Checkliste Tenant Einrichtung (2024)

Ein Office 365 Tenant ist schnell angelegt aber haben Sie dann wirklich schon alles beachtet? Die Checkliste soll ihnen dabei helfen, die Einrichtung komplett und geplant vorzunehmen.

Wenn auch wenn Microsoft vieles per Browser einstellt, so sind einige Standardvorgaben darauf ausgerichtet, dass die Anwender möglichst problemlos die Dienste nutzen können. Das ist aber nicht immer im Interesse des Unternehmens, welches natürlich die Einführung von verschiedenen kontrollieren will. Einige Dinge dürfen ja auch erst freigeschaltet werden, wenn die rechtlichen und organisatorischen Randbedingungen vorhanden sind. Ich denke da an Compliance, Retention Policies, Disclaimer, Journalregel, etc. Insofern ist diese Liste nur ein Anfang.

Diese Seite beschränkt sich allein auf die Konfiguration des Tenants. Themen Netzwerk Assessment, Firewall-Planungen, User Adoption, Migration etc. sind hier nicht aufgeführt. Das Ziel ist eine gesunde und auf ihre Anforderungen angepasste Umgebung mit den Leitplanken für die Nutzung bereit zu stellen. Nach dem Abschluss der Checkliste fängt die Reise oder das Abenteuer aber erst an.

Am 26. Jan 2023 habe ich eine Teil der Checkliste als Vortrag auf den TeamsCommunityDays 2023 gehalten. Die Folien dazu sind auf:
2023-teamscomunityday_m365checkliste.pdf

Einige Einstellmöglichkeiten sind nur vorhanden, wenn Sie eine passende Lizenz im Tenant aktiviert haben.

AktionStatus

Sponsor vorhanden?

Sie können natürlich direkt überwww.office365.com einen neuen Tenant einrichten. Wenn Sie aber Kontakt zu einem Partner oder Lizenzvertrieb haben, dann fragen Sie doch mal nach deren "Sponsor-Möglichkeiten". Wenn ein Partner ihnen einen Tenant vorbereitet, dann kann das Vorteile haben, z.B. dass die Testlizenzen deutlich länger laufen. Achten Sie dabei auf bestehende Tenants.

  • Trial Lizenzen
  • Teams Exploratory License
  • Power Bi Tenant

Checkliste Tenant Einrichtung (1)

Namen festlegen

Jedes Kind braucht einen Namen und genauso müssen Sie sich Gedanken über den Tenant-Namen machen. Die meisten Administratoren kennen den Namen nur als <%tenantname%>.onmicrosoft.com und damit als UPN-Suffix des ersten Administrators.

Der Name erscheint durchaus an der ein oder anderen Stelle, z.B.

  • SharePoint URL
  • OneDrive URL
  • CRM URL

Es könnten zukünftig noch an weiteren Stellen der Name sichtbar werden.

Achtung: Legen Sie keinen Tenant über eine "TrialVersion" an, denn dann wird der Name von der Maildomain abgeleitet. Aus msxfaq.de wird dann nicht msxfaq.onmicrosoft.com sondern msxfaqde.onmicrosoft.com

Denken Sie auch an andere Firmen und Töchter, die vielleicht später einmal ausgegründet werden. Man kann auch Tenants auf Vorrat für wenig Geld belegen.

Der Tenantnamen ist auf 25 Zeichen beschränkt.

Checkliste Tenant Einrichtung (2)

Tenant beantragen

Wenn Sie den Namen und die Region fetgelegt haben, können Sie ihren Tenant beantragen. Dazu benötigen Sie nur einen Webbrowser. Ja nach gewünschtem Tenant (Business oder EDU) müssen Sie aber unterschiedliche Zugänge nutzen. Sie benötigen in der Regel auch eine Kreditkarte für die Identifizierung.

Hinweis:
Sprechen Sie mit ihrem Lizenzpartner. Manchmal ist es sinnvoll, den Tenant über den Partner einzurichten, z.B. um längere Eval-Lizenzen oder Sonderangebote und Aktionen zu nutzen.Früher gab es schon mal Tenants mit 180Tage Trials, was speziell bei Migrationen etwas Druck nimmt.

Checkliste Tenant Einrichtung (3)

Sprache und Region

Bei der Einrichtung des Tenant ist die Auswahl der Region zu beachten, da Sie nachträglich nicht mehr geändert werden kann.

Checkliste Tenant Einrichtung (4)
https://admin.microsoft.com/AdminPortal/Home#/companyprofile

Checkliste Tenant Einrichtung (5)

Datalocation

Mit der Auswahl der Region wird auch festgelegt, wo die Daten liegen. Wobei auch das nicht immer stimmen muss, wie folgendes Bild eines Tenants zeigt:

Checkliste Tenant Einrichtung (6)

Es gibt Vermutungen zu dem Fall, dass der Kunde in Südafrika war und es noch keine Datacenter in Südafrika gab. Der Kunde hat dann wohl nur Exchange Online lizenziert und die Daten landeten in Europa.Mittlerweile gibt es aber ein Datacenter in Südafrika und wenn der Kunde danach SharePoint/OneDrive/Teams lizenziert hat, konnte dieser Fall eintreten.Microsoft verlagert aber üblicherweise keine Daten nach dem diese einmal provisioniert wurde. Denkbar könnte

Checkliste Tenant Einrichtung (7)

Admin-Konten sichern

Bei der Beantragung des Tenants ist auch ein Administrator anzugeben. Um Missbrauch zu erschweren, wird hier eine Rufnummer erwartet, unter der Office 365 anruft oder eine SMS sendet. Der so übermittelte Verification-Code muss im Beantragungsprozess angegeben werden. In dem Prozess sollte auch eine Mailadresse außerhalb des Tenant angegeben werden, um notfalls einen Rücksetzlink zu erhalten.

Mittlerweile sollten auch alle Administratoren per MFA abgesichert sein. Prüfen Sie dies bei bestehenden und älteren Konten.

Wenn ein Admin sein Kennwort zurücksetzt, dann können Sie davon alle anderen Administratoren in Kenntnis setzen. Das ist durchaus ein schnelles Alarmzeichen, wenn jemand dies "versucht" aber nicht schafft.

