Microsoft bietet unter der Adresse https://aka.ms/O365SecurityDocs einen Schnelleinstieg zu Office 365 Security & Compliance Informationen zur Verfügung. Hier finden Sie auf einen Blick die passenden Inhalte zur Absicherung Ihres Office 365 Abonnements unter Berücksichtung Ihrer Unternehmensrichtlinien und der gesetzlichen Anforderungen.
Sie erhalten eine schnellen Überblick über die wichtigsten Informationen rund um die allgemeinen Security- und Compliance-Aufgaben. In den einzelnen Artikeln finden Sie weiterführende Hyperlinks, die Sie zu Schritt-für-Schritt Anleitungen führen.
Beispiel:
Fügen Sie die Adresse https://aka.ms/O365SecurityDocs zu Ihrer persönlichen Hyperlink-Liste hinzu, um schnell auf diese Einstiegsseite zum Thema Office 365 Security & Compliance zugreifen zu können.
Sie haben weitere Fragen zu Office 365 und Cloud Sicherheit? Wir helfen gerne weiter. Kontaktieren Sie uns unter office365@granikos.eu.
Microsoft Teams bietet zahlreiche Möglichkeiten zur Konfiguration und Kontrolle der Sicherheits- und Complianceeinstellungen. Matt Soseman, Security Architekt bei Microsoft, hat zum Thema Security & Compliance in Microsoft Teams eine Youtube Playlist erstellt.
Hier ist eine Übersicht der wichtigsten Videos:
How do I secure access to Microsoft Teams and ensure only authorized individuals can use the tool? Join us as we explore how Azure Active Directory Conditional Access and Identity Protection can provide a new level of security for Microsoft Teams.
How do I enforce policy to ensure my users cannot share sensitive data in a Microsoft Teams private chat or channel conversation? Join us as we explore how Office 365 Data Loss Prevention can block users from sharing sensitive data in Microsoft Teams – and be alerted when a violation occurs!
How do I enforce policy to ensure my users cannot copy/paste or download sensitive data out of Microsoft Teams and into a non-approved application/website? Join us as we explore how Windows Information Protection can help enforce compliance and ensure corporate data stays within Microsoft Teams or approved applications.
How do I enforce policy when a user accesses Microsoft Teams from a personal (non-managed) computer? Join us as we explore how Microsoft Cloud App Security and Azure Active Directory Conditional Access can block downloads of files in Microsoft Teams to a non-managed computer.
How can I protect my end users from malicious files that are uploaded to Microsoft Teams? Join us as we explore how the Office 365 Advanced Threat Protection Safe Attachments feature detonates files uploaded to Microsoft Teams and blocks those files from being executed.
How can I protect the Microsoft Teams app when used on a non-managed personal smartphone? Join us as we explore how Microsoft Intune Mobile Application Management capabilities allow you to control the Microsoft Teams app (and other corporate apps) and enforce compliance – all without managing the device.
How can I enforce compliance when a 3rd party storage is used in Microsoft Teams? Join us as we explore how to monitor/audit and enforce policy using Microsoft Cloud App Security on 3rd party storage in Microsoft Teams.
Mit der E-Mail Gateway Lösung NoSpamProxy können Sie leicht mehrere Office 365 Tenats mit einer Gateway-Lösung verbinden. Die Gründen für solch ein Szenario können vielfältig sein. Hierzu gehören Unternehmensfusionen, aber auch Abspaltungen, rechtliche oder betriebliche Erfordernisse zur Trennung der Datenspeicherung.
Für das Szenario in diesem Blog Post
Der neue Office 365 Deutschlang Tenant wurde bereits erstellt und die benutzerdefinierte Domäne ebenfalls registriert. Hierbei hat sich gezeigt, dass es möglich ist in beiden Umgebungen den gleichen Tenantnamen zu verwenden. Micosoft prüft bei der Registrierung nicht, ob der Tenantname bereits in einer anderen Office 365 Umgebung verwendet wird. Allerdings wird innerhalb des Admin Centers von Office 365 Deutschland bei der Registrierung der benutzerdefinierten Domäne ein Abgleich vorgenommen. Sie können eine benutzerdefinierte Domäne nur einmal über alle Office 365 Plattformen hinweg registrieren. Das in diesem Post beschriebene Beispiel funktioniert ebenso für zwei oder mehr Tenants in Office 365 Global.
