Der browserbasierte Zugriff auf ein Exchange Postfach mit Hilfe von Outlook on the Web (OWA) ermöglicht Ihren Anwendern die Anzeige und Bearbeitung von Office-Dateianhängen ganz ohne Medienbruch in eine andere Applikation.
Für Kunden von Microsoft 365 und Exchange Online sind hierzu keine weiteren Konfigurationen notwendig. Die Integration von Office Online mit Outlook on the Web ist standardmäßig aktiviert. Jedem Anwender wird automatisch eine Standard-Richtlinie zu gewiesen. Zu den Betriebsrisiken später mehr.
Wenn Sie diese Funktion auch für Ihre lokale Exchange Organisation bereitstellen möchten, müssen Sie zuerst eine Office Online Server Umgebung aufbauen und, falls erforderlich, aus dem Internet erreichbar machen. Die Anforderungen und Implementierungsoptionen einer Office Online Umgebung schauen wir uns in einem der nächsten Artikel an.
In Outlook on the Web wird die Möglichkeit einer Anzeige im Browser im Auswahlmenü eines Dateianhanges anzeigt:
Ebenso ist das Öffnen des Anhanges das Standardverhalten bei einem Klick auf den Dateinamen.
Im Rahmen einer betrieblichen Anforderung kann es notwendig sein, dass bestimmten Anwendergruppen der Zugriff auf Office Online aus OWA heraus zu unterbinden und stattdessen das Herunterladen von Office-Dateianhängen zu erzwingen.
Die Gründe hierfür können sehr unterschiedlich sein.
Je nachdem, ob Sie Office Online als SaaS-Lösung in Microsoft 365 nutzen, oder aber Ihre eigene Office Online Server Umgebung betreiben, stehen Ihnen unterschiedliche Lösungen zur Verfügung. DIe von Office Online (Server) bereitgestellten Funktionen werden nciht nur von OWA verwendet.
Die Option einer neuen OWA-Postfachrichlinie (OwaMailboxPolicy) steht Ihnen für Microsoft 365 und die lokale Exchange Organisation zur Verfügung. Die Erstellung einer neuen OWA-Postfachrichtlinie ist zwar auch über das Exchange Admin Center, jedoch ermöglicht dieser Weg anschließend nur eine sehr rudimentäre Konfiguration. Daher empfehle ich Ihnen, OWA-Postfachrichtlinien immer mit Hilfe der Exchange Management Shell (EMS) zu erstellen und zu verwalten. Wenn Sie mit Exchange Online arbeiten, stellen Sie bitte sicher, dass Ihr administratives Konto mit einer Multi-Faktor-Authentifizierung (MFA) geschützt ist und Sie das speziell hierfür zur Verfügung gestellte PowerShell Modul verwenden.
Die Erstellung einer neuen OWA-Postfachrichlinie gliedert sich immer in zwei Schritte:
Im folgenden Beispiel erstelle ich in Exchange Online eine neue OWA-Postfachrichlinie für das fiktive Unternehmen Contoso. Der Name der neuen Richtlinie ist Contoso-Restricted-OWA-Policy.
# Aktivierung der PowerShell-Protokollierung (Transkript) Start-Transcript # Uneingeschränkte Anzeige von Array-Inhalten $FormatEnumerationLimit=-1 # Erstellung der neuen OWA-Postfachrichtlinie New-OwaMailboxPolicy -Name 'Contoso-Restricted-OWA-Policy' # Auflistung der Namen der vorhandenen OWA-Richtlinien Get-OwaMailboxPolicy | ft Name
Nach der Erstellung der neuen Richtlinie wurden alle Standard-Einstellungen der Richtlinie im PowerShell-Fenster ausgegeben. Dank der aktivierten Protokollierung haben Sie diese Einstellungen in der Transkript-Textdatei festgehalten.
In diesem Artikel interessieren wir uns für die relevanten Einstellungen zu Office Online (Server). Diese Einstellungen verbergen sich in den Parametern mit dem Kürzel Wac.
# Auflistung der Wac-relevanten Parameter der OWA-Richtlinie Get-OwaMailboxPolicy 'Contoso-Restricted-OWA-Policy' | FL *wac* WacEditingEnabled : True WacViewingOnPublicComputersEnabled : True WacViewingOnPrivateComputersEnabled : True ForceWacViewingFirstOnPublicComputers : False ForceWacViewingFirstOnPrivateComputers : False WacExternalServicesEnabled : True WacOMEXEnabled : False
Die gewünschte Deaktivierung von Office Online erfolgt über die Parameter WacViewingOnPublicComputersEnabled und WacViewingOnPrivateComputersEnabled. Mit diesen beiden Parametern wird festgelegt, ob für den Anwender, dem diese Richtlinie zugewiesen ist, eine Anzeige des Anhanges in Office Online möglich ist oder nicht. Die Möglichkeit zur Anzeige wird für öffentliche und private Computer getrennt konfiguriert. Seit Exchange Server 2013 werden Zugriffe per OWA immer als Zugriffe von einem privaten Computer gewertet.
Die Bedeutung der Wac-relevanten und aller anderen Parameter ist auf der Hilfe-Seite des Cmdlets Set-OwaMailboxPolicy bestens beschrieben.
Nach der Erstellung muss die neue Richtlinie noch einzelnen oder allen Anwenderkonten zugewiesen werden.
# Zuweisung der neuen OWA-Richtlinie an ein einzelnes Anwenderkonto Get-CASMailbox AllanD | Set-CASMailbox -OwaMailboxPolicy 'OwaMailboxPolicy-Default' # Zuweisung der neuen OWA-Richtlinie an alle vorhanden Anwenderkonten Get-CASMailbox | Set-CASMailbox -OwaMailboxPolicy 'OwaMailboxPolicy-Default' # Optionale Konfiguration der neuen OWA-Richtlinie als Standardrichtlinie Set-OwaMailboxPolicy 'Contoso-Restricted-OWA-Policy' -IsDefault:$true
Nach der Zuweisung der neuen OWA-Postfachrichtlinie wird die Möglichkeit zur Vorschau eines Dateianhanges nicht mehr angezeigt.
Wenn Sie die neu erstellte OWA-Postfachrichlinie Anwendern zuweisen, die zu diesem Zeitpunkt in OWA angemeldet sind, so haben die neuen Einstellungen noch keine Wirksamkeit. Die Einstellungen der neu zugewiesenen Richtlinie werden erst nach einer Ab- und Anmeldung an OWA wirksam.
Auf den ersten Blick erscheint die Deaktivierung der Office Online Lizenz im Rahmen eines Office 365-Lizenzplanes auch eine Möglichkeit zu sein, um die Nutzung von Office Online zu verhindern.
Sie deaktivieren die Office Online Lizenz direkt in der Lizenzzuweisung eines Anwenders im Microsoft 365 Admin Center oder über die gruppengesteuerte Lizenzzuweisung in Azure AD.
Aber führt diese Anpassung der Lizenzzuweisung zum gewünschten Ergebnis? Nein, leider nicht.
Die Deaktivierung der Lizenzzuweisung von Office Online hat keine Auswirkungen auf
Damit scheidet die Option zur Zugriffssteuerung von Office Online über die Lizenzzuweisung für einen Anwender aus.
Wie bei vielen anderen Richtlinien von Exchange Online und Exchange Server existiert nach der ersten Einrichtung des Office 365 Tenants bzw. der Exchange Organisation eine Standardrichtlinie zur Konfiguration der Outlook on the Web (OWA) Einstellungen für alle Anwender. Da der Zugriff auf OWA ebenfalls standardmäßig für alle Anwender aktiviert ist, müssen Sie sich mit der Konfiguration der Standardrichtlinie auseinandersetzen.
Verschaffen Sie sich einen schnellen Überblick über all die Zusatzfunktionen, die im Rahmen einer OWA-Richtlinie gesteuert (*enabled) werden.
# Beispielhafte Abfrage der Parameter einer OWA-Richtlinie, die eine Zusatzfunktion steuern Get-OwaMailboxPolicy 'OwaMailboxPolicy-Default' | FL *enabled*
Diese Abfrage liefert Ihnen eine Grobüberischt der vorhandenen Einstellungen und deren Standardkonfigurationen. Überprüfen Sie alle Einstellungen für OWA-Postfachrichtlinien, ob sie den Compliance-Anforderungen Ihres Unternehmens entsprechen. Sie finden dieser EInstellunge in der Dokumentation für das Cmdlet Set-OwaMailboxPolicy.
Viel Spaß mit Microsoft 365 und Exchange Server!
Das Blog Cumulative Update für März 2019 (CU0319) fasst interessante Themen rund um Cloud Sicherheit, Exchange Server, Office 365, Azure und Microsoft Teams des Monats März 2019 zusammen.
Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.
Sie denken über einen vollständigen Wechsel zu Office 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und neutral über die Möglichkeiten der Office 365 Plattform und Microsoft 365.
Sie möchten mehr über Exchange Server 2019 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Chancen für Ihr Unternehmen in einem individuellen Workshop.
Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder Sie kontaktieren direkt unser Vertriebsteam: info@granikos.eu
In vielen Unternehmen werden noch Öffentliche Ordner alter Bauart, die sog. Legacy Public Folder, auf Exchange Server 2010 Systemen bereitgestellt. Oftmals sind die diese Ordnerstrukturen innerhalb der Öffentlichen Ordner Hierarchie über die Jahre unkontrolliert gewachsen. Dies nicht nur im Hinblick auf das Datenvolumen, sondern auch auf die Anzahl der Ordner und die Ordnertiefe in der Ordnerhierarchie. Aus diesen Gründen fürchten viele Unternehmen eine Migration der Öffentlichen Ordner zu einer modernen Version von Exchange Server oder zu Exchange Online.
Am 14. Januar 2020 ist das Support-Ende von Exchange Server 2010 erreicht. Bis zu diesem Termin sollten Sie vorhanden Öffentliche Ordner Hierarchien zu Modernen Öffentlichen Ordnern in Exchange Server 2016 oder zu Exchange Online migriert haben. Nach diesem Datum befinden sich Ihre Exchange Server 2010 Installationen in einem nicht unterstützten Betriebszustand und stellen ein Risiko für den sicheren Betrieb Ihrer IT-Plattform dar.
Vermeiden Sie die vollständige Migration aller Öffentlichen Ordner ohne eine Revision der Inhalte und Ordnerstrukturen. Die Migration hin zu modernen Öffentlichen Ordner in Exchange Online muss besonders vorbereitet werden.
Vermeiden Sie die vollständige Migration aller Öffentlichen Ordner ohne eine Revision der Inhalte und Ordnerstrukturen.
Die Migration hin zu modernen Öffentlichen Ordner in Exchange Online muss besonders vorbereitet werden.
Diese Vorbereitung der Öffentlichen Ordner muss folgenden Maßnahmen und Überlegungen berücksichtigen:
Mit einer Umstellung und Bereinigung der E-Mal-aktivierten Ordner stellen Sie eine sichere Zustellung der E-Mail-Nachrichten während der Migrations- und Finalisierungsphase der Öffentlichen Ordner sicher. Unabhängig davon, ob die die Öffentlichen Ordner zu Exchange Server 2016 oder zu Exchange Online migrieren, kommt es zu einem Pausieren der Zustellung. Nach der Fertigstellung werden wartende Nachrichten in die neue Betriebsumgebung der Öffentlichen Ordner umgeleitet und zugestellt. Dies ist für zeitkritische E-Mail-Nachrichten nicht akzeptabel.
Die Information über einen E-Mail-aktivierten Ordner wird nicht nur innerhalb der Öffentlichen Ordner-Hierarchie gespeichert. Zu einem E-Mail-aktivierten Ordner gehört auch ein entsprechendes AD-Objekt, das im MESO-Container gespeichert ist. Wenn die Berechtigung für Exchange Server auf diesen Container angepasst wurde wird das AD-Objekt nicht entfernt oder geändert. Bei einer Aufhebung der E-Mail-Aktivierung verbleibt das AD-Objekt im MESO-Container und sorgt bei einer Migration zu Exchange Online für Probleme. Dieser Fehler macht sich in einer reinen On-Premises-Umgebung nicht bemerkbar. Der Fehler schlummert im Untergrund und wartet darauf, entdeckt zu werden.
Die Bereinigung der Ordnerberechtigungen, hin zu Gruppen-basierten Berechtigungen führt zu einer Vereinheitlichung und Vereinfachung des Zugriffes. Bereits bei einem rein lokalen Betrieb der Öffentlichen Ordner profitieren Sie schon von dieser Umstellung. Wenn Sie jedoch eine Migration der Öffentlichen Ordner zu Exchange Online planen, ist diese Umstellung ein absolutes Muss. Eine Anpassung der Ordnerberechtigungen nach der Migration zu Exchange Online ist eine besondere Herausforderung. Solange die Ordnerhierarchie relativ flach ist und nur wenige Ordner enthält, werden Sie keine Probleme bei der rekursiven Anpassung von Ordnerberechtigungen haben.
Gerade in vertriebsorientierten Unternehmen sind den Jahren, seit Einführung der Öffentlichen Ordner, eigenständige Ordnerbäume gewachsen. Ich durfte mit einer Ordnerhierarchie, bestehend aus ~120.000 Ordner unterhalb eines Basisordners, nach der Migration zu Exchange Online besondere Erfahrungen machen.
