When you try to connect to SharePoint Online using PowerShell you receive an Access Denied error as follows:
PS C:\> Connect-SPOService -Url https://tenant-admin.sharepoint.com -credential $credential Connect-SPOService : Cannot contact web site 'https://tenant-admin.sharepoint.com/' or the web site does not support SharePoint Online credentials. The response status code is 'Unauthorized'. The response headers are 'X-SharePointHealthScore=0, SPRequestGuid=310ce59d-002b-3000-ef1a-70e5fe7eaf72, request-id=310ce59d-002b-3000-ef1a-70e5fe7eaf72, X-MSDAVEXT_Error=917656; Acces s+denied.+Before+opening+files+in+this+location%2c+you+must+first+browse+to+the +web+site+and+select+the+option+to+login+automatically.,
Connecto to the SPO Service without the previously entered credentials ($credential) and enable the LegacyAuthProtocolsEnabled attribute.
Set-SPOTenant -LegacyAuthProtocolsEnabled $True
Enjoy SharePoint Online.
Die Installation und die erfolgreiche Implementierung von SharePoint Server 2019 erfordern eine detaillierte Planung. Gleiches gilt für eine Hybrid-Konfiguration mit SharePoint Online.
In diesem Artikel finden Sie eine Zusammenstellung der wichtigsten Links zur Planung, Installation und Konfiguration von SharePoint Server 2019 und einer optionalen Hybrid-Konfiguration mit SharePoint Online.
Hinweis Nicht für alle Seiten ist eine deutschsprachige Übersetzung verfügbar. Daher finden Sie nachfolgend Verlinkungen zu englischsprachigen und deutschsprachigen Inhalten.
SharePoint kann grundsätzlich in vier unterschiedlichen Architekturmodellen betrieben werden, die ihre ganz individuellen Vor- und Nachteile bieten. Diese sind:
= kontrolliert durch Microsoft = kontrolliert durch Kunden
Viel Spaß mit SharePoint Server 2019 und SharePoint Online.
Der Start mit Microsoft 365 ist nicht immer so einfach. Im Internet findet man ein Vielzahl an Informationen, weiß jedoch nicht sofort, welche Quellen "gute" Quellen sind und welche eher "nebulösen" Charakter haben.
Die folgenden Links sollen Ihnen den Einstieg in das Thema Microsoft 365 und in die Verwaltung der Clouddienste erleichtern.
Folgende PowerShell Module benötigen Sie für die Verwaltung von Microsoft 365.
# Import des PowerShell-Modules Install-Module -Name AzureAD # Aufbau einer Verbindung zu Azure AD des globalen Office 365 Angebotes Connect-AzureAD # Aufbau einer Verbindung zu Azure AD des globalen Office 365 Angebotes (solange noch verfügbar) Connect-AzureAD -AzureEnvironmentName AzureGermanyCloud
# Direkte Installation über die PowerShell Gallery Install-Module -Name Microsoft.Online.SharePoint.PowerShell # Import des SharePoint Online PowerShell-Modules Import-Module -Name Microsoft.Online.SharePoint.PowerShell # Festlegung des UPN-Anmeldenamen des SharePoint-Administrators $UPN = 'user@varunagroup.de' # Beispiel UPN # Festlegung des Office 365 Tenant-Namen $SPOOrgName = 'VARUNAGROUP' # Beispiel Organisation # Festlegung der Anmeldedaten # Bei NUtzung von MFA muss das App-Kennwort verwendet werden $Credential = Get-Credential -UserName $UPN -Message "Geben Sie Ihr Kennwort ein." # Aufbau der Verbindung zu SharePoint Online OHNE MFA Connect-SPOService -Url "https://$($SPOOrgName)-admin.sharepoint.com" -Credential $Credential
# Aufbau der Verbindung zu SharePoint Online MIT MFA Connect-SPOService -Url "https://$($SPOOrgName)-admin.sharepoint.com"
# Installation des PowerShell-Modules Install-Module -Name ExchangeOnlineManagement # Aufbau einer Verbindung zu Exchange Online # Nach der Verbindung können Sie V2-Cmdlets und ältere EXO-Cmdlets nutzen Connect-ExchangeOnline -UserPrincipalName admin@varunagroup.de
Hinweis
