Checkliste Tenant Einrichtung

Ein Office 365 Tenant ist schnell angelegt aber haben Sie dann wirklich schon alles beachtet? Die Checkliste soll ihnen dabei helfen, die Einrichtung komplett und geplant vorzunehmen.

Wenn auch wenn Microsoft vieles per Browser einstellt, so sind einige Standardvorgaben darauf ausgerichtet, dass die Anwender möglichst problemlos die Dienste nutzen können. Das ist aber nicht immer im Interesse des Unternehmens, welches natürlich die Einführung von verschiedenen kontrollieren will.

Einige Dinge dürfen ja auch erst freigeschaltet werden, wenn die rechtlichen und organisatorischen Randbedingungen vorhanden sind. Ich denke da an Compliance, Retention Policies, Disclaimer, Journalregel. etc.

Insofern ist diese Liste nur ein Anfang.

Aktion Status

Sie können natürlich direkt über www.office365.com einen neuen Tenant einrichten. Wenn Sie aber Kontakt zu einem Partner oder Lizenzvertrieb haben, dann fragen Sie doch mal nach deren "Sponsor-Möglichkeiten". Wenn ein Partner ihnen einen Tenant vorbereitet, dann kann das Vorteile haben, z.B. dass die Testlizenzen deutlich länger laufen.

Namen festlegen

Jedes Kind braucht einen Namen und genauso müssen Sie sich Gedanken über den Tenant-Namen machen. Die meisten Administratoren kennen den Namen nur als <%tenantname%>.onmicrosoft.com und damit als UPN-Suffix des ersten Administrators.

Der Name erscheint durchaus an der ein oder anderen Stelle, z.B.

  • SharePoint URL
  • OneDrive URL
  • CRM URL

Es könnten zukünftig noch an weiteren Stellen der Name sichtbar werden

Sprache und Region

Bei der Einrichtung des Tenant ist die Auswahl der Region zu beachten, da Sie nachträglich nicht mehr geändert werden kann.

Tenant beantragen

Wenn Sie den Namen und die Region bestimmt haben, können Sie ihren Tenant beantragen. Dazu benötigen Sie nur einen Webbrowser. Ja nach gewünschtem Tenant (Business oder EDU) müssen Sie aber unterschiedliche Zugänge nutzen. Sie benötigen in der Regel auch eine Kreditkarte für die Identifizierung.

Admin mit Rückrufnummer

Bei der Beantragung des Tenants ist auch ein Administrator anzugeben. Um Missbrauch zu erschweren, wird hier eine Rufnummer erwartet, unter der Office 365 anruft oder eine SMS sendet. Der so übermittelte Verification-Code muss im Beantragungsprozess angegeben werden. In dem Prozess sollte auch eine Mailadresse außerhalb des Tenant angegeben werden, um notfalls einen Rücksetzlink zu erhalten.

Firmendaten pflegen

Nachdem der Tenant angelegt wurde, landet der Browser direkt auf dem Benutzer-Portal Es bietet sich an hier noch mal die Firmendaten zu komplettieren. Auf dem Portal können Sie dazu oben auf den Firmennamen klicken und die weiteren Felder ausfüllen.

  • Technischer Kontakt pflegen
  • Bevorzugte Sprache

Hinweis:
An mehreren Stellen in Office 365 können Sie Mailadressen hinterlegen, z.B. als technische Ansprechpartner aber auch als Empfänger für Systembenachrichtigungen, Reports, Exchange Quarantänemeldungen, Alarme etc. Vermeiden Sie hier "persönliche" Adressen, denn Mitarbeiter ändern auch ihren Arbeitsbereich. überlegen Sie sich Funktions-Adresse, z.B. messages.intune.%tenantname% o.ä., die sie dann einem Postfach, einem Verteiler oder einem Teams zusätzlich geben können.

Domains einrichten

Niemand will mit einer "tenantname.onmicrosoft.com"-Adresse dauerhaft arbeiten. Daher sollte Sie alle Domains, sie sie als UPN-Domain, SMTP-Domain, SIP-Domain etc. nutzen in ihrem Tenant addieren und über einen DNS-Eintrag auch verifizieren.

Im Zuge der Einrichtung wird auch festgelegt, für welche Dienste die Domänen genutzt werden. Office 365 zeigt dann an, welche weitere DNS-Einträge erforderlich sind, z.B. "autodiscover", MX-Records, Skype for Business, Intune etc.

Achten Sie darauf, dass nicht alle Empfehlungen von Office 365 für ihre Umgebung zutreffend sind.

Anlegen weitere Admin Konten mit MFA

Sie sollten nicht nur einen Administrator haben. Legen Sie entsprechend ihrem Security-Konzept weitere Administratoren an und aktivieren Sie möglichst auch MFA.

Denken Sie aber auch einen "Notfall-Admins" ohne MFA", dessen sehr langes Kennwort und nicht offensichtlicher Benutzername z.B. im Schließfach hinterlegt wird. Sie umgehen damit den Recovery-Prozess, wenn Sie alle anderen Zugänge nicht mehr nutzen können.

In dem Zuge sollten Sie auch prüfen, ob ein Partner als "Delegierte Administration in Office 365" berechtigt werden sollte oder ob sie einen voreingestellten Partner gerade nicht als Administrator eingetragen haben wollen.

Azure AD Device Join / Intune Device Enrollment

Standardmäßig kann jeder Anwender bis zu 20 Geräte selbst im AzureAD registrieren. Schon seit Windows 2000 können Anwender auch im lokalen Active Directory bis zu 10 PCs selbst addieren. Prüfen Sie bitte, ob diese Standardeinstellungen ihren Anforderungen entspricht. Ich würde hier eher das Recht auf ausgewählte Benutzer, z.B. IT-Koordinatoren, beschränken oder komplett abschalten und auf ADSync aufbauen. ADSync repliziert ja alle im lokalen AD angelegten Konten ins AzureAD als "Hybrid AzureAD Joined"

Die gleiche Einstellung gibt es noch mal in den InTune unter "Device Enrollment"

Gast Access

Benutzer und Administratoren können per Default Gäste aus anderen Tenants einladen gemeinsam Daten zu bearbeiten. Diese Funktion erfordert, dass die Gäste im AzureAD angelegt werden. Diese Funktion kann über das AzureAD-Portal gesteuert werden. Die Möglichkeit selbst kann später auch noch mal pro Applikation erlaubt und verboten werden, wenn globale Einstellungen es prinzipiell erlauben.

Diese Standard-Einstellungen sind so aus meiner nicht sinnvoll. Jeder Mitarbeiter kann weitere Gäste einladen und sogar Gäste können Gäste einladen. Siehe dazu auch Management von Gast-Konten.

Teams/Groups

Für die Nutzung von Teams und Office Groups sollten Sie Voreinstellungen vornehmen:

  • Microsoft Teams Exploratory license
    Per Default können sich Benutzer selbst eine "Teams Trial" aktivieren. Das ist aus meiner Sicht nicht sinnvoll, wenn eine Firma den Prozess der Einführung aktive betreiben und begleiten will. Daher würde ich diese Funktion erst einmal abschalten
    Microsoft Teams Exploratory license
    https://docs.microsoft.com/de-de/MicrosoftTeams/teams-exploratory
  • Teams und Groups Provisioning
    Per Default kann jeder Benutzer sofort "Office Groups" und "Microsoft Teams" einrichten. Das ist bei den meisten Firmen so nicht gewünscht. Hier sind meist Anpassungen erforderlich.
  • Guest Access
    https://admin.teams.microsoft.com/company-wide-settings/guest-configuration

    In Teams ist die Funktion "Gäste einladen" aktiv. Anwender können das Menü also sehen und nutzen. Dies können Sie im Teams Admin Center abschalten. Global maßgeblich ist aber die Einstellung in AzureAD
  • Teams Benachrichtigen
    Teams sendet Benachrichtigungen mit der Absenderdomain "@email.teams.microsoft.com". Damit diese Mails nicht im Spamfilter landen, sollten Sie diese Domains vielleicht besonders beim Spamfilter behandeln
    Add the Microsoft Teams SMTP domain as an allowed sender domain in Exchange Online
    https://docs.microsoft.com/de-de/microsoftteams/smtp-accepted-domain
  • Teams-Einstellungen
    Optional abschalten von GoogleDrive, DropBox u.a.

Office 365 Pro Plus Installation

Per Default kann jeder Anwender mit einer Lizenz auch die Office Applikationen herunter laden. Das ist interessant für Anwender im Außendienst aber Firmenstandorte wählen lieber den Weg die Installationsquellen vor Ort bereit zu stellen und zu verteilen. Dann sollten sie die "Selbstinstallation" durch Anwender deaktivieren.

Early Features

Ob Sie für einen produktiven Tenant diese Funktion aktivieren, bleibt ihnen überlassen. Auf einem Test-Tenant kann es durchaus erforderlich sein. Aber auch in der Produktion können Sie früher Funktionen für bestimmte Personen freischalten

App-Store und Trial Lizenz unterbinden

Für einige Dienste kann sich ein Anwender selbst eine Trial Lizenz anfordern. Auch die Nutzung des App Store können Sie in dem Schritt gleich mit abschalten.

Power Platform Self Licensing abschalten

Mitte November 2019 hat Microsoft angekündigt, dass jeder Benutzer in einem Tenant quasi mit seiner eigenen Kreditkarte Services im Tenant kaufen kann

MC193609 Announcing self-service purchase capabilities for Power Platform products

Ein Entwickler oder eine Fachabteilung kann also am "Rechnungs Admin" vorbei entsprechende Lizenzen mit seiner eigenen Zahlungsmethode dazu kaufen. Das würde in viele Firmen natürlich alle Prozesse umgehen und ich würde es im ersten Schritt erst einmal deaktivieren.

# Modul aus der PSGallery installieren
Install-Module -Name MSCommerce 

# Modul importieren
Import-Module -Name MSCommerce

# Anmelden mit einem Global Admin oder Rechnungs Admin
Connect-MSCommerce

# Produkt aden
$product = Get-MSCommerceProductPolicies `
              -PolicyId AllowSelfServicePurchase `
| where {$_.ProductName -match 'Power Automate'}

# SelfServicePurchase abschalten
Update-MSCommerceProductPolicy `
   -PolicyId AllowSelfServicePurchase `
   -ProductId $product.ProductID `
   -Enabled $false

Azure Apps registrieren und Consent erteilen

Der Zugriff auf Dienste z.B. über Graph erfolgt nicht mehr stumpf mit Benutzername und Kennwort. Applikationen müssen in AzureAD addiert und berechtigt werden. Per Default kann das jeder Benutzer für sich selbst eintragen und berechtigen. Eventuell ist es aber sinnvoll, dass dies unter Admin-Vorbehalt steht.

Connect-MsolService 
Set-MsolCompanySettings `
   -UsersPermissionToUserConsentToAppEnabled $false

External Access und Sharing

Der Zugriff bzw. die Freigabe von Dokumenten in OneDrive, SharePoint etc. kann über die Funktion "External Sharing" gesteuert werden.

Ich schalte die Funktionen meist erst einmal ab, bis der Kunde sich Gedanken über Dokument-Klassifizierung, Mitarbeiterschulungen, Data Leakage Protection (DLP), Azure Information Protection (AIP) etc. gemacht hat.

