#12 – Road to M365 Part 3

Herzlich willkommen zu einer neuen Folge HITcast. Hallo Philip. Moin Dennis. Heute Teil 3 unserer Microsoft 365 Kurzserie. Genau. Wir haben letztes Mal schon angeteasert, worum es heute gehen soll. Im Großen und Ganzen beschäftigen wir uns heute mal mit dem Thema Sicherheit in Bezug auf Microsoft

365. Was haben wir dabei? Da hatte unsere XYZ GmbH noch ein paar Fragen, glaube ich. Genau. Ja, ich glaube, wir sind stehen geblieben mit der Einstiegsfrage in das Konstrukt Sicherheit, wie es mit dem Backup aussieht. Also was muss ich eben tun, damit ich im Zweifel meine E-Mails, auch wenn die da diesem Cloud Exchange Server liegen, nicht verlieren kann, beziehungsweise ist so etwas wie ein Backup in den Plänen von Microsoft 365 integriert. Vielleicht können wir damit mal grundlegend starten in Bezug auf das Gesamtthema Sicherheit. Genau, ich denke,

wir können es noch erweitern, weil die Musterfirma, die wir besprochen haben, ja auch ihre Dateien ein Stück weit in SharePoint organisieren möchte und auch da stellt sicher das Thema Backup in den Raum. Wenn ich jetzt an einen normalen Dateiserver denke, den ich im Unternehmen betreibe oder auch einen Mail-Server, dann habe ich im besten Fall irgendwie ein Backup, sollte ich auf jeden Fall haben. Und genau, brauche ich das bei Microsoft in der Cloud auch. Jetzt könnte man als Impulsantwort darauf sagen, nee, wieso, Microsoft macht das schon. Das wäre so die, wahrscheinlich der erste Gedanke, auf den man kommt. Und da kann man gleich mal vorwegnehmen, der ist so nicht ganz richtig. Leider nicht. Genau, also Microsoft übernimmt natürlich die Betriebsverantwortung dafür. Das heißt, es gibt eben garantierte Verfügbarkeiten für die Dienste von 99,99 Prozent, unterschiedlich für verschiedene Dienstbereiche. Die beinhalten aber nicht, dass Microsoft sich auch um die Daten kümmert, die ich als Kunde dort ablege. Heißt natürlich, bedingt durch die Verfügbarkeit, sind die Daten an mehreren Standorten vorgehalten und werden gespiegelt. Ich habe dann sowas wie einen Papierkorb im SharePoint und auch im OneDrive, aus dem ich Elemente wiederherstellen kann. Ich kann Vorgängerversionen von bestimmten Dateitypen wiederherstellen, aber ich habe halt kein Backup. Heißt, ein Backup soll mich ja schützen vor dem Verlust von Daten, die ich habe. Und dieser Verlust von Daten, der kann ja aus verschiedenen Gründen eintreten. Also da ist ja sowas denkbar wie ein versehentliches Löschen. Ich lösche irgendwie eine Datei, die ich nur alle paar Monate mal brauche, die landet im Papierkorb, aber der wird nach ein paar Tagen gelöscht automatisch und dann habe ich keinen Zugriff mehr drauf und ich stelle das erst ein paar Monate später fest und es geht total weg. Oder aber ein Mitarbeiter verlässt das Unternehmen und verlässt es vielleicht nicht so ganz im Guten und sagt, ach vorher, da räume ich nochmal ein bisschen auf und das mit dem Aufräumen, das übertreibt er vielleicht ein bisschen und löscht so ein paar Dateien, die er nicht hätte löschen dürfen und auch die sind dann möglicherweise weil er auch den Papierkorb gleich leert. Ich hab immer das Risiko, dass ich Dateien verliere, und das will ich auf keinen Fall.

Wie muss ich mir das grundlegend vorstellen? Muss ich so was händisch machen? Also muss ich beispielsweise so etwas machen wie, dass ich die gesamten Daten, sowohl E-Mails eben als auch die Daten, die ich im SharePoint oder OneDrive ablege, händisch auf irgendetwas Physischem speichere, beispielsweise bei mir im Unternehmen. Gibt es automatisierte Lösungen? Bietet vielleicht sogar Microsoft-Inhouse-Lösungen dafür an? Wie ist da der sinnvollste Weg?

