Top-Themen Office 365 sicher im Unternehmen betreiben... 2 Seite 1 von 19
Mobiler Zugriff, Authentifizierung, Hybridkonfiguration Office 365 sicher im Unternehmen betreiben von Thomas Joos Foto: Microsoft Seite 2 von 19
Inhalt Mobile Geräte in Office 365 zulassen und blockieren... 7 Office 365 mit Zwei-Wege-Authentifizierung absichern... 8 Benutzerkonten mit Z-Hire und Z-Term anlegen und löschen... 12 Fehlersuche in Office 365 mit kostenlosem MOSDAL-Toolkit... 15 Voraussetzungen für den gemeinsamen Betrieb von Exchange und Office 365... 16 Hybridkonfiguration vornehmen... 17 Seite 3 von 19
Mobiler Zugriff, Authentifizierung, Hybridkonfiguration Office 365 sicher im Unternehmen betreiben von Thomas Joos Den Zugriff der mobilen Geräte regulieren, die Synchronisation von Kontakten mit Facebook untersagen oder eine Zwei-Wege-Authentifizierung einrichten. Der folgende Praxisbeitrag widmet sich zahlreichen sicherheitsrelevanten Einstellungen unter Office 365. Im Office-365-Verwaltungsportal finden Sie die eine oder andere Einstellung, mit der Sie die Sicherheit bei der Nutzung erhöhen können. Interessant sind hier zum Beispiel die Diensteinstellungen, die Sie über die Startseite des Administratorbereiches öffnen. Wichtig sind zunächst die Einstellungen im Bereich E-Mail-Kalender und Kontakte. Hier legen Sie mit Kalenderveröffentlichung zum Beispiel fest, ob Anwender im Unternehmen das Recht haben, ihre Kalender zu veröffentlichen. Über Kontaktsynchronisierung mit Facebook deaktivieren Sie die Funktion, dass Anwender ihre Kontakte aus Facebook importieren können. Die gleichen Einstellungen können Sie für LinkedIn festlegen. Bei Mobiler Zugriff steuern Sie, ob Anwender mit Smartphones auf ihr Postfach zugreifen können. Mit dem Link Gerätesicherheitseinstellungen legen Sie fest, dass die Smartphones über bestimmte Sicherheitseinstellungen verfügen müssen. Seite 4 von 19
Sicherheit und Office 365 In den Diensteinstellungen von Office 365 schalten Sie unsichere Funktionen für Anwender ab. Seite 5 von 19
Sicherheit und Office 365 Office 365 ermöglicht die Konfiguration sicherer Endgeräte bei der Verbindung zwischen Smartphones und E-Mail-Postfach. Sicherheit und Office 365 In den Einstellungen für ein Postfach sehen Anwender die angebundenen Endgeräte. Seite 6 von 19
Sicherheit und Office 365 In Outlook Web App von Office 365 setzen Sie verloren gegangene Geräte zurück. Ein wichtiger Punkt im Bereich der Sicherheit in Office 365 1 ist die Verwaltung der Kennwörter, mit denen sich Ihre Anwender an den Office-365-Diensten anmelden. In den Diensteinstellungen steuern Sie über den Bereich Kennwörter auch die Kennwortablaufrichtlinie. Läuft der Zeitraum ab, den Sie hier festlegen, müssen Anwender automatisch ein neues Kennwort für Office 365 eingeben. Die Kennwörter einzelner Benutzer setzen Sie im Bereich Benutzer & Gruppen oder in der Verwaltungsoberfläche von Windows Azure Active Directory 2 zurück. Mobile Geräte in Office 365 zulassen und blockieren Über den Bereich Outlook und durch einen Klick auf das Zahnradsymbol erreichen Sie die Optionen für den eigenen E-Mail-Zugang in Office 365. Klicken Sie auf Telefon, dann sehen Sie auf der rechten Seite alle Geräte, die sich mit Ihrem Postfach synchronisieren und den Zeitpunkt der letzten Synchronisierung. Markieren Sie ein Gerät, haben Sie über die Symbolleiste verschiedene Einstellungsmöglichkeiten. Sie können über das Stiftsymbol genaue Daten zum Gerät anzeigen lassen. Mit einem Klick auf den Mülleimer können Sie das Gerät aus Office 365 löschen. Das Symbol daneben kann Geräte zurücksetzen. Sobald sich das Endgerät erneut mit Office 365 verbindet, wird es auf den Werkszustand zurückgesetzt und alle Firmendaten gelöscht. Sinnvoll ist das, wenn ein Gerät verloren gegangen ist oder es gestohlen wurde. Natürlich haben Anwender parallel zu diesen Möglichkeiten auch die entsprechenden Funktionen des Smartphones zur Verfügung, um Endgeräte zurückzusetzen oder zu sperren. 1 http://www.tecchannel.de/software/office-365/ 2 http://www.windowsazure.com/de-de/services/active-directory/ Seite 7 von 19