Exchange

Wenn das erste Postfach in der Cloud ist, ist es auch von überall erreichbar, wenn sich der Anwender anmelden kann. Entscheiden Sie vorher, wie Sie unerwünschte Zugriffe von nicht autorisierten Endgeräten unterbinden.

  • ActiveSync Quarantine
    Aktivieren der Exchange Online Quarantäne ist ein einfacher Weg, unbekannte Clients zu blockieren. Sie könnten z.B. nur "Outlook for IOS/Android" per Regel zulassen und native Clients manuell freigeben.
  • ActiveSync Policies
    Auch ohne MDM könnten Sie z.B. über Exchange Richtlinien eine PIN auf Mobilgeräten vorschreiben.
  • OWA-Policies
    Für den Anfang könnte es auch reichen, den Zugriff per OWA über OWA-Policies zu steuern
  • SMTP-Clientanmeldung (IMAP4 mit Office 365)
    Die meisten Anwender nutzen Outlook, OWA, ActiveSync, Nur die wenigen Konten mit IMAP4/POP3 müssen per SMTP auch Mails nach Anmeldung versenden. SMTPClientAuth kann daher global deaktiviert und für die fraglichen Postfächer aktiviert werden.
  • TransportConfig
    In dem Zuge könnte es generell sinnvoll sei, die globalen Einstellungen von Get-TransportConfig zu verifizieren
  • Exchange Mailbox Pläne
    Über Templates können Sie z.B. die Freischaltung von POP3/IMAP4 für neue Postfächer per Default abschalten
  • AntiSpam/Quarantäne
    Microsoft empfiehlt den Attachment-Filter für ausführbare Anlagen zu aktivieren. Per Default ist aber aber nicht aktiv.
  • Transport Regeln
    z.B. für Disclaimer, Signatur, Umleitungen, Journal
  • EOP/Connectoren
    Meist wollen Sie bestimmte Systeme einen direkten Zugang zum Tenant einrichten oder ausgehende Mails alternativ routen. Fax-Server oder Archivsysteme sind hier Beispiele.
  • Exchange Online als Nebeneingang für Mailempfang
    Wenn sie eingehende Mails immer über ihren eigenen Mailfilter (z.B. NoSpamProxy) empfangen wollen, dann sollten Sie den "Nebeneingang" über Office 365 abschalten
  • Hybrid Centralized Mail Transport
    Gleiches gilt, wenn sie ausgehende Mails immer über "On Premises" routen wollen
  • Sonstige Exchange Policies
    Denken Sie aber auch an all die anderen Exchange Einstellungen wie Adressbuchrichtlinien, (ABP), Offline Adressbücher, etc. Genau genommen kopiert man diese mit der Konfiguration von Exchange Hybrid und ehe die erste Mailbox in der Cloud ankommt. Aber es soll ja auch Installationen geben, bei denen direkt mit Exchange Online gestartet wird und die Mails von Notes oder GroupWise o.ä. übertragen werden.
  • Abfragebasierte Verteiler - Querybased distribution Groups
    Hier sind OnPrem Anpassungen erforderlich, da abfragebasierte Verteiler im Standard nur "Mailbox"-Objekte einschließen und ein Cloud-Postfach lokal eine "Remote Mailbox" ist.

Für Outlook und andere Clients müssen Sie sich zu Conditional Access, MFA oder Claimrules auf dem lokalen ADFS-Server umschauen. Denken Sie dran, dass Exchange Online alle erlaubt, damit sie erst einmal nichts gesondert freischalten müssen. Ob Sie so starten wollen, müssen Sie entscheiden.

OneDrive Default Size

Über das OneDrive Admin Center können Sie einstellen, wie groß der Platz pro Benutzer auf dem OneDrive ist. Per Default sind hier 1TB möglich aber vielleicht wollen sie, dass der Default erst mal geringer ist.

