Exchange Server ist eine der erfolgreichsten Serverlösungen von Microsoft, obwohl das Produkt immer wieder funktionale Lücken hinsichtlich Sicherheit, Archivierung, Datensicherung/Wiederherstellung, Überwachung und Berichterstellung hatte. Einige dieser funktionalen Lücken existieren selbst in der aktuellen Version Exchange Server 2019. Infolgedessen entwickelte sich rund um Exchange Server über die Jahre ein Ökosystem von Softwarelösungen, um diese Lücken zu schließen und den gewünschten Mehrwert zu bieten.

Selbst mit einem Wechsel zu Exchange Online besteht weiterhin Bedarf für eine bessere Überwachung und Berichterstellung. Microsoft bietet für Exchange Online nur einige rudimentäre Ansätze, die Administratoren nicht die Informationen bieten, die wirklich benötigt werden. Diese Informationslücken schließt ENow mit Mailscape 365 und liefert einen umfassenden Einblick in den Betrieb von Exchange Online und Microsoft 365.

ENow

ENow Software ist kein Neuling am Markt der Monitoring-Lösungen für Microsoft Serverprodukte. Ich kenne das Unternehmen und die Lösungen bereits seit mehr als zehn Jahren. Mich beeindruckt die Entstehungsgeschichte von ENow. Jay Gundotra, Gründer und Exchange-Geek, startete mit seinem Unternehmen nicht mit dem Anspruch ein Softwareanbieter zu sein. Die erste Lösung entstand durch den Bedarf, den er während seiner Arbeit als Service-Anbieter für Exchange sah. Es fehlte eine Monitoring-Lösung, die alle notwendigen Informationen in einem Dashboard zusammenfasst und so einen schnellen Überblick über den aktuellen Betriebsstatus ermöglicht.

Hieraus entwickelte sich das bekannte OneView-Dashboard des ENow Management Systems, mit dem eine ganze Plattform übersichtlich dargestellt und überwacht werden kann. Rot blinkende Signale und die Möglichkeit des Drill-Downs ermöglichen eine schnelle Identifikation von Problemen. Die Lösung wurde unter der Maßgabe entwickelt, so zu funktionieren, wie ein Administrator denken würde, um ein Problem zu identifizieren und zu beheben. Man muss nur der Spur der roten Ampelsignale folgen, um die Ursache zu finden. Dies Einfacheit ist der Grund, warum Network Operating Center (NOC) zahlreicher Unternehmen auf diese Lösung setzen. Die ENow-Lösung wurde und wird auf der Basis von Feedback aus der Exchange-Community stetig entwickelt. Unternehmen in über 130 Länder auf der ganzen Welt, wie z.B. VMware, Wendy’s und Facebook, vertrauen der Lösung.

Job-Rollen und Herausforderungen

Auf ENow und Mailscape bin ich im Jahr 2009, während eines Exchange Migrationsprojektes, gestoßen. Seinerzeit löste die Software das alltägliche Problem des Monitorings von lokalen Exchange Server Plattformen. Über die Jahre hat ENow den Umfang der Monitoring-Lösung weiterentwickelt, um immer komplexere Anforderungen und mögliche Probleme im Betrieb von Exchange Server zu überwachen, z.B. wurde die Lösung um das Monitoring von Active Directory Gesamtstrukturen ergänzt. Es darf nicht vergessen werden, dass Exchange Server eine sehr tolerante Serverlösung ist und in ganz unterschiedlichen Konstellationen betrieben werden kann. Dies birgt naturgemäß besondere Herausforderungen für das Monitoring.

Der Wert einer Plattformüberwachung mit der ENow Monitoring-Lösung wird deutlich, wenn wir uns drei beteiligte Job-Rollen, mit ganz unterschiedlichen Interessen, anschauen. So erkennen Sie vielleicht einen vertrauten Anwendungsfall aus Ihrer eigenen Betriebsumgebung wieder.

Der IT- / Exchange- / Office 365-Administrator

In einer lokalen IT-Infrastruktur haben IT- und Exchange-Administratoren meist eine gute Monitoring-Übersicht über Server und Dienste. Das Standard-Monitoring wird, aufgrund fehlender Integration, oft durch zusätzliche Tools ergänzt, um neben einem klassischen System-Monitoring auch ein Applikations-Monitoring zu ermöglichen.

Bei einem Wechsel zu Microsoft 365 und Exchange Online ist die Frustration auf Administrator-Seite groß. Es besteht keine Möglichkeit mehr, sich mal schnell per RDP auf einem Server anzumelden, um ein Problem zu identifizieren und zu beheben. Gleichzeitig ist der Druck unverändert hoch, bei einer Störung das Management und die Mitarbeiter informieren zu müssen. Das Microsoft 365 Admin Center stellt keine zeitnahen Informationen zum aktuellen Dienststatus bereit. Störungen, die früher schnell als Dienst- oder Hardwarestörungen identifiziert werden konnten, verstecken sich nun in einer großen (dunklen) Wolke. Office 365 Störungen können den ganzen Dienst betreffen oder nur Teilbereiche oder einzelne Dienste. In den letzten Jahren haben wir unterschiedliche Ausfälle erlebt, die das Resultat von Azure AD- oder Azure DNS-Problemen waren und die Identitätsverwaltung oder den Zugriff auf die gesamte Microsoft 365-Plattform beeinträchtigten. Andere Ausfälle betrafen nur einzelne Dienste, wie z.B. Microsoft Teams, oder einzelne Komponenten, wie die jüngsten MFA-Ausfälle.

Der obige Screenshot des ENow Dashboards zeigt, dass Microsoft Teams und SharePoint Online für Anwender in Salzburg gestört sind (3), jedoch nicht für Anwender in Wien. Die allgemeine Verfügbarkeit in Office 365 ist nicht gestört (1). Es scheint sich um ein lokales Netzwerkproblem zu handeln (2). Den Status der Dienstverfügbarkeit erkennen Sie auf einen Blick. Für ein international arbeitendes Unternehmen sind rollierende Störungen, bei denen Mitarbeiter einer Region nicht wie gewohnt arbeiten können, während andere Regionen keine Probleme haben, eine besondere Herausforderung. Denn dies stellt keinen direkter Ausfall von Office 365 dar.

In solch einem Fall fragt sich ein IT- oder Exchange-Administrator, „Haben WIR ein Problem, oder ist es ein Microsoft-Problem?“ Viele Überwachungslösungen betrachten nicht alle notwendigen Komponenten einer lokalen IT-Infrastruktur oder haben keine Kenntnis über die technischen Abhängigkeiten der eingesetzten Komponenten, wie z.B. beim Betrieb einer Hybrid-Konfiguration (AD FS, AAD Connect) und den erforderlichen Netzwerkverbindungen. Sie möchten sich nicht in der Situation wiederfinden, in der Sie denken, dass eine Störung durch ein Microsoft 365-Problem ausgelöst wurde, es sich aber in Wirklichkeit um eine Störung in Ihrer lokalen IT-Infrastruktur handelt.

Der IT- / Exchange- / Office 365-Administrator mit ENow Mailscape 365

Office 365 und Exchange Online verfügen über kein eigenständiges Monitoring je Mandanten. Bei einer offiziellen Störung gibt es für Administratoren keine Möglichkeit meistens keine schnelle und einfach Lösung, um den Grund der Störung zu ermitteln. Sie können keine Aussage darüber treffen, wer Schuld ist, welche Dienst gerade nicht verfügbar ist und für wen es Auswirkungen hat. Hier hilft ENow bei der Isolierung des Problems durch sog. Remote-Sonden und synthetische Transaktionen. Diese Funktionen imitieren Anwenderzugriffe auf Office 365-Dienste, wie z.B. Microsoft Teams. In einer cloudbasierten Welt benötigen Sie intelligentere Überwachungsfunktionen als eine „Dienst verfügbar/nicht verfügbar“-Lösung. Ebenso wichtig ist, sich nicht nur auf die Cloud-Endpunkte zu konzentrieren.

