Checkliste Tenant Einrichtung

Ein Office 365 Tenant ist schnell angelegt aber haben Sie dann wirklich schon alles beachtet? Die Checkliste soll ihnen dabei helfen, die Einrichtung komplett und geplant vorzunehmen.

Wenn auch wenn Microsoft vieles per Browser einstellt, so sind einige Standardvorgaben darauf ausgerichtet, dass die Anwender möglichst problemlos die Dienste nutzen können. Das ist aber nicht immer im Interesse des Unternehmens, welches natürlich die Einführung von verschiedenen kontrollieren will. Einige Dinge dürfen ja auch erst freigeschaltet werden, wenn die rechtlichen und organisatorischen Randbedingungen vorhanden sind. Ich denke da an Compliance, Retention Policies, Disclaimer, Journalregel, etc. Insofern ist diese Liste nur ein Anfang.

Diese Seite beschränkt sich allein auf die Konfiguration des Tenants. Themen Netzwerk Assessment, Firewall-Planungen, User Adoption, Migration etc. sind hier nicht aufgeführt. Das Ziel ist eine gesunde und auf ihre Anforderungen angepasste Umgebung mit den Leitplanken für die Nutzung bereit zu stellen. Nach dem Abschluss der Checkliste fängt die Reise oder das Abenteuer aber erst an.

Am 26. Jan 2023 habe ich eine Teil der Checkliste als Vortrag auf den TeamsCommunityDays 2023 gehalten. Die Folien dazu sind auf:
2023-teamscomunityday_m365checkliste.pdf

Einige Einstellmöglichkeiten sind nur vorhanden, wenn Sie eine passende Lizenz im Tenant aktiviert haben.

Aktion Status

Sponsor vorhanden?

Sie können natürlich direkt über www.office365.com einen neuen Tenant einrichten. Wenn Sie aber Kontakt zu einem Partner oder Lizenzvertrieb haben, dann fragen Sie doch mal nach deren "Sponsor-Möglichkeiten". Wenn ein Partner ihnen einen Tenant vorbereitet, dann kann das Vorteile haben, z.B. dass die Testlizenzen deutlich länger laufen. Achten Sie dabei auf bestehende Tenants.

  • Trial Lizenzen
  • Teams Exploratory License
  • Power Bi Tenant

Namen festlegen

Jedes Kind braucht einen Namen und genauso müssen Sie sich Gedanken über den Tenant-Namen machen. Die meisten Administratoren kennen den Namen nur als <%tenantname%>.onmicrosoft.com und damit als UPN-Suffix des ersten Administrators.

Der Name erscheint durchaus an der ein oder anderen Stelle, z.B.

  • SharePoint URL
  • OneDrive URL
  • CRM URL

Es könnten zukünftig noch an weiteren Stellen der Name sichtbar werden.

Achtung: Legen Sie keinen Tenant über eine "TrialVersion" an, denn dann wird der Name von der Maildomain abgeleitet. Aus msxfaq.de wird dann nicht msxfaq.onmicrosoft.com sondern msxfaqde.onmicrosoft.com

Denken Sie auch an andere Firmen und Töchter, die vielleicht später einmal ausgegründet werden. Man kann auch Tenants auf Vorrat für wenig Geld belegen.

Der Tenantnamen ist auf 25 Zeichen beschränkt.

Tenant beantragen

Wenn Sie den Namen und die Region fetgelegt haben, können Sie ihren Tenant beantragen. Dazu benötigen Sie nur einen Webbrowser. Ja nach gewünschtem Tenant (Business oder EDU) müssen Sie aber unterschiedliche Zugänge nutzen. Sie benötigen in der Regel auch eine Kreditkarte für die Identifizierung.

Hinweis:
Sprechen Sie mit ihrem Lizenzpartner. Manchmal ist es sinnvoll, den Tenant über den Partner einzurichten, z.B. um längere Eval-Lizenzen oder Sonderangebote und Aktionen zu nutzen. Früher gab es schon mal Tenants mit 180Tage Trials, was speziell bei Migrationen etwas Druck nimmt.

Sprache und Region

Bei der Einrichtung des Tenant ist die Auswahl der Region zu beachten, da Sie nachträglich nicht mehr geändert werden kann.


https://admin.microsoft.com/AdminPortal/Home#/companyprofile

Datalocation

Mit der Auswahl der Region wird auch festgelegt, wo die Daten liegen. Wobei auch das nicht immer stimmen muss, wie folgendes Bild eines Tenants zeigt:

Es gibt Vermutungen zu dem Fall, dass der Kunde in Südafrika war und es noch keine Datacenter in Südafrika gab. Der Kunde hat dann wohl nur Exchange Online lizenziert und die Daten landeten in Europa. Mittlerweile gibt es aber ein Datacenter in Südafrika und wenn der Kunde danach SharePoint/OneDrive/Teams lizenziert hat, konnte dieser Fall eintreten. Microsoft verlagert aber üblicherweise keine Daten nach dem diese einmal provisioniert wurde. Denkbar könnte

Adminkonten sichern

Bei der Beantragung des Tenants ist auch ein Administrator anzugeben. Um Missbrauch zu erschweren, wird hier eine Rufnummer erwartet, unter der Office 365 anruft oder eine SMS sendet. Der so übermittelte Verification-Code muss im Beantragungsprozess angegeben werden. In dem Prozess sollte auch eine Mailadresse außerhalb des Tenant angegeben werden, um notfalls einen Rücksetzlink zu erhalten. 

Mittlerweile sollten auch alle Administratoren per MFA abgesichert sein. Prüfen Sie dies bei bestehenden und älteren Konten.

