Daily Archives: 5. Dezember 2013

[Admin] Office Advantage – Umsetzung in der Hochschule

Seit dem 01.12.2013 ist die Student Advantage Option für Bildungseinrichtungen über ihren Reseller buchbar. Diese Option ermöglicht es der Bildungseinrichtung kostenlos Office Professional Plus über Microsofts Office 365 für ihre Studierende oder Schüler bereitzustellen. Da es auf vielen Seiten sehr viele Gerüchte und ungenaue Informationen gibt, hab ich mich als Office 365 MVP für euch informiert.

Ist meine Bildungseinrichtung bezugsberechtigt ?
Hat Ihre Hochschule/Berufsschule/Schule einen folgenden Lizenzvertrag mit Microsoft:

  • FWU
  • OVS-ES
  • EES (Landes- und Bundesvertrag)

Link: Allgemeine Informationen zu Volumenlizenzverträgen im EDU Bereich

Erläuterung + Buchung des Offers
Bei dem FWU Vertrag handelt es sich um einen Lizenzvertrag für Schulen und Berufsschulen, also dem K12 Sektor. Um die Option nutzen zu können muss die Office Option für Mitarbeiter gebucht sein. Dann ist es möglich im Rahmen des Vertrages als Offer die  „Student Option“ beim Reseller setzen zu lassen. Sollte die Option schon bestehen muss nur noch die Anzahl der Accounts angegeben und vom Reseller eingebucht werden. Es kann hier zu einer kleinen kostenlosen Vertragsanpassung kommen.

Für OCS-ES oder EES Kunden ist keine Vertragsanpassung notwendig, da diese die Option automatisch mit erhalten sein sollte. Gerade bei EES Verträgen, also bei Landes- oder Bundesverträgen mit Microsoft muss ebenfalls die Office Option für Mitarbeiter gebucht sein. Mit dem EES und der Office Option ist es ebenso über den Reseller möglich unter Nennung der Anzahl der Accounts diese in einen neuen Office 365 Tentant einzubuchen.

Zusammenfassend kann ich mich als Admin an meinem Education Reseller wenden und mich so nach dem Angebot zu erkundigen. Die ersten Hochschulen haben das Offer bereits genutzt und auch umgesetzt. So bietet die FH Düsseldorf allen Studierenden über ihren Office 365 Account 5 Office Professional Plus Lizenzen an.

Was steckt hinter dem Angebot ?

Im Rahmen von Office 365 EDU können verschiedene Pläne gebucht werden. Es beginnt mit dem für Studierende, Admins und Lehrende kostenlosem Plan A2 mit einer Exchange Emailadresse, einen Lync-Account und einem Zugang zu einem SharePoint Online innerhalb des Office 365 Tentant. Als zweites besteht der Plan A3 zur Verfügung mit Office 2013 Professional Plus, der Möglichkeit Lync-Konferenzen aufzusetzen und einigen weiteren Optionen. Letztlich bietet Microsoft den Plan A4 an, welcher zusätzlich noch eine Telefonoption enthält, so dass man über Lync ins Festnetz und ins Handynetz telefonieren kann.

Nun habe ich die Information von einigen Hochschulen erhalten, die das Offer umgesetzt haben, dass es sich bei den Studierenden wohl um den Plan A3 handelt. Also werden im Rahmen des Office Advantage Offer den Hochschulen die 2,40 Euro pro Account pro Monat erlassen.

Fragen zu dem Angebot kann man auf folgender Webseite über ein Kontaktformular stellen. Ebenfalls findet sich dort ein sehr gutes FAQ:
http://www.edu365.de/Office_365/Office_365/1950_Student_Advantage_Benefit.htm

Wichtig: Das Angebot ist für einzelne Studierende nicht buchbar. Es muss immer die gesamte Bildungseinrichtung sich entscheiden es den Studierenden zu ermöglichen. Letztlich hat das Angebot mit dem DreamSpark Förderprogramm nichts zu tun.

 

Die Zwei-Faktor-Authentifizierung: AZURE AD und Office 365

Office 365 ist sicherer als man glaubt. Seit Juni 2013 gibt es die Zwei-Faktor-Authentifizierung nicht nur für AZURE, sondern auch für Office 365 Accounts. In dem folgenden Blogartikel werde ich euch zeigen, wie man diese Authentifizierung nun erstmals ohne Kenntnisse einer Programmiersprache einrichten kann.

Einrichtung der Zwei-Faktor-Authentifizierung

Beginn1

In einem ersten Schritt erstellt man einen neuen Benutzer oder wählt einen Benutzer aus, der mit der mehrstufigen Authentifizierungsanforderung ausgestattet werden soll. Der jeweilige Benutzer muss dementsprechend als Account des jeweiligen Office 365 Plan zugeordnet sein. In vorliegenden Fall ist der Account “mva@rakoellner.com” dem Plan E3 zugeordnet. Dieser wurde wie ihr merkt direkt mit einer eigenen Domain angelegt. Die Einrichtung funktioniert mit allen Accounts, egal ob ihr eine eigene Domain nutzt oder die Standarddomain  (xy.onmicrosoft.com) nutzen wollt. Es ist auch möglich per Massenaktivierung mehrere Accounts gleichzeitig zu aktivieren. Die Filterfunktionen in der Konsole ermöglichen es euch darüber hinaus den Überblick zu behalten.

Im Anschluss aktiviert man nun für den Benutzer die mehrstufige Authentifizierungsanforderung:

Auswahl des Accounts2

Nach dem Klick auf dem Button “Aktivieren” erscheint das folgende Fenster, welches den Administrator informiert und einen weiterführenden Link zur Erläuterung anzeigt. Den Link findet ihr am Ende des Artikels in der Linksammlung. Ebenfalls folgt der Hinweis, dass sich Accountinhaber nach der Aktivierung zunächst einmal nur über den Browser anmelden können. Wie ihr die Accounts auch für die Apps freischaltet, erkläre ich euch etwas weiter unten in diesem Beitrag.

Aktivieren1

Wer gerne seinen Account bei AZURE sehen will, der im Hintergrund zusätzlich eingerichtet wird, kann sich diesen anzeigen lassen. Ich empfehle an dieser Stelle den Link in einem zweiten Tab/Registerkarte zu öffnen. Der Account wird unter dem Benutzer eingerichtet, der als Administrator die Zwei-Faktor-Authentifizierung aktiviert. Das Fenster ermöglicht es ein Kennwort für sein AZURE Profil anzulegen (“Kennwort ändern”). Ich rate an sich dieses Kennwort auch anzulegen, bzw. zu ändern. Eine Anmeldung auf der AZURE Webseite ist damit möglich, so kann der Administrator seinen Account ebenfalls einsehen. In einer der ersten Versionen musste man an dieser Stelle zur AZURE Verwaltungskonsole wechseln und dort ein paar Einstellungen vornehmen.

Aktivieren_Azure_Account

Nach dem Klick auf “multi-factor authentication aktivieren” ist der Account für zunächst auf der Seiten des Admins fertig eingerichtet.
Aktivierung erfolgt

Die erfolgreiche Aktivierung ist in der Übersicht der Office 365 Konsole zu sehen und der Administrator hat seinen Part zunächst getan.

Aktivierung abgeschlossen

Nutzer Einstellungen bei der Zwei-Faktor-Authentifizierung

Nun wechseln wir zu dem Benutzer und versuchen uns mit dem neuen Account mva@rakoellner.com über den Webbrowser beim üblichen Office 365 Login einzuloggen. Der Account wird per single sign-on erkannt und eurem Office 365 Konto, mit den dazugehörigen Sicherheitseinstellungen, verknüpft angezeigt.

Abmeldung_nach_Einrichten

Im Anschluss folgt zunächst die Abfrage nach dem Kennwort des Benutzers. Bei der ersten Einrichtung wird der Nutzer aufgefordert die zusätzliche Sicherungsüberprüfung einzurichten. Zunächst wird kein Code verlangt, sondern der Benutzer muss die Einrichtung zunächst einmal ausführen. Eine Umgebung ist nicht möglich, wenn ein Login erfolgen soll.

Admin_will

Einrichten der zusätzlichen Sicherheitsüberprüfung

Einrichtung_Account

Schritt 1: Eintragen der Telefonnummer und Auswahl der Einstellungsmöglichkeiten, ob man den Code per SMS oder per Rückruf erhalten soll. Ich wähle immer die Methode “Code per SMS an mich senden” aus, habe aber wie ihr im Screenshot sehen könnt für diesen Blogbeitrag auch den Rückruf ausprobiert. Der Rückruf kam einige Sekunden später als die Zusendung des Codes. Der Code selber wurde deutlich und auch wiederholt am Telefon genannt.

Einrichtung_Account2

Schritt 2: Als zweiter Schritt folgt die Überprüfung, ob das mobile Gerät erreichbar ist. Also die Eingabe des Codes wird abgefragt.