Ausgangssituation für die Konfiguration:
Das folgende Diagramm verdeutlicht das Setup mit NoSpamProxy und zwei Office 365 Tenants (Global/DE).
Die nachfolgenden Schritte beschreiben die Konfiguration des NoSpamProxy Gateways über die NoSpamProxy Management Oberfläche der Intranet-Rolle.
Fügen Sie sowohl die Domäne des Office 365 Deutschland Tenants und die benutzerdefinierte Domäne als Ihnen gehörende Domänen (Owned domains) hinzu. Ohne diesen Schritt können Sie die Domänen weder einem E-Mail-Server des Unternehmens oder Empfänger mit einer dieser Zieldomänen hinzufügen.
Fügen Sie einen neuen E-Mail-Server (Corporate email servers) hinzu und wählen Sie den den Typ As Office 365 tenant aus.
Wählen Sie als Endpunkt German Azure Cloud aus und geben Sie den Tenantnamen des Office 365 Deutschland Tenants ein.
Ordnen Sie nun die beiden in Schritt 1 hinzugefügten Domänen der neuen E-Mail-Server Konfiguration zu.
Geben Sie bei Bedarf einen individuellen Kommentar ein und schließen Sie die Konfiguration ab.
Nach erfolgter Konfiguration sind beide Tenants in der Übersicht sichtbar.
Die Empfänger mit E-Mail-Adressen im Office 365 Deutschland Tenant werden von NoSpamProxy aus einer Textdatei importiert. Hierzu ist ein regelmäßiger Import in der NoSpamProxy MMC konfiguriert. Diese Adressen werden nur importiert, wenn die E-Mail-Domäne in Schritt 1 als eigene Domäne korrekt konfiguriert wurde.
Es wird nur die E-Mail-Adresse importiert. Der Import weiteren Benutzerinformation, wie z.B. Vorname und Nachname, ist eine der weitere Aufgaben in diesem Projekt.
Das in diesem Blog Post gezeigte Beispiel erfordert NoSpamProxy in der Version 12.2.18094.7 oder höher, wenn der Tenantname in Office 365 Global und Office 365 Deutschland identisch sind. Sind beide Namen unterschiedliche, kann auch eine aktuelle Version 12.1 eingesetzt werden.
Die beschriebene Konfiguration bietet erst einmal eine funktionsfähige Umgebung, ist aber für den Regelbetrieb in einem Unternehmen noch nicht optimal. In den nächsten Artikeln zur Anbindung an mehere Tenants werde ich folgenden Themen betrachten:
Viel Spaß mit Office 365 und NoSpamProxy.
Sie haben weitere Fragen zur beschriebenen Konfiguration? Kontaktieren Sie mich gerne per E-mail: thomas@mcsmemail.de.
Für die Entwicklung von Microsoft Office Add-Ins und Office 365 Applikation bietet Microsoft zahlreiche Informationsquellen. Ergänzt wird das Angebot für Office Entwickler mit dem Office 365 Developer Program. Diese enthält ein kostenfreies Office 365 Developer Abonnement für ein Jahr.
Weitere Benefits finden Sie auf dieser Seite: http://aka.ms/O365-Dev-Program
Hier sind die wichtigsten Quellen mit Kurz-Links.
Starten Sie noch heute: http://aka.ms/O365-Dev-Program
Registrieren Sie sich für das Office Dev Programm: https://dev.office.com/devprogram
Viel Spaß beim Entwicklen von neuen Office Lösungen
Administrative Benutzerkonten in Office 365, die der Rolle Globaler Administrator zugeordnet sind, müssen besonders geschützt werden. Joe Davies, Sr. Content Developer bei Microsoft, hat während des Cloud Adoption Advisory Board Webinars am 31. Mai 2017 einfache und hilfreiche Tipps zur Absicherung dieser Konten gegeben.
In diesem Zusammenhand ist es wichtig, sich noch einmal zu vergegenwärtigen, dass die Absicherung von Benutzerkonten und anderen schützenswerten Objekten in der Cloud einer Partnerschaft unterliegt. Microsoft stellt als SaaS Anbieter die notwenigen Funktionen zur Verfügung, als Kunde muss ich diese auch konfigurieren und anwenden.
Angreifer haben es natürlich nicht nur auf Standardbenutzerkonten abgesehen, sondern versuchen insbesondere Benutzerkonten mit hohen Privilegien anzugreifen. Denn nur so lässt sich der maximal Schaden anrichten. Dies gesicht im Allgemeinen durch das Sammeln von Informationen und Phishing Attacken.
Es ist für Angreifer ein Leichtes, administrative Benutzerkonten mit intelligenten Phishing E-Mails auszuspähen, nachdem ein Standardbenutzerkonto gehackt wurde. Mit Hilfe des nachfolgenden PowerShell Befehls, ausgeführt im Kontext des Benutzers, können alle Anwender mit der Rolle Globaler Administrator ausgelesen werden.
Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
Nutzen Sie die nachfolgenden Empfehlungen, damit Ihre Office 365 Umgebung nicht ein leichtes Opfer von Angriffen wird.
Ergebnis
Wenn Sie nur Cloud-Identitäten nutzen:
Wenn Sie synchronisierte oder federierte Identitäten nutzen:
Natürlich werden Sie auch weiterhin administrative PowerShell Scripte gegen Ihren Office 365 Tenant ausführen wollen. Im Blog Post Connect to Office 365 services with multifactor authentication (MFA) and PowerShell sind die erforderlichen Schritte für die Nutzung der PowerShell mit MFA beschrieben.
Die Nutzung von Advanced Security Management (ASM) erfordert eine E5 Lizenz oder aber eine separate ASM Lizenz für Benutzerkonten mit den zugewiesen Rollen Globaler Administrator, Dienstadministrator oder Compliance-Administrator.
Im CAAB Webinar wurden noch weitere interessante Themen behandelt:
Dies ist ein eingebettetes <a target='_blank' data-cke-saved-href='https://office.com' href='https://office.com'>Microsoft Office</a>-Dokument, unterstützt von <a target='_blank' data-cke-saved-href='https://office.com/webapps' href='https://office.com/webapps'>Office Online</a>.
Das Cloud Adoption Advisory Board (CAAB) ist eine excellente Quelle für Informationen rund um die sicher Implementierung von Cloud-Technologien.
Viel Spaß mit Office 365.
Microsoft bietet für Kunden und Cloud-Interessenten eine Vielzahl an Quellen mit Information zu Office 365, Microsoft Azure, Microsoft Dynamics Online, Sicherheit und Compliance.
Die nachfolgenden Links stellen eine Übersicht der wichtigsten Quellen dar.
Sie vermissen eine Information zu Office 365 oder Microsoft Azure? Wir helfen Ihnen, die gewünschte Information zu finden.
Bei Fragen zum Thema Office 365 und Microsoft Cloud können Sie sich gerne an unser Cloud-Team wenden. Senden Sie uns bequem eine E-Mail an office365@granikos.eu
Die Migration von E-Mail Postfächern von alternativen E-Mail Servern, wie z.B. Lotus Notes, zu Office 365 ist über das Protokoll IMAP möglich. Die Möglichkeit zur Datenmigration ist in das Office 365 Admin Center implementiert. Über den Menüpunkt Datenmigration können Office 365 Administratoren Postfach-Migrationen zu Office 365 starten. Hierbei werden im Hintergrund die notwendigen Konfigurationen in Exchange Online vorgenommen.
Die nachfolgenden Schritte beschreiben die Migration von Postfächern von einem E-Mail Server mit einer IMAP-Migration, beginnend mit dem Hinzufügen einer neuen Domäne zu Office 365. Für die Einrichtung der IMAP-Migration ist keine vollständige DNS-Konfiguration der Domäne erforderlich. Die Validierung der neuen Domäne ist ausreichend.
An welchem Schritt Sie nun die DNS-Einträge für die MX Ressource Records umstellen, ist Ihnen überlassen und hängt vom Migrationsszenario ab. Sollte die betroffene Domäne weiterhin aktiv für die E-Mail Zustellung verwendet werden, so empfehle ich ein Umstellung der MX-Einträge direkt nach Einrichtung aller Postfächer in Office 365.
Für eine erfolgreiche Migration sind folgende Voraussetzungen notwendig
In den folgenden Schritten wird die Domäne azure-usergroup.de als neue Domäne zu einem Office 365 Tenant hinzugefügt.
Rufen Sie im Office 365 Admin Center den Menüpunkt Setup > Domänen auf und klicken Sie auf Domäne hinzufügen, um den Wizard für eine neue Domäne zu starten.