Office 365 mit Zwei-Wege-Authentifizierung absichern Mit Windows Azure Active Directory (WAAD) bietet Microsoft einen Cloud-Dienst an, mit dem Sie Anmeldungen an verschiedenen Cloud-Diensten in Windows Azure steuern können. Aber auch andere, externe Cloud-Dienste lassen sich mit WAAD an die Windows Azure-Autheentifizierung anbinden. Eine weitere Möglichkeit von WAAD ist die Möglichkeit, Anmeldungen in Office 365 über Zwei- Wege-Authentifizierung abzusichern. Das ist für besonders schützenswerte Postfächer durchaus sinnvoll. Bei aktivierter Zwei-Wege-Authentifizierung müssen sich Anwender mit ihrem Kennwort an Office 365 anmelden und zusätzlich eine weitere Authentifizierung durchführen. Das kann die Eingabe einer PIN oder ein Telefonanruf durch den WAAD-Computer sein. Um eine Zwei-Wege-Authentifizierung mit Office 365 einzurichten, melden Sie sich an Ihrem Windows-Azure-Konto an. Neben den anderen Windows-Azure-Diensten finden Sie im Azure-Verwaltungs-Portal auch Active Directory. Wenn Sie auf diesen Bereich klicken, können Sie eigene Domänen anlegen. Hier steuern Sie später auch die Verwaltung der Benutzerkonten, auch wenn diese mit Office 365 arbeitet. Seite 8 von 19
2-Wege-Authentifizierung In der Weboberfläche von Windows Azure verwalten Sie Ihre Domäne für Active Directory. Seite 9 von 19
2-Wege-Authentifizierung Die Zwei-Wege-Authentifizierung in Office 365 können Anwender selbst einrichten. Seite 10 von 19
2-Wege-Authentifizierung In der Weboberfläche von Windows Azure Active Directory Authentication passen Sie den Dienst an Ihre Bedürfnisse an. Wollen Sie Office 365 mit Windows Azure Active Directory verbinden, geben Sie als Domäne in Windows Azure Active Directory die E-Mail-Domäne an, die Sie in Office 365 verwenden. Nach dem Einrichten können Sie Ihre Benutzer von Office 365 auch in der Verwaltungsoberfläche von Windows Azure Active Directory verwalten. Dazu gibt es neben dem zentralen Verwaltungsportal von Windows Azure 3 und Office 365 4 auch das Verwaltungsportal speziell für Windows Azure Active Directory 5. Ist Ihre Office-365-Domäne in Windows Azure Active Directory eingebunden, können Sie im Windows-Azure-Portal über den Link Active-AuthAnbieter andere Dienste an Windows Azure Active Directory anbinden. Dazu erstellen Sie über Neu einen neuen Active-Auth-Anbieter und wählen Ihr bereits erstelltes Windows Azure Active Directory mit der hinterlegten Office-365-Domäne aus. Der nächste Schritt bei der Einrichtung der Zwei-Wege-Authentifizierung für Anwender besteht darin, die Funktion für bestehende oder neue Benutzerkonten zu aktivieren. Verwalten Sie in Windows Azure die Benutzerkonten, dann können Sie für neue Konten oder in den Eigenschaften bestehender Konten die Option Mehrstufige Authentifizierung erforderlich aktivieren. Ab jetzt können 3 https://manage.windowsazure.com/ 4 https://portal.microsoftonline.com/ 5 https://activedirectory.windowsazure.com/ Seite 11 von 19