Die Verfügbarkeit der Office 365-Dienste ist zu einem großen Teil von der Funktionalität der lokalen Active Directory Gesamtstruktur und der Netzwerk-Infrastruktur abhängig. Da die ENow Lösung in Ihrer lokalen Infrastruktur betrieben wird, kann sie genau das leisten. Der Mehrwert liegt darin, dass Sie eine belastbare Aussage über den Grund der Störung abgeben können und sich nicht auf eine „Microsoft ist Schuld“-Begründung zurückziehen müssen, selbst wenn dies sehr bequem ist. Aber was ist, wenn der Fehler nicht bei Microsoft liegt, sondern bei Ihnen? Die Gründen hierfür sind vielfältig, wie z.B. abgelaufenen Zertifikate, ungewöhnlich hohe Netzwerklatenzen, AD FS Authentifizierungsfehler oder Azure AD Connect Synchronisationsprobleme, um nur einige zu nennen. Es ist kein eindimensionales Problem. Die von Ihnen gewählte Überwachungslösung für Office 365 muss mehrdimensional sein und auf die gleiche Weise testen, wie Anwender eine Verbindung zu den verschiedenen Office 365-Diensten herstellen.

Die oben dargestellte Störung signalisiert eine Störung von Microsoft Teams und SharePoint Online. Wenn Sie der Störungssignalisierung im Dashboard folgen, erhalten Sie die notwendige Sicherheit. 

DIe Detailinformatiom zeigt, dass eine Störung beim Zugriff auf Microsoft Teams vorliegt.

Verantwortlicher zur Einführung des modernen digitatlen Arbeitsplatzes

Sie kennen die Schlagworte „digitaler Arbeitsplatz“, „digitale Transformation“ und all die anderen zu Genüge. Das gemeinsame Ziel ist die Einführung eines modernen Arbeitsplatzes und die umfassend integrierte Nutzung von Office 365. Ihr Unternehmen investiert mit den Abonnementkosten nicht nur in die Cloud-Plattform an sich, sondern auch in die Weiterentwicklung der Mitarbeiter. Daher ist es so wichtig, dass Sie wissen, wie die einzelnen Komponenten der Office 365-Plattform verwendet werden. Und hier spreche ich nicht nur von den Standardauswertungen, die Ihnen z.B. eine Microsoft Teams Nutzung vorgaukeln, nur weil Anwender einmal in dreißig Tagen Microsoft Teams gestartet haben.

Wenn Sie für die Einführung von Office 365 verantwortlich sind, sind Sie davon überzeugt, dass die Kommunikations- und Kollaborationssuite die Zusammenarbeit in Ihrem Unternehmen revolutionieren wird. Der Schlüssel hierzu ist jedoch, dass die Produkte der Office 365-Suite von allen Mitarbeitern angenommen und genutzt werden. Um eine breite Akzeptanz und Nutzung zu erreichen, muss Office 365 planvoll eingeführt und mit angemessenen Lernangeboten begleitet werden. Ein „probiert es einfach aus“-Ansatz wird scheitern. Sie benötigen ausführliche Berichte, wie die Office 365-Plattform von Anwendern genutzt wird. Dies dient auch der Erfolgskontrolle von Schulungen und Lernmaterialien.

Die Standardberichte der Office 365-Plattform geben Ihnen nur rudimentär Auskunft, meist stehen detaillierte Informationen nur per PowerShell zur Verfügung. Administratoren verfügen oftmals über das notwendige Knowhow, um diese Informationen abzurufen. Als Verantwortlicher für die Einführung von Office 365 benötigen Sie meist Hilfe, um die notwendigen Informationen zu erhalten und die Statusberichte für das Management zu erstellen.

Verantwortlicher zur Einführung des modernen digitalten Arbeitsplatzes mit ENow Mailscape 365

Die ENow Mailscape 365 Suite verfügt über Hunderte von integrierten Berichten, die Sie für Ihre individuelle Bedürfnisse anpassen können. Ergänzt wird diese Lösung durch ein zentrales Repository für PowerShell-Skripte und einem Dashboard zur Verwaltung. Sie sehen z.B. nicht nur, ob Microsoft Teams selbst verwendet wurde, sondern auch wie viele Chat-Nachrichten gesendet wurden, wie viel Anrufzeit bereits aus dem Anrufguthaben genutzt wurde oder wie oft das Teilen von Bildschirminhalten eingesetzt wird. Mithilfe dieser Auswertungen stellen Sie schnell fest, ob es ein Problem mit den Schulungen und Schulungsinhalten gibt.

Bei einer einfach zu nutzenden Lösung wie OneDrive erkennen Sie, ob Personen überhaupt Dateien in ihrem persönlichen OneDrive-Speicher ablegen. Wenn dies nicht der Fall ist, ist dies ein Indikator, dass Anwender höchstwahrscheinlich eine Schatten-IT-Lösung wie Dropbox verwenden. Liegt das Problem nun darin, dass sich Anwender mit der neuen OneDrive-Lösung nicht wohlfühlen?

Mit dem Wissen über die Nutzung der Office 365-Suite können Sie proaktiv auf Ihre Schulungen einwirken und so sicherstellen, dass Ihre Mitarbeiter alle bereitgestellten Lösungen nutzen, für die das Unternehmen bezahlt.

Weitere Berichte geben Ihnen Auskunft darüber, welche Apps oder Geräte für den Zugriff auf die Office 365-Dienste verwendet werden. Erfolgt der Postfachzugriff mit Outlook für Desktop, Outlook on the Web oder die Outlook Mobile App? Welches Betriebssystem oder welches Endgerät kommt zum Einsatz? Ähnliche Auswertungen stehen für Microsoft Teams und andere Dienste zur Verfügung. Auf Basis dieser Informationen können Sie entscheiden, ob bestimmte Apps und Geräte in Schulungen stärker berücksichtigt werden müssen. Wenn Sie feststellen, dass mehr Personen iOS- oder Android-Apps für den Zugriff auf Office 365 Dienste verwenden, können Sie Ihren IT-Support für diese Nutzungsszenarien optimieren.

Der Software-Asset-Manager

Die Lizenzierung von Office 365 ist ein bisschen wie ein schwarzes Loch und es ist nicht ungewöhnlich, dass ein Unternehmen mehr zahlt, als notwendig ist. Dies können im Einzelfall Tausende von Euros sein.

Genauso wie Nutzungsinformationen, werden Lizenzinformationen in Office 365 nicht sinnvoll dargestellt.  Oberflächlich betrachtet, denken Sie möglicherweise, dass Ihre Lizenzierung richtig dimensioniert ist. Stellen Sie sich vor, dass von zugewiesenen 1.000 Microsoft 365 E5-Lizenzen nicht alle inkludierten E5-Funktionen durch die Anwender genutzt werden. Stattdessen wäre eine Microsoft 365 E3-Lizensierung für z.B. 300 Anwender vollkommen ausreichend. Bei einer Preisdifferenz EUR 22,00 je Anwender und Monat, könnten Sie EUR 79.920,00 pro Jahr einsparen, ohne dass sich dies auf die zur Verfügung stehenden Funktionen auswirkt.

Die richtige Lizensierung bietet ein großes Potential zur Kostenoptimierung und ist daher von großem Interesse für Software-Asset-Management Teams. Wenn Sie jedoch für die Einführung von Office 365 verantwortlich sind, möchten Sie die Lizensierung gar nicht erst reduzieren. Sie möchten viel lieber sicherstellen, dass die Anwender die lizensierten Funktionen ausgiebig nutzen.

Ein weiteres Problem sind überlappende Lizenzen. Kennen Sie alle Produkte und Dienste, die in einer E3- oder E5-Lizenz enthalten sind?  Wahrscheinlich nicht. Es ist also möglich, dass Sie eine Lizenz für eine Add-On-Funktion kaufen und verwenden, die bereits in der E3- oder E5-Lizenz eines Anwenders enthalten ist? Sie erhalten bei der Zuweisung einer Add-On-Lizenz keinen Warnhinweis, dass diese Funktion dem Anwender bereits zur Verfügung steht. Möglicherweise gibt es bei Ihnen auch Anwender, die Visio Online oder Project Online benötigen, so dass Sie Lizenzen für diese Anwender erwerben. Aber vielleicht gibt es gleichzeitig andere Anwender, denen eine Visio Online- oder Project Online-Lizenz zugewiesen ist, diese aber gar nicht verwenden. Das Auffinden dieser Art von inaktiven Lizenzen ist mit den von Office 365 bereitstellten Tools nicht immer nativ möglich.