Checkliste Tenant Einrichtung (8)

Checkliste Tenant Einrichtung (9)

Firmendaten pflegen

Nachdem der Tenant angelegt wurde, landet der Browser direkt auf dem Benutzer-Portal Es bietet sich an hier noch mal die Firmendaten zu komplettieren. Auf dem Portal können Sie dazu oben auf den Firmennamen klicken und die weiteren Felder ausfüllen.

https://admin.microsoft.com/Adminportal/Home?source=applauncher#/Settings/OrganizationProfile/:/Settings/L1/OrganizationInformation

  • Technischer Kontakt pflegen
  • Bevorzugte Sprache

Hinweis:
An mehreren Stellen in Office 365 können Sie Mailadressen hinterlegen, z.B. als technische Ansprechpartner aber auch als Empfänger für Systembenachrichtigungen, Reports, Exchange Quarantänemeldungen, Alarme etc. Vermeiden Sie hier "persönliche" Adressen, denn Mitarbeiter ändern auch ihren Arbeitsbereich. überlegen Sie sich Funktions-Adresse, z.B. messages.intune.%tenantname% o.ä., die sie dann einem Postfach, einem Verteileroder einem Teams zusätzlich geben können.

Checkliste Tenant Einrichtung (10)

UPN/Mail-Domains einrichten

Niemand will mit einer "tenantname.onmicrosoft.com"-Adresse dauerhaft arbeiten. Daher sollte Sie alle Domains, sie sie als UPN-Domain, SMTP-Domain, SIP-Domain etc. nutzen in ihrem Tenant addieren und über einen DNS-Eintrag auch verifizieren. Im Zuge der Einrichtung wird auch festgelegt, für welche Dienste die Domänen genutzt werden. Office 365 zeigt dann an, welche weitere DNS-Einträge erforderlich sind, z.B. "autodiscover", MX-Records, Skype for Business, Intune etc.

Denken Sie an alle Domains, die sie für Mails und als UPN verwenden. Nebenbei verhindern Sie so den Missbrauch mit einemViraler Tenant.

Denken daran, alle Domains zu addieren, die als "AcceptedDomains" in Exchange hinterlegt sind.

Das gleiche gilt für die SIP-Domains von Skype for Business/Teams. Auch wenn Sie nur noch Teams nutzen, sollten Sie die Skype for Business-DNS-Einträge addieren,damit eine Federation mit anderen Firmen möglich ist.

  • Block TeamsOnly Upgrade
    So verhindern Sie den Zwangswechsel nach TeamsOnly und können mit SfB Hybrid arbeiten

Achten Sie darauf, dass nicht alle Empfehlungen von Office 365 für ihre Umgebung zutreffend sind.

Checkliste Tenant Einrichtung (11)

Anlegen weitere Admin Konten mit MFA

Sie sollten nicht nur einen Administrator haben. Legen Sie entsprechend ihrem Security-Konzept weitere Administratoren an und aktivieren Sie möglichst auch MFA.

Denken Sie aber auch einen "Notfall-Administratoren" ohne MFA", dessen sehr langes Kennwort und nicht offensichtlicher Benutzername z.B. im Schließfach hinterlegt wird. Sie umgehen damit den Recovery-Prozess, wenn Sie alle anderen Zugänge nicht mehr nutzen können. Letztlich haben Sie aber mehrere Optionen, die sie auch gemischt betreiben können.

  • ADSync Administratoren
    Die meisten Firmen haben schon im lokalen AD ein Admin-Konzept und oft mit eigenen Admin-Konten. Diese können durch ADSync in die Cloud repliziert werden. SingleSignOn, Exit-Management etc. sind die Vorteile
  • Cloud Only Administratoren
    Getrennte Administratoren in der Cloud funktionieren "immer" und sind speziell in Desasterfällen wichtig, wenn die lokale Anmeldung nicht mehr geht.
  • User mit PIM
    Die dritte Option ist die Nutzung "normaler" Benutzer, die per ADSync abgeglichen werden. Auch diese Konten können mit administrativen Rollen versehen werden. Das sollten Sie aber nur in Kombination mit PIM machen, d.h Anwender können Adminrechte auf Zeit beantragen

Tipp:
Legen Sie sich eigne CloudOnly Konten als Administrator mit MFA an.
Zusätzlich ist ein BreakingGlass-Admin mit sehr langem Kennwort im Safe ein Noteingang.
Verwenden Sie nie ihre normalen Benutzer als Administratoren.

In dem Zuge sollten Sie auch prüfen, ob ein Partner als "Delegierte Administration in Office 365" berechtigt werden sollte oder ob sie einen voreingestellten Partner gerade nicht als Administrator eingetragen haben wollen.

Checkliste Tenant Einrichtung (12)

MFA für Benutzer

Um den Zugriff der Anwender nicht nur vom Kennwortabhängig zu machen, unterstützt Office 365 die Multifaktor-Authentifizierung. Eine granulare Steuerung ist über Conditional Access möglich.Aber über die globalen Sicherheitseinstellungen des Tenant können Sie zumindest Basic-MFA aktivieren. Diese Einstellung ist bei neueren Tenants schon Standard:

Checkliste Tenant Einrichtung (13)

Achtung: Diese Einstellung steht in Konflikt mit Conditional Access-Regeln. Wer AzureAD P1 und Conditional Access nutzt, sollte diese Einstellungen auf "Nein" stellen oder lassen.

Achtung: Security Default deaktiviert SMTP AUTH mit Username/Kennwort

In dem Zusammenhang können Sie auch gleich noch einmal einen Blick auf die Kennwortrichtlinien im Tenant auf https://portal.azure.com/#view/Microsoft_AAD_IAM/PasswordProtectionBlade werfen und ggfls. anpassen. Standardmäßig ist hier nur ein "Audit" aktiv und ich würde schon ein "Force" vorschlagen, wenn sie nicht allein auf MFA vertrauen wollen.

Checkliste Tenant Einrichtung (14)

Checkliste Tenant Einrichtung (15)

Azure AD Device Join / Intune Device Enrollment

Standardmäßig kann jeder Anwender bis zu 20 Geräte selbst im AzureAD registrieren. Schon seit Windows 2000 können Anwender auch im lokalen Active Directory bis zu 10 PCs selbst addieren und auch wieder löschen! Suchen Sie einfach im Internet nach den folgenden Feldern:

Prüfen Sie bitte, ob dieseStandardeinstellungen ihren Anforderungen entspricht.

