Office 365 Tenant löschen

Wer Microsoft Office 365 nicht mehr nutzen möchte oder von DE-Cloud zu einer EU oder COM-Cloud wechselte, will unter umständen den alten Tenant auch gelöscht haben. Hier eine kleine Anleitung wie das recht zügig von Statten geht.

Zu Beginn sollte man sich Gedanken machen, ob man alle Daten wie Mails, SharePoint, OneDrive etc. sichern muss und entsprechend davon ein Backup erstellen. Hier habe ich mit Veeam Backup Office 365 recht gute Erfahrungen sammeln können.

Als gobaler Admin mit PowerShell am „richtigen (alten)“ Tenant anmelden

Install-Module -Name AzureAD 
Import-Module AzureAD
Connect-AzureAD

Install-Module -Name Connect-MsolService 
Import-Module -Name MSOnline
Connect-MsolService

Für DE-Cloud

Install-Module -Name AzureAD 
Import-Module -Name AzureAD
Connect-AzureAD -AzureEnvironment "AzureGermanyCloud"

Install-Module -Name MSOnline
Import-Module -Name MSOnline
Connect-MsolService -AzureEnvironment "AzureGermanyCloud"

Sollte AD-Connect/ ADSync konfiguriert worden sein, muss dies deaktiviert werden. Es kann bis zu 72h dauern, bis die User von LocalAD auf CloudOnly wechseln. Erkennbar am Symbol hinter dem User in der Spalte „Synchronisierung“. Die Wolke steht hierbei für CloudOnly und somit kann der User problemlos aus Office 365 heraus gelöscht werden.
```
# DirSync abschalten
Set-MsolDirSyncEnabled -EnableDirSync $false


# Status abfragen
(Get-MSOLCompanyInformation).DirectorySynchronizationEnabled
```
Benutzer bis auf sich selbst löschen. Beim Löschen wird eine Warnung angezeigt, dass man sich selbst nicht löschen kann. Alle anderen User werden aber gelöscht. Danach löscht man alle gelöschten User aus dem Papierkorb.

# Benutzer forciert loeschen
Get-MsolUser | Remove-MsolUser -Force

# Benutzer aus dem Papierkorb entfernen.
Get-MsolUser -ReturnDeletedUsers | Remove-MsolUser -RemoveFromRecycleBin -Force

Alle vorhandenen aktiven Lizenzen kündigen, so dass dies als Deaktiviert angezeigt werden.
Hat man Applikationen oder Subscriptions eingerichtet, dann müssen diese auch vom alten Tenant gelöscht werden.

$ObjIds = (Get-AzureADServicePrincipal).ObjectId
For ($i=0; $i -lt $ObjIds.Length; $i++){Remove-AzureADServicePrincipal -objectid $ObjIds[$i]}

#Listet alle eingerichtete Apps auf z.B. fürs Veeam-Backup
get-azureADApplication | fl

#Löscht eine App aus der Cloud
Remove-AzureADApplication -ObjectID "bc8406cd-14e4-4cef-b334-1ffa83ab6a94"

Nun muss man zum „Microsoft Azure“-Portal wechslen und dort unter „Azure Active Directory“ den Button „Mandanten löschen“ anklicken.Mit der Löschung der Daten wird der Tenant selbst noch nicht gelöscht. Der Name „<tenantname>.onmicrosoft.com“ wird erst dann freigegeben, wenn sich 180 Tage niemand mehr am Tenant anmeldet. Nach den oben beschrieben Schritten gibt es nur nochden einen „GlobalAdministrator“.
Sobald sich dieser Administrator auch nur anmeldet, wird derCounter auf 0 zurückgestellt und die 180 Tage starten von Vorn.

Dies wird ein Schutz sein, den Microsoft warum auch immer eingebaut hat.

Office 365 – Aktivieren von DKIM für Custom Domains

Aktivieren von DKIM

Wenn man unter Exchange Center -> Schutz -> DKIM für seine benutzerdefinierte Domain DKIM nicht aktivieren kann, weil der Button hierfür fehlt, dann hilft in der Regel ein kleiner Powershell-Befehl:
New-DkimSigningConfig -DomainName BeispielDomain -Enabled $true
Wenn bei der Ausführung dieses Befehls die beiden DKIM-DNS-Records schon korrekt existieren, ist DKIM für diese Domain anschließend aktiv. Ansonsten wird jetzt der zuvor fehlende “Aktivieren” Link angezeigt.

Dieser Link zeigt übrigens (wenn die DKIM-DNS-Records noch nicht korrekt existieren) nach Klick in einer warn-Meldung den erwarteten Inhalt der etwas komplexen Records an.

Office 365 – Cloud-Umzug von DE zu EU oder COM

Office 365 – Cloud-Umzug

Ein Cloudumzug ist mit entsprechenden Werkzeugen eigentlich kein Problem, aber kann sehr zeitintensiv sein. Ab einer bestimmten Userzahl kommt man strenggenommen nicht um kostenpflichtige Migrationstools drumherum.

Wenn ich etwas mehr Zeit habe, dann verfasse ich hierfür mal einen ausführlichen Bericht. Bis es soweit ist mache ich für den Umzug nur Stichpunkte.

Backups

Aus meiner Sicht kann man bei kleinerer Userzahl „Veeam Backup Office 365“ nutzen.

- in beiden Clouds muss eine App registriert werden, worüber letztlich die Veeam-Anwendung Backups von Postfächern, OneDrive, SharePoints etc. machen kann
- Postfächer können auch in andere Tenants zurück gesichert werden, dies half beim Überspeilen der alten Mails der User in die neuen Postfächer auf der neuen Cloud

Einstellungen

- neuen Tenant buchen und mit Testlizenzen den Tenant konfigurieren, Mailrules einrichten, DIK aktivieren etc.
- neue User mit entsprechender Lizenz anlegen oder bei Verwendung lokalem Domaincontroller „AD Connect“ nutzen.
- alle User-Postfächer auf die richtige Sprache und Zeitzone stellen (SharePoint-Befehl)
```
Get-Mailbox -ResultSize unlimited | ? {$_.RecipientTypeDetails -eq "UserMailbox"} | Set-MailboxRegionalConfiguration -Language "de-DE" -DateFormat "dd.MM.yyyy" -TimeFormat "HH:mm" -TimeZone "W. Europe Standard Time" -LocalizeDefaultFolderName
```
- Freigegebene Postfächer, Ressourcen- oder Gerätepostfächer erstellen und auch hier die korrekte Sprache einstellen (PowerShell)
- Die Spracheinstellung ist wichtig für die Rücksicherung der Postfächer, damit es keine Vermischung von „item“ und „Posteingang“ etc. kommt.
- im alten Tenant alle Bezüge zur abzulösenden Domain trennen.
  Aliases, App-Links, Gruppen-EMails etc.
  In der Regel umstellen auf seine *.xxx.onmicrosoft.de Adresse
- Domain aus Tenant ablösen
- Mailrule für das Ablehnen von Mails mit Ablehnungsrund „Wir ziehen um) erstellen
- DNS-Einstellungen von DE auf EU/COM ändern
- Backup vom alten Tenant durchführen
- Domain in neuem Tenant einbinden und diese als Standard definieren
- User-Stammname/ Login-Name auf [user]@dieneueDomain.de umstellen
- Backup in neuen Tenant wiederherstellen
- Kalenderberechtigungen per PowerShell wieder herstellen, wie es im alten Tenant war. Dies gilt ebenso für Stellvertretungen.
- im neuen Tenant benötigte SharePoint-Seiten neu nachbauen, eine Wiederherstellung inkl. Rechtevergabe geht hier nicht. Im Backup werden nur Daten gesichert.

Allgemeines Windows 10

Windows aktiviert ja/ nein?

Startet CMD und gebt folgenden Befehl ein:

SLMGR /xpr

Alternativ geht es über die Systemsteuerung:

Im Bereich „System“ oder über den Windows Explorer lässt sich der Status der Windows Aktivierung ablesen. Windows Explorer starten, mit der rechten Maustaste auf „Computer“ klicken und anschließend „Einstellungen“ wählen.

Windows 10 – install.esd zu install.wim konvertieren

install.esd zu install.wim konvertieren

Es gibt Situationen in dem man die install.wim benötigt, aber nunmehr in den neueren ISO-Images nur als install.esd zu finden ist. Daher konvertieren wir heute eine install.esd zu install.wim

Benötigt werden eine ISO von Windows 10, einen Win10-PC mit PowerShell.