Der Software-Asset-Manager mit ENow Mailscape 365

Die Berichte der ENow Management Suite bieten eine einfache und auf einen Blick verständliche Möglichkeit, Möglichkeiten zur Kostenoptimierungen zu messen und umzusetzen. Alle Probleme mit der richtigen Dimensionierung von Lizenzen, überlappenden Lizenzen oder der erneuten Bereitstellung nicht verwendeter Lizenzen können mit diesen Berichten gelöst werden. Sie erhalten einen exakten Einblick, wie Ihre Lizenzen in Ihrem Unternehmen verwendet werden. Diese Informationen helfen Ihnen bei Lizenzverhandlungen, ROI- oder TCO-Modelle zu formulieren und bieten reale Einblicke in Ihre digitalen Investitionen.

Installation und Konfiguration von Mailscape 365

Der Einrichtungsprozess der ENow Management Suite und Mailscape 365 war sehr einfach. Der Installationsassistent führt Sie durch jeden einzelnen Schritt des Prozesses. Nach der Einrichtung der erforderlichen Dienstkonten für den Zugriff auf Ihren Office 365-Mandanten ist die Lösung betriebsbereit.  Die Installationsroutine bietet sogar die Möglichkeit, eine Express-Installation durchzuführen, die weniger Rückfragen zur Installation notwendig macht. Die proaktive Office 365-Überwachung Ihres Mandanten wird innerhalb weniger Minuten aktiviert und die Berichte zur  Lizenzverwaltung sind schon kurz nach Abschluss der Installation verfügbar.

Zusammenfassung

Die ENow Management Suite macht mit Mailscape 365 genau das, was es soll. Es bietet eine Überwachung auf einen Blick, die Administratoren dabei hilft, ein Problem schnell zu erkennen und zum eigentlichen Kern des Problems zu gelangen. Hierzu müssen Administratoren nur dem Pfad der „roten Warnmeldungen“ folgen.

Ergänzt wird die Überwachung Ihres Office 365.Mandaten durch die Bereitstellung von aussagekräftigen Berichten, die Ihnen bei der Einführung und Nutzung von Office 365 helfen und sogar Geld sparen können. Sie erhalten eine Lösung, die Ihnen dabei hilft, Ihre tägliche Arbeit ohne unnötige Komplexität zu erledigen, ganz unabhängig davon, ob Sie ein IT-/Exchange- /Office 365-Administrator, für die Einführung moderner Arbeitsplätze verantwortlich oder ein Software-Asset-Manager sind.

Besuchen Sie die Produkt-Website für weitere Informationen: https://www.enowsoftware.com/products/office365-monitoring-and-reporting

Beginnen Sie mit einem 14-Tage Test: https://www.enowsoftware.com/get-started

Foto von Christina Morillo von Pexels

Der Start mit Microsoft 365 ist nicht immer so einfach. Im Internet findet man ein Vielzahl an Informationen, weiß jedoch nicht sofort, welche Quellen "gute" Quellen sind und welche eher "nebulösen" Charakter haben.

Die folgenden Links sollen Ihnen den Einstieg in das Thema Microsoft 365 und in die Verwaltung der Clouddienste erleichtern.

Allgemeine Informationen

• Microsoft 365 für Großunternehmen (Microsoft 365 Enterprise)
• Microsoft 365 für mittelständische Unternehmen (Microsoft 365 Business)
• Microsoft 365 für den Bildungsbereich (Microsoft 365 Education)
• Office 365 for IT Pros
• Office 365 Roadmap Watch
• Office 365 Network Onboarding tool
• OneDrive for Business Leitfaden für Unternehmen
• Power Platform Self-Service Purchase FAQ
• The Complete Office 365 and Microsoft 365 Licensing Comparison
   
• Microsoft 365 Data Protection Addendum (https://aka.ms/DPA)
• Wo Kundendaten gespeichert werden
• Datenschutz-Folgenabschätzung: Leitfaden für Datenverantwortliche, die Microsoft Office 365 verwenden
• Workshop-Schulung für Chief Information Security Officer (CISO)
• Microsoft 365 - Compliance Informationen
• Microsoft Compliance Configuration Analyzer (MCCA)
• Microsoft Cloud App Security (MCAS)
   
• Licensing Terms and Documentation - Online Services SLA
• Product names and service plan identifiers for licensing

Datenschutz

• Microsoft Viva Insights-App in Microsoft Teams
• Datenschutzhandbuch für Briefing-E-Mails 
• Datenschutzhandbuch für MyAnalytics 
• Datenschutz Workplace Analytics
• Differenzieller Datenschutz in Workplace Analytics
• Datenschutz und Microsoft Teams
• Mitbestimmung beim Einsatz von Cloud-Diensten

Adoption

• Übersicht der Adoption Ressourcen
• Microsoft 365 Adoption Guide
• Microsoft Teams Adoption Guide
• OneDrive Adoption Guide
• Security & Compliance Adoption Guide
• SharePoint Adoption Guide
• Teamwork Governance
• Outlook Mobile Adoption Guide
• Yammer Adoption Guide
• Schnellstart-Handbücher

Hybrides Arbeiten

• Exploring the Science of Work and Ingenuity

Entwicklung

• Erweiterbarkeit von Microsoft 365 - Extensibility Look Book Gallery
• Designing your Microsoft Teams app with UI templates (https://aka.ms/teams-ui-kit)
• Microsoft Teams Development Samples (https://aka.ms/teams-samples)

Migration

• Migrate your content into Microsoft 365

Azure AD

• Berechtigungen der Administratorrollen in Azure Active Directory

Microsoft Teams

• Speicherort von Daten in Microsoft Teams (https://aka.ms/teams-locations) 
• Verwalten von Personen, die Office 365-Gruppen erstellen können (https://aka.ms/create-o365-groups)
• Microsoft Teams IT-Architektur- und Telefonielösungen Poster
• SWOOP Benchmark Report (Video)

PowerShell Module

Folgende PowerShell Module benötigen Sie für die Verwaltung von Microsoft 365.

• Azure AD (v2.0)
  Wenn Ihnen ein Azure AD PowerShell Cmdlet begegnet, dass nicht im produktiven Release des Azue AD Modules enthalten ist, benötigen Sie eventuell die Azure AD Preview Version des Modules.

# Import des PowerShell-Modules
Install-Module -Name AzureAD

# Aufbau einer Verbindung zu Azure AD des globalen Office 365 Angebotes
Connect-AzureAD

# Aufbau einer Verbindung zu Azure AD des globalen Office 365 Angebotes (solange noch verfügbar)
Connect-AzureAD -AzureEnvironmentName AzureGermanyCloud

• SharePoint Online (PowerShell Gallery), bevorzugte Variante
• SharePoint Online (Classic Installer)

# Direkte Installation über die PowerShell Gallery
Install-Module -Name Microsoft.Online.SharePoint.PowerShell

# Import des SharePoint Online PowerShell-Modules
Import-Module -Name Microsoft.Online.SharePoint.PowerShell

# Festlegung des UPN-Anmeldenamen des SharePoint-Administrators
$UPN = 'user@varunagroup.de' # Beispiel UPN

# Festlegung des Office 365 Tenant-Namen
$SPOOrgName = 'VARUNAGROUP' # Beispiel Organisation

# Festlegung der Anmeldedaten
# Bei NUtzung von MFA muss das App-Kennwort verwendet werden
$Credential = Get-Credential -UserName $UPN -Message "Geben Sie Ihr Kennwort ein."

