettings
Diese Standard-Einstellungen sind so aus meiner nicht sinnvoll. Jeder Mitarbeiter kann weitere Gäste einladen und sogar Gäste können Gäste einladen. Siehe dazu auch Management von Gast-Konten.
|
|
Office 365 Pro Plus InstallationPer Default kann jeder Anwender mit einer Lizenz auch die Office Applikationen herunter laden. Das ist interessant für Anwender im Außendienst aber Firmenstandorte wählen lieber den Weg die Installationsquellen vor Ort bereit zu stellen und zu verteilen. Dann sollten sie die "Selbstinstallation" durch Anwender deaktivieren. https://admin.microsoft.com/AdminPortal/Home#/Settings/Services/:/Settings/L1/SoftwareDownload
|
|
Early FeaturesOb Sie für einen produktiven Tenant diese Funktion aktivieren, bleibt ihnen überlassen. Auf einem Test-Tenant kann es durchaus erforderlich sein. Aber auch in der Produktion können Sie früher Funktionen für bestimmte Personen freischalten: https://admin.microsoft.com/AdminPortal/Home#/companyprofile
|
|
Messagecenter/RoadmapDer Funktionsumfang von Office 365 passt sich kontinuierlich an die Anforderungen des Marktes an. Als Administrator sollten Sie sich daher darüber informieren lassen, was sich ändern wird. Konfigurieren Sie daher die Benachrichtigungen im Nachrichtencenter und ggfls. eine Synchronisation zu einem Planner.
Einige Firmen aktivieren hier den Versand per Mail an ein Ticket-System, um basierend darauf dann Aufgaben zu verteilen. Interessant ist natürlich auch der Abgleich mit einem Planner oder die automatisierte Abfrage per Skript um die in eigenen Plattformen, z.B. Jira etc. zu verarbeiten. |
|
App-Store und Trial Lizenz unterbindenFür einige Dienste kann sich ein Anwender selbst eine Trial Lizenz anfordern. Auch die Nutzung des App Store können Sie in dem Schritt gleich mit abschalten. https://admin.microsoft.com/AdminPortal/Home#/Settings/ServicesAndAddIns
|
|
Power Platform Self Licensing abschaltenMitte November 2019 hat Microsoft angekündigt, dass jeder Benutzer in einem Tenant quasi mit seiner eigenen Kreditkarte Services im Tenant kaufen kann MC193609 Announcing self-service purchase capabilities for Power Platform products Ein Entwickler oder eine Fachabteilung kann also am "Rechnungs Admin" vorbei entsprechende Lizenzen mit seiner eigenen Zahlungsmethode dazu kaufen. Das würde in viele Firmen natürlich alle Prozesse umgehen und ich würde es im ersten Schritt erst einmal deaktivieren. # Modul aus der PSGallery installieren Install-Module -Name MSCommerce # Modul importieren Import-Module -Name MSCommerce # Anmelden mit einem Global Admin oder Rechnungs Admin Connect-MSCommerce $product = Get-MSCommerceProductPolicies -PolicyId AllowSelfServicePurchase $product ProductName ProductId PolicyId PolicyValue ----------- --------- -------- ----------- Project Plan 3 CFQ7TTC0KXNC AllowSelfServicePurchase Enabled Visio Plan 1 CFQ7TTC0KXN9 AllowSelfServicePurchase Enabled Project Plan 1 CFQ7TTC0KXND AllowSelfServicePurchase Enabled Power Apps CFQ7TTC0KP0P AllowSelfServicePurchase Enabled Power BI Pro CFQ7TTC0L3PB AllowSelfServicePurchase Enabled Power Automate CFQ7TTC0KP0N AllowSelfServicePurchase Enabled Visio Plan 2 CFQ7TTC0KXN8 AllowSelfServicePurchase Enabled # Alle Produkte deaktivieren $product | %{Update-MSCommerceProductPolicy -PolicyId AllowSelfServicePurchase -ProductId $_.productid -Enabled $false} # Produkt "Power Automate" deaktivieren $product = Get-MSCommerceProductPolicies ` -PolicyId AllowSelfServicePurchase ` | where {$_.ProductName -match 'Power Automate'} # SelfServicePurchase abschalten Update-MSCommerceProductPolicy ` -PolicyId AllowSelfServicePurchase ` -ProductId $product.ProductID ` -Enabled $false
|
|
LizenzvergabeEin Cloud Benutzer muss zwingend eine Lizenz bekommen. Wenn Sie Trial/Exploratory Lizenz unterbinden, dann sollten sie ein Verfahren zur Vergabe der Lizenzen einrichten. In der Regel gibt es drei Optionen:
Vielleicht sollten Sie auch überprüfen, wie Sie die Nutzung der Lizenzen überwachen. Aktives Lizenzmanagement kann Kosten sparen. Das gilt auch für das Ausscheiden von Anwendern. Die Lizenz können sie nicht einfach entfernen, da dann auch die Daten gelöscht werden. Aber die Kosten laufen ansonsten weiter. |
|
Teams/GroupsFür die Nutzung von Teams und Office Groups sollten Sie Voreinstellungen vornehmen:
|
|
Azure Apps registrieren und Consent erteilenDer Zugriff auf Dienste z.B. über Graph erfolgt nicht mehr stumpf mit Benutzername und Kennwort. Applikationen müssen in AzureAD addiert und berechtigt werden. Per Default kann das jeder Benutzer für sich selbst eintragen und berechtigen. Eventuell ist es aber sinnvoll, dass dies unter Admin-Vorbehalt steht. Connect-MsolService Set-MsolCompanySettings ` -UsersPermissionToUserConsentToAppEnabled $false Das geht natürlich auch per Azure Admin Portal.
