IT und Recht, Cloud und mehr
Protect Identities, Devices and Your Company Information in Today’s Device-Centric World, so heißt das neue eBook von Microsoft.
Das eBook ist aus November 2015 und enthält viele gute Grafiken und Erläuterungen.
Dies kann von dieser Webseite geladen werden:
Microsoft und im speziellen die Office-Produktgruppe gibt nicht nur gegenüber uns MVPs mehr Informationen frei, sondern hat vor einigen Wochen begonnen Ihre Pläne auf dem Office-Blog öffentlich zu machen und zeigt so mehr Transparenz auch für Endkunden, Administratoren und User.
Heute kündigte Microsoft neue Pläne für Office 365 für kleine und mittlere Unternehmen bis 250 User an. Diese sollen am 1. Oktober 2014 verfügbar sein:
1. Office 365 Business
Die vollständigen Office-Anwendungen: – Outlook, Word, Excel, PowerPoint, OneNote and Publisher, with 1TB OneDrive for Business, bearbeiten und teilen von Dokumenten auf Windows PC, Mac, iPad, Windows Tablet and Smartphone.
keine Clouddienste
Kosten: 8 Dollar pro User pro Monat
2. Office 365 Business Essentials
Cloud-Services, wie Email, Kalender (Exchange Online)oder auch Office Online (Office Web Apps), Online-Meetings, Konferenzen, Chat und Telefonie mit Lync Online und FileSharing, sowie Cloud-Speicher mit OneDrive for Business. Ebenso dabei Yammer und active Directory Unterstützung für Hybridumgebungen.
keinen Office für den Desktop
Kosten: 5 Dollar pro User pro Monat
3. Office 365 Business Premium
Dieser größte Plan ist eine Kombination aus den Cloud-Diensten aus dem Office 365 Business Essentials Plan und dem Office 365 Business Plan. Hier hat der User Vorteile aus beiden Welten zur Verfügung.
Kosten: 12,50 Dollar pro User pro Monat
Bildquelle: Microsoft Corp.
Wechselmöglichkeiten zu anderen Plänen:
ja, zu allen Enterprise Plänen und Bindung zu Project Online, Visio Online oder Dynamics Online
Was passiert mit bestehenden Plänen? Was sollte man wissen?
1. Reduzierung des Preises von 15 Dollar auf 12 Dollar ab dem 1. Oktober 2014
2. Erhöhung der Usergrenzen auf 300
3. neue Midsize Kunden erhalten die neuen Preise und Leistungen schon ab 1. August
4. Keine Änderungen für Bestandskunden bis Oktober 2015. Microsoft verspricht Bestandsschutz für volle 12 Monate. Dann muss man sich jedoch für einen der neuen Pläne entscheiden.
5. Jeder Kunde erhält eine individuelle Email von Microsoft mit den neusten Informationen und eventuellen Umzugsplänen, die aber laut Microsoft nur eine kleine Gruppe betreffen werden.
Bildquelle: Microsoft Corp.
Quelle der Informationen:
http://blogs.office.com/2014/07/09/evolving-office-365-plans-for-small-and-midsized-businesses/
Heute in einem großen oder kleineren Unternehmen wird die Kommunikation bisher im Hauptteil per Telefon oder per Email oder sogar noch per Umlaufverfahren erledigt. Stellen wir uns also so ein Unternehmen und dessen Alltag der Mitarbeiter einmal vor.
Das Umlaufverfahren kennen einige von euch bestimmt noch aus vielen Behörden und älteren Unternehmen. Es gibt einen Hauspostumschlag mit mehreren Feldern und die Personen erhalten die Informationen nach einander in ihr Postfach gelegt. Anschließend öffnet man den Umschlag und liest den Inhalt. Danach muss der Umschlag abgezeichnet werden und geht an die nächste Person per Hauspost. Bis 10 Personen die Informationen haben, können mehrere Tage ins Land ziehen. Per Telefon ist dies wesentlich schneller, aber auch hier werden in der Regel keine Konferenzen gemacht, sondern die typische Telefonkette zieht durchs Büro. Letztlich in einigen Unternehmen, eigentlich in fast allen, die ich nun kenne gibt es Emailverteiler. Die Informationen werden per Verteiler an viele bis zu mehrere tausend Mitarbeiter gleichzeitig geschickt. Oft kommt es dann zu lustigsten Gegebenheiten, die auf Dauer aber eher nerven. So schreiben Kollegen gerne +1, wenn sie der Person zustimmen wollen oder es wird nicht sauber unterschieden zwischen “Senden an alle” und “Senden an eine Person”.
