Lync Privacy Configuration
Es gibt Firmen, denen ist es ein Dorn im Auge dass per Default jeder den Status aller anderen Personen einsehen kann. Diese globale Einstellung kann aber geändert werden, so dass die Präsenz nur an die Kontakte ausgegeben wird, die berechtigt sind.
Einige Lync Consultants nennen diesen Schalter auch "Paranoia-Switch" oder sogar den Begriff "German Switch" habe ich schon gehört. Denn wenn Lync per Default die Präsenz nicht mehr anzeigen kann oder darf, dann wird das System ein Stück weit beschnitten und die Vorteile reduzieren sich. Ich habe von Firmen gehört, die diese Einstellung anfangs gemacht haben aber nach einigen Wochen wieder zurück gestellt haben.
Enhanced Presence im Standard
Welche Funktion eingeschaltet ist, kann jeder Anwender in seinem Lync Client selbst erkennen. In den Einstellungen kann unter Status der Anwender auswählen, ob JEDER die Anwesenheit sehen kann oder dies der Administrator festlegen kann. Dies hier stellt den "Standard" dar:
Leider gibt es hier nicht die Option "niemand kann meinen Status sehen". Letztlich könnte so eine Einstellung aber auch die Funktion deutlich einschränken.
Auf dem Lync Server kann der Administrator mit dem Befehl "Get-CSPrivacyConfiguration" die aktuelle Konfiguration in Erfahrung bringen:
- Get-CSPrivacyConfiguration
http://technet.microsoft.com/en-us/library/gg413002.aspx
Diese Einstellung ist "Global", pro "Site" oder "UserServer Service" einstellbar. Sie kann aber nicht serverseitig pro Benutzer konfiguriert werden:
- New-CsPrivacyConfiguration
http://technet.microsoft.com/en-us/library/gg398807.aspx
Enhanced Presence aktivieren ?
Wer nun aber die Richtline ändert, sollte sich vorher schlau machen, was dies bedeutet. Wenn Sie es mit Set-CsPrivacyConfiguration" direkt anwenden, sehen Sie zwar noch die Warnung, aber dann kann es schon zu spät sein:
PS C:\> set-CsPrivacyConfiguration -EnablePrivacyMode $true WARNING: Because you are enabling privacy mode, we recommend that you also enable client version check in order to block communications with client versions that do not recognize privacy mode. We also recommend that you set AutoInitiateContacts, PublishLocationDataDefault, and DisplayPublishedPhotoDefault to false. When privacy mode is enabled, Response Group agents must add presence watchers to their contact list, or else the watchers will not be able to see the agents' presence.
Wenn der Status eines Benutzers per Default nicht mehr sichtbar ist, dann muss zum einen Client Client mitspielen. Wer also den alten OCS Communicator nicht aussperrt, hat nur die neuen Lync Anwender beschnitten. Aber das zeigt schon, dass nicht der Server den Status verbirgt, sondern es dem Client überlassen bleibt. Es ist also eher ein einfacher Schutz. Ein findiger Mensch könnte auch einen OCS Communicator nehmen und den UserAgent verändern.
Der Anwender kann im Communicator einfach erkennen, dass nun eine andere Betriebsart auf ihn wirkt.
- Configuring Enhanced
Presence Privacy Mode
http://technet.microsoft.com/en-us/library/gg399028(v=ocs.14).aspx
Presence in Office 365 / Skype for Business Online
Auch in der "Cloud" können Sie dieses Verhalten steuern. Am einfachsten geht das über das Skype for Business Control Panel
Anders als "On-Premises" ist diese Einstellung natürlich nur für ihren individuellen Tenant gültig und nicht für alle Office 365 Nutzer.
Präsenz und Windows Gruppen
In Lync können sie auch Active Directory gruppen in ihre Buddy-Liste aufnehmen. Der Lync Client nutzt dann den "Group Expansion Service" des Lync Servers, um dynamische die Mitglieder eine Active Directory Gruppe aufzulösen. Wenn Sie diese Gruppe nutzen, dann sehen Sie natürlich nur die Personen, die ihre Adresse in deren Buddy-Liste aufgenommen haben.
Aber umgekehrt schaltet diese Gruppe nicht ihren Status für alle Mitglieder frei. Wer also seinen Präsenzstatus anderen Personen mitteilen will, muss die andere Person explizit in seine Kontaktliste aufnehmen. Es reicht nicht aus, wenn die Personen als Mitglied einer Gruppe in der Kontaktliste erscheint.
