Im Office-365-Verwaltungsportal finden Sie die eine oder andere Einstellung, mit der Sie die Sicherheit bei der Nutzung erhöhen können. Interessant sind hier zum Beispiel die Diensteinstellungen, die Sie über die Startseite des Administratorbereiches öffnen.
Wichtig sind zunächst die Einstellungen im Bereich E-Mail-Kalender und Kontakte. Hier legen Sie mit Kalenderveröffentlichung zum Beispiel fest, ob Anwender im Unternehmen das Recht haben, ihre Kalender zu veröffentlichen. Über Kontaktsynchronisierung mit Facebook deaktivieren Sie die Funktion, dass Anwender ihre Kontakte aus Facebook importieren können. Die gleichen Einstellungen können Sie für LinkedIn festlegen.
Bei Mobiler Zugriff steuern Sie, ob Anwender mit Smartphones auf ihr Postfach zugreifen können. Mit dem Link Gerätesicherheitseinstellungen legen Sie fest, dass die Smartphones über bestimmte Sicherheitseinstellungen verfügen müssen.
Ein wichtiger Punkt im Bereich der Sicherheit in Office 365 ist die Verwaltung der Kennwörter, mit denen sich Ihre Anwender an den Office-365-Diensten anmelden. In den Diensteinstellungen steuern Sie über den Bereich Kennwörter auch die Kennwortablaufrichtlinie. Läuft der Zeitraum ab, den Sie hier festlegen, müssen Anwender automatisch ein neues Kennwort für Office 365 eingeben. Die Kennwörter einzelner Benutzer setzen Sie im Bereich Benutzer & Gruppen oder in der Verwaltungsoberfläche von Windows Azure Active Directory zurück.
Mobile Geräte in Office 365 zulassen und blockieren
Über den Bereich Outlook und durch einen Klick auf das Zahnradsymbol erreichen Sie die Optionen für den eigenen E-Mail-Zugang in Office 365. Klicken Sie auf Telefon, dann sehen Sie auf der rechten Seite alle Geräte, die sich mit Ihrem Postfach synchronisieren und den Zeitpunkt der letzten Synchronisierung.
Markieren Sie ein Gerät, haben Sie über die Symbolleiste verschiedene Einstellungsmöglichkeiten. Sie können über das Stiftsymbol genaue Daten zum Gerät anzeigen lassen. Mit einem Klick auf den Mülleimer können Sie das Gerät aus Office 365 löschen. Das Symbol daneben kann Geräte zurücksetzen. Sobald sich das Endgerät erneut mit Office 365 verbindet, wird es auf den Werkszustand zurückgesetzt und alle Firmendaten gelöscht.
Sinnvoll ist das, wenn ein Gerät verloren gegangen ist oder es gestohlen wurde. Natürlich haben Anwender parallel zu diesen Möglichkeiten auch die entsprechenden Funktionen des Smartphones zur Verfügung, um Endgeräte zurückzusetzen oder zu sperren.
Office 365 mit Zwei-Wege-Authentifizierung absichern
Mit Windows Azure Active Directory (WAAD) bietet Microsoft einen Cloud-Dienst an, mit dem Sie Anmeldungen an verschiedenen Cloud-Diensten in Windows Azure steuern können. Aber auch andere, externe Cloud-Dienste lassen sich mit WAAD an die Windows Azure-Autheentifizierung anbinden.
Eine weitere Möglichkeit von WAAD ist die Möglichkeit, Anmeldungen in Office 365 über Zwei-Wege-Authentifizierung abzusichern. Das ist für besonders schützenswerte Postfächer durchaus sinnvoll. Bei aktivierter Zwei-Wege-Authentifizierung müssen sich Anwender mit ihrem Kennwort an Office 365 anmelden und zusätzlich eine weitere Authentifizierung durchführen. Das kann die Eingabe einer PIN oder ein Telefonanruf durch den WAAD-Computer sein.
Um eine Zwei-Wege-Authentifizierung mit Office 365 einzurichten, melden Sie sich an Ihrem Windows-Azure-Konto an. Neben den anderen Windows-Azure-Diensten finden Sie im Azure-Verwaltungs-Portal auch Active Directory. Wenn Sie auf diesen Bereich klicken, können Sie eigene Domänen anlegen. Hier steuern Sie später auch die Verwaltung der Benutzerkonten, auch wenn diese mit Office 365 arbeitet.
