Granikos Technology Blog

Die Installation und die erfolgreiche Implementierung von SharePoint Server 2019 erfordern eine detaillierte Planung. Gleiches gilt für eine Hybrid-Konfiguration mit SharePoint Online.

In diesem Artikel finden Sie eine Zusammenstellung der wichtigsten Links zur Planung, Installation und Konfiguration von SharePoint Server 2019 und einer optionalen Hybrid-Konfiguration mit SharePoint Online.

Hinweis
Nicht für alle Seiten ist eine deutschsprachige Übersetzung verfügbar. Daher finden Sie nachfolgend Verlinkungen zu englischsprachigen und deutschsprachigen Inhalten.

SharePoint Server 2019

• New and improved features in SharePoint Server 2019
• Unterschiede zwischen SharePoint Server 2016 und 2019
• Veraltete oder entfernte Funktionen in SharePoint Server 2019
• Hardware- und Softwareanforderungen für SharePoint Server 2019
• Resilient File System (ReFS) Overview

Planung einer SharePoint Farm

SharePoint kann grundsätzlich in vier unterschiedlichen Architekturmodellen betrieben werden, die ihre ganz individuellen Vor- und Nachteile bieten. Diese sind:

• SharePoint Online (SaaS)
  Hierbei wird SharePoint als integraler Bestandteile des SaaS Angebotes von Office 365 verwendet. Sie nutzen immer die aktuellste Version von SharePoint.
   
• SharePoint Hybrid
  Hierbei werden eine lokale SharePoint Server Farm und SharePoint Online parallel betrieben und sind bidirektional miteinander verbunden. Beide Umgebungen können auf Inhalte der anderen Umgebung zugreifen.
   
• SharePoint in Azure (IaaS)
  Hier agiert Azure als Erweiterung Ihrer internen IT-Infrastruktur. Sie betreiben in Azure virtuelle Serversysteme und betreiben dort eine SharePoint Server Farm. Diese Farm kann auch in einer Hybridanbindung mit SharePoint Online betrieben werden. 
   
• SharePoint On-Premises
  Dies entspricht einer klassischen SharePoint Server Farm, die Sie auf Ihren eigenen Serversystemen, virtualisiert oder phsikalisch, betreiben.

IT-Responsibility	SharePoint  Online	Hybrid	Azure IaaS	On-Premises
Data Governance und Rechtemanagement
Client Endpunkte
Benutzerkonten- und Zugriffsverwaltung
Identitäten und Active Directory Infrastruktur
Netzwerk
Applikationen
Betriebssystem
Physikalische Host-Systeme
Physikalisches Netzwerk
Physikalische Rechenzentren

 = kontrolliert durch Microsoft
 = kontrolliert durch Kunden

Design einer SharePoint Farm Topologie

• Video: What is SharePoint Server MinRole
• Übersicht über die MinRole-Serverrollen in SharePoint Server 2016 und 2019
• Beschreibung von MinRole und den zugehörigen Diensten in SharePoint Server 2016 und 2019
• Microsoft SharePoint Server MinRole Topology (PDF, Visio)

Hochverfügbarkeit und Notfallwiederherstellung 

• Erstellen einer Hochverfügbarkeitsarchitektur und -strategie für SharePoint Server
• Konzepte für hohe Verfügbarkeit und Notfallwiederherstellung in SharePoint Server
• Unterstützte Hochverfügbarkeits- und Notfallwiederherstellungsoptionen für SharePoint-Datenbanken
• Konfigurieren von SQL Server AlwaysOn-Verfügbarkeitsgruppen für SharePoint Server
• Planen von SQL Server AlwaysOn und Microsoft Azure für die Notfallwiederherstellung in SharePoint Server

Installation und Konfiguration

• Planen der Browserunterstützung in SharePoint Server 2016 und 2019
• Planen von Administrator- und Dienstkonten in SharePoint Server 
• Kontoberechtigungen und Sicherheitseinstellungen in SharePoint Server 2016 und 2019
• Konfigurieren der automatischen Kennwortänderung in SharePoint Server
• Installieren von erforderlichen Komponenten für SharePoint Server 2016 von einer Netzwerkfreigabe
• Installieren von SharePoint Server 2016 oder 2019 auf einem einzelnen Server 
• Hinzufügen eines Servers zu einer Farm in SharePoint Server 2016 oder 2019
• Installieren von SharePoint Server 2016 oder 2019 auf mehreren Servern 
• Verwalten einer MinRole-Serverfarm in SharePoint Server 2016 und 2019

Applikationsverwaltung

• Zuweisen oder Entfernen von Administratoren von Dienstanwendungen in SharePoint Server 

Hybrid-Konfiguration mit SharePoint Online

• Download Hybrid Picker (direkter Download)

Viel Spaß mit SharePoint Server 2019 und SharePoint Online.

Der Start mit Microsoft 365 ist nicht immer so einfach. Im Internet findet man ein Vielzahl an Informationen, weiß jedoch nicht sofort, welche Quellen "gute" Quellen sind und welche eher "nebulösen" Charakter haben.

Die folgenden Links sollen Ihnen den Einstieg in das Thema Microsoft 365 und in die Verwaltung der Clouddienste erleichtern.

Allgemeine Informationen

• Microsoft 365 für Großunternehmen (Microsoft 365 Enterprise)
• Microsoft 365 für mittelständische Unternehmen (Microsoft 365 Business)
• Microsoft 365 für den Bildungsbereich (Microsoft 365 Education)
• Office 365 for IT Pros
• Office 365 Roadmap Watch
• Office 365 Network Onboarding tool
• OneDrive for Business Leitfaden für Unternehmen
• Power Platform Self-Service Purchase FAQ
• The Complete Office 365 and Microsoft 365 Licensing Comparison
   
• Microsoft 365 Data Protection Addendum (https://aka.ms/DPA)
• Wo Kundendaten gespeichert werden
• Datenschutz-Folgenabschätzung: Leitfaden für Datenverantwortliche, die Microsoft Office 365 verwenden
• Workshop-Schulung für Chief Information Security Officer (CISO)
• Microsoft 365 - Compliance Informationen
• Microsoft Compliance Configuration Analyzer (MCCA)
• Microsoft Cloud App Security (MCAS)
   
• Licensing Terms and Documentation - Online Services SLA
• Product names and service plan identifiers for licensing

Datenschutz

• Microsoft Viva Insights-App in Microsoft Teams
• Datenschutzhandbuch für Briefing-E-Mails 
• Datenschutzhandbuch für MyAnalytics 
• Datenschutz Workplace Analytics
• Differenzieller Datenschutz in Workplace Analytics
• Datenschutz und Microsoft Teams
• Mitbestimmung beim Einsatz von Cloud-Diensten

Adoption

• Übersicht der Adoption Ressourcen
• Microsoft 365 Adoption Guide
• Microsoft Teams Adoption Guide
• OneDrive Adoption Guide
• Security & Compliance Adoption Guide
• SharePoint Adoption Guide
• Teamwork Governance
• Outlook Mobile Adoption Guide
• Yammer Adoption Guide
• Schnellstart-Handbücher

Hybrides Arbeiten

• Exploring the Science of Work and Ingenuity

Entwicklung

• Erweiterbarkeit von Microsoft 365 - Extensibility Look Book Gallery
• Designing your Microsoft Teams app with UI templates (https://aka.ms/teams-ui-kit)
• Microsoft Teams Development Samples (https://aka.ms/teams-samples)

Migration

• Migrate your content into Microsoft 365

Azure AD

• Berechtigungen der Administratorrollen in Azure Active Directory

Microsoft Teams

• Speicherort von Daten in Microsoft Teams (https://aka.ms/teams-locations) 
• Verwalten von Personen, die Office 365-Gruppen erstellen können (https://aka.ms/create-o365-groups)
• Microsoft Teams IT-Architektur- und Telefonielösungen Poster
• SWOOP Benchmark Report (Video)

PowerShell Module

Folgende PowerShell Module benötigen Sie für die Verwaltung von Microsoft 365.

• Azure AD (v2.0)
  Wenn Ihnen ein Azure AD PowerShell Cmdlet begegnet, dass nicht im produktiven Release des Azue AD Modules enthalten ist, benötigen Sie eventuell die Azure AD Preview Version des Modules.

# Import des PowerShell-Modules
Install-Module -Name AzureAD

# Aufbau einer Verbindung zu Azure AD des globalen Office 365 Angebotes
Connect-AzureAD

# Aufbau einer Verbindung zu Azure AD des globalen Office 365 Angebotes (solange noch verfügbar)
Connect-AzureAD -AzureEnvironmentName AzureGermanyCloud

• SharePoint Online (PowerShell Gallery), bevorzugte Variante
• SharePoint Online (Classic Installer)

# Direkte Installation über die PowerShell Gallery
Install-Module -Name Microsoft.Online.SharePoint.PowerShell

# Import des SharePoint Online PowerShell-Modules
Import-Module -Name Microsoft.Online.SharePoint.PowerShell

# Festlegung des UPN-Anmeldenamen des SharePoint-Administrators
$UPN = 'user@varunagroup.de' # Beispiel UPN

# Festlegung des Office 365 Tenant-Namen
$SPOOrgName = 'VARUNAGROUP' # Beispiel Organisation

# Festlegung der Anmeldedaten
# Bei NUtzung von MFA muss das App-Kennwort verwendet werden
$Credential = Get-Credential -UserName $UPN -Message "Geben Sie Ihr Kennwort ein."

# Aufbau der Verbindung zu SharePoint Online OHNE MFA
Connect-SPOService -Url "https://$($SPOOrgName)-admin.sharepoint.com" -Credential $Credential

# Aufbau der Verbindung zu SharePoint Online MIT MFA
Connect-SPOService -Url "https://$($SPOOrgName)-admin.sharepoint.com"

• Exchange Online PowerShell V2 (Recommended)

# Installation des PowerShell-Modules
Install-Module -Name ExchangeOnlineManagement

# Aufbau einer Verbindung zu Exchange Online
# Nach der Verbindung können Sie V2-Cmdlets und ältere EXO-Cmdlets nutzen
Connect-ExchangeOnline -UserPrincipalName admin@varunagroup.de 

Hinweis

Mit dem PowerShell Cmdlet Connect-EXOPSSession können Sie sich auch in der Azure Cloud Shell mit Exchange Online verbinden und wie gewohnt verwalten. (Mehr erfahren)

• Exchange Online (Click-to-Run, C2R)

# Aufbau der Verbindung zu Exchange Online mit dem EXO MFA PowerShell-Modul V1
# zum globalen Office 365 Angebot
Connect-EXOPSSession -UserPrincipalName admin@varunagroup.de # Beispiel UPN

# zum deutschen Office 365 Angebot, solange verfügbar
Connect-EXOPSSession -UserPrincipalName admin@varunagroup.de -ConnectionUri https://outlook.office.de/PowerShell-LiveID -AzureADAuthorizationEndPointUri https://login.microsoftonline.de/common # Beispiel UPN

• Microsoft Teams

# Import des PowerShell-Modules
Import-Module -Name MicrosoftTeams

# Aufbau einer Verbindung zu Microsoft Teams im globalen Office 365 Angebot
Connect-MicrosoftTeams

• Skype for Business

Der Skype for Business Connector ist abgekündigt. Nutzen Sie das Microsoft Teams PowerShell Modul für alle Konfiguration rund um Teams und Enterprise Voice.
Weitere Information finden Sie in diesem Artikel: Move from Skype for Business Online Connector to the Teams PowerShell module

# Verbindung zu Skype for Business Online
# Dieses PowerShell-Modul wird auch zur Verwaltung von Microsoft Teams Funktionen verwendet
# Import des Skype for Business PowerShell-Modules
Import-Module -Name SkypeOnlineConnector

# Administrator-Anmeldeinformation 
$Credential = Get-Credential

# Erstellung einer neuen Skype for Business Online Session
$SfBSession = New-CsOnlineSession -Credential $userCredential

# Import der SfBSession in die aktuelle PowerShell-Session
Import-PSSession SfBSession

• Microsoft Graph

# Import des Graph PowerShell-Modules
Import-Module -Name Microsoft.Graph.Intune

# Akzeptieren der administrativen Zugriffsberechtigungen (einmalig notwendig)
Connect-MSGraph -AdminConsent

# Aufbau einer Verbindung zu Microsoft Graph
$UPN = 'admin@varunagroup.de' # Beispiel UPN
$password = Read-Host -AsSecureString -Prompt "Enter password for $UPN"
$Credential = New-Object System.Management.Automation.PSCredential ($UPN, $password)
$Connection = Connect-MSGraph -PSCredential $Credential

Für eine vereinfachte administrative Anmeldung empfehle ich Ihnen das PowerShell-Skript Connect-O365.ps1 von Chris Goosen bei GitHub.

• Microsoft Commerce (Self-Service Kaufoptionen für Anwender)

# Installation des PowerShell-Modules 
Install-Module -Name MSCommerce

# Import des PowerShell-Modules
Import-Module -Name MSCommerce

# Aufbau einer Verbindung zu Microsoft Commerce im globalen Office 365 Angebot
Connect-MSCommerce

• Office 365 Service Communications 

# Installation des PowerShell-Modules
Install-Module O365ServiceCommunications

# Import des installierten PowerShell-Modules
Import-Module O365ServiceCommunications

# Aufbau einer neuen PowerShell-Session 
# Funktioniert nur mit Basic Authentication, nicht mit MFA
$cred = Get-Credential

$session = New-SCSession -Credential $cred -Locale de-de

# Beispiel der Serviceinformationen im zugeordneten Office 365-Mandanten
Get-SCServiceInfo -SCSession $session

• PSServicePrincipal

PowerShell Gallery: https://www.powershellgallery.com/packages/PSServicePrincipal

Projektseite: https://github.com/dgoldman-msft/PSServicePrincipal

PowerShell-Skripte

• GitHub 
• PowerShell Gallery
• Meine Community-Skripte für Exchange Online und Office 365 
• PowerShell GUI zur Anmeldung an mehrere Microsoft 365 Dienste

• Export Microsoft 365 Group Report to CSV Using PowerShell

Microsoft Graph

• Graph Explorer

Blogs

Nachfolgend finden Sie eine Empfehlungsliste für Blogs, die ich regelmäßig als Informations- und Lernquelle nutze. Ebenso finden Sie Links zu Webseiten von Office 365-Experten, die interessante Informationen, jenseits von Blogartikeln, bereithalten.

• Hans Brender aka Mr. OneDrive
• Randy Chapman's UC Status – The home of UC News, Reviews & How-to's
• The Lonely Administrator - Practical advice for the automating IT Professional
• Mr. Tony Redmond - Office 365, technology, and anything else really…
• Just Can't Get Enough of IT Blog
• Granikos Blog
• Jaap Wesselius - UC Specialist Blog
• Luise Freese - Sketchnote Artist
• Brian Reid - Office 365 Subject Matter Expert
• Tim McMichael - Navigating the world of high availability…and occasionally sticking my head in the cloud…
• Todd Klindt's Office 365 Admin Blog
• Waldek Mastykarz - Innovation Matters | Office Development MVP
• Tomislav Karafilov - IT – SharePoint – .NET – Office 365 – Azure – DevOps – Community

• Microsoft 365 Blog
• Enterprise Mobility + Security
• Office 365: Developer Blogs
• Microsoft Security

Tools

• Mailscape 365
  Aktive Überwachung von Office 365 Endpunkten und der Cloud-Anwendererfahrung für Ihre Mitarbeiter
   
• ShareGate Apricot
  Reporting und Management Lösung für Microsoft Teams und Office 365-Gruppen
   
• ScriptRunner
  Software zur professionellen PowerShell Automatisierung
   
• AdminDroid
  Detailliertes Reporting und Controlling Ihres Office 365 Tenants
   
• Feedly
  Tool zur Aggregierung von RSS-Feeds

Weitere technische Links finden Sie im Artikel Troubleshooting Links für Exchange, Office 365 und mehr.

Viel Spaß mit Microsoft 365.

Mailscape 365 - Überwachung von Hybrid Exchange und Office 365: Viele Unternehmen verwenden eine lokale Exchange Organisation und Exchange Online in einer Hybrid-Konfiguration, um die Anforderungen ihrer Mitarbeiter zu erfüllen. Der Betrieb einer hybriden Exchange Organisation seine ganz eigenen Herausforderungen für das Monitoring der Dienstverfügbarkeiten. Beginnen Sie noch heute einen unverbindlichen 14-Tage Test von Mailscape 365.

Aktualisierungen

2021-06-25: Link zum Sway Mitbestimmung beim Einsatz von Cloud-Diensten hinzugefügt
2021-05-31: Datenschutz und Microsoft Teams hinzugefügt
2021-05-27: Abschnitt Hybrides Arbeiten hinzugefügt
2021-05-12: Abschnitt Enwicklung hinzugefügt
2021-03-29: Abscnitt Datenschutz hinzugefügt
2021-02-25: Abschnitt Migration hinzugefügt
2021-02-11: Microsoft Cloud App Security (MCAS) hinzugefügt
2021-02-08: Datenschutz-Folgenabschätzung: Leitfaden für Datenverantwortliche, die Microsoft Office 365 verwenden hinzugefügt
2021-01-31: Abschnitt Azure AD hinzugefügt

The following PowerShell scripts have been published by our Exchange and Office 365 experts to the technical community at TechNet Gallery. Please use the GitHub repositories to report issues or to file feature requests.

General

• GlobalFunctions Module
  A module to provide centralized logging capabilities. This script is a *must have* for other Exchange 2013/2016/2019 modules if mentioned in the notes section of the script.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/210/globalfunctions-shared-powershell-library
  • PowerShell Gallery: https://www.powershellgallery.com/packages/GlobalFunctions

Office 365

• Test Office 365 Domain Availability
  Using this script you can test the domain availability in Office 365 and Azure AD.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/296/test-office-365-domain-availability 
  • Github: https://github.com/Apoc70/Test-DomainAvailability 
     
• Test thumbnailPhoto for Azure AD guest users
  Using this script you can update the default guest user profile photo.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/1708/set-thumbnailphoto-for-azure-ad-guest-users 
  • Github: https://github.com/Apoc70/Set-GuestUserPhoto 

Exchange Server 2013 / 2016 / 2019

• Exchange Environment Report v2
  This script creates an HTML report showing the following information about an Exchange 2019, 2016, 2013, 2010, and, to a lesser extent, 2007 and 2003 environment.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/1718/exchange-environment-report-v2
  • Github: https://github.com/Apoc70/Get-ExchangeEnvironmentReport
     
• Report for enabled client protocols
  This script gathers a list of enabled users for a selected Exchange Server client protocol.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/1815/report-for-enabled-client-protocols
  • Github: https://github.com/Apoc70/Get-EnabledProtocolReport
     
• Export delegate and SMTP forwarding information for Exchange (Online) mailboxes
  PowerShell script to export mailbox delegates, SMTP forwarding inbox rules, and mailbox SMTP forwarding information or compliance auditing.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/1693/export-mailbox-delegates-and-smtp-forwarding-information
  • Github: https://github.com/Apoc70/Get-DelegatesAndForwardingRules
     
• Manage Master Category List for Shared Mailboxes and Teams
  C# solution to export/import/copy the master category list to other users/shared mailboxes or even Microsoft Teams calendar.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/1423/manage-master-category-list-for-shared-mailboxes-and-teams
  • Github: https://github.com/Apoc70/MailboxCategoryListManager
     
• Create a new Room Mailbox with Security Groups
  A script to create a new room mailbox with associated full access and/or send-as security groups.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/337/create-a-new-room-mailbox-with-security-groups
  • Github: https://github.com/Apoc70/New-RoomMailbox
     
• Export all user mailbox permissions
  This script exports all mailbox folder permissions for mailboxes of the type UserMailbox. This is useful for documentation purposes prior to migration.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/219/export-all-user-mailbox-folder-permissions 
  • Github: https://github.com/Apoc70/Get-MailboxPermissionReport 
     
• Remove Out-Of-Office rules from user mailbox
  This script searches for OOF rules created by users using the Outlook rule-tab in the OOF assistant and deletes existing OOF rules.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/328/remove-out-of-office-rules-from-user-mailbox 
  • Github: https://github.com/Apoc70/Manage-OOF-Settings 
     
• Add resized user photos automatically
  This script supports resizing of user photos and storing the resized images in Active Directory, Exchange On-Premises, or Exchange Online.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/307/add-resized-user-photos-automatically 
  • Github: https://github.com/Apoc70/Set-UserPictures 
     
• Parse email messages content for further processing
  This script fetches emails from a given monitoring mailbox by searching email messages for a given subject string.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/322/parse-mailcontent 
  • Github: https://github.com/Apoc70/Parse-MailContent 
     
• Update OWA vDir config across multiple servers
  This script checks multiple Exchange Server 2013 OWA web.config files for the existence of IMCertificateThumbprint and IMServerName XML nodes required for Skype for Business OWA integration.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/301/update-owa-vdir-webconfig-across-multiple-exchange-servers 
  • Github: https://github.com/Apoc70/Set-OwaIMSettings 
     
• Remove Orphaned HealthMailbox and SystemMailbox Accounts from MESO Container
  This script removes Active Directory objects for HealthMailboxes or SystemMailboxes in the Microsoft Exchange System Objects (MESO) container that do not have a homeMDB attribute set.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/297/remove-orphaned-healthmailbox-and-systemmailbox-accounts-from-meso-container 
  • Github: https://github.com/Apoc70/Remove-OrphanedMailboxAccounts 
     
• Connect to Exchange Server 2013+ using remote PowerShell
  This script connects to a dedicated or a randomly selected Exchange Server using remote Powershell.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/293/connect-to-exchange-server 
  • Github: https://github.com/Apoc70/Connect-ToExchange 
     
• Create Exchange internal/external Url based certificate requests
  This script helps to create certificate requests (CSR) based on hostnames used for internal and external URLs of Exchange Server virtual directories.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/290/create-exchange-internalexternal-url-based-certificate-requests 
  • Github: https://github.com/Apoc70/Create-CertificateRequest  
     
• Export Messages from Transport Queue
  Script to suspend and export messages from a transport queue.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/282/export-messages-from-message-queue 
  • Github: https://github.com/Apoc70/Export-MessageQueue  
     
• Simple import of multiple PST files for a single user
  A script to simplify the import of multiple PST files for a single user.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/234/simple-import-of-multiple-pst-files-for-a-single-user
  • Github: https://github.com/Apoc70/Start-MailboxImport
     
• Create a new Team Mailbox with Security Groups
  A script to create a new shared mailbox with associated full access or send-as security groups.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/239/create-a-new-team-mailbox-with-security-groups
  • Github: https://github.com/Apoc70/New-TeamMailbox
     
• Find and remove corrupt HealthMailboxes
  Script to find and remove or disable Exchange Server 2013 HealthMailboxes
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/212/find-and-remove-corrupt-healthmailboxes
  • Github: https://github.com/Apoc70/Fix-HealthMailboxes
     
• Change IIS Log File Settings
  Script to configure IIS log file location and other log file settings, especially for Exchange Server 2013/2016
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/220/change-iis-log-file-settings
  • Github: https://github.com/Apoc70/Set-Webserver
     
• Purge Exchange Server 2013/2016/2019 and IIS Log Files
  Script to purge Exchange Server 2013/2016/2019 and IIS log file remotely from a managing or job server
  • Blog: https://www.granikos.eu/de/justcantgetenough/PostId/208/purge-exchange-server-and-iis-log-files
  • Github: https://github.com/Apoc70/Purge-LogFiles
     
• Send emails for Transport Agent and Transport Rule testing
  A script for sending a defined number of emails of a certain type having a specific attachment for the testing of Transport Agents and Transport Rules
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/215/send-test-emails-to-validate-transport-rules-or-transport-agents
  • Github: https://github.com/Apoc70/Send-TestMail
     
• Copy a receive connector from one Exchange 2013 Server to multiple Exchange Servers
  Script to copy a configured Exchange Server 2013/2016/2019 receive connector from a source server to additional Exchange 2013/2016/2019 servers.
  • Github: https://github.com/Apoc70/Copy-ReceiveConnector
     
• Add remote IP-address ranges to an existing receive connector
  Add remote IP address ranges to an Exchange Server 2013/2016/2019 receive connector.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/222/add-remote-ip-address-ranges-to-a-receive-connector
  • Github: https://github.com/Apoc70/Add-ReceiveConnectorIpAddress
     
• Copy anti-virus pattern to Exchange 2010/Exchange 2013 servers
  Script to copy anti-virus pattern files from a given source location to multiple Exchange 2010/Exchange 2013 servers
  • Github: https://github.com/Apoc70/Copy-AntiVirusPattern
     
• Gather Exchange Configuration Data
  Script to gather Exchange Org configuration data and export the configuration as text/CSV files
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/287/gather-exchange-configuration-data
  • Github: https://github.com/Apoc70/Get-ExchangeOrganizationDetails 
     
• Create a scheduled task for Exchange Server 2013+
  This script adds a new scheduled task for an Exchange Server 2013+ environment in a new task scheduler group "Exchange".
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/218/create-a-scheduled-task-for-exchange-server-2013
  • Github: https://github.com/Apoc70/New-ScheduledExchangeTask 
     
• Fetch all remote SMTP servers from Exchange receive connector logs
  This scripts fetches remote SMTP servers by searching the Exchange receive connector logs for the EHLO string.
  • Blog: -
  • Github: https://github.com/Apoc70/Get-RemoteSmtpServers
     
• Clear Private Flag on Mailbox Messages
  C# Executable to clear an item's private flag after migrating public folder content to a shared mailbox.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/303/clear-private-flag-on-mailbox-messages
  • Github: https://github.com/Apoc70/RemovePrivateFlag 
     
• Set Mailbox Item Private Flag
  C# Executable to set an item's private flag after migrating public folder content to a shared mailbox from a legacy mailbox system.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/379/set-mailbox-item-private-flag
  • Github: https://github.com/Apoc70/SetPrivateFlag 

Exchange Server 2007/2010

• Fetch recently created public folders
  This script gathers all public folders created during the last X days and exports the gathered data to a CSV file
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/304/fetch-recently-created-public-folders
  • Github: https://github.com/Apoc70/Get-NewPublicFolders
     
• Remove orphaned users and groups from legacy public folder ACLs
  Cleanup legacy public folder ACLs by removing orphaned other unproperly configured accounts
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/263/clean-legacy-public-folder-acl
  • Github: https://github.com/Apoc70/Clean-PublicFolderACL
     
• Exchange 2010 Public Folder Replication Report (UTF8 support)
  An updated version of the script originally posted by Mike Walker to support public folder with non-ASCII characters
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/211/exchange-public-folder-replication-report
  • Github: https://github.com/Apoc70/Get-PublicFolderReplicationReport
  • Original Post at TechNet Gallery: https://gallery.technet.microsoft.com/office/Exchange-2010-Public-944df6ee
     
• Add multiple legacy public folder replicas recursively
  Script to get more control of adding legacy public folder replicas recursively
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/217/add-multiple-legacy-public-folder-replicas-recursively
  • Github: https://github.com/Apoc70/Add-PFReplica

Other Stuff

• Convert Word documents using PowerShell
  This script converts Word compatible documents to a selected format utilizing the Word SaveAs function. Each file is converted by a single dedicated Word COM instance.
  • Blog: https://www.granikos.eu/en/justcantgetenough/PostId/353/convert-word-documents-using-powershell
  • Github: https://github.com/Apoc70/Convert-WordDocument

Please send comments, wishes, and ideas to support@granikos.eu.

Enjoy!

Need assistance with your Exchange Server Organization? You plan to upgrade your Exchange Server Organization? You plan to migrate to Office 365? Contact us: info@granikos.eu

Updates

Update 2020-10-05: Fetch all remote SMTP servers from Exchange receive connector logs added
Update 2020-05-25: TechNet Gallery links removed due to end of TechNet Gallery in mid-2020
Update 2020-02-07: Report for enabled client protocols, Exchange Environment Report - v2, Set thumbnailPhoto for AzureAD guest users added
Update 2019-05-07: Export mailbox delegates and SMTP forwarding information added
Update 2018-09-04: Add remote IP-address ranges to a receive connector added
Update 2018-06-16: Manage Master Category List for Shared Mailboxes and Teams added
Update 2018-04-29: Convert Word documents using PowerShell and Set Mailbox Item Private Flag added
Update 2018-01-24: Create a new Room Mailbox with Security Groups added
Update 2017-11-11: Export all user mailbox permissions added
Update 2017-09-22: Remove Out-Of-Office rules from user mailbox added
Update 2017-05-20: Parse email messages content for further processing and Update OWA vDir config across multiple servers added
Update 2017-03-18: Fetch recently created public folders and Clear Private Flag on Mailbox Messages added
Update 2017-02-22: Remove Orphaned HealthMailbox and SystemMailbox Accounts from MESO Container added
Update 2017-02-17: Test Office 365 Domain Availability added
Update 2017-02-13: Connect to Exchange Server 2013+ using remote PowerShell added
Update 2017-02-07: Create Exchange internal/external Url based certificate requests, Create a scheduled task for Exchange Server 2013 added
Update 2017-01-24: Gather Exchange Configuration Data added
Update 2017-01-05: Export Messages from Transport Queue added
Update 2016-11-29: Clean legacy public folder ACL added, Scripts categorized
Update 2016-11-28: Add multiple legacy public folder replicas added
Update 2016-08-18: Simple import of multiple PST files for a single user added
Update 2016-07-28: Change IIS Log File settings Github Url added, Create a new Team Mailbox with Security Groups added
Update 2016-06-04: GlobalFunctions added
Update 2015-06-18: Copy-ReceiveConnector updated
Update 2015-06-01: Exchange 2010 Public Folder Replication Report (UTF8 support)
Update 2015-05-21: Copy anti-virus pattern to Exchange 2010/Exchange 2013 servers added
Update 2014-12-10: Copy a receive connector from one Exchange Server to multiple Exchange Servers added

Der browserbasierte Zugriff auf ein Exchange Postfach mit Hilfe von Outlook on the Web (OWA) ermöglicht Ihren Anwendern die Anzeige und Bearbeitung von Office-Dateianhängen ganz ohne Medienbruch in eine andere Applikation. 

Für Kunden von Microsoft 365 und Exchange Online sind hierzu keine weiteren Konfigurationen notwendig. Die Integration von Office Online mit Outlook on the Web ist standardmäßig aktiviert. Jedem Anwender wird automatisch eine Standard-Richtlinie zu gewiesen. Zu den Betriebsrisiken später mehr.

Wenn Sie diese Funktion auch für Ihre lokale Exchange Organisation bereitstellen möchten, müssen Sie zuerst eine Office Online Server Umgebung aufbauen und, falls erforderlich, aus dem Internet erreichbar machen. Die Anforderungen und Implementierungsoptionen einer Office Online Umgebung schauen wir uns in einem der nächsten Artikel an.

In Outlook on the Web wird die Möglichkeit einer Anzeige im Browser im Auswahlmenü eines Dateianhanges anzeigt:

Ebenso ist das Öffnen des Anhanges das Standardverhalten bei einem Klick auf den Dateinamen.

Problem

Im Rahmen einer betrieblichen Anforderung kann es notwendig sein, dass bestimmten Anwendergruppen der Zugriff auf Office Online aus OWA heraus zu unterbinden und stattdessen das Herunterladen von Office-Dateianhängen zu erzwingen.

Die Gründe hierfür können sehr unterschiedlich sein.

Lösungen

Je nachdem, ob Sie Office Online als SaaS-Lösung in Microsoft 365 nutzen, oder aber Ihre eigene Office Online Server Umgebung betreiben, stehen Ihnen unterschiedliche Lösungen zur Verfügung. DIe von Office Online (Server) bereitgestellten Funktionen werden nciht nur von OWA verwendet. 

Konfiguration einer neuen OWA-Postfachrichtlinie

Die Option einer neuen OWA-Postfachrichlinie (OwaMailboxPolicy) steht Ihnen für Microsoft 365 und die lokale Exchange Organisation zur Verfügung. Die Erstellung einer neuen OWA-Postfachrichtlinie ist zwar auch über das Exchange Admin Center, jedoch ermöglicht dieser Weg anschließend nur eine sehr rudimentäre Konfiguration. Daher empfehle ich Ihnen, OWA-Postfachrichtlinien immer mit Hilfe der Exchange Management Shell (EMS) zu erstellen und zu verwalten. Wenn Sie mit Exchange Online arbeiten, stellen Sie bitte sicher, dass Ihr administratives Konto mit einer Multi-Faktor-Authentifizierung (MFA) geschützt ist und Sie das speziell hierfür zur Verfügung gestellte PowerShell Modul verwenden.

