Wie schon im Oktober und November Update meines Blogbeitrages habe ich Informationen zu der End-zu-End Verschlüsselung zusammengestellt. Nun folgt eine Schritt zu Schritt Anleitung diese auch im eigenen Tenant ausrollen zu können.

Vorarbeiten / Prerequirements

• Microsoft 365-Lizenz, die Teams beinhaltet. Hierbei kann es sich um eine Business, F oder auch Enterprise Pläne handeln. Eine Home oder auch Consumer Lizenz reicht nicht aus. 
• Public Preview aktivierten für alle Nutzer, die es nutzen sollen oder den gesamten Tennant.
• Konfiguration benötigt: Global Admin oder den Microsoft Teams Administrator mit der Berechtigungen für das Microsoft Teams PowerShell Module
• PowerShell Module von Microsoft Teams mindestens Version 2.6.0
• Rollout muss im Tenant schon angekommen sein.  (Dezember 2021 startet die Public Preview!) 

ACHTUNG: Nutzer:innen benötigen aktuell noch die Public Preview ohne SLA, erhöhte Sendung von Telemetrie und es können Fehler auftreten. 

Konfigurationsschritte zur Nutzung der End-zu-End Verschlüsselung

1. Login mit einem Nutzer mit Teams Admin Rechten  https://login.microsoftonline.com
2. Gehe zu den Teams Update Policies 
3. Erstellen einer neuen Policy, um einzelne User damit zu befähigen oder die allgemeine Policy anpassen
   
4. [eigene Policy/Änderung der Allgemeinen ] Wenn ihr eine neue Policy gemacht habt, dann müsst ihr diese den Nutzer:innen noch zuordnen. Bei der allgemeinen Policy könnt ihr diesen Schritt überspringen.
5. [eigene Policy/Änderung der Allgemeinen] Hier müsst ihr nun einige Stunden warten und die Anleitung optimaler Weise am nächsten Tag fortsetzen. [PAUSE]
6. Öffentliche Vorschau/Preview seht ihr bei den Nutzer:innen
   
7. Wenn ihr die Preview/ öffentliche Vorschau Schritt 6 seht, dann geht es weiter zu Schritt 8. Wenn nicht, dann müsst ihr noch warten.
8. Nutzer, die es testen sollten, sollten zur öffentlichen Vorschau wechseln. Der Teams Client startet dann einmal neu. Bedingungen: https://insider.windows.com/en-us/program-agreement ACHTUNG: erhöhte Versendung von Telemetrie und Diagnosedaten. Keine SLA. 
    
   
9. Die Nutzer sehen nun ein kleines “P” neben ihrem Bild.
   
10. Nun müssen wir eine Policy für End-to-End anlegen mit PowerShell. Ihr benötigt also wieder den Benutzer mit Teams Admin Rechten und PowerShell. 
    ACHTUNG: Hier könnt ihr die Skripte direkt runterladen.
11. Öffnen von ISE Windows PowerShell als Administrator 
12. Aktivieren, dass Skripte auf dem Rechner ausgeführt werden können
13. Installieren des Teams PowerShell Module: Install-Module MicrosoftTeams -Force -AllowClobber // ggf. Update Update-Module -Name MicrosoftTeams
14. Importieren des Modules: Import-Module MicrosoftTeams
15. Prüfen, ob das Modul geladen wurden: Get-Module
    
16. Verbinden mit dem Modul: Connect-MicrosoftTeams
    
17. Einloggen mit euerem Nutzer mit Teams Admincenter rechten. Diese habe ich meinem Nutzer kurz vorher über PIM (Azure AD P2 erforderlich) für ca. 60 Minuten gegeben. 
18. Anlegen einer neuen E2EE Policy:New-CsTeamsEnhancedEncryptionPolicy -Identity RAE2EE -CallingEndtoEndEncryptionEnabledType DisabledUserOverride- RAE2EE ist eine Variable und kann von euch selber festgelegt werden
    – DisableUserOverride kann auch angepasst werden, so dass Nutzer die Funktion auch ausschalten können. Dies ist gerade für Tests sinnvoll. Dies bestimmt: CallingEndtoEndEncryptionEnabledType -EnableUserOverride
    – Beschreibung: -Description Dies ist die E2EE Policy. 
    
19. Zuweisen von Nutzern/ einzelnen Nutzern zum TestGrant-CsTeamsEnhancedEncryptionPolicy -Identity ‘raphael.koellner@rakoellner.com’ -PolicyName ‘RAE2EE’- ACHTUNG: Passt bitte den Policy Namen an, an den den ihr oben gewählt habt. 
    – ACHTUNG: Passt natürlich den Nutzernamen an
    
    Für alle Nutzer im Tenant mit Microsoft Teams Lizenz:Set-CsTeamsEnhancedEncryptionPolicy -Identity Global -CallingEndtoEndEncryptionEnabledType DisabledUserOverride———————————————[Admin Ende]————————————————
20. [Nutzer] Nun können diese Nutzer die End-zu-End Verschlüsselung auswählen. Es ist wichtig, dass es nur zwischen Nutzer:innen innerhalb und außerhalb des Tenants funktioniert, wenn diese alle die Policy aktiviert haben.
21. [Nutzer] Nun können Nutzer die E2EE einschalten. Dazu müssen diese über Einstellungen auf den Unterpunkt Datenschutz surfen.
    
    
22. [Nutzer] E2EE ist aktiviert

Admin-Helferlein

Prüfen der Policies

Get-CsTeamsEnhancedEncryptionPolicy

Ergebnis:

Hat mein Nutzer die Policy? Einzelne Nutzer überprüfen

Get-CsUserPolicyAssignment -Identity raphael.koellner@rakoellner.com

Entfernen der Policy

Ihr könnt die Policy ersetzen durch eine andere EncryptionPolicy oder einfach entfernen. Für das Entfernen muss ein $NULL an die Stelle der Policy gesetzt werden, um den Nutzer wieder in den Zustand des Ursprungs zu setzen.

Grant-CsTeamsEnhancedEncryptionPolicy -Identity ‘USERNAME’ -PolicyName $NULL

Prüfen, ob es geklappt hat: Get-CsUserPolicyAssignment -Identity USERNAME

Testen

Ihr wollte die End-zu-End Verschlüsselung nun auch testen. Dafür müssen beide Nutzer:innen diese in den Einstellungen aktiviert haben. 

• Julia Meyer (Demouserin) und Raphael Köllner (ich)
• 1 zu 1 Chat
• Dann schaut ihr oben links in die Ecke und anstelle des bloßen Schildes mit “Teams Verschlüsselung” ist hier nun ein Schloss und die End zu End Verschlüsselung wird angezeigt.

Hier ein Screenshot aus dem Test: