Microsoft 365 Apps for enterprise (Office ProPlus) über den Cloud Policy Service verwalten

    , 21.06.2021, zuletzt aktualisiert am 10.09.2023
    Tags: , ,

    Microsoft 365 TeaserBei der zentralen Ver­waltung von Microsoft Office spielen die Gruppen­richt­linien eine zentrale Rolle, besonders für die Sicher­heits­konfi­guration. Der Cloud Policy Service erlaubt es Admins, die Office-Apps über einen M365-Service anzu­passen, und zwar auch dann, wenn die PCs nicht Mitglied in einer Domäne sind.

    Im Prinzip handelt es sich beim Cloud Policy Service um Gruppen­richtlinien aus der Cloud, wenn auch mit einigen Einschränkungen und Unter­schieden im Vergleich zu GPOs, die über ein lokales Active Directory verteilt werden.

    Steuerung der Apps über Registry-Einträge

    Gemeinsam ist beiden, dass sie die Desktop-Apps über Schlüssel in der Registry konfigurieren. Der Cloud-Richt­linien­dienst beschränkt sich auf den Benutzerzweig und unterstützt nicht sämtliche Einstellungen. Diese speichert er im Pfad

    HKLM:\Software\Policies\Microsoft\Cloud\Office\16.0.

    Beide Formen der Gruppen­richtlinien sind nicht für Office 365 Business vorgesehen. Der Cloud-Service unterstützt nur Microsoft 365 Apps for Enterprise (früher Office 365 ProPlus), die lokalen GPOs decken zusätzlich noch die Office-Versionen mit einer dauerhaften Lizenz ab.

    Der Cloud-Richtlinien­dienst kann zudem einige Einstellungen auf die Office Web Apps anwenden, und teilweise auch bei der Verwendung durch anonyme Benutzer.

    Security Baseline auch in der Cloud

    In beiden Umgebungen unterstützt Microsoft seine Kunden mit Best Practices beim Einsatz der Policies. Für das lokale Management gibt es für jede Office-Version eine eigene Security Baseline. Eine solche gehört auch zum Cloud Policy Service, dort ist sie in den Security Policy Advisor integriert.

    Während die Rechner mit Microsoft Office beim Einsatz herkömmlicher GPOs Mitglied in einer lokalen AD-Domäne sein müssen, erwartet der Cloud-Service nur, dass die Benutzer mit einem Azure-AD-Konto an den Microsoft 365 Apps for Enterprise angemeldet sind. Die Accounts können entweder direkt in AAD angelegt oder von einem lokalen AD in die Cloud synchronisiert werden.

    Hier die wichtigsten Features und Limitierungen des Office Cloud Policy Service im Überblick:

    • Er umfasst nur Benutzer- und keine Computer-Einstellungen
    • Nur Single-Value-Einstellungen sind verfügbar
    • Admins müssen sich nicht um ADMX/ADML-Vorlagen kümmern
    • Benutzerkonten in verschachtelten Gruppen erhalten die Einstellungen für die übergeordnete Gruppe
    • Eine gültige Lizenz für Microsoft 365 Apps for enterprise ist erforderlich, Office 365 Business wird nicht unterstützt.
    • Der Cloud-Service speichert seine Einstellungen in Registry unter HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0

    Cloud-Richtliniendienst konfigurieren

    Um den Office Cloud-Richtliniendienst zu konfigurieren, öffnen Sie das Apps Admin Center.

    Im Apps Admin Center anmelden

    Sobald Sie sich mit Ihrem Organisationskonto angemeldet haben, können Sie die Office-Richtlinien konfigurieren und den Security Policy Advisor starten.

    Das Apps Admin Center dient der Konfiguration von Office-Richtlinien und enthält den Security Policy Advisor

    Nach dem Klick auf Go to Microsoft 365 App policy management, startet man die Erstellung einer Richtlinie über die Schaltfläche Create.

    Richtlinie im Office Cloud Policy Service erstellen

    Der Dialog für die Richt­linien­konfi­guration ist leicht zu verstehen und weitgehend selbsterklärend. Dort legt man den Namen und den Typ der Richtlinie fest, gibt eine Beschreibung ein und weist sie den gewünschten Gruppen zu. Anschließend konfiguriert man die eigentlichen Einstellungen.

    Einige Richtlinien­typen können auch für Benutzer angewandt werden, die anonym auf Office im web zugreifen (Option This policy configuration applies to users that access documents anonymously using Office web apps)

    Neue Office-Cloud-Richtlinie konfigurieren

    Wie Sie unten auf der Abbildung erkennen können, gibt es aktuell 2139 Richtlinien. Die Einstellungen, die Teil der Security Baseline von Microsoft sind, enthalten einen entsprechenden Hinweis in der Spalte Recommendation.

    Auswählen von Einstellungen zur Anwendung im Cloud Policy Service

    Wenn alle Einstellungen konfiguriert sind, klicken Sie auf die Schaltfläche Create, um die neue Richtlinie zu erstellen. Danach gelangen Sie zurück zum Policy Management Blade. Beachten Sie die zusätzlichen Optionen im Abschnitt Policy Management.

    Sie können dort Richtlinien kopieren, die Priorität neu ordnen und sie entfernen. Die Optionen Copy und Reorder Priority sind nützlich, wenn Sie die Reihenfolge ändern möchten, in der diese angewendet werden, oder wenn Sie Einstellungen von einer Richtlinie in eine andere kopieren wollen.

    Cloud-Richtlinie wurde erfolgreich erstellt

    Zusammenfassung

    Der Office Cloud Policy Service erlaubt Admins, (sicherheitsrelevante) Einstellungen auf Benutzer anzuwenden, die auf geschäfts­kritische Daten in Microsoft 365 Apps for enterprise zugreifen. Über 2.000 Richtlinien stehen aktuell zur Verfügung, um Benutzer­aktivitäten in Microsofts SaaS-Umgebung zu steuern.

    Egal wo sich ein User anmeldet, die Einstellungen der Cloud-Sicherheitsrichtlinien wandern auf jedes Gerät mit, auf denen er Microsoft 365 Apps for enterprise nutzt. Dies ist eine gute Möglichkeit für IT-Administratoren, die Sicherheit ihrer Microsoft 365-Umgebung für eine verteilte Belegschaft zu erhöhen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.
    // Kontakt: Web, E-Mail, LinkedIn //

    Verwandte Beiträge

    Weitere Links