Einrichtung_Account3

Nach einer erfolgreichen Eingabe folgt prompt ohne Verzögerung die Bestätigung. Sollte man einen Fehler bei der Eingabe gemacht haben, kann man diese wiederholen oder sich einen zweiten Code schicken lassen. Wer sich die Einrichtung per Video erklären lassen will, kann den Link auf der rechten Seite “Video anzeigen” nutzen.

Anschließend besteht die Möglichkeit für Apps auf mobilen Geräten App Kennwörter zu erstellen. Folgende Anwendungen werden von App-Kennwörter unterstützt: Outlook, Excel, EAS-Clients, Lync, Office 15, Word. (Verwalten von App Kennwörtern //Link)

Einrichtung_Account5_App_Kennwörter

Nun wird ein App-Kennwort angezeigt, welches man sich separat sichern sollte. Die beiden weiterführenden Links findet Ihr wieder in der Linksammlung am Ende des Artikels, diese führen in die Erläuterung ins TechNet Forum zum Thema AZURE + zwei Faktor Authentifizierung.

Einrichtung_Account5_App_Kennwörter2

Im Anschluss kann man hier nun auf fertig klicken und die Einrichtung beenden. Nun ist die Aktivierung erfolgreich durchgeführt worden. Es folgt eine Abmeldung aus dem Account und der Benutzer beginnt bei der erneuten Anmeldung.

Anmeldevorgang1

Erst nach Abschluss der Ersteinrichtung und der anschließenden Abmeldung wird die Eingabe des Codes verlangt. Der User erhält unverzüglich einen Code, welcher per SMS an sein mobiles Gerät (Testgerät: Lumia 920) gesendet wird. Der Codes wird pro Anmeldung neu erstellt und es entstehen keine zusätzlichen Kosten zum Beispiel für den Versand. Nach der Eingabe des Codes wird der User direkt in die Office 365 Einstellungen und dort zu den zusätzlichen Sicherheitsüberprüfung geleitet um diese für sich selber zu konfigurieren.

Der Benutzer sieht folgendes Fenster. In diesem kann er seine Telefonnummer ändern oder neue Telefonnummern hinzufügen. Es können bis zu drei Telefonnummern für die Zusendung des Codes konfiguriert werden. Letztlich ist es möglich über einen QR Code sein Smartphone einzurichten. (Mobile App)

zusätzliche-Einstellungen-Account-MVA

Einrichtung der Einstellungen “Mobile App”

Seit einiger Zeit gibt es für das Windows Phone die passende App, die Ihr für die Konfiguration einsetzen könnt, um den QR Code zu scannen und das Smartphone einzurichten. Wenn der QR Code nicht angezeigt wird, dann kann Alternativ ein Code mit passender URL angegeben werden.

wp_ss_20131204_0004

Nach einem Klick auf “konfigurieren” wird ein Pop-Up Fenster geöffnet, welches mit der passenden App zu einer Authentifizierung des Smartphones genutzt werden kann.

mobile_App_Einrichtung

wp_ss_20131204_0005wp_ss_20131204_0008

Das Smartphone übernimmt nach dem Einscannen des QR Codes auf dem Bildschirm die Einrichtung. Man wartet einige Minuten und erhält dann die Vollzugsmeldung:

mobile_App-Konfiguration_fertig

Damit ist auch für das Smartphone der Account eingerichtet, der Account des Users konfiguriert und auch der Admin muss keine weiteren Schritte mehr durchführen.

 

Fazit:
Der Zeitaufwand für die Einrichtung hält sich in Grenzen und greift unmittelbar nach der Vollzugsmeldung in der Einstellungskonsole. Ich habe für die Einrichtung insgesamt ca. 20 Minuten benötigt, wobei die Einrichtung im Betrieb ohne die Erstellung von Screenshots keine 5 Minuten in Anspruch nimmt.
Ob für den jeweiligen Nutzer oder Nutzerin, sowie das jeweilige Unternehmen/Institution die Nutzung des Features lohnt, kann nicht mit wenigen Sätzen beantwortet werden. Es ist eine grundsätzliche Frage der Abwägung, in wieweit zusätzliche Sicherungsmaßnahmen und Komfort in dem täglichen Arbeitsablauf sinnvoll erscheint.
Ich persönlich empfehle die zusätzlichen Sicherungseinstellungen, die dem PIN-TAN Verfahren des Online-Banking ähnlich sind. Es schafft eine zusätzliche Hürde für Hacker und erhöht den Aufwand, dass Accounts wie auch deren Inhalte sicherer werden. Die absolute Sicherheit ist jedoch auch mit diesem Verfahren nicht möglich und es stellt auch nicht das Allerheilmittel da. Aus meiner Erfahrung werden oft die Konten der Administratoren sowie von Benutzern mit sensiblen Daten zusätzlich geschützt. Neben der Nutzung der Zwei-Faktor-Authentifizierung erfolgt oft ein “Sicherheitstraining zum Umgang mit Daten”, welches in Kombination aus meiner Sicht eine gute Best-Practise-Empfehlung ist, Cloud-Dienste sicher zu nutzen.

