Natürlich ist Microsoft Teams nicht das einzige Produkt, das solche neuen, teamorientierten Arbeitsweisen adressiert. Gerade Cisco und Unify haben mit WebEx Teams und Circuit ebenfalls spannende Produkte im Angebot, die jedoch beide auf sehr speziellen Ansätzen beruhen. Bei WebEx Teams steht der Meeting-Bereich klar im Vordergrund, bei Circuit liegt der Schwerpunkt auf der Kommunikation. Microsoft Teams hat daher mit seiner breiten Abdeckung praktisch aller Funktionsfelder aus Kommunikation und Kollaboration derzeit einen deutlichen Vorsprung.
In diesem Artikel werden zunächst die Voraussetzungen und Konsequenzen auf Arbeitsabläufe und Geschäftsprozesse analysiert und einige Aspekte zur Administration von Office 365 mit dem Augenmerk auf Einführung und Migration beleuchtet. Im Anschluss werden Tipps und Erfahrungen bei der Einführung und Konfiguration einer Teams-Umgebung diskutiert.
Abbildung 1: Sie brauchen eine Vision
So schön wie sich die Office-365-Produkte auch in der Theorie präsentieren, die Einführung von Office 365 ist alles andere als ein Selbstläufer:
- Bei der Verlagerung von Dokumenten in die Cloud sind rechtliche und sicherheitstechnische Aspekte zu beachten und Lösungen zur Klassifizierung, zu DLP (Data Loss Prevention) und Verschlüsselung von Dateien und E-Mails sowie zur Gewährleistung von Aufbewahrungsfristen und Löschpflichten umzusetzen.
- Teams muss moderiert, mit technischer und administrativer Unterstützung und flankierenden Mitarbeiterschulungen eingeführt werden. Die Auswirkungen auf die Administration und Verwaltung von Benutzern und Benutzergruppen sind sehr hoch und auch die Anforderungen und notwendigen Veränderungen bei Arbeitsabläufen und Geschäftsprozessen sind zu groß als dass man das einfach so laufen lassen sollte. Detaillierte Vorschläge zur kontrollierten Einführung von Teams werden weiter unten in diesem Artikel diskutiert.
- Selbst vermeintlich wohl bekannte Anwendungen wie Word, Excel oder PowerPoint verhalten sich in der Cloud anders! Auch hier spielen Kollaborationsfunktionen (jetzt auf Dokumentenebene) verstärkt eine Rolle, auch hier gibt es das Potential, dass sich alt hergebrachte Arbeitsabläufe zugunsten einer effektiveren Zusammenarbeit verändern.
- Erfahrungen bei fast allen Projekten und Kundengesprächen haben gezeigt, dass eine Cloud selten allein bleibt. Umgebungen mit mehreren Clouds, die untereinander vernetzt und integriert werden müssen, werden zunehmend zur Regel.
Bereits im Netzwerk Insider vom November 2018 hatten wir grundlegende Fragen und Rahmenbedingungen für den Gang in die Cloud und die Einführung von Cloud-Anwendungen generell diskutiert:
- Sie benötigen eine Zielbeschreibung/
eine Vision, wo Sie beschreiben, was Sie erreichen wollen.
- Sie müssen einen geeigneten Cloud-Provider als sogenannten Identity-Provider festlegen, der es Ihnen erlaubt, alle Cloud-Anwendungen und die gesamte Benutzerverwaltung in allen Clouds inklusive Single Sign-On und Multifaktor-Authentifizierung über eine einzige Schnittstelle abzuwickeln.
- Sie müssen entscheiden, wo welche Daten liegen und wie sie gegebenenfalls geschützt werden sollen. Auch hier ist es sinnvoll, einen einzigen Cloud-Dienst zur Ablage aller Dokumente auszuwählen und es nicht den Vorlieben von Mitarbeiten zu überlassen, in welcher Cloud welche Dokumente abgelegt werden.
- Sie müssen klären, welche Auswirkungen die Einführung der Cloud-Anwendungen auf Ihre Infrastruktur hat. Hier sind natürlich das interne Netzwerk, aber auch WAN-Verbindungen und -Zugänge zu betrachten. Insbesondere Ihr Internet- und Cloud-Zugang muss hinsichtlich Bandbreite, Qualität und Verfügbarkeit kritisch hinterfragt werden.