Mit dem PowerShell Cmdlet Connect-EXOPSSession können Sie sich auch in der Azure Cloud Shell mit Exchange Online verbinden und wie gewohnt verwalten. (Mehr erfahren)
# Aufbau der Verbindung zu Exchange Online mit dem EXO MFA PowerShell-Modul V1 # zum globalen Office 365 Angebot Connect-EXOPSSession -UserPrincipalName admin@varunagroup.de # Beispiel UPN # zum deutschen Office 365 Angebot, solange verfügbar Connect-EXOPSSession -UserPrincipalName admin@varunagroup.de -ConnectionUri https://outlook.office.de/PowerShell-LiveID -AzureADAuthorizationEndPointUri https://login.microsoftonline.de/common # Beispiel UPN
# Import des PowerShell-Modules Import-Module -Name MicrosoftTeams # Aufbau einer Verbindung zu Microsoft Teams im globalen Office 365 Angebot Connect-MicrosoftTeams
Der Skype for Business Connector ist abgekündigt. Nutzen Sie das Microsoft Teams PowerShell Modul für alle Konfiguration rund um Teams und Enterprise Voice. Weitere Information finden Sie in diesem Artikel: Move from Skype for Business Online Connector to the Teams PowerShell module
# Verbindung zu Skype for Business Online # Dieses PowerShell-Modul wird auch zur Verwaltung von Microsoft Teams Funktionen verwendet # Import des Skype for Business PowerShell-Modules Import-Module -Name SkypeOnlineConnector # Administrator-Anmeldeinformation $Credential = Get-Credential # Erstellung einer neuen Skype for Business Online Session $SfBSession = New-CsOnlineSession -Credential $userCredential # Import der SfBSession in die aktuelle PowerShell-Session Import-PSSession SfBSession
# Import des Graph PowerShell-Modules Import-Module -Name Microsoft.Graph.Intune # Akzeptieren der administrativen Zugriffsberechtigungen (einmalig notwendig) Connect-MSGraph -AdminConsent # Aufbau einer Verbindung zu Microsoft Graph $UPN = 'admin@varunagroup.de' # Beispiel UPN $password = Read-Host -AsSecureString -Prompt "Enter password for $UPN" $Credential = New-Object System.Management.Automation.PSCredential ($UPN, $password) $Connection = Connect-MSGraph -PSCredential $Credential
Für eine vereinfachte administrative Anmeldung empfehle ich Ihnen das PowerShell-Skript Connect-O365.ps1 von Chris Goosen aus der TechNet Gallery.
# Installation des PowerShell-Modules Install-Module -Name MSCommerce # Import des PowerShell-Modules Import-Module -Name MSCommerce # Aufbau einer Verbindung zu Microsoft Commerce im globalen Office 365 Angebot Connect-MSCommerce
# Installation des PowerShell-Modules Install-Module O365ServiceCommunications # Import des installierten PowerShell-Modules Import-Module O365ServiceCommunications # Aufbau einer neuen PowerShell-Session # Funktioniert nur mit Basic Authentication, nicht mit MFA $cred = Get-Credential $session = New-SCSession -Credential $cred -Locale de-de # Beispiel der Serviceinformationen im zugeordneten Office 365-Mandanten Get-SCServiceInfo -SCSession $session
PowerShell Gallery: https://www.powershellgallery.com/packages/PSServicePrincipal
Projektseite: https://github.com/dgoldman-msft/PSServicePrincipal
Nachfolgend finden Sie eine Empfehlungsliste für Blogs, die ich regelmäßig als Informations- und Lernquelle nutze. Ebenso finden Sie Links zu Webseiten von Office 365-Experten, die interessante Informationen, jenseits von Blogartikeln, bereithalten.
Weitere technische Links finden Sie im Artikel Troubleshooting Links für Exchange, Office 365 und mehr.
Viel Spaß mit Microsoft 365.
Mailscape 365 - Überwachung von Hybrid Exchange und Office 365: Viele Unternehmen verwenden eine lokale Exchange Organisation und Exchange Online in einer Hybrid-Konfiguration, um die Anforderungen ihrer Mitarbeiter zu erfüllen. Der Betrieb einer hybriden Exchange Organisation seine ganz eigenen Herausforderungen für das Monitoring der Dienstverfügbarkeiten. Beginnen Sie noch heute einen unverbindlichen 14-Tage Test von Mailscape 365.
2021-03-29: Abscnitt Datenschutz hinzugefügt 2021-02-25: Abschnitt Migration hinzugefügt 2021-02-11: Microsoft Cloud App Security (MCAS) hinzugefügt 2021-02-08: Datenschutz-Folgenabschätzung: Leitfaden für Datenverantwortliche, die Microsoft Office 365 verwenden hinzugefügt 2021-01-31: Abschnitt Azure AD hinzugefügt
The following PowerShell scripts have been published by our Exchange and Office 365 experts to the technical community at TechNet Gallery. Please use the GitHub repositories to report issues or to file feature requests.
Please send comments, wishes, and ideas to support@granikos.eu.
Enjoy!
Need assistance with your Exchange Server Organization? You plan to upgrade your Exchange Server Organization? You plan to migrate to Office 365? Contact us: info@granikos.eu
Update 2020-10-05: Fetch all remote SMTP servers from Exchange receive connector logs added Update 2020-05-25: TechNet Gallery links removed due to end of TechNet Gallery in mid-2020 Update 2020-02-07: Report for enabled client protocols, Exchange Environment Report - v2, Set thumbnailPhoto for AzureAD guest users added Update 2019-05-07: Export mailbox delegates and SMTP forwarding information added Update 2018-09-04: Add remote IP-address ranges to a receive connector added Update 2018-06-16: Manage Master Category List for Shared Mailboxes and Teams added Update 2018-04-29: Convert Word documents using PowerShell and Set Mailbox Item Private Flag added Update 2018-01-24: Create a new Room Mailbox with Security Groups added Update 2017-11-11: Export all user mailbox permissions added Update 2017-09-22: Remove Out-Of-Office rules from user mailbox added Update 2017-05-20: Parse email messages content for further processing and Update OWA vDir config across multiple servers added Update 2017-03-18: Fetch recently created public folders and Clear Private Flag on Mailbox Messages added Update 2017-02-22: Remove Orphaned HealthMailbox and SystemMailbox Accounts from MESO Container added Update 2017-02-17: Test Office 365 Domain Availability added Update 2017-02-13: Connect to Exchange Server 2013+ using remote PowerShell added Update 2017-02-07: Create Exchange internal/external Url based certificate requests, Create a scheduled task for Exchange Server 2013 added Update 2017-01-24: Gather Exchange Configuration Data added Update 2017-01-05: Export Messages from Transport Queue added Update 2016-11-29: Clean legacy public folder ACL added, Scripts categorized Update 2016-11-28: Add multiple legacy public folder replicas added Update 2016-08-18: Simple import of multiple PST files for a single user added Update 2016-07-28: Change IIS Log File settings Github Url added, Create a new Team Mailbox with Security Groups added Update 2016-06-04: GlobalFunctions added Update 2015-06-18: Copy-ReceiveConnector updated Update 2015-06-01: Exchange 2010 Public Folder Replication Report (UTF8 support) Update 2015-05-21: Copy anti-virus pattern to Exchange 2010/Exchange 2013 servers added Update 2014-12-10: Copy a receive connector from one Exchange Server to multiple Exchange Servers added
Der browserbasierte Zugriff auf ein Exchange Postfach mit Hilfe von Outlook on the Web (OWA) ermöglicht Ihren Anwendern die Anzeige und Bearbeitung von Office-Dateianhängen ganz ohne Medienbruch in eine andere Applikation.
Für Kunden von Microsoft 365 und Exchange Online sind hierzu keine weiteren Konfigurationen notwendig. Die Integration von Office Online mit Outlook on the Web ist standardmäßig aktiviert. Jedem Anwender wird automatisch eine Standard-Richtlinie zu gewiesen. Zu den Betriebsrisiken später mehr.
Wenn Sie diese Funktion auch für Ihre lokale Exchange Organisation bereitstellen möchten, müssen Sie zuerst eine Office Online Server Umgebung aufbauen und, falls erforderlich, aus dem Internet erreichbar machen. Die Anforderungen und Implementierungsoptionen einer Office Online Umgebung schauen wir uns in einem der nächsten Artikel an.
In Outlook on the Web wird die Möglichkeit einer Anzeige im Browser im Auswahlmenü eines Dateianhanges anzeigt:
Ebenso ist das Öffnen des Anhanges das Standardverhalten bei einem Klick auf den Dateinamen.
Im Rahmen einer betrieblichen Anforderung kann es notwendig sein, dass bestimmten Anwendergruppen der Zugriff auf Office Online aus OWA heraus zu unterbinden und stattdessen das Herunterladen von Office-Dateianhängen zu erzwingen.
Die Gründe hierfür können sehr unterschiedlich sein.
Je nachdem, ob Sie Office Online als SaaS-Lösung in Microsoft 365 nutzen, oder aber Ihre eigene Office Online Server Umgebung betreiben, stehen Ihnen unterschiedliche Lösungen zur Verfügung. DIe von Office Online (Server) bereitgestellten Funktionen werden nciht nur von OWA verwendet.
Die Option einer neuen OWA-Postfachrichlinie (OwaMailboxPolicy) steht Ihnen für Microsoft 365 und die lokale Exchange Organisation zur Verfügung. Die Erstellung einer neuen OWA-Postfachrichtlinie ist zwar auch über das Exchange Admin Center, jedoch ermöglicht dieser Weg anschließend nur eine sehr rudimentäre Konfiguration. Daher empfehle ich Ihnen, OWA-Postfachrichtlinien immer mit Hilfe der Exchange Management Shell (EMS) zu erstellen und zu verwalten. Wenn Sie mit Exchange Online arbeiten, stellen Sie bitte sicher, dass Ihr administratives Konto mit einer Multi-Faktor-Authentifizierung (MFA) geschützt ist und Sie das speziell hierfür zur Verfügung gestellte PowerShell Modul verwenden.
Die Erstellung einer neuen OWA-Postfachrichlinie gliedert sich immer in zwei Schritte:
Im folgenden Beispiel erstelle ich in Exchange Online eine neue OWA-Postfachrichlinie für das fiktive Unternehmen Contoso. Der Name der neuen Richtlinie ist Contoso-Restricted-OWA-Policy.
# Aktivierung der PowerShell-Protokollierung (Transkript) Start-Transcript # Uneingeschränkte Anzeige von Array-Inhalten $FormatEnumerationLimit=-1 # Erstellung der neuen OWA-Postfachrichtlinie New-OwaMailboxPolicy -Name 'Contoso-Restricted-OWA-Policy' # Auflistung der Namen der vorhandenen OWA-Richtlinien Get-OwaMailboxPolicy | ft Name
Nach der Erstellung der neuen Richtlinie wurden alle Standard-Einstellungen der Richtlinie im PowerShell-Fenster ausgegeben. Dank der aktivierten Protokollierung haben Sie diese Einstellungen in der Transkript-Textdatei festgehalten.
In diesem Artikel interessieren wir uns für die relevanten Einstellungen zu Office Online (Server). Diese Einstellungen verbergen sich in den Parametern mit dem Kürzel Wac.
# Auflistung der Wac-relevanten Parameter der OWA-Richtlinie Get-OwaMailboxPolicy 'Contoso-Restricted-OWA-Policy' | FL *wac* WacEditingEnabled : True WacViewingOnPublicComputersEnabled : True WacViewingOnPrivateComputersEnabled : True ForceWacViewingFirstOnPublicComputers : False ForceWacViewingFirstOnPrivateComputers : False WacExternalServicesEnabled : True WacOMEXEnabled : False
Die gewünschte Deaktivierung von Office Online erfolgt über die Parameter WacViewingOnPublicComputersEnabled und WacViewingOnPrivateComputersEnabled. Mit diesen beiden Parametern wird festgelegt, ob für den Anwender, dem diese Richtlinie zugewiesen ist, eine Anzeige des Anhanges in Office Online möglich ist oder nicht. Die Möglichkeit zur Anzeige wird für öffentliche und private Computer getrennt konfiguriert. Seit Exchange Server 2013 werden Zugriffe per OWA immer als Zugriffe von einem privaten Computer gewertet.
Die Bedeutung der Wac-relevanten und aller anderen Parameter ist auf der Hilfe-Seite des Cmdlets Set-OwaMailboxPolicy bestens beschrieben.
Nach der Erstellung muss die neue Richtlinie noch einzelnen oder allen Anwenderkonten zugewiesen werden.
# Zuweisung der neuen OWA-Richtlinie an ein einzelnes Anwenderkonto Get-CASMailbox AllanD | Set-CASMailbox -OwaMailboxPolicy 'OwaMailboxPolicy-Default' # Zuweisung der neuen OWA-Richtlinie an alle vorhanden Anwenderkonten Get-CASMailbox | Set-CASMailbox -OwaMailboxPolicy 'OwaMailboxPolicy-Default' # Optionale Konfiguration der neuen OWA-Richtlinie als Standardrichtlinie Set-OwaMailboxPolicy 'Contoso-Restricted-OWA-Policy' -IsDefault:$true
Nach der Zuweisung der neuen OWA-Postfachrichtlinie wird die Möglichkeit zur Vorschau eines Dateianhanges nicht mehr angezeigt.
Wenn Sie die neu erstellte OWA-Postfachrichlinie Anwendern zuweisen, die zu diesem Zeitpunkt in OWA angemeldet sind, so haben die neuen Einstellungen noch keine Wirksamkeit. Die Einstellungen der neu zugewiesenen Richtlinie werden erst nach einer Ab- und Anmeldung an OWA wirksam.
Auf den ersten Blick erscheint die Deaktivierung der Office Online Lizenz im Rahmen eines Office 365-Lizenzplanes auch eine Möglichkeit zu sein, um die Nutzung von Office Online zu verhindern.
Sie deaktivieren die Office Online Lizenz direkt in der Lizenzzuweisung eines Anwenders im Microsoft 365 Admin Center oder über die gruppengesteuerte Lizenzzuweisung in Azure AD.
Aber führt diese Anpassung der Lizenzzuweisung zum gewünschten Ergebnis? Nein, leider nicht.
Die Deaktivierung der Lizenzzuweisung von Office Online hat keine Auswirkungen auf
Damit scheidet die Option zur Zugriffssteuerung von Office Online über die Lizenzzuweisung für einen Anwender aus.
Wie bei vielen anderen Richtlinien von Exchange Online und Exchange Server existiert nach der ersten Einrichtung des Office 365 Tenants bzw. der Exchange Organisation eine Standardrichtlinie zur Konfiguration der Outlook on the Web (OWA) Einstellungen für alle Anwender. Da der Zugriff auf OWA ebenfalls standardmäßig für alle Anwender aktiviert ist, müssen Sie sich mit der Konfiguration der Standardrichtlinie auseinandersetzen.
Verschaffen Sie sich einen schnellen Überblick über all die Zusatzfunktionen, die im Rahmen einer OWA-Richtlinie gesteuert (*enabled) werden.
# Beispielhafte Abfrage der Parameter einer OWA-Richtlinie, die eine Zusatzfunktion steuern Get-OwaMailboxPolicy 'OwaMailboxPolicy-Default' | FL *enabled*
Diese Abfrage liefert Ihnen eine Grobüberischt der vorhandenen Einstellungen und deren Standardkonfigurationen. Überprüfen Sie alle Einstellungen für OWA-Postfachrichtlinien, ob sie den Compliance-Anforderungen Ihres Unternehmens entsprechen. Sie finden dieser EInstellunge in der Dokumentation für das Cmdlet Set-OwaMailboxPolicy.
Denken Sie beim Thema Office Online auch daran, dass Office Online auch Dokumente öffnen kann, die bei externen Speicheranbietern liegen. Die Nutzung von externen Speicheranbietern, aus Sicht von Office 365, kann im Microsoft 365 Admin Center ausgeschaltet werden.
Wählen Sie im Menüpunkt Einstellungen > Dienste und Add-Ins den Punkt Office Online aus.
Setzen Sie den Schieberegler für die Konfiguration Personen die Verwendung von gehosteten Speicherdiensten von Drittanbietern gestatten aus Aus und speichern Sie die Einstellung.
Viel Spaß mit Microsoft 365 und Exchange Server!
Office Online ist die browserbasierte Variante der wichtigsten Office Applikationen. Dies ermöglicht Ihnen einen schnellen Zugriff und eine Bearbeitung von Office-Dokumenten im Browser.
Office Online umfasst im Standard folgende Applikationen:
Wenn Sie Anwender Lizenzpläne für Visio Online oder Project Online zuweisen, können diese Anwender auch Dateien dieser Applikation im Browser bearbeiten.
Office Online kommt auch in Outlook on the Web zu Einsatz. Immer dann, wenn Sie einen Dateianhang einer E-Mail auswählen, erfolgt die Anzeige im Browser durch Office Online. In dieser Ansicht in Outlook on the Web haben Sie auch die Möglichkeit, die ausgewählte Datei direkt zu bearbeiten.
Ob ein Anwender in der Lage ist, eine Office-Datei zu bearbeiten hängt von der jeweiligen Berechtigung und Absicherung des Dokumentes ab. Daher ist eine korrekte Konfiguration der Berechtigungen und Freigaben so wichtig. Office Online unterstützt die gleichzeitige Bearbeitung eines Dokumentes durch mehrere Anwender. Die zeitgleiche Zusammenarbeit an einem Office-Dokument funktioniert mit Office Online, Office Desktop und Office Mobile..
Die Office Online Suite wird ergänzt durch die zugehörigen mobilen Office Apps für Android und iOS.
Die Excel-Edition von Office Online stellt Ihnen die wichtigsten Excel-Funktionen bereit. Damit haben Sie schnell und einfach Zugriff auf Informationen, die über Excel abgerufen werden können. Bei der Nutzung von Excel-Datei gibt es jedoch zwei wichtige EInschränkungen. Excel-Dateien mit verknüpften externen Datenquelle funktinieren aus Sicherheitsgründen nicht. Hier bietet sich Power BI als Alternative an. Eine weitere Einschränkung gilt für Excel-Dateien mit Makros und VBA-Code. Dieser Code wird in Excel Online nicht ausgeführt.
Der folgende Screenshot zeigt eine Excel-Datei aus der Dateiablage einer Office 365 Gruppe.
Die Einbettung von Office Online steht natürlich auch in Microsoft Teams zur Verfügung. Der folgende Screenshot zeigt ein Excel-Arbeitsblatt, das direkt aus der Dateiablage eines Teams heraus geöffnet wurde. Sie haben in dieser Ansicht die Option, zur reinen Office Online Ansicht zu wechseln, um den zur Verfügung stehenden Bildschirmraum besser auszunutzen oder die Datei in der Desktopversion von Excel zu öffnen.
Die Einbettung von Office Online in Microsoft Teams ist nicht auf Excel beschränkt.
PowerPoint Online ist eine weitere Applikation von Office Online. Mit dieser Applikation können Sie bestehende Präsentationen bearbeiten oder neue Präsentationen erstellen. Der große Vorteil von PowerPoint Online ist aber weniger die Möglichkeit zur Bearbeitung, sondern zu direkten Präsentation.
Sie können eine geöffnete PowerPoint-Datei direkt im Browser präsentieren. Sie benötigen die Desktop-Applikation hierzu nicht.
Wenn Sie eine Präsenation in einer anderen Office 365-Applikation, wie z.B. Sway, einbetten, können Sie direkt in dieser Applikation die Präsenation halten.
Der folgende Screenshot zeigt eine PowerPoint-Datei eines Office 365-Testmandanten.
Das Öffnen und Präsentieren ist natürlich auch in Microsoft Teams möglich.
Auch für Visio exisitiert eine Möglichkeit zur Ansicht von Visio-Dateien. HIer steht primär ein Viewer zur Verfügung, der keine Bearbeitung zulässt. Ist die Datei in SharePoint-Online geöffnet, können Sie die ausgewählte Datei in einer Vorversion der Office Web Apps von Visio (Visio Legacy Editor) bearbeiten. Aufgrund der Komplexität von Vision ist eine Bearbeitung nur in der Visio Desktop-Edition sinnvoll.
Der folgende Screenshot zeigt das Organisationsdiagramm eines Office 365-Testmandaten als VIsio-Datei.
Die Anzeige von Visio-Dateien ist natürlich auch in Microsoft Teams möglich.
Word Online ist sicherlich die Komponente von Office Online, die Sie am häufigsten verwenden werden. Mit Word Online steht Ihnen ein browserbasiertes Textverarbeitungsprogramm zur Verfügung, das die gängigsten Funktionen der Desktop-Edition von Word zur Verfügung stellt.
Der folgende Screenshot zeigt ein Word-Dokument eines Office 365-Testmandaten.
Und natürlich funktioniert Word Online auch in Microsoft Teams.
Zurück zum Blog-Artikel "Was ist Office 365"
In ihrem Blogartikel Improving Security - Together hat die Exchange Produktgruppe angekündigt, die unsichere Authentifizierungsmethode Basic Authentication zum 13. Oktober 2020 nicht nur für die Exchange Web Services (EWS) abzuschalten, sondern zusätzlich auch für Exchange ActiveSync (EAS), POP, IMAP und Remote Exchange PowerShell.
Bei der Basic Authentication handelt es sich um eine in die Jahre gekommene Authentifizierungsmethode, die im Vergleich zu modernen Authentifizierungsmethoden Schwächen hat. Diese Schwächen führen dazu, dass diese Authentifizierungsmethode immer wieder von Angreifern verwendet wird, um unberechtigten Zugriff auf Ressourcen zu erlangen. Exchange Online und Azure AD sind, als globale Clouddienste, immens vielen Angriffen dieser Art ausgesetzt.
Die moderne Authentifizierung (Modern Auth), basierend auf OAuth 2.0, bietet im Zusammenspiel mit Multi-Faktor-Authentifizierung (MFA) einen umfassenderen Schutz für den Zugriff auf Exchange Online und andere Cloud-Ressourcen. Diese Art der Authentifizierung ist nicht neu, setzt sich für bestimmte Zugriffsarten aber nur langsam durch. Die Unterstützung für Modern Auth wird bereits seit Office 2013 unterstützt und ist seit Version 2016 nativ in das Produkt integriert.
Für mobile Endgeräte stellt sich die Situation etwas anders dar. In vielen Fällen erfolgt der Zugriff auf Exchange Online Postfächer mit nativen E-Mail-Clients der mobilen Endgeräte statt. Diese verwenden in den meisten Fällen das ActiveSync-Protokoll (EAS). EAS wiederum bedient sich standardmäßig der Basic Authentifizierung und ist daher für die Zukunft nicht mehr das passende Protokoll für den Zugriff auf Exchange Online. Hier ist Outlook Mobile (Android/iOS) die bessere Alternative. Mit Outlook Mobile haben Sie die Möglichkeit, die Authentifizierung der Benutzerkonten zusätzlich mit MFA abzusichern.
Für die Protokolle SMTP, POP und IMAP gibt es eine besondere Herausforderungen. Diese Protokolle unterstützen heute die moderne Authentifizierung (noch) nicht. Für den Zugriff auf Mitarbeiter-Postfächer stellt dies noch keine Problem dar, da dieser Zugriff immer über das Protokoll MAPIoverHTTP erfolgen sollte. Das eigentliche Problem sind all die anderen Applikationen, die Sie gegenwärtig für einen POP/IMAP-Postfachzugriff und SMTP-Mailversand über ein Exchange Online Postfach konfiguriert haben. Hierzu gehören z.B. Ticketsysteme, ERP-Lösungen oder individuell programmierte Line-of-Business-Applikationen (LOB).