 

Kosten des Features:
Plan E3 und E4 ist die Funktion für Administratoren kostenlos. Bei allen kleineren Varianten muss man die Zwei-Faktor-Authentifizierung pro User einzeln bezahlen. Die Kosten liegen bei 2 Euro und fallen bei Einrichtung an. Der Grund für die entstehenden Kosten liegt somit in der Tatsache, dass der Office365 Account der AZURE AD hinzugefügt wird. Die zusätzlichen Kosten fallen dementsprechend für die Nutzung von AZURE an.

 

Technischer Hintergrund
Der technische Hintergrund ist recht schnell erläutert. Die Zwei-Faktor-Authentifizierung wird nicht in der Office 365 Umgebung selber abgewickelt, sondern über AZURE. Konkret genutzt wird die AZURE AD. In dieser wird der jeweilige Account, welcher das Feature nutzen soll, angelegt. Solltet Ihr Azure nutzen, werdet Ihr diese Authentifizierungsmethode bei dem Login in die Verwaltungskonsole sicher schon kennen. Wer noch nie etwas mit AZURE zu tun hatte braucht dies auch nicht, da die jeweiligen Formularfelder in Office 365 die Konfigurationen in AZURE übernehmen. In einer ersten Variante der Zwei-Faktor-Authentifizierung musste man sich als Admin noch bei AZURE anmelden und einige Einstellungen dort vornehmen. Dies fällt in der aktuellen Variante der Einrichtung komplett weg. Ein Login bei AZURE wird im Hintergrund ausgeführt.

Wie und ob die Übertragungswege selber geschützt sind, kann ich Euch leider noch nicht mitteilen. Ich habe eine Anfrage bei Microsoft gestartet und möchte dieses Thema in einem eigenen Blogpost zu Beginn der nächsten Woche auf meinem Blog näher behandeln.

Kurzinfo:
Die Daten der Screenshots sind Orginaldaten einer laufenden E3 Office 365 Umgebung. Diese funktionieren nicht, da die Funktion bereits deaktiviert ist und auch die Kennwörter des Accounts geändert wurden.

 

Weitere Informationen, Handbücher, Artikel, News (Linkliste)

Weitere Informationen zur Verwenden der mehrstufigen Authentifizierung mit Windows Azure AD:
http://technet.microsoft.com/library/jj713614.aspx

Bereitstellungshandbuch – Windows Azure Multi-Factor Authentication: 
http://msdn.microsoft.com/de-de/library/windowsazure/dn249471.aspx

Channel 9 Video “Multi-Factor-Account-Setup”
http://channel9.msdn.com/posts/Multi-Factor-Account-Setup

Verwalten der Windows Azure Multi-Factor Authentication-Benutzereinstellungen
http://msdn.microsoft.com/de-de/library/windowsazure/dn270518.aspx#apppasswordchangeemail

Ändern des Anwendungskennworts in das App-Kennwort
http://msdn.microsoft.com/de-de/library/windowsazure/dn270518.aspx#apppasswordchange

Juni 2013 AZURE
http://blogs.msdn.com/b/windowsazure/archive/2013/06/12/introducing-multi-factor-authentication-on-windows-azure.aspx

MSDN o365
http://technet.microsoft.com/en-us/library/jj916649.aspx

Sicherheit bei Office 365
http://www.microsoft.com/germany/technet/aktuell/news/show.aspx?id=msdn_de_48768

Ankündigung April 2013 Zwei-Faktor-Authentifizierung Outlook.com
http://blogs.technet.com/b/microsoft_blog/archive/2013/04/17/microsoft-account-gets-more-secure.aspx

Artikel bei Silion: http://www.silicon.de/41585201/zwei-faktor-authentifizierung-sichert-windows-azure/