sich die Anwender nicht mehr nur mit Ihrem Kennwort anmelden, sondern müssen einen weiteren Weg zur Authentifizierung nutzen. Dazu blendet Office 365 künftig ein Informationsfenster ein und überlässt den Anwendern die Auswahl der Authentifizierung. In den Einstellungen der Konten Ihrer Benutzer können Sie die Mehrwege-Authentifizierung deaktivieren oder den Benutzer auch ganz blockieren. Auch das Kennwort lässt sich an dieser Stelle zurücksetzen. Benutzerkonten mit Z-Hire und Z-Term anlegen und löschen Administratoren, die häufig Benutzerkonten erstellen und an Office365 anbinden müssen, können mit Zusatz-Tools oft weitaus besser und effizienter arbeiten als mit Bordmitteln oder der Power- Shell. Wir zeigen Ihnen die kostenlosen Tools Z-Hire und Z-Term. Mit diesen Werkzeugen lassen sich schnell und einfach Benutzerkonten anlegen, verwalten und auch die Zusatzattribute verwalten, die Office 365 notwendig macht. Z-Hire steht auf Microsoft TechNet zum Download 6 bereit. Im Archiv von Z-Hire finden Sie auch das Tool Z-Term, mit dem Sie Benutzerkonten in Active Directory löschen und anpassen können. Z-Hire unterstützt Sie beim Anlegen von neuen Benutzerkonten in Active Directory und Office 365. Zusätzlich können Sie mit dem Tool auch Exchange-Konten anlegen, Benutzerkoten an Lync anbinden und auch Salesforce-Cloud-Konten anlegen und verwalten. Sie haben zudem die Möglichkeit, Vorlagen und auf deren Basis dann neue Benutzerkonten zu erstellen. 6 http://gallery.technet.microsoft.com/z-hire-employee-provisionin-e4854d6b Seite 12 von 19
Benutzerkonten Mit Z-Term legen Sie Benutzerkonten in Active Directory und Office 365 an. Seite 13 von 19
Benutzerkonten Ebenso verwalten Sie mit Z-Term verwalten Sie Benutzerkonten in Active Directory und Office 365. Seite 14 von 19
Fehlersuche Mit MOSDAL testen Sie die Verbindung zwischen Client und Server in Office 365 und spüren so auch Sicherheitslücken auf. In den Vorlagen können Sie wiederkehrende Einstellungen speichern und so noch schneller Benutzerkonten anlegen. Um das Tool zu nutzen, muss der entsprechende Anwender oder Administrator Benutzerkonten, Exchange-Konten und, falls vorhanden, Lync-Konten anlegen dürfen. Um Z-Hire zu nutzen, müssen Sie das Tool nicht installieren. Sie entpacken das Archiv und rufen die Startdatei auf. Seine Einstellungen speichert Z-Hire in der Datei Z-Hire.exe.config. Die Vorlagen sind in der Datei ZHi-reV5Settings.xml gespeichert. Im Lieferumfang des Download-Archivs finden Sie auch Z-Term. Dieses starten Sie auf dem gleichen Weg wie Z-Hire. Mit Z-Term können Sie wiederum keine Benutzerkonten anlegen, aber Einstellungen ändern und Konten löschen oder deaktivieren. Fehlersuche in Office 365 mit kostenlosem MOSDAL-Toolkit Microsoft stellt eine Sammlung von Tools zur Verfügung, mit deren Hilfe Sie Verbindungsprobleme zu Microsoft-Cloud-Diensten analysieren können. Um Probleme bei der Verbindung mit Office 365 zu beheben, laden Sie MOSDAL 7 herunter und installieren das Tool-Kit auf einem Computer. 7 http://www.microsoft.com/de-de/download/details.aspx?id=626 Seite 15 von 19
Die Sammlung umfasst verschiedene Werkzeuge, um die Verbindung zu Office 365 zu analysieren und Fehler zu beheben. Auch verschiedene CMDlets und Tools aus der Befehlszeile nutzt das Tool, zum Beispiel netstat oder nslookup. MOSDAL verwendet auch Befehle in der PowerShell, um die Anbindung der lokalen Server an Office 365 zu testen (Get-FederatedOrganizationIdentifier, Get-FederationTrust, Test-Federation- TrustCertificate, Get-OrganizationRelationship, Get-MSOLDomain und Get-MSOLDomainVerificationDNS). Sie müssen diese CMDlets also nicht manuell zur Fehlersuche verwenden, sondern können einfach MOSDAL nutzen. Das ist auch dann sinnvoll, wenn Sie lokale Exchange-Organisationen mit Office 365 verbinden. Voraussetzungen für den gemeinsamen Betrieb von Exchange und Office 365 Viele