Company-Einstellungen

Es gibt einige globale Einstellungen, die ich beim Tenant vielleicht abweichen einstellen will. Sie sind über das Commandlet "set-msolcompanyinformation" zu erreichen und mit Set-MsolCompanyInformation zu schreiben. Einen Teil der Einstellungen erreichen Sie auch auch über die Webseite.

  • AllowAdHocSubscriptions
  • AllowEmailVerifiedUsers
  • MarketingNotificationEMails
  • TechnicalNotificationEMails
  • SecurityComplianceNotificationEmails
  • SelfServePasswordResetEnabled
  • DefaultUsageLocation

Allerdings haben Sie hier auch den schnellen Überblick.

Partner-Admin

Gerade kleine Firmen nutzen gerne die Funktion, dass ein Dienstleister "Admin" für einen Tenant ist und quasi als "Managed Service" die Verwaltung übernimmt. Der Dienstleister sendet dazu einen speziellen Link an den lokalen Admin und danach erscheint der Partner.

Ein Blick in die Liste zeigt ob hier jemand aus ihrer Sicht "zu viel" Rechte hat. Idealerweise ist die Liste leer oder enthält nur Partner mit Servicevereinbarungen.

AADConnect ausführen

Wenn Sie nicht gerade ein 1-10 User Tenant haben und ihre Anwender schon ein lokales Active Directory nutzen, dann sollten Sie AADConnect ausführen, um einen kleinen Verzeichnisabgleich einzurichten. Das geht schnell und die Benutzer in der Cloud werden dann anhand der lokalen Daten gepflegt. Es gibt zwar ein paar Vorabreiten aber das schaffen Sie schon.

Lizenzen

Ohne Lizenz funktioniert nichts. Es gibt Test-Lizenzen oder sie addieren einen Lizenzcode.

  • Lizenzen im Tenant einspielen
    Sei es per Kauf, per Code oder als Trial-Lizenz
  • POR/DPOR pflegen
    Wenn Sie einen Vertragspartner haben, dann könnte es sinnvoll sein, diese Firma als POR - Digital Partner of Records einzutragen.
  • Default UsageLocation
    Bei der Vergabe einer Lizenz ist die Angabe einer Location erforderlich. Sie könne das pro Benutzer eintragen. Wenn eine Firma aber eh in einem Land ist, dann kann eine Default Location konfiguriert werden. Damit vereinfachen Sie die Konfiguration der Anwender, wenn eine Mehrheit eh die gleiche Location hat.
Set-MsolDCompanySettings`
   -DefaultUsageLocation DE
  • Lizenzen an die Benutzer zuweisen
    Vergessen sie nicht, die Benutzer mit Lizenzen zu versehen. Das kann mittlerweile über AD-Gruppen erfolgen (Siehe Office 365 Lizenzen mit Azure Groups). Aber Exchange und SfB bitte erst zuweisen, wenn der DirSync die User in der Cloud korrekt mit Attributen versehen hat.

Branding

Sie können an verschiedenen Stellen das Aussehen von Office 365, SharePoint u.a. bestimmen.

Eher zur Kür gehört die Anpassung der Office 365 Portal-Webseite hinsichtlich einem Firmenlogo. Es sollte folgende Abmessungen haben:

200x300 Pixel mit bis zu 10kByte Größe. Das Hintergrundbild ist 1266x50 Pixel und darf maximal 18kByte groß sein.

Ich habe mir aber als Administrator eine deutlich abweichende Farbe im Portal hinterlegt, damit ich den Unterschied sofort erkenne.

Interessanter ist sicherlich das Branding der SharePoint-Seiten, da diese von den Anwendern gesehen wird.

Wenn Sie einen ADFS-Server oder AzureAD nutzen, können Sie auch hier das Anmeldefenster anpassen:

Das sind sicher noch nicht alle Einstellungen und wenn sie glauben, dass hier unbedingt noch eine Einstellung mit rein muss, dann schreiben Sie mir doch einfach.

Weitere Links