Wollen Sie Office 365 mit Windows Azure Active Directory verbinden, geben Sie als Domäne in Windows Azure Active Directory die E-Mail-Domäne an, die Sie in Office 365 verwenden. Nach dem Einrichten können Sie Ihre Benutzer von Office 365 auch in der Verwaltungsoberfläche von Windows Azure Active Directory verwalten. Dazu gibt es neben dem zentralen Verwaltungsportal von Windows Azure und Office 365 auch das Verwaltungsportal speziell für Windows Azure Active Directory.
Ist Ihre Office-365-Domäne in Windows Azure Active Directory eingebunden, können Sie im Windows-Azure-Portal über den Link Active-AuthAnbieter andere Dienste an Windows Azure Active Directory anbinden. Dazu erstellen Sie über Neu einen neuen Active-Auth-Anbieter und wählen Ihr bereits erstelltes Windows Azure Active Directory mit der hinterlegten Office-365-Domäne aus.
Der nächste Schritt bei der Einrichtung der Zwei-Wege-Authentifizierung für Anwender besteht darin, die Funktion für bestehende oder neue Benutzerkonten zu aktivieren. Verwalten Sie in Windows Azure die Benutzerkonten, dann können Sie für neue Konten oder in den Eigenschaften bestehender Konten die Option Mehrstufige Authentifizierung erforderlich aktivieren. Ab jetzt können sich die Anwender nicht mehr nur mit Ihrem Kennwort anmelden, sondern müssen einen weiteren Weg zur Authentifizierung nutzen. Dazu blendet Office 365 künftig ein Informationsfenster ein und überlässt den Anwendern die Auswahl der Authentifizierung.
In den Einstellungen der Konten Ihrer Benutzer können Sie die Mehrwege-Authentifizierung deaktivieren oder den Benutzer auch ganz blockieren. Auch das Kennwort lässt sich an dieser Stelle zurücksetzen.
Benutzerkonten mit Z-Hire und Z-Term anlegen und löschen
Administratoren, die häufig Benutzerkonten erstellen und an Office365 anbinden müssen, können mit Zusatz-Tools oft weitaus besser und effizienter arbeiten als mit Bordmitteln oder der PowerShell. Wir zeigen Ihnen die kostenlosen Tools Z-Hire und Z-Term. Mit diesen Werkzeugen lassen sich schnell und einfach Benutzerkonten anlegen, verwalten und auch die Zusatzattribute verwalten, die Office 365 notwendig macht.
Z-Hire steht auf Microsoft TechNet zum Download bereit. Im Archiv von Z-Hire finden Sie auch das Tool Z-Term, mit dem Sie Benutzerkonten in Active Directory löschen und anpassen können. Z-Hire unterstützt Sie beim Anlegen von neuen Benutzerkonten in Active Directory und Office 365. Zusätzlich können Sie mit dem Tool auch Exchange-Konten anlegen, Benutzerkoten an Lync anbinden und auch Salesforce-Cloud-Konten anlegen und verwalten. Sie haben zudem die Möglichkeit, Vorlagen und auf deren Basis dann neue Benutzerkonten zu erstellen.
In den Vorlagen können Sie wiederkehrende Einstellungen speichern und so noch schneller Benutzerkonten anlegen. Um das Tool zu nutzen, muss der entsprechende Anwender oder Administrator Benutzerkonten, Exchange-Konten und, falls vorhanden, Lync-Konten anlegen dürfen.
Um Z-Hire zu nutzen, müssen Sie das Tool nicht installieren. Sie entpacken das Archiv und rufen die Startdatei auf. Seine Einstellungen speichert Z-Hire in der Datei Z-Hire.exe.config. Die Vorlagen sind in der Datei ZHi-reV5Settings.xml gespeichert.
Im Lieferumfang des Download-Archivs finden Sie auch Z-Term. Dieses starten Sie auf dem gleichen Weg wie Z-Hire. Mit Z-Term können Sie wiederum keine Benutzerkonten anlegen, aber Einstellungen ändern und Konten löschen oder deaktivieren.
Fehlersuche in Office 365 mit kostenlosem MOSDAL-Toolkit
Microsoft stellt eine Sammlung von Tools zur Verfügung, mit deren Hilfe Sie Verbindungsprobleme zu Microsoft-Cloud-Diensten analysieren können. Um Probleme bei der Verbindung mit Office 365 zu beheben, laden Sie MOSDAL herunter und installieren das Tool-Kit auf einem Computer.
