Wer sich für Office 365 und deren vielen Funktionen entschieden hat, der hat sicher festgestellt, dass es bis vor einer bestimmten Zeit man zwischen drei verschiedenen Cloud-Speicher/ Cloud-Regeln entscheiden konnte (DE, EU, COM). Ich habe das Pech oder auch Glück ;-), dass man sich bei mir auf Arbeit für die DE-Cloud entschieden hat. Nebenher habe ich aber auch das Privileg als Developer eine COM-Cloud als Entwickler zu testen. Maßgeblich sollte nur der Speicherort der Cloud-Daten hier den unterschied machen, aber später kam dann doch noch mehr zum Tragen.
Es stellten sich nach und nach schnell mehr Nachteile als Vorteile aus meiner Sicht heraus. In der DE-Cloud greift auch die neue DSGVO und macht das Arbeiten und Verwalten mit Office 365 unnötig schwierig. Entweder bestimmte Apps wie Teams oder Outlook-Handy-App funktionieren einfach nicht und geben wilde Fehler aus oder aber bestimmte Sicherheitseinstellungen die man einstellt greifen schlicht weg nicht ohne das man einen Hinweis auf die Einschränkung durch DE-Cloud erhält.
Ebenso schwierig ist das zusammen Spiel von Benutzern/ Unternehmen die unterschiedlichen Clouds angehören bzw. verwenden. Ein Unternehmen mit DE-Cloud kann nicht uneingeschränkt mit einem Unternehmen aus der COM-Cloud arbeiten. Auch hier sind Fehlermeldungen entweder nicht vorhanden oder führen einen in die Irre.
Es gibt eine Liste mit DE-Einschränkungen, aber ich meine, dass diese nicht voll umfänglich ist und man weiter nur experimentieren kann. https://docs.microsoft.com/de-de/office365/servicedescriptions/office-365-platform-service-description/office-365-germany
In diesem Beitrag möchte ich über persönlich festgestellte Einschränkungen und Feststellungen schreiben, so dass andere sich eventuelle Suchzeiten und Problemlösungen ersparen.
Admin Center
Exchange Admin
Nachrichtenfluss / Regeln
Generell sollte man Mails mit bestimmten Anhängen in irgend einer Form behandeln. Hier wäre das Blockieren bestimmt die Beste Lösung, aber das funktioniert bei einer DE-Cloud nicht, sicher weil es dem Admin nicht erlaubt sein sein über das Recht des eigentlichen Empfängers zu entscheiden. So kann man z.B. Mails mit bestimmten anhängen wie „hta, exe, vbs“ nicht blockieren, nicht umleiten, nicht auf Genehmigung durch anderen Mitarbeiter umstellen und auch nicht TLS anfordern. All diese Sachen funktionieren Problemlos in der COM-Cloud, aber in der DE-Cloud wird bei Verwendung einer durch DSGVO eingeschränkten Regel alles außer Karft gesetzt und die Mail geht ohne weitere Behandlung zum eigentlichen Empfänger. Selbst wenn in der Regel erlaubte Regeln mit enthalten sind, werden diese keine Anwendung mehr finden.
Was funktioniert und was ich wenigstens anwende ist, dass ich der Betreffzeile einen kleinen Achtung-Text voranstelle [Achtung, Anhang prüfen] oder zu der eigentlichen Mail eine separate Mail mit hinterher sende, in der man deutlich mehr Text für Anweisungen unterbringen kann.
https://support.office.com/de-de/article/dateiformate-die-mit-visual-basic-funktionieren-69afddfd-4479-4466-9f37-3f4046b5e107
Exchange Admin PowerShell
Verbindung zum Exchange via PowerShell aufbauen, wobei hierzu die Installation des Modules „Microsoft Exchange Online PowerShell Module“ Voraussetzung ist.
$UserCredential = Get-Credential $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office.de/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection (COM -> $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection ) Import-PSSession $Session -DisableNameChecking … arbeiten und am Ende wird empfohlen die Session zu schleißen … Remove-PSSession $Session
OME einrichten und nutzen
Einrichten neuer Office 365-Nachrichtenverschlüsselungsfunktionen
Der entsprechende Schutzdienst ist bereits aktiviert, wenn Ihr Abonnement Azure Rights Management oder Azure Information Protection einschließt und Ende Februar 2018 oder danach erworben wurde und AutomaticServiceUpdateEnabled auf true steht. Ist das nicht der Fall, so muss man den Schutzdienst manuell aktivieren!
Prüfen kann man dies mit PowerShell (siehe Verbinden mit Exchange per PowerShell). Mit Get holt man sich die Info und mit Set stellt man die entsprechende Funktion ein oder aus.
Get-IRMConfiguration Set-IRMConfiguration -AutomaticServiceUpdateEnabled $true
Azure Active Directory
Users
In der DE-Cloud ist es nicht möglich Gäste ohne deren Einwilligung hinzuzufügen. Die Einladung hierzu geht auch nicht hier bei „Users“ und muss bzw. über SharePoint erfolgen! Hat man einen Gast (externen User) z.B. zu einer SharePoint-Gruppe / SharePoint-Webseite hinzugefügt bzw. eingeladen, so erhält dieser eine Einladung an dessen Mail-Adresse. Im besten Fall sollte der Eingeladenen auf dieser Mail-Adresse einen Microsoft-Account registriert haben und in der Mail die Einladung annehmen. Erst wenn dies erledigt ist, sieht ein Admin unter „Users“ den Gast und kann diesen auch weiteren neuen SharePoint-Webseiten zu ordnen. In der COM-Cloud kann man direkt unter „Users“ einen Gast hinzufügen und diesem eine Einladung zukommen lassen. In jedem Fall sieht aber ein Admin den Status zu seinen Gästen, ob diese noch als eingeladen zählen oder ob Sie die Einladung angenommen haben.
Das schöne daran, wenn ein eingeladener bereits über ein Microsoft-Account verfügt ist, dass man als Admin sich keine Gedanken um dessen Passwörter machen muss. Soll ein Gast keinen Zugriff mehr haben, dann entzieht man Ihm der SharePoint-Webseite oder löscht diesen komplett.