Sie brauchen eine Vision
Eine weitreichende und tragfähige Vision ist hierbei der wichtigste Aspekt und eine wesentliche Grundlage für die erfolgreiche Umsetzung eines Cloud-Projekts. Sie müssen für Ihr Unternehmen und für Ihre Mitarbeiter beschreiben, was durch den Gang in die Cloud erreicht werden soll und welche Geschäftsprozesse hierdurch optimiert und verbessert werden sollen. (siehe Abbildung 1)
Wenn Sie hierfür keine glaubhaften Argumente finden, werden sie den Übergang in eine moderne Büro- und Arbeitswelt (Stichwort: Digitalisierung 2.0) nicht schaffen!
Bei der Einführung von Office 365 stehen in diesem Zusammenhang die Bereich Kommunikation und Kollaboration weit im Vordergrund. Fast jedes aktuelle Schlagwort in diesen Bereichen führt Sie früher oder später zu Office 365: Dokumentenkollaboration, mobiles Arbeiten, Integration Externer, Persistent Chat, Huddle Rooms, Integration von künstlicher Intelligenz in Arbeitsabläufe – und immer ist die Basis ein Übergang von benutzerzentrischen, hierarchisch geprägten Arbeitswelten hin zu mehr Teamorientierung. Die Schlagworte aus der Digitalisierung-2.0-Diskussion führen in die gleiche Richtung: kollektive Intelligenz, Selbstorganisation, Selbstregulierung, Sharing Economy etc.
Abbildung 2: Menü des Microsoft 365 Admin Centers
Der Übergang von einer benutzerzentrischen Arbeitsweise zu einer teamzentrischen ist eine der zentralen Grundsatzentscheidungen, die Sie treffen müssen.
Aber aufgepasst: Teams, die nicht mehr in einer Organisationslinie angesiedelt sind, erfordern neue Lösungen und neue Arbeitsweisen für die Mitglieder im Team und neue Führungskonzepte seitens der Führungskräfte im Team. Gerade die modernen Kollaborationstools, die auf teamorientierten, persistent Chats beruhen, stellen die bisherige auf E-Mail basierende Kommunikationsweisen praktisch auf den Kopf – und Microsoft Teams unterscheidet sich hier in nichts vom Mitbewerb (Satya Nadella hat dies auf der Ignite 2017 als „a new culture of work“ bezeichnet).
Drei neue Konzepte kennzeichnen diese neue Arbeitskultur:
- Im Team sieht jeder alles. Alle haben Zugriff auf dieselben Informationen.
Anmerkung: Ja, das kann bei dem einen oder anderen einen Kulturschock auslösen.
- Es gibt nicht mehr den einen Ansprechpartner. Aufgaben werden an das Team delegiert und vom Team gelöst.
Anmerkung: Ja, das ist spannend: Es wird Mitarbeiter geben, die sich im Team wegducken, und solche, die sich unerwartet nach vorne stellen.
- Bereitgestellte Informationen unterliegen im Team einer Holschuld jedes einzelnen Teammitglieds!
Anmerkung: Das ist in vielen Organisationen die größte Herausforderung. Viele Mitarbeiter empfinden eine E-Mail als persönliche Darreichung einer Information, selbst wenn das drei- oder viermal redundant erfolgt und man persönlich nur in CC steht. Im Team muss man sich selbst darum kümmern, gut informiert zu sein, was zunächst schwerfällt. Nachrichten wie „Wichtige Information bitte weiterhin per E-Mail schicken!“ sind in der Einführungsphase nicht selten.
Hierbei müssen Sie Ihre Mitarbeiter mitnehmen und unterstützen – und zwar durch alle Führungsebenen hindurch. Natürlich geht es vordergründig um mehr Produktivität durch Kreativität und Dynamik im Team. Die Effizienz Ihrer Teams ist ein ernstes Thema.