Das ist aber zum einen technisch begründet aber auch ein Sicherheitsthema. Wenn eine Firma die "PrivacyConfiguration" nutzt, dann möchten die Anwender explizit bestimmen, wer die eigene Präsenz sehen kann. Dann wäre eine indirekte Erlaubnis über eine vom Administrator geänderte Gruppe kontraproduktiv.
Präsenz und Response Groups
Kniffliger ist aber, dass z.B. auch die Lync Response Group Service damit ein Problem haben könnten. Die sehen nämlich auch nicht mehr den Status der Mitarbeiter und wissen daher nicht, ob ein Gespräch signalisiert werden kann. Die Anwender müssen als auch die ResponseGroupWatcher in ihre Kontakte addieren, damit die Funktion weiter erhalten bleibt
Die gleiche Problematik kann auch für andere Agenten gelten, die Sie vielleicht selbst entwickelt haben. Solche Agenten sollten also zumindest die Funktion haben, einen Benutzer, der "unbekannt" erscheint z.B.: per IM immer wieder anzutriggern, den Agenten zu addieren. Das hindert den Benutzer aber nicht, den Agenten dann als "blocken" zu addieren. Das ist dann aber keine technische sondern eine organisatorische Frage.
Technisch wäre es ebenfalls möglich, serverseitig schon diese Agenten zu addieren. Andererseits könnte dies aber Anwender verwirren, dass neue unbekannte Kontakte auftauchen.
Presence wieder zurück drehen
Wenn Sie nach einen Ausflug in die "Enhanced Presence" dann den Wert doch nicht mehr so hoch einschätzen und wieder zum Standard zurück wollen, dann ist das mit "set-CsPrivacyConfiguration -EnablePrivacyMode $false" ganz einfach:
PS C:\> set-CsPrivacyConfiguration -EnablePrivacyMode $false WARNING: Because you are disabling privacy mode, we recommend that you also disable client version check in order to allow communications with client versions that do not recognize privacy mode. We also recommend that you set AutoInitiateContacts, PublishLocationDataDefault, and DisplayPublishedPhotoDefault to true.
Aber auch hier gibt das Commandlet wieder eine Warnung aus, dass sie nun nämlich den ClientCheck wieder abschalten können. Sonst dürfen alte Clients noch nicht teilnehmen.
Hintergründe
Natürlich stellt sich jeder Admin die Frage, wie "sicher" denn diese Einstellung ist. Schreibt der Client die Präsenz nicht mehr auf den Server zurück oder schreibt er die Präsenz auf dem Server nur partiell zurück?
Schaut man in die Anmeldung eines Clients dann sieht man sehr schnell, ob PrivacyMode eingeschaltet ist. Hier ein Auszug einer SIP-Antwort. Die Provisioning-Antwort ist eine direkte 200 SIP OK-Meldung, die eine erfolgreiche Registrierung quittiert:
SIP/2.0 200 OK Contact: <sip:NAWLYNC001.msxfaq.de:5061;transport=tls;received=192.168.100.100;ms-received-cid=1D86203> Content-Length: 51294 From: "Carius, Frank"<sip:User1@msxfaq.de>;tag=690a845fec;epid=110531d8e4 To: <sip:User1@msxfaq.de>;tag=1C4A0080 Call-ID: c15bfa31692d4495903e2f1cbea403bd CSeq: 1 SUBSCRIBE Via: SIP/2.0/TLS 2.206.238.206:5526;ms-received-port=5526;ms-received-cid=1DB6C00 Expires: 0 Content-Type: application/vnd-microsoft-roaming-provisioning-v2+xml Event: vnd-microsoft-provisioning-v2 subscription-state: terminated;expires=0 ms-piggyback-cseq: 1 Supported: ms-piggyback-first-notify <provisionGroupList xmlns="http://schemas.microsoft.com/2006/09/sip/provisiongrouplist-notification"> <provisionGroup name="endpointConfiguration" > <propertyEntryList > <property name="ShowManagePrivacyRelationships" >false</property> </propertyEntryList> </provisionGroup> <provisionGroup name="presencePolicyV2" > <propertyEntryList > <property name="EnablePrivacyMode" >false</property> <property name="AutoInitiateContacts" >true</property> <property name="PublishLocationDataDefault" >true</property> </propertyEntryList> </provisionGroup> </provisionGroupList>
Diese Information steuert im Client die Anzeige der Optionen. Schaut man sich dann aber die SIP-Meldungen an, wenn jemand in einer anderen Kontaktliste addiert oder entfernt wird, dann ist klar, dass schon der Lync Server die Präsenz filtert.
Das folgende Zitat könnte nämlich fast den Eindruck erwecken, dass der Client die Filterung vornimmt.