Geben Sie den Domänennamen ein und klicken Sie auf Weiter.
Es ist erforderlich, dass Sie die Eigentümerschaft für die Domäne, die Sie hinzufügen möchten, nachweisen. HIerzu stehen Ihnen drei Möglichkeiten zur Verfügung.
Kopieren Sie den TXT-Wert, im aktuellen Beispiel MS=ms81514861 und tragen Sie diesen als Wert für den TXT Resource Record ein.
Je nach DNS Anbieter, kann es mehrere Minuten dauern, bis der Eintrag für Server von Microsoft abrufbar ist. Bei einigen DNS Anbietern kann dies bis zu 24 Stunden in Anspruich nehmen. Wenn Sie bei solch einem Anbieter Ihre DNS Zonen pflegen, sollten Sie über einen Wechsel nachdenken.
Klicken Sie auf Überprüfen, um den TXT Resource Record Eintrag prüfen zu lassen. Wenn der Eintrag erfolgreich geprüft wurde, gelangen Sie zum nächsten Schritt.
Da Sie die DNS Einträge für Ihre Domäne selber veralten, wählen Sie den Punkt Ich verwalte meine eigenen DNS-Einträge aus und klicken Sie auf Weiter.
Die Migration der IMAP-Postfachdaten erfordert keine Anpassung der DNS-Einträge für Ihre Domäne. Diese sind erst erforderlich, wenn Sie die Office 365 Dienste bereitstellen und die E-Mail Zustellung zu Exchange Online Protection umstellen möchten.
Wählen Sie die Checkbox am Ende der Seite, um die Aktualisierung der DNS-Einstellungen auszulassen und klicken Sie auf Überspringen.
Damit ist die Ersteinrichtung der neuen Domäne in Office 365 abgeschlossen.
Klicken Sie auf Fertig stellen.
Nachdem die neue Domäne erfolgreich zu Office 365 hinzugefügt wurde, kann mit der IMAP Migration begonnen werden.
Zur geführten IMAP-Datenmigration zu Office 365 gelangen Sie über den Menüpunkt Setup > Datenmigration.
Vor der Einrichtung der IMAP-Datenmigration über das Office 365 Admin Center müssen Sie die Benutzer in Office 365 anlegen, einen Benutzernamen mit der zu migrierenden Domäne vergeben und eine Office 365 Lizenz zuweisen. Durch diese Zuweisung wird das erforderliche Ziel-Postfach für die Datenmigration erstellt. Der Benutzername in Office 365 kann vom Benutzernamen auf IMAP-Quellseite abweichen.
Im folgenden Beispiel sehen Sie die Erstellung eines Benutzers unter Verwendung der neu hinzugefügten Domäne. Diese Adresse ist sowohl der Office 365 Anmeldename, als auch die neue primäre E-Mail Adresse des Benutzers.
Optional können Sie neue Benutzer natürlich auch mit Hilfe eines CSV-Datei Imports erstellen.
Im Bereich der Datenmigration bietet Microsoft eine Unterstützung für gängige E-Mail Plattformen an. Die allgemeine E-Mail Datenmigration mit IMAP verbirgt sich unter dem Auswahlpunkt Weitere E-Mail-Quellen.
Geben Sie den IMAP-Servernamen, den IMAP-Port und die verwendete Sicherheitsmethode an. Eine IMAP-Verbindung ohne Verbindungsverschlüsselung wird nicht unterstützt.
Tragen Sie die E-Mail Adresse des IMAP-Administratorkontos und das dazugehörige Kennwort ein. Klicken Sie anschließend auf Speichern.
Wählen Sie das Office 365 Ziel-Konto aus und geben Sie die passende E-Mail Adresse des Quell-Postfaches an. Nach Eingabe der dazugehörigen Kennwortes wird die IMAP-Verbindung zum Postfach überprüft. Wiederholen Sie diesen Schritt für jedes zu migrierende Postfach.
Nach der erfolgreichen Überprüfung des IMAP-Zugriffes können Sie die Migration der Postfachinhalte durch einen Klick auf Migration starten auslösen.
Nach dem Start der Migration erfolgt eine Rückmeldung im Office 365 Admin-Center, dass die Migration in Bearbeitung ist.
Springen Sie zu Schritt 3, um das nachfolgende Exchange Online Intermezzo zu überspringen.
Natürlich führt nicht das Office 365 Admin-Center die Migration der Postfächer durch, sondern Exchange Online. Das Office 365 Admin-Center übernimmt die Konfiguration des Migrationsendpunktes, die Erstellung und die Steuerung des Migrationsbatches. Aber wie sieht solch eine erstelle Konfiguration in Exchange Online aus?
Schauen wir uns die Migrationsendpunkte im Exchange Online Admin-Center (EAC) genauer an. Sie finden die Konfiguration der Migrationsendpunkte in der EAC unter:
Empfänger > Migration > ... > Migrationsendpunkte
In der Übersicht der Migrationsendpunkte wurde ein neuer Endpunkt vom Typ IMAP erstellt.
Die Übersicht der Migrationsbatche zeigt den durch das Office 365 Admin-Center konfigurierten Batch und man erkennt, dass in diesem Batch ein Postfach enthalten ist, jedoch noch nicht synchronisiert wurde.
Wählen Sie das IMAP_Batch in der Übersichtsliste aus, um im rechten Fenster die Zusammenfassung des Batches anzuzeigen. Man sieht z.B. die Richtung der Migration (Onboarding) und den aktuellen Gesamtstatus des Batches (Synchronisierung). Hier finden Sie auch Informationen zur zeitlichen Dauer der Migration.
Klicken Sie unterhalb von Postfachstatus auf Details anzeigen, um sich die Liste der im Batch konfigurierten Postfächer und deren Details anzeigen zu lassen.
Aber nun zurück zum Office 365 Admin-Center.
Nachdem im Hintergrund der Migrationsendpunkt in Exchange Online eingerichtet und das Migrationsbatch erstellt wurde, gilt es zu warten. Exchange Online verarbeitet Migrationsbatche in Abhängigkeit der aktuellen Serverlast. Das bedeutet, dass die Einrichtung und der Start einer Migration nicht gleichzusetzen ist mit dem Start der Ausführung.
Sobald die Erstsynchronisierung abgeschlossen ist, wird das IMAP-Postfach alle 24 Stunden automatisch synchronisiert. Im Office 365 Admin-Center wird im Kopftext zwar angezeigt, dass die Migration erfolgreich abgeschlossen ist, dies ist aber nicht korrekt.
Dies wird im nächsten Exchange Online Intermezzo deutlich. Springen Sie zu Schritt 4, wenn Sie die IMAP-Migration abgeschliessen möchten.
In der Übersicht der Exchange Online Migrationsbatche wird deutlich angezeigt, dass das Batch synchronisierte, aber keine finalisierten (abgeschlossenen) Postfächer enthält.
Über das Office 365 Admin-Center können Sie die IMAP-Migration für jeden Benutzer getrennt beenden. Hierzu wählen Sie einen Benutzer aus, dessen Postfach im Status Synchronisiert ist und klicken auf Migration beenden. Nach der Bestätigung mit Ja wird das ausgewählte Postfach innerhalb des Migrationsbatches finalisiert.
Das bedeutet, dass für diesen Bentuzer eine letzte IMAP-Synchronisierung durchgeführt wird und dieser Benutzer nach Abschluss der Synchronisierung aus dem Migrationsbatch entfernt wird. Alle im Batch verbleibenden Postfächer werden weiterhin alle 24 Stunden synchronisiert.
Wenn kein Postfach mehr Migrationsbatch enthalten ist, haben Sie die Möglichkeit, neue Benutzer auszuwählen und eine Migration zu starten.
Über die Schaltfläche Verbindung schließen wird die Information über eine laufenden IMAP-Migration aus dem Office 365 Admin-Center entfernt. Nach dem Schließen der Verbindung erreichen Sie über den Menüpunkt Datenmigration die Einstiegsseite der Datenmigration, wie in Schritt 1 beschrieben.
Nachdem alle IMAP-Postfächer zu Office 365 migriert wurden, können Sie mit dem Rückbau der Postfächer auf den Quellsystemen beginnen.
Nach dem Beenden der IMAP-Migrationen und dem Schließen der Verbindung über das Office 365 Admin-Center verbleibt ein leerer IMAP-Migrationsbatch in Exchange Online. Diesen können Sie bedenkenlos über das Papierkorbsymbol löschen.
Sie haben Fragen zur IMAP Migration zu Office 365? Nutzen Sie bitte die Kommentarfunktion dieses Blogbeitrages.
Viel Spaß mit Office 365!