Archives

Microsoft Teams Nutzung auf bestimmte Zeiten begrenzen!

Entwurf 29.08.2022

Microsoft Teams ist der Hub für die Kommunikation im Unternehmen und auch im privaten Bereich. Die Nutzung steht Tag und Nacht zur Verfügung. Nun stellt sich oft die Frage, wie man seine Beschäftigten vor ständiger Erreichbarkeit schützen kann. Dazu gibt es einige Ideen, die auch von Betriebsräten/Personalräten oft getrieben werden.

 

  1.  Manuell + offline sein-> Mitarbeiter:innen können den Microsoft Teams Client manuell auf offline stellen. Dies hat zur Konsequenz, dass sie keine Benachrichtigungen erhalten, aber nach dem sie wieder online schalten zur Verfügung stehen. 
  2. Manuell + Abwesenheit -> Mitarbeiter:innen können ihre Abwesenheit, wie bei ihrem E-Mail Account, einzuschalten und so allen Personen mitzuteilen, dass diese nicht erreichbar sind. Dies hat zur Konsequenz, dass auch keine Benachrichtigungen durchgestellt werden und die Abwesenheit dazu angezeigt wird. 

 

3. Optionen: Microsoft Teams automatisch für einen Zeitraum deaktivieren

Was heißt dies nun? 

Im Grunde will man den Zugang zu Microsoft Teams generell begrenzen. Nutzer sollen sich nicht anmelden können und arbeiten, egal ob per App, per WebApp oder auch per App. 

Welche Möglichkeiten bestehen nun? 

A. Azure AD: Enterprise Applikation

Mit dieser Option könnte man generell den Zugang zu Microsoft Teams begrenzen.  

 

B. 

 

 

Nachteile

 

 

 

Deaktivieren von Dateiupload oder Cloudattachment bei OneNote

OneNote kann Dateien speichern und diese so mit transportieren wie auch der OneDrive selber. Leider reagieren Antiviren Programme und andere Schutzmechanismen nicht auf die Dateien bzw. scannen diese nicht, da sie in dem OneNote Dateiformat verschleiert werden.

Deaktivieren über: 

https://admx.help/?Category=Office2016&Policy=onent16.Office.Microsoft.Policies.Windows::L_Disableembeddedfiles

Windows 11 und der Datenschutz

Windows ist das meist genutzte Betriebssystem bei Privatpersonen, als auch in Unternehmen weltweit. Um so wichtiger ist es das Betriebssystem so zu nutzen, dass es im Rahmen der Regelungen der DSGVO und des BDSG einzusetzen ist. 

Das BSI und auch die Landesdatenschützer haben Windows 11 noch nicht betrachtet. Deshalb nimmt man Windows 10 und die dort entsprechende öffentliche Prüfungen als Grundlage zu Konfiguration und Einsatzzweck und betrachtet dann die Änderungen. Dazu kommen auch die unterschiedlichen Komponenten von Windows, die sorgfältig betrachtet werden müssen. Es sollten dafür Module geschaffen werden, um das komplexe Thema Windows greifen zu können.

Ergänzt sollte dies mit einem Pentest und einer IT-Security Prüfung. 

Windows Module 

Update Windows 11 (Dezember 2021)

Modul 1: Windows Start Modul 3: Identität / AAD / lokale Nutzer
Modul 2: Edge Browser Modul 4: Add-Ons (Widgets)
Modul 5: Connected Experiance Modul 6: AtRest/Bitlocker
Modul 7: Lizensierung und Verträge Modul 8: Windows as VDI, Windows 365
Modul 8: Compliance Modul 9: Cybersecurity

 

Windows 10-Links

Datenschutzkonferenz (Nov 2019) https://lfd.niedersachsen.de/startseite/themen/technik_und_organisation/orientierungshilfen_und_handlungsempfehlungen/prufschema_datenschutzkonformer_betrieb_von_windows_10/positionierung-der-dsk-zum-datenschutzkonformen-einsatz-von-windows-10-177265.html
Landesdatenschutz Niedersachsen
(Dez 2021)
https://lfd.niedersachsen.de/startseite/infothek/prufungen_und_sanktionen/prufungen/prufung-zum-einsatz-von-windows-10-in-der-landesverwaltung-207322.html

 

Windows 11 Neuerungen

In der folgenden Tabelle sammeln wir die Neuerungen, die beim Wechsel von Windows 10 auf Windows 11 zu betrachten sind.

