Lösung

Installieren der SharePoint Online Management Shell

Verbindung mit SharePoint Online via PowerShell herstellen. Dazu ein PowerShell-Fenster öffnen und den nachfolgenden Befehl eingeben. Im Anmeldefenster einen Benutzer mit Administrationsrechten verwenden und anmelden

Connect-SPOService

Als nächstes muss die URL des gewünschten OneDrives des gelöschten Benutzers herausgefunden werden.

Generell setzt sich die URL aus dem Azure Tenant Namen und dem Benutzernamen zusammen

https://<tenant name>-my.sharepoint.com/personal/<user principal name> 

Diese URL fügt man nun in den nachfolgenden Befehl ein. zusätzlich wird noch ein Benutzerkonto mit Berechtigungen zum Zugriff auf das OneDrive benötigt. Der vollständigen UPN muss ebenfalls in den Befehl integriert werden. Anschließend den Befehl ausführen

Set-SPOUser -Site URLDERONEDRIVESEITE -IsSiteCollectionAdmin $true -LoginName BENUTZERMITBERECHTIGUNG

Nach absetzen des Befehls ist dem Benutzer der Zugriff auf das OneDrive erteilt und er kann über den vorher herausgesuchten Link darauf zugreifen.

Der Beitrag Auf OneDrive eines gelöschten Benutzers zugreifen erschien zuerst auf Daniel Gutermuth.

Generelle Voraussetzungen:

• Eine existierende AD-Umgebung welche korrekt mittels Azure-AD-Sync nach Azure AD synchronisiert
• Mindestens einen der Domäne beigetretenen Computer
• Regionale Verfügbarkeit des Dienstes
• Sicherheit darüber, dass Azure Files prinzipiell funktioniert. Als Test kann eine Dateifreigabe mittels Speicherkontenschlüssel erstellt und getestet werden. Diese muss funktionieren!

Der Beitrag ist extra so kurz wie möglich gehalten und beschreibt nur die wichtigsten Schritte. Weitere, sowie tiefgründigere Informationen, sind der Microsoft Dokumentation zu entnehmen.

Lösung

Vorhandenes Speicherkonto auswählen oder ein neues erstellen.

Das Archiv „AzureFilesHybrid“ von GitHub herunterladen und entpacken.

Hinweis: Dies und das Nachfolgende auf einem Computer durchführen, welcher der lokalen Domäne beigetreten ist. Außerdem sicherstellen, dass ein AD-Konto verwendet wird, welches mindestens das Recht besitzt einen Dienstbenutzer (service log on account) zu erstellen.

PowerShell-Terminal öffnen und folgende Befehle ausführen und bestätigen:

Install-Module -Name az -AllowClobber -Scope CurrentUser
Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser

In der PowerShell-Sitzung in den Ordner des entpackten „AzureFilesHybrid“ Archives wechseln und folgende Befehle ausführen und bestätigen:

.\CopyToPSPath.ps1
Import-Module -Name AzFilesHybrid -Verbose

Eine Verbindung mit dem Azure-Online-Dienst aufbauen. Dazu mit dem gewünschten Azure-Konto anmelden und sicherstellen, dass das korrekte Abo ausgewählt wurde. Sollte das falsche Abo vorausgewählt sein, kann es mit einem optionalen Befehl gewechselt werden.

Connect-azaccount

Optional bei falschem Abo:
Select-AzSubscription -SubscriptionId "ID"

Erstellung und Zuweisung eines Service-Benutzers zur Authentifizierung des Azure Speicherkontos. Dabei eine OU angeben unter welcher der Benutzer erstellt werden soll.

Hinweis: Darauf achten, dass das Passwort des Dienstbenutzers nicht abläuft! (Sollte „Kennwort läuft nie ab“ nicht verwendet werden)

Join-AzStorageAccountForAuth -ResourceGroupName "Ressourcengruppenname" -Name "Speicherkontoname" -Domain "lokale Domäne" -DomainAccountType ServiceLogonAccount -OrganizationalUnitDistinguishedName "Gewünschte OU"

Anschließend kann der erstellte Benutzer in der angegebenen OU des ADs gefunden werden.

Als nächstes sollte die Konfiguration überprüft werden. Dazu ggf. ein zweites PowerShell-Fenster öffnen und folgende Informationen auslesen lassen und temporär merken.

$domainInformation = Get-ADDomain
$domainGuid = $domainInformation.ObjectGUID.ToString()
$domainName = $domainInformation.DnsRoot
$domainGuid
$domainName

Die nachfolgenden Befehle in das erste PowerShell-Fenster eingeben und prüfen, ob die angezeigten Informationen passen.

$storageacccount = Get-AzStorageAccount -ResourceGroupName "Ressourcengruppenname" -Name "Speicherkontoname"
$storageacccount | Get-AzStorageAccountKey -ListKerbKey | Format-Table Keyname
# Es sollten Schlüsselnamen angezeigt werden
$storageacccount.AzureFilesIdentityBasedAuth.DirectoryServiceOptions
# Ergebnis sollte "AD" sein
$storageacccount.AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
# Die informationen sollten mit denen aus dem zweiten PowerShell-Fenster übereinstimmen(DomainName und DomainGUID)

Über das Azure-Portal können, in der Konfiguration des Speicherkontos, die Freigabeberechtigungen (via IAM) vorgenommen werden. Folgende Rollen sind hierfür relevant:

Hinweis: Alternativ können Berechtigungen auch direkt über die Freigabe im Windows-Explorer (ACL) vorgenommen werden.

Zuletzt den Azure Fileshare via CMD mounten damit er über den Explorer verwendet werden kann.

net use LAUFWERKBUCHSTABE: \\SPEICHERKONTONAME.file.core.windows.net\FREIGABENAME

Hinweis: Die Eingabeaufforderung muss als „normaler“ Benutzer ausgeführt werden und nicht als Administrator!

Der Beitrag Azure Files – Hybrid AD-Authentifizierung für Azure File Shares erschien zuerst auf Daniel Gutermuth.

Lösungen

PowerShell

Eine PowerShell-Session starten und mit dem Befehl Conncect-MicrosoftTeams eine Verbindung mit dem Microsoft Teams Online-Verwaltungsdienst herstellen.

Die aktuelle Konfiguration anzeigen lassen.

Get-CsTeamsCallingPolicy | Fl Identity,*voice*

Anschließend folgenden Befehl zur globalen Deaktivierung verwenden.

Set-CsTeamsCallingPolicy -Identity Global -Allowvoicemail AlwaysDisabled

Zuletzt können die Einstellungen mit dem ersten Befehl überprüft werden.

Nach bis zu 24 Stunden werden die neuen Einstellungen synchronisiert sein.

Teams Admin Center

In das Teams Admin Center wechseln und in der gewünschten Calling-Policy den Punkt „Voicemail is avaiable for routing inbound calls“ auf „Not enabled“ setzen. Anschließend speichern.

Nach bis zu 24 Stunden werden die neuen Einstellungen synchronisiert sein.

Der Beitrag Microsoft Teams – Voicemail global deaktivieren erschien zuerst auf Daniel Gutermuth.

Kontakte anlegen 

Outlook starten und in Kontakte wechseln. Sicherstellen, dass die Kontakte des eigenen Benutzerpostfaches ausgewählt wurden. Anschließend sind im rechten Fenster alle bereits hinzugefügten Kontakte zu finden.  

Weitere Kontakte können entweder manuell oder über das Exchange Adressbuch hinzugefügt werden. 

Dazu im Kontakte-Fenster bleiben und im oberen Menüband Start wählen. Anschließend auf Adressbuch klicken und per Mehrfachauswahl (STRG + klick) die Kontakte auswählen, welche hinzugefügt werden sollen. Zuletzt einen Rechtsklick auf einen selektierten Kontakt tätigen und „Zu den Kontakten hinzufügen“ klicken. (Outlook kann für einen Moment nicht reagieren. Daher warten, bis der Vorgang abgeschlossen wurde) 

Danach werden die Kontakte aus dem Adressbuch den Outlook-Kontakten hinzugefügt und sind auch in Teams sichtbar. 

Die Teams-App vorsorglich einmal vollständig beenden (über die Taskleiste) und neu starten. 

Der Beitrag Microsoft Teams – Kontakte aus Outlook synchronisieren erschien zuerst auf Daniel Gutermuth.

Lösung

Im Teams Admin Center (https://admin.teams.microsoft.com/call-queues) anmelden und auf der linken Seite auf den Punkt „Voice“ klicken und den Unterpunkt „Call queues“ wählen

Anschließend die gewünschte Anrufwarteschleife auswählen und mit „Edit“ die Einstellungen öffnen.

In den Einstellungen zum letzten Konfigurationspunkt „Call timeout handling“ wechseln und bei „When call times out“ → „Redirect this call to“ → „External phone number“ die gewünschte Nummer zur Weiterleitung der ankommenden Anrufe eintragen. Außerdem sicherstellen, dass der Wert bei „Maximum wait time“ 0 ist.

Mit „Submit“ speichern.

Der Beitrag Microsoft Teams – Sofortige Weiterleitung bei Anrufwarteschleifen erschien zuerst auf Daniel Gutermuth.

Lösung (Kurzfassung)

Sicherstellen, dass der Textinhalt nicht in das reservierte Signatur-Segment geschrieben wird.
Um das zu prüfen kann der geschriebene Text zuerst markiert und darauf anschließend ein Rechtsklick ausgeführt werden. Öffnet sich das „normale“ Kontextmenü , ist alles korrekt. Öffnet sich mit dem Rechtsklick aber das Signatur-Kontextmenü, so steht der Text im Signatur-Segment und muss von dort verschoben werden.

Lösung (Ausführlich)

Für die Outlook-Signatur gibt es im E-Mail Body einen reservierten Bereich. Schreibt man in diesen Bereich Text, so besteht die Gefahr, dass dieser überschrieben wird.

Das nachfolgende Beispiel soll dies verdeutliche. Der Inhalt „Text 3“ befindet sich hier im Bereich der E-Mail-Signatur.

Wird nun die E-Mail-Signatur eingefügt, überschreibt sie diesen Textinhalt

Durch die Markierung ist der Anfang der E-Mail-Signatur zu erkennen. Dabei startet sie nicht beim ersten Buchstaben, sondern schon vorher mit Zeilenumbrüchen. Diese müssen beim Löschen der Signatur ebenfalls entfernt bzw. der Textinhalt über diese verfasst werden.

Beim Verfassen einer neuen E-Mail daher darauf achten, wo sich der geschriebene Text befindet. Löscht man die E-Mail-Signatur bei einer neu verfassten E-Mail, so ebenfalls sicherstellen, dass die komplette Signatur inkl. Zeilenumbrüchen aus der E-Mail entfernt wurde. Anschließend überschreibt die Signatur auch keinen Text mehr

Der Beitrag Outlook – Signature 365 (Symprex) löscht / überschreibt E-Mail Text erschien zuerst auf Daniel Gutermuth.

Um einen generellen Fehler auszuschließen, empfiehlt sich zuerst eine Überprüfung via WebApp.

• Office 365: https://outlook.office.com/mail/

Sollte hier alles problemlos funktionieren, liegt der Fehler höchstwahrscheinlich lokal.

Die hier gezeigt Lösung bezieht sich auf Office 365, ist aber deckungsgleich mit Office 2021, 2019 oder 2016. Alles auf eigene Gefahr!

Lösung

Dazu Outlook starten und Datei ➔ Informationen ➔ Kontoeinstellungen ➔ Kontoeinstellungen.. wählen.

Im Reiter E-Mail das entsprechende Postfach auswählen und Ändern klicken.

Weitere Einstellungen wählen.

Im Reiter Erweitert den Optionspunkt „Exchange-Cache-Modus verwenden“ aktivieren und mit OK alles bestätigen.

Hinweis: Sollte der Unterpunkt „Freigegebene Ordner herunterladen“ aktiv ein, diesen deaktivieren.

Anschließend muss Outlook neu gestartet werden.

Nach dem Neustart die identischen Schritte wie zuvor vornehmen, bis zum letzten Punkt. Hier muss nun der Unterpunkt „Freigegebene Ordner herunterladen“ aktiviert werden.

Outlook ein letztes Mal neu starten.

Hinweis: Dauert der Neustart von Outlook länger als zwei Minuten, kann Outlook einfach geschlossen und nochmals gestartet werden.

Sollte der Fehler weiter bestehen, empfiehlt es sich das Outlook-Profil neu zu erstellen.

Der Beitrag Outlook – Freigegebenes Postfach zeigt neuen Ordner oder verschobenes Element nicht an erschien zuerst auf Daniel Gutermuth.

Eine Möglichkeit bietet das Anfügen einer Warnung bei externen E-Mails. Wird anschließend einem Postfach eine E-Mail von außerhalb der eigenen Organisation oder Domäne zugestellt, wird dieser E-Mail automatisch ein entsprechender Warnhinweis angefügt. Besonders hilfreich ist es bei Mail-Spoofing.

Hinweis: Die nachfolgenden Schritte werden bei Exchange Online durchgeführt. Eine Umsetzung bei on-premise Exchange-Versionen ist aber fast identisch möglich. Die Menüführung kann sich ggf. unterscheiden.

Lösung

Am Exchange Admin Center anmelden und unter Mail flow in den Punkt Rules wechseln und dort Create a new rule wählen.

Hinweis: Hierfür ist ein Konto mit entsprechenden Administrationsberechtigungen notwendig!

Der neuen Regel anschließend einen passenden Namen vergeben und als Bedingung The sender is located ➔ Outside the organization verwenden. Mit OK bestätigen.

Im nächsten Schritt Append the disclaimer als DANN-Funktion wählen und unter specify disclaimer text den HTML-Code mit dem gewünschten Hinweistext einfügen und mit OK bestätigen.

<!DOCTYPE HTML PUBLIC " -W3CDTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE>Email Signature</TITLE>
<META content="text/html; charset=utf-8" http-equiv="Content-Type">
</HEAD><BODY style="font-size:10pt; font-family:Arial, sans-serif;">
<p style="font-size:10pt; font-family:Arial, sans-serif;color:red; ">
<b>VORSICHT: Diese E-Mail stammt von außerhalb der Organisation. Klicken Sie nicht auf Links oder öffnen Sie Anhänge, es sei denn, Sie erkennen den Absender und wissen, dass der Inhalt sicher ist.
</b>
</p>
</BODY>
</HTML>

Bei specify fallback action den Punkt Wrap verwenden und mit OK schließen.

Falls Bedarf besteht, können noch weitere Bedingungen hinzugefügt werden. So können beispielsweise einzelne Personengruppen oder auch bestimmte E-Mail-Absender von der Regel ausgenommen werden.

Ansonsten die Erstellung mit einem Klick auf Save abschließen.

Anschließend sicherstellen, dass die neue Regel aktiviert ist.

Nun kann die neue Regel getestet werden. Dazu eine E-Mail von einem Absender außerhalb der Organisation versenden oder auf eine beliebige, externe E-Mail warten.

Bei dieser wird nun die vorher definierte Warnung angezeigt.

Diese Funktion ist natürlich kein Garant für eine hundertprozentige Sicherheit, bietet aber eine gute erste Basisabsicherung mit Exchange Bordmitteln.

Der Beitrag Exchange – Warnung bei externen E-Mails anfügen erschien zuerst auf Daniel Gutermuth.

Welcher Migrationsansatz gewählt wird, ist vom jeweiligen Einzelfall abhängig. Bei kleinen und eher standardmäßigen Umgebungen, kann eine CutOver-Migration eine vailide Lösung sein.

Bei einer CutOver-Migration wird im Exchange Admin Center (online) ein sogenannter Migrationsbatch erstellt. Dieser stellt sicher, dass die lokalen Postfächer nach Exchange Online verschoben werden. Dabei baut Exchange Online eine Verbindung via EWS mit dem lokalen Exchange Server auf.

Damit alles ohne Fehler funktioniert, gibt es ein paar Dinge zu beachten.

Dieser Beitrag geht davon aus, dass bereits eine Anbindung an das Azure AD besteht, inkl. Azure AD Connect. Nun soll „nur“ noch der lokale Exchange Server durch Exchange Online ersetzt werden. Ein Hybrid-Modus ist nicht vorgesehen!

Hinweis: Alles auf eigene Gefahr! Dies ist keine Anleitung. Super Anleitungen sind u. a. hier zu finden.

Lösung

• EWS konfigurieren

Exchange Online holt sich Informationen über Benutzer und deren Daten direkt per EWS. So muss der lokaler Exchange Server zumindest von Exchange Online (Microsoft 365) per HTTPS erreichbar sein.

Für diese Verbindung wird zwingend ein gültiges Trusted-SSL-Zertifikat benötigt!

• Lokale SMTP-Adressen entfernen

Lokale SMTP-Adressen (z. B. benutzer@domäne.local) müssen vor der Migration entfernt werden, sonst schlägt der Migrationsbatch fehl.

Erledigt werden kann dies lokal mit PowerShell und dem Befehl:

Set-Mailbox "Benutzer Name" -EmailAddresses @{remove="BenutzerName@domäne.local"}

• onmicrosoft SMTP-Adresse hinzufügen

Jeder Microsoft 365-Tenant besitzt automatisch eine Standard onmicrosoft-Domäne.

Diese Domäne muss als SMTP-Adresse bei jedem Migrationsobjekt vor Migrationsbeginn hinzugefügt werden.

Auch hier kann PowerShell die Arbeit lokal erledigen:

Set-Mailbox "Benutzer Name" -EmailAddresses @{Add="BenutzerName@XXXXonmicrosoft.com"}

• „Hybrid“-Dienstkonto für Postfächer einrichten

Damit die Postfächer nach Exchange Online migriert und dort konfiguriert werden können, muss ein Dienstkonto erstellt werden, welches auf die Objekte Vollzugriff besitzt. Dieses Konto muss lokal, sowie in der Cloud bereitstehen.

Über PowerShell kann der Vollzugriff auf die lokalen Postfächer erteilt werden:

Add-MailboxPermission -Identity "Benutzerpostfachkonto" -User "DienstBenutzer" -AccessRights FullAccess -InheritanceType All

Nach Abschluss der Migration kann der Vollzugriff wieder entfernt werden!

• Migrationsbatch

Anschließend wird im Exchange Admin Center (online) der Migrationsbatch über den Assistenten erstellt. Hier werden u.a. der Dienstbenutzer, sowie die EWS-Verbindung benötigt.

Nach Abschluss des Assistenten, kann der Migrationsbatch gestartet und damit die Postfächer synchronisiert werden.

Hinweis: Ein Start des Batches bedeutet noch keine Cut-Over-Migration! Der Migrationsbatch kopiert alle Postfächer nach Exchange Online und synchronisiert anschließend alle 24 Stunden deren Delta. Erst wenn der Migrationsbatch explizit vom Benutzer im Exchange Admin Center (online) abgeschlossen wird, synchronisiert er zum letzten Mal das Delta und beendet die Migration anschließend.

Das ist besonders hilfreich, wenn eine hohe Datenmenge migriert werden muss, aber nur eine begrenze Internetanbindung besteht. So kann das Verschieben der Postfächer auf mehrere Tage verteilt werden, ohne dass die bestehende Exchange-Umgebung beeinträchtigt wird.

• MX-Eintrag

Sobald der Migrationsbatch explizit abgeschlossen wurde, muss natürlich noch der MX-Eintrag im DNS umgestellt werden. Ab diesem Zeitpunkt werden die E-Mails von Exchange Online verwaltet.

Tipp: Hier ist es empfehlenswert ein Wartungsfenster einzurichten und den lokalen Exchange-Server für die Benutzer zu sperren. Anschließend den Migrationsbatch beenden und ein letztes Mal synchronisieren lassen. Damit ist sichergestellt, dass die Postfächer jeweils auf einem aktuellen Stand sind.

Hinweis: Die lokalen Postfächer nach der Migration nicht löschen, da dadurch die AD-Benutzer ebenfalls gelöscht werden würden. Nur deaktivieren!

• Autodiscover

Auch der Autodiscover muss abgeändert werden. Dies gilt sowohl für lokale Ressourcen (DNS) als auch für externe Ressourcen (DNS).

Anmerkungen

Jede Exchange-Umgebung ist anders aufgebaut und somit können noch weitere Schritte anfallen.

Am Ende steht die Deprovisionierung bzw. Deinstallation des lokalen Exchange Servers. Man muss sich im Klaren sein, dass die vollständigen Deinstallation des Exchange Servers aus der Domäne fatale Folgen mit sich ziehen kann, wenn vorher nicht alles korrekt ausgeführt wurde.

Daher immer doppelt prüfen und Backups machen!

Der Beitrag Exchange Online – Was gibt es alles bei einer CutOver Migration zu beachten? erschien zuerst auf Daniel Gutermuth.

In diesem Beispiel wird das PowerShell Script in Intune eingebunden und bereitgestellt.

Lösung

Den Editor öffnen und den Inhalt des unten stehenden Scripts in diesen kopieren.

# Silent Installation von Mozilla Firefox


# Pfad zum Temp-Ordner für die Installation
$Installdir = "c:\temp\install_Firefox"
New-Item -Path $Installdir  -ItemType directory

# Download der neusten Mozilla Version
$source = "https://download.mozilla.org/?product=firefox-latest&os=win64&lang=de"
$destination = "$Installdir\firefox.exe"
Invoke-WebRequest $source -OutFile $destination

# Start der Installation nach Abschluss des Downloads
Start-Process -FilePath "$Installdir\firefox.exe" -ArgumentList "/S"

# Timeout für den Abschluss der Installation (240 Sekunden)
Start-Sleep -s 240

# Abschluss
rm -Force $Installdir\*

Datei – Speichern unter wählen und das Skript mit der Dateiendung .ps1 und Dateityp Alle Dateien abspeichern.

In das Microsoft Endpoint Portection Manager Admin Center gehen und durch Devices in den Punkt Scripts wechseln und dort auf Add Windows 10 and later klicken.

Anschließend einen Namen vergeben und mit Next weitergehen.

Nun muss das zuvor erstellte PowerShell Script hochgeladen werden.

Die restlichen Punkte können so belassen werden. Weiter mit Next.

Im letzten Schritt müssen noch die Gruppen zugewiesen und der Vorgang mit Add abgeschlossen werden.

Sobald die Einstellungen synchronisiert wurden, wird das Script ausgeführt und Mozilla Firefox installiert.

Natürlich wäre es auch möglich, das Script als Win32-App zu paketieren und über das Unternehmensportal bereitzustellen.

Der Beitrag Intune – Mozilla Firefox via PowerShell installieren erschien zuerst auf Daniel Gutermuth.