Granikos Technology Blog

Vom 24. - 26. Juni 2019 findet in Wien die SharePoint Konferenz 2019 statt.

Im Rahmen dieser Konferenz spreche ich am am Dienstag, 25. Juni 2019, über 

Überwachung der Office 365 Endbenutzererfahrung - Ist das notwendig? 

Sobald Unternehmen Office 365 (Hybrid oder Cloud-Only) nutzen, erkennen sie, dass dies zu ganz neuen Herausforderungen im täglichen IT-Betrieb führt. Häufig mangelt es an Transparenz und Kontrolle über die Endbenutzererfahrung, sodass viele Unternehmen keine Sichtbarkeit hierüber haben. In dieser Session werden bewährte Methoden zum Überwachen einer Cloud-Umgebung gezeigt und wie man die Einschränkungen von Office 365 überwinden kann. Erst wenn Unternehmen Office 365 besser kennengelernt haben können sie die nächste Hürde, die Erhöhung der Service-Akzeptanz und die Kontrolle der Lizenzkosten, in Angriff nehmen.

Die weiteren Themen der Konferenz sind:

• SharePoint Framework, Front End Development, JavaScript, Angular, UI Fabric, Designs
• Office 365, SharePoint on Premise, Online, Office System SharePoint 2019, Microsoft Graph
• Sharepoint Dokumente und Recht - Datenschutz
• Teams, PowerApps, Flow, Power BI, Excel, Outlook
• Bots, Machine Learning und Azure Dienste
• Projektmanagement, Modern Workplace, Security und Information Compliance
• Digitale Transformation, Prozesse und Collaboration allgemein

Links

• Agenda der SharePoint Konferenz 2019
• Anmeldung zur SharePoint Konferenz 2019

Ich freue mich, Sie auf der SharePoint Konferenz persönlich begrüßen zu dürfen. 

Seit den frühen Tagen von Exchange Server werden die maximale Postfachgrößen (Quota) von Anwenderpostfächern reglementiert. Diese Konfiguration erfolgte in vielen Exchange Organisationen über die Quota-Einstellungen der Postfachdatenbanken und galt somit einheitlich für alle in der jeweiligen Datenbank gespeicherten Postfächer. Dieses Vorgehen war in der Vergangenheit hauptsächlich dem Umstand geschuldet, dass der vorhandene Festplattenspeicher knapp und teuer war.

Das folgende Beispiel zeigt zwei Datenbanken für Standardanwender (DB-USER-1/-2) und eine Datenbank mit größeren Postfächern für das obere Management (DB-C-Level).

Diese Vorgehensweise wurde für viele Exchange Organisationen auch bei der Transition zu modernen Exchange Server Versionen ab Version 2013 nie infrage gestellt. Die alten Betriebsmuster wurden einfach übernommen.

Vorteile

Mit den modernen Exchange Server Versionen und den Empfehlungen für den Betrieb nach Preferred Architecture ist diese Art des Betriebs von Exchange Server Postfächern nicht mehr sinnvoll. Eine der wichtigsten, nichttechnischen, Empfehlungen, ist die Standardisierung und Vereinfachung des Betriebs der gesamten Exchange Server Plattform. Gerade im Hinblick auf einen hybriden Betrieb, also den parallelen Betrieb einer lokalen Exchange Organisation mit Anbindung an Exchange Online, ist eine Vereinfachung des Betriebs angeraten.

Eine Standardisierung und Vereinfachung des Betriebs erreichen Sie durch die Konfiguration der Postfachgrenzwerte auf Postfachebene. Hierdurch werden dedizierte Postfachdatenbanken für unterschiedliche Anwenderkreise überflüssig. Sie können Postfächer beliebig zwischen den Datenbanken verschieben und so flexibler auf Herausforderungen in der lokalen IT-Infrastruktur reagieren.

Das nachfolgende Beispiel verdeutlicht dies mit drei Postfachdatenanken (DB-1/-2/-3), in den eine unterschiedliche Anzahl an Postfächern mit unterschiedlichen Größen gespeichert ist.

Noch deutlicher wird die Vereinfachung für den täglichen Betrieb, wenn wir uns eine Verteilung von unterschiedlichen Anwenderpostfächern (MBX, grün/gelb) und aktivierten Online-Archiv-Postfächern (ARC, grün) anschauen.

Nun gibt es neben Anwenderpostfächern und Online-Archiv-Postfächern noch weitere Postfachtypen:

• Raum- und Ressourcenpostfächer (RES, grau)
• Postfächer für Öffentliche Ordner (PF, orange)

Mit diesen zusätzlichen Postfachtypen ergibt sich für einen vereinfachten Betrieb das folgende Beispiel mit Postfächern verteilt über fünf Postfachdatenbanken.

Bei einer modernen Betriebsweise von Exchange Server mit einer Datenbankverfügbarkeitsgruppe (DAG) benötigen Sie keine klassische Form der Datensicherung. Alle benötigten Schutzfunktionen sind in Exchange Server integriert. Daher ist es auch unerheblich, in welcher Postfachdatenbank ein bestimmtes Postfach gespeichert ist. Diese Art des Betriebs entspricht grundsätzlich dem Betrieb von Exchange Online. Dort wird ein Anwenderpostfach ebenfalls nur in „irgendeiner“ Postfachdatenbank gespeichert.

Nachteile

Gibt es auch Nachteile für solch einen vereinfachten und standardisierten Betrieb von Postfachdatenbanken in einer lokalen Exchange Server Organisation?

Es gibt einen Nachteil für den Betrieb einer solchen Exchange Server Datenbank Umgebung. Zumindest dann, wenn Sie weiterhin auf eine klassische Datensicherungsmethode setzen und regelmäßig Postfachinhalte aus einer Datensicherung wiederherstellen müssen. In diesem Fall müssen Sie wissen, in welcher Datenbank ein Postfach zum Zeitpunkt der Datensicherung gespeichert war, um explizit genau diese Datenbank wiederherstellen zu können. Im Active Directory Objekt eines Postfacheigentümers existiert keine Historie der vorherigen Speicherorte eines Postfaches. Es ist immer nur die aktuelle Postfachdatenbank im AD-Objekt gespeichert.

Für die Sicherheit im Betrieb und in der Verwaltung gibt es keine Einschränkungen. Mit Exchange Server Role Based Access Control (RBAC) haben Sie alle Möglichkeiten, um die Verwaltung besonderer Postfächer, z.B. Geschäftsführung, nur bestimmten Mitarbeitern zu erlauben. Von einer Einschränkung der Zugriffsmöglichkeiten durch die direkte Anpassung von Active Directory Objektberechtigungen sollten Sie absehen. Diese Anpassung ist im Vergleich zu eine Berechtigungssteuerung mit RBAC wesentlich unsicherer.

Fazit

Der moderne Betrieb von Exchange Server mit einer datenbankunabhängigen Steuerung der Postfachgrenzwerte bietet Flexibilität und Standardisierung. Im Hybrid-Betrieb mit Exchange Online stellen Sie Postfächer in der lokalen Exchange Organisation in der gleichen Art und Weise bereit, wie sie auch in Exchange Online erfolgt. Sie haben somit eine einheitlich Betriebsart. Der einzige Unterschied sind die unterschiedlichen Postfachgrenzwerte im Vergleich zu Exchange Online. Idealerweise passen Sie auch die Grenzwerte in der lokalen Exchange Organisation denen in Exchange Online an.

Sollte Ihre lokale IT-Infrastruktur nicht die erforderlichen Rahmenparameter für einen sicheren und stabilen Betrieb von Exchange Server bieten, die Verfügbarkeit von Postfächern für Ihr Unternehmen aber wichtig sein, so ist Exchange Online die bessere Alternative.

Links

• Exchange Server Architecture
• Exchange Server Requirements Calculator 
• Exchange Server Role Based Access Control
• Set-MailboxQuota PowerShell Script at GitHub

Viel Spaß mit Exchange Server!

