Outlook Mobile: Microsoft sendet Mitteilungen an Outlook-User

Microsoft aktualisiert die Ankündigung „Benachrichtigung über Outlook Mobile in Outlook“ (MC207028) und erweitert das Gebiet auch auf Europa.

Seit dem 12. August 2020 informiert Microsoft an Outlook Benutzer, die noch kein Outlook Mobile nutzen, darüber das es Outlook auch für iOS und Android gibt.

Außerdem befindet sich in dieser Benachrichtigung ein Link, über den sich der Nutzer komfortabel die Outlook Mobile App für Android oder iOS Herunterladen können bzw. wird hier auf die entsprechende App Stores der beiden Plattformen verwiesen.

Wird diese Benachrichtigung geschlossen oder der Benutzer installiert sich Outlook Mobile, erscheint keine erneute Benachrichtigung.
Jedoch kann die Benachrichtigung auch zentral administrativ über ein entsprechendes cmdlet in Powershell deaktiviert werden.

Sollten Sie diese Nachrichten bei Ihnen und ihren Nutzern nicht wünschen, können wir sie dabei gerne unterstützen.

Wenden Sie sich daher gerne vertrauensvoll an uns.

Aus der Microsoft Cloud Deutschland heraus migrieren

Nachdem Microsoft schon vor einiger Zeit die Microsoft Cloud Deutschland (MCD) im Treuhändermodell abgekündigt hat, fragten uns viele Kunden nach einer Migrationsmöglichkeit. Insbesondere, da Bestandskunden der MCD keine neuen Services mehr buchen können.

Bisher gab es nur direkte Migrationsmöglichkeiten von einigen Azure-Diensten, die möglich waren. Immer wieder mussten wir Office 365 Kunden leider mitteilen, dass eine Migration nicht ohne weiteres möglich ist. Besonders ärgerlich für Kunden, die vor nicht all zu langer Zeit erst von lokal in die Deutschlandcloud migriert sind. Es kamen also erneut Kosten und Ausfallzeiten hinzu. Ganz davon abgesehen, dass der technische Migrationspfad von Cloud zu Cloud nur über Umwege und nicht weniger aufwändig ist wie von lokaler Infrastruktur in die Cloud.

So waren wir überrascht, vor kurzem in den Microsoft Tech-Docs auf einen Artikel vom 09.12.2019 zu stoßen, der eine “geleitete” Migration von Office 365-MCD zu den neuen deutschen Rechenzentrumsregionen verspricht.

Quelle:
https://docs.microsoft.com/de-de/office365/enterprise/ms-cloud-germany-transition

Zitat: “Die bestehenden Kunden von Microsoft Cloud Germany (Microsoft Cloud Deutschland) können nun mit der Migration ihrer Office 365, Dynamics 365 Customer Engagement und Power Platform BI beginnen. Der erste Schritt besteht darin, sich für die von Microsoft geleiteten Migration in unsere neuen deutschen Rechenzentrumsregionen anzumelden.”

Was muss man dafür tun?

Nun… diesen Knopf im Admincenter drücken.
Liebe MCD-Kunden, bitte lesen Sie erst weiter, bevor Sie das wild entschlossen tun.

Wo ist der Haken bei der Sache?

Wir können zum jetzigen Zeitpunkt leider noch nichts zu dem Ablauf sagen, da das auch für uns Partner aktuell noch eine Blackbox ist. Bisher konnten wir diese Migration auch noch nicht mit einem Kunden begleiten.

Wer in der Dokumentation weiter liest, wird folgende Passagen finden:

“Die Migrationen für Organisationen, die sich für den von Microsoft geleiteten Ansatz anmelden, werden voraussichtlich in 2020 durchgeführt. Als Ergebnis der Migration werden die wichtigsten Kundendaten und -abonnements in die neuen deutschen Regionen verschoben.”

Quelle:
https://docs.microsoft.com/de-de/office365/enterprise/ms-cloud-germany-migration-opt-in

Für uns stellen sich die Fragen:

  • Wie lange dauert denn tatsächlich so eine Migration, wenn sie “voraussichtlich” in 2020 durchgeführt wird?
  • Welche Auswirkungen sind währenddessen zu spüren?
    • Microsoft verspricht zwar: “Mandantenmigrationen sind so angelegt, dass sie nur minimale Auswirkungen auf Endkunden und Administratoren haben” aber was bedeutet denn “minimal”?
  • Auch ist die Aussage, dass die “wichtigsten” Kundendaten migriert werden, recht schwammig. Was sind denn die wichtigsten Daten und welche fehlen?

Es ist auch noch hinzuzufügen, dass die ganze Migration nicht vollautomatisch abläuft, sondern auch noch einige Tätigkeiten für die Office-Administrationen oder uns als Partner anfallen. Zum Beispiel die DNS Updates und Records, die geändert werden müssen. Die lokalen Security-Systeme, wie Proxy, Firewall etc. müssen angepasst werden, da sich die Adressen der Cloud-Dienste ändern. Wer noch hybrid unterwegs ist, muss auch noch einiges dafür tun, damit das funktioniert.

Unser Fazit

Man muss also noch allerhand beachten, wenn man die geleitete Migration durchführen möchte. Viele Fragen bleiben offen, die auch wir im Moment nicht beantworten können.

UPDATE: Zwangsaktivierung von Microsoft LDAP-Kanalbindung und -Signatur

Bekanntermaßen ist LDAP das Protokoll zur Verwaltung eines Active Directory. Administratoren verwalten damit die Benutzer, die Gruppenmitgliedschaften und vieles mehr. Nicht nur Exchange-Server fragen den Domain Controller nach der Attributen des Benutzers ab, sondern auch Firewalls, Drucker oder andere Systeme.

LDAP-Verbindungen sind somit ein interessantes Ziel für Hacker, um diese abzufangen und Aktionen zu fälschen. Dagegen helfen Signaturen und Verschlüsselungen.

Im Jahr 2017 hat Microsoft bereits ein Update der Clients und Server bereitgestellt, welches die LDAP-Kanalbindung sowie LDAP-Signierung hinzufügt, aber noch nicht erzwingt.

Zunächst hatte Microsoft vor, die LDAP-Signierung beim kommenden Patchday im März zu erzwingen, doch hat nun Microsoft den Termin auf Mitte bzw. Ende 2020 erneut verschoben. Ein genauer Termin steht somit noch nicht endgültig fest.

Daten, die nicht verschlüsselt werden, können immer mitgelesen werden. Falls die Signierung fehlt, können Pakete sogar in beide Richtungen verändert werden. Für Angreifer ist natürlich der schreibende Zugriff auf das Active Directory ziemlich interessant, um sich eigene Konten anzulegen oder Gruppenmitgliedschaften zu ändern. Dazu hat Microsoft 2017 ein eigenes Security Advisory (CVE-2017-8563 | Windows Elevation of Privilege Vulnerability) veröffentlicht. Darin steht auch, dass Microsoft keine “Workarounds” vorsieht.

Sind alle Systeme halbwegs aktuell, werden Sie keine Probleme mit den Windows Clients und Server bekommen, da diese bereits seit 2017 darauf eingestellt sind und alle Funktionen enthalten.

Probleme könnte es aber mit folgenden Systemen geben:

VoIP-Gateways

VoIP-Gateways beziehen ggf. die Rufnummer via LDAP vom Domain Controller, um die Anrufe zu Skype for Business, Teams oder einer TK-Anlage zu routen.

Scan2Mail

Professionelle Multifunktionsgeräte können eingescannte Dokumente per Mail als PDF/TIFF weiterleiten. Dafür kann der Anwender im Firmenadressbuch nach Personen suchen. Dazu wird meistens ein Dienstkonto mit Lese-Rechte und LDAP verwendet. Nach der Zwangsaktivierung wird zumindest das Adressbuch nicht mehr funktionieren.

AntiSpam-Systeme

AntiSpam-Systeme prüfen beim Erhalt von Mails aus dem Internet intern, ob der Empfänger tatsächlich vorhanden ist und kann so ohne einen NDR zu erzeugen ungültige Mails ablehnen. Dazu werden meistens mittels LDAP die Email-Adressen des Mailservers über einen Domain Controller eingelesen.

Access-Gateways, WebApp Auth, Reverse Proxy und andere 3rd Party Apps

Firewall-Systeme, Access-Gateways, Proxys bieten meist einen Webserver-Schutz an, welcher Dienste vor Angreifern schützt und nach Anmeldedaten fragt. Diese Daten werden dann über ein Formular oder Basic Authentification abgefragt und ein Login-Versuch am Domain Controller mittels LDAP durchgeführt. Beispiele wären hier Sophos, Citrix ADC (NetScaler), Apache oder Azure ATP.

Empfohlende Aktionen

  • Finden Sie alle Systeme, die noch ungesicherte LDAP-Verbindungen zum Domain Controller aufbauen
  • Prüfen Sie die Systeme auf Kompatibilität für LDAP-Kanalbindung und LDAP-Signierung
  • Stellen Sie alle LDAP-Verbindungen auf das verschlüsselte Protokoll um
  • Falls noch keine Enterprise-PKI (Zertifizierungsstelle) in der Domäne vorhanden ist, sollte diese installiert und konfiguriert werden, da LDAPS natürlich ein gültiges Zertifikat benötigt.