- Image mounten und den Inhalt von source\x64 oder sources\x86 auf lokalen PC kopieren
- dism /Get-WimInfo /WimFile:C:\path\to\folder\sources\install.esd
- Es werden alle möglichen Images aus der esd angezeigt. Man merke sich die Indexzahl seines gewünschten Images.
- ```
dism /Export-Image /SourceImageFile:C:\path\to\folder\sources\install.esd /SourceIndex:5 /DestinationImageFile:C:\path\to\folder\sources\install.wim /Compress:Max /CheckIntegrity
```
- Fertig

Office 365 – Azur AD Sync/ Azure ADConnect

Azure AD Connect einrichten

Vorwort

Ich dachte erst AD Connect funktioniert nur, wenn man in seiner lokalen Domain auch einen echten Domainnamen verwendet, aber hier wurde ich damals seitens der Telekom wohl falsch informiert.

Heute nehme ich an (ohne es nochmal getestet zu haben), dass man auch eine lokale AD, die sich zum Beispiel test.local nennt, nach Office 365 synchronisieren kann. In diesem Fall sollten die User in der Cloud nur als Loginname und xxx.onmicrosoft.com enden.

Hat man bereits eine Domain in Office 365 hinterlegt, so kann man in der lokalen AD beim User unter „userPrincipalName“ die echte E-Mail-Adresse eingeben und der User wird dann auch mit dieser Einstellung in der Cloud aufgelistet.

Die Synchronisierung ist zeit gesteuert und erfolgt aus meiner Sicht nicht immer in einem festen Rhythmus. So kann eine lokale AD-Änderung einige Zeit benötigen, bis diese in der Cloud zu erkennen ist.

Anleitung

Azure AD Sync bzw . AD Connect ist hilfreich, wenn man eine eigene lokale Domain pflegt und die User von dort in Office 365 anlegen möchte.

Hierfür muss „AD Connect“ auf dem lokalen AD installiert und eingerichtet werden.

Bevor man damit beginnt, empfehle ich eine Gruppe namens „ADSyncOfficeUsers“ anzulegen und in diese Gruppe nur die User hinzuzufügen, welche mit Office 365 synchronisiert werden sollen.

Beim installieren von „AD Connect“ würde ich NIE die Express-Einstellungen verwenden! Wer das macht, synchronisiert seine ganze Lokale Domain mit allen Benutzern, Gruppen und Geräten nach Office 365 und das wäre mir zu viel.

Beim Einrichten muss man den Dialogen folgen und seine Domain (Verzeichnis) hinzufügen. Danach wählt man aus was synchronisiert werden soll, hier habe ich mich bewusst nur für „Users“ entschieden und im nächsten Schritt auch auf die oben angelegte neue Gruppe den Filter beschränkt. So werden nur die User mit Office 365 synchronisiert, welche auch in dieser Gruppe aufgeführt werden.

Beim Einstellen kann man festlegen wie sich Authentifiziert werden soll, hier habe ich nur die Kennworthash-Funktion aktiviert. Hierbei wird das Passwort des Users verschlüsselt an Office 365 übergeben. Meldet sich nun jemand an Office 365 an, dann wird nur der verschlüsselte Teil verglichen. Es erfolgt kein echtes Anmelden an die lokale Domain. Wer das möchte kann dies aber auch so einrichten, aber so muss ständig bei jeder Anmeldung die lokale Domain bzw. die Anmelde-Prozesse von extern erreichbar sein.

ACHTUNG:

Das Kennwort-/Gruppen-Rückschreiben funktioniert nur, wenn man die passende Azure P1 oder P2 Lizenz für jeden User wo das möglich sein soll hat.

Sobald das Setup erfolgreich zu Ende gebracht wurde, werden in Office 365 alle User aus der Gruppe „ADSyncOfficeUsers“ aufgelistet und haben das Kennwort aus der lokalen Domain. Man kann das Kennwort in Office 365 ändern, aber es wird immer wieder mit dem Kennwort aus der lokalen AD überschrieben.

Ordnet man lokale Gruppen zur neue Gruppe „ADSyncOfficeUsers“ hinzu, so werden auch diese Gruppen als „E-Mail aktivierte Sicherheitsgruppe“ in der Cloud angelegt. Die Gruppe kann aber nur über die lokale AD bearbeitet werden.

Nachdem die User in der Cloud angelegt wurden, weißt man diesen noch die passenden Lizenzen zu und der User kann mit Office 365 anfangen zu arbeiten.