# Aufbau der Verbindung zu SharePoint Online OHNE MFA
Connect-SPOService -Url "https://$($SPOOrgName)-admin.sharepoint.com" -Credential $Credential

# Aufbau der Verbindung zu SharePoint Online MIT MFA
Connect-SPOService -Url "https://$($SPOOrgName)-admin.sharepoint.com"

• Exchange Online PowerShell V2 (Recommended)

# Installation des PowerShell-Modules
Install-Module -Name ExchangeOnlineManagement

# Aufbau einer Verbindung zu Exchange Online
# Nach der Verbindung können Sie V2-Cmdlets und ältere EXO-Cmdlets nutzen
Connect-ExchangeOnline -UserPrincipalName admin@varunagroup.de 

Hinweis

Mit dem PowerShell Cmdlet Connect-EXOPSSession können Sie sich auch in der Azure Cloud Shell mit Exchange Online verbinden und wie gewohnt verwalten. (Mehr erfahren)

• Exchange Online (Click-to-Run, C2R)

# Aufbau der Verbindung zu Exchange Online mit dem EXO MFA PowerShell-Modul V1
# zum globalen Office 365 Angebot
Connect-EXOPSSession -UserPrincipalName admin@varunagroup.de # Beispiel UPN

# zum deutschen Office 365 Angebot, solange verfügbar
Connect-EXOPSSession -UserPrincipalName admin@varunagroup.de -ConnectionUri https://outlook.office.de/PowerShell-LiveID -AzureADAuthorizationEndPointUri https://login.microsoftonline.de/common # Beispiel UPN

• Microsoft Teams

# Import des PowerShell-Modules
Import-Module -Name MicrosoftTeams

# Aufbau einer Verbindung zu Microsoft Teams im globalen Office 365 Angebot
Connect-MicrosoftTeams

• Skype for Business

Der Skype for Business Connector ist abgekündigt. Nutzen Sie das Microsoft Teams PowerShell Modul für alle Konfiguration rund um Teams und Enterprise Voice.
Weitere Information finden Sie in diesem Artikel: Move from Skype for Business Online Connector to the Teams PowerShell module

# Verbindung zu Skype for Business Online
# Dieses PowerShell-Modul wird auch zur Verwaltung von Microsoft Teams Funktionen verwendet
# Import des Skype for Business PowerShell-Modules
Import-Module -Name SkypeOnlineConnector

# Administrator-Anmeldeinformation 
$Credential = Get-Credential

# Erstellung einer neuen Skype for Business Online Session
$SfBSession = New-CsOnlineSession -Credential $userCredential

# Import der SfBSession in die aktuelle PowerShell-Session
Import-PSSession SfBSession

• Microsoft Graph

# Import des Graph PowerShell-Modules
Import-Module -Name Microsoft.Graph.Intune

# Akzeptieren der administrativen Zugriffsberechtigungen (einmalig notwendig)
Connect-MSGraph -AdminConsent

# Aufbau einer Verbindung zu Microsoft Graph
$UPN = 'admin@varunagroup.de' # Beispiel UPN
$password = Read-Host -AsSecureString -Prompt "Enter password for $UPN"
$Credential = New-Object System.Management.Automation.PSCredential ($UPN, $password)
$Connection = Connect-MSGraph -PSCredential $Credential

Für eine vereinfachte administrative Anmeldung empfehle ich Ihnen das PowerShell-Skript Connect-O365.ps1 von Chris Goosen bei GitHub.

• Microsoft Commerce (Self-Service Kaufoptionen für Anwender)

# Installation des PowerShell-Modules 
Install-Module -Name MSCommerce

# Import des PowerShell-Modules
Import-Module -Name MSCommerce

# Aufbau einer Verbindung zu Microsoft Commerce im globalen Office 365 Angebot
Connect-MSCommerce

• Office 365 Service Communications 

# Installation des PowerShell-Modules
Install-Module O365ServiceCommunications

# Import des installierten PowerShell-Modules
Import-Module O365ServiceCommunications

# Aufbau einer neuen PowerShell-Session 
# Funktioniert nur mit Basic Authentication, nicht mit MFA
$cred = Get-Credential

$session = New-SCSession -Credential $cred -Locale de-de

# Beispiel der Serviceinformationen im zugeordneten Office 365-Mandanten
Get-SCServiceInfo -SCSession $session

• PSServicePrincipal

PowerShell Gallery: https://www.powershellgallery.com/packages/PSServicePrincipal

Projektseite: https://github.com/dgoldman-msft/PSServicePrincipal

PowerShell-Skripte

• GitHub 
• PowerShell Gallery
• Meine Community-Skripte für Exchange Online und Office 365 
• PowerShell GUI zur Anmeldung an mehrere Microsoft 365 Dienste

• Export Microsoft 365 Group Report to CSV Using PowerShell

Microsoft Graph

• Graph Explorer

Blogs

Nachfolgend finden Sie eine Empfehlungsliste für Blogs, die ich regelmäßig als Informations- und Lernquelle nutze. Ebenso finden Sie Links zu Webseiten von Office 365-Experten, die interessante Informationen, jenseits von Blogartikeln, bereithalten.

• Hans Brender aka Mr. OneDrive
• Randy Chapman's UC Status – The home of UC News, Reviews & How-to's
• The Lonely Administrator - Practical advice for the automating IT Professional
• Mr. Tony Redmond - Office 365, technology, and anything else really…
• Just Can't Get Enough of IT Blog
• Granikos Blog
• Jaap Wesselius - UC Specialist Blog
• Luise Freese - Sketchnote Artist
• Brian Reid - Office 365 Subject Matter Expert
• Tim McMichael - Navigating the world of high availability…and occasionally sticking my head in the cloud…
• Todd Klindt's Office 365 Admin Blog
• Waldek Mastykarz - Innovation Matters | Office Development MVP
• Tomislav Karafilov - IT – SharePoint – .NET – Office 365 – Azure – DevOps – Community

• Microsoft 365 Blog
• Enterprise Mobility + Security
• Office 365: Developer Blogs
• Microsoft Security

Tools

• Mailscape 365
  Aktive Überwachung von Office 365 Endpunkten und der Cloud-Anwendererfahrung für Ihre Mitarbeiter
   
• ShareGate Apricot
  Reporting und Management Lösung für Microsoft Teams und Office 365-Gruppen
   
• ScriptRunner
  Software zur professionellen PowerShell Automatisierung
   
• AdminDroid
  Detailliertes Reporting und Controlling Ihres Office 365 Tenants
   
• Feedly
  Tool zur Aggregierung von RSS-Feeds

Weitere technische Links finden Sie im Artikel Troubleshooting Links für Exchange, Office 365 und mehr.

Viel Spaß mit Microsoft 365.

Mailscape 365 - Überwachung von Hybrid Exchange und Office 365: Viele Unternehmen verwenden eine lokale Exchange Organisation und Exchange Online in einer Hybrid-Konfiguration, um die Anforderungen ihrer Mitarbeiter zu erfüllen. Der Betrieb einer hybriden Exchange Organisation seine ganz eigenen Herausforderungen für das Monitoring der Dienstverfügbarkeiten. Beginnen Sie noch heute einen unverbindlichen 14-Tage Test von Mailscape 365.

Aktualisierungen

2021-06-25: Link zum Sway Mitbestimmung beim Einsatz von Cloud-Diensten hinzugefügt
2021-05-31: Datenschutz und Microsoft Teams hinzugefügt
2021-05-27: Abschnitt Hybrides Arbeiten hinzugefügt
2021-05-12: Abschnitt Enwicklung hinzugefügt
2021-03-29: Abscnitt Datenschutz hinzugefügt
2021-02-25: Abschnitt Migration hinzugefügt
2021-02-11: Microsoft Cloud App Security (MCAS) hinzugefügt
2021-02-08: Datenschutz-Folgenabschätzung: Leitfaden für Datenverantwortliche, die Microsoft Office 365 verwenden hinzugefügt
2021-01-31: Abschnitt Azure AD hinzugefügt

Die nachfolgenden Links dienen als Link-Liste für das Troubleshooting und Planung von On-Premises Exchange Installationen und Exchange Hybrid Umgebungen. Ebenso finden sich Links für die Installationsvoraussetzungen von Exchange Server und anderer Tools in der Übersicht.

