Am 18. Juni 2019 trifft sich die Microsoft Teams Meetup Gruppe Berlin zu ihrem vierten Treffen.
Bei unseren Meetup-Treffen sprechen wir über Microsoft Teams als universelle Plattform zur Zusammenarbeit als Teil einer Modern Workplace Strategie. Hierzu gehören das Teilen und gemeinsame Arbeiten an Dokumenten, Audio- und Video-Kommunikation, Telefonie und die Erweiterbarkeit durch Applikation, Bots und weitere Schnittstellen.
Viel Spaß mit Microsoft Teams!
Der browserbasierte Zugriff auf ein Exchange Postfach mit Hilfe von Outlook on the Web (OWA) ermöglicht Ihren Anwendern die Anzeige und Bearbeitung von Office-Dateianhängen ganz ohne Medienbruch in eine andere Applikation.
Für Kunden von Microsoft 365 und Exchange Online sind hierzu keine weiteren Konfigurationen notwendig. Die Integration von Office Online mit Outlook on the Web ist standardmäßig aktiviert. Jedem Anwender wird automatisch eine Standard-Richtlinie zu gewiesen. Zu den Betriebsrisiken später mehr.
Wenn Sie diese Funktion auch für Ihre lokale Exchange Organisation bereitstellen möchten, müssen Sie zuerst eine Office Online Server Umgebung aufbauen und, falls erforderlich, aus dem Internet erreichbar machen. Die Anforderungen und Implementierungsoptionen einer Office Online Umgebung schauen wir uns in einem der nächsten Artikel an.
In Outlook on the Web wird die Möglichkeit einer Anzeige im Browser im Auswahlmenü eines Dateianhanges anzeigt:
Ebenso ist das Öffnen des Anhanges das Standardverhalten bei einem Klick auf den Dateinamen.
Im Rahmen einer betrieblichen Anforderung kann es notwendig sein, dass bestimmten Anwendergruppen der Zugriff auf Office Online aus OWA heraus zu unterbinden und stattdessen das Herunterladen von Office-Dateianhängen zu erzwingen.
Die Gründe hierfür können sehr unterschiedlich sein.
Je nachdem, ob Sie Office Online als SaaS-Lösung in Microsoft 365 nutzen, oder aber Ihre eigene Office Online Server Umgebung betreiben, stehen Ihnen unterschiedliche Lösungen zur Verfügung. DIe von Office Online (Server) bereitgestellten Funktionen werden nciht nur von OWA verwendet.
Die Option einer neuen OWA-Postfachrichlinie (OwaMailboxPolicy) steht Ihnen für Microsoft 365 und die lokale Exchange Organisation zur Verfügung. Die Erstellung einer neuen OWA-Postfachrichtlinie ist zwar auch über das Exchange Admin Center, jedoch ermöglicht dieser Weg anschließend nur eine sehr rudimentäre Konfiguration. Daher empfehle ich Ihnen, OWA-Postfachrichtlinien immer mit Hilfe der Exchange Management Shell (EMS) zu erstellen und zu verwalten. Wenn Sie mit Exchange Online arbeiten, stellen Sie bitte sicher, dass Ihr administratives Konto mit einer Multi-Faktor-Authentifizierung (MFA) geschützt ist und Sie das speziell hierfür zur Verfügung gestellte PowerShell Modul verwenden.
Die Erstellung einer neuen OWA-Postfachrichlinie gliedert sich immer in zwei Schritte:
Im folgenden Beispiel erstelle ich in Exchange Online eine neue OWA-Postfachrichlinie für das fiktive Unternehmen Contoso. Der Name der neuen Richtlinie ist Contoso-Restricted-OWA-Policy.
# Aktivierung der PowerShell-Protokollierung (Transkript) Start-Transcript # Uneingeschränkte Anzeige von Array-Inhalten $FormatEnumerationLimit=-1 # Erstellung der neuen OWA-Postfachrichtlinie New-OwaMailboxPolicy -Name 'Contoso-Restricted-OWA-Policy' # Auflistung der Namen der vorhandenen OWA-Richtlinien Get-OwaMailboxPolicy | ft Name
Nach der Erstellung der neuen Richtlinie wurden alle Standard-Einstellungen der Richtlinie im PowerShell-Fenster ausgegeben. Dank der aktivierten Protokollierung haben Sie diese Einstellungen in der Transkript-Textdatei festgehalten.