Umfasst die zugewiesene Lizenz auch Exchange Online, so wird auch gleich ein E-Mail-Postfach eingerichtet.

Normalerweise soll man so erstellte Users in Office 365 nicht löschen können, aber irgendwie klappte das bei mir dennoch.

Richtig wäre wohl der Weg, den User aus der lokalen Gruppe „ADSyncOfficeUsers“ zu entfernen. Der User wird auf der Seite von Office 365 gelöscht und ist für 30 Tage dort noch zu finden. Den User kann man nun in Office 365 wiederherstellen und schon ist der User nur noch in der Cloud.

Verhalten

Synchronisiert man aus der lokalen AD die User zu Office 365, so werden bestimmte Merkmale dort übergeben und überschrieben. Werden diese Merkmale in Office 365 geändert, so können diese Merkmale beim nächsten Durchlauf durch die Einstellungen der lokalen AD überschreiben werden.

z.B. Ein User wird in der lokalen AD gesperrt -> in Office 365 wird dieser nun ebenso für den Login gesperrt. Ändert man dieses Einstellung in Office 365, so hält diese Einstellung nicht lange an und wird von der lokalen AD wieder als gesperrt Überschrieben.

Im Default wird der „userPrincipalName“ vom lokalen AD zur Cloud synchronisiert. Dieser Eintrag enthält in der Regel die E-Mail-Adresse zusammengesetzt aus dem User- und lokalen Domainnamen. Dieser Name wird, wenn diese Domain in Office 365 bereits hinzugefügt wurde, als Loginname für die Cloud verwendet. Existiert diese Domain aber nicht, so wird nur der Benutzername + des Tenant-Domainnamen xxx.onmicrosoft.com verwendet.

Erweiterte Einrichtungen

Da User-Eigenschaften über AD Connect aus der lokalen Domain stammen, kann man bestimmte Eigenschaften zum User in der Cloud nicht ändern. Man muss diese Änderungen in der lokalen Domain umsetzen und diese werden dann zur Cloud synchronisiert.

Aliases Einrichten

In lokaler Domain in den User-Eigenschaften über Attribut-Editor das Attribut „proxyAdresses“ aufrufen und durch „smpt:[zusätzlicherAliases]@meineDomain.de“ erweitern.

Office 365 – Das Erstellen von Gruppen für Mitglieder einschränken

Das Erstellen von Gruppen für Mitglieder einschränken

Mitunter kann es sinnvoll sein, dass wirklich nur der Admin des Tenantes oder nur bestimmte Benutzer neue Gruppen wie für Teams, Planer oder SharePoint einrichten dürfen.

Hierfür erstellt man eine Gruppe „Groups Creators“ und über ein kleines PowerShell-Script wird allen normalen Mitgliedern nun das GroupCreators-Recht entzogen und nur für die neu erstellte Gruppe und Globalen-Admins erlaubt.

Wer das testen möchte, kann sich danach mit einem normalen Benutzer anmelden und wird unter „Planer“ diesen Hinweis sehen:

Quelle:

https://docs.microsoft.com/de-de/microsoft-365/solutions/manage-creation-of-groups?view=o365-worldwide

Office 365 – Einrichten – Teams

Leider können wir Sie nicht anmelden.

AADSTS7000112: Application ‚5e3ce6c0-xxxx-xxxx-8d4b-75ee78xxxx'(Microsoft Teams Web Client) is disabled.

Lösung:

Die Teams Web Client Anmeldung ist vermutlich deaktiviert.

Über das Microsoft 365 Admin Center navigiert man zu Azure Active Directory und dort zu Unternehmensanwendungen.

Nun Filtert man die Anwendungen nach „Microsoft-Anwendungen“ und dem Status „Deaktiviert“. In der Liste sollte nun „Microsoft Teams Web Client“ erscheinen. Darauf klicken und folgende Einstellungen vornehmen:

Unter Verwalten -> Eigenschaften -> „Aktiviert für die Benutzeranmeldung“ auf „JA“ stellen und das ganze Speichern.

Danach klappt auch die Anmeldung

Office 365 – Einrichten (nur für Admins)

Hier entsteht erstmal nur ein grober Leitfaden zur Einrichtung.