Neu Widgets connected Experiance, allgemeine Microsoft DS Erklärung
alt Windows Sandbox  
     

Windows 11 Versionen + Betrachtung im Kontext eines Unternehmens

Windows 11 Home keine ausreichenden Konfigurationsmöglichkeiten für Unternehmen, z:B. keine GPOs
Windows 11 Pro nutzbar im Rahmen der DSGVO
Windows 11 Enterprise nutzbar im Rahmen der DSGVO
Windows 11 IoT Enterprise nutzbar im Rahmen der DSGVO

Microsoft Dokumentation zum Thema

Im folgenden kommen einige wichtige Links und Hinweise von Microsoft zu dem Thema.

https://docs.microsoft.com/en-us/windows/privacy/windows-10-and-privacy-compliance

https://docs.microsoft.com/en-us/mem/intune/protect/security-baseline-settings-windows-365?pivots=win365-2110

Wie verhindere ich den Zugriff von Microsoft und US Behörden in Office 365?

Ich bekomme seit Monaten immer wieder genau die gleiche Frage gestellt: Wie verhindere ich den Zugriff von Microsoft und US Behörden in Office 365?  Diese Frage prägt einen guten Teil meiner Diskussionen, Gutachten und vor allem auch Gutachten, die ich von lieben Kolleg:innen lesen darf. Ich möchte nun einmal mit ein paar Mythen aufräumen und ganz objektiv mich der Frage annehmen. 

Continue reading

Rollout und Deployment und Einrichtung der End-zu-End Verschlüsselung für Microsoft Teams

Wie schon im Oktober und November Update meines Blogbeitrages habe ich Informationen zu der End-zu-End Verschlüsselung zusammengestellt. Nun folgt eine Schritt zu Schritt Anleitung diese auch im eigenen Tenant ausrollen zu können.

Vorarbeiten / Prerequirements

  • Microsoft 365-Lizenz, die Teams beinhaltet. Hierbei kann es sich um eine Business, F oder auch Enterprise Pläne handeln. Eine Home oder auch Consumer Lizenz reicht nicht aus. 
  • Public Preview aktivierten für alle Nutzer, die es nutzen sollen oder den gesamten Tennant.
  • Konfiguration benötigt: Global Admin oder den Microsoft Teams Administrator mit der Berechtigungen für das Microsoft Teams PowerShell Module
  • PowerShell Module von Microsoft Teams mindestens Version 2.6.0
  • Rollout muss im Tenant schon angekommen sein.  (Dezember 2021 startet die Public Preview!) 

ACHTUNG: Nutzer:innen benötigen aktuell noch die Public Preview ohne SLA, erhöhte Sendung von Telemetrie und es können Fehler auftreten. 

Konfigurationsschritte zur Nutzung der End-zu-End Verschlüsselung

 

  1. Login mit einem Nutzer mit Teams Admin Rechten  https://login.microsoftonline.com
  2. Gehe zu den Teams Update Policies 
  3. Erstellen einer neuen Policy, um einzelne User damit zu befähigen oder die allgemeine Policy anpassen
  4. [eigene Policy/Änderung der Allgemeinen ] Wenn ihr eine neue Policy gemacht habt, dann müsst ihr diese den Nutzer:innen noch zuordnen. Bei der allgemeinen Policy könnt ihr diesen Schritt überspringen.
  5. [eigene Policy/Änderung der Allgemeinen] Hier müsst ihr nun einige Stunden warten und die Anleitung optimaler Weise am nächsten Tag fortsetzen. [PAUSE]
  6. Öffentliche Vorschau/Preview seht ihr bei den Nutzer:innen
  7. Wenn ihr die Preview/ öffentliche Vorschau Schritt 6 seht, dann geht es weiter zu Schritt 8. Wenn nicht, dann müsst ihr noch warten.
  8. Nutzer, die es testen sollten, sollten zur öffentlichen Vorschau wechseln. Der Teams Client startet dann einmal neu. Bedingungen: https://insider.windows.com/en-us/program-agreement ACHTUNG: erhöhte Versendung von Telemetrie und Diagnosedaten. Keine SLA. 
     