In diesem Artikel interessieren wir uns für die relevanten Einstellungen zu Office Online (Server). Diese Einstellungen verbergen sich in den Parametern mit dem Kürzel Wac.
# Auflistung der Wac-relevanten Parameter der OWA-Richtlinie Get-OwaMailboxPolicy 'Contoso-Restricted-OWA-Policy' | FL *wac* WacEditingEnabled : True WacViewingOnPublicComputersEnabled : True WacViewingOnPrivateComputersEnabled : True ForceWacViewingFirstOnPublicComputers : False ForceWacViewingFirstOnPrivateComputers : False WacExternalServicesEnabled : True WacOMEXEnabled : False
Die gewünschte Deaktivierung von Office Online erfolgt über die Parameter WacViewingOnPublicComputersEnabled und WacViewingOnPrivateComputersEnabled. Mit diesen beiden Parametern wird festgelegt, ob für den Anwender, dem diese Richtlinie zugewiesen ist, eine Anzeige des Anhanges in Office Online möglich ist oder nicht. Die Möglichkeit zur Anzeige wird für öffentliche und private Computer getrennt konfiguriert. Seit Exchange Server 2013 werden Zugriffe per OWA immer als Zugriffe von einem privaten Computer gewertet.
Die Bedeutung der Wac-relevanten und aller anderen Parameter ist auf der Hilfe-Seite des Cmdlets Set-OwaMailboxPolicy bestens beschrieben.
Nach der Erstellung muss die neue Richtlinie noch einzelnen oder allen Anwenderkonten zugewiesen werden.
# Zuweisung der neuen OWA-Richtlinie an ein einzelnes Anwenderkonto Get-CASMailbox AllanD | Set-CASMailbox -OwaMailboxPolicy 'OwaMailboxPolicy-Default' # Zuweisung der neuen OWA-Richtlinie an alle vorhanden Anwenderkonten Get-CASMailbox | Set-CASMailbox -OwaMailboxPolicy 'OwaMailboxPolicy-Default' # Optionale Konfiguration der neuen OWA-Richtlinie als Standardrichtlinie Set-OwaMailboxPolicy 'Contoso-Restricted-OWA-Policy' -IsDefault:$true
Nach der Zuweisung der neuen OWA-Postfachrichtlinie wird die Möglichkeit zur Vorschau eines Dateianhanges nicht mehr angezeigt.
Wenn Sie die neu erstellte OWA-Postfachrichlinie Anwendern zuweisen, die zu diesem Zeitpunkt in OWA angemeldet sind, so haben die neuen Einstellungen noch keine Wirksamkeit. Die Einstellungen der neu zugewiesenen Richtlinie werden erst nach einer Ab- und Anmeldung an OWA wirksam.
Auf den ersten Blick erscheint die Deaktivierung der Office Online Lizenz im Rahmen eines Office 365-Lizenzplanes auch eine Möglichkeit zu sein, um die Nutzung von Office Online zu verhindern.
Sie deaktivieren die Office Online Lizenz direkt in der Lizenzzuweisung eines Anwenders im Microsoft 365 Admin Center oder über die gruppengesteuerte Lizenzzuweisung in Azure AD.
Aber führt diese Anpassung der Lizenzzuweisung zum gewünschten Ergebnis? Nein, leider nicht.
Die Deaktivierung der Lizenzzuweisung von Office Online hat keine Auswirkungen auf
Damit scheidet die Option zur Zugriffssteuerung von Office Online über die Lizenzzuweisung für einen Anwender aus.
Wie bei vielen anderen Richtlinien von Exchange Online und Exchange Server existiert nach der ersten Einrichtung des Office 365 Tenants bzw. der Exchange Organisation eine Standardrichtlinie zur Konfiguration der Outlook on the Web (OWA) Einstellungen für alle Anwender. Da der Zugriff auf OWA ebenfalls standardmäßig für alle Anwender aktiviert ist, müssen Sie sich mit der Konfiguration der Standardrichtlinie auseinandersetzen.
Verschaffen Sie sich einen schnellen Überblick über all die Zusatzfunktionen, die im Rahmen einer OWA-Richtlinie gesteuert (*enabled) werden.
# Beispielhafte Abfrage der Parameter einer OWA-Richtlinie, die eine Zusatzfunktion steuern Get-OwaMailboxPolicy 'OwaMailboxPolicy-Default' | FL *enabled*
Diese Abfrage liefert Ihnen eine Grobüberischt der vorhandenen Einstellungen und deren Standardkonfigurationen. Überprüfen Sie alle Einstellungen für OWA-Postfachrichtlinien, ob sie den Compliance-Anforderungen Ihres Unternehmens entsprechen. Sie finden dieser EInstellunge in der Dokumentation für das Cmdlet Set-OwaMailboxPolicy.
Denken Sie beim Thema Office Online auch daran, dass Office Online auch Dokumente öffnen kann, die bei externen Speicheranbietern liegen. Die Nutzung von externen Speicheranbietern, aus Sicht von Office 365, kann im Microsoft 365 Admin Center ausgeschaltet werden.
Wählen Sie im Menüpunkt Einstellungen > Dienste und Add-Ins den Punkt Office Online aus.
Setzen Sie den Schieberegler für die Konfiguration Personen die Verwendung von gehosteten Speicherdiensten von Drittanbietern gestatten aus Aus und speichern Sie die Einstellung.
Viel Spaß mit Microsoft 365 und Exchange Server!
Mit der Veröffentlichung der Exchange Server 2019 Preview wurde auch bekannt, dass Exchange Server 2019 keine Unified Messaging Rolle (UM) mehr enthalten wird. Die UM-Rolle wurde zum ersten Mal in Exchange Server 2007 eingeführt und bot unterschiedliche Funktionen zur Sprachsteuerung eines Exchange-Postfaches. Auch wenn die Informationen von Microsoft zum Thema Unified Messaging das Wort Fax enthalten, so bietet die UM-Rolle keinen nativen Fax-Empfang.
Bis inklusive Exchange Server 2016 steht die UM-Rolle zur Verfügung und bietet u.a. folgende Funktionen:
Nutzen Sie in Ihrer Exchange Organisation gegenwärtig Unified Messaging-Funktionen und planen den Wechsel zu Exchange Server 2019? In diesem Fall müssen Sie sich Gedanken darüber machen, mit welcher Technologie Sie Voicemail-Funktionen in Zukunft bereitstellen möchten.
Das Angebot von Microsoft ist die Migration zu Cloud Voicemail, als Bestandteil von Office 365. Dieser Wechsel bringt Ihnen zwar auch alle weiteren Vorteile von Office 365, ist aber, aus unterschiedlichen Gründen, nicht für alle Unternehmen eine gangbare Lösung. Die Nutzung der UM-Funktionen von Exchange Server 2016 ist natürlich weiterhin möglich. jedoch müssen Sie daran denken, dass der Mainstrem-Support von Exchange Server 2016 am 13. Oktober 2020 endet. Unterm Strich schieben Sie die Notwendigkeit, eine andere Voicemail-Lösung zu etablieren, nur in die Zukunft.
Das nächste Problem ist, dass auch die direkte Anbindung von Voice-Kommunikation an Exchange Online über Session Border Controller (SBC) durch Microsoft abgekündigt wurde. Das bedeutet, dass lokal installierte IP-Telefonanlagen von anderen Herstellern, keinen Zugriff auf Cloud Voicemail haben werden. Die Nutzung von Cloud Voicemail erfordert zwingend den Betrieb von Skype for Business als On-Premises Telefonanlage. Der Termin für Support-Ende für die SBC-Unterstützung ist der 30. April 2019.
Die folgende Tabelle (Quelle: Jeff Guillet) verdeutlicht Ihre Optionen für die Voicemail-Nutzung mit Skype for Business und Exchange Server.