Microsoft 365 ist ein Clouddienst von Microsoft und lebt von Ihrem Feedback und Ihren Ideen. Microsoft hat sich entschieden, UserVoice nicht mehr zu verwenden und zu einer anderen Plattform zu wechseln. Nutzen Sie bis dahin die Tech Community, um Ihr Feedback mitzuteilen.

Granikos Links

• Thomas' Tech Talk - Übersicht - techtalk.granikos.eu
• Was ist Office 365?
• Einstieg in Microsoft 365

Exchange Server

PowerShell 

• Exchange PowerShell bei Microsoft Docs
• How to Use the New Exchange Online V2 PowerShell Module

Troubleshooting

• SSL Server Test 
• SSL/TLS Server Test 
• ROCA Vulnerability Test Suite
• MX Toolbox
• Message Header Analyzer (https://aka.ms/mha)
• Remote Connectivity Analyzer
• Exchange Server 2013, 2016, and 2019 Build Numbers (with Cumulative Updates)
• Log Parser Studio Report Collection - Troubleshooting Exchange 2013 Performance
• How can you download a hotfix without contacting Microsoft?
• Repair failed installations of Exchange Cumulative and Security updates

Planung

• Exchange Server-Unterstützbarkeitsmatrix
• Exchange Server build numbers and release dates
• Exchange-Processor Query Tool: PowerShell Edition
• Processor Query Tool v1.1
• Exchange Hybrid Configuration Wizard v17
• Additional endpoints not included in the Office 365 IP Address and URL Web service
• Outlook license requirements for Exchange features
• Modern public folder deployment best practices
• UN/LOCODE
• UN/LOCODE (DE)

Installation

• Exchange Server 2019 - Installationsvoraussetzungen
  • Übersicht der Voraussetzungen
  • Visual C++ Redistributable for Visual Studio 2012
  • Visual C++ Redistributable Packages for Visual Studio 2013
    • Most recent C++ Redistributable Downloads
  • Microsoft .NET Framework 4.7.2 (Offline-Installer) (bis CU3)
  • Microsoft .NET Framework 4.8 (Offline-Installer)  (CU4 und neuer)
  • Microsoft Unified Communications Managed API 
    • Bestandteil des Exchange Server 2019 Installationsmediums
      [EXCHANGEISO]\UCMARedist
       
• ​Exchange Server 2016 - Installationsvoraussetzungen
  • Übersicht der Voraussetzungen
  • Visual C++ Redistributable for Visual Studio 2012
  • Visual C++ Redistributable Packages for Visual Studio 2013
    • Most recent C++ Redistributable Downloads
  • Microsoft .NET Framework 4.5.2 (Offline-Installer)
  • Microsoft .NET Framework 4.6.1 (Offline Installer) (CU2 - CU7)
    • Hotfix-Rollup 3146715 für.NET Framework 4.6 und 4.6.1 in Windows (Windows Server 2012R2)
  • How to temporarily block the installation of the .NET Framework 4.7 
  • Microsoft .NET Framework 4.7.1 (Offline Installer) (Exchange Server 2016 CU8 - CU11)
  • Microsoft .NET Framework 4.7.2 (Offline-Installer) (CU11 - CU13)
  • Microsoft .NET Framework 4.8 (Offline-Installer) (CU13 und neuer)
  • Microsoft Unified Communications Managed API 4.0, Core Runtime 64-bit
     

Migration

• Exchange Resource Forest and Office 365 – Part I 
• Best practices for public folder preparation before migrations

Microsoft 365

Allgemein

• Service Trust Portal
• URLs und IP-Adressbereiche von Office 365
• Exchange Online Protection IP Addresses
• Office 365 Network Onboarding tool
• Table of Language Culture Names, Codes, and ISO Values
• Microsoft Online Services Sign-In Assistant for IT Professionals RTW
• Office 365 Datacenter Map
• ADFS Open Source Tools 
• Microsoft Teams IT Architecture and Telephony Solutions Posters (PDF/Visio)
• Microsoft Cloud IT Architecture Resources (PDF/Visio)

Azure AD Connect

• Topologies for Azure AD Connect
• Azure AD Connect: Version Release History
• Azure AD Connect prerequisites and hardware requirements
• Download Microsoft Azure Active Directory Connect

Planung

• Office 365 Network Performance Tool
• Network planning and performance tuning for Office 365
• Office 365 Network Connectivity Principles
• Network Assessment Tool Plus
• Office 365 ROI Calculator
• Verfügbarkeit Tenant-Name
• Erstellung der Office Deployment Tool (ODT) XML-Datei 

Troubleshooting

• Microsoft 365 Network Connectivity Health
• Remote Connectivity Analyzer
• Support- und Wiederherstellungs-Assistenten für Office 365
• Create DNS records at Strato for Office 365 

Administration

• Manage who can create Office 365 Groups
• Azure AD Connect Communications Test 
• TLS 1.0/1.1 Deprecation Report
• Microsoft 365 DSC

Microsoft Teams

• Links zu Microsoft Teams finden Sie immer aktuell unter dem Tag Microsoft Teams: https://www.granikos.eu/de/Blog/Tag/microsoft-teams 
• SWOOP Benchmark Report (Video)

OneDrive for Business

• OneDrive for Business – Fixing credential issues

Device Management

• How-To: Windows AutoPilot Deployment Program
• Windows AutoPilot - Manually registering devices

Azure

• Azure Portal
• Azure 101
• Azure Account Portal
• Azure Rights Management Administration Tool
• Azure Architecture Center
• Azure Active Directory Module
• Interactive Azure Platform Overview
• Operations Management Suite (OMS) SDK

Visio

• Microsoft Integration and Visio Stencils

SQL Server

• Download des aktuellsten SQL Server 2014 CU - Service Pack 2 Branch
• Download des aktuellsten SQL Server 2014 CU - Service Pack 3 Branch
• Download des aktuellsten SQL Server 2016 CU - Service Pack 2 Branch
• Download des aktuellen SQL Server 2017 CU Branch
• Download der aktuellen Version des SQL Server Management Studios (SSMS)

Allgemein

• Microsoft .NET Framework Repair Tool
• HTML Cleaner
• Regular Expressions - iHateRegEx

Windows Server

• Windows Admin Center - Übersicht
• Windows Admin Center - Download 

Securing Active Directory

• Best Practices for Securing Active Directory
  • Events to Monitor

Tools

• Mailscape 365
  Aktive Überwachung von Microsoft 365 Endpunkten und der Cloud-Anwendererfahrung für Ihre Mitarbeiter
   
• ShareGate Apricot
  Reporting und Management Lösung für Microsoft Teams und Office 365-Gruppen
   
• ScriptRunner
  Software zur professionellen PowerShell Automatisierung
   
• AdminDroid
  Detailliertes Reporting und Controlling Ihres Microsoft 365 Tenants
   

Feedback

• Tech Community
• Office 365 UserVoice
• Azure Feedback

Mailscape 365 - Überwachung von Hybrid Exchange und Office 365: Viele Unternehmen verwenden eine lokale Exchange Organisation und Exchange Online in einer Hybrid-Konfiguration, um die Anforderungen ihrer Mitarbeiter zu erfüllen. Der Betrieb einer hybriden Exchange Organisation seine ganz eigenen Herausforderungen für das Monitoring der Dienstverfügbarkeiten. Beginnen Sie noch heute einen unverbindlichen 14-Tage Test von Mailscape 365.

2021-06-02: Verwaiste Links zur TechNet Gallery entfernt oder aktualisiert
2021-05-27: Skype for Business entfernt, Visio hinzugefügt
2021-03-29: Network Status Health hinzugefügt
2021-03-11: Entfernung der UserVoice-Verlinkungen
2021-03-10: Repair failed installations of Exchange Cumulative and Security updates hinzugefügt

Die Monitoring- und Reporting-Lösung MAILSCAPE von ENow hat zum vierten Mal in Folge den Readers Choice Award von MSExchange.org gewonnen.