Unternehmen betreiben Office 365 parallel mit lokalen Exchange-Organisationen. Microsoft unterstützt Sie mit Assistenten und Anleitungen für die Migration und Koexistenz zu Office 365. Dazu hat Microsoft auch den Online-Assistenten Exchange Server Deployment Assistant 8 für Exchange Server 2013 angepasst. Dieser hilft bei der Migration zu Exchange 2013, und beim Erstellen eines umfangreichen Plans zur Migration von lokalen Exchange-Servern zu Office 365. Sie starten den Assistenten über seine Verknüpfung und beantworten die einzelnen Fragen zu Ihrer Infrastruktur und Ihren Vorstellungen zur Migration. Danach erhalten Sie Unterstützung von dem Tool und Anweisungen aus dem TechNet, die Ihnen bei der Migration zu Office 365 helfen. Damit Sie Office 365 zusammen mit Exchange nutzen können, müssen Sie verschiedene Voraussetzungen erfüllen. Sie benötigen für die Hybridkonfiguration mindestens Exchange 2007, besser Exchange 2010/2013 im Unternehmen. Wollen Sie den Assistenten für die Hybridkonfiguration in Exchange 2013 nutzen, kann die Organisation auch noch Server mit Exchange 2007/2010 umfassen. In der Organisation müssen aber mindestens ein Postfachserver und ein Client-Zugriffs-Server mit Exchange 2013 im Einsatz sein. Setzen Sie nur Exchange 2003 ein, können Sie zwar Office 365 ebenfalls an Exchange anbinden, nicht aber den neuen Assistenten nutzen, um die Einrichtung abzuschließen. Unterstützung: Die Migration von Exchange zu Office 365 planen Sie mit dem Exchange-2013-Bereitstellungs- Assistenten. 8 http://technet.microsoft.com/de-de/exdeploy2013 Seite 16 von 19
In der neuen Exchange-Version hat Microsoft einige Verbesserungen integriert, um Office 365 besser mit Exchange zu betreiben. In Exchange 2010 SP2 bestand die Konfiguration der Hybridbereitstellung aus zwei Schritten und beinhaltete die Verwendung des Assistenten für Hybridkonfigurationen und anschließend seinen Einsatz zum Verwalten von Hybridbereitstellungen, um die Konfiguration abzuschließen. In Exchange 2013 sind diese beiden Assistenten zu einem einzigen Assistenten für die Hybridkonfiguration zusammengefasst. Dieser erstellt das Active-Directory-Objekt HybridConfiguration und konfiguriert die Hybridbereitstellungseigenschaften und -dienste. Die Auswahl von Client-Zugriffs- Servern mit dem Assistenten für die Hybridkonfiguration ist nicht mehr notwendig. Hybridkonfiguration vornehmen Der E-Mail-Transport zwischen Exchange-Organisationen und Office 365 ist mit Exchange 2013 einfacher und sicherer zu konfigurieren, da keine statische IP-Adresse mehr erforderlich ist. Der Exchange-Online-Protection-Dienst in Office 365 ist der Endpunkt für Hybridtransportverbindungen mit dem Ursprung in der lokalen Organisation. Anstelle von statischen IP-Adressen verwenden der Exchange-Online-Protection-Dienst und der Assistent für Hybridkonfigurationen das Zertifikat, das beide Organisationen für TLS (Transport Layer Security) nutzen. Um Office 365 mit einer lokalen Exchange-Organisation zu verbinden, gehen Sie folgendermaßen vor: 1. Navigieren Sie in der Exchange-Verwaltungskonsole zum Knoten Hybrid. 2. Klicken Sie im Knoten Hybrid auf Aktivieren, um den Assistenten für die Hybridkonfiguration zu starten. Melden Sie sich an Ihrer Office-365-Seite an. 3. Klicken Sie dann auf Weiter. 4. Wählen Sie über Hinzufügen die Verbunddomänen und die akzeptierten Domänen für die Konfiguration der Hybridbereitstellung aus. 5. Wählen Sie die Serverrolle aus, die Sie für den bidirektionalen E-Mail-Transport zwischen der lokalen Organisation und Office 365 konfigurieren wollen. 6. Wählen Sie das digitale Zertifikat aus, das für den sicheren E-Mail-Transport verwendet werden soll. 7. Geben Sie den externen FQDN für die lokalen Client-Zugriffs-Server ein. Office 365 verwendet diesen FQDN, um die Dienst-Connectors für den sicheren E-Mail-Transport zu konfigurieren. 8. Klicken Sie auf OK, um den Assistenten zu beenden. Seite 17 von 19