- mit globalen Admin-Konto (*.onmicrosoft.com) anmelden
- eine vorhandene Domain einrichten/ Hinzufügen, über dessen dann z.B. Mails versendet werden können. Theoretisch kann man aber auch die Domain-Adresse seines Tenants zum Mailen nutzen, aber wer auf Coperate Identity wert legt, nutzt seine eigene Domain.
- Self-Service-Passwort-Reset einrichten und neue Benutzer auffordern sich dafür zu registrieren.
  Einrichtung erfolgt über „Azure Active Directory Admin Center“
  Die Code-Eingaben zur Verifizierung müssen recht schnell erfolgen, da sonst der Code abläuft und der Prozess wiederholt werden muss.
  In jedem Fall sollte dies für den Admin eingerichtet werden.
  Ich empfehle eine Sicherheitsgruppe „SSPR-Group“ anzulegen und alle die dann in dieser Gruppe sind, müssen sich für diesen Service Zwangs-registrieren, sobald Sie sich das erste mal anmelden wollen.
  SSPR macht nur Sinn, wenn man die Benutzerpflege direkt am Tenat durchführt. Nutzt man AD Connect zum synchronisieren seiner lokalen Domain-User und hat keinen passenden Azure AD Premium P1 oder P2 Plan, dann funktioniert das mit den SSPR nicht.
- Zwei-Faktoren-Authentifizierung einrichten z.B. mit Handynummer oder Authenticator-App.
  Kann sein dass es erst später einzurichten geht, wenn Benutzer angelegt wurden.
  https://docs.microsoft.com/de-de/microsoft-365/admin/security-and-compliance/set-up-multi-factor-authentication?view=o365-worldwide
- Unter „Office 365 Security & Compliance“ Sicherheits-, Aufbewahrungsregeln für das Mailing etc festlegen.
  „Bedrohungsmanagement“ -> DKIM,
- Bei Bedarf Azur AD Sync einrichten. Hierbei werden die Benutzer und Passwörter aus einer vorhandenen lokalen Domain synchronisiert. Auf Server-Seite müssen entsprechende Ports und Programme installiert werden, damit die Kommunikation mit der Cloud funktionieren kann.
  Alternativ kann man auch eigene Benutzer getrennt von der Domain anlegen und Verwalten. Aber ein späterer Wechsel zu Azur AD Sync ist schwierig bis nicht möglich.
  Wichtig: Wenn Mailpostfächer aus alten Exchange-Servern migriert werden müssen, dürfen für die zu migrierenden Benutzer/ Postfächer noch keine Benutzerkonten angelegt sein!
- Das Erstellen von Gruppen für alle Mitglieder einschränken
  https://docs.microsoft.com/de-de/microsoft-365/solutions/manage-creation-of-groups?view=o365-worldwide
- Wenn alle Benutzer angelegt oder aus der lokalen AD synchronisiert worden sind, dann kann die Sprache und Zeitzone der User via PowerShell zentral eingerichtet werde. Macht man dies nicht und loggt sich der User nicht/ nie in OWA ein, so werden in Outlook die Ordner mit englischer Bezeichnung (Inbox, Trash etc.) angezeigt. Dies kann zu Problemen führen, wenn man aus alten Beständen Mails in Outlook importieren muss.

$cred = Get-Credential

$session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential

$cred -Authentication Basic -AllowRedirection Import-PSSession $session

Get-Mailbox -ResultSize unlimited | ? {$_.RecipientTypeDetails -eq "UserMailbox"} | Get-MailboxRegionalConfiguration

Get-Mailbox -ResultSize unlimited | ? {$_.RecipientTypeDetails -eq "UserMailbox"} | Set-MailboxRegionalConfiguration -Language "de-DE" -DateFormat "dd.MM.yyyy" -TimeFormat "HH:mm" -TimeZone "W. Europe Standard Time" -LocalizeDefaultFolderName

- dfsadfsdaaf

Einstellungs-App über CommandLine öffnen

Windows Version

Windows 10, Windows Server 2016, Windows Server 2019

Befehle mit Win+R

Win+R öffnet das „Ausführen“-Fenster und in diesem können gezielte Befehle eingesetzt werden.

Einstellungs-App

ms-settings:start
ms-settings:network
ms-settings:windowsupdate

Explorer

control /name Microsoft.FolderOptions

Befehle über CommandLine

Öffnet die cmd.exe und gebt dort die Befehle ein.

ipconfig
ipconfig /flushdns