[{"content":" Eckdaten auf einen Blick Ankündigung: 9. März 2026 Verfügbarkeit: Research Preview (begrenzt), Frontier-Programm ab Ende März 2026 Voraussetzung: Microsoft 365 Copilot-Lizenz Quelle: Microsoft Blog\nMicrosoft hat gestern Copilot Cowork angekündigt. Die Idee dahinter ist einfach: Copilot soll nicht mehr nur Fragen beantworten, sondern Arbeit erledigen.\nWas Cowork anders macht Bisher gibt man Copilot einen Prompt und bekommt einen Entwurf oder eine Antwort zurück. Cowork geht einen Schritt weiter. Man beschreibt das gewünschte Ergebnis und Cowork erstellt daraus einen Plan, der im Hintergrund läuft.\nGrundlage ist das sogenannte Work IQ, ein Modell, das Signale aus Outlook, Teams, Excel und dem Rest von Microsoft 365 zusammenführt. So arbeitet Cowork mit demselben Kontext, den man selbst in den Job mitbringt.\nWichtig: Man gibt nicht die Kontrolle ab. An definierten Checkpoints kann man den Fortschritt prüfen, Änderungen vornehmen oder die Ausführung stoppen. Cowork fragt nach, wenn etwas unklar ist, und schlägt Änderungen vor, bevor er sie umsetzt.\nDrei Anwendungsfälle aus der Ankündigung Microsoft zeigt drei konkrete Szenarien, ebenfalls mit Demo-Videos:\nKalender aufräumen. Cowork analysiert den Outlook-Kalender, schlägt Konflikte und Fokuslücken vor, und setzt genehmigte Änderungen direkt um. Meetings werden verschoben, Fokusblöcke angelegt.\nLaunch-Plan erstellen. Cowork baut Wettbewerbsvergleiche, Value-Proposition-Dokumente und Pitch-Decks, koordiniert Aufgaben und setzt daraus einen Aktionsplan zusammen.\nUnternehmensrecherche. Cowork durchsucht Web und Arbeitsumgebung, sammelt Geschäftsberichte, SEC-Filings und Analysen, und liefert ein strukturiertes Ergebnis mit Quellenangaben, Executive Summary und Excel-Auswertung.\nWas mich dabei interessiert Das Prinzip kennen wir aus dem Agenten-Bereich schon. Was Microsoft hier macht, ist es in den Mainstream-Workflow von M365 zu integrieren, ohne dass man technisches Wissen über Agenten oder Copilot Studio braucht. Das ist der eigentliche Schritt.\nInteressant ist auch die Erwähnung von Anthropic. Microsoft arbeitet für Cowork mit Claude zusammen und nutzt damit einen externen Anbieter im Hintergrund. Der Ansatz, das beste Modell für die Aufgabe zu nehmen, unabhängig vom Hersteller, wird klarer kommuniziert als bisher.\nWer Claude privat schon ausgiebig getestet hat, wird übrigens nicht überrascht sein. Die Arbeitsweise von Cowork, Aufgaben delegieren, im Hintergrund ausführen lassen, mit Checkpoints eingreifen, ist dort bereits vertraut. So gesehen ist Cowork keine neue Idee, sondern eine, die jetzt im Unternehmenskontext von Microsoft 365 landet.\nQuellen Copilot Cowork: A new way of getting work done (Microsoft Blog, Charles Lamanna)\n","permalink":"https://m365simple.de/posts/copilot-cowork-microsoft-kundigt-neues-arbeitsmodell-an/","summary":"Eckdaten auf einen Blick Ankündigung: 9. März 2026 Verfügbarkeit: Research Preview (begrenzt), Frontier-Programm ab Ende März 2026 Voraussetzung: Microsoft 365 Copilot-Lizenz Quelle: Microsoft Blog\nMicrosoft hat gestern Copilot Cowork angekündigt. Die Idee dahinter ist einfach: Copilot soll nicht mehr nur Fragen beantworten, sondern Arbeit erledigen.\nWas Cowork anders macht Bisher gibt man Copilot einen Prompt und bekommt einen Entwurf oder eine Antwort zurück. Cowork geht einen Schritt weiter. Man beschreibt das gewünschte Ergebnis und Cowork erstellt daraus einen Plan, der im Hintergrund läuft.","title":"Copilot Cowork: Microsoft kündigt neues Arbeitsmodell an"},{"content":"Stand 9. März 2026.\nMicrosoft bringt Microsoft 365 E7 zum 1. Mai 2026 an den Start. Enthalten sind Microsoft 365 E5, Microsoft 365 Copilot und Agent 365. Der offizielle Listenpreis liegt bei 99 US Dollar pro Nutzer und Monat. Zusätzlich nennt Microsoft die Entra Suite sowie weitere Funktionen aus Defender, Intune und Purview.\nKlingt erst mal wie noch eine neue Lizenz. Ehrlich gesagt ist es mehr als das.\nEs geht nicht nur um mehr Funktionen Wer Microsoft 365 betreut, kennt das Muster. Erst kommt ein neues Feature. Dann ein Add on. Dann noch ein Sicherheitsbaustein. Und plötzlich hängt ein halbes Betriebsmodell an mehreren Einzelteilen. Genau hier setzt E7 an. Microsoft bündelt Produktivität, KI, Identität und Governance in einer Suite. Weil Unternehmen KI inzwischen breiter einsetzen und dabei Kontrolle brauchen.\nDer entscheidende Punkt ist deshalb nicht allein Copilot. Der eigentliche Punkt sind Agenten. Also digitale Helfer, die nicht nur Texte formulieren, sondern Aufgaben übernehmen, Inhalte verarbeiten und auf Unternehmensdaten zugreifen. Microsoft macht mit E7 sehr klar: Diese neue Art von Arbeit soll nicht improvisiert, sondern gesteuert werden.\nWarum das für IT und Security relevant ist Mit Agent 365, ebenfalls ab 1. Mai 2026 allgemein verfügbar, will Microsoft IT und Security eine zentrale Stelle geben, an der sich Agenten beobachten, verwalten, absichern und regeln lassen. Separat liegt Agent 365 laut Microsoft bei 15 US Dollar pro Nutzer und Monat.\nDas ist der Teil, den viele zuerst unterschätzen. Sobald Agenten auf Postfächer, Dateien, Teams oder Prozesse zugreifen, geht es nicht mehr nur um Komfort. Dann geht es um Rollen, Richtlinien, Nachvollziehbarkeit und Risiko. Kurz gesagt: um Betrieb. Und genau da wird E7 interessant.\nDer Preis ist hoch, aber das ist nicht die ganze Geschichte Ja, 99 US Dollar pro Nutzer ist eine Ansage. Gleichzeitig steigt Microsoft 365 E5 laut Microsoft zum 1. Juli 2026 auf 60 US Dollar. Copilot bleibt als eigener Baustein zusätzlich relevant. Microsoft positioniert E7 deshalb bewusst als Paket, das einfacher und günstiger sein soll als mehrere Einzellösungen nebeneinