de-DEen-GB
rss

Granikos Technology Blog

Logo Microsoft Teams Meetup Berlin

Am 18. Juni 2019 trifft sich die Microsoft Teams Meetup Gruppe Berlin zu ihrem vierten Treffen.

Bei unseren Meetup-Treffen sprechen wir über Microsoft Teams als universelle Plattform zur Zusammenarbeit als Teil einer Modern Workplace Strategie. Hierzu gehören das Teilen und gemeinsame Arbeiten an Dokumenten, Audio- und Video-Kommunikation, Telefonie und die Erweiterbarkeit durch Applikation, Bots und weitere Schnittstellen.

 

Agenda

  • Microsoft Teams als Entwicklungsplattform für Unternehmensanwendungen
  • Neuigkeiten rund um Microsoft Teams
  • Entwicklung von Erweiterungen für Microsoft Teams

 

Termin

 

Sie haben ein interessantes Thema oder eine Produktlösung für Microsoft Teams, die Sie auf einem unserer Meetups vorstellen möchten? Melden Sie sich bei mir: thomas.stensitzki@granikos.eu. Ich freue mich über Ihre Nachricht.

 

Links

 

Viel Spaß mit Microsoft Teams!

 

Weiterlesen »
Aktualisierung 2019-04-26

 

Der browserbasierte Zugriff auf ein Exchange Postfach mit Hilfe von Outlook on the Web (OWA) ermöglicht Ihren Anwendern die Anzeige und Bearbeitung von Office-Dateianhängen ganz ohne Medienbruch in eine andere Applikation. 

Für Kunden von Microsoft 365 und Exchange Online sind hierzu keine weiteren Konfigurationen notwendig. Die Integration von Office Online mit Outlook on the Web ist standardmäßig aktiviert. Jedem Anwender wird automatisch eine Standard-Richtlinie zu gewiesen. Zu den Betriebsrisiken später mehr.

Wenn Sie diese Funktion auch für Ihre lokale Exchange Organisation bereitstellen möchten, müssen Sie zuerst eine Office Online Server Umgebung aufbauen und, falls erforderlich, aus dem Internet erreichbar machen. Die Anforderungen und Implementierungsoptionen einer Office Online Umgebung schauen wir uns in einem der nächsten Artikel an.

In Outlook on the Web wird die Möglichkeit einer Anzeige im Browser im Auswahlmenü eines Dateianhanges anzeigt:

Office Online (Server) Preview eines Dateianhanges

Ebenso ist das Öffnen des Anhanges das Standardverhalten bei einem Klick auf den Dateinamen.

 

Problem

Im Rahmen einer betrieblichen Anforderung kann es notwendig sein, dass bestimmten Anwendergruppen der Zugriff auf Office Online aus OWA heraus zu unterbinden und stattdessen das Herunterladen von Office-Dateianhängen zu erzwingen.

Die Gründe hierfür können sehr unterschiedlich sein.

 

Lösungen

Je nachdem, ob Sie Office Online als SaaS-Lösung in Microsoft 365 nutzen, oder aber Ihre eigene Office Online Server Umgebung betreiben, stehen Ihnen unterschiedliche Lösungen zur Verfügung. DIe von Office Online (Server) bereitgestellten Funktionen werden nciht nur von OWA verwendet. 

 

Konfiguration einer neuen OWA-Postfachrichtlinie

Die Option einer neuen OWA-Postfachrichlinie (OwaMailboxPolicy) steht Ihnen für Microsoft 365 und die lokale Exchange Organisation zur Verfügung. Die Erstellung einer neuen OWA-Postfachrichtlinie ist zwar auch über das Exchange Admin Center, jedoch ermöglicht dieser Weg anschließend nur eine sehr rudimentäre Konfiguration. Daher empfehle ich Ihnen, OWA-Postfachrichtlinien immer mit Hilfe der Exchange Management Shell (EMS) zu erstellen und zu verwalten. Wenn Sie mit Exchange Online arbeiten, stellen Sie bitte sicher, dass Ihr administratives Konto mit einer Multi-Faktor-Authentifizierung (MFA) geschützt ist und Sie das speziell hierfür zur Verfügung gestellte PowerShell Modul verwenden.

Die Erstellung einer neuen OWA-Postfachrichlinie gliedert sich immer in zwei Schritte:

  1. Erstellung der neuen Richtlinie mit Hilfe des Cmdlets von New-OwaMailboxPolicy
  2. Konfiguration der neu erstellen Richtlinie mit Hilfe des Cmdlets Set-OwaMailboxPolicy

Im folgenden Beispiel erstelle ich in Exchange Online eine neue OWA-Postfachrichlinie für das fiktive Unternehmen Contoso. Der Name der neuen Richtlinie ist Contoso-Restricted-OWA-Policy.

# Aktivierung der PowerShell-Protokollierung (Transkript)
Start-Transcript

# Uneingeschränkte Anzeige von Array-Inhalten
$FormatEnumerationLimit=-1

# Erstellung der neuen OWA-Postfachrichtlinie
New-OwaMailboxPolicy -Name 'Contoso-Restricted-OWA-Policy'

# Auflistung der Namen der vorhandenen OWA-Richtlinien
Get-OwaMailboxPolicy | ft Name

Nach der Erstellung der neuen Richtlinie wurden alle Standard-Einstellungen der Richtlinie im PowerShell-Fenster ausgegeben. Dank der aktivierten Protokollierung haben Sie diese Einstellungen in der Transkript-Textdatei festgehalten.

In diesem Artikel interessieren wir uns für die relevanten Einstellungen zu Office Online (Server). Diese Einstellungen verbergen sich in den Parametern mit dem Kürzel Wac.

# Auflistung der Wac-relevanten Parameter der OWA-Richtlinie
Get-OwaMailboxPolicy 'Contoso-Restricted-OWA-Policy' | FL *wac*

WacEditingEnabled                      : True
WacViewingOnPublicComputersEnabled     : True
WacViewingOnPrivateComputersEnabled    : True
ForceWacViewingFirstOnPublicComputers  : False
ForceWacViewingFirstOnPrivateComputers : False
WacExternalServicesEnabled             : True
WacOMEXEnabled                         : False

Die gewünschte Deaktivierung von Office Online erfolgt über die Parameter WacViewingOnPublicComputersEnabled und WacViewingOnPrivateComputersEnabled. Mit diesen beiden Parametern wird festgelegt, ob für den Anwender, dem diese Richtlinie zugewiesen ist, eine Anzeige des Anhanges in Office Online möglich ist oder nicht. Die Möglichkeit zur Anzeige wird für öffentliche und private Computer getrennt konfiguriert. Seit Exchange Server 2013 werden Zugriffe per OWA immer als Zugriffe von einem privaten Computer gewertet.

Die Bedeutung der Wac-relevanten und aller anderen Parameter ist auf der Hilfe-Seite des Cmdlets Set-OwaMailboxPolicy bestens beschrieben. 

Nach der Erstellung muss die neue Richtlinie noch einzelnen oder allen Anwenderkonten zugewiesen werden.

# Zuweisung der neuen OWA-Richtlinie an ein einzelnes Anwenderkonto
Get-CASMailbox AllanD | Set-CASMailbox -OwaMailboxPolicy 'OwaMailboxPolicy-Default'

# Zuweisung der neuen OWA-Richtlinie an alle vorhanden Anwenderkonten
Get-CASMailbox | Set-CASMailbox -OwaMailboxPolicy 'OwaMailboxPolicy-Default'

# Optionale Konfiguration der neuen OWA-Richtlinie als Standardrichtlinie
Set-OwaMailboxPolicy 'Contoso-Restricted-OWA-Policy' -IsDefault:$true

Nach der Zuweisung der neuen OWA-Postfachrichtlinie wird die Möglichkeit zur Vorschau eines Dateianhanges nicht mehr angezeigt.

Dateianhang ohne Vorschaufunktion

Wenn Sie die neu erstellte OWA-Postfachrichlinie Anwendern zuweisen, die zu diesem Zeitpunkt in OWA angemeldet sind, so haben die neuen Einstellungen noch keine Wirksamkeit. Die Einstellungen der neu zugewiesenen Richtlinie werden erst nach einer Ab- und Anmeldung an OWA wirksam.

Mit dieser Konfiguration wird nur die direkte Nutzung von Office Online im Zusammenspiel mit Outlook on the Web konfiguriert. 
Die Nutzung von Office Online durch SharePoint, Microsoft Teams oder andere cloudbasierte Dienste von Microsoft bleibt unbeeinträchtigt.

 

 

Deaktivierung der Office Online Lizenz

Auf den ersten Blick erscheint die Deaktivierung der Office Online Lizenz im Rahmen eines Office 365-Lizenzplanes auch eine Möglichkeit zu sein, um die Nutzung von Office Online zu verhindern.

Sie deaktivieren die Office Online Lizenz direkt in der Lizenzzuweisung eines Anwenders im Microsoft 365 Admin Center oder über die gruppengesteuerte Lizenzzuweisung in Azure AD.

Deaktivierung der Office Online Lizenz in einem Office 365 Lizenzplan

Aber führt diese Anpassung der Lizenzzuweisung zum gewünschten Ergebnis? Nein, leider nicht.

Stand der Information: 24. April 2019

Die Deaktivierung der Lizenzzuweisung von Office Online hat keine Auswirkungen auf

  • das Öffnen und Bearbeiten von Dateianhängen in Outlook on the Web
  • das Öffnen und Bearbeiten von Dokumenten in SharePoint Web oder OneDrive for Business Web
  • das Öffnen und Bearbeiten von Dokumenten in Microsoft Teams Desktop oder Web

Damit scheidet die Option zur Zugriffssteuerung von Office Online über die Lizenzzuweisung für einen Anwender aus. 

 

Risiken

Wie bei vielen anderen Richtlinien von Exchange Online und Exchange Server existiert nach der ersten Einrichtung des Office 365 Tenants bzw. der Exchange Organisation eine Standardrichtlinie zur Konfiguration der Outlook on the Web (OWA) Einstellungen für alle Anwender. Da der Zugriff auf OWA ebenfalls standardmäßig für alle Anwender aktiviert ist, müssen Sie sich mit der Konfiguration der Standardrichtlinie auseinandersetzen.

Verschaffen Sie sich einen schnellen Überblick über all die Zusatzfunktionen, die im Rahmen einer OWA-Richtlinie gesteuert (*enabled) werden.

# Beispielhafte Abfrage der Parameter einer OWA-Richtlinie, die eine Zusatzfunktion steuern
Get-OwaMailboxPolicy 'OwaMailboxPolicy-Default' | FL *enabled*

Diese Abfrage liefert Ihnen eine Grobüberischt der vorhandenen Einstellungen und deren Standardkonfigurationen. Überprüfen Sie alle Einstellungen für OWA-Postfachrichtlinien, ob sie den Compliance-Anforderungen Ihres Unternehmens entsprechen. Sie finden dieser EInstellunge in der Dokumentation für das Cmdlet Set-OwaMailboxPolicy.

 

Hinweis

Denken Sie beim Thema Office Online auch daran, dass Office Online auch Dokumente öffnen kann, die bei externen Speicheranbietern liegen. Die Nutzung von externen Speicheranbietern, aus Sicht von Office 365, kann im Microsoft 365 Admin Center ausgeschaltet werden.

Wählen Sie im Menüpunkt Einstellungen > Dienste und Add-Ins den Punkt Office Online aus.

Konfiguration von Office Online im Microsoft 365 Admin Center

 

Setzen Sie den Schieberegler für die Konfiguration Personen die Verwendung von gehosteten Speicherdiensten von Drittanbietern gestatten aus Aus und speichern Sie die Einstellung.

Deaktivierung von externen Speicheranbietern für Office Online

 

 

Links

 

Viel Spaß mit Microsoft 365 und Exchange Server!

 

 

Weiterlesen »

Mit der Veröffentlichung der Exchange Server 2019 Preview wurde auch bekannt, dass Exchange Server 2019 keine Unified Messaging Rolle (UM) mehr enthalten wird. Die UM-Rolle wurde zum ersten Mal in Exchange Server 2007 eingeführt und bot unterschiedliche Funktionen zur Sprachsteuerung eines Exchange-Postfaches. Auch wenn die Informationen von Microsoft zum Thema Unified Messaging das Wort Fax enthalten, so bietet die UM-Rolle keinen nativen Fax-Empfang.

Bis inklusive Exchange Server 2016 steht die UM-Rolle zur Verfügung und bietet u.a. folgende Funktionen:

  • Postfachzugriff und Sprachsteuerung per Telefon, Outlook für Windows und Outlook on the Web
  • Wiedergabe von Sprachnachrichten am Telefon
  • Anrufbeantworter, auch mit persönlicher Grußformel
  • Anrufbeantworterregeln mit einem Entscheidungsbaum
  • Vorschau der angehangenen Sprachnachricht per E-Mail
  • AD RMS geschützte Sprachnachrichten

 

Wie geht es weiter?

Nutzen Sie in Ihrer Exchange Organisation gegenwärtig Unified Messaging-Funktionen und planen den Wechsel zu Exchange Server 2019? In diesem Fall müssen Sie sich Gedanken darüber machen, mit welcher Technologie Sie Voicemail-Funktionen in Zukunft bereitstellen möchten.  

Das Angebot von Microsoft ist die Migration zu Cloud Voicemail, als Bestandteil von Office 365. Dieser Wechsel bringt Ihnen zwar auch alle weiteren Vorteile von Office 365, ist aber, aus unterschiedlichen Gründen, nicht für alle Unternehmen eine gangbare Lösung. Die Nutzung der UM-Funktionen von Exchange Server 2016 ist natürlich weiterhin möglich. jedoch müssen Sie daran denken, dass der Mainstrem-Support von Exchange Server 2016 am 13. Oktober 2020 endet. Unterm Strich schieben Sie die Notwendigkeit, eine andere Voicemail-Lösung zu etablieren, nur in die Zukunft.

Das nächste Problem ist, dass auch die direkte Anbindung von Voice-Kommunikation an Exchange Online über Session Border Controller (SBC) durch Microsoft abgekündigt wurde. Das bedeutet, dass lokal installierte IP-Telefonanlagen von anderen Herstellern, keinen Zugriff auf Cloud Voicemail haben werden. Die Nutzung von Cloud Voicemail erfordert zwingend den Betrieb von Skype for Business als On-Premises Telefonanlage. Der Termin für Support-Ende für die SBC-Unterstützung ist der 30. April 2019.

Die folgende Tabelle (Quelle: Jeff Guillet) verdeutlicht Ihre Optionen für die Voicemail-Nutzung mit Skype for Business und Exchange Server.

Enterprise Voice Postfach Server Exchange UM Exchange Online UM Cloud Voicemail
Skype for Business 2015 Exchange Server 2016 Ja Nein Nein
Skype for Business 2015 Exchange Server 2019 Nein Nein Nein
Skype for Business 2015 Exchange Online Nein Ja Nein
Skype for Business 2019 Exchange Server 2016 Ja Nein Nein
Skype for Business 2019 Exchange Server 2019 Nein Nein Ja
Skype for Business 2019 Exchange Online Nein Nein Ja
Skype for Business Online Exchange Server 2016 Nein Nein Ja
Skype for Business Online Exchange Server 2019 Nein Nein Ja
Skype for Business Online Exchange Online Nein Nein Ja
Skype for Business Online (ohne EV) Exchange Server 2016 Nein Nein Ja
Skype for Business Online (ohne EV) Exchange Server 2019 Nein Nein Nein
Skype for Business Online (ohne EV) Exchange Online Nein Nein Nein

*EV = Enterprise Voice

Es sei auch nicht verschwiegen, dass die Nutzung der Cloud Voicemail-Funktionen bestimmte Anforderungen an die zugewiesenen Office 365 Lizenzen hat. Sie haben folgende Möglichkeiten zur Endbenutzer-Lizensierung für Cloud Voicemail.

  • Office 365 E5
  • Skype for Business Online Plan 2
  • Office 365 E1 plus Telefonsystem

Diese Lizenzanforderungen gehen natürlich mit höhren Kosten für Office 365 Dienste einher. 

Wie Sie sehen, gibt es mehrere Randbedingungen, die bei einem Wechsel der Voicemail-Funktionen zu berücksichtigen sind. Meine Empfehlung ist, frühzeitig mit der Planung der Voicemail-Migration zu starten. 

 

Links

 

Weiterhin viel Spaß mit Exchange Server.

Weiterlesen »
On September 13, 2016
1530 Views
Letzte Aktualisierung: 2016-12-19

Problem

Es gibt zahlreiche Gründe, warum externe Dienstanbieter E-Mails unter Verwendung einer E-Mail Dömane eines Kunden senden. Beispielhafte Anwednungsfälle sind z.B.

  • Marketingdienste zum Versand von Newslettern und anderen Nachrichten
  • Reisedienstleister, die das gesamte Reisemanagement abwickeln
  • Gehostete Geschäftslösungen für CRM, ERP o.ä.

Die Nutzung einer E-Mail Domäne, die ein Unternehmen bereits in Verwendung hat, birgt Riskien. Bei der Nutzung durch einen Marketingdienstleister, der hauptsächlich an externe Empfänger sendet, treten die Probleme noch nicht so deutlich hervor. Werden jedoch Dienste in Anspruch genommen, die eine Zustellung von E-Mails an interne MItarbeiter notwendig machen, kommt es zu Problemen.

Eine der einfachsten Funktionen im Rahmen des E-Mail Grundschutzes ist die Abweisung von E-Mails, die eine eigene Domäne (Accepted oder Owned Domain) als Absender nutzen.

Das nachfolgende Schaubild verdeutlicht die Situation.

Blockierte E-Mail eines Dienstanbieters

Das Unternehmen nutzt die E-Mail Domäne varunagroup.de als primäre E-Mail Domäne. Der Dienstanbieter nutzt die Adresse news@varunagroup.de als Absender. E-Mails an externe Empfänger können meist problemlos zugestellt werden, solange der SPF Eintrag des Dienstanbieters in der externen DNS Zone varunagroup.de eingetragen ist. Die E-Mail Sicherheitslösung am Gateway verweigert die Annahme von E-Mails, da nur interne Systeme unter der Domäne varunagroup.de senden dürfen.

Am E-Mail Gateway können natürlich Ausnahmen konfiguriert werden. Diese sind aber von Natur aus wartungs- und fehleranfällig.

 

Lösung

Das Problem kann durch Nutzung von Subdomänen einfach und elegant gelöst werden.

Anstatt der Domäne varunagroup.de werden E-Mails von externen Dienstanbietern unter der Subdomäne email.varunagroup.de gesendet. In der zur DNS-Zone der Subdomäne werden der zugehörige SPF Eintrag und alle erforderlichen DKIM Einträge verwaltet.

Das nachfolgende Schaubild verdeutlicht den Unterschied zum ersten Schaubild.

Erfolgreicher Empfang von E-Mails des Dienstanbieters

Das Unternehmen nutzt weiterhin die Domäne varunagroup.de als primäre E-Mail Domäne. Für externe Dienstanbieter wurde nun aber die Subdomäne email.varunagroup.de eingerichtet. Somit versendet der Anbieter in diesem Beispiel E-Mail Nachrichten mit der Absenderadresse news@email.varunagroup.de. Für externe Empfänger ändert sich hierdurch nichts. Für das E-Mail Sicherheitsgateway des Unternehmens ändert sich aber alles. Die Absenderdomäne email.varunagroup.de ist ist eine vollwertige externe Domäne, die durch SPF und DKIM abgesichert wurde. Alle Nachrichten des Dienstanbieters werden angenommen und an interne Empfänger zugestellt.

Bei Bedarf kann für jeden externen Dienstanbieter eine separate Subdomäne konfiguriert werden. Dieses Vorgehen ist ein wenig aufwendiger, bietet jedoch ein verbesserte Kontrolle der DNS Konfiguration.

Die nachfolgende Präsentation verdeutlich die Optionen noch einmal.

 

Richten Sie für externe Dienstanbieter, die unter Ihrer E-Mail Domäne Nachrichten versenden sollen, immer Subdomänen ein. Für Unternehmen, die Office 365 und Exchange Online nutzen, ist die Empfehlung mit der beschriebenen Subdomänen-Konfiguration zu arbeiten. Ansonsten wird Exchange Online Portection (EOP) E-Mails von externen Dienstanbietern abweisen.

Links

Weiterlesen »

Anfang Juli wurde Version 11 der erfolgreichen Anti-Spam und E-Mail Verschlüsselungslösung NoSpamProxy veröffentlicht.

NoSpamProxy eignet sich sowohl für E-Mail Umgebungen, die sich rein On-Premises befinden, als auch für den Betrieb mit Office 365. Gerade hier zeigt sich der absolute Mehrwert durch den Einsatz der zentralen S/MIME Verschlüsselung oder des Portals zum einfachen und sicheren Austausches großer Dateien.

Ein schneller Blick auf die Unterschiede in der NoSpamProxy Verwaltungskonsole zeigt einen prägnaten neuen Menüpunkt.

NoSpamProxy 10.1
 
NoSpamProxy 11
 
Management Console NoSpamProxy 10.1 Management Console NoSpamProxy 11

DKIM

Mit der neuen DKIM Funktion ist es ein Leichtes, DKIM Signaturen für die eigenen Domänen zu erstellen und diese im Regelwerk von NoSpamProxy anzuwenden. Mit Hilfe von DKIM wird sichergestellt, dass eine mit DKIM signierte Nachricht wirklich von der sendenden Domäne stammt. Ein empfangendes E-Mail System kann so die Echtheit des Absenders überprüfen.

In der Vergangenheit war die Einrichtung und Konfiguration von DKIM nicht trivial. In diesem Fall ist die Schlüsselerzeugung und die Bereitstellung des öffentlichen Schlüssels extrem einfach gehalten und beschränkt sich auf drei Schritte.

  • Schritt 1: Auswahl der gewünschten eigenen Domäne und Festlegung des DNS Names (Selector)

    NoSpamProxy DKIM - Auswahl der Domain
     

  • Schritt 2: Anlegen des erforderlichen DNS Eintrages in der DNS Zone der ausgewählten Domain auf Basis der von NoSpamProxy bereitgestellten Kopiervorlage

    NoSpamProxy DKIM - Erstellung des DNS Resource Records
     
  • Schritt 3: Validierung des DNS Eintrages durch NoSpamProxy
    NoSpamProxy DKIM - Validierung des DNS DKIM Eintrages

Nun wird in der Regel für ausgehende E-Mails die DKIM Signierung aktiviert. Mehr ist nicht mehr erforderlich, um eine zusätzliche E-Mail Sicherheitsfunktion zu aktivieren. Gerade beim Betrieb mehrerer E-Mail Gateways wird die Einfachheit der Konfiguration deutlich, da die DKIM Einrichtung nur einmal ausgeführt werden muss.

Zentrale Disclaimer

Ein weiteres neues Feature von NoSpamProxy ist die Möglichkeit, E-Mails mit einem zentral gesteuerten Disclaimer zu versehen. Neben dem Hinzufügen von rein rechtlichen Informationen, dem klassischen Disclaimer, können auch unternehmensweite E-Mail Signaturen mit Benutzerinformationen aus dem Active Directory hinzugefügt werden.

Die Verwaltung und Konfiguration erfolgt über eine eigene Weboberfläche, die für den Administrator bequem über die NoSpamProxy Verwaltungsoberfläche erreichbar ist.

Die Bereitstellung als Webseite ist besonders vorteilhaft für Unternehmen, in denen die Konfiguration und Pflege der E-Mail Signaturen einer Abteilung außerhalb der IT unterliegt. Für die Pflege der Disclaimer-Konfigurationen ist lediglich ein Browser und natürlich die erforderliche Berechtigung zur Verwaltung notwendig.

  • Aufruf der Webseite zur Verwaltung der Disclaimer in der NoSpamProxy Verwaltungsoberfläche

    NoSpamProxy Disclaimer
     
  • NoSpamProxy Disclaimer Webapplikation

    NoSpamProxy Disclaimer Webapplikation

Die Funktion für zentrale Disclaimer in NoSpamProxy werden wir in einem separaten Blogartikel und einer Schritt-für-Schritt Anleitung beleuchten.

Fazit

Version 11 von NoSpamProxy zeigt erneut, dass sichere E-Mail Kommunikation mit Software Made in Germany bequem und einfach zu realisieren ist. Es gibt keinen Grund, keine E-Mail Verschlüsselung und sichere E-Mail Übertragung einzusetzen.

Links

 

Sie möchten die E-Mail Kommunikation Ihres Unternehmens sicherer machen? Sie möchten mehr über E-Mail Verschlüsselung erfahren? Wir helfen Ihnen gerne weiter, rufen Sie uns an 02433 9524780 oder senden Sie uns eine E-Mail an info@granikos.eu.

Wir selber begleiten das Produkt schon seit einigen Jahren und sind gerade vom Einsatz in Kombination mit Office 365 überzeugt.

 

Weiterlesen »