Genau, also es gilt da, wie auch bei anderen Backups, wir haben das ja in einer vorigen Folge schon mal besprochen, das Thema Backup, und auch da gilt, ein manuelles Backup ist definitiv nicht zu empfehlen. Also das ist zum einen natürlich sehr, sehr fehleranfällig, weil ich das immer manuell machen muss, ich muss mich irgendwie daran erinnern, das zu tun. Und zum anderen wird es auch sehr, sehr aufwendig, je mehr Mitarbeiter ich habe, je größer mein Unternehmen wird, wie will ich dann irgendwann alle E-Mails kopieren? Also das artet aus, das wird sehr sehr unübersichtlich und dass da Fehler passieren, das ist nahezu einprogrammiert. Deswegen empfiehlt sich da auf jeden Fall ein manuelles Backup.

Ein automatisiertes Backup.

Genau, empfiehlt sich also kein manuelles Backup, sondern ein automatisiertes Backup. Und ja, da gibt es verschiedene Varianten. die schönste ist da natürlich, wenn ich mich darum überhaupt nicht kümmern muss. Also eines der Ziele, die ich mit Microsoft 365 verfolge und das folgt ja auch unserer Musterfirma, die wir besprochen haben, ist, dass die Serverstruktur, die Infrastruktur von lokal wegkommt. Also macht es ja relativ wenig Sinn, wenn ich mir dann lokal irgendwie einen Server wieder hinstellen würde, auf dem ich dann eine Sicherung mache von Microsoft 365. Dann habe ich so ein bisschen das Ziel verfehlt. Deswegen gibt es da eben auch verschiedene Dienstleister, die anbieten, eine Datensicherung in die Cloud zu machen. Heißt, die verbinde ich einmal mit meinem Microsoft 365 Tenant, dann richte ich dort ein, was ich sichern möchte und dann richte ich noch ein, wann das gesichert werden soll, wie häufig, wie lange es vorgehalten werden soll, solche typischen Backup-Themen eben. Und dann werden diese ganzen Microsoft 365 Inhalte eben in regelmäßigen Abständen kopiert und gesichert eingelagert.

Jetzt vielleicht noch eine kurze Frage, die mir einfällt in Bezug auf die im weitesten Sinne Speicherung an anderen Orten meiner E-Mails. Wie ist es mit einer Archivierung meiner E-Mails beispielsweise? Also es gibt ja nun diverse Datenschutzgrundverordnung-Richtlinien, die mich im Zweifel dazu verpflichten, auch so etwas wie ein E-Mail-Archiv zu führen. Das wiederum ist aber nicht mit dem Backup gleichzusetzen, richtig?

Genau, ein E-Mail-Archiv ist ja nochmal getrennt davon zu sehen. Das Backup dient ja wirklich dem Schutz vor Datenverlust. Und das Archiv erfüllt eine Nachweispflicht im Falle dieser gesetzlichen Vorgaben. Und eine E-Mail-Archivierungslösung, die gibt es beispielsweise auch direkt von Microsoft aus, in Verbindung mit einigen Exchange-Plänen, beispielsweise dem Exchange Online Plan 2 oder aber auch dem Microsoft 365 Business Premium, was wir jetzt schon häufiger auch besprochen haben. Das enthält auch die Möglichkeit der E-Mail-Archivierung, die kann eingerichtet werden und dann habe ich eben genau auch eine Archivierung aller E-Mails und dazu brauche ich aber trotzdem noch ein Backup.

Perfekt, genau, wir sagten ja eingangs, dass es heute ein bisschen im weitesten Sinne um Sicherheit in Microsoft 365 gehen soll. Ich glaube, dass wir, was das Backup angeht, jetzt eine ganz gute Übersicht haben der Möglichkeiten oder beziehungsweise eben auch der Information, dass Microsoft selber durch die Inhouse M365 Lösung nicht dafür sorgt. Wie muss ich mir das Thema Sicherheit im weitesten Sinne weiterhin vorstellen? Also was für Richtlinien beispielsweise kann ich erstellen? Ich glaube, so das klassischste Beispiel vielleicht für so eine Frage wäre, ich benutze jetzt meine Sharepoint Umgebung, um Dateien in der Firma zu teilen, vielleicht auch mit Kunden zu teilen. Wie läuft es ab bzw. was habe ich als Administrator meines 365 Tendents eben für Möglichkeiten, da Berechtigungsstrukturen zu erstellen und zu entscheiden, wer was machen darf?

Genau, also erst mal ist es natürlich entscheidend, ich kann in SharePoint genauso auch Berechtigungsstrukturen einführen, wie ich das möglicherweise auch lokal kann. Heißt, ich kann Gruppen festlegen, anhand denen ich dann Berechtigungen verteilen kann an verschiedene Mitarbeitergruppen oder ich kann eben auch auf Basis einzelner Mitarbeiter Berechtigung erteilen. Genauso macht es durchaus Sinn, sich darüber im Vorfeld schon mal Gedanken zu machen. Heißt, wie möchte ich die Dateistruktur, die ich da anlege, oder auch die Organisationsstruktur abbilden. Also möchte ich das Ganze machen in Form von Abteilungen, die ich anlege. Arbeite ich projektbasiert. Genau, also da einfach mal vorher ein bisschen Gedanken zu machen und dann diese Struktur eben anlegen, anzulegen oder anlegen zu lassen und dann gleich auch mit entsprechenden Berechtigungen darauf zu arbeiten, dass man gar nicht erst soweit kommt an die Stelle, dass man sagt, okay, wir haben jetzt irgendwie hier einen Haufen Dateien und Ordner und müssen jetzt durchsortieren, wer wo Zugriff hat. Das macht es immer sehr, sehr umständlich, wenn man das erst im Nachhinein machen möchte. Und darüber hinaus muss ich mir natürlich auch Gedanken machen, du hast eben das Teilen von Dateien angesprochen. Da muss ich mir auch Gedanken machen. Möchte ich global erlauben, dass Dateien nach extern geteilt werden oder möchte ich das eben einschränken? Also es kann ja durchaus sein, dass ich auch sage, nein, dieser Bedarf, dass Dateien nach extern geteilt werden, die gibt es bei uns in der Firma nicht. Alle Dateien, die dort abgelegt werden, die sind intern und müssen da auch verbleiben. Dann sollte ich das auch global deaktivieren, das Dateien geteilt werden können.

Ja, jetzt vielleicht dazu noch, was mir in der Vergangenheit aufgefallen ist, welche Frage noch relativ häufig aufkommt. Jetzt habe ich beispielsweise so etwas wie freie Mitarbeiter oder auch Angestellte von Kunden, die ich betreue, was auch immer ich mit meiner Firma tue. Und ich möchte denen gerne vereinzelt meine Datei teilen,

die ich in meinem Sharepoint habe.

Ist es dann notwendig, dass derjenige, derjenige, dem ich die Datei teilen möchte, Bestandteil meiner Microsoft 365 Umgebung schrägstrich meines Tenants ist? Oder ist es einfach ausreichend, wenn derjenige über einen entsprechenden Microsoft 365 Plan verfügt? Ja, das ist wieder sehr detailliert nachher,

abhängig davon, wie sehr ich die Person einbinden möchte oder auch muss und was sie können soll. Also wenn der externe Mitarbeiter eigentlich mehr ist wie ein interner Mitarbeiter und auch genau das gleiche tut für meinen internen Mitarbeiter, dann ist es sicherlich notwendig, dass ich den auch damit reinhole in die Organisation. Dann bin ich wieder an dem Punkt, dass ich sehr detailliert darauf achten muss, was für Zugriffsrechte habe ich wozu gewiesen, weil der hat sicherlich noch mal eine andere Zugriffsrechtsebene, als das die internen Mitarbeiter wirklich haben. Das heißt, da muss ich sehr genau hingucken. Im Falle von anderen Geschäftspartnern, Lieferanten, Kunden etc., da reicht es vermutlich, wenn man die Dateien einfach mit denen jeweils nach extern teilt. Aber das muss man sich im Einzelfall anschauen.

Ja, sehr cool. Ich glaube, dass die letzten Sätze, die du gesagt hast, grundsätzlich zeigen, wie wichtig es ist, sich einfach von vornherein Gedanken über meine Dateistruktur, über meine Sharepoint-Struktur, über meine One-Drive-Struktur zu machen und eben auch, so gut es geht, gleich mit zu entscheiden, was für Arten von Benutzergruppen mit entsprechenden Rechten ich haben möchte, weil es einfach deutlich schwieriger ist, das nachher in einer bestehenden Struktur umzusetzen. Absolut genau.

Zumal ich ja im Zweifel auch nachher im Tagesgeschäft einfach für Unterbrechungen sorge. Ja.

Vielleicht nochmal grundlegend zu der Verwaltung. eines solches, eines solchen M365-Tenants. Also ich habe ja einmal das Tenant als solches und nun spricht ja die IT-Welt in letzter Zeit recht häufig über die ganz tollen neuen Techniken, die alle cloud-basiert sind, sprich Microsoft Azure zum Beispiel. Was für Möglichkeiten, ich werfe einfach mal das Stichwort Endpoint Manager in den Raum, vielleicht nur um unseren ZuhörerInnen einmal einen kurzen Überblick darüber zu geben, wie genau kann ich denn die Azure-Welt mit meiner Microsoft 365-Welt verknüpfen?

Ja, genau. Jetzt sind wir so ein bisschen von dem Bereich rein Office-Management oder Office-Lösungen, also SharePoint, OneDrive und Exchange, so ein bisschen weg. Gehen so bisschen Bereich in den Bereich Infrastruktur rein. Endpoint Manager ist so die Geräteverwaltungsplattform von Microsoft. Auch da wieder kann ich in verschiedenen Plänen extra buchen oder aber als Beispiel wieder unser Microsoft 365 Business Premium Plan, der beinhaltet Lizenzen für Endpoint Manager. Und das heißt, da kann ich meine Geräte in eine Azure Active Directory aufnehmen. Die werden dann damit verbunden und ich kann auf diese Geräte bestimmte Richtlinien durchsetzen und ich kann die quasi über diese Plattform verwalten. Also ich kann festlegen, dass die zum Beispiel alle eine Festplattenverschlüsselung haben müssen. Ich kann festlegen, dass ich die Geräte, wenn sie verloren gehen, aus der Ferne löschen kann. Ich kann sie darüber zurücksetzen. Ich kann bestimmte Funktionen deaktivieren. Ich kann die Benutzeranmeldung darüber steuern und ich kann auf der anderen Seite wiederum auch diese Funktion dafür nutzen, um meine gesamte Cloud-Umgebung zu schützen. Ich kann halt festlegen, dass der Zugriff nur von diesen Geräten aus erfolgen kann, die wiederum im Intune registriert sind. Ich kann darüber eben also bestimmte Sicherheitsrichtlinien auch verfeinern und Geräte schützen. Ich kann Applikationen automatisch ausrollen und da sind wir noch einen kleinen Step weiter. Es gibt noch eine eine Funktion, die nennt sich Windows Autopilot. Mit Windows Autopilot kann ich neue Geräte, also PCs oder Laptops, automatisiert auf Basis von Vorlagen, die ich erstellen kann, installieren lassen. Also ich kann damit eben so ein Gerät Deployment weitestgehend automatisieren. Ich bestelle ein neues Gerät, das übergebe ich dem Mitarbeiter, der es bekommen soll. Der meldet sich an und dann wird automatisch die Verknüpfung zu diesem Windows Autopilot hergestellt, zu Intune, zum Endpoint Manager hergestellt und das Gerät wird automatisiert installiert nach meinen Vorgaben und ist dann direkt einsatzbereit für den Mitarbeiter.

Ja, wenn du sagst, es wird fertig eingerichtet, gilt das nur in Bezug auf alles, was mit Microsoft 365 oder eben Intune, Azure Umgebung etc. zu tun hat? Oder ist es auch möglich zu sagen, ich habe grundsätzliche Tools, mit denen wir als Unternehmen arbeiten, und die können dann in dem Zug gleich mit ausgerollt werden, die nicht Microsoft-basiert sind, sage ich mal? Das geht, ja.