|
|
External Access und SharingDer Zugriff bzw. die Freigabe von Dokumenten in OneDrive, SharePoint etc. kann über die Funktion "External Sharing" gesteuert werden. Ich schalte die Funktionen meist erst einmal ab, bis der Kunde sich Gedanken über Dokument-Klassifizierung, Mitarbeiterschulungen, Data Leakage Protection (DLP), Azure Information Protection (AIP) etc. gemacht hat. Auch später ist zu überlegen, ob die "Standardfreigabe" für Dokumente auf "Editieren" bleibt oder auf "Nur Anzeigen" gesetzt wird.
|
|
ExchangeWenn das erste Postfach in der Cloud ist, ist es auch von überall erreichbar, wenn sich der Anwender anmelden kann. Entscheiden Sie vorher, wie Sie unerwünschte Zugriffe von nicht autorisierten Endgeräten unterbinden.
Für Outlook und andere Clients müssen Sie sich zu Conditional Access, MFA oder Claimrules auf dem lokalen ADFS-Server umschauen. Denken Sie dran, dass Exchange Online alle erlaubt, damit sie erst einmal nichts gesondert freischalten müssen. Ob Sie so starten wollen, müssen Sie entscheiden. |
|
OneDrive Default SizeÜber das OneDrive Admin Center können Sie einstellen, wie groß der Platz pro Benutzer auf dem OneDrive ist. Per Default sind hier 1TB möglich aber vielleicht wollen sie, dass der Default erst mal geringer ist.
|
|
SharePointAuch SharePoint ist von Hause aus auf "kooperation" ausgelegt. Das bedeutet aber auch, dass jeder Mitarbeiter neue SharePoint Sites anlegen darf. Das sollten Sie ebenfalls erst einmal deaktivieren, bis die Verwendung von SharePoint in ihrem Unternehmen geregelt ist.
|
|
Microsoft AnalyticsOffice 365 kann die Arbeitsweise der Mitarbeiter analysieren und dem Anwender einen Bericht bereitstellen. Diese Funktion wird oft als "Überwachung" falsch interpretiert und kann abgeschaltet werden.
|
|
Company-EinstellungenEs gibt einige globale Einstellungen, die ich beim Tenant vielleicht abweichen einstellen will. Sie sind über das Commandlet "set-msolcompanyinformation" zu erreichen und mit Set-MsolCompanyInformation zu schreiben. Einen Teil der Einstellungen erreichen Sie auch auch über die Webseite.
Allerdings haben Sie hier auch den schnellen Überblick.
|
|
Partner-AdminGerade kleine Firmen nutzen gerne die Funktion, dass ein Dienstleister "Admin" für einen Tenant ist und quasi als "Managed Service" die Verwaltung übernimmt. Der Dienstleister sendet dazu einen speziellen Link an den lokalen Admin und danach erscheint der Partner. Ein Blick in die Liste zeigt ob hier jemand aus ihrer Sicht "zu viel" Rechte hat. Idealerweise ist die Liste leer oder enthält nur Partner mit Servicevereinbarungen.
|
|
AADConnect ausführenWenn Sie nicht gerade ein 1-10 User Tenant haben und ihre Anwender schon ein lokales Active Directory nutzen, dann sollten Sie AADConnect ausführen, um einen kleinen Verzeichnisabgleich einzurichten. Das geht schnell und die Benutzer in der Cloud werden dann anhand der lokalen Daten gepflegt. Es gibt zwar ein paar Vorabreiten aber das schaffen Sie schon.
|
|
LizenzenOhne Lizenz funktioniert nichts. Es gibt Test-Lizenzen oder sie addieren einen Lizenzcode.
Set-MsolDCompanySettings` -DefaultUsageLocation DE
|
|
BrandingSie können an verschiedenen Stellen das Aussehen von Office 365, SharePoint u.a. bestimmen. Eher zur Kür gehört die Anpassung der Office 365 Portal-Webseite hinsichtlich einem Firmenlogo. Es sollte folgende Abmessungen haben: 200x300 Pixel mit bis zu 10kByte Größe. Das Hintergrundbild ist 1266x50 Pixel und darf maximal 18kByte groß sein.
Ich habe mir aber als Administrator eine deutlich abweichende Farbe im Portal hinterlegt, damit ich den Unterschied sofort erkenne. Interessanter ist sicherlich das Branding der SharePoint-Seiten, da diese von den Anwendern gesehen wird.
Wenn Sie einen ADFS-Server oder AzureAD nutzen, können Sie auch hier das Anmeldefenster anpassen: |
|
Das sind sicher noch nicht alle Einstellungen und wenn sie glauben, dass hier unbedingt noch eine Einstellung mit rein muss, dann schreiben Sie mir doch einfach.
Weitere Links
- Checklisten
-
Teams Datenschutz
Teams, Schulen, Cloud, DSGVO, Datenschutz - Wie geht das zusammen ? -
Office 365: Deciding Between Single and
Multiple Tenants
https://blogs.technet.microsoft.com/ukprodandcomms/?p=182