In einem meiner Blogposts berichtete ich, dass ab der Office 365 Pro Plus Version 1904 nun neue Datenschutzeinstellungen (GPOs) und eine neue Dokumentation veröffentlicht wurden. Zu dieser Maßnahme sah sich Microsoft gezwungen, da viele Enterprise Unternehmen in Deutschland und auch Europa Druck über ihre Account Manager ausgeübt haben. Dazu kommt, dass man sich selber im Rahmen des negativeren Gutachtens auf Seiten des niederländischen Justizministerium verpflichtete diese neuen Maßnahmen bis Ende April 2019 umzusetzen. Nun betrachten wir
Datenschutz bei Office 365 Pro Plus
Das Ziel ist es soweit wie möglich das Senden von Informationen und damit z.B. das Senden der Telemetry vom Client (wir) zu Microsoft (USA) einzuschränken. Dies gerade im Bezug auf personenbezogene Daten (Datenschutz) und den Unternehmensdaten (IP/ Verhinderung von Datenverlust).
Microsoft hat hierzu neu eine die Dokumentation angepasst:
Produkte: Es geht hierbei nicht um Visio oder Project.
Microsoft unterscheidet zwischen zwei Typen von Diensten/Services, die Informationen gesendet bekommen:
- Diagostic Data
Unter diesen Daten fallen die oft bezeichneten Telemetrie-Daten. Diese sind für Microsoft wichtig, um das Produkt zu verbessern, so heißt es. Konkret führt Microsoft an, dass so schneller Fehler und Probleme erkannt werden können und dies die Updates verbessert. Weiterhin wird auch die Nutzung erfasst und auch plötzliche Abstürze des Produktes. Welche Daten genau gesendet werden, könnt ihr im Telemetry Viewer in Windows 10 (App) schauen und in Echtzeit prüfen. Dies stimmt mit meinen Ergebnissen ziemlich gut überein (Fiddler,Wireshark, Security Gateway). Welche Daten aber genau gesendet werden ist nicht aufgeführt in der Dokumentation. Ich würde mir eine Tabelle wünschen, mit wann?, welche?, wie oft?, wohin?, Zweck?. Dann könnte man besser entscheiden, welche Daten man zulässt, denn auch ich persönlich will, dass es bessere Bugfixes gibt und meine Umgebung bestmöglichst geschützt ist.Microsoft teilt diese in folgende Kategorien ein:
1. Required (Minimum um Office sicher und aktuell zu halten)
2. Optional (Zusätzliche Daten, die Office verbessern und noch besser die Erkennung von Fehlern ermöglichen.)
3. Neither (keine Diagnostic Daten werden vom Office Client gesendet. Diese Option schränkt jedoch die Möglichkeiten zur Erkennung, Diagnose und Behebung von Problemen, auf die Ihre Benutzer bei der Verwendung von Office stoßen könnten, erheblich ein.)Links- Required diagnostic data for Office
- Optional diagnostic data for Office
- Use policy settings to manage privacy controls for Office 365 ProPlus
- Using the Diagnostic Data Viewer with Office
- Connected experiences
Unter diese Dienste und die gesendeten Daten fallen zum Beispiel die Cognitive Services. Die Cognitive Services sind Cloud Dienste die Daten benötigen, um ihre Aufgabe zu erfüllen. Ein weiteres Beispiel sind die Bing Services und auch einige Dienste von Drittanbietern. Einige dieser Dienste sind so eng verzahnt mit Office 365 Pro Plus, dass diese nicht deaktiviert oder entfernt werden können.Leider fehlt gerade bei diesen Diensten eine genaue Auflistung wer, wann, wo, was sendet und wer diese Daten erhält und zu welchem Zweck. Dies würde erheblich helfen. Es genügt auch diese Daten unter Geheimhaltung weiterzugeben. In diesem Punkt gibt es zwei Kategorien
1. Experiences that analyze your content (Inhaltsanalyse z.B. mit Cognitive Services)
2. Experiences that download online content ( z.B. Karten, Bilder, 3D Modelle)
- Connected experiences in Office
- Use policy settings to manage privacy controls for Office 365 ProPlus
Liste der Dienste
Liste der Dienste die Inhalte runterladen
Name | More information |
---|---|
Cloud fonts | Cloud fonts in Office |
Data types | Excel data types: Stocks and geography |
Ink Effects | Draw and write with ink in Office |
Insert Icons | Insert icons in Microsoft Office |
Insert Microsoft Forms | Insert a form or quiz into PowerPoint |
Insert Online 3D Models | Get creative with 3D models |
Insert Online Pictures | Insert pictures |
Insert Online Video | Insert a video from YouTube or another site |
Office Help | When you choose Help > Help on the ribbon or use F1 in an Office app |
Online Shape Search (Visio) | Find more shapes and stencils |
PowerPoint QuickStarter | Research a topic with PowerPoint QuickStarter |
Researcher | Research your paper easily within Word |
Tell Me | Do things quickly with Tell Me |
Templates | Download free, pre-built templates |
Weather Bar (Outlook) | Change the calendar Weather Bar forecast city |
Liste der Dienste, die Inhalte im Dokument analysieren und Inhalte runterladen
3. Optional Conneced experience
Diese Kategorie enthält die Dienste, die eine Verifikation für die ein Office365 Account benötigt wird. Dazu zählen LinkedIn, 3D Karten in Excel oder auch Bing.
Diese Dienste sind alle optional und nicht zwingen zum Betrieb von Office 365 Pro Plus nötig. Leider sind es auch die Dienste die die Nutzer (3D Karten) einfach anklicken oder ihren Alltag entscheident verbessern können, wie die Verbindung zu LinkedIn.
Die Dienste sind an gesonderte Vereinbarungen/Bedingungen und Verträge gebunden.
Als Administrator besteht die Möglichkeit diese abzustellen oder für bestimmt Nutzer freizugeben. Diese müssen aber aktiv eingestellt werden. Viele dieser Dienste sind von Beginn an aktiviert und einige müssen erst aktiviert werden (LinkedIn). Welche Dienste in default aktiviert sind und welche nicht, ist leider nicht bekannt und ändert sich auch monatlich.
Die Dienste sind hier zu finden:
Datei > Konto > Kontoinformationen > Einstellungen
Mehr Informationen
- Overview of optional connected experiences in Office
- Use policy settings to manage privacy controls for Office 365 ProPlus
4. Erforderliche Service Daten für eine vernetzte Erfahrung
Office besteht aus Client-Softwareanwendungen und vernetzten Anwendungen (Cloud), die es ermöglichen besser zu arbeiten.
Als Beispiel kann genannt werden: Die Arbeit mit anderen an einem auf OneDrive for Business gespeicherten Dokument oder die Übersetzung des Inhalts eines Word-Dokuments in eine andere Sprache sind Beispiele für verbundene Erfahrungen.
“Erforderliche Servicedaten sind entscheidend, da sie es Microsoft ermöglichen, diese Cloud-basierten vernetzten Arbeiten/Nutzungen zu liefern und dazu beitragen, diese Nutzungn sicher zu machen und für unsere Kunden wie erwartet zu erbringen. Drei Arten von Informationen bilden die erforderlichen Servicedaten,” so Microsoft.
- Kundeninhalte, d.h. Inhalte, die Sie mit Office erstellen, wie z.B. Texte, die in einem Word-Dokument eingegeben werden, und die in Verbindung mit dem verbundenen Erlebnis verwendet werden.
- Funktionale Daten, die Informationen beinhalten, die eine vernetzte Erfahrung zur Erfüllung ihrer Aufgabe benötigt, wie z.B. Konfigurationsinformationen über die App.
- Dienstdiagnosedaten, d.h. die Daten, die erforderlich sind, um den Dienst sicher, auf dem neuesten Stand und wie erwartet zu halten. Da diese Daten in engem Zusammenhang mit der damit verbundenen Erfahrung stehen, sind sie von den erforderlichen oder optionalen Diagnosedatenebenen getrennt.
weitere Informationen:
Required service data for Office
Folgende Maßnahmen werden von Microsoft empfohlen:
- Gruppenrichtlinien (GPOs)
- Prüfung per Diagnostic Viewer
Folgende Maßnahmen können zusätzlich eingesetzt werden:
- “Löcher schließen”
- Security Gateway konfigurieren
- Firewall konfigurieren
- Überprüfung per Security Gateway, und Tools wie Fiddler oder Wireshark
(Anmerkung: Bei der Nutzung dieser Sniffer des Netzwerkverkehres ist mit aufgefallen, dass Microsoft diese Nutzung registriert. Warum? Teilweise läuft es schneller und gefühlt laufen weniger Sendeprozesse aus ohne Sniffer. Konkret werde ich dies in den nächsten Wochen testen und ob es nicht nur ein subjektiver Eindruck ist.)
Die relevanten GPOs zu Office 365 Pro Plus
Download der ADMX: https://www.microsoft.com/en-us/download/details.aspx?id=49030
Diese gelten auch für Office 365.
Relevant sind die folgenden
- Send personal information, which can be found under User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Privacy\Trust Center.
-> Diese Einstellung kommt noch und ist in aktuellen ADMX Paket noch nicht enthalten!
-
Online Content Options, which can be found under User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Tools | Options | General | Service Options…\Online Content.
- PowerPoint Designer Options, under User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Tools | Options | General | Service Options…\PowerPoint Designer
- Turn off QuickStarter, under User Configuration\Policies\Administrative Templates\Microsoft PowerPoint 2016\PowerPoint Options\General
-
Allow LinkedIn Resume Assistant feature, under User Configuration\Policies\Administrative Templates\Microsoft Word 2016\Word Options\General
Schauen wir uns die GPOs genauer an
Weg zu den GPOs: User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Telemetrydashboard
Telemetry-Datensammlung aktivieren
Datenschutzeinstellungen im Office-Telemetry-Agent aktivieren
Hochladen von Dateien für den Office-Telemetry-Agent aktivieren
Den UNC-Pfad zum Speichern von Office-Telemetrydaten angeben
Aus der Berichterstellung des Office-Telemetie-Agents auszuschließende Office-Anwendungen
Aus der Berichterstellung des Office-Telemetie-Agents auszuschließende Office-Lösungen
Office Store blockieren
Weg zu den GPOs: User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Sicherheitseinstellungen/Trustcenter/VertrauenswürdigeKataloge
WebAdd ins blockieren
Datenschutzeinstellungen per GPOs
Hier findet ihr die Datenschutzeinstellungen, die ich euch oben erläutert habe:
Weg zu den GPOs: User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Datenschutz/TrustCenter
Diese Einstellungen müsst ihr alle auf deaktiviert setzen!
Aber Achtung: Es kann sein, dass dann nicht mehr alle Funktionen und alle Cloud-Dienste zur Verfügung stehen. Ebenso könnt ihr mit diesem Client nicht am Office Insider Programm teilnehmen.
WICHTIG: Dieses solltet ihr immer auf deaktiviert stellen: #Datenschutz
Per Registry Editor
Neben Powershell könnt ihr in der Registry des Clients folgende Einstellungen machen und diese über ein Tool eurer Wahl an alle Clients (Windows) verteilen.
Policy setting | Registry setting | Values |
---|---|---|
Configure the level of client software diagnostic data sent by Office to Microsoft | SendTelemetry | 1=Required 2=Optional 3=Neither |
Allow the use of connected experiences in Office that analyze content | UserContentDisabled | 1=Enabled 2=Disabled |
Allow the use of connected experiences in Office that download online content | DownloadContentDisabled | 1=Enabled 2=Disabled |
Allow the use of additional optional connected experiences in Office | DisconnectedState | 1=Enabled 2=Disabled |
Allow the use of connected experiences in Office | ControllerConnectedServicesEnabled | 1=Enabled 2=Disabled |
Beispiel
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Policies\Microsoft\office\16.0\common\privacy]
“disconnectedstate”=dword:00000001
“usercontentdisabled”=dword:00000001
“downloadcontentdisabled”=dword:00000001
“controllerconnectedservicesenabled”=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\office\common\clienttelemetry]
“sendtelemetry”=dword:00000002
Zusammenfassung
Um das Senden von Informationen so weit wie möglich abzustellen, müsst ihr folgende Maßnahmen treffen:
- per Gruppenrichtlinien
- per Registry Editor
- Stores abschalten
- 3rd Party Anwendungen nicht zulassen
- Gateway/Firewall streng anpassen
Alle diese Maßnahmen müssen pro Office Version geprüft und gegebenenfalls angepasst werden. Einen einfachen Schalter, der eine komplettes Abschalten von Senden von Informationen ermöglicht gibt es nicht.
Beispiel
In den nächsten Tagen bekommt ihr hier eine Beispielskonfiguration in Bezug auf den Datenschutz inkl. DSGVO in Deutschland. Ich muss mich noch etwas auf die Techorama vorbereiten.