Abbildung 3: Menü des Azure AD Admin Centers
Effizienz können Sie aber nur erreichen, wenn Ihre Mitarbeiter lernen und verstehen, dass sie im Team und mit diesen Tools besser und effektiver arbeiten können, dass Teamarbeit ein konkreter Vorteil für sie selbst darstellt. Wenn Teamorientierung als Schikane wahrgenommen wird oder von der Führungsebene nicht unterstützt wird, können Sie nicht erwarten, dass sich ein solches Produkt von allein auf breiter Basis in der Belegschaft durchsetzt.
Warum Office 365 wichtig ist
Aber kommen wir jetzt zur technischen Umsetzung einer Office-365-Einführung.
Office 365 ist nicht einfach die nächste Version von Office 2016 oder Office 2019, auch wenn Microsoft diese Assoziation offensichtlich ganz recht ist. Unter dem Namen Office 365 versammeln sich zunächst einmal eine Reihe unterschiedlicher Lizenzpakete, Microsoft nennt sie „Pläne“, auf Mietbasis für Cloud-Dienste, Cloud-Anwendungen, Apps für Desktops und Smartphones und klassische Desktop-Anwendungen. Gemeinsam ist allen Plänen:
- Azure AD als Basis für Administration und Verwaltung,
- die Cloud-Dienste Exchange, SharePoint, OneDrive, Skype for Business bzw. Teams als Basis für E-Mail, Datenhaltung und Kommunikation (die Pläne ProPlus und Business enthalten nur OneDrive),
- den Zugriff auf klassische Office-Formate wie Word, Excel, PowerPoint und Outlook – in jedem Fall in den browserbasierenden Online-Versionen, in den höherwertigen Plänen auch als lokal installierbare Version für Windows und MacOS.
In jedem Fall umfasst Office 365 durch die Integration der Cloud wesentlich mehr Funktionen und Anwendungen als nur die vier oder fünf Büroanwendungen der klassischen Office-Suiten. Mit Office 365 sind Sie in der Cloud und müssen damit Ihre oben andiskutierten Basisaufgaben erledigen!
Abbildung 4: Menü des Portals Microsoft Azure
Die große Bedeutung, die Office 365 am Markt hat, liegt jetzt nicht zuletzt darin, dass Microsoft mit Office 365 viele der oben angesprochenen Anforderungen durchaus zufriedenstellend und mit stellenweise umfangreicher Funktionalität adressiert:
- Azure AD stellt das zentrale Benutzer- und Gruppenverzeichnis für alle Office-365-Anwendungen zur Verfügung.
- Mit AD Connect kann ein eigenes Active Directory on-premises mit Azure AD synchronisiert werden.
- Cloud-Anwendungen Dritter können im Azure AD eingebunden werden und via SAML, Single Sign-On (SSO) und Auto-Provisioning kann auch deren Benutzerverwaltung in den meisten Fällen integriert und damit zentral administriert werden.
- Mit Funktionen wie Multi-Faktor Authentifizierung (MFA) und Conditional Access kann darüber hinaus auch der Zugriff auf Cloud-Anwendungen (egal ob es sich um Office-365-Anwendungen oder eingebundene Anwendungen Dritter handelt) detailliert gesteuert werden.
- SharePoint und OneDrive decken den Bereich Dokumentenverwaltung, Dokumentenkollaboration und Freigabe ab.
- Mit Intune stehen Werkzeuge zum Mobile Device Management (MDM) und zum Schutz mobiler Endgeräte zur Verfügung.
- Über das Office 365 Security & Compliance Center haben Sie Zugriff auf eine Reihe von Überwachungsfunktionen und Sicherheitsberichte zum Zustand und Nutzung von Office 365.
- Azure Information Protection (AIP) und Azure Advanced Threat Protection (ATP) runden die verfügbaren Sicherheits- und Datenschutzmechanismen weiter ab.
Microsoft bietet ihren Kunden also einen durchaus komfortablen Weg in die Cloud. Ein Komfort, der jedoch gefährlich sein kann! Insbesondere dann, wenn Sie kein Plan haben, was Sie in der Cloud wollen, wenn Sie keine Vision, keine Zielvorgaben, keine „Cloud Policy“ haben.
Microsoft baut übrigens diesen Komfort, alles aus einer Hand beziehen und betreiben zu können, mit neuen Lizenzsuiten, die nicht mehr „Office 365 …“, sondern jetzt „Microsoft 365 …“ heißen und zusätzlich eine Reihe von Sicherheitsfunktionen und Gerätemanagement beinhalten (im Wesentlichen das Produkt „Enterprise Mobility + Security“), verstärkt aus.
Die Einführung von O365 ist also schon aus administrativer Sicht angesichts der schieren Vielzahl von Funktionen und Parametern eine echte Großaufgabe.
Administration
Aber Microsoft wäre nicht Microsoft, wenn das alles völlig problemfrei und benutzerfreundlich umgesetzt wäre.
Zur Administration und Verwaltung eines Office-365-Mandanten muss man sich mit einer ganzen Reihe von Web-Portalen und Schnittstellen vertraut machen:
- dem Office 365 Admin Center (seit kurzem auch „Microsoft 365 Admin Center“),
- einer ganzen Reihe produktspezifischer Web-Portale für Exchange, SharePoint, OneDrive, Skype for Business, Teams, Flow,
- Web-Portalen für die Bereiche Security, Compliance und Geräteverwaltung,
- dem „Azure Active Directory Admin Center“ (zu erreichen über die URL https://aad.portal.azure.com/),
- dem Portal „Microsoft Azure“ (zu erreichen über die URL https://portal.azure.com/ – dieses Portal ist eine Obermenge des Azure AD Admin Centers, welches zusätzlich auch die IaaS- und PaaS-Produkte von Azure abdeckt; üblicherweise wird man für Office 365 dieses Portal nicht benötigen, leider sind jedoch einige Spezialfälle wie Azure Information Protection hier versteckt),
- PowerShell mit einer ganzen Reihe von Modulen/Libraries, die alle separat installiert werden müssen und sich bislang wenig konsistent zu einander verhalten,
- der REST-API „Microsoft Graph“.
(siehe Abbildungen 2-5)
Als Daumenregel kann man sagen, dass die Office-365-Portale etwas benutzerfreundlicher aufgebaut sind, aber dafür nur eine Teilmenge der möglichen Einstellungen zur Verfügung stellen, die beiden Azure-Portale bieten dagegen einen vollständigeren Blick auf die jeweiligen AD-Objekte, was je nach Objekt jedoch sehr umfangreich sein kann. Was in den Office-365-Portale und was in den Azure-Portalen zu finden ist, lässt sich jedoch nicht 1:1 zuordnen, die Themenbereiche und Einstellungen sind keineswegs gleich benannt, was man wo findet, ist unter Umständen auch Glückssache.
Abbildung 5: Untermenü „Azure Active Directory“
Und was dann immer noch fehlt, findet man (eventuell) über PowerShell.
Hinzukommt, dass wir ja Cloud-Anwendungen administrieren, und daher ist die Administration selbst ebenfalls eine Cloud-Anwendung! Cloud-Anwendung werden aber vom Provider in regelmäßigen Abständen weiterentwickelt oder verändert, was in diesem Zusammenhang hier bedeutet, dass beispielsweise Menüpunkte oder Einstellungen an eine andere Stelle verschoben werden. Gerade zurzeit wird das alte „Office 365 Admin Center“ zum neuen „Microsoft 365 Admin Center“ umgebaut, was viele Änderungen mit sich bringt. Aber auch das alte „Skype for Business Admin Center“ wurde im Zuge des Umbaus von Skype for Business hin zu Teams komplett aus dem Basismenü entfernt und ist seit kurzem nur noch über den Menüpunkt „Altes Portal“ im neuen „Microsoft Teams Admin Center“ zu finden.
Microsoft sorgt jedenfalls dafür, dass es Office-365-Administratoren nicht langweilig wird.
Beispiel „Unternehmensprofil“:
Im „Microsoft 365 Admin Center“ findet man unter Einstellungen den Punkt „Organisationsprofil“. Dort kann man Namen und Adresse des Unternehmens sowie einen technischen Kontakt hinterlegen. Außerdem findet man hier auch den Punkt „Veröffentlichungseinstellungen“, wo man steuern kann, wer im Unternehmen das Standardrelease von Office 365 und wer gegebenenfalls früher eine Vorabversion erhält. Darüber hinaus kann man die standardmäßige Navigationsleiste anpassen, ein Logo hochladen, entscheiden, ob der vollständige Name des angemeldeten Benutzers angezeigt wird, die Kacheln in der Liste „Meine Apps“ anpassen und unternehmensspezifische Helpdesk-Informationen festlegen.