*EV = Enterprise Voice
Es sei auch nicht verschwiegen, dass die Nutzung der Cloud Voicemail-Funktionen bestimmte Anforderungen an die zugewiesenen Office 365 Lizenzen hat. Sie haben folgende Möglichkeiten zur Endbenutzer-Lizensierung für Cloud Voicemail.
Diese Lizenzanforderungen gehen natürlich mit höhren Kosten für Office 365 Dienste einher.
Wie Sie sehen, gibt es mehrere Randbedingungen, die bei einem Wechsel der Voicemail-Funktionen zu berücksichtigen sind. Meine Empfehlung ist, frühzeitig mit der Planung der Voicemail-Migration zu starten.
Weiterhin viel Spaß mit Exchange Server.
Es gibt zahlreiche Gründe, warum externe Dienstanbieter E-Mails unter Verwendung einer E-Mail Dömane eines Kunden senden. Beispielhafte Anwednungsfälle sind z.B.
Die Nutzung einer E-Mail Domäne, die ein Unternehmen bereits in Verwendung hat, birgt Riskien. Bei der Nutzung durch einen Marketingdienstleister, der hauptsächlich an externe Empfänger sendet, treten die Probleme noch nicht so deutlich hervor. Werden jedoch Dienste in Anspruch genommen, die eine Zustellung von E-Mails an interne MItarbeiter notwendig machen, kommt es zu Problemen.
Eine der einfachsten Funktionen im Rahmen des E-Mail Grundschutzes ist die Abweisung von E-Mails, die eine eigene Domäne (Accepted oder Owned Domain) als Absender nutzen.
Das nachfolgende Schaubild verdeutlicht die Situation.
Das Unternehmen nutzt die E-Mail Domäne varunagroup.de als primäre E-Mail Domäne. Der Dienstanbieter nutzt die Adresse news@varunagroup.de als Absender. E-Mails an externe Empfänger können meist problemlos zugestellt werden, solange der SPF Eintrag des Dienstanbieters in der externen DNS Zone varunagroup.de eingetragen ist. Die E-Mail Sicherheitslösung am Gateway verweigert die Annahme von E-Mails, da nur interne Systeme unter der Domäne varunagroup.de senden dürfen.
Am E-Mail Gateway können natürlich Ausnahmen konfiguriert werden. Diese sind aber von Natur aus wartungs- und fehleranfällig.
Das Problem kann durch Nutzung von Subdomänen einfach und elegant gelöst werden.
Anstatt der Domäne varunagroup.de werden E-Mails von externen Dienstanbietern unter der Subdomäne email.varunagroup.de gesendet. In der zur DNS-Zone der Subdomäne werden der zugehörige SPF Eintrag und alle erforderlichen DKIM Einträge verwaltet.
Das nachfolgende Schaubild verdeutlicht den Unterschied zum ersten Schaubild.
Das Unternehmen nutzt weiterhin die Domäne varunagroup.de als primäre E-Mail Domäne. Für externe Dienstanbieter wurde nun aber die Subdomäne email.varunagroup.de eingerichtet. Somit versendet der Anbieter in diesem Beispiel E-Mail Nachrichten mit der Absenderadresse news@email.varunagroup.de. Für externe Empfänger ändert sich hierdurch nichts. Für das E-Mail Sicherheitsgateway des Unternehmens ändert sich aber alles. Die Absenderdomäne email.varunagroup.de ist ist eine vollwertige externe Domäne, die durch SPF und DKIM abgesichert wurde. Alle Nachrichten des Dienstanbieters werden angenommen und an interne Empfänger zugestellt.
Bei Bedarf kann für jeden externen Dienstanbieter eine separate Subdomäne konfiguriert werden. Dieses Vorgehen ist ein wenig aufwendiger, bietet jedoch ein verbesserte Kontrolle der DNS Konfiguration.
Die nachfolgende Präsentation verdeutlich die Optionen noch einmal.
