Bis zum Schluß haben wir gezittert, ob der Event stattfinden wird – der Lockdown in Österreich hat uns kurz überlegen lassen, ob es vernünftig ist, in diesen Zeiten wegzufahren.
Nachdem wir aber alle geimpft sind, die Inzidenz in Deutschland doch erheblich geringer als in A ist und der Veranstalter ein vernünftiges Covid-Konzept hat, haben wir uns sehr gefreut, endlich wieder eine OnPremise Cloud Conferenz zu erleben.
2 Tage stehen nun vor uns – vollgepackt mit interessanten Vorträgen. Wie immer werde ich in meinem Blog live mitschreiben – entschuldige mich jetzt schon für Tippfehler, unvollständige Sätze und nicht so hübsche Blog Posts – alles entsteht hier live während den Sessions und es ist zu wenig Zeit, dass dazwischen ordentlich nachzubearbeiten.
Die Eventlocation in Düsseldorf ist sehr OK – moderne Messehalle, hell und viel Platz
Im Gegensatz zu den letzten Events werde ich diesmal alle Sessions des Tages in einem Post schreiben…
Keynote
2500 Registrierungen für diesen Event – aber es dürften einige Stornierungen gegeben haben – es gibt genug Essen 
Saal ist aber voll
Derzeit 250 Millionen aktive Users in Teams
100 petabytes new content added monthly to SharePoint
Vorstellung der Neuerungen, die auf der Ignite announced wurden – mit einem Satz, der mir eins besser verständlich gemacht hat:
Microsoft Loop ist eine Technologie, keine Applikation
Jetzt verstehe ich Loop etwas besser …
KEYNOTE: Navigating the hybrid workplace using Microsoft Teams (Karuana Gatimu)
https://adoption.microsoft.com
Loop ist die Arbeit, bevor etwas formell wird – dh bevor der Projektplan wirklich fertig ist .
Die schnelle “unformelle” Zusammenarbeit
cooles Slidedeck von Karuana – viele gute Slides zum Wiederverwenden…
Service Roadmap erzeugen – was erreiche ich mit welchem Tool
Und wichtig ist immer, den User ins Zentrum zu setzen. – siehe Modern Collaboration Framework (MOCA)
Product Feedback – im O365 Admin Center
meine Mitarbeiter können – bei Problemen – Feedback abgeben
Advirsor in TEams Admin Center
erzeugt mir ein TEam mit fertigen Planner, mit Schritten,d ei ich für den Team Rollout machen muß
und auch Umfragen für meine User, wie zufrieden sie mit Teams sind
Und ein Feedback Channel
Synchronisation von Message Center Nachrichten in den Planner
ein Thema, das wir eh schon standardmässig bei Kunden einrichten
Im Planning – Channel des erzeugten Teams aus dem Advisory ist eine PowerApp Modern Collaboration Tool – Which Tool when
(wobei ich nicht sicher bin, ob Sie das für die Demo hinzugefügt hat – ist aber eine fertige PowerApp von MS)
Monatliche Meetings – jeden 3. Dienstag, 8am und 5pm Pacific Time
Community zur Erweiterung von Teams mit vielen Beispielen
Conditional Access & App Controls (Nicki Borell)
Cloud App Security ist jetzt Microsoft Defender for Cloud Apps
What is Cloud App Security (Defender for Cloud Apps)
Broker Services (CASB – Cloud App Security Broker)
wer verwendet wie meine Cloud Apps
nicht nur MS Apps – auch 3rd Party Apps (abhängig von der 3rd Party App)
mit CAS kann ich nicht nur Apps erlauben und verbieten – sondern auch die Szenarien zur Nutzung erlauben/verbieten – je nach Szenario
Du musst deine Apps zu CAS connecten – Office 365, Microsoft Azure, DropBox usw. bevor du es nutzen kannst im Unternehmen
Achtung: Wie immer in der Demo wird der Hinweis vergessen, dass ich nur die Nutzung von zb DropBox tief überwachen kann, wenn DropBox mit dem Busienss Account genutzt wird!
Auch hat er nicht erwähnt, dass es notwendig ist, meine Firewall mit der CAS zu verbinden, um zu sehen, was meine User nutzen
(Oder es hat sich massiv was verändert in den letzten 2(?) Jahren)=
Control Cloud Apps with policies in combination with CondAccess
in dieser Zusammenarbeit habe ich wesentlich tiefere Kontrollmöglichkeiten
ich kann zb sagen, ich erlaube den Download von Dingen nur auf Unternehmensgeräten
Das geht aber nur für Apps, wo ich mich über AAD anmelde – unabhängig vom Standort (Internetzugang) des Users
Beispiel:
Ist ein Dokument mit “Sensitive” gelabeled, dann kann ich es nru unter bestimmten Umständen runterladen
Demo:
Beim Zugriff auf Teams bekommt der User ein PopUp, dass der Zugriff auf Teams gemonitered wird
Der Link von Teams zeigt auch auf die CAS, nicht direkt auf Teams (beim PopUp)
Dh die Zugriffe werden über die CAS gelenkt
User kann Word im Browser ganz normal arbeiten – versucht er es downzuloaden, bekommt er ein PopUp, dass es nicht erlaubt ist
Admin Sicht dieser Demo:
In der Cond. Access Policy nutze ich in der Session Control: User Cloud App Security – werde dann dorthin umgeleitet und kann dort die Policy konfigurieren
dh die Pollices mache ich in CAS, nicht in CondAccess
Sehr viel mehr Möglichkeiten dort!
für die Szenarien und für die Möglichkeiten (kann Alerts setzen, …) – geht soweit, dass ich Aktionen mit PowerAutomate machen kann
Bevor ich das machen kann, muss ich vorher O365 als connected App in CAS registrieren
Weitere Szenarien:
Es gibt die Integration von Microsoft Defender und CAS
Defender for Endpoint
Dort kann ich “Connect to CAS” setzen
dann kann ich URLs direkt blocken
dh wenn ich in CAS eine App sperre, kann der User von einem Gerät das mit Defender for Endpoint geschützt ist, nciht mehr zugreifen
Information Protection und CAS
in der CAS-Admin Center kann ich Information Protection aktivieren
dann kann ich Lables applien beim Download
ich kann in IP ein Label erzeugen und für Conditional Access “freigeben” – dann kann ich das dort in den Rules verwenden
Demo: Der User kann gewisse SP Sites öffnen, andere (die ein gewisses Label haben) nicht
The real life experience
langsam gehen alle Security Tools in Security.microsoft.com auf – aber eben noch nicht alle
https://aka.ms/MCRA – MS Cybersecurity Architecture – mittlerweile sehr umfangreich und komplex
Vorgehensweise:
Ich brauche Szenarien – HomeOffice, private Devices, …
dh “what you want to achieve” or “what is the business case”
Interessant dazu:
Wie lizenziere ich Cloud App Security https://aka.ms/mcaslicensing – ist ein E5 Feature
KEYNOTE: The future of work: productivity and employee experience (Dan Holme, Vesa Juvonen)
Viva
Viva insights
Viva Learning
Viva connections
One Place inside Teams mit News, Ressources und Informations meines UNternehmens
Personalisiert für die Mitarbeiter und Gruppen
3 große Componeten
- Feed
- Dasboard
- Ressources
Wie mache ich das ?
- Eine bestehende Seite in SP als Homesite definieren
- Dann konfiguriere ich die globale Navigation
- …
Viva Topics
All About Microsoft 365 Sensitivity Labels (Tony Redmond)
Heute ist alles unter Microsoft INformatin Labels
2 Aufgaben der Sensitive Labels
INformation Protection
Container Management (TEam, Group, SP Site)
wird verwendet um Information Labels und Container Management zu machen
die Idee ist, gleiche Teams gleich zu konfigurieren (einfach gesagt)
Der Scope des Labels erzählt mir, was das Label tut.
Empfehlung:
Teilen der Labels zwischen Information Protection und Container Management
Information Protection:
ist ein Visual Marker, der dem User zeigt, wie sensitiv die INformation ist
kann auch Header/Footer hinzufügen
und kann Rights Management hinzufügen, die sagt:
wer kann was mit dem File machen
Labels ist Teil der Dokument-Metadata und bleibt beim Dokument (bis es entfernt wird)
Labels kann ich automatisch oder manuell hinzufügen
Container Management
Management Controls SP Sites, TEams, Groups
- Privacy (Public, Private)
- Guest Access
- External sharing möglichkeit
- Endpoint access from unmanaged devices
- und mehr in Zukunft
Labels haben eine Reihenfolge – je höher umso wichtiger
Alle modernen Office Apps nutzen sensitive Labels
Native Support bedeutet, dass die App mit der Verschlüsselung umgehen kann
Wenn ich Policies publishe, dauert es bis zu 4 Stunden, bis die Änderungen deployed sind
Sehen tue ich es, dass die App dann ein Sensitivity Label hat
Ich sehe in der App alle Labels, die den Scope haben, Files zu schützen
(also keine die nur Container Management machen)
Wichtig: Die Namen der Sensitivity Labels sind ganz wichtig – der Enduser entscheidet auf Grund des Namens!
Auch Office Inline unterstützt es
Auch PowerBi (Pro/Premium) kann mit sensitive Labels umgehen (Dashboards, reports, datasets, dataflows)
SharePoint
die alten IRM Labels greifen nur, wenn ein User Daten downloads
Wenn enabled, können User in SP sensitive Labels vergeben
Diese geschützten Dateien werden dann im Background decrypted um Fulltext Search, Thumbnails usw. zu generieren – geht nicht bei IRM geschützten Dateien, nur mti Sensitive Labels
(Ausgenommen für Labels mit user-Set permissions und expiration dates)
Dadurch geht auch DLP für geschützte Dateien
ich kann in SP mir auch Spalten anzeigen lassen mit der Sensitive Label
Der Schutz der Dokumente bleibt auch am Dokument, wenn ich das Dokument runterlade
mittlerweile funkt auch Co-Authoring Online und mit dem Desktop Client
Das öffnen von Dokumenten kann etwas langsamer werden mit Rights Management
Unified Labeling Client
brauche ich den noch ?
Ja, manchmal – brauche ich, wenn ich sensitive Labels auf Dateien geben möchte, die ausserhalb von O365 gespeichert sind. Innerhalb O365 brauche ich es nicht
den gibt es nur auf Windows (nicht auf Mac)
Mit dem Client habe ich auch ein paar interessante PowerSHell Commands – damit kann ich über PowerShell viele Dateien ver/entschlüsseln (auch als Super-User) – zb bei Tenant-2Tenant Migration (!)
Wie kann ich Labels automatisch zuweisen ?
Exchange ist einfach – über die Transport Rules – ist einfach, weil das der zentrale Punkt ist
Defender for Cloud Apps kann Labels beim Hochladen zuweisen
Die anderen Office Apps brauchen den UNified Label client
automatic Assignment on Scale
auto-Label policies
die machen das imHnitergrund in ausgewählten SharePoint Sites und OD for Business Account (25.000 Documents a day)
Auto-Label wird keine manuel erstellten Labels überschrieben
unbedingt vorher den Test-Modus nutzen!
Namen sind wichtig! Ich kann auch Windows Icons in Namen verwenden ❤️ (Windows-Taste + . )
Lables sind single language – Multi-Language geht nur über PwoerShell
und: Never remove labels! unpublish instead!
Licensing:
Jede O365 Lizenz kann CONSUME Labels (open protected Contet)
O365 E3 und above kann sensitive labels usen manuell
O365 E5 und höher kann automatic label assignement
Downside of encrypting information is – its encrypted
Microsoft Teams Architecture Deep Dive – Update (Maarten Eekels)
Neu:
normale Channels sind ein Folder in der DocLibrary (Anmerkung: VErädnerung von Foldrnames bricht diese Verbindung)
Private Channels – neue Sitecollections
(new) Shared Channels – ebenfalls neue Sitecollection (wahrscheinlich)
sonst war wenig Neues in der trotzdem guten Session..
How to Migrate Tenant to Tenant: The Playbook (Andreas Krüger)
(Software One)
(Warnung: Akku ist schon sehr leer – die Session wird er wahrscheinlich nicht durchhalten – wie erwartet ist er gestorben.)
War eine sehr gute Session mit viel Praxiswissen und einem guten Ablauf!
- Get the scope right
Devices, Knowledge, Identiy, Mail Data, Documents (beim User)- get to know your environment
- Meet your users
- Start the preperation
- get rid of (old) stuff
- set the stage
- time for migration
- time to say goodbye