Lync 2010 privacy settings
are not honored by previous versions (Microsoft
Office Communicator 2007 R2 or Microsoft Office
Communicator 2007). If previous versions of
Office Communicator are allowed to sign in, a
Lync 2010 User’s status, contact information, or
picture could be viewed by someone who has not
been authorized to view it. Additionally, a Lync
2010 User’s privacy settings are reset if he or
she later signs in with previous version of
Communicator.
For these reasons, in a migration scenario,
before you enable Lync 2010 enhanced presence
privacy mode:
- Ensure that every User has Lync 2010 installed.
- Define a client version policy rule to prevent
previous versions of Communicator from signing
in.
Quelle: Configuring Enhanced Presence Privacy
Mode
http://technet.microsoft.com/en-us/library/gg399028(v=ocs.14).aspx
Aber die Aussage, dass "frühere Versionen diese Funktion nicht 'honorieren'" ist dennoch nicht ganz unkritisch, da die Filterung durch den Server nur erfolgt, wenn die Stammdaten auf dem Server richtig hinterlegt ist. Und es kann durchaus sein, dass ein "alter Client" diese Einstellungen stört. Dazu können durchaus auch SIP-Telefone zählen, die ihre Präsenz so zurückschreiben, dass der Lync Server davon ausgeht, der Anwender hätte die Einstellung geändert auf "Alle" geändert.
Letztlich Gewissheit bringt ein Blick in die Datenbank, den man mit Lync 2013 einfach durch einen Export (Siehe Export-CSUserData) erhält. Die dort im ZIP-File enthaltene XML-Datei zeigt schön, welche Personen aufgeführt sind und welche nicht.
Wenn ein Benutzer den Privacy-Mode aktiviert hat, dann fehlen die Einträge für "<UserMember>".
Privacy und Location
Sicher ist die "911"-Regelung in den USA ein Kriterium, dass ein Client auch seinen "Ort" mitgeben ,muss. Mit dem Location Information Service (LIS) hat Microsoft hier die Basis geschaffen, dass auch ein Lync-Anwender "geortet" werden kann und die Notrufzentrale eine möglichst zutreffende Ortsbeschreibung bekommt.
Aber auch ohne diese zentrale Datenbank kann ein Anwender selbst bis zu 10 "Standorte" pflegen, die der Lync-Client lokal speichert
Die Informationen über die 10 Standorte liegen in einer Datei "PersonalLISDB.cache" im Benutzerprofil. Bei mir ist das:
C:\\AppData\Local\Microsoft\Communicator\sip_frank.carius@netatwork.de\PersonalLISDB.cache
Interessant ist, dass Lync nur nur die letzten 10 manuell gepflegten Einträge speichert, sondern auch die MAC-Adresse des Default Gateways. Wer also mit seinem Lync Client zwischen verschiedenen Netzwerken hin und her wechselt, muss diesen Standort nicht manuell umstellen.
In Verbindung mit der LIS-Datenbank von Lync kann ein Administrator auf dem Server die Firmenstandorte mit Subnetzen verbinden, so dass der Lync-Client diese Informationen heran zieht. In den USA ist das für die Lokalisierung eines Notrufs (911) wichtig.
Weitere Links
- Export-CSUserData
- Lync Presence
- Lync und Betriebsrat
- Office Communicator 2007:
Enhanced Presence Model White
Paper
http://www.microsoft.com/downloads/details.aspx?FamilyId=DF0BA247-3884-43C7-A1E1-791D64B8BFA8&displaylang=en - Presence Survival Guide
http://office.microsoft.com/en-us/communicator/HA102067221033.aspx - Configuring Enhanced
Presence Privacy Mode
http://technet.microsoft.com/en-us/library/gg399028.aspx - Lync-Specific Features of
Enhanced Presence
http://msdn.microsoft.com/en-us/library/gg448904.aspx - Enhanced Presence Model
White Paper & Presence Survival
Guide
http://blogs.technet.com/b/lync/archive/2007/10/05/enhanced-presence-model-white-paper-amp-presence-survival-guide.aspx - Lync 2010 Enhanced Privacy
Controls
http://www.shudnow.net/2011/02/07/lync-2010-enhanced-privacy-controls/ - Unify2 Enhanced Presence
Privacy Suite 2.0 (Lync Version)
http://www.unifysquare.com/presenceprivacysuite.aspx - Lync 2010 Enhanced Privacy
Controls
http://www.shudnow.net/2011/02/07/lync-2010-enhanced-privacy-controls/ - TechNet Blogs > NextHop >
Haiku # 32
http://blogs.technet.com/b/nexthop/archive/2011/01/25/haiku032.aspx - Granting Permissions to View
Published Presence States
http://msdn.microsoft.com/en-us/library/lync/bb878984(v=office.12).aspx