Die Erstellung einer neuen OWA-Postfachrichlinie gliedert sich immer in zwei Schritte:

1. Erstellung der neuen Richtlinie mit Hilfe des Cmdlets von New-OwaMailboxPolicy
2. Konfiguration der neu erstellen Richtlinie mit Hilfe des Cmdlets Set-OwaMailboxPolicy

Im folgenden Beispiel erstelle ich in Exchange Online eine neue OWA-Postfachrichlinie für das fiktive Unternehmen Contoso. Der Name der neuen Richtlinie ist Contoso-Restricted-OWA-Policy.

# Aktivierung der PowerShell-Protokollierung (Transkript)
Start-Transcript

# Uneingeschränkte Anzeige von Array-Inhalten
$FormatEnumerationLimit=-1

# Erstellung der neuen OWA-Postfachrichtlinie
New-OwaMailboxPolicy -Name 'Contoso-Restricted-OWA-Policy'

# Auflistung der Namen der vorhandenen OWA-Richtlinien
Get-OwaMailboxPolicy | ft Name

Nach der Erstellung der neuen Richtlinie wurden alle Standard-Einstellungen der Richtlinie im PowerShell-Fenster ausgegeben. Dank der aktivierten Protokollierung haben Sie diese Einstellungen in der Transkript-Textdatei festgehalten.

In diesem Artikel interessieren wir uns für die relevanten Einstellungen zu Office Online (Server). Diese Einstellungen verbergen sich in den Parametern mit dem Kürzel Wac.

# Auflistung der Wac-relevanten Parameter der OWA-Richtlinie
Get-OwaMailboxPolicy 'Contoso-Restricted-OWA-Policy' | FL *wac*

WacEditingEnabled                      : True
WacViewingOnPublicComputersEnabled     : True
WacViewingOnPrivateComputersEnabled    : True
ForceWacViewingFirstOnPublicComputers  : False
ForceWacViewingFirstOnPrivateComputers : False
WacExternalServicesEnabled             : True
WacOMEXEnabled                         : False

Die gewünschte Deaktivierung von Office Online erfolgt über die Parameter WacViewingOnPublicComputersEnabled und WacViewingOnPrivateComputersEnabled. Mit diesen beiden Parametern wird festgelegt, ob für den Anwender, dem diese Richtlinie zugewiesen ist, eine Anzeige des Anhanges in Office Online möglich ist oder nicht. Die Möglichkeit zur Anzeige wird für öffentliche und private Computer getrennt konfiguriert. Seit Exchange Server 2013 werden Zugriffe per OWA immer als Zugriffe von einem privaten Computer gewertet.

Die Bedeutung der Wac-relevanten und aller anderen Parameter ist auf der Hilfe-Seite des Cmdlets Set-OwaMailboxPolicy bestens beschrieben. 

Nach der Erstellung muss die neue Richtlinie noch einzelnen oder allen Anwenderkonten zugewiesen werden.

# Zuweisung der neuen OWA-Richtlinie an ein einzelnes Anwenderkonto
Get-CASMailbox AllanD | Set-CASMailbox -OwaMailboxPolicy 'OwaMailboxPolicy-Default'

# Zuweisung der neuen OWA-Richtlinie an alle vorhanden Anwenderkonten
Get-CASMailbox | Set-CASMailbox -OwaMailboxPolicy 'OwaMailboxPolicy-Default'

# Optionale Konfiguration der neuen OWA-Richtlinie als Standardrichtlinie
Set-OwaMailboxPolicy 'Contoso-Restricted-OWA-Policy' -IsDefault:$true

Nach der Zuweisung der neuen OWA-Postfachrichtlinie wird die Möglichkeit zur Vorschau eines Dateianhanges nicht mehr angezeigt.

Wenn Sie die neu erstellte OWA-Postfachrichlinie Anwendern zuweisen, die zu diesem Zeitpunkt in OWA angemeldet sind, so haben die neuen Einstellungen noch keine Wirksamkeit. Die Einstellungen der neu zugewiesenen Richtlinie werden erst nach einer Ab- und Anmeldung an OWA wirksam.

Deaktivierung der Office Online Lizenz

Auf den ersten Blick erscheint die Deaktivierung der Office Online Lizenz im Rahmen eines Office 365-Lizenzplanes auch eine Möglichkeit zu sein, um die Nutzung von Office Online zu verhindern.

Sie deaktivieren die Office Online Lizenz direkt in der Lizenzzuweisung eines Anwenders im Microsoft 365 Admin Center oder über die gruppengesteuerte Lizenzzuweisung in Azure AD.

Aber führt diese Anpassung der Lizenzzuweisung zum gewünschten Ergebnis? Nein, leider nicht.

Die Deaktivierung der Lizenzzuweisung von Office Online hat keine Auswirkungen auf

• das Öffnen und Bearbeiten von Dateianhängen in Outlook on the Web
• das Öffnen und Bearbeiten von Dokumenten in SharePoint Web oder OneDrive for Business Web
• das Öffnen und Bearbeiten von Dokumenten in Microsoft Teams Desktop oder Web

Damit scheidet die Option zur Zugriffssteuerung von Office Online über die Lizenzzuweisung für einen Anwender aus. 

Risiken

Wie bei vielen anderen Richtlinien von Exchange Online und Exchange Server existiert nach der ersten Einrichtung des Office 365 Tenants bzw. der Exchange Organisation eine Standardrichtlinie zur Konfiguration der Outlook on the Web (OWA) Einstellungen für alle Anwender. Da der Zugriff auf OWA ebenfalls standardmäßig für alle Anwender aktiviert ist, müssen Sie sich mit der Konfiguration der Standardrichtlinie auseinandersetzen.

Verschaffen Sie sich einen schnellen Überblick über all die Zusatzfunktionen, die im Rahmen einer OWA-Richtlinie gesteuert (*enabled) werden.

# Beispielhafte Abfrage der Parameter einer OWA-Richtlinie, die eine Zusatzfunktion steuern
Get-OwaMailboxPolicy 'OwaMailboxPolicy-Default' | FL *enabled*

Diese Abfrage liefert Ihnen eine Grobüberischt der vorhandenen Einstellungen und deren Standardkonfigurationen. Überprüfen Sie alle Einstellungen für OWA-Postfachrichtlinien, ob sie den Compliance-Anforderungen Ihres Unternehmens entsprechen. Sie finden dieser EInstellunge in der Dokumentation für das Cmdlet Set-OwaMailboxPolicy.

Hinweis

Denken Sie beim Thema Office Online auch daran, dass Office Online auch Dokumente öffnen kann, die bei externen Speicheranbietern liegen. Die Nutzung von externen Speicheranbietern, aus Sicht von Office 365, kann im Microsoft 365 Admin Center ausgeschaltet werden.

Wählen Sie im Menüpunkt Einstellungen > Dienste und Add-Ins den Punkt Office Online aus.

Setzen Sie den Schieberegler für die Konfiguration Personen die Verwendung von gehosteten Speicherdiensten von Drittanbietern gestatten aus Aus und speichern Sie die Einstellung.

Links

• Dokumentation OwaMailboxPolicy
  • New-OwaMailboxPolicy
  • Set-OwaMailboxPolicy
• Download Exchange Online PowerShell Modul mit MFA

Viel Spaß mit Microsoft 365 und Exchange Server!

Office Online ist die browserbasierte Variante der wichtigsten Office Applikationen. Dies ermöglicht Ihnen einen schnellen Zugriff und eine Bearbeitung von Office-Dokumenten im Browser.

Office Online umfasst im Standard folgende Applikationen:

• Excel
• OneNote
• PowerPoint
• Word

Wenn Sie Anwender Lizenzpläne für Visio Online oder Project Online zuweisen, können diese Anwender auch Dateien dieser Applikation im Browser bearbeiten.

Office Online kommt auch in Outlook on the Web zu Einsatz. Immer dann, wenn Sie einen Dateianhang einer E-Mail auswählen, erfolgt die Anzeige im Browser durch Office Online. In dieser Ansicht in Outlook on the Web haben Sie auch die Möglichkeit, die ausgewählte Datei direkt zu bearbeiten.

Ob ein Anwender in der Lage ist, eine Office-Datei zu bearbeiten hängt von der jeweiligen Berechtigung und Absicherung des Dokumentes ab. Daher ist eine korrekte Konfiguration der Berechtigungen und Freigaben so wichtig. Office Online unterstützt die gleichzeitige Bearbeitung eines Dokumentes durch mehrere Anwender. Die zeitgleiche Zusammenarbeit an einem Office-Dokument funktioniert mit Office Online, Office Desktop und Office Mobile.. 

Die Office Online Suite wird ergänzt durch die zugehörigen mobilen Office Apps für Android und iOS. 

Excel

Die Excel-Edition von Office Online stellt Ihnen die wichtigsten Excel-Funktionen bereit. Damit haben Sie schnell und einfach Zugriff auf Informationen, die über Excel abgerufen werden können. Bei der Nutzung von Excel-Datei gibt es jedoch zwei wichtige EInschränkungen. Excel-Dateien mit verknüpften externen Datenquelle funktinieren aus Sicherheitsgründen nicht. Hier bietet sich Power BI als Alternative an. Eine weitere Einschränkung gilt für Excel-Dateien mit Makros und VBA-Code. Dieser Code wird in Excel Online nicht ausgeführt.

Der folgende Screenshot zeigt eine Excel-Datei aus der Dateiablage einer Office 365 Gruppe.

Die Einbettung von Office Online steht natürlich auch in Microsoft Teams zur Verfügung. Der folgende Screenshot zeigt ein Excel-Arbeitsblatt, das direkt aus der Dateiablage eines Teams heraus geöffnet wurde. Sie haben in dieser Ansicht die Option, zur reinen Office Online Ansicht zu wechseln, um den zur Verfügung stehenden Bildschirmraum besser auszunutzen oder die Datei in der Desktopversion von Excel zu öffnen. 

Die Einbettung von Office Online in Microsoft Teams ist nicht auf Excel beschränkt. 

PowerPoint

PowerPoint Online ist eine weitere Applikation von Office Online. Mit dieser Applikation können Sie bestehende Präsentationen bearbeiten oder neue Präsentationen erstellen. Der große Vorteil von PowerPoint Online ist aber weniger die Möglichkeit zur Bearbeitung, sondern zu direkten Präsentation. 

Sie können eine geöffnete PowerPoint-Datei direkt im Browser präsentieren. Sie benötigen die Desktop-Applikation hierzu nicht. 

Wenn Sie eine Präsenation in einer anderen Office 365-Applikation, wie z.B. Sway, einbetten, können Sie direkt in dieser Applikation die Präsenation halten.

Der folgende Screenshot zeigt eine PowerPoint-Datei eines Office 365-Testmandanten.

Das Öffnen und Präsentieren ist natürlich auch in Microsoft Teams möglich.

Visio

Auch für Visio exisitiert eine Möglichkeit zur Ansicht von Visio-Dateien. HIer steht primär ein Viewer zur Verfügung, der keine Bearbeitung zulässt. Ist die Datei in SharePoint-Online geöffnet, können Sie die ausgewählte Datei in einer Vorversion der Office Web Apps von Visio (Visio Legacy Editor) bearbeiten. Aufgrund der Komplexität von Vision ist eine Bearbeitung nur in der Visio Desktop-Edition sinnvoll.

Der folgende Screenshot zeigt das Organisationsdiagramm eines Office 365-Testmandaten als VIsio-Datei.  

Die Anzeige von Visio-Dateien ist natürlich auch in Microsoft Teams möglich. 

Word

Word Online ist sicherlich die Komponente von Office Online, die Sie am häufigsten verwenden werden. Mit Word Online steht Ihnen ein browserbasiertes Textverarbeitungsprogramm zur Verfügung, das die gängigsten Funktionen der Desktop-Edition von Word zur Verfügung stellt. 

Der folgende Screenshot zeigt ein Word-Dokument eines Office 365-Testmandaten.

Und natürlich funktioniert Word Online auch in Microsoft Teams.

Links

• Office for the web service description

Zurück zum Blog-Artikel "Was ist Office 365"

Viel Spaß mit Microsoft 365.

Abschaltung der Basic Authentication für Exchange Online

In ihrem Blogartikel Improving Security - Together hat die Exchange Produktgruppe angekündigt, die unsichere Authentifizierungsmethode Basic Authentication zum 13. Oktober 2020 nicht nur für die Exchange Web Services (EWS) abzuschalten, sondern zusätzlich auch für Exchange ActiveSync (EAS), POP, IMAP und Remote Exchange PowerShell.