Nachfolgend ein Beispiel für die Ordnerstruktur einer Vertriebsorganisation.
Wenn Sie in einer solchen Ordnerhierarchie die Berechtigungen per Remote PowerShell setzen möchten, werden Sie bei der Ausführung der Cmdlets in Probleme laufen.
Durch die besondere Betriebsart als SaaS-Angebot, gibt es klare Grenzen für die Verarbeitung von Cmdlets in einer Remote PowerShell-Session. Sie können maximal 120 destruktive Cmdlets je 60 Sekunden ausführen. Wenn Sie diesen Schwellenwert überschreiten, wird die Ausführung Ihrer Cmdlets durch sog. MicroDelays verzögert. Unter destruktiven Cmdlets versteht man Cmdlets, wie Einstellungen hinzufügen oder ändern, als Set-*, Remove-*, New-* oder Add-* Cmdlets.
Das Hinzufügen von Berechtigungen für Öffentliche Ordner erfolgt mit Hilfe des Cmdlets Add-PublicFolderClientPermission. Die Anpassung einer bestehenden Berechtigung besteht immer aus zwei Konfigurationsschritten, dem Entfernen der alten Berechtigung (Remove-PublicFolderClientPermission) und dem Hinzufügen der neuen Berechtigung.
Dieses Problem trifft Sie nicht nur bei Ausführung einer Remote-PowerShell-Sitzung, sondern auch bei der Anpassung der Berechtigungen über das Exchange Online Admin Center (EAC). Der Unterschied ist, dass das EAC Sie mit einer Success-Meldung in SIcherheit wiegt und Ihnen vorgaukelt, dass auf allen Ordnern die Berechtigungen gesetzt wurden. Die Realität hat gezeigt, dass die im Hintergrund ausgeführten PowerShell-Cmdlets in die Begrenzung laufen.
Alternativ können Sie die Berechtigungen auch mit Hilfe der Exchange Web Services (EWS) anpassen. Hierzu gibt es professionelle Lösungen am Markt. Jedoch greifen auch für den Zugriff per EWS Grenzwerte. Professionelle Programme versuchen durch Pausen bei der Ausführung das Erreichen der Grenzwerte zu vermeiden. Dies führt natürlich zu einer entsprechenden Laufzeit bei der Anpassung der Berechtigungen.
Daher ist meine Empfehlung, die Berechtigungen der Öffentlichen Ordner vor einer Migration zu Exchange Online zu bereinigen. Hierdurch stellen Sie sicher, dass Sie sich nur noch auf die Mitgliedschaft der Benutzerkonten in den entsprechenden Sicherheitsgruppen kümmern müssen.
Viel Spaß mit Öffentlichen Ordnern. Und vergessen Sie den Stichtag 14. Januar 2020 für das Support-Ende von Exchange Server 2010 nicht.
Heute ist mein Buch "Exchange Server 2019 - Das Handbuch für Administratoren" im Rheinwerk Verlag erschienen.
Ein Buch über ein Produkt zu verfassen, dass seit mehr 20 Jahren auf am Markt und für den Betrieb in einer lokalen IT-Infrastruktur gedacht ist, war eine ganz besondere Erfahrung. Exchange Server verwendet auch heute noch Funktionen, die ihren technologischen Ursprung im letzten Jahrhundert hatten. Das Wissen um diese Funktionen ist für eine gute Planung und einen sicheren Betrieb von Exchange Server 2019 unerlässlich.
Das Buch gliedert sich in folgende Kapitel:
Die Zeit des Schreibens war nicht nur für mich eine Herausforderung. Daher möchte ich mich bei den Menschen bedanken, die mich bei diesem Projekt unterstützt und mir den notwendigen Freiraum und Rückhalt gegeben haben. Mein ganz persönlicher Dank, für die nicht immer leichte Zeit, geht an Nicole, Frank und Stephanie. Für die fachliche Kritik und kreative Ideen möchte ich mich bei Dirk, Katharina, Stephan und Torsten bedanken.
Das Buch ist als gebundene Ausgabe im Handel erhältlich. Beim Rheinwerk Verlag ist es zusätzlich als E-Book verfügbar.
Viel Spaß mit meinem Buch und mit Exchange Server 2019!
Das Blog Cumulative Update für Januar 2019 (CU0119) fasst interessante Themen rund um Cloud Sicherheit, Exchange Server, Office 365, Azure und Skype for Business des Monats Januar 2019 zusammen.