Sie möchten mehr über Exchange Server 2019 lernen? Werfen Sie einen Blick in das Buch "Microsoft Exchange Server 2019: Das Handbuch für Administratoren".

Sie benötigen Hilfe bei der Planung und Installation Ihrer Exchange Server 2019 Installation? Sie haben Fragen über Ihre bestehende Exchange Server Infrastruktur und möchten Exchange Online implementieren? Kontaktieren Sie uns per E-Mail info@granikos.eu oder besuchen Sie unsere Webseite http://www.granikos.eu.

Der browserbasierte Zugriff auf ein Exchange Postfach mit Hilfe von Outlook on the Web (OWA) ermöglicht Ihren Anwendern die Anzeige und Bearbeitung von Office-Dateianhängen ganz ohne Medienbruch in eine andere Applikation. 

Für Kunden von Microsoft 365 und Exchange Online sind hierzu keine weiteren Konfigurationen notwendig. Die Integration von Office Online mit Outlook on the Web ist standardmäßig aktiviert. Jedem Anwender wird automatisch eine Standard-Richtlinie zu gewiesen. Zu den Betriebsrisiken später mehr.

Wenn Sie diese Funktion auch für Ihre lokale Exchange Organisation bereitstellen möchten, müssen Sie zuerst eine Office Online Server Umgebung aufbauen und, falls erforderlich, aus dem Internet erreichbar machen. Die Anforderungen und Implementierungsoptionen einer Office Online Umgebung schauen wir uns in einem der nächsten Artikel an.

In Outlook on the Web wird die Möglichkeit einer Anzeige im Browser im Auswahlmenü eines Dateianhanges anzeigt:

Ebenso ist das Öffnen des Anhanges das Standardverhalten bei einem Klick auf den Dateinamen.

Problem

Im Rahmen einer betrieblichen Anforderung kann es notwendig sein, dass bestimmten Anwendergruppen der Zugriff auf Office Online aus OWA heraus zu unterbinden und stattdessen das Herunterladen von Office-Dateianhängen zu erzwingen.

Die Gründe hierfür können sehr unterschiedlich sein.

Lösungen

Je nachdem, ob Sie Office Online als SaaS-Lösung in Microsoft 365 nutzen, oder aber Ihre eigene Office Online Server Umgebung betreiben, stehen Ihnen unterschiedliche Lösungen zur Verfügung. DIe von Office Online (Server) bereitgestellten Funktionen werden nciht nur von OWA verwendet. 

Konfiguration einer neuen OWA-Postfachrichtlinie

Die Option einer neuen OWA-Postfachrichlinie (OwaMailboxPolicy) steht Ihnen für Microsoft 365 und die lokale Exchange Organisation zur Verfügung. Die Erstellung einer neuen OWA-Postfachrichtlinie ist zwar auch über das Exchange Admin Center, jedoch ermöglicht dieser Weg anschließend nur eine sehr rudimentäre Konfiguration. Daher empfehle ich Ihnen, OWA-Postfachrichtlinien immer mit Hilfe der Exchange Management Shell (EMS) zu erstellen und zu verwalten. Wenn Sie mit Exchange Online arbeiten, stellen Sie bitte sicher, dass Ihr administratives Konto mit einer Multi-Faktor-Authentifizierung (MFA) geschützt ist und Sie das speziell hierfür zur Verfügung gestellte PowerShell Modul verwenden.

Die Erstellung einer neuen OWA-Postfachrichlinie gliedert sich immer in zwei Schritte:

1. Erstellung der neuen Richtlinie mit Hilfe des Cmdlets von New-OwaMailboxPolicy
2. Konfiguration der neu erstellen Richtlinie mit Hilfe des Cmdlets Set-OwaMailboxPolicy

Im folgenden Beispiel erstelle ich in Exchange Online eine neue OWA-Postfachrichlinie für das fiktive Unternehmen Contoso. Der Name der neuen Richtlinie ist Contoso-Restricted-OWA-Policy.

# Aktivierung der PowerShell-Protokollierung (Transkript)
Start-Transcript

# Uneingeschränkte Anzeige von Array-Inhalten
$FormatEnumerationLimit=-1

# Erstellung der neuen OWA-Postfachrichtlinie
New-OwaMailboxPolicy -Name 'Contoso-Restricted-OWA-Policy'

# Auflistung der Namen der vorhandenen OWA-Richtlinien
Get-OwaMailboxPolicy | ft Name

Nach der Erstellung der neuen Richtlinie wurden alle Standard-Einstellungen der Richtlinie im PowerShell-Fenster ausgegeben. Dank der aktivierten Protokollierung haben Sie diese Einstellungen in der Transkript-Textdatei festgehalten.

In diesem Artikel interessieren wir uns für die relevanten Einstellungen zu Office Online (Server). Diese Einstellungen verbergen sich in den Parametern mit dem Kürzel Wac.

# Auflistung der Wac-relevanten Parameter der OWA-Richtlinie
Get-OwaMailboxPolicy 'Contoso-Restricted-OWA-Policy' | FL *wac*

WacEditingEnabled                      : True
WacViewingOnPublicComputersEnabled     : True
WacViewingOnPrivateComputersEnabled    : True
ForceWacViewingFirstOnPublicComputers  : False
ForceWacViewingFirstOnPrivateComputers : False
WacExternalServicesEnabled             : True
WacOMEXEnabled                         : False

Die gewünschte Deaktivierung von Office Online erfolgt über die Parameter WacViewingOnPublicComputersEnabled und WacViewingOnPrivateComputersEnabled. Mit diesen beiden Parametern wird festgelegt, ob für den Anwender, dem diese Richtlinie zugewiesen ist, eine Anzeige des Anhanges in Office Online möglich ist oder nicht. Die Möglichkeit zur Anzeige wird für öffentliche und private Computer getrennt konfiguriert. Seit Exchange Server 2013 werden Zugriffe per OWA immer als Zugriffe von einem privaten Computer gewertet.

Die Bedeutung der Wac-relevanten und aller anderen Parameter ist auf der Hilfe-Seite des Cmdlets Set-OwaMailboxPolicy bestens beschrieben. 

Nach der Erstellung muss die neue Richtlinie noch einzelnen oder allen Anwenderkonten zugewiesen werden.

# Zuweisung der neuen OWA-Richtlinie an ein einzelnes Anwenderkonto
Get-CASMailbox AllanD | Set-CASMailbox -OwaMailboxPolicy 'OwaMailboxPolicy-Default'

# Zuweisung der neuen OWA-Richtlinie an alle vorhanden Anwenderkonten
Get-CASMailbox | Set-CASMailbox -OwaMailboxPolicy 'OwaMailboxPolicy-Default'

# Optionale Konfiguration der neuen OWA-Richtlinie als Standardrichtlinie
Set-OwaMailboxPolicy 'Contoso-Restricted-OWA-Policy' -IsDefault:$true

Nach der Zuweisung der neuen OWA-Postfachrichtlinie wird die Möglichkeit zur Vorschau eines Dateianhanges nicht mehr angezeigt.

Wenn Sie die neu erstellte OWA-Postfachrichlinie Anwendern zuweisen, die zu diesem Zeitpunkt in OWA angemeldet sind, so haben die neuen Einstellungen noch keine Wirksamkeit. Die Einstellungen der neu zugewiesenen Richtlinie werden erst nach einer Ab- und Anmeldung an OWA wirksam.

Deaktivierung der Office Online Lizenz

Auf den ersten Blick erscheint die Deaktivierung der Office Online Lizenz im Rahmen eines Office 365-Lizenzplanes auch eine Möglichkeit zu sein, um die Nutzung von Office Online zu verhindern.

Sie deaktivieren die Office Online Lizenz direkt in der Lizenzzuweisung eines Anwenders im Microsoft 365 Admin Center oder über die gruppengesteuerte Lizenzzuweisung in Azure AD.

Aber führt diese Anpassung der Lizenzzuweisung zum gewünschten Ergebnis? Nein, leider nicht.

Die Deaktivierung der Lizenzzuweisung von Office Online hat keine Auswirkungen auf

• das Öffnen und Bearbeiten von Dateianhängen in Outlook on the Web
• das Öffnen und Bearbeiten von Dokumenten in SharePoint Web oder OneDrive for Business Web
• das Öffnen und Bearbeiten von Dokumenten in Microsoft Teams Desktop oder Web

Damit scheidet die Option zur Zugriffssteuerung von Office Online über die Lizenzzuweisung für einen Anwender aus. 

Risiken

Wie bei vielen anderen Richtlinien von Exchange Online und Exchange Server existiert nach der ersten Einrichtung des Office 365 Tenants bzw. der Exchange Organisation eine Standardrichtlinie zur Konfiguration der Outlook on the Web (OWA) Einstellungen für alle Anwender. Da der Zugriff auf OWA ebenfalls standardmäßig für alle Anwender aktiviert ist, müssen Sie sich mit der Konfiguration der Standardrichtlinie auseinandersetzen.

Verschaffen Sie sich einen schnellen Überblick über all die Zusatzfunktionen, die im Rahmen einer OWA-Richtlinie gesteuert (*enabled) werden.

# Beispielhafte Abfrage der Parameter einer OWA-Richtlinie, die eine Zusatzfunktion steuern
Get-OwaMailboxPolicy 'OwaMailboxPolicy-Default' | FL *enabled*

Diese Abfrage liefert Ihnen eine Grobüberischt der vorhandenen Einstellungen und deren Standardkonfigurationen. Überprüfen Sie alle Einstellungen für OWA-Postfachrichtlinien, ob sie den Compliance-Anforderungen Ihres Unternehmens entsprechen. Sie finden dieser EInstellunge in der Dokumentation für das Cmdlet Set-OwaMailboxPolicy.

Hinweis

Denken Sie beim Thema Office Online auch daran, dass Office Online auch Dokumente öffnen kann, die bei externen Speicheranbietern liegen. Die Nutzung von externen Speicheranbietern, aus Sicht von Office 365, kann im Microsoft 365 Admin Center ausgeschaltet werden.

Wählen Sie im Menüpunkt Einstellungen > Dienste und Add-Ins den Punkt Office Online aus.

Setzen Sie den Schieberegler für die Konfiguration Personen die Verwendung von gehosteten Speicherdiensten von Drittanbietern gestatten aus Aus und speichern Sie die Einstellung.

Links

• Dokumentation OwaMailboxPolicy
  • New-OwaMailboxPolicy
  • Set-OwaMailboxPolicy
• Download Exchange Online PowerShell Modul mit MFA

Viel Spaß mit Microsoft 365 und Exchange Server!

Das Blog Cumulative Update für März 2019 (CU0319) fasst interessante Themen rund um Cloud Sicherheit, Exchange Server, Office 365, Azure und Microsoft Teams des Monats März 2019 zusammen.

Exchange Server

• Outlook License Requirements for Exchange Features
• How to log EWS Traces to a file in PowerShell
• Exchange 2019 on Windows Server Core disk management
• Announcing the updated Exchange Deployment Assistant site
• Exchange Move Requests | Large Items | And Setting TCP KeepAliveTime To A Large Value
• bin/ExSMIME.dll Copy Error During Exchange Patching
• The REAL Exchange Experience | Die Exchange Server Konferenz
• Exchange 2019 on Windows Server Core - Installation Guide