Dies führt sehr oft zu vollen Postfächern und damit zu Unmut bei den Kollegen. Der Unmut ist jedoch nicht der schlimmste Faktor, sondern die aufkommende Zeit, die für das Sichten der Emails nötig ist oder auch der Faktor, dass die Emails einer Liste überhaupt nicht mehr gelesen werden.
Nun gibt es eine Lösung: Social Enterprise!
Viele Firmen haben erste Anfänge schon vor gut zwei Jahren gemacht und neben offline Infowänden in den Gängen auf die Mitarbeiter “posten” konnten auch IT-Tools eingesetzt. In Lotus Notes gibt es zum Beispiel Chat Integrationen oder man nutze sogar unsichere Varianten wie Twitter, WhatsApp, Facebook-Gruppen oder Google-Kreise. Der Vorteil liegt bei dieser Nutzung klar auf der Hand, fast jeder Mitarbeiter hat ein WhatsApp Konto oder auch ein Facebook Konto, wer nicht mitgemacht hat, der musste sich eines anlegen. Facebook baut dies aktuell sogar aus, indem es in der vergangene Woche Facebook for Business anbietet.
Der Nachteil liegt jedoch auch ebenso klar auf der Hand: Security & Compliance. Diese gängigen Tools sind entweder offen schon mit Google oder Bing durchsuchbar oder man weiß, dass nicht nur die NSA die Daten gerne benutzen will. Die Konkurrenz ist hier auch nicht immer fern.
Nun gibt es und gab es Yammer. Das Unternehmen wurde vor einiger Zeit von Microsoft aufgekauft und in Office 365 integriert. In Office 365 hat man nun zwei Varianten des Social Enterprise zur Auswahl:
Hier beide Tools einmal im groben Überblick:
Yammer wird aktuell eingesetzt zum Beispiel von: DHL, Shell, razorfish usw.
Ich persönlich finde, dass Yammer durch die Nutzung per App über sehr viele Devices die größt mögliche Flexibilität und Sicherheit gerade im Enterprise Plan bietet. Es wäre aktuell das Tool meiner Wahl.
Yammer Security (https://about.yammer.com/product/security/)
schönes Video:
http://ignite.office.com/webcasts/enterprise-social-from-microsoft-with-yammer
Upgrade auf Yammer Enterprise:
http://office.microsoft.com/en-us/office365-suite-help/upgrade-your-network-to-yammer-enterprise-HA104118334.aspx
oder von meiner MVP Kollegin Martina Grom in Deutsch:
http://blogs.technet.com/b/austria/archive/2013/11/09/wie-sie-yammer-in-einem-office-365-enterprise-plan-aktivieren.aspx
Yammer:
https://www.yammer.com/?return_home=true
Yammer & Office 365
https://about.yammer.com/product/office365/
Nachdem auch im Unternehmen immer mehr auf die sichere Unternehmenskommunikation geachtet wird und werden muss, habe ich mich in diesem Blogbeitrag noch einmal mit dem Thema in Verbindung mit Office 365 beschäftigt.
Exchange Online in Office 365
Zunächst werden Emails in Office 365 über den in der Office 365 Umgebung integrierten Exchange Online Server empfangen und gesendet. Jeder Office 365 Account ist gleichzeitig eine Emailadresse. Die Emails werden in Default nicht verschlüsselt. Das ist der Stand der Dinge, wenn man einen Office 365 Tantent erhält.
Emailverschlüsselung Teil 1: Right Management / Informations Right Management
Im Rahmen des Right Management kann der Administrator auf der einen Seite festlegen welche Benutzer mit welchem Inhalt untereinander Emails schreiben können und welche nicht. Auf der anderen Seite können auch Benutzer festlegen wer von Administrator vordefinierte Gruppen Emails versenden oder auch welche den Inhalt der Email sehen können.
Beschränkungen können so vom User unter Optionen bei Outlook in der Email eingestellt werden:
Ein kleiner Nachteil ist, dass die Beschränkungen nur innerhalb der Organisation möglich ist. Benutzer können so ihre Emails und deren Inhalte vor anderen Benutzern innerhalb der Organisation und vor Externen schützen, wenn die Email an einen Account innerhalb der Organisation geht. Dies kann soweit gehen, dass auch die Screenshotfunktion des Betriebssystems und auch die z.B. von OneNote nicht verfügbar ist.
Die Email an sich ist mit einem roten Kreis mit einem kleinen weißen Strich in der Mitte gekennzeichnet. Dieses Symbol kennt ihr bestimmt aus dem Straßenverkehr, es ähnelt dem Durchfahrt-Verboten Schild.
Emailverschlüsselung Teil 2: TLS Verschlüsselung
Unter TLS Verschlüsselung versteht man ein hybrides Verschlüsselungsverfahren. Den meisten unter euch müsste es als Webstandard TLS/SSL im Browser bekannt sein .Wenn ihr zum Beispiel Onlinebanking macht oder in einem Online-Shop einkauft wird dieser Standard genutzt. Die Hauptaufgaben liegen einmal in der Authentifizierung der Kommunikationspartner unter Verwendung von asymetrischen Verschlüsselungsverfahren und Zertifikaten, sowie der Austausch eines gemeinsamen Sitzungsschlüssels (Session-Key). Weiterhin dient es zur vertraulichen Datenübertragung von einem Ende zum Anderen mit Hilfe symmetriescher Verschlüsselungsverfahren unter Verwendung eines gemeinsamen Sitzungsschlüssels. Als Letztes soll durch dieses Verfahren die Integrität der transportierten Daten unter Verwendung eines Message Authentication Codes sichergestellt werden.
Eine Informationen findet ihr beim BSI (Bundesamt für Sicherheit in der Informationstechnik)
Beispiel für öffentliche Einrichtungen: https://www.bsi.bund.de/DE/Publikationen/Mindeststandards/SSL-TLS-Protokoll/SSL-TLS-Protokoll.html
Bei Office 365 und der Emailversendung bedeutet dies, dass zunächst in einem ersten Schritt eine vertrauliche TLS Verbindung zwischen den Sender und Empfänger aufgebaut wird und dann in einem zweiten Schritt die Email über diese sicherere Verbindung versendet wird.
Die Regel kann für alle Emails oder auch für nur bestimmte Sender oder Empfänger konfiguriert werden. Im Default, ist diese Regel nicht definiert.
Kleiner Nachteil: Auch der Partner muss eine TLS Verschlüsselung anbieten. Informationen erhaltet Ihr hier über ein Szenario für TLS mittels Forefront: http://technet.microsoft.com/en-us/library/gg430177.aspx
Emailverschlüsselung Teil 3: Exchange Hosted Encryption (EHE) vs. Office 365 Encryption (angekündigt)
Vergleichen wir einmal den heutigen Möglichkeiten mit den zukünftigen Sicherheitseinstellungen:
1. Screen: Neu ab Q1 2014 2. Screen: aktueller Stand (E3 Plan)
Auf dem Screenshot ist zu erkennen, dass zwei neue Optionen als Regel in dem Bereich “Nachrichtensicherheit” auszuwählen sind.
Erste Informationen zu der Verschlüsselung und ihrer Einrichtung habe ich in meinem Blogartikel mit dem Titel ” verschlüsselte Email mit Office 365 ” geschrieben. Dort findet Ihr auch eine Verlinkung zu dem Blogeintrag, der die zusätzlichen Einstellungen ankündigt und weitergehende Informationen gibt. Hier nun noch die kurze Zusammenfassung:
Office 365 Message Encryption:
Office 365 Encryption einstellen und starten (genauere Informationen bei TechNet)
Teil 4: Verschlüsselung der Übertragungswege
Microsoft kündigte weiterhin am 04.12.2013 an, dass es die Daten der Kunden besser vor dem Zugriff der Behörden schützen will. Es sollen mehr oder sogar alle Übertragungswege geschützt werden. In einem weiteren Schritt kündigte Microsoft an und im Anschluss auch Google sowie Apple, dass sie auch gerichtlich gegen das aus ihrer Sicht illegale Abfangen von Daten außerhalb der USA ohne Gerichtsbeschluss vorgehen wollen. Dies würde in dem jeweiligen Land gegen die dortigen Gesetze verstoßen. Bezieht man dies auf Deutschland und das hier geltende Recht liegt ein Verstoß gegen geltendes Recht vor, welches auch strafrechtlich verfolgt werden müsste, wenn es sich beweisen ließ.
möglicherweise liegen vor:
§ 202 b StGB (“Abfangen von Daten”)
§ 202 a StGB (“Ausspähen von Daten”)
§ 202 c StBG (“Vorbereiten des Ausspähens und Abfangens von Daten”)
§ 269 StGB (“Fälschung beweiserheblicher Daten”)
Verfügbarkeit:
Zunächst nur die E Pläne und dann auch die A-Pläne und alle anderen.
Quellen:
Protecting Customer data from government snooping
Exchange Hosted Encryption (EHE) upgrade center
http://technet.microsoft.com/en-us/library/dn532175.aspx
Security White Paper Office 365 (Bietet sehr gute Informationen)
http://download.microsoft.com/download/6/6/2/662F89E4-9340-4DDE-B28E-D1643681ADEB/Security%20in%20Office%20365%20Whitepaper.docx
Heike Ritter von Microsoft veröffentlicht ein erstes Szenario:
”
Mit Secure Boot sichert Windows 8 den Boot-Prozess mehrfach ab. Voraussetzung dafür ist neuere UEFI-Firmware (Unified Extensible Firmware Interface) mit einem TPM 2.0-Chip (Trusted Platform Module). Auch das Surface RT ist damit ausgestattet, abgesichert und zudem ist es Out of the Box mit BitLocker verschlüsselt. Mit Windows 8 und Windows Server 2012 gibt es eine neue Funktion namens BitLocker Network Unlock, wodurch der Benutzer nur dann aufgefordert wird, seinen BitLocker Schlüssel einzugeben, wenn er keine IP Adressen von Unternehmens-DHCP bekommt also er nicht mit dem Firmennetzwerk verbunden ist. Für Pro oder Enterprise Versionen von Windows 8, ergeben sich hiermit noch weitere Möglichkeiten wie z.B. Wake-on Lan trotz BitLocker (Deployment- Updateszenarien), auf die ich aber an dieser Stelle nicht weiter eingehe.
Zurück zum Surface RT: Mit Windows 8 lässt sich auf diesen TPM-Chip auch eine Virtual Smartcard bereitstellen, wodurch eine günstige Zwei-Faktor Authentifizierung ermöglicht wird. Als Zwei-Faktor-Authentifizierung versteht man die Kombination aus Wissen (Passwort/Pin) und dem Besitz eines eindeutig identifizierbaren Objektes (Smartcard, USB-Stick, Hardware-Token) oder auch einem persönlichen Merkmal, wie beispielsweise Biometrie. Günstig, da die Hardware bereits vorhanden ist und keine zusätzlichen physikalische Smartcards sowie die dafür erforderlichen Adapter benötigt werden.
Mit Windows 8.1. lässt sich das Surface RT auch besser im Unternehmen einbinden durch z.B. “Workplace Join“. Benutzer registrieren ihr Device als vertrauenswürdiges Objekt und die IT kann bestimmten Zugriff gewähren, auch wenn das Gerät NICHT Mitglied der Domain ist. Auch SSO (Single Sign On) ist hier möglich, wodurch lästige erneute Anmeldungen dann der Vergangenheit angehören. Vorrausetzung hierfür ist Windows Server 2012 R2. Es gibt bereits einen englischsprachigen Walktrough auf unseren TechNet Seiten, bei dem Schritt für Schritt erklärt wird, wie man sich sein eigenes Testnetz für dieses BYOD Szenario aufsetzt. Nichts wie ran ans testen!
Auch im Zusammenspiel mit Windows Server 2012 R2 können Windows 8.1 Devices (auch RT) Unternehmensressourcen synchronisieren und Offline mitnehmen. Diese neu Funktion heißt “Work Folders” und erweitert die BYOD Möglichkeiten. Da dafür Workplace Join vorausgesetzt wird, ist das eine wunderbare Funktion, mit dem obigen Szenario weitergetestet werden kann.
Da auf Windows RT keine traditionellen x86 Desktopanwendungen installiert werden können, kann nun mit Windows 8.1. ein OMA-DM API Agent dazu genutzt werden, um Windows 8.1 Devices auch mit MDM (Mobile Device Management) Produkten wie MobileIron oder AirWatch, zu verwalten.
Weiter wurden in Windows 8.1 und Windows 8.1 RT, eine größere Auswahl an Inbox VPN Clients hinzugefügt. Derzeit sind das F5, Juniper, Check Point, Dell, SonicWall und das Microsoft VPN. Diese VPN Clients können via PowerShell oder Windows Intune verwaltet werden.
Soweit meine ersten Ideen, weiter folgen sicherlich 🙂 Unsere To-do-Liste kann sich – trotz Sommermonate – warm anziehen!
| Die Preise von Surface RT schnell im Überblick: | |
| Surface Windows RT (32 GB) ohne Touch-Cover | 329 Euro (UVP) |
| Surface Windows RT (32 GB) mit Touch-Cover | 429 Euro (UVP) |
| Surface Windows RT (64 GB) ohne Touch-Cover | 429 Euro (UVP) |
| Surface Windows RT (64 GB) mit Touch-Cover | 529 Euro (UVP) |
Erhältlich im autorisierten Fachhandel, sowie online auf www.surface.de”