Die Sammlung umfasst verschiedene Werkzeuge, um die Verbindung zu Office 365 zu analysieren und Fehler zu beheben. Auch verschiedene CMDlets und Tools aus der Befehlszeile nutzt das Tool, zum Beispiel netstat oder nslookup.
MOSDAL verwendet auch Befehle in der PowerShell, um die Anbindung der lokalen Server an Office 365 zu testen (Get-FederatedOrganizationIdentifier, Get-FederationTrust, Test-FederationTrustCertificate, Get-OrganizationRelationship, Get-MSOLDomain und Get-MSOLDomainVerificationDNS). Sie müssen diese CMDlets also nicht manuell zur Fehlersuche verwenden, sondern können einfach MOSDAL nutzen. Das ist auch dann sinnvoll, wenn Sie lokale Exchange-Organisationen mit Office 365 verbinden.
Voraussetzungen für den gemeinsamen Betrieb von Exchange und Office 365
Viele Unternehmen betreiben Office 365 parallel mit lokalen Exchange-Organisationen. Microsoft unterstützt Sie mit Assistenten und Anleitungen für die Migration und Koexistenz zu Office 365. Dazu hat Microsoft auch den Online-Assistenten Exchange Server Deployment Assistant für Exchange Server 2013 angepasst. Dieser hilft bei der Migration zu Exchange 2013, und beim Erstellen eines umfangreichen Plans zur Migration von lokalen Exchange-Servern zu Office 365.
Sie starten den Assistenten über seine Verknüpfung und beantworten die einzelnen Fragen zu Ihrer Infrastruktur und Ihren Vorstellungen zur Migration. Danach erhalten Sie Unterstützung von dem Tool und Anweisungen aus dem TechNet, die Ihnen bei der Migration zu Office 365 helfen.
Damit Sie Office 365 zusammen mit Exchange nutzen können, müssen Sie verschiedene Voraussetzungen erfüllen. Sie benötigen für die Hybridkonfiguration mindestens Exchange 2007, besser Exchange 2010/2013 im Unternehmen. Wollen Sie den Assistenten für die Hybridkonfiguration in Exchange 2013 nutzen, kann die Organisation auch noch Server mit Exchange 2007/2010 umfassen. In der Organisation müssen aber mindestens ein Postfachserver und ein Client-Zugriffs-Server mit Exchange 2013 im Einsatz sein. Setzen Sie nur Exchange 2003 ein, können Sie zwar Office 365 ebenfalls an Exchange anbinden, nicht aber den neuen Assistenten nutzen, um die Einrichtung abzuschließen.
In der neuen Exchange-Version hat Microsoft einige Verbesserungen integriert, um Office 365 besser mit Exchange zu betreiben. In Exchange 2010 SP2 bestand die Konfiguration der Hybridbereitstellung aus zwei Schritten und beinhaltete die Verwendung des Assistenten für Hybridkonfigurationen und anschließend seinen Einsatz zum Verwalten von Hybridbereitstellungen, um die Konfiguration abzuschließen.
In Exchange 2013 sind diese beiden Assistenten zu einem einzigen Assistenten für die Hybridkonfiguration zusammengefasst. Dieser erstellt das Active-Directory-Objekt HybridConfiguration und konfiguriert die Hybridbereitstellungseigenschaften und -dienste. Die Auswahl von Client-Zugriffs-Servern mit dem Assistenten für die Hybridkonfiguration ist nicht mehr notwendig.
Hybridkonfiguration vornehmen
Der E-Mail-Transport zwischen Exchange-Organisationen und Office 365 ist mit Exchange 2013 einfacher und sicherer zu konfigurieren, da keine statische IP-Adresse mehr erforderlich ist. Der Exchange-Online-Protection-Dienst in Office 365 ist der Endpunkt für Hybridtransportverbindungen mit dem Ursprung in der lokalen Organisation.
Anstelle von statischen IP-Adressen verwenden der Exchange-Online-Protection-Dienst und der Assistent für Hybridkonfigurationen das Zertifikat, das beide Organisationen für TLS (Transport Layer Security) nutzen. Um Office 365 mit einer lokalen Exchange-Organisation zu verbinden, gehen Sie folgendermaßen vor:
1. Navigieren Sie in der Exchange-Verwaltungskonsole zum Knoten Hybrid.
2. Klicken Sie im Knoten Hybrid auf Aktivieren, um den Assistenten für die Hybridkonfiguration zu starten. Melden Sie sich an Ihrer Office-365-Seite an.