Also ich kann das im weitesten Sinne für alles verwenden, was ich an Tools einsetze. Ich kann also verschiedene Applikationen dort hinterlegen. Das ist mal mehr, mal weniger aufwendig, je nachdem, was es für Applikationen sind. Aber grundsätzlich geht das für alles, ja.

Ja, vielleicht noch mal ganz kurz eine ... eine vielleicht etwas dann detailliertere Frage. Und zwar, du sagtest, das ermöglicht mir eben, dass der Mitarbeiter dann quasi das fertige Notebook bekommt, fertig eingerichtet. Diesen Prozess, wie muss ich mir den vorstellen? Also ich sage jetzt nur um Beispiel zu nennen, am 1.3. fängt hier ein neuer Mitarbeiter an. Herr Meier fängt am 1.3. an, genau. Und was für Informationen muss ich jetzt meinem Endpoint Manager oder meinem Autopilot geben und welche Informationen braucht dann aber auch Herr Meier, der am 1.3. anfängt, damit dieser Ablauf reibungslos funktioniert?

Ja das Schöne ist, das beschränkt sich auf im Wesentlichen drei Informationen. Herr Meier, der im ersten dritten anfängt, der braucht seinen Benutzernamen und sein Passwort. Und als Dienstleister, der möglicherweise das Gerät beschafft, muss ich dann, gibt es halt pro Gerät eine ID, eine eindeutige ID, die trage ich eben Endpoint Manager im Autopilot ein, hinterlege die dort und in dem Moment, wo dann Herr Meier sich an dem Gerät anmeldet, wird das Gerät gemäß dieser ID verknüpft und dann entsprechend installiert. Vielleicht noch mal

ganz kurz etwas zurück. Du sagtest vorhin, dass man ein Azure-ID verknüpft bzw. Benutzer in einem Azure-ID erstellt. Kann ich mir das so vorstellen, dass dieses Azure-ID weitestgehend das herkömmliche Active Directory, wie es der ein oder andere sicherlich kennt, auf der On-Premise-Lösung im Büro eins zu eins ersetzen kann, sodass ich das bei mir gar nicht mehr brauche?

Ja, auch eine Frage, die man jeweils im Detail sich anschauen muss. Das ist so ein bisschen ein Jein, weil es von sehr vielen weiteren Faktoren abhängt, was ich noch weiter damit anstelle. Grundsätzlich die Verknüpfung Azure AD, Endpoint Manager, Autopilot, das ermöglicht mir eine Verwaltung meiner Geräte und eine Absicherung meiner Microsoft 365 Instanzen. Und darüber hinaus hängt es dann eben davon ab, zum Beispiel muss ich noch, irgendwie habe ich noch Datenbanken, Server oder ähnliches, die ich damit verknüpfen will, dann reicht es nicht. Aber auch das ist eine Sache, wenn wir da ins Detail gehen, dann brauchen wir ein bisschen länger heute. Wäre also auch eine Sache, die man dann klären muss in einer persönlichen Beratung.

Genau, das ist ein gutes Stichwort. Da können wir vielleicht noch mal ganz kurz darauf hinweisen, dass man sich natürlich eine persönliche Beratung sehr gerne auf unserer Internetseite buchen kann.

Genau, unter hagel-it.de slash Termin kann man sich eine persönliche Beratung buchen und das sollte man auch tun, wenn man jetzt hier in den letzten drei Folgen etwas mitgenommen hat und sagt, Mensch, das klingt für mich auch interessant, da möchte ich gern mehr darüber wissen oder ich habe vielleicht schon einen Teil davon umgesetzt und möchte das gerne erweitern, möchte auch so ein paar coole Features wie Autopilot oder Endpoint Manager nutzen oder ich habe vielleicht auch kein Backup für meine Microsoft 365 Umgebung dann gerne einen Termin buchen. Dann unterstützen wir Sie

gerne bei Ihrer Road to M365 würde ich sagen. Absolut richtig. Philip, ich glaube für heute passt es. Auf jeden Fall. Eine Menge Infos, ich glaube das sollten unsere ZuhörerInnen erstmal sacken lassen. Genau. Und dann hören wir uns zur nächsten Folge wieder. Richtig, alles klar. Mach's

gut Dennis. Bis dann.