Achtung: Wenn Benutzer bei der Ersteinrichtung ihres privaten PC ihre "Mailadresse" samt Kennwort eingeben und es ein passendesAzureAD Konto gibt, dann kann der PC per "AzureAD Join" verbunden sind. Scheidet der Mitarbeiter dann aus, dann kann er sich auf seinem PC nicht mehr anmelden.

Ich würde hier eher das Recht auf ausgewählte Benutzer, z.B. IT-Koordinatoren, beschränken oder komplett abschalten und auf ADSync aufbauen. ADSync repliziert ja alleim lokalen AD angelegten Konten ins AzureAD als "Hybrid AzureAD Joined".

https://portal.azure.com/#blade/Microsoft_AAD_Devices/DevicesMenuBlade/DeviceSettings/menuId/

Checkliste Tenant Einrichtung (16)

Meine Empfehlung ist hier, die Einstellung zumindest aus Selected mit einer Berechtigungsgruppe oder sogar auf "None" zu stellen, wenn die Devices eh aus dem lokalen AD repliziert werden.

Die gleiche Einstellung gibt es noch mal in den InTune unter "Device Enrollment".

In dem Zuge könnten Sie auch die Mitgliedschaft der AzureAD-Rolle "Azure AD Joined Device Local Administrator" pflegen, die auf diesen Geräten dann Admin-Rechte haben.

Checkliste Tenant Einrichtung (17)

Checkliste Tenant Einrichtung (18)

Gast Access

Achtung: ab dem 8. Feb 2021 ist der Gastzugriff in Teams per Default eingeschaltet
Teams Gastzugang

Benutzer und Administratoren können per Default Gäste aus anderen Tenants einladen gemeinsam Daten zu bearbeiten. Diese Funktionerfordert, dass die Gäste im AzureAD angelegt werden. Diese Funktion kann über das AzureAD-Portal gesteuert werden. Die Möglichkeitselbst kann später auch noch mal pro Applikation erlaubt und verboten werden, wenn globale Einstellungen es prinzipiell erlauben.

https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/UserSettings

Checkliste Tenant Einrichtung (19)

Diese Standard-Einstellungen sind so aus meiner Sicht nicht sinnvoll. Jeder Mitarbeiter kann weitere Gäste einladen und sogar Gäste können Gäste einladen. Siehe dazu auchManagement von Gast-Konten.

Checkliste Tenant Einrichtung (20)

Verwalten von Gruppen

Im AzureAD Portal können und sollten Sie prüfen, ob die Einstellungen ihren Anforderungen entsprechen.

Checkliste Tenant Einrichtung (21)

Wenn Sie schon in dem Bereich sind, dann schauen Sie sich links auch noch die beiden weitere Punkte an:

  • Expiration
    Hier können Sie bestimen, nach welcher Zeit die Gruppen wieder gelöscht werden. (sehr gefährlich)
  • Naming Policy
    Hiermit steuern Sie die Bidungsregeln für Namen, wenn Benutzer selbst Gruppen und Teams anlegen dürfen.

Der Zugriff auf Teams in anderen Tenants über Gastkonten ist per Default "offen". Als Administrator können Sie dies natürlich absichern, indem Sie z.B. die Anlage von Gastkonten beschränken oder die B2B-Federation zwischen Tenants reduzieren. Teams Shared Channels basieren nicht mehr aus Gast-Konten, sondern nutzt B2B Connect-Einstellungen. Die Identitäten von anderen Benutzern erscheinen dabei nicht mehr in ihrem Tenant als Gast. Das bedeutet aber auch, dass Sie diesen Konten nicht nur keine Lizenz zuweisen können. Auch "Conditional Access"-Einstellungen scheinen aktuell nicht mehr zu greifen, bzw. es gelten die Sicherheitseinstellungen im Heimattenant des Benutzers.

  • Pflegen Sie die Default Einstellungen für B2B Connect
  • Pflegen Sie die Partnerschaften zu anderen Firmen

Die Pflege von B2B Connect ist eine Voraussetzung für den Betrieb von Teams Shared Channels.

Checkliste Tenant Einrichtung (22)

Wie sie sehen, ist B32B Direct Connect standardmäßig abgeschaltet und muss von beiden Administratoren entsprechend konfiguriert werden.

Die Nutzung von Shared Channels kann den Bedarf an "Gast-Benutzer" reduzieren.

  • Teams Shared Channel Einsatz
  • B2B Direct Connect

Checkliste Tenant Einrichtung (23)

Microsoft 365 Apps Installation

Per Default kann jeder Anwender mit einer Lizenz auch die Office Applikationen herunter laden. Das ist interessant für Anwender im Außendienst aber Firmenstandorte wählen lieber den Weg die Installationsquellen vor Ort bereit zu stellen und zu verteilen. Dann sollten sie die "Selbstinstallation" durch Anwender deaktivieren.

https://admin.microsoft.com/AdminPortal/Home#/Settings/Services/:/Settings/L1/SoftwareDownload

Checkliste Tenant Einrichtung (24)Checkliste Tenant Einrichtung (25)

  • Office 365 Professional Plus
  • Office 365 Pro Plus Deployment Checkliste

Checkliste Tenant Einrichtung (26)

Microsoft 365 on the Web

Wenn Sie verhindern möchten, dass Anwender z.B. Dateien in anderen 3rd Party Cloud-Diensten ablegen, dann können Sie dies über Gruppenrichtlinien in Office einschränken.Für Microsoft 365 on the Web gibt es eine separate Einstellung im Admin-Portal.

Checkliste Tenant Einrichtung (27)
https://admin.microsoft.com/Adminportal/Home?#/Settings/Services/:/Settings/L1/OfficeOnline

Checkliste Tenant Einrichtung (28)

Early Features

Ob Sie für einen produktiven Tenant diese Funktion aktivieren, bleibt ihnen überlassen. Auf einem Test-Tenant kann es durchaus erforderlich sein. Aber auch in der Produktion können Sie früher Funktionen für bestimmte Personen freischalten:

https://admin.microsoft.com/AdminPortal/Home#/companyprofile

Checkliste Tenant Einrichtung (29)

Checkliste Tenant Einrichtung (30)

Messagecenter/Roadmap

Der Funktionsumfang von Office 365 passt sich kontinuierlich an die Anforderungen des Marktes an.