Bei der Basic Authentication handelt es sich um eine in die Jahre gekommene Authentifizierungsmethode, die im Vergleich zu modernen Authentifizierungsmethoden Schwächen hat. Diese Schwächen führen dazu, dass diese Authentifizierungsmethode immer wieder von Angreifern verwendet wird, um unberechtigten Zugriff auf Ressourcen zu erlangen. Exchange Online und Azure AD sind, als globale Clouddienste, immens vielen Angriffen dieser Art ausgesetzt.

Mehr Sicherheit mit moderner Authentifizierung

Die moderne Authentifizierung (Modern Auth), basierend auf OAuth 2.0, bietet im Zusammenspiel mit Multi-Faktor-Authentifizierung (MFA) einen umfassenderen Schutz für den Zugriff auf Exchange Online und andere Cloud-Ressourcen. Diese Art der Authentifizierung ist nicht neu, setzt sich für bestimmte Zugriffsarten aber nur langsam durch. Die Unterstützung für Modern Auth wird bereits seit Office 2013 unterstützt und ist seit Version 2016 nativ in das Produkt integriert.

Für mobile Endgeräte stellt sich die Situation etwas anders dar. In vielen Fällen erfolgt der Zugriff auf Exchange Online Postfächer mit nativen E-Mail-Clients der mobilen Endgeräte statt. Diese verwenden in den meisten Fällen das ActiveSync-Protokoll (EAS). EAS wiederum bedient sich standardmäßig der Basic Authentifizierung und ist daher für die Zukunft nicht mehr das passende Protokoll für den Zugriff auf Exchange Online. Hier ist Outlook Mobile (Android/iOS) die bessere Alternative. Mit Outlook Mobile haben Sie die Möglichkeit, die Authentifizierung der Benutzerkonten zusätzlich mit MFA abzusichern.

Für die Protokolle SMTP, POP und IMAP gibt es eine besondere Herausforderungen. Diese Protokolle unterstützen heute die moderne Authentifizierung (noch) nicht. Für den Zugriff auf Mitarbeiter-Postfächer stellt dies noch keine Problem dar, da dieser Zugriff immer über das Protokoll MAPIoverHTTP erfolgen sollte. Das eigentliche Problem sind all die anderen Applikationen, die Sie gegenwärtig für einen POP/IMAP-Postfachzugriff und SMTP-Mailversand über ein Exchange Online Postfach konfiguriert haben. Hierzu gehören z.B. Ticketsysteme, ERP-Lösungen oder individuell programmierte Line-of-Business-Applikationen (LOB).

Ähnlich sieht es für die Authentifizierung von PowerShell-Skripten aus, die auf einem Ihrer internen Skript-Server ausgeführt werden und Aktionen gegen Exchange Online ausführen. Für die direkte Anmeldung an die Exchange Online PowerShell mit Modern Auth können Sie bereits heute das Exchange Online PowerShell Modul mit MFA oder die Azure Cloud Shell verwenden.

Was muss ich tun?

Die Deaktivierung der Basic Authentication für Exchange Online hat direkte Auswirkungen auf die von Ihnen betreute IT-Infrastruktur. Um eine Unterbrechung im Zugriff auf Exchange Online-Ressourcen zu vermeiden, müssen Sie wissen, mit welchen Protokollen Anwender und Applikationen auf Exchange Online-Endpunkte zugreifen. Die Exchange Produktgruppe plant ein Software-Tool zur Auswertung bereitzustellen, dass Sie bei der Analyse der Zugriffsarten unterstützt.

Für den Zugriff auf Exchange Postfächer von Windows Desktops ist die Maßnahme einfach. Wenn Sie noch ältere Windows Desktop Betriebssystem im Unternehmen einsetzen, wechseln Sie auf Windows 10 als Standard-Betriebssystem und migrieren Sie die Office-Installation zu Office 2019 bzw. Office 365 ProPlus.

Nutzen Sie Outlook Mobile für den Zugriff auf Exchange Online Postfächer. Outlook Mobile lässt sich über die gängigen Mobile Device Management (MDM) Lösungen zentral auf mobile Endgeräte verteilen und konfigurieren. Mit Hilfe von Mobile Application Management (MAM) und Conditional Access können Sie die Sicherheit beim mobilen Zugriff auf Exchange Online Postfächer noch weiter erhöhen.

Für automatisierte PowerShell-Skripte wird die Anpassung auf Modern Auth schwieriger. Sie können für die Ausführung der Skripte in der lokalen IT-Infrastruktur das Exchange Online PowerShell Modul mit MFA implementieren. Hierbei müssen Sie allerdings bedenken, dass Skripte mit einer längeren Ausführungszeit in technische Probleme laufen werden. Wenn Ihre Skripte von Timeouts und Skriptverzögerungen, sog. Micro Delays, betroffen sind, müssen Sie die Strategie zur Skriptausführung überdenken und den Skript-Code anpassen. Eventuell ist es vorteilhafter, eine professionelle Softwarelösung zur Ausführung von Skripten einzusetzen, die Modern Auth nativ unterstützt. PowerShell-Skripte, die nur Aktionen gegen Exchange Online oder anderen Office 365 Endpunkten ausführen, können auch in Azure Automation betrieben werden.

Wichtig ist auch noch einmal der Hinweis, dass sich die Deaktivierung der Basic Authentifizierung auf Exchange Online bezieht. Die On-Premises Variante von Exchange Server 2019 ist davon nicht betroffen.

Fazit

Die Exchange Produktgruppe ist sich der Herausforderungen für die Kunden bewusst. Der Titel des Original-Artikels Improving Security - Together ist mit Bedacht gewählt. Ein besserer Schutz von Exchange Online Postfächern und Ressourcen ist nur möglich, wenn die Erhöhung der Sicherheit gemeinsam, also von Ihnen als Office 365 Kunde und der Exchange Produktgruppe, umgesetzt wird.

Bereiten Sie sich und Ihre IT-Infrastruktur rechtzeitig auf die Abschaltung der Basic Authentication vor. Erstellen Sie einen realistischen Zeitplan für die notwendigen Konfigurationen und Anpassungen, um spätestens im Juli 2020 die Umstellung abgeschlossen zu haben. Es hat sich schon immer bewährt, einen zeitliche Puffer einzuplanen.

Die Erhöhung der Sicherheit geht immer mit Komfortverlust einher. Dieser Komfortverlust ist jedoch zu verschmerzen, wenn man den Sicherheitsgewinn gegenüberstellt.

Links

• Building Zero Trust networks with Microsoft 365 
• Enable modern authentication in Exchange Online 
• Upcoming changes to Exchange Web Services (EWS) API for Office 365
• Connect to Exchange Online PowerShell using multi-factor authentication
• Azure Cloud Shell Now Supports Exchange Online

Viel Spaß mit Exchange Online!