Wenn ein Admin sein Kennwort zurücksetzt, dann können Sie davon alle anderen Administratoren in Kenntnis setzen. Das ist durchaus ein schnelles Alarmzeichen, wenn jemand dies "versucht" aber nicht schafft.

Firmendaten pflegen

Nachdem der Tenant angelegt wurde, landet der Browser direkt auf dem Benutzer-Portal Es bietet sich an hier noch mal die Firmendaten zu komplettieren. Auf dem Portal können Sie dazu oben auf den Firmennamen klicken und die weiteren Felder ausfüllen.

  • Technischer Kontakt pflegen
  • Bevorzugte Sprache

Hinweis:
An mehreren Stellen in Office 365 können Sie Mailadressen hinterlegen, z.B. als technische Ansprechpartner aber auch als Empfänger für Systembenachrichtigungen, Reports, Exchange Quarantänemeldungen, Alarme etc. Vermeiden Sie hier "persönliche" Adressen, denn Mitarbeiter ändern auch ihren Arbeitsbereich. überlegen Sie sich Funktions-Adresse, z.B. messages.intune.%tenantname% o.ä., die sie dann einem Postfach, einem Verteiler oder einem Teams zusätzlich geben können.

UPN/Mail-Domains einrichten

Niemand will mit einer "tenantname.onmicrosoft.com"-Adresse dauerhaft arbeiten. Daher sollte Sie alle Domains, sie sie als UPN-Domain, SMTP-Domain, SIP-Domain etc. nutzen in ihrem Tenant addieren und über einen DNS-Eintrag auch verifizieren. Im Zuge der Einrichtung wird auch festgelegt, für welche Dienste die Domänen genutzt werden. Office 365 zeigt dann an, welche weitere DNS-Einträge erforderlich sind, z.B. "autodiscover", MX-Records, Skype for Business, Intune etc.

Denken Sie an alle Domains, die sie für Mails und als UPN verwenden. Nebenbei verhindern Sie so den Missbrauch mit einem Viraler Tenant.

Denken daran, alle Domains zu addieren, die als "AcceptedDomains" in Exchange hinterlegt sind.

Das gleiche gilt für die SIP-Domains von Skype for Business/Teams. Auch wenn Sie nur noch Teams nutzen, sollten Sie die Skype for Business-DNS-Einträge addieren, damit eine Federation mit anderen Firmen möglich ist.

Achten Sie darauf, dass nicht alle Empfehlungen von Office 365 für ihre Umgebung zutreffend sind.

Anlegen weitere Admin Konten mit MFA

Sie sollten nicht nur einen Administrator haben. Legen Sie entsprechend ihrem Security-Konzept weitere Administratoren an und aktivieren Sie möglichst auch MFA.

Denken Sie aber auch einen "Notfall-Administratoren" ohne MFA", dessen sehr langes Kennwort und nicht offensichtlicher Benutzername z.B. im Schließfach hinterlegt wird. Sie umgehen damit den Recovery-Prozess, wenn Sie alle anderen Zugänge nicht mehr nutzen können. Letztlich haben Sie aber mehrere Optionen, die sie auch gemischt betreiben können.

  • ADSync Administratoren
    Die meisten Firmen haben schon im lokalen AD ein Admin-Konzept und oft mit eigenen Admin-Konten. Diese können durch ADSync in die Cloud repliziert werden. SingleSignOn, Exit-Management etc. sind die Vorteile
  • Cloud Only Administratoren
    Getrennte Administratoren in der Cloud funktionieren "immer" und sind speziell in Desasterfällen wichtig, wenn die lokale Anmeldung nicht mehr geht.
  • User mit PIM
    Die dritte Option ist die Nutzung "normaler" Benutzer, die per ADSync abgeglichen werden. Auch diese Konten können mit administrativen Rollen versehen werden. Das sollten Sie aber nur in Kombination mit PIM machen, d.h Anwender können Adminrechte auf Zeit beantragen

Tipp:
Legen Sie sich eigne CloudOnly Konten als Administrator mit MFA an.
Zusätzlich ist ein BreakingGlass-Admin mit sehr langem Kennwort im Safe ein Noteingang.
Verwenden Sie nie ihre normalen Benutzer als Administratoren.

In dem Zuge sollten Sie auch prüfen, ob ein Partner als "Delegierte Administration in Office 365" berechtigt werden sollte oder ob sie einen voreingestellten Partner gerade nicht als Administrator eingetragen haben wollen.

MFA für Benutzer

Um den Zugriff der Anwender nicht nur vom Kennwortabhängig zu machen, unterstützt Office 365 die Multifaktor-Authentifizierung. Eine granulare Steuerung ist über Conditional Access möglich. Aber über die globalen Sicherheitseinstellungen des Tenant können Sie zumindest Basic-MFA aktivieren. Diese Einstellung ist bei neueren Tenants schon Standard:

Achtung: Diese Einstellung steht in Konflikt mit Conditional Access-Regeln. Wer AzureAD P1 und Conditional Access nutzt, sollte diese Einstellungen auf "Nein" stellen oder lassen.

Achtung: Security Default deaktiviert SMTP AUTH mit Username/Kennwort

In dem Zusammenhang können Sie auch gleich noch einmal einen Blick auf die Kennwortrichtlinien im Tenant auf https://portal.azure.com/#view/Microsoft_AAD_IAM/PasswordProtectionBlade werfen und ggfls. anpassen. Standardmäßig ist hier nur ein "Audit" aktiv und ich würde schon ein "Force" vorschlagen, wenn sie nicht allein auf MFA vertrauen wollen.