Checkliste Tenant Einrichtung (31)

Als Administrator sollten Sie sich daher darüber informieren lassen, was sich ändern wird. Konfigurieren Sie daher die Benachrichtigungen im Nachrichtencenter und ggfls. eine Synchronisation zu einem Planner.

Einige Firmen aktivieren hier den Versand per Mail an ein Ticket-System, um basierend darauf dann Aufgaben zu verteilen. Interessant ist natürlichauch der Abgleich mit einem Planner oder die automatisierte Abfrage per Skript um die in eigenen Plattformen, z.B. Jira etc. zu verarbeiten.

Sie sollte Änderungen und Neuerungen aktiv verarbeiten, damit sie nicht überrascht werden.

Checkliste Tenant Einrichtung (32)

App-Store und Trial Lizenz unterbinden

Für einige Dienste kann sich ein Anwender selbst eine Trial Lizenz anfordern. Auch die Nutzung des App Store können Sie in dem Schritt gleich mit abschalten.

https://admin.microsoft.com/AdminPortal/Home#/Settings/ServicesAndAddIns

Checkliste Tenant Einrichtung (33)
https://admin.microsoft.com/AdminPortal/Home#/Settings/ServicesAndAddIns

Die automatische Anforderung ist per Default "aus" und muss zudem noch über eine Richtlinie konfiguriert werden. Im Jan 2023 wäre auch Microsoft Teams die einzige App, die eine Selbstzuweisung untertützt. Insofernist diese Einstellung noch unkritisch. Aber die "Probeläufe", was quasi eine "Eval-Version" ist, sollten sie aber vielleicht besser abschalten.

  • Office 365 Trial Offer
  • PowerBI-Tenant
  • Teams Exploratory License

In einem EDU-Tenant gibt es die untere Checkbox.

Checkliste Tenant Einrichtung (34)

Self Licensing abschalten

Mitte November 2019 hat Microsoft angekündigt, dass jeder Benutzer in einem Tenant quasi mit seiner eigenen Kreditkarte Services im Tenant kaufen kann. Die Meldung bezog sich anfangs auf die "Power Plattform" aberist nicht darauf beschränkt.

MC193609Announcing self-service purchase capabilities for Power Platform products

Ein Entwickler oder eine Fachabteilung kann also am "Rechnungs-Admin" vorbei entsprechende Lizenzen mit seiner eigenen Zahlungsmethode dazu kaufen. Das würde in viele Firmen natürlich alle Prozesse umgehen und ich würde es im ersten Schritt erst einmal deaktivieren.

Der folgende Code funktioniert nicht mit Version 1.9. Ältere oder neuere Versionen funktionieren.

# Aktuell (Stand Sep2013) funktioniert dies noch nicht mit PowerShell 7 / PSCore# Achtung: NUtzen Sie der MSCommerce-Modul Version 1.8 Die Version 1.9 funktioniert mit dem Code nicht.# Modul aus der PSGallery installierenInstall-Module -Name MSCommerce # Modul importierenImport-Module -Name MSCommerce# Anmelden mit einem Global Admin oder Rechnungs AdminConnect-MSCommerce$product = Get-MSCommerceProductPolicies -PolicyId AllowSelfServicePurchase$productProductName ProductId PolicyId PolicyValue----------- --------- -------- -----------Project Plan 3 CFQ7TTC0KXNC AllowSelfServicePurchase EnabledVisio Plan 1 CFQ7TTC0KXN9 AllowSelfServicePurchase EnabledProject Plan 1 CFQ7TTC0KXND AllowSelfServicePurchase EnabledPower Apps CFQ7TTC0KP0P AllowSelfServicePurchase EnabledPower BI Pro CFQ7TTC0L3PB AllowSelfServicePurchase EnabledPower Automate CFQ7TTC0KP0N AllowSelfServicePurchase EnabledVisio Plan 2 CFQ7TTC0KXN8 AllowSelfServicePurchase Enabled# Alle Produkte deaktivieren$product | %{Update-MSCommerceProductPolicy -PolicyId AllowSelfServicePurchase -ProductId $_.productid -Enabled $false}

Checkliste Tenant Einrichtung (35)

Lizenzvergabe

Für jeden Dienst, den ein Anwender in der Cloud nutzen möchte, muss er eine Lizenz bekommen. Je nach Einstellung kann der Anwender aber auch selbst eine "Trial"-Lizenz anfordern. Das wollen Sie vielleicht unterbinden. In der Regel gibt es drei Optionen:

  • Manuell per Admin
    Das ist wohl eher etwas für kleinere Firmen
  • AzureAD-Gruppen
    Sie können z.B. Windows-Gruppen anlegen, deren Mitglieder sie steuern und das AzureAD weist basierend darauf die Lizenz zu
  • Provisioning
    Es gibt auch 3rd Party Lösungen (z.B. Adaxes, eigene Powershell-Skripte o.a.), mit denen Sie Lizenzvergaben z.B. über einen Warenkorb umsetzen.
  • Exchange Online Provisioning undDoppelpostfach mit Exchange Online
    Denken Sie an die verschiedenen Tücken beim Provisionieren von Exchange Online Lizenzen

Vielleicht sollten Sie auch überprüfen, wie Sie die Nutzung der Lizenzen überwachen. Aktives Lizenzmanagement kann Kosten sparen. Das gilt auch für das Ausscheiden von Anwendern. DieLizenz können sie nicht einfach entfernen, da dann auch die Daten gelöscht werden. Aber die Kosten laufen ansonsten weiter.

Checkliste Tenant Einrichtung (36)

Teams/Groups

Für die Nutzung von Teams und Office Groups sollten Sie Voreinstellungen vornehmen:

  • Microsoft Teams Exploratory License
    Per Default können sich Benutzer selbst eine "Teams Trial" aktivieren. Das ist aus meiner Sicht nicht sinnvoll, wenn eine Firma den Prozess der Einführung aktive betreiben und begleiten will. Daher würde ich diese Funktion erst einmal abschalten.
    Microsoft Teams Exploratory license
    https://docs.microsoft.com/de-de/MicrosoftTeams/teams-exploratory
  • Wer darf Teams anlegen?
    Per Default kann jeder Benutzer sofort "Office Groups" und "Microsoft Teams" einrichten. Das ist bei den meisten Firmen so nicht gewünscht. Hier sind meist Anpassungen erforderlich. Kleinere Firmen lassen diese Einstellungen offen aber größere Firmen sollten sich einen Prozess überlegen und das selbständige Anlegen von Teams zu regeln. Siehe auch Teams und Groups Provisioning.
    Überlegen Sie auch, ob die passende "Templates" bereitstellen wollen und wie Sie die Mitarbeiter z.B. mit einem Teams Führerschein schulen.
  • Meeting Policy
    Denken Sie an passende Besprechungsrichtlinien. Die Links zu Meetings sind z.B. nicht personalisiert und wenn diese öffentlich werden, haben Sie sehr schnell ungebetene Gäste in der Besprechung. Überlegen Sie daher, ob sie den "Default" für Besprechungen etwas strenger handhaben und die Organisatoren informieren, dass Sie dies bei der Planung als auch im Meeting anpassen können.So beschränken Sie den Zugang auf authentifizierte Benutzer und die anderen müssen in der Lobby warten. Nicht, dass jemand einen Link weitergibt und das Meeting kapert.
    Checkliste Tenant Einrichtung (37)
  • Guest Access
    Seit 8. Feb 2021 ist der Gast-Zugriff standardmäßig EIN! Früher war die Standardeinstellung auf "AUS". Sie sollten bestimmen, ob und wie Gäste bei ihnen in Teams mitarbeiten dürfen.https://admin.teams.microsoft.com/company-wide-settings/guest-configuration.
    Checkliste Tenant Einrichtung (38)
    Die Einstellung bestimmt, welche Optionen Teams anzeigt aber erfordert passende Einstellungen in Azure und OneDrive/Sharepoint.
  • Teams External Access
    Auch die Federation mit anderen Firmen (Presence/Status/1:1 Chat) sollte in dem Zuge überprüft werden, so dass z.B. nur erlaubte Domains gepflegt sind oder Federation generell abgeschaltet ist.
    Checkliste Tenant Einrichtung (39)

Überlegen Sie, ob "Open Federation" (Default) für ihre Firma passend ist. Es gibt durchaus Risiken, wenn externe Absender z.B. so Dateien teilen oder Mitarbeiter direkt anrufen oder anchatten.Ihre Anwender sollten darauf geschult sein.

Ich würde zumindest die Federation zu "nicht verwalteten" Kontakten, d.h. Skype und unmanaged Teams, erst einmal unterbunden.

Checkliste Tenant Einrichtung (42)

Azure Apps registrieren und Consent erteilen

Der Zugriff auf Dienste z.B. über Graph erfolgt nicht mehr stumpf mit Benutzername und Kennwort. Applikationen müssen in AzureAD addiert und berechtigt werden. PerDefault kann das jeder Benutzer für sich selbst eintragen und berechtigen. Eventuell ist es aber sinnvoll, dass dies unter Admin-Vorbehalt steht.

Connect-MsolService Set-MsolCompanySettings ` -UsersPermissionToUserConsentToAppEnabled $false

Das geht natürlich auch per Azure Admin Portal.

Checkliste Tenant Einrichtung (43)

Checkliste Tenant Einrichtung (44)

Checkliste Tenant Einrichtung (45)

External Access und Sharing

Der Zugriff bzw. die Freigabe von Dokumenten in OneDrive, SharePoint etc. kann über die Funktion "External Sharing" gesteuert werden.

Ich schalte die Funktionen meist erst einmal ab, bis der Kunde sich Gedanken über Dokument-Klassifizierung, Mitarbeiterschulungen, Data Leakage Protection (DLP), Azure Information Protection (AIP) etc. gemacht hat.

Auch später ist zu überlegen, ob die "Standardfreigabe" für Dokumente auf "Editieren" bleibt oder auf "Nur Anzeigen" gesetzt wird und wie lange diese gültig sind.

Checkliste Tenant Einrichtung (46)

Exchange

Wenn das erste Postfach in der Cloud ist, ist es auch von überall erreichbar, wenn sich der Anwender anmelden kann. Entscheiden Sie vorher, wie Sie unerwünschte Zugriffe von nicht autorisierten Endgeräten unterbinden. Hier kommt Conditional Access natürlich zu tragen.

Aber auch hinsichtlich der Einstellungen sollten Sie in Exchange Online genau hinschauen, denn die meisten Einstellungen im lokalen Exchange sind erst einmal nicht in der Cloud vorhanden oder anderseingestellt. Mittlerweiler erlaubt der HCW - Hybrid Configuration Wizard schon die Übertragung einiger Einstellungen, aber natürlich gibt es nicht übertragbare Einstellungen und viele neue zusätzliche Einstellungen.

Checkliste Tenant Einrichtung (47)

  • Automatische Weiterleitung
    Prüfen Sie die Einstellung unter "Remote Domains" von Exchange Online, ob automatische Weiterleitungen und Antworten nach Extern per Default erlaubt sind. Es ist im Standard erlaubt. Ich würde dies abschalten, um unbemerkte Informationsabflüsse erst einmal zu verhindern und bei konkretem Bedarf entweder einzelne Domains freischalten oder mit Kontakten arbeiten.
    Checkliste Tenant Einrichtung (48)
  • Sharing Policies
    Standardmäßig können Benutzer ihren Kalender auf individuellem Level mit anderen externen Personen freigeben. Eventuell wollen Sie dies beschränken.
    Checkliste Tenant Einrichtung (49)
    https://admin.exchange.microsoft.com/#/sharing
  • User Roles: Default Role Assignment Policy
    Mit den Standardeinstellungen können Anwender ihre Gruppen und einige andere verwalten, wenn ADSync dies nicht verhindert. Dieses Rolle sollten Sie anpassen
    Checkliste Tenant Einrichtung (50)
    DL Management mit EXO
  • Legacy Authentication
    Microsoft möchte zukünftig die Anmeldung allein mit Benutzername und Kennwort deaktivieren. Wenn sie diese Funktion sowieso nicht benötigen, dann sollten Sie auf ihrem Tenant diese Funktion von vorneherein abschalten. Sie verhindern damit, dass Angreifer über "alte Protokolle" ihre Benutzerkonten angreifen. Prüfen Sie, ob LegcyAuth auf der Organisation abgeschaltet ist und nur für die Konten noch aktiv ist, die wirklich noch mit BasicAuth sich anmelden müssen. Siehe auch Exchange Online Authentifizierung.
  • TLS 1.2 Enforcement
    Mittlerweile zwingt Microsoft alle Clients zu TLS 1.2 Sie können dies wieder lockern und die Client auf andere Hostnamen umstellen. ich würde eher prüfen, ob diese Lockerung nicht aktiv ist.
  • External Sender Identification
    Vielleicht möchten sie auch diese Option einschalten, um externe Mails in Outlook entsprechend zu kennzeichnen.
  • Directory Based Edge Blocking (DBEB)
    Für alle Domains aktivieren
  • ActiveSync Quarantäne und Policies
    Aktivieren der Exchange Online Quarantäne ist ein einfacher Weg, unbekannte Clients zu blockieren. Sie könnten z.B. nur "Outlook for IOS/Android" per Regel zulassen und native Clients manuell freigeben.Auch ohne MDM könnten Sie z.B. über Exchange Richtlinien eine PIN auf Mobilgeräten vorschreiben.
  • OWA-Policies
    Für den Anfang könnte es auch reichen, den Zugriff per OWA über OWA-Policies zu steuern
  • POP3/IMAP4/SMTP-Clientnutzung (IMAP4 mit Office 365)
    Die meisten Anwender nutzen Outlook, OWA, ActiveSync, Nur die wenigen Konten mit IMAP4/POP3 müssen per SMTP auch Mails nach Anmeldung versenden. SMTPClientAuth kann daher global deaktiviert und für die fraglichen Postfächer aktiviert werden.
    Checkliste Tenant Einrichtung (51)
    Dies geht am einfachsten global mit:
Get-CASMailboxPlan | set-CASMailboxPlan -ImapEnabled:$false -PopEnabled:$falseSet-TransportConfig -SmtpClientAuthenticationDisabled:$true
  • TransportConfig
    In dem Zuge könnte es generell sinnvoll sei, die globalen Einstellungen von Get-TransportConfig zu verifizieren. So kann es sinnvoll sein,die Postmaster-Adresse auf eine Adresse zu setzen, die auch gelesen wird.
    https://learn.microsoft.com/de-de/exchange/mail-flow-best-practices/configure-external-postmaster-address
  • Exchange Mailbox Pläne
    Über Templates können Sie z.B. die Freischaltung von POP3/IMAP4 für neue Postfächer per Default abschalten
  • AntiSpam/Quarantäne
    Microsoft empfiehlt den Attachment-Filter für ausführbare Anlagen zu aktivieren. Per Default ist aber aber nicht aktiv.
  • Transport Regeln
    z.B. für Disclaimer, Signatur, Umleitungen, Journal.
  • EOP/Connectoren
    Meist wollen Sie bestimmte Systeme einen direkten Zugang zum Tenant einrichten oder ausgehende Mails alternativ routen. Fax-Server oder Archivsysteme sind hier Beispiele.
  • Exchange Online als Nebeneingang für Mailempfang
    Wenn sie eingehende Mails immer über ihren eigenen Mailfilter (z.B. NoSpamProxy) empfangen wollen, dann sollten Sie den "Nebeneingang" über Office 365 abschalten
  • Hybrid Centralized Mail Transport
    Gleiches gilt, wenn sie ausgehende Mails immer über "On-Premises" routen wollen.
  • Sonstige Exchange Policies
    Denken Sie aber auch an all die anderen Exchange Einstellungen wie Adressbuchrichtlinien, (ABP), Offline Adressbücher, etc.Genau genommen kopiert man diese mit der Konfiguration von Exchange Hybrid und ehe die erste Mailbox in der Cloud ankommt.Aber es soll ja auch Installationen geben, bei denen direkt mit Exchange Online gestartet wird und die Mails von Notes oder GroupWise o.ä. übertragen werden.
  • Abfragebasierte Verteiler - Querybased distribution Groups
    Hier sind On-Prem Anpassungen erforderlich, da abfragebasierte Verteiler im Standard nur "Mailbox"-Objekte einschließen und ein Cloud-Postfach lokal eine "Remote Mailbox" ist.
  • Cloud Notification Mails
    Sie können einstellen, ob die Nachrichten mit der <tenantname>.onmicrosoft.com Adresse oder einer ihrer eigenen Domain versendet werden.

Für Outlook und andere Clients müssen Sie sich zu Conditional Access, MFA oder Claimrules auf dem lokalen ADFS-Server umschauen. Denken Sie dran, dass Exchange Online alle erlaubt, damit sie erst einmal nichts gesondert freischalten müssen. Ob Sie so starten wollen, müssen Sie entscheiden.

Checkliste Tenant Einrichtung (52)

OneDrive Default Size

Das alte OneDrive Admin Center unter https://admin.ondrive.com ist mittlerweile ins SharePoint Admin Center umgezogen. Hier können Sie nun die Maximalgröße für OneDrive-Laufwerkeeinstellen. Nicht alle Firmen möchten, dass Anwender bis zu 1TB quasi in einer individuellen Dateiablage horten können. Ein kleineres Limit zwingt Anwender hoffentlich dazu, die Daten in Teams oder SharePoint abzulegen, so dass eine Zusammenarbeit möglich ist.

Checkliste Tenant Einrichtung (53)

Checkliste Tenant Einrichtung (54)

Auch SharePoint ist von Hause aus auf "Kooperation" ausgelegt. Das bedeutet aber auch, dass jeder Mitarbeiter neue SharePoint Sites anlegen darf. Das sollten Sie ebenfalls erst einmal deaktivieren, bis die Verwendung von SharePoint in ihrem Unternehmen geregelt ist.https://<tenantname>.sharepoint.com/_layouts/15/online/AdminHome.aspx#/settings/SiteCreation

Checkliste Tenant Einrichtung (55)

Wenn Sie schon im SharePoint Admin Center sind, können Sie auch gleich das "Sharing" auf ihre Firmenanforderungen anpassen.

Checkliste Tenant Einrichtung (56)

Viele Kunden stellen am Anfang das Sharing von "Jeder" erst einmal auf "nur intern" um, bis Datenschutz, Compliance, Rights-Management hier Regeln definiert haben, wer unter welchen Umständen etwas nach nach Extern teilen darf.

Checkliste Tenant Einrichtung (57)

Loop/Fluid

Die mit Loop erstellten Daten landen im Speicherbereich des Benutzers. Das ist kritisch, da mit dem Ausscheiden des Benutzers auch diese Daten ggfls. gelöscht. Loop-Komponenten sind daher nicht als persistente Ablage geeignet sondern wirklich ein Werkzeug um Beiträge mehrerer Personen zu konsolidieren aber am Ende die Ergebnisse in ein andere Format zu überführen.