MAILSCAPE konnte Exchange Administratoren in der ganzen Welt zum wiederholten Male vom Nutzen im täglichen Betrieb von Messaging-Infrastrukturen überzeugen.

“We’re honored that Exchange administrators around the globe not only recognize the features and capabilities of Mailscape, but also its long term value and consistency in a very competitive market space,” sagte ENow CEO Jay Gundotra.

Die Software wird von Kunden in mehr als 60 Ländern erfolgreich eingesetzt. Zu den Kunden gehören u.a. Facebook, DirecTV oder Wendy's.

MAILSCAPE von ENow erleichtert die Echtzeit-Überwachung Ihrer Exchange-Systeme, inklusive Exchange Online (Office 365), und stellt alle wichtigen Informationen in einer zentralen Dashboard-Übersicht dar. Zusätzlich überwacht Mailscape alle relevanten Sekundärsysteme (Domänen-Controller und andere Mail-Server). 

Mit der intuitiven Dashboard-Technologie ist der aktuelle Status der Messaging-Umgebung auf einen Blick sichtbar. In Kombination mit FORESITE, UNISCOPE und COMPASS können Sie Ihre gesamten Messaging- und Collaboration-Umgebungen in einem zentralen Dashboard überwachen.

Die zahlreichen Auswertungen stellen aktuelle Daten über den Betrieb und die Auslastung der Systeme zur Verfügung und bieten alle notwendigen Informationen, um die weitere Entwicklung Ihrer Exchange-Umgebung zu planen und voran zu treiben.

Erfahren Sie mehr über Mailscape und testen Sie Mailscape für 21-Tage kostenlos: http://www.granikos.eu/de/mailscape

NRW-Soforthilfe 2020 und E-Mail-Kommunikation - Die Geschichte eines angekündigten Betruges

Über das Desaster der Antragstellung für die NRW Soforthilfe 2020 wurde schon viel geschrieben und konnte den Eindruck gewinnen, dass Maßnahmen zum Schutz der Kommunikation und gegen weitere Betrugsversuche unternommen werden. Augenscheinlich hatte man nur die Antragstellung über das Online-Formular im Blick. Die dazugehörige E-Mail-Kommunikation der Bezirksregierung Köln war und ist aktuell nicht Bestandteil grundlegender Schutzmaßnahmen.

Das folgende Beispiel einer empfangenen E-Mail der Bezirksregierung Köln mit dem Absender Corona-Soforthilfe@bezreg-koeln.nrw.de habe ich zum Anlass genommen, mir die Konfiguration der Absenderdomäne einmal genauer anzuschauen. Die Ergebnisse sind beängstigend.

Ausgangspunkt der Recherche ist die empfange E-Mail-Nachricht. In dieser sind alle benötigten Informationen enthalten.

E-Mail Kopfinformationen

Eine E-Mail-Nachricht besteht, wie ein klassicher Brief, aus zwei Teilen. Zum einen gibt es den Umschlag, der alle Zustellinformationen, enthält, und als Zweites den Inhalt, der die lesbaren Informationen und vielleicht auch Dateianhänge für dem Empfänger bereithält.

Für eine genauere Betrachtung der E-Mail-Zustellung sind die Informationen des Umschlages, die sog. Kopfinformationen, von großem Interesse. Ich habe diese Informationen mit Hilfe des Message Header Analyzers von Microsoft in ein besser lesbares Format gebracht. Der nachfolgende Screen zeigt die wichtigsten Kopfinformationen der E-Mail:

• Betreff
• Absender
• Empfänger
• Alle an der E-Mail-Zustellung beteiligten Serversysteme

Besonders interessant sind die rot umrandeten Zeilen 1 - 10. Diese Zeilen geben uns Aufschluss über alle beteiligten internen Systeme der IT.NRW, die als zentraler IT-Dienstleister für die Bezierksregierung Köln tätig ist. Die unkenntlich gemachten Textstellen beinhalten Informatioen über:

• Computername des Applikationssystems, das für die Erstellung dieser E-Mail zuständig war
• Computernamen und -adressen der internen E-Mail-Systeme
• Produktnamen der intern verwendeten E-Mail-Software
• Produktnamen der intern verwendeten Antivirus-Lösungen
• Verbindungskette der internen E-Mail-Computersysteme inklusive lokaler Schleifen

Als eine der einfachsten Schutzfunktionen für E-Mail-Nachrichten, die an externe Empfänger gesendet werden, werden die Informationen interner Systeme aus dem Kopfinformationen der E-Mail entfernt. Hierdurch wird sichergestellt, dass keine Informationen über interne Computeradressen oder -name nach aussen gelangen. Diese Informationen lassen u.U. Rückschlüsse zu, die eine möglichen Hackerangriff begünstigen können. Moderne E-Mail-Systeme entfernen solche Informationen mit Hilfe einer Header-Firewall aus einer E-Mail.

Idealerweise hätten die Kopfinformationen mit dem grünumrandeten Eintrag aus Zeile 11 begonnen. Das dort als Submitting Host eingetragene System ist das für die externe Zustellung verantwortliche System.

Die Informationen der Zeilen 1 -10 gehören nicht in eine externe E-Mail.

Nach einem Blick auf die Kopfinformationen der E-Mail geht es mit einer Prüfung der technischen Einstellungen für die E-Mail-Kommunikation der Absenderdomäne bezreg-koeln.nrw.de weiter. 

MX Resource Records

Die einfachste Prüfung einer Absenderdomäne ist die Überprüfung auf E-Mail-Systeme für den Empfang von E-Mail-Nachrichten. In den meisten Fällen sind die diese Systeme auch für den Versand von Nachrichten zuständig. Wenn eine Domäne auch E-Mail-Nachrichten empfängt, muss sie über mindestens einen speziellen DNS-Eintrag verfügen. Mit Hilfe eines DNS-Eintrages vom Typ MX wird festgelegt, welche Systeme E-Mail-Nachrichten von anderen Absendern empfangen. 

Der folgende Screenshot zeigt das Ergebnis der Überprüfung der MX-Einträge vom 6. Mai 2020.

Für die Domäne bezreg-koeln.nrw.de werden zwei Systeme mit unterschiedlicher Präferenz (Pref-Spalte) aufgeführt. Das System mit Präferenz 60 hat gegenüber dem zweiten System die höhere Priorität und wird daher bevorzugt von zustellenden Systemen angesprochen. Sollte das System nicht antworten, erfolgt ein Zustellversuch an das zweite System mit Präferenz 80.

Ein besonderes Augenmerk gilt den IP-Adressen der Systeme. In den Kopfinformationen der E-Mail hatte das sendende System die Adresse 93.184.128.152. Diese Adresse gehört zu keinem beiden aufgeführten Systeme. Damit ist klar, dass es noch weitere E-Mail-Systeme gibt, die augenscheinlich nur für den Versand verwendet werden. Aber dazu im nächsten Abschnitt mehr.

Eine weitere wichtige Information wird uns von MXToolbox ebenfalls mitgeteilt. Die Domäne verfügt über keinen DMARC-Eintrag. Was das ist und warum es gut ist, solch einen Eintrag vorzuhalten, erkläre ich weiter unten.

MX-Einträge sind für die E-Mail-Kommunikation existenziell. Neben diesem Eintragstyp gibt es noch weitere, die eine E-Mail-Kommunikation sicherer machen können. Kommen wir daher zur IP-Adresse des sendenden Systems zurück.

SPF Resource Records

Ein System, das E-Mail-Nachrichten empfängt, verfügt über keinerlei Informationen, welche Systeme für den Versand einer Domäne berechtigt sind. Als Eigentümer einer Domäne kann ich mit Hilfe eines SPF-Eintrages definieren, welchen Systemen es  explizit erlaubt ist, für meine Domäne E-Mail-Nachrichten zu versenden. 

Der folgende Screenshot zeigt das Ergebnis der SPF-Prüfung für die Domäne bezreg-koeln.nrw.de vom 6. Mai 2020.

Es ist kein SPF-Eintrag vorhanden. Empfangende E-Mail-Systeme haben keine Möglichkeit zur Überprüfung des sendenden Systems. MIt dem Fehlen dieses Eintrages wird der Versand von betrügerischen E-Mail-Nachrichten begünstigt, wenn nicht sogar wissentlich in Kauf genommen.

Das Vorhandensein eines SPF-Eintrages stellt keinen vollständigen Schutz dar. Dazu bedarf es noch weiterer Maßnahmen. Jedoch ist die Nutzung eines SPF-Eintrages seit Jahren Stand der Technik.

Moderne E-Mail-Systeme und Anti-Spam-/Anti-Mailware-Lösungen bewerten das Nichtvorhandensein eines SPF-Eintrages immerhin mit einer Erhöhung der Spam-Wahrscheinlichkeit. Dies kann u.U. dazu führen dass Nachrichten der Bezirksregierung Köln nicht im Posteingang, sondern im Junk-E-Ordner landen.

Es gibt auch Positives zu berichten.

PTR Resource Record

Der Name eines E-Mail-Systems ist nicht das einzige Merkmal, auf das ein empfangendes System achtet. Im Normalfall wird ein Computername zu einer numerischen Conmputeradresse aufgelöst. Es gibt aber auch das genaue Gegenteil, die sog. Rückwärtsauflösung. Das empfangende System versucht hierbei die numerische Computeradresse zu einem Namen aufzulösen. Dies erfolgt mit Hilfe eines sog. PTR-Eintrages, der im DNS des Internet-Leitungsanbieters erfolgt. Ist diese Auflösung erfolgreich und der gefundende Name entspricht dem Computernamen der Verbindung, gilt die Identität des Systems als einfach bestätigt. 

Der folgende Screenshot zeigt die Ergebnis für die IP-Adressen der beiden MX-Einträge.

Beide System verfügen über einen zum Computernamen passenden PTR-Eintrag.

SMTP Test

Als Abschluss der aktiven Tests erfolgte eine Prüfung der E-Mail-Verbindung zu einem der beiden Systeme mit MX-Eintrag. HIer gibt es wenig Auffälliges zu berichten.

Die Nutzung von HTML-Tags (<br />) in einem Server-Banner ist unüblich und eher hinderlich. E-Mail-Server erwarten eine klare Kennung des Status und des Computernamens. In diesem Fall wird der Status 220 und der Name relay1v.it.nrw.de gleich zweimal in einer Textzeile zurückgegeben. Es wird sicherlich Systeme geben, die dies als nicht protkollkonformes Format bewerten.

Der folgende Screenshot zeigt das Ergebnis des SMTP-Tests.

Der E-Mail-Server unterstützt verschlüsselte Verbindungen und lässt, wie die Liste der unterstützten Befehle zeigt, weitere E-Mail-Befehle erst nach dem Aufbau einer verschlüsselten Verbindung zu. Ob die Unterstützung des ETRN Befehls zeitgemäß ist, kann man diskutieren. Es wird sicherlich technische Anforderungen auf Seiten der IT.NRW geben, die dies erfordern.

Es fehlen allerdings zwei wichtige Komponenten, um E-Mail-Nachrichten der Domäne bezreg-koeln.nrw.de sicherer zu machen. DMARC und DKIM.

DMARC

Die zu Anfang besproche Prüfung der MX-Einträge hat gezeigt, dass kein DMARC-Eintrag vorhanden ist. Ein DMARC-Eintrag legt für eine Domäne, in diesem Fall wäre es für bezreg-koeln.nrw.de, fest, ob und wenn ja welche Informationen ein empfangender E-Mail-Server über E-Mails dieser Domäne sammeln soll. Hierdurch ist es möglich, Fehlerberichte zu erhalten und so festzustellen, welche unberechigten Systeme im Internet E-Mail-Nachrichten im Namen der Bezirksregierung Köln versenden. Solch ein Eintrag fehlt vollständig.

DMARC ist aber nur im Zusammenspiel mit SPF- und DKIM-Einträgen sinnvoll. Die Funktion und die Wichtigkeit eines SPF-Eintrages habe ich schon besprochen. Kommen wir zu DKIM.

DKIM

Die Aufgabe von DKIM ist Sicherstellung einer vertrauensvollen E-Mail-Zustellung. Diese Sicherstellung bezieht sich auf den E-Mail-Umschlag. Das empfangende System erkennt, dass der E-Mail-Umschlag mit Hilfe einer DKIM-Signierung gesichert wurde. Hierzu hat das Absendersystem Umschlagsinformationen mit einem Schlüssel, der nur auf dem Absendersystem exisitert, signiert. Das Empfangssystem findet den öffentlichen Schlüssel wiederum als besonderen DNS-Eintrag. Mit diesem Schlüssel können nun die Signaturinformation aufgelöst und anschließend überprüft werden. Hierdurch wird die Integrität des Absendersystems für die Domäne sichergestellt. 

DKIM selbst ist kein neuer Standard für die Sicherung von E-Mail-Nachrichten. Alle großen E-Mail-Anbieter prüfen eingehenden E-Mail-Nachrichten auf DKIM-Signaturen.

Dies ist kein Ersatz für eine mögliche und auch notwendige Verschlüsselung des E-Mail-Inhaltes. Der im Übrigen ebenfalls nicht stattfindet. 

Kommen wir zum Abschluss noch zur Verbindungsverschlüsselung.

SSL/TLS Test

Der folgende Screenshot zeigt das Ergebnis der Verschlüsselungsfunktionen im Hinblick auf gängige Industriestandards. 

Das Ergegbis ist in amerikanischer Notenstufe (A-F) dargestellt, wobei ein A einer Schulnote 1 entspricht. Mehr muss nicht gesagt werden.

Der Hauptgrund für die schlechte Note liegt darin, dass die E-Mail-Systeme alte und unsichere Verbindungsprotokolle und Verschlüsselungstechnologien unterstützen. Diese unsicheren Protokolle und Verschlüsselungen sollten im Jahr 2020 nicht mehr aktiv sein. 

Fazit

Die aktuelle Konfiguration der E-Mail-Umgebung der Bezirksregierung Köln und anderer Behörden, die diese IT-Plattform nutzen, kann durch Betrüger ausgenutzt werden. Einfachste Konfigurationen für sichere E-Mail-Kommunikation, die seit Jahren Stand der Technik sind, finden keine Anwendung. Hier wird, meiner Einschätzung nach, grobfahrlässig gehandelt. Betrügerische E-Mail-Nachrichten können ohne Probleme im Namen der Bezirksregierung Köln versendet werden. 

In der Pflicht ist nicht nur die Bezirksregierung Köln, sondern vielmehr der Landesbetrieb IT.NRW, der als zentraler IT-Dienstleister für zahlreiche Behörden und Dienststellen auftritt. Hier muss etwas passieren, um Bürger für betrügerischen E-Mail-Nachrichten, nicht nur im Zusammenhang der NRW Soforthilfe, zu schützen. Alle Behörden und Dienststellen in NRW, die auf eine sichere E-Mail-Kommunikation mit Bürgern und Unternehmen vertrauen und hierzu die Dienstleistungen der IT.NRW in Anspruch nehmen, sollten die für sie gültigen Einstellungen dringend überprüfen lassen.

E-Mail-Nachrichten der NRW Soforthilfe 2020 werden als Klartext versendet, obwohl sie persönliche Informationen enthalten und somit einem besonderen Schutzbedürfnis unterliegen. Der Einsatz einer sog. Gateway-basierten E-Mail-Verschlüsselung kann hier schnell und einfach Abhilfe schaffen. Ebenso ist die Implementierung von SPF, DKIM und DMARC Pflicht.

Ich wünsche mir, dass IT.NRW die Absicherung der E-Mail-Kommunikation ernster nimmt und ihrer Verantwortung, auch als Vorbildfunktion, nachkommt. In der heutigen Zeit vertrauen Bürger auf die IT-Sicherheit, die propagiert wird. Im Rahmen der NRW-Soforthilfe hat dieses Vertrauen sehr gelitten.