3. Klicken Sie dann auf Weiter.
4. Wählen Sie über Hinzufügen die Verbunddomänen und die akzeptierten Domänen für die Konfiguration der Hybridbereitstellung aus.
5. Wählen Sie die Serverrolle aus, die Sie für den bidirektionalen E-Mail-Transport zwischen der lokalen Organisation und Office 365 konfigurieren wollen.
6. Wählen Sie das digitale Zertifikat aus, das für den sicheren E-Mail-Transport verwendet werden soll.
7. Geben Sie den externen FQDN für die lokalen Client-Zugriffs-Server ein. Office 365 verwendet diesen FQDN, um die Dienst-Connectors für den sicheren E-Mail-Transport zu konfigurieren.
8. Klicken Sie auf OK, um den Assistenten zu beenden.
Der Assistent erstellt zunächst das Objekt HybridConfiguration in Active Directory. Dieses Objekt speichert die Informationen zur Hybridkonfiguration für die Hybridbereitstellung. Sie müssen die Voraussetzungen für die Hybridbereitstellung erfüllen, um den Assistenten nutzen zu können. Der Assistent führt ein Protokoll, das Sie im Verzeichnis C:\Programme\Microsoft\Exchange Server\V15\Logging\Update-HybridConfiguration finden.
In der Exchange-Verwaltungs-Shell lassen Sie sich die Einstellungen mit Get-HybridConfiguration anzeigen. Verschieben Sie ein lokales Postfach zu Office 365, um zu testen, ob Postfachverschiebungen unterstützt werden. Navigieren Sie in der Exchange-Verwaltungskonsole zu Empfänger/Postfächer, um ein neues Remote-Postfach in Office 365 zu erstellen.
Die Übermittlung eingehender E-Mails wird vom MX-Eintrag Ihrer Domäne gesteuert. Der Assistent für die Hybridkonfiguration aktiviert bei jeder Ausführung standardmäßig automatisch alle Features der Hybridbereitstellung. Wenn Sie ein bestimmtes Feature der Hybridkonfiguration deaktivieren wollen, müssen Sie die Exchange-Verwaltungs-Shell und das Cmdlet Set-HybridConfiguration verwenden. Die folgenden Funktionen der Hybridkonfiguration werden standardmäßig vom Assistenten aktiviert:
• Freigabe von Frei/Gebucht-Informationen
• Nachrichtenverfolgung
• E-Mail-Online-Archivierung
• Umleitung für Outlook Web
• Nachrichtenübermittlung über das TLS-Protokoll (Transport Layer Security) zwischen der lokalen Organisation und Office 365
Der Assistent fügt der lokalen Organisation eine akzeptierte Domäne für die Hybridnachrichtenübermittlung und Anfragen der AutoErmittlung hinzu. Diese Domäne wird als sekundäre Proxydomäne zu allen Richtlinien für E-Mail-Adressen hinzugefügt. In der Standardeinstellung ist das die Domäne <Domäne>.mail.onmicrosoft.com. Sie können die akzeptierte Domäne anzeigen lassen, indem Sie den folgenden Befehl in der Shell verwenden:
Get-AcceptedDomain | fl DomainName, IsCoexistenceDomain
Im Assistenten müssen Sie ein Zertifikat auswählen, das von einer externen Zertifizierungsstelle stammt und mit dem sichere E-Mails zwischen lokalen und Exchange-Online-Organisationen authentifiziert gesendet werden.
Der Assistent überprüft, ob für die lokale Organisation eine vorhandene Verbundvertrauensstellung vorliegt. Falls nicht, erstellt der Assistent für die lokale Organisation eine Verbundvertrauensstellung. Der Assistent fügt alle ausgewählten Domänen hinzu. Durch die Konfiguration von neuen Sende- und Empfangs-Connectors in der Organisation und Office 365 können Sie auswählen, ob ausgehende E-Mails, die von Office 365 an das Internet zugestellt werden, direkt an externe E-Mail-Empfänger gesendet oder über die lokalen Exchange-Server in der Hybridbereitstellung geroutet werden sollen. (mje)