Ähnlich sieht es für die Authentifizierung von PowerShell-Skripten aus, die auf einem Ihrer internen Skript-Server ausgeführt werden und Aktionen gegen Exchange Online ausführen. Für die direkte Anmeldung an die Exchange Online PowerShell mit Modern Auth können Sie bereits heute das Exchange Online PowerShell Modul mit MFA oder die Azure Cloud Shell verwenden.
Die Deaktivierung der Basic Authentication für Exchange Online hat direkte Auswirkungen auf die von Ihnen betreute IT-Infrastruktur. Um eine Unterbrechung im Zugriff auf Exchange Online-Ressourcen zu vermeiden, müssen Sie wissen, mit welchen Protokollen Anwender und Applikationen auf Exchange Online-Endpunkte zugreifen. Die Exchange Produktgruppe plant ein Software-Tool zur Auswertung bereitzustellen, dass Sie bei der Analyse der Zugriffsarten unterstützt.
Für den Zugriff auf Exchange Postfächer von Windows Desktops ist die Maßnahme einfach. Wenn Sie noch ältere Windows Desktop Betriebssystem im Unternehmen einsetzen, wechseln Sie auf Windows 10 als Standard-Betriebssystem und migrieren Sie die Office-Installation zu Office 2019 bzw. Office 365 ProPlus.
Nutzen Sie Outlook Mobile für den Zugriff auf Exchange Online Postfächer. Outlook Mobile lässt sich über die gängigen Mobile Device Management (MDM) Lösungen zentral auf mobile Endgeräte verteilen und konfigurieren. Mit Hilfe von Mobile Application Management (MAM) und Conditional Access können Sie die Sicherheit beim mobilen Zugriff auf Exchange Online Postfächer noch weiter erhöhen.
Für automatisierte PowerShell-Skripte wird die Anpassung auf Modern Auth schwieriger. Sie können für die Ausführung der Skripte in der lokalen IT-Infrastruktur das Exchange Online PowerShell Modul mit MFA implementieren. Hierbei müssen Sie allerdings bedenken, dass Skripte mit einer längeren Ausführungszeit in technische Probleme laufen werden. Wenn Ihre Skripte von Timeouts und Skriptverzögerungen, sog. Micro Delays, betroffen sind, müssen Sie die Strategie zur Skriptausführung überdenken und den Skript-Code anpassen. Eventuell ist es vorteilhafter, eine professionelle Softwarelösung zur Ausführung von Skripten einzusetzen, die Modern Auth nativ unterstützt. PowerShell-Skripte, die nur Aktionen gegen Exchange Online oder anderen Office 365 Endpunkten ausführen, können auch in Azure Automation betrieben werden.
Wichtig ist auch noch einmal der Hinweis, dass sich die Deaktivierung der Basic Authentifizierung auf Exchange Online bezieht. Die On-Premises Variante von Exchange Server 2019 ist davon nicht betroffen.
Die Exchange Produktgruppe ist sich der Herausforderungen für die Kunden bewusst. Der Titel des Original-Artikels Improving Security - Together ist mit Bedacht gewählt. Ein besserer Schutz von Exchange Online Postfächern und Ressourcen ist nur möglich, wenn die Erhöhung der Sicherheit gemeinsam, also von Ihnen als Office 365 Kunde und der Exchange Produktgruppe, umgesetzt wird.
Bereiten Sie sich und Ihre IT-Infrastruktur rechtzeitig auf die Abschaltung der Basic Authentication vor. Erstellen Sie einen realistischen Zeitplan für die notwendigen Konfigurationen und Anpassungen, um spätestens im Juli 2020 die Umstellung abgeschlossen zu haben. Es hat sich schon immer bewährt, einen zeitliche Puffer einzuplanen.
Die Erhöhung der Sicherheit geht immer mit Komfortverlust einher. Dieser Komfortverlust ist jedoch zu verschmerzen, wenn man den Sicherheitsgewinn gegenüberstellt.
Viel Spaß mit Exchange Online!