  9. Die Nutzer sehen nun ein kleines “P” neben ihrem Bild.
  10. Nun müssen wir eine Policy für End-to-End anlegen mit PowerShell. Ihr benötigt also wieder den Benutzer mit Teams Admin Rechten und PowerShell. 
    ACHTUNG: Hier könnt ihr die Skripte direkt runterladen.
  11. Öffnen von ISE Windows PowerShell als Administrator 
  12. Aktivieren, dass Skripte auf dem Rechner ausgeführt werden können
  13. Installieren des Teams PowerShell Module: Install-Module MicrosoftTeams -Force -AllowClobber // ggf. Update Update-Module -Name MicrosoftTeams
  14. Importieren des Modules: Import-Module MicrosoftTeams
  15. Prüfen, ob das Modul geladen wurden: Get-Module
  16. Verbinden mit dem Modul: Connect-MicrosoftTeams
  17. Einloggen mit euerem Nutzer mit Teams Admincenter rechten. Diese habe ich meinem Nutzer kurz vorher über PIM (Azure AD P2 erforderlich) für ca. 60 Minuten gegeben. 
  18. Anlegen einer neuen E2EE Policy:New-CsTeamsEnhancedEncryptionPolicy -Identity RAE2EE -CallingEndtoEndEncryptionEnabledType DisabledUserOverride- RAE2EE ist eine Variable und kann von euch selber festgelegt werden
    – DisableUserOverride kann auch angepasst werden, so dass Nutzer die Funktion auch ausschalten können. Dies ist gerade für Tests sinnvoll. Dies bestimmt: CallingEndtoEndEncryptionEnabledType -EnableUserOverride
    – Beschreibung: -Description Dies ist die E2EE Policy. 
  19. Zuweisen von Nutzern/ einzelnen Nutzern zum TestGrant-CsTeamsEnhancedEncryptionPolicy -Identity ‘raphael.koellner@rakoellner.com’ -PolicyName ‘RAE2EE’- ACHTUNG: Passt bitte den Policy Namen an, an den den ihr oben gewählt habt. 
    – ACHTUNG: Passt natürlich den Nutzernamen an

    Für alle Nutzer im Tenant mit Microsoft Teams Lizenz:Set-CsTeamsEnhancedEncryptionPolicy -Identity Global -CallingEndtoEndEncryptionEnabledType DisabledUserOverride———————————————[Admin Ende]————————————————
  20. [Nutzer] Nun können diese Nutzer die End-zu-End Verschlüsselung auswählen. Es ist wichtig, dass es nur zwischen Nutzer:innen innerhalb und außerhalb des Tenants funktioniert, wenn diese alle die Policy aktiviert haben.
  21. [Nutzer] Nun können Nutzer die E2EE einschalten. Dazu müssen diese über Einstellungen auf den Unterpunkt Datenschutz surfen.

  22. [Nutzer] E2EE ist aktiviert

Admin-Helferlein

 

Prüfen der Policies

Get-CsTeamsEnhancedEncryptionPolicy

Ergebnis:

Hat mein Nutzer die Policy? Einzelne Nutzer überprüfen

Get-CsUserPolicyAssignment -Identity raphael.koellner@rakoellner.com

Entfernen der Policy

Ihr könnt die Policy ersetzen durch eine andere EncryptionPolicy oder einfach entfernen. Für das Entfernen muss ein $NULL an die Stelle der Policy gesetzt werden, um den Nutzer wieder in den Zustand des Ursprungs zu setzen.

Grant-CsTeamsEnhancedEncryptionPolicy -Identity ‘USERNAME’ -PolicyName $NULL

Prüfen, ob es geklappt hat: Get-CsUserPolicyAssignment -Identity USERNAME

 

Testen

Ihr wollte die End-zu-End Verschlüsselung nun auch testen. Dafür müssen beide Nutzer:innen diese in den Einstellungen aktiviert haben. 

  • Julia Meyer (Demouserin) und Raphael Köllner (ich)
  • 1 zu 1 Chat
  • Dann schaut ihr oben links in die Ecke und anstelle des bloßen Schildes mit “Teams Verschlüsselung” ist hier nun ein Schloss und die End zu End Verschlüsselung wird angezeigt.

Hier ein Screenshot aus dem Test: