Office 365 Pro Plus – Datenschutz per GPOs

In einem meiner Blogposts berichtete ich, dass ab der Office 365 Pro Plus Version 1904 nun neue Datenschutzeinstellungen (GPOs) und eine neue Dokumentation veröffentlicht wurden. Zu dieser Maßnahme sah sich Microsoft gezwungen, da viele Enterprise Unternehmen in Deutschland und auch Europa Druck über ihre Account Manager ausgeübt haben. Dazu kommt, dass man sich selber im Rahmen des negativeren Gutachtens auf Seiten des niederländischen Justizministerium verpflichtete diese neuen Maßnahmen bis Ende April 2019 umzusetzen. Nun betrachten wir 

Datenschutz bei Office 365 Pro Plus

Das Ziel ist es soweit wie möglich das Senden von Informationen und damit z.B. das Senden der Telemetry vom Client (wir) zu Microsoft (USA) einzuschränken. Dies gerade im Bezug auf personenbezogene Daten (Datenschutz) und den Unternehmensdaten (IP/ Verhinderung von Datenverlust).

Microsoft hat hierzu neu eine die Dokumentation angepasst:

https://docs.microsoft.com/en-us/DeployOffice/privacy/overview-privacy-controls?toc=/deployoffice/toc.json

Produkte: Es geht hierbei nicht um Visio oder Project.

Microsoft unterscheidet zwischen zwei Typen von Diensten/Services, die Informationen gesendet bekommen:

  1. Diagostic Data
    Unter diesen Daten fallen die oft bezeichneten Telemetrie-Daten. Diese sind für Microsoft wichtig, um das Produkt zu verbessern, so heißt es. Konkret führt Microsoft an, dass so schneller Fehler und Probleme erkannt werden können und dies die Updates verbessert. Weiterhin wird auch die Nutzung erfasst und auch plötzliche Abstürze des Produktes. Welche Daten genau gesendet werden, könnt ihr im Telemetry Viewer in Windows 10 (App) schauen und in Echtzeit prüfen. Dies stimmt mit meinen Ergebnissen ziemlich gut überein (Fiddler,Wireshark, Security Gateway). Welche Daten aber genau gesendet werden ist nicht aufgeführt in der Dokumentation. Ich würde mir eine Tabelle wünschen, mit wann?, welche?, wie oft?, wohin?, Zweck?. Dann könnte man besser entscheiden, welche Daten man zulässt, denn auch ich persönlich will, dass es bessere Bugfixes gibt und meine Umgebung bestmöglichst geschützt ist.Microsoft teilt diese in folgende Kategorien ein:
    1. Required  (Minimum um Office sicher und aktuell zu halten)
    2. Optional (Zusätzliche Daten, die Office verbessern und noch besser die Erkennung von Fehlern ermöglichen.)
    3. Neither (keine Diagnostic Daten werden vom Office Client gesendet. Diese Option schränkt jedoch die Möglichkeiten zur Erkennung, Diagnose und Behebung von Problemen, auf die Ihre Benutzer bei der Verwendung von Office stoßen könnten, erheblich ein.)Links 

     

  2. Connected experiences 
    Unter diese Dienste und die gesendeten Daten fallen zum Beispiel die Cognitive Services. Die Cognitive Services sind Cloud Dienste die Daten benötigen, um ihre Aufgabe zu erfüllen. Ein weiteres Beispiel sind die Bing Services und auch einige Dienste von Drittanbietern. Einige dieser Dienste sind so eng verzahnt mit Office 365 Pro Plus, dass diese nicht deaktiviert oder entfernt werden können.Leider fehlt gerade bei diesen Diensten eine genaue Auflistung wer, wann, wo, was sendet und wer diese Daten erhält und zu welchem Zweck. Dies würde erheblich helfen. Es genügt auch diese Daten unter Geheimhaltung weiterzugeben. In diesem Punkt gibt es zwei Kategorien
    1. Experiences that analyze your content (Inhaltsanalyse z.B. mit Cognitive Services)
    2.  Experiences that download online content ( z.B. Karten, Bilder, 3D Modelle)

Liste der Dienste

Name More information
2D Maps Create a Map Chart
3D Maps Get started with 3D Maps
Automatic alt txt Everything you need to know to write effective alt text
Dictation Dictate with your voice in Office
Editor Editor is your writing assistant
Ideas Ideas in Excel
Ink to Text, Ink to Shape, Ink to Math Change handwritten ink to shapes, text, or math in PowerPoint for Office 365
Live captions & subtitles Present with real-time, automatic captions or subtitles in PowerPoint
Maps in Power View Maps in Power View
Office Presentation Service Broadcast your PowerPoint presentation online to a remote audience
PowerPoint Designer Create professional slide layouts with PowerPoint Designer
Publish to Power BI Publish to Power BI from Excel
Publish to Microsoft Stream Turn your presentation into a video
Research Add or change research services
Smart Lookup Get insights into what you’re working on with Smart Lookup
Tap for Word (Add from files) Find and use the content you need, when you need, without leaving Word
Transform to Web Page Transform your Word document into a Sway web page
Translator Translate text into a different language

Liste der Dienste die Inhalte runterladen

Name More information
Cloud fonts Cloud fonts in Office
Data types Excel data types: Stocks and geography
Ink Effects Draw and write with ink in Office
Insert Icons Insert icons in Microsoft Office
Insert Microsoft Forms Insert a form or quiz into PowerPoint
Insert Online 3D Models Get creative with 3D models
Insert Online Pictures Insert pictures
Insert Online Video Insert a video from YouTube or another site
Office Help When you choose Help > Help on the ribbon or use F1 in an Office app
Online Shape Search (Visio) Find more shapes and stencils
PowerPoint QuickStarter Research a topic with PowerPoint QuickStarter
Researcher Research your paper easily within Word
Tell Me Do things quickly with Tell Me
Templates Download free, pre-built templates
Weather Bar (Outlook) Change the calendar Weather Bar forecast city

Liste der Dienste, die Inhalte im Dokument analysieren und Inhalte runterladen

Name More information
@mention Use @mention in comments to tag someone for feedback
Brainstorming diagram (Visio) Create a brainstorming diagram
Chat Enhance collaboration with Chat in Microsoft Office
Coming Soon (Outlook) Coming Soon
Contact Support (Outlook) When you choose Help > Contact Support on the ribbon
Custom Import (Visio) Import data to shapes in your drawing
Data Loss Prevention (DLP) policy tips Send email notifications and show policy tips for DLP policies
Data Visualizer (Visio) Create a Data Visualizer diagram
Design Flows (Visio) Design a Microsoft Flow in Visio
External list (Outlook) Connect an external list to Outlook
Focused Inbox (Outlook) Focused Inbox for Outlook
Information Rights Management Information Rights Management in Office
LinkedIn contact card Connect your LinkedIn and Microsoft accounts
Office feedback How do I give feedback on Microsoft Office?
Office support (Contact us) When you choose Help > Contact Support on the ribbon
Office 365 add-ins Manage deployment of Office 365 add-ins in the Microsoft 365 admin center
Organization chart (Visio) Create a Visio organization chart
Outlook Social Connector Turn on the Outlook Social Connector
Outlook UserVoice How do I give feedback on Microsoft Office?
Recent documents Open files from the File menu
Resume Assistant (or CV Assistant) Write your best resume with help from LinkedIn and Resume Assistant
Room Finder (Outlook) How to control the Room Finder in Outlook
Safe Links Office 365 ATP Safe Links
Sensitivity labels Apply sensitivity labels to your documents and email within Office
Share Share a document (Excel) 
Share a document (PowerPoint) 
Share a document (Word)
Shared with me See files others have shared with you
SharePoint site mailbox (Outlook) Show or hide a site mailbox in Outlook
Timeline import and export (Visio) Import and export timeline data between Visio and Project
Version history View previous versions of Office files
While you were away Get notified when members of your team update your shared file

https://docs.microsoft.com/en-us/deployoffice/privacy/connected-experiences?toc=/deployoffice/toc.json

3. Optional Conneced experience

Diese Kategorie enthält die Dienste, die eine Verifikation für die ein Office365 Account benötigt wird. Dazu zählen LinkedIn, 3D Karten in Excel oder auch Bing. 

Diese Dienste sind alle optional und nicht zwingen zum Betrieb von Office 365 Pro Plus nötig. Leider sind es auch die Dienste die die Nutzer (3D Karten) einfach anklicken oder ihren Alltag entscheident verbessern können, wie die Verbindung zu LinkedIn. 

Die Dienste sind an gesonderte Vereinbarungen/Bedingungen und Verträge gebunden.

Als Administrator besteht die Möglichkeit diese abzustellen oder für bestimmt Nutzer freizugeben. Diese müssen aber aktiv eingestellt werden. Viele dieser Dienste sind von Beginn an aktiviert und einige müssen erst aktiviert werden (LinkedIn). Welche Dienste in default aktiviert sind und welche nicht, ist leider nicht bekannt und ändert sich auch monatlich.

Die Dienste sind hier zu finden:

Datei > Konto > Kontoinformationen > Einstellungen

Mehr Informationen

4. Erforderliche Service Daten für eine vernetzte Erfahrung

Office besteht aus Client-Softwareanwendungen und vernetzten Anwendungen (Cloud), die es ermöglichen besser zu arbeiten.

Als Beispiel kann genannt werden: Die Arbeit mit anderen an einem auf OneDrive for Business gespeicherten Dokument oder die Übersetzung des Inhalts eines Word-Dokuments in eine andere Sprache sind Beispiele für verbundene Erfahrungen.

“Erforderliche Servicedaten sind entscheidend, da sie es Microsoft ermöglichen, diese Cloud-basierten vernetzten Arbeiten/Nutzungen zu liefern und dazu beitragen, diese Nutzungn sicher zu machen und für unsere Kunden wie erwartet zu erbringen. Drei Arten von Informationen bilden die erforderlichen Servicedaten,” so Microsoft.

  • Kundeninhalte, d.h. Inhalte, die Sie mit Office erstellen, wie z.B. Texte, die in einem Word-Dokument eingegeben werden, und die in Verbindung mit dem verbundenen Erlebnis verwendet werden.
  • Funktionale Daten, die Informationen beinhalten, die eine vernetzte Erfahrung zur Erfüllung ihrer Aufgabe benötigt, wie z.B. Konfigurationsinformationen über die App.
  • Dienstdiagnosedaten, d.h. die Daten, die erforderlich sind, um den Dienst sicher, auf dem neuesten Stand und wie erwartet zu halten. Da diese Daten in engem Zusammenhang mit der damit verbundenen Erfahrung stehen, sind sie von den erforderlichen oder optionalen Diagnosedatenebenen getrennt.

weitere Informationen:

Required service data for Office

Folgende Maßnahmen werden von Microsoft empfohlen:

  • Gruppenrichtlinien (GPOs)
  • Prüfung per Diagnostic Viewer

Folgende Maßnahmen können zusätzlich eingesetzt werden:

  • “Löcher schließen”
    • Security Gateway konfigurieren
    • Firewall konfigurieren
  • Überprüfung per Security Gateway, und Tools wie Fiddler oder Wireshark
    (Anmerkung: Bei der Nutzung dieser Sniffer des Netzwerkverkehres ist mit aufgefallen, dass Microsoft diese Nutzung registriert. Warum? Teilweise läuft es schneller und gefühlt laufen weniger Sendeprozesse aus ohne Sniffer. Konkret werde ich dies in den nächsten Wochen testen und ob es nicht nur ein subjektiver Eindruck ist.) 

Die relevanten GPOs zu Office 365 Pro Plus

Download der ADMX: https://www.microsoft.com/en-us/download/details.aspx?id=49030
Diese gelten auch für Office 365.

Relevant sind die folgenden

Link: https://docs.microsoft.com/en-us/deployoffice/privacy/manage-privacy-controls?toc=/deployoffice/toc.json

  • Send personal information, which can be found under User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Privacy\Trust Center.

-> Diese Einstellung kommt noch und ist in aktuellen ADMX Paket noch nicht enthalten! 

  • Online Content Options, which can be found under User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Tools | Options | General | Service Options…\Online Content.

  • PowerPoint Designer Options, under User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Tools | Options | General | Service Options…\PowerPoint Designer
  • Turn off QuickStarter, under User Configuration\Policies\Administrative Templates\Microsoft PowerPoint 2016\PowerPoint Options\General
  • Allow LinkedIn Resume Assistant feature, under User Configuration\Policies\Administrative Templates\Microsoft Word 2016\Word Options\General

Schauen wir uns die GPOs genauer an

Weg zu den GPOs: User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Telemetrydashboard

Telemetry-Datensammlung aktivieren

 

Datenschutzeinstellungen im Office-Telemetry-Agent aktivieren

Hochladen von Dateien für den Office-Telemetry-Agent aktivieren

Den UNC-Pfad zum Speichern von Office-Telemetrydaten angeben

Aus der Berichterstellung des Office-Telemetie-Agents auszuschließende Office-Anwendungen

Aus der Berichterstellung des Office-Telemetie-Agents auszuschließende Office-Lösungen

Office Store blockieren

Weg zu den GPOs: User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Sicherheitseinstellungen/Trustcenter/VertrauenswürdigeKataloge

WebAdd ins blockieren

Datenschutzeinstellungen per GPOs

Hier findet ihr die Datenschutzeinstellungen, die ich euch oben erläutert habe:

Weg zu den GPOs: User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Datenschutz/TrustCenter

Diese Einstellungen müsst ihr alle auf deaktiviert setzen! 

Aber Achtung: Es kann sein, dass dann nicht mehr alle Funktionen und alle Cloud-Dienste zur Verfügung stehen. Ebenso könnt ihr mit diesem Client nicht am Office Insider Programm teilnehmen.

WICHTIG: Dieses solltet ihr immer auf deaktiviert stellen: #Datenschutz

 

 

Per Registry Editor

Neben Powershell könnt ihr in der Registry des Clients folgende Einstellungen machen und diese über ein Tool eurer Wahl an alle Clients (Windows) verteilen.

Policy setting Registry setting Values
Configure the level of client software diagnostic data sent by Office to Microsoft SendTelemetry 1=Required 
2=Optional 
3=Neither
Allow the use of connected experiences in Office that analyze content UserContentDisabled 1=Enabled 
2=Disabled
Allow the use of connected experiences in Office that download online content DownloadContentDisabled 1=Enabled 
2=Disabled
Allow the use of additional optional connected experiences in Office DisconnectedState 1=Enabled 
2=Disabled
Allow the use of connected experiences in Office ControllerConnectedServicesEnabled 1=Enabled 
2=Disabled

Beispiel

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Policies\Microsoft\office\16.0\common\privacy]
“disconnectedstate”=dword:00000001
“usercontentdisabled”=dword:00000001
“downloadcontentdisabled”=dword:00000001
“controllerconnectedservicesenabled”=dword:00000001

[HKEY_CURRENT_USER\Software\Policies\Microsoft\office\common\clienttelemetry]
“sendtelemetry”=dword:00000002

 

Zusammenfassung

Um das Senden von Informationen so weit wie möglich abzustellen, müsst ihr folgende Maßnahmen treffen:

  1. per Gruppenrichtlinien
  2. per Registry Editor
  3. Stores abschalten
  4. 3rd Party Anwendungen nicht zulassen
  5. Gateway/Firewall streng anpassen

Alle diese Maßnahmen müssen pro Office Version geprüft und gegebenenfalls angepasst werden. Einen einfachen Schalter, der eine komplettes Abschalten von Senden von Informationen ermöglicht gibt es nicht.

 

Beispiel

In den nächsten Tagen bekommt ihr hier eine Beispielskonfiguration in Bezug auf den Datenschutz inkl. DSGVO in Deutschland. Ich muss mich noch etwas auf die Techorama vorbereiten.