Richten Sie für externe Dienstanbieter, die unter Ihrer E-Mail Domäne Nachrichten versenden sollen, immer Subdomänen ein. Für Unternehmen, die Office 365 und Exchange Online nutzen, ist die Empfehlung mit der beschriebenen Subdomänen-Konfiguration zu arbeiten. Ansonsten wird Exchange Online Portection (EOP) E-Mails von externen Dienstanbietern abweisen.
Anfang Juli wurde Version 11 der erfolgreichen Anti-Spam und E-Mail Verschlüsselungslösung NoSpamProxy veröffentlicht.
NoSpamProxy eignet sich sowohl für E-Mail Umgebungen, die sich rein On-Premises befinden, als auch für den Betrieb mit Office 365. Gerade hier zeigt sich der absolute Mehrwert durch den Einsatz der zentralen S/MIME Verschlüsselung oder des Portals zum einfachen und sicheren Austausches großer Dateien.
Ein schneller Blick auf die Unterschiede in der NoSpamProxy Verwaltungskonsole zeigt einen prägnaten neuen Menüpunkt.
Mit der neuen DKIM Funktion ist es ein Leichtes, DKIM Signaturen für die eigenen Domänen zu erstellen und diese im Regelwerk von NoSpamProxy anzuwenden. Mit Hilfe von DKIM wird sichergestellt, dass eine mit DKIM signierte Nachricht wirklich von der sendenden Domäne stammt. Ein empfangendes E-Mail System kann so die Echtheit des Absenders überprüfen.
In der Vergangenheit war die Einrichtung und Konfiguration von DKIM nicht trivial. In diesem Fall ist die Schlüsselerzeugung und die Bereitstellung des öffentlichen Schlüssels extrem einfach gehalten und beschränkt sich auf drei Schritte.
Schritt 1: Auswahl der gewünschten eigenen Domäne und Festlegung des DNS Names (Selector)
Nun wird in der Regel für ausgehende E-Mails die DKIM Signierung aktiviert. Mehr ist nicht mehr erforderlich, um eine zusätzliche E-Mail Sicherheitsfunktion zu aktivieren. Gerade beim Betrieb mehrerer E-Mail Gateways wird die Einfachheit der Konfiguration deutlich, da die DKIM Einrichtung nur einmal ausgeführt werden muss.
Ein weiteres neues Feature von NoSpamProxy ist die Möglichkeit, E-Mails mit einem zentral gesteuerten Disclaimer zu versehen. Neben dem Hinzufügen von rein rechtlichen Informationen, dem klassischen Disclaimer, können auch unternehmensweite E-Mail Signaturen mit Benutzerinformationen aus dem Active Directory hinzugefügt werden.
Die Verwaltung und Konfiguration erfolgt über eine eigene Weboberfläche, die für den Administrator bequem über die NoSpamProxy Verwaltungsoberfläche erreichbar ist.
Die Bereitstellung als Webseite ist besonders vorteilhaft für Unternehmen, in denen die Konfiguration und Pflege der E-Mail Signaturen einer Abteilung außerhalb der IT unterliegt. Für die Pflege der Disclaimer-Konfigurationen ist lediglich ein Browser und natürlich die erforderliche Berechtigung zur Verwaltung notwendig.
Die Funktion für zentrale Disclaimer in NoSpamProxy werden wir in einem separaten Blogartikel und einer Schritt-für-Schritt Anleitung beleuchten.
Version 11 von NoSpamProxy zeigt erneut, dass sichere E-Mail Kommunikation mit Software Made in Germany bequem und einfach zu realisieren ist. Es gibt keinen Grund, keine E-Mail Verschlüsselung und sichere E-Mail Übertragung einzusetzen.
Sie möchten die E-Mail Kommunikation Ihres Unternehmens sicherer machen? Sie möchten mehr über E-Mail Verschlüsselung erfahren? Wir helfen Ihnen gerne weiter, rufen Sie uns an 02433 9524780 oder senden Sie uns eine E-Mail an info@granikos.eu.
Wir selber begleiten das Produkt schon seit einigen Jahren und sind gerade vom Einsatz in Kombination mit Office 365 überzeugt.