Microsoft 365 | OneDrive | Exchange Online | and more

• [STICKY] Office 365 Network Performance Tool
• [STICKY] Office 365 Support and Recovery Assistant (aka SaRA)
• [STICKY] Office 365 URLs and IP address ranges
• [STICKY] Office 365-Trust Center
• OneDrive | GPO: Configure team site libraries to sync automatically
• Announcing new integrations with Autodesk AutoCAD for Microsoft OneDrive and SharePoint
• Severe Outlook for Mac issue
• Mail flow insights (Wave 2) will soon be available in O365 Security & Compliance Center
• Office 365: Challenges with Distribution Groups for Migrated Mailboxes and a Script Based Solution ( Script Version 1.4 )
• OneDrive | Install the sync client per machine (Preview)
• Investigating TLS usage for SMTP in Exchange Online
• 11 +5 reasons why I fell in love with Microsoft To-Do
• Decommission ADFS When Moving To Azure AD Based Authentication
• Top 5 tips to boost your OneDrive into overdrive
• Announcing the Public Folder Consistency Agent for Exchange Online
• Announcing the Public Folder Consistency Agent for Exchange Online

Microsoft Teams

• Surface Hub update history
• Instructor-led training for Microsoft Teams
• Direct Routing Wizard
• Finding the SharePoint URLs for Teams
• Microsoft Teams and Office 365 Creation Lockdown Tool
• Self Service Phone Number Assignment in Microsoft Teams with Automated Provisioning
• What’s new in Microsoft Teams - the Enterprise Connect feature round up
• Top 10 Microsoft Teams questions from customers around the world
• Microsoft Teams wins Enterprise Connect Best in Show award and delivers new experiences for the intelligent workplace
• Microsoft Teams Keynote zur Enterprise Connect 2019
• Microsoft Teams - März 2019 - 2
• 10 of the latest Microsoft Teams integrations to help you work smarter, not harder
• Microsoft Teams Private Chat History Addin for Outlook

Skype for Business Server | Communications

• Download: Skype for Business Network Assessment Tool
• SfB 2015 Server Update – March 2019

Microsoft Azure

• Virtual Machines Licensing FAQ
• Azure Architecture Center
• [STICKY] Microsoft Azure Trust Center
• Tip of the Day: Instantly restore your Azure Virtual Machines using Azure Backup

Cloud | Cloud Sicherheit

• [STICKY] Microsoft Security TechCenter
• New steps to protect customers from hacking
• AAD Connect 1.3.90.0 is about to be released
• New Outlook for iOS and Android App Configuration Policy Experience – General App Configuration
• Evolution of macOS management capabilities in Microsoft Intune
• The evolution of Microsoft Threat Protection, RSA edition part 1

Docs | Knowledge Base | TechNet

• Getting started with the Cloud Adoption Framework
• Contoso migration: Overview
• Azure Blueprints

Allgemein

• Microsoft Products Reaching End of Support for 2019
• Exchange Team blog is moving to a new home soon!
• 5 steps financial institutions can take to reduce their cybercrime risk
• Updating PowerShell Core Windows Compatibility

Replay

• August 2016: AD FS for Windows Server 2016 Best Practices
• Februar 2010: Inventorying Computers with AD PowerShell
• Oktober 2018: Getting started with Graph API and PowerShell
• November 2018: Connect-MsolService may fail when MFA is enabled

Podcast Empfehlungen

• Exchange Exposed

Tools

• ADFS Rapid Restore Tool
• Active Directory Migration Tool version 3.2
• Microsoft Azure, Cloud and Enterprise Symbol / Icon Set - Visio stencil, PowerPoint, PNG, SVG
• ISESteroids - PowerTheShell
• Mailscape 365 - Exchange Online Monitoring und Reporting
• Mailscape - Exchange Monitoring und Reporting
• Uniscope - Lync Monitoring und Reporting
• Compass - Active Directory Monitoring und Reporting
• ForeSite - SharePoint Monitoring und Reporting

Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.

Sie denken über einen vollständigen Wechsel zu Office 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und neutral über die Möglichkeiten der Office 365 Plattform und Microsoft 365.

Sie möchten mehr über Exchange Server 2019 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Chancen für Ihr Unternehmen in einem individuellen Workshop.

Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder Sie kontaktieren direkt unser Vertriebsteam: info@granikos.eu