Azure AD Device Join / Intune Device Enrollment

Standardmäßig kann jeder Anwender bis zu 20 Geräte selbst im AzureAD registrieren. Schon seit Windows 2000 können Anwender auch im lokalen Active Directory bis zu 10 PCs selbst addieren und auch wieder löschen! Suchen Sie einfach im Internet nach den folgenden Feldern:

Prüfen Sie bitte, ob diese Standardeinstellungen ihren Anforderungen entspricht.

Achtung: Wenn Benutzer bei der Ersteinrichtung ihres privaten PC ihre "Mailadresse" samt Kennwort eingeben und es ein passendes AzureAD Konto gibt, dann kann der PC per "AzureAD Join" verbunden sind. Scheidet der Mitarbeiter dann aus, dann kann er sich auf seinem PC nicht mehr anmelden.

Ich würde hier eher das Recht auf ausgewählte Benutzer, z.B. IT-Koordinatoren, beschränken oder komplett abschalten und auf ADSync aufbauen. ADSync repliziert ja alle im lokalen AD angelegten Konten ins AzureAD als "Hybrid AzureAD Joined".

Meine Empfehlung ist hier, die Einstellung zumindest aus Selected mit einer Berechtigungsgruppe oder sogar auf "None" zu stellen, wenn die Devices eh aus dem lokalen AD repliziert werden.

Die gleiche Einstellung gibt es noch mal in den InTune unter "Device Enrollment".

In dem Zuge könnten Sie auch die Mitgliedschaft der AzureAD-Rolle "Azure AD Joined Device Local Administrator" pflegen, die auf diesen Geräten dann Admin-Rechte haben.

Gast Access

Achtung: ab dem 8. Feb 2021 ist der Gastzugriff in Teams per Default eingeschaltet
Teams Gastzugang

Benutzer und Administratoren können per Default Gäste aus anderen Tenants einladen gemeinsam Daten zu bearbeiten. Diese Funktion erfordert, dass die Gäste im AzureAD angelegt werden. Diese Funktion kann über das AzureAD-Portal gesteuert werden. Die Möglichkeit selbst kann später auch noch mal pro Applikation erlaubt und verboten werden, wenn globale Einstellungen es prinzipiell erlauben.

https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/UserSettings

Diese Standard-Einstellungen sind so aus meiner Sicht nicht sinnvoll. Jeder Mitarbeiter kann weitere Gäste einladen und sogar Gäste können Gäste einladen. Siehe dazu auch Management von Gast-Konten.

Verwalten von Gruppen

Im AzureAD Portal können und sollten Sie prüfen, ob die Einstellungen ihren Anforderungen entsprechen.

Wenn Sie schon in dem Bereich sind, dann schauen Sie sich links auch noch die beiden weitere Punkte an:

  • Expiration
    Hier können Sie bestimen, nach welcher Zeit die Gruppen wieder gelöscht werden. (sehr gefährlich)
  • Naming Policy
    Hiermit steuern Sie die Bidungsregeln für Namen, wenn Benutzer selbst Gruppen und Teams anlegen dürfen.

 

B2B Direct Connect -Teams Shared Channel

Der Zugriff auf Teams in anderen Tenants über Gastkonten ist per Default "offen". Als Administrator können Sie dies natürlich absichern, indem Sie z.B. die Anlage von Gastkonten beschränken oder die B2B-Federation zwischen Tenants reduzieren. Teams Shared Channels basieren nicht mehr aus Gast-Konten, sondern nutzt B2B Connect-Einstellungen. Die Identitäten von anderen Benutzern erscheinen dabei nicht mehr in ihrem Tenant als Gast. Das bedeutet aber auch, dass Sie diesen Konten nicht nur keine Lizenz zuweisen können. Auch "Conditional Access"-Einstellungen scheinen aktuell nicht mehr zu greifen, bzw. es gelten die Sicherheitseinstellungen im Heimattenant des Benutzers.

  • Pflegen Sie die Default Einstellungen für B2B Connect
  • Pflegen Sie die Partnerschaften zu anderen Firmen

Die Pflege von B2B Connect ist eine Voraussetzung für den Betrieb von Teams Shared Channels.

Wie sie sehen, ist B32B Direct Connect standardmäßig abgeschaltet und muss von beiden Administratoren entsprechend konfiguriert werden.

Die Nutzung von Shared Channels kann den Bedarf an "Gast-Benutzer" reduzieren.

Microsoft 365 Apps Installation

Per Default kann jeder Anwender mit einer Lizenz auch die Office Applikationen herunter laden. Das ist interessant für Anwender im Außendienst aber Firmenstandorte wählen lieber den Weg die Installationsquellen vor Ort bereit zu stellen und zu verteilen. Dann sollten sie die "Selbstinstallation" durch Anwender deaktivieren.

 

Microsoft 365 on the Web

Wenn Sie verhindern möchten, dass Anwender z.B. Dateien in anderen 3rd Party Cloud-Diensten ablegen, dann können Sie dies über Gruppenrichtlinien in Office einschränken. Für Microsoft 365 on the Web gibt es eine separate Einstellung im Admin-Portal.


https://admin.microsoft.com/Adminportal/Home?#/Settings/Services/:/Settings/L1/OfficeOnline

Early Features

Ob Sie für einen produktiven Tenant diese Funktion aktivieren, bleibt ihnen überlassen. Auf einem Test-Tenant kann es durchaus erforderlich sein. Aber auch in der Produktion können Sie früher Funktionen für bestimmte Personen freischalten:

Messagecenter/Roadmap

Der Funktionsumfang von Office 365 passt sich kontinuierlich an die Anforderungen des Marktes an.