Microsoft MyAnalytics

MyAnalytics ist ein Dienst in der Microsoft Office 365–Welt, um „Produktivitäts-Daten“, auf die ein Benutzer Zugriff hat, für sich selbst und automatisiert aufbereitet darzustellen. Der nett gemeinte Ansatz für sein eigenes Arbeitsleben Optimierungspotenziale zu erkennen, dürfte insbesondere für den datensensiblen Mitarbeiter ein unwillkommener Service sein. Besonders Betriebsräte wittern hier eine Mitarbeiterüberwachung.

MyAnalytics Dashboard (Bildquelle: Office.com)

Was macht MyAnalytics eigentlich?

Grob gesagt, nutzt es die Daten aus dem eigenen Kalender, Email, Chat, Skype, Teams, (ggf. auch Windows 10) und aggregiert sie zu einer Übersicht. Also Daten, auf die der Benutzer sowieso selbst zugreifen könnte. Hier kann ich mir dann anschauen, wie effizient ich meine Zeit einplane, mit wem ich häufig korrespondiere und andere Statistiken. Der Service macht auch Vorschläge zur Optimierung meines digitalen Tagesgeschäfts.

Und wer hat Zugriff auf diese Daten?

Die zusammengefassten Statistiken werden im Exchange Postfach jedes einzelnen Users gespeichert. Es gibt kein „Admin-Tool“ das eine zentrale Auswertung ermöglicht. Im Grunde kann jeder Benutzer selbst entscheiden, mit wem diese Daten anschließend geteilt werden sollen. Umgekehrt sehe ich als Anwender natürlich auch keine Daten meiner Kollegen.

Quelle:
https://docs.microsoft.com/de-de/workplace-analytics/myanalytics/overview/privacy-guide

Jetzt kommt das „Aber“…

Aber…es gibt eine Funktionserweiterung (Add-On) namens Workplace Analytics, als übergreifende Verwaltungsmöglichkeit für MyAnalytics. Dieses Tool ist aktuell noch nicht überall verfügbar oder käuflich zu erwerben. Damit können sehr wohl die Produktivitätsdaten von Mitarbeitern zentral ausgewertet werden, um dem Management Steuerungsmöglichkeiten an die Hand zu geben. Allerdings muss hier schon aktiv etwas getan werden um das zu ermöglichen (Gruppen hinzufügen, auswertende Benutzer benennen, etc.). Es lässt sich schlecht voraussagen, ob Workplace Analytics irgendwann in den höheren Plänen automatisch enthalten und standardmäßig aktiviert sein wird. IT-Verantwortliche sollten darauf achten, diese Funktion (sofern Verfügbar) nicht ohne entsprechende Vereinbarungen zu aktivieren.

Quelle:
https://docs.microsoft.com/de-de/workplace-analytics/privacy/data-protection-intro

Zusammengefasst:

Verwechseln Sie also bitte nicht MyAnalytics mit Workplace Analytics und klären Sie ihre Benutzer auf.

Einmal aktiviert, versendet MyAnalytics unglücklicherweise auch direkt Emails, die bei so manchem Mitarbeiter den Eindruck erwecken könnten, von nun an vollkommen überwacht zu werden.

Sollte jemand aus ihrem Unternehmen den Bedarf anmelden Workplace Analytics nutzen zu wollen, seien Sie aufmerksam und hinterfragen Sie den Einsatz.  

Deaktivieren von MyAnalytics

So schalten Sie MyAnalytics als Benutzer aus:

Gehen Sie auf ihr MyAnalytics Dashboard und öffnen die Einstellungen.

Anschließend kann man die Features deaktivieren.

Global als Administrator deaktivieren:

MyAnalytics kann man als Administrator unter „Einstellungen“ – „Services“ global konfigurieren (Eine Änderung kann bis zu 24h dauern).

Microsoft eröffnet neue Cloud-Rechenzentren für Azure in Deutschland

Die Anwendung Microsoft Azure, die bereits in über 50 weltweiten Regionen und 140 Ländern verfügbar ist, wurde von Microsoft durch zwei neue Datenzentren in Deutschland erweitert. Ersten Kunden und Partnern stehen die beiden neuen deutschen Rechenzentrumsregionen bereits zur Verfügung, sie werden aber in den nächsten Monaten noch weiter ausgebaut. Sie befinden sich in Berlin und Frankfurt.  

Datecenter Visual

Besonders bei regionalen Unternehmen mit strengen Compliance-Anforderungen erfreuen sich die neuen Datenzentren hoher Beliebtheit. Microsoft legt außerdem Wert auf hohe Sicherheits- und Datenschutz-Standards, so dass Geschäftskunden aller Branchen und Größe von den globalen Cloud-Diensten profitieren. Zukünftig soll auch der Funktionsumfang erweitert werden. Dann können Unternehmen, neben der Cloud-Anwendung Azure, auch noch auf weitere Anwendungen, wie z.B. Office 365 und Dynamics 365 zugreifen.

Lesen Sie mehr über die neuen Microsoft Azure Cloud-Rechenzentren.