Das müssen Sie aber den Anwendern auch mitteilen und Sie dafür sensibilisieren. Vielleicht wollten Sie die Nutzung erst einmal unterbinden oder auf wenige Piloten beschränken.

  • Microsoft Loop

Viva (Microsoft Analytics)

Office 365 kann die Arbeitsweise der Mitarbeiter analysieren und dem Anwender einen Bericht bereitstellen. Diese Funktion wird oft als "Überwachung" falsch interpretiert und kann über mehrere Optionen abgeschaltet werden.

Checkliste Tenant Einrichtung (60)

DevOps

Ohne besondere Einstellungen kann jeder Benutzer eines AzureAD sich selbst kostenfreie DevOps Organisationen anlegen um z.B. Sourcecode darin zu verwalten. Damit besteht aber die Gefahr einer unkoordinierten Datenablage. Daher empfehle ich diese Berechtigungen auf ausgewählte Benutzer oder Administratoren zu beschränken, die dann auf Anforderung eine DevOps Organisation anlegen und berechtigen. Dazu müssen Sie sich zuerst in die AzureAD Rolle der "Azure DevOps Administratoren" addieren.

Checkliste Tenant Einrichtung (61)

Erst dann sehen Sie im Azure DevOps-Portal die folgende Einstellmöglichkeit unter Azure AD.

Checkliste Tenant Einrichtung (62)

Durch die Aktivierung dieser Option verhindern Sie, dass andere Personen neue DevOps-Organisationen mit ihrem AzureAD verbinden. Sie verhindern damit nicht, dass jemand eine unabhängige DevOps Organisation, z.B. mit seinem Microsoft Konto anlegt.

Wenn ihr Tenant schon einige Zeit aktiv ist, dann sollten Sie als Administrator sich selbst eine DevOps-Organisation anlegen, um dann die Liste der mit ihrem AzureAD verbundenen DevOps Organisationen zu erhalten.

Als angemeldeter Anwender können Sie unterhttps://aex.dev.azure.com/me sehr schnell sehen, welche DevOps Organisationen sie nutzen können.

Da jeder Anwender eine DevOps Organisation mit einem freien Namen anlegen kann, könnte es als Firma interessant sein, die eigenen Namen zu belegen. Wäre doch blöde, wenn ein Spammer eine https://dev.azure.com/meinefirma-Adresse belegt und ihre Mitarbeiter dorthin zur Ablage von Sourcecode oder Abruf von "Updates" lockt.

Checkliste Tenant Einrichtung (63)

Company-Einstellungen

Es gibt einige globale Einstellungen, die ich beim Tenant vielleicht abweichen einstellen will. Sie sind über das Commandlet "Set-MsolCompanyInformation" zu erreichen und mit Set-MsolCompanyInformation zu schreiben. Einen Teil der Einstellungen erreichen Sie auch auch über die Webseite.

  • AllowAdHocSubscriptions
  • AllowEmailVerifiedUsers
  • MarketingNotificationEMails
  • TechnicalNotificationEMails
  • SecurityComplianceNotificationEmails
  • SelfServePasswordResetEnabled

Allerdings haben Sie hier auch den schnellen Überblick.

Checkliste Tenant Einrichtung (64)

Partner-Admin

Gerade kleine Firmen nutzen gerne die Funktion, dass ein Dienstleister "Admin" für einen Tenant ist und quasi als "Managed Service" die Verwaltung übernimmt.Der Dienstleister sendet dazu einen speziellen Link an den lokalen Admin und danach erscheint der Partner. Ein Blick in die Liste zeigt ob hier jemand aus ihrer Sicht "zu viel" Rechte hat. Idealerweise ist die Liste leer oder enthält nur Partner mit Servicevereinbarungen.

Checkliste Tenant Einrichtung (65)

Seit 2022 gibt es mit GDAP - Granular Delegated Admin Privileges eine bessere Funktion einen Partner zu delegieren, ohne dass er gleich Helpdeskadmin und Global Admin ist. Sprechen Sie ihren Partner bitte darauf an, wenn er nicht von sich aus das neue Modell vorschlägt.

  • Delegierte Administration in Office 365
  • GDAP - Granular Delegated Admin Privileges
  • Lighthouse - So können Managed Service Provider ihre kleinen und mittleren Kunden unterstützen
  • Office 365 Admin Konzept
  • Microsoft 365 Default Rechte
  • "Global Reader" Admin
  • Partner relationships
    https://admin.microsoft.com/#/partners

Checkliste Tenant Einrichtung (66)

AADConnect ausführen

Wenn Sie nicht gerade ein 1-10 User Tenant haben und ihre Anwender schon ein lokales Active Directory nutzen, dann sollten Sie AADConnect ausführen, um einen kleinen Verzeichnisabgleich einzurichten. Das geht schnell und die Benutzer in der Cloud werden dann anhand der lokalen Daten gepflegt.

  • Lokales AD: UPN-Domains eintragen
    Die Benutzer im AD brauchen eine UPN-Domäne, die auch in Office 365 gepflegt ist.Das Programm IDFix findet die meisten problematischen Einträge vorab.
  • Authentifizierung
    Hier können Sie sehr einfach z.B. mitPassword Hash Sync (PHS) oderPass-Through Authentifizierung (PTA) starten. Gerne auch mitSeamless Single Sign On. Denken Sie ggfls. an die Aktivierung von "EnforceCloudPasswordPolicyForPasswordSyncedUsers", damit schwache lokale Kennworte nicht noch in die Cloud repliziert werden.
  • Benachrichtigung aktivieren
    Wenn Sie ihre lokale Installation nicht überwachen, dann sollten Sie zumindest in der Cloud die Benachrichtigung per Mail aufhttps://aad.portal.azure.com/#blade/Microsoft_Azure_ADHybridHealth/AadHealthMenuBlade/SyncErrors aktivieren.
    Checkliste Tenant Einrichtung (67)
    Denken Sie daran, dass "Globale Administratoren" nur dann eine Mail bekommen wenn diese auch ein Postfach oder gültige Mailadresse haben. Ansonsten sehe Sie im Exchange Report die Fehler:
    Checkliste Tenant Einrichtung (68)

Checkliste Tenant Einrichtung (69)

Lizenzen

Ohne Lizenz funktioniert nichts. Es gibt Test-Lizenzen oder sie addieren einen Lizenzcode.