Im Azure-Portal gibt es einen ähnlichen klingenden Menüpunkt „Unternehmensbranding“. Dort wird jedoch im Gegensatz zur Navigation eben jetzt die Anmeldeseite mit Logo, Hintergrundbild und Begrüßungstext designt! Außerdem findet man hier die Einstellung „Option ‚Angemeldet bleiben‘ anzeigen“, die es Benutzern ermöglicht angemeldet zu bleiben, auch wenn sie ihren Browser schließen.
Beispiel „Passwort-Richtlinien“:
Im „Microsoft 365 Admin Center“ findet man unter Einstellungen – „Sicherheit und Datenschutz“ den Unterpunkt „Kennwortrichtlinie“. Anders als man vielleicht erwarten könnte, kann man hier aber nur zwei Option festlegen:
- die Tage bis zum Ablaufen der Kennwörter und
- die Tage, bis ein Benutzer über den Ablauf informiert wird.
Ich persönlich bin übrigens an dieser Stelle der Meinung, dass man die Frist zum Ablauf der Kennwörter ruhig großzügig bemessen sollte. Ein Jahr oder auch mehr sind bei einem guten Passwort durchaus akzeptabel. Im Gegenteil: Es gibt keinen vernünftigen Grund ein gutes Passwort nach 30 oder 40 Tagen wegzuwerfen. Wesentlich wichtiger ist es, die Benutzer darin zu schulen, was ein „gutes“ Passwort ist – und vergessen Sie nicht: Ein „gutes“ Passwort muss man sich merken können!
Weitere Einstellungen findet man im Azure-Portal unter Authentifizierungsmethoden – Kennwortschutz. Hier gibt es zwei weitere Optionen:
- die Anzahl fehlerhafter Anmeldeversuche bevor ein Konto erstmalig gesperrt wird und
- die Dauer dieser erstmaligen Sperre in Sekunden.
Bei jedem weiteren Fehlversuch wird im Übrigen das Konto direkt wieder gesperrt und die Sperrdauer jeweils verlängert.
Außerdem kann man unter diesem Menüpunkt eine eigene Liste mit verbotenen Passwörtern hochladen. Denkbar sind hier Firmenname, Abteilungsnamen und andere Begriffe, die man im Zusammenhang mit dem eigenen Unternehmen als üblich betrachtet und die von Unbefugten, extern wie intern, erraten werden könnten.
Weiter adressiert das Azure-Portal unter dem Menüpunkt „Kennwort zurücksetzen“ auch einen etwas anderen Aspekt, nämlich ob und gegebenenfalls welche Benutzergruppe eigene Passwörter zurücksetzen darf (via Link „Passwort vergessen“), welche Authentifizierungsmethoden hierfür zur Verfügung gestellt werden und einige weitere Option rund um diesen „Self-Service“.
Will man tatsächlich noch tiefer in Passwort-Richtlinien einsteigen und beispielsweise die Komplexität oder die Länge von Passwörtern festlegen, geht das nur über das Produkt Azure Active Directory B2C, welches zusätzlich lizenziert werden muss.
Wollen Sie jetzt noch für einzelnen Service-Accounts verhindern, dass deren Passwörter ablaufen, so geht das nur über PowerShell:
- Sie müssen das Module AzureAD installieren und sich mit Connect-AzureAD anmelden.
- Danach können Sie eine Liste mit den Einstellungen aller Benutzern abrufen:
Get-AzureADUser -All $true |
Select-Object UserprincipalName, ObjectId,
@{ Name = „PasswordNeverExpires“;
Expression = {$_.PasswordPolicies -contains „DisablePasswordExpiration“} }
- Der folgende Befehl setzt dann für den Benutzer mit der angegebenen ObjektId den Flag „DisablePasswordExpiration“:
Set-AzureADUser -ObjectId -PasswordPolicies DisablePasswordExpiration
Teile diesen Eintrag