Der Assistent erstellt zunächst das Objekt HybridConfiguration in Active Directory. Dieses Objekt speichert die Informationen zur Hybridkonfiguration für die Hybridbereitstellung. Sie müssen die Voraussetzungen für die Hybridbereitstellung erfüllen, um den Assistenten nutzen zu können. Der Assistent führt ein Protokoll, das Sie im Verzeichnis C:\Programme\Microsoft\Exchange Server \V15\Logging\Update-HybridConfiguration finden. In der Exchange-Verwaltungs-Shell lassen Sie sich die Einstellungen mit Get-HybridConfiguration anzeigen. Verschieben Sie ein lokales Postfach zu Office 365, um zu testen, ob Postfachverschiebungen unterstützt werden. Navigieren Sie in der Exchange-Verwaltungskonsole zu Empfänger/ Postfächer, um ein neues Remote-Postfach in Office 365 zu erstellen. Die Übermittlung eingehender E-Mails wird vom MX-Eintrag Ihrer Domäne gesteuert. Der Assistent für die Hybridkonfiguration aktiviert bei jeder Ausführung standardmäßig automatisch alle Features der Hybridbereitstellung. Wenn Sie ein bestimmtes Feature der Hybridkonfiguration deaktivieren wollen, müssen Sie die Exchange-Verwaltungs-Shell und das Cmdlet Set-HybridConfiguration verwenden. Die folgenden Funktionen der Hybridkonfiguration werden standardmäßig vom Assistenten aktiviert: Freigabe von Frei/Gebucht-Informationen Nachrichtenverfolgung E-Mail-Online-Archivierung Umleitung für Outlook Web Nachrichtenübermittlung über das TLS-Protokoll (Transport Layer Security) zwischen der lokalen Organisation und Office 365 Der Assistent fügt der lokalen Organisation eine akzeptierte Domäne für die Hybridnachrichtenübermittlung und Anfragen der AutoErmittlung hinzu. Diese Domäne wird als sekundäre Proxydomäne zu allen Richtlinien für E-Mail-Adressen hinzugefügt. In der Standardeinstellung ist das die Domäne <Domäne>.mail.onmicrosoft.com. Sie können die akzeptierte Domäne anzeigen lassen, indem Sie den folgenden Befehl in der Shell verwenden: Get-AcceptedDomain fl DomainName, IsCoexistenceDomain Im Assistenten müssen Sie ein Zertifikat auswählen, das von einer externen Zertifizierungsstelle stammt und mit dem sichere E-Mails zwischen lokalen und Exchange-Online-Organisationen authentifiziert gesendet werden. Der Assistent überprüft, ob für die lokale Organisation eine vorhandene Verbundvertrauensstellung vorliegt. Falls nicht, erstellt der Assistent für die lokale Organisation eine Verbundvertrauensstellung. Der Assistent fügt alle ausgewählten Domänen hinzu. Durch die Konfiguration von neuen Sende- und Empfangs-Connectors in der Organisation und Office 365 können Sie auswählen, ob ausgehende E-Mails, die von Office 365 an das Internet zugestellt werden, direkt an externe E- Mail-Empfänger gesendet oder über die lokalen Exchange-Server in der Hybridbereitstellung geroutet werden sollen. (mje) Seite 18 von 19
28.11.2013 http://www.tecchannel.de/software/office/2049125/office_365_sicher_im_unternehmen_betreiben/ IDG Business Media GmbH Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Business Media GmbH. DPA-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass in TecChannel unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktionübernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von TecChannel aus gelinkt wird,übernimmt die IDG Business Media GmbH keine Verantwortung. http://www.tecchannel.de Seite 19 von 19