Ohne eine Verbessung der E-Mail-Sicherheit, ist dem Betrug weiterhin Tür und Tor geöffnet.

Links

• Message Header Analyzer
• SSL/TLS Server Test
• MX Toolbox
• DMARC
• DKIM

Problem

While trying to synchronize a new device with an Exchange mailbox, you receive an error with your new mobile phone partnership.

The Exchange Server 2010 Default Throttling Policy is configured to accept 10 ActiveSync devices per mailbox only.

You can validate this setting by using EMS

Get-ThrottlingPolicy def* | Select Name,EASMaxDevices

Solution

Use a scheduled PowerShell script to delete old ActiveSync Device partnerships that have not been used for a defined period of time.

Script

Find the most recent version on TechNet Gallery and Github, following the links provided in the Links section.

Modifiy the script path variables to fit your requirements. The variables are configured in the ### BEGIN Variables section.

Steps being executed:

1. Fetch all user mailboxes
2. Iterate through each user mailbox and determines the number of ActiveSync devices and the number of devices which have not synchronized since 150 days
3. Delete ActiveSync device registration, if a user has more than 4 devices in total and a minimum of 1 device that have not synced within 150 days

<#
    .SYNOPSIS
    Remove Exchange Server 2010 ActiveSync Device Partnerships 
   
   	Sebastian Rubertus / Thomas Stensitzki
	
	THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE 
	RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE USER.

    Send comments and remars to: support@granikos.eu
	
	Version 1.0, 2015-04-09
 
    .LINK  
    More information can be found at http://www.rubertus.net/Blog/tabid/85/EntryId/41/Scripted-removing-of-ActiveSync-Device-Partnerships.aspx 
	
    .DESCRIPTION

    THis script removes ActiveSync device association from user mailboxes
    that have been inactive for more than 150 days.

    .NOTES 
    Requirements 
    - Exchange Server 2010
    - Windows Server 2008 R2 SP1, Windows Server 2012 or Windows Server 2012 R2  

    Revision History 
    -------------------------------------------------------------------------------- 
    1.0     Initial community release 
    
    .EXAMPLE
    Remove-ActiveSyncDevicePartnership
    	
    #>

### BEGIN SnapIns -------------------------------------------------------------

# Add Exchange SnapIn if not already loaded
if ( (Get-PSSnapin -Name Microsoft.Exchange.Management.PowerShell.E2010 -ErrorAction SilentlyContinue) -eq $null )
{
    Add-PsSnapin Microsoft.Exchange.Management.PowerShell.E2010 -ErrorAction SilentlyContinue
   
    if ( (Get-PSSnapin -Name Microsoft.Exchange.Management.PowerShell.E2010 -ErrorAction SilentlyContinue) -eq $null )
    {
        Write-Host "Microsoft.Exchange.Management.PowerShell.Admin could NOT be loaded!" -ForegroundColor Red
        Write-Host "Verify that the Exchange 2010 Management is installed on this computer!" -ForegroundColor Red
    }
}

### END SnapIns ---------------------------------------------------------------

### BEGIN Variables | EDIT ACCORDING TO YOUR NEEDS ----------------------------

# ScriptPath
$scriptPath = "C:\Scripts\Remove-ActiveSync-Devices\"

# Logfile
$logfile = "C:\Scripts\Remove-ActiveSync-Devices\Logs\$(get-date -format yyyy-MM-dd___HH-mm-ss)___Logname.log"

### END Variables -------------------------------------------------------------


### BEGIN Functions -----------------------------------------------------------

Function Log
{
   Param ([string]$logstring)
   Add-content $logfile -value "$(get-date -format yyyy-MM-dd___HH-mm-ss) $logstring "
}

### END Functions -------------------------------------------------------------

### BEGIN Main ----------------------------------------------------------------

# Create a new log file
Write-Host
Write-Host "Script started, creating Log File."
Log "Script started."
Write-Host

# Query User Mailboxes and Device Statistics
Write-Host "Querying User Mailboxes, please wait a few seconds..." -ForeGroundColor green
Log "Querying User Mailboxes."
Write-Host
$Mailboxes = Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize Unlimited -WarningAction SilentlyContinue
$NumberOfMailboxes = $Mailboxes.count
Write-Host "Number of Mailboxes: $NumberOfMailboxes "
Log "Number of Mailboxes: $NumberOfMailboxes "
Write-Host

# Iterate each User Mailbox
ForEach ($Mailbox in $Mailboxes)
{
    $MailboxAlias = $Mailbox.Alias
    Write-Host
    Write-Host "================================================================================="
    Write-Host
    Write-Host "Getting ActiveSync Devices from user $MailboxAlias..."
    Log "Getting ActiveSync Devices from user $MailboxAlias. "
    $AllDevicesFromSpecificUser = Get-ActiveSyncDevice -Mailbox $MailboxAlias -Result Unlimited  -WarningAction SilentlyContinue | Get-ActiveSyncDeviceStatistics -WarningAction SilentlyContinue
    $AllDevicesFromSpecificUserNotSynchronizedSince150Days = Get-ActiveSyncDevice -Mailbox $MailboxAlias -Result Unlimited  -WarningAction SilentlyContinue | Get-ActiveSyncDeviceStatistics  -WarningAction SilentlyContinue | Where {$_.LastSuccessSync -le (Get-Date).AddDays("-150")}
    Write-Host
    $CountAllDevicesFromSpecificUser = $AllDevicesFromSpecificUser.Count
    $CountAllDevicesFromSpecificUserNotSynchronizedSince150Days = $AllDevicesFromSpecificUserNotSynchronizedSince150Days.Count
   
    If ($CountAllDevicesFromSpecificUser -lt 5)
    {
        Write-Host "User $MailboxAlias has only $CountAllDevicesFromSpecificUser ActiveSync Devices. Nothing to delete!" -ForegroundColor Green
        Log "User $MailboxAlias has only $CountAllDevicesFromSpecificUser ActiveSync Devices. Nothing to delete!"
    }
   
    If (($CountAllDevicesFromSpecificUser -gt 4) -and ($CountAllDevicesFromSpecificUserNotSynchronizedSince150Days -gt 1))
    {
        Write-Host "User $MailboxAlias has $CountAllDevicesFromSpecificUser devices. $CountAllDevicesFromSpecificUserNotSynchronizedSince150Days have not synced for more than 150 days." -ForegroundColor Red
        Log "User $MailboxAlias has $CountAllDevicesFromSpecificUser devices. $CountAllDevicesFromSpecificUserNotSynchronizedSince150Days have not synced for more than 150 days."
       
        ForEach ($Device in $AllDevicesFromSpecificUserNotSynchronizedSince150Days)
        {
            $DeviceType = $Device.DeviceType
            $DeviceFriendly = $Device.FriendlyName
            $DeviceID = $Device.DeviceID
            $DeviceFirstSyncTime = $Device.FirstSyncTime
            $DeviceLastSuccessSync = $Device.LastSuccessSync
            Write-Host
            Write-Host "ActiveSync Device 2 delete Properties: "
            Write-Host "-------------------------------------- "
            Write-Host "Type         : $DeviceType "           
            Write-Host "Friendly Name: $DeviceFriendly "
            Write-Host "ID           : $DeviceID "
            Write-Host "Last Sync    : $DeviceLastSuccessSync " -ForegroundColor Red
            Log "Removing Device $DeviceType with ID $DeviceID ..."
            Write-Host
            Write-Host "Removing Device $DeviceID ..." -ForegroundColor Red
            $Device | Remove-ActiveSyncDevice -WarningAction SilentlyContinue
        }
    }
}

# Script finished
Write-Host
Write-Host "Script finished!"
Write-Host
Log "Script finished!"

### END Main ------------------------------------------------------------------

Links

• Remove-ActiveSyncDevicePartnership Script at TechNet Gallery
• Remove-ActiveSyncDevicePartnership Script at GitHub

You need assistance with your Exchange Server setup? You have questions about your Exchange Server infrastructure and going hybrid with Office 365? Contact us at office365@granikos.eu or visit our website http://www.granikos.eu.