  • Lizenzen im Tenant einspielen
    Sei es per Kauf, per Code oder als Trial-Lizenz
  • POR/DPOR pflegen
    Wenn Sie einen Vertragspartner haben, dann könnte es sinnvoll sein, diese Firma alsPOR - Digital Partner of Records einzutragen.
  • Default UsageLocation
    Bei der Vergabe einer Lizenz ist die Angabe einer Location erforderlich. Sie könne das pro Benutzer eintragen. Wenn eine Firma aber eh in einem Land ist, dann kann eine Default Location konfiguriert werden. Damit vereinfachen Sie die Konfiguration der Anwender, wenn eine Mehrheit eh die gleiche Location hat.
Set-MsolCompanySettings ` -DefaultUsageLocation DE
  • Lizenzen an die Benutzer zuweisen
    Vergessen sie nicht, die Benutzer mit Lizenzen zu versehen. Das kann mittlerweile über AD-Gruppen erfolgen (Siehe Office 365 Lizenzen mit Azure Groups). Aber Exchange und SfB bitte erst zuweisen, wenn der DirSync die User in der Cloud korrekt mit Attributen versehen hat.

Checkliste Tenant Einrichtung (70)

Branding

Sie können an verschiedenen Stellen das Aussehen von Office 365, SharePoint u.a. bestimmen.

In den Organisationseinstellungen bietet es sich an, vielleicht ein Firmendesign zu hinterlegen. Dies sehen dann die Anwender beim Zugriff auf portal.office.com und anderen Stellen.So können Sie auch schneller erkennen, dass sie im ihrem Tenant sind.

Öffnen Sie dazu im Office 365 Admin Center (https://admin.microsoft.com) den Bereich "Einstellungen / „Organisationsprofil“/ „Verwalten von benutzerdefinierten Designs für Ihre Organisation“/“Bearbeiten“.

Eher zur Kür gehört die Anpassung der Office 365 Portal-Webseite hinsichtlich einem Firmenlogo. Es sollte folgende Abmessungen haben:

200x300 Pixel mit bis zu 10kByte Größe. Das Hintergrundbild ist 1266x50 Pixel und darf maximal 18kByte groß sein.

Ich habe mir aber als Administrator eine deutlich abweichende Farbe im Portal hinterlegt, damit ich den Unterschied sofort erkenne.

Interessanter ist sicherlich das Branding der SharePoint-Seiten, da diese von den Anwendern gesehen wird.

Wenn Sie einen ADFS-Server oder AzureAD nutzen, können Sie auch hier das Anmeldefenster anpassen:

Checkliste Tenant Einrichtung (71)

Azure Subscriptions

Die Dienste in Azure sind losgelöst von Office 365 zu betrachten aber Office 365 nutzt das AzureAD und eine getrennte Subscriptions wird ebenfalls an ein Office 365 Verzeichnisangebunden. So können Sie dann die Office 365 Benutzer für die Vergabe von Berechtigungen nutzen.

Allerdings ist per Default nicht unterbunden, dass jemand sich eine Subscription (mit eigener Bezahlung) anlegt und diese mit ihrem AzureAD verbindet. Dies können Sie aber unter https://portal.azure.com/#blade/Microsoft_Azure_SubscriptionManagement/ManageSubscriptionPoliciesBlade steuern:

Checkliste Tenant Einrichtung (72)

Auf den Eigenschaften ihres AzureAD können Sie ggfls. aktivieren, dass Sie als AzureAD Admin auch automatisch die damit verbundenen Subscriptions verwalten dürfen:

Checkliste Tenant Einrichtung (73)

Checkliste Tenant Einrichtung (74)

Neue Tenants anlegen

Im Nov 2022 hat Microsoft die Berechtigung zur Neuanlage von Tenants im Azure-Portal addiert. Tatsächlich kann per Default jeder am AzureAD registrierte Benutzer auch weitere Tenants anlegen.
Das ist überraschend aber kein Sicherheitsrisiko, denn auch ohne diese Steuerung kann sich ja jeder Anwender selbst einen Tenant ablegen. Hier ist es dann aber so, dass der Admin im neuen Tenant dann der authentifizierte Benutzer ihres Tenant ist.

Es ist also das Problem des Mitarbeiters, dass er die Admin-Rechte seines Tenants mit einem von ihnen verwalteten Konto verbindet und beim Verlassen der Firma auch verliert. Dennoch können Sie unterbinden, dass Benutzer ihres Tenants ihre Identität dafür verwenden.

Checkliste Tenant Einrichtung (75)
https://portal.azure.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/UserSettings

Checkliste Tenant Einrichtung (76)

Client und Netzwerk

Es ist ja schön, wenn Sie den Tenant eingerichtet, User und Gruppen angelegt, Lizenzen gekauft und auch sonst alles erledigt haben. Maßgeblich sind aber die Anwender und ihre Clients, die natürlich die Cloud-Dienste auch nutzen müssen. Dazu gibt es einige Voraussetzungen, die auch für die Clients und das Netzwerk erfüllt sein müssen. Siehe dazu auchCheckliste M365 Client Netzwerk.

Checkliste Tenant Einrichtung (77)

Weitere Dinge

Checkliste Tenant Einrichtung (78)

Das sind sicher noch nicht alle Einstellungen und wenn sie glauben, dass hier unbedingt noch eine Einstellung mit rein muss, dann schreiben Sie mir doch einfach.

Checkliste Tenant Einrichtung (2024)
Top Articles
Latest Posts
Recommended Articles
Article information

Author: Kimberely Baumbach CPA

Last Updated:

Views: 6227

Rating: 4 / 5 (61 voted)

Reviews: 84% of readers found this page helpful

Author information

Name: Kimberely Baumbach CPA

Birthday: 1996-01-14

Address: 8381 Boyce Course, Imeldachester, ND 74681

Phone: +3571286597580

Job: Product Banking Analyst

Hobby: Cosplaying, Inline skating, Amateur radio, Baton twirling, Mountaineering, Flying, Archery

Introduction: My name is Kimberely Baumbach CPA, I am a gorgeous, bright, charming, encouraging, zealous, lively, good person who loves writing and wants to share my knowledge and understanding with you.