 Als Administrator sollten Sie sich daher darüber informieren lassen, was sich ändern wird. Konfigurieren Sie daher die Benachrichtigungen im Nachrichtencenter und ggfls. eine Synchronisation zu einem Planner.

Einige Firmen aktivieren hier den Versand per Mail an ein Ticket-System, um basierend darauf dann Aufgaben zu verteilen. Interessant ist natürlich auch der Abgleich mit einem Planner oder die automatisierte Abfrage per Skript um die in eigenen Plattformen, z.B. Jira etc. zu verarbeiten.

Sie sollte Änderungen und Neuerungen aktiv verarbeiten, damit sie nicht überrascht werden.

App-Store und Trial Lizenz unterbinden

Für einige Dienste kann sich ein Anwender selbst eine Trial Lizenz anfordern. Auch die Nutzung des App Store können Sie in dem Schritt gleich mit abschalten.


https://admin.microsoft.com/AdminPortal/Home#/Settings/ServicesAndAddIns

Die automatische Anforderung ist per Default "aus" und muss zudem noch über eine Richtlinie konfiguriert werden. Im Jan 2023 wäre auch Microsoft Teams die einzige App, die eine Selbstzuweisung untertützt. Insofern ist diese Einstellung noch unkritisch. Aber die "Probeläufe", was quasi eine "Eval-Version" ist, sollten sie aber vielleicht besser abschalten.

In einem EDU-Tenant gibt es die untere Checkbox.

Self Licensing abschalten

Mitte November 2019 hat Microsoft angekündigt, dass jeder Benutzer in einem Tenant quasi mit seiner eigenen Kreditkarte Services im Tenant kaufen kann. Die Meldung bezog sich anfangs auf die "Power Plattform" aber ist nicht darauf beschränkt.

MC193609 Announcing self-service purchase capabilities for Power Platform products

Ein Entwickler oder eine Fachabteilung kann also am "Rechnungs-Admin" vorbei entsprechende Lizenzen mit seiner eigenen Zahlungsmethode dazu kaufen. Das würde in viele Firmen natürlich alle Prozesse umgehen und ich würde es im ersten Schritt erst einmal deaktivieren.

Der folgende Code funktioniert nicht mit Version 1.9. Ältere oder neuere Versionen funktionieren.

# Aktuell (Stand Sep2013) funktioniert dies noch nicht mit PowerShell 7 / PSCore
# Achtung: NUtzen Sie der MSCommerce-Modul Version 1.8 Die Version 1.9 funktioniert mit dem Code nicht.
# Modul aus der PSGallery installieren
Install-Module -Name MSCommerce 

# Modul importieren
Import-Module -Name MSCommerce

# Anmelden mit einem Global Admin oder Rechnungs Admin
Connect-MSCommerce

$product = Get-MSCommerceProductPolicies -PolicyId AllowSelfServicePurchase
$product

ProductName    ProductId    PolicyId                 PolicyValue
-----------    ---------    --------                 -----------
Project Plan 3 CFQ7TTC0KXNC AllowSelfServicePurchase Enabled
Visio Plan 1   CFQ7TTC0KXN9 AllowSelfServicePurchase Enabled
Project Plan 1 CFQ7TTC0KXND AllowSelfServicePurchase Enabled
Power Apps     CFQ7TTC0KP0P AllowSelfServicePurchase Enabled
Power BI Pro   CFQ7TTC0L3PB AllowSelfServicePurchase Enabled
Power Automate CFQ7TTC0KP0N AllowSelfServicePurchase Enabled
Visio Plan 2   CFQ7TTC0KXN8 AllowSelfServicePurchase Enabled

# Alle Produkte deaktivieren
$product | %{Update-MSCommerceProductPolicy -PolicyId AllowSelfServicePurchase -ProductId $_.productid -Enabled $false}

Lizenzvergabe

Für jeden Dienst, den ein Anwender in der Cloud nutzen möchte, muss er eine Lizenz bekommen. Je nach Einstellung kann der Anwender aber auch selbst eine "Trial"-Lizenz anfordern. Das wollen Sie vielleicht unterbinden. In der Regel gibt es drei Optionen:

  • Manuell per Admin
    Das ist wohl eher etwas für kleinere Firmen
  • AzureAD-Gruppen
    Sie können z.B. Windows-Gruppen anlegen, deren Mitglieder sie steuern und das AzureAD weist basierend darauf die Lizenz zu
  • Provisioning
    Es gibt auch 3rd Party Lösungen (z.B. Adaxes, eigene Powershell-Skripte o.a.), mit denen Sie Lizenzvergaben z.B. über einen Warenkorb umsetzen.
  • Exchange Online Provisioning und Doppelpostfach mit Exchange Online
    Denken Sie an die verschiedenen Tücken beim Provisionieren von Exchange Online Lizenzen

Vielleicht sollten Sie auch überprüfen, wie Sie die Nutzung der Lizenzen überwachen. Aktives Lizenzmanagement kann Kosten sparen. Das gilt auch für das Ausscheiden von Anwendern. Die Lizenz können sie nicht einfach entfernen, da dann auch die Daten gelöscht werden. Aber die Kosten laufen ansonsten weiter.

Teams/Groups

Für die Nutzung von Teams und Office Groups sollten Sie Voreinstellungen vornehmen:

  • Microsoft Teams Exploratory License
    Per Default können sich Benutzer selbst eine "Teams Trial" aktivieren. Das ist aus meiner Sicht nicht sinnvoll, wenn eine Firma den Prozess der Einführung aktive betreiben und begleiten will. Daher würde ich diese Funktion erst einmal abschalten.
    Microsoft Teams Exploratory license
    https://docs.microsoft.com/de-de/MicrosoftTeams/teams-exploratory
  • Wer darf Teams anlegen?
    Per Default kann jeder Benutzer sofort "Office Groups" und "Microsoft Teams" einrichten. Das ist bei den meisten Firmen so nicht gewünscht. Hier sind meist Anpassungen erforderlich. Kleinere Firmen lassen diese Einstellungen offen aber größere Firmen sollten sich einen Prozess überlegen und das selbständige Anlegen von Teams zu regeln. Siehe auch Teams und Groups Provisioning.
    Überlegen Sie auch, ob die passende "Templates" bereitstellen wollen und wie Sie die Mitarbeiter z.B. mit einem Teams Führerschein schulen.
  • Meeting Policy
    Denken Sie an passende Besprechungsrichtlinien. Die Links zu Meetings sind z.B. nicht personalisiert und wenn diese öffentlich werden, haben Sie sehr schnell ungebetene Gäste in der Besprechung. Überlegen Sie daher, ob sie den "Default" für Besprechungen etwas strenger handhaben und die Organisatoren informieren, dass Sie dies bei der Planung als auch im Meeting anpassen können. So beschränken Sie den Zugang auf authentifizierte Benutzer und die anderen müssen in der Lobby warten. Nicht, dass jemand einen Link weitergibt und das Meeting kapert.
  • Guest Access
    Seit 8. Feb 2021 ist der Gast-Zugriff standardmäßig EIN! Früher war die Standardeinstellung auf "AUS". Sie sollten bestimmen, ob und wie Gäste bei ihnen in Teams mitarbeiten dürfen. https://admin.teams.microsoft.com/company-wide-settings/guest-configuration.

    Die Einstellung bestimmt, welche Optionen Teams anzeigt aber erfordert passende Einstellungen in Azure und OneDrive/Sharepoint.
  • Teams External Access
    Auch die Federation mit anderen Firmen (Presence/Status/1:1 Chat) sollte in dem Zuge überprüft werden, so dass z.B. nur erlaubte Domains gepflegt sind oder Federation generell abgeschaltet ist.

Überlegen Sie, ob "Open Federation" (Default) für ihre Firma passend ist. Es gibt durchaus Risiken, wenn externe Absender z.B. so Dateien teilen oder Mitarbeiter direkt anrufen oder anchatten. Ihre Anwender sollten darauf geschult sein.

Ich würde zumindest die Federation zu "nicht verwalteten" Kontakten, d.h. Skype und unmanaged Teams, erst einmal unterbunden.

Azure Apps registrieren und Consent erteilen

Der Zugriff auf Dienste z.B. über Graph erfolgt nicht mehr stumpf mit Benutzername und Kennwort. Applikationen müssen in AzureAD addiert und berechtigt werden. Per Default kann das jeder Benutzer für sich selbst eintragen und berechtigen. Eventuell ist es aber sinnvoll, dass dies unter Admin-Vorbehalt steht.

Connect-MsolService 
Set-MsolCompanySettings `
   -UsersPermissionToUserConsentToAppEnabled $false

Das geht natürlich auch per Azure Admin Portal.

External Access und Sharing

Der Zugriff bzw. die Freigabe von Dokumenten in OneDrive, SharePoint etc. kann über die Funktion "External Sharing" gesteuert werden.

Ich schalte die Funktionen meist erst einmal ab, bis der Kunde sich Gedanken über Dokument-Klassifizierung, Mitarbeiterschulungen, Data Leakage Protection (DLP), Azure Information Protection (AIP) etc. gemacht hat.

Auch später ist zu überlegen, ob die "Standardfreigabe" für Dokumente auf "Editieren" bleibt oder auf "Nur Anzeigen" gesetzt wird und wie lange diese gültig sind.

Exchange

Wenn das erste Postfach in der Cloud ist, ist es auch von überall erreichbar, wenn sich der Anwender anmelden kann. Entscheiden Sie vorher, wie Sie unerwünschte Zugriffe von nicht autorisierten Endgeräten unterbinden. Hier kommt Conditional Access natürlich zu tragen.

Aber auch hinsichtlich der Einstellungen sollten Sie in Exchange Online genau hinschauen, denn die meisten Einstellungen im lokalen Exchange sind erst einmal nicht in der Cloud vorhanden oder anders eingestellt. Mittlerweiler erlaubt der HCW - Hybrid Configuration Wizard schon die Übertragung einiger Einstellungen, aber natürlich gibt es nicht übertragbare Einstellungen und viele neue zusätzliche Einstellungen.

  • Automatische Weiterleitung
    Prüfen Sie die Einstellung unter "Remote Domains" von Exchange Online, ob automatische Weiterleitungen und Antworten nach Extern per Default erlaubt sind. Es ist im Standard erlaubt. Ich würde dies abschalten, um unbemerkte Informationsabflüsse erst einmal zu verhindern und bei konkretem Bedarf entweder einzelne Domains freischalten oder mit Kontakten arbeiten.
  • Sharing Policies
    Standardmäßig können Benutzer ihren Kalender auf individuellem Level mit anderen externen Personen freigeben. Eventuell wollen Sie dies beschränken.

    https://admin.exchange.microsoft.com/#/sharing
  • User Roles: Default Role Assignment Policy
    Mit den Standardeinstellungen können Anwender ihre Gruppen und einige andere verwalten, wenn ADSync dies nicht verhindert. Dieses Rolle sollten Sie anpassen

    DL Management mit EXO
  • Legacy Authentication
    Microsoft möchte zukünftig die Anmeldung allein mit Benutzername und Kennwort deaktivieren. Wenn sie diese Funktion sowieso nicht benötigen, dann sollten Sie auf ihrem Tenant diese Funktion von vorneherein abschalten. Sie verhindern damit, dass Angreifer über "alte Protokolle" ihre Benutzerkonten angreifen. Prüfen Sie, ob LegcyAuth auf der Organisation abgeschaltet ist und nur für die Konten noch aktiv ist, die wirklich noch mit BasicAuth sich anmelden müssen. Siehe auch Exchange Online Authentifizierung.
  • TLS 1.2 Enforcement
    Mittlerweile zwingt Microsoft alle Clients zu TLS 1.2 Sie können dies wieder lockern und die Client auf andere Hostnamen umstellen. ich würde eher prüfen, ob diese Lockerung nicht aktiv ist.
  • External Sender Identification
    Vielleicht möchten sie auch diese Option einschalten, um externe Mails in Outlook entsprechend zu kennzeichnen.
  • Directory Based Edge Blocking (DBEB)
    Für alle Domains aktivieren
  • ActiveSync Quarantäne und Policies
    Aktivieren der Exchange Online Quarantäne ist ein einfacher Weg, unbekannte Clients zu blockieren. Sie könnten z.B. nur "Outlook for IOS/Android" per Regel zulassen und native Clients manuell freigeben. Auch ohne MDM könnten Sie z.B. über Exchange Richtlinien eine PIN auf Mobilgeräten vorschreiben.
  • OWA-Policies
    Für den Anfang könnte es auch reichen, den Zugriff per OWA über OWA-Policies zu steuern
  • POP3/IMAP4/SMTP-Clientnutzung (IMAP4 mit Office 365)
    Die meisten Anwender nutzen Outlook, OWA, ActiveSync, Nur die wenigen Konten mit IMAP4/POP3 müssen per SMTP auch Mails nach Anmeldung versenden. SMTPClientAuth kann daher global deaktiviert und für die fraglichen Postfächer aktiviert werden.

    Dies geht am einfachsten global mit:
Get-CASMailboxPlan | set-CASMailboxPlan -ImapEnabled:$false -PopEnabled:$false
Set-TransportConfig -SmtpClientAuthenticationDisabled:$true
  • TransportConfig
    In dem Zuge könnte es generell sinnvoll sei, die globalen Einstellungen von Get-TransportConfig zu verifizieren. So kann es sinnvoll sein, die Postmaster-Adresse auf eine Adresse zu setzen, die auch gelesen wird.
    https://learn.microsoft.com/de-de/exchange/mail-flow-best-practices/configure-external-postmaster-address
  • Exchange Mailbox Pläne
    Über Templates können Sie z.B. die Freischaltung von POP3/IMAP4 für neue Postfächer per Default abschalten
  • AntiSpam/Quarantäne
    Microsoft empfiehlt den Attachment-Filter für ausführbare Anlagen zu aktivieren. Per Default ist aber aber nicht aktiv.
  • Transport Regeln
    z.B. für Disclaimer, Signatur, Umleitungen, Journal.
  • EOP/Connectoren
    Meist wollen Sie bestimmte Systeme einen direkten Zugang zum Tenant einrichten oder ausgehende Mails alternativ routen. Fax-Server oder Archivsysteme sind hier Beispiele.
  • Exchange Online als Nebeneingang für Mailempfang
    Wenn sie eingehende Mails immer über ihren eigenen Mailfilter (z.B. NoSpamProxy) empfangen wollen, dann sollten Sie den "Nebeneingang" über Office 365 abschalten
  • Hybrid Centralized Mail Transport
    Gleiches gilt, wenn sie ausgehende Mails immer über "On-Premises" routen wollen.
  • Sonstige Exchange Policies
    Denken Sie aber auch an all die anderen Exchange Einstellungen wie Adressbuchrichtlinien, (ABP), Offline Adressbücher, etc. Genau genommen kopiert man diese mit der Konfiguration von Exchange Hybrid und ehe die erste Mailbox in der Cloud ankommt. Aber es soll ja auch Installationen geben, bei denen direkt mit Exchange Online gestartet wird und die Mails von Notes oder GroupWise o.ä. übertragen werden.
  • Abfragebasierte Verteiler - Querybased distribution Groups
    Hier sind On-Prem Anpassungen erforderlich, da abfragebasierte Verteiler im Standard nur "Mailbox"-Objekte einschließen und ein Cloud-Postfach lokal eine "Remote Mailbox" ist.
  • Cloud Notification Mails
    Sie können einstellen, ob die Nachrichten mit der <tenantname>.onmicrosoft.com Adresse oder einer ihrer eigenen Domain versendet werden.

Für Outlook und andere Clients müssen Sie sich zu Conditional Access, MFA oder Claimrules auf dem lokalen ADFS-Server umschauen. Denken Sie dran, dass Exchange Online alle erlaubt, damit sie erst einmal nichts gesondert freischalten müssen. Ob Sie so starten wollen, müssen Sie entscheiden.

OneDrive Default Size

Das alte OneDrive Admin Center unter https://admin.ondrive.com ist mittlerweile ins SharePoint Admin Center umgezogen. Hier können Sie nun die Maximalgröße für OneDrive-Laufwerke einstellen. Nicht alle Firmen möchten, dass Anwender bis zu 1TB quasi in einer individuellen Dateiablage horten können. Ein kleineres Limit zwingt Anwender hoffentlich dazu, die Daten in Teams oder SharePoint abzulegen, so dass eine Zusammenarbeit möglich ist.

SharePoint

Auch SharePoint ist von Hause aus auf "Kooperation" ausgelegt. Das bedeutet aber auch, dass jeder Mitarbeiter neue SharePoint Sites anlegen darf. Das sollten Sie ebenfalls erst einmal deaktivieren, bis die Verwendung von SharePoint in ihrem Unternehmen geregelt ist. https://<tenantname>.sharepoint.com/_layouts/15/online/AdminHome.aspx#/settings/SiteCreation

Wenn Sie schon im SharePoint Admin Center sind, können Sie auch gleich das "Sharing" auf ihre Firmenanforderungen anpassen.

Viele Kunden stellen am Anfang das Sharing von "Jeder" erst einmal auf "nur intern" um, bis Datenschutz, Compliance, Rights-Management hier Regeln definiert haben, wer unter welchen Umständen etwas nach nach Extern teilen darf.

Loop/Fluid

Die mit Loop erstellten Daten landen im Speicherbereich des Benutzers. Das ist kritisch, da mit dem Ausscheiden des Benutzers auch diese Daten ggfls. gelöscht. Loop-Komponenten sind daher nicht als persistente Ablage geeignet sondern wirklich ein Werkzeug um Beiträge mehrerer Personen zu konsolidieren aber am Ende die Ergebnisse in ein andere Format zu überführen.

Das müssen Sie aber den Anwendern auch mitteilen und Sie dafür sensibilisieren. Vielleicht wollten Sie die Nutzung erst einmal unterbinden oder auf wenige Piloten beschränken.

 

Viva (Microsoft Analytics)

Office 365 kann die Arbeitsweise der Mitarbeiter analysieren und dem Anwender einen Bericht bereitstellen. Diese Funktion wird oft als "Überwachung" falsch interpretiert und kann über mehrere Optionen abgeschaltet werden.

DevOps

Ohne besondere Einstellungen kann jeder Benutzer eines AzureAD sich selbst kostenfreie DevOps Organisationen anlegen um z.B. Sourcecode darin zu verwalten. Damit besteht aber die Gefahr einer unkoordinierten Datenablage. Daher empfehle ich diese Berechtigungen auf ausgewählte Benutzer oder Administratoren zu beschränken, die dann auf Anforderung eine DevOps Organisation anlegen und berechtigen. Dazu müssen Sie sich zuerst in die AzureAD Rolle der "Azure DevOps Administratoren" addieren.

Erst dann sehen Sie im Azure DevOps-Portal die folgende Einstellmöglichkeit unter Azure AD.

Durch die Aktivierung dieser Option verhindern Sie, dass andere Personen neue DevOps-Organisationen mit ihrem AzureAD verbinden. Sie verhindern damit nicht, dass jemand eine unabhängige DevOps Organisation, z.B. mit seinem Microsoft Konto anlegt.

Wenn ihr Tenant schon einige Zeit aktiv ist, dann sollten Sie als Administrator sich selbst eine DevOps-Organisation anlegen, um dann die Liste der mit ihrem AzureAD verbundenen DevOps Organisationen zu erhalten.

Als angemeldeter Anwender können Sie unter https://aex.dev.azure.com/me sehr schnell sehen, welche DevOps Organisationen sie nutzen können.

Da jeder Anwender eine DevOps Organisation mit einem freien Namen anlegen kann, könnte es als Firma interessant sein, die eigenen Namen zu belegen. Wäre doch blöde, wenn ein Spammer eine https://dev.azure.com/meinefirma-Adresse belegt und ihre Mitarbeiter dorthin zur Ablage von Sourcecode oder Abruf von "Updates" lockt.

Company-Einstellungen

Es gibt einige globale Einstellungen, die ich beim Tenant vielleicht abweichen einstellen will. Sie sind über das Commandlet "Set-MsolCompanyInformation" zu erreichen und mit Set-MsolCompanyInformation zu schreiben. Einen Teil der Einstellungen erreichen Sie auch auch über die Webseite.

  • AllowAdHocSubscriptions
  • AllowEmailVerifiedUsers
  • MarketingNotificationEMails
  • TechnicalNotificationEMails
  • SecurityComplianceNotificationEmails
  • SelfServePasswordResetEnabled

Allerdings haben Sie hier auch den schnellen Überblick.

Partner-Admin

Gerade kleine Firmen nutzen gerne die Funktion, dass ein Dienstleister "Admin" für einen Tenant ist und quasi als "Managed Service" die Verwaltung übernimmt. Der Dienstleister sendet dazu einen speziellen Link an den lokalen Admin und danach erscheint der Partner. Ein Blick in die Liste zeigt ob hier jemand aus ihrer Sicht "zu viel" Rechte hat. Idealerweise ist die Liste leer oder enthält nur Partner mit Servicevereinbarungen.

Seit 2022 gibt es mit GDAP - Granular Delegated Admin Privileges eine bessere Funktion einen Partner zu delegieren, ohne dass er gleich Helpdeskadmin und Global Admin ist. Sprechen Sie ihren Partner bitte darauf an, wenn er nicht von sich aus das neue Modell vorschlägt.

AADConnect ausführen

Wenn Sie nicht gerade ein 1-10 User Tenant haben und ihre Anwender schon ein lokales Active Directory nutzen, dann sollten Sie AADConnect ausführen, um einen kleinen Verzeichnisabgleich einzurichten. Das geht schnell und die Benutzer in der Cloud werden dann anhand der lokalen Daten gepflegt.

  • Lokales AD: UPN-Domains eintragen
    Die Benutzer im AD brauchen eine UPN-Domäne, die auch in Office 365 gepflegt ist. Das Programm IDFix findet die meisten problematischen Einträge vorab.
  • Authentifizierung
    Hier können Sie sehr einfach z.B. mit Password Hash Sync (PHS) oder Pass-Through Authentifizierung (PTA) starten. Gerne auch mit Seamless Single Sign On. Denken Sie ggfls. an die Aktivierung von "EnforceCloudPasswordPolicyForPasswordSyncedUsers", damit schwache lokale Kennworte nicht noch in die Cloud repliziert werden.
  • Benachrichtigung aktivieren
    Wenn Sie ihre lokale Installation nicht überwachen, dann sollten Sie zumindest in der Cloud die Benachrichtigung per Mail auf https://aad.portal.azure.com/#blade/Microsoft_Azure_ADHybridHealth/AadHealthMenuBlade/SyncErrors aktivieren.

    Denken Sie daran, dass "Globale Administratoren" nur dann eine Mail bekommen wenn diese auch ein Postfach oder gültige Mailadresse haben. Ansonsten sehe Sie im Exchange Report die Fehler:

Lizenzen

Ohne Lizenz funktioniert nichts. Es gibt Test-Lizenzen oder sie addieren einen Lizenzcode.

  • Lizenzen im Tenant einspielen
    Sei es per Kauf, per Code oder als Trial-Lizenz
  • POR/DPOR pflegen
    Wenn Sie einen Vertragspartner haben, dann könnte es sinnvoll sein, diese Firma als POR - Digital Partner of Records einzutragen.
  • Default UsageLocation
    Bei der Vergabe einer Lizenz ist die Angabe einer Location erforderlich. Sie könne das pro Benutzer eintragen. Wenn eine Firma aber eh in einem Land ist, dann kann eine Default Location konfiguriert werden. Damit vereinfachen Sie die Konfiguration der Anwender, wenn eine Mehrheit eh die gleiche Location hat.
Set-MsolCompanySettings `
   -DefaultUsageLocation DE
  • Lizenzen an die Benutzer zuweisen
    Vergessen sie nicht, die Benutzer mit Lizenzen zu versehen. Das kann mittlerweile über AD-Gruppen erfolgen (Siehe Office 365 Lizenzen mit Azure Groups). Aber Exchange und SfB bitte erst zuweisen, wenn der DirSync die User in der Cloud korrekt mit Attributen versehen hat.

Branding

Sie können an verschiedenen Stellen das Aussehen von Office 365, SharePoint u.a. bestimmen.

In den Organisationseinstellungen bietet es sich an, vielleicht ein Firmendesign zu hinterlegen. Dies sehen dann die Anwender beim Zugriff auf portal.office.com und anderen Stellen. So können Sie auch schneller erkennen, dass sie im ihrem Tenant sind.

Öffnen Sie dazu im Office 365 Admin Center (https://admin.microsoft.com) den Bereich "Einstellungen / „Organisationsprofil“/ „Verwalten von benutzerdefinierten Designs für Ihre Organisation“/“Bearbeiten“.

Eher zur Kür gehört die Anpassung der Office 365 Portal-Webseite hinsichtlich einem Firmenlogo. Es sollte folgende Abmessungen haben:

200x300 Pixel mit bis zu 10kByte Größe. Das Hintergrundbild ist 1266x50 Pixel und darf maximal 18kByte groß sein.

Ich habe mir aber als Administrator eine deutlich abweichende Farbe im Portal hinterlegt, damit ich den Unterschied sofort erkenne.

Interessanter ist sicherlich das Branding der SharePoint-Seiten, da diese von den Anwendern gesehen wird.

Wenn Sie einen ADFS-Server oder AzureAD nutzen, können Sie auch hier das Anmeldefenster anpassen:

Azure Subscriptions

Die Dienste in Azure sind losgelöst von Office 365 zu betrachten aber Office 365 nutzt das AzureAD und eine getrennte Subscriptions wird ebenfalls an ein Office 365 Verzeichnis angebunden. So können Sie dann die Office 365 Benutzer für die Vergabe von Berechtigungen nutzen.

Allerdings ist per Default nicht unterbunden, dass jemand sich eine Subscription (mit eigener Bezahlung) anlegt und diese mit ihrem AzureAD verbindet. Dies können Sie aber unter https://portal.azure.com/#blade/Microsoft_Azure_SubscriptionManagement/ManageSubscriptionPoliciesBlade steuern:

Auf den Eigenschaften ihres AzureAD können Sie ggfls. aktivieren, dass Sie als AzureAD Admin auch automatisch die damit verbundenen Subscriptions verwalten dürfen:

Neue Tenants anlegen

Im Nov 2022 hat Microsoft die Berechtigung zur Neuanlage von Tenants im Azure-Portal addiert. Tatsächlich kann per Default jeder am AzureAD registrierte Benutzer auch weitere Tenants anlegen.
Das ist überraschend aber kein Sicherheitsrisiko, denn auch ohne diese Steuerung kann sich ja jeder Anwender selbst einen Tenant ablegen. Hier ist es dann aber so, dass der Admin im neuen Tenant dann der authentifizierte Benutzer ihres Tenant ist.

Es ist also das Problem des Mitarbeiters, dass er die Admin-Rechte seines Tenants mit einem von ihnen verwalteten Konto verbindet und beim Verlassen der Firma auch verliert. Dennoch können Sie unterbinden, dass Benutzer ihres Tenants ihre Identität dafür verwenden.


https://portal.azure.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/UserSettings

Weitere Dinge

  • Microsoft Search in Bing and Microsoft 365 Apps for enterprise
    https://office365itpros.com/2023/10/04/custom-background-image-teams21/

Das sind sicher noch nicht alle Einstellungen und wenn sie glauben, dass hier unbedingt noch eine Einstellung mit rein muss, dann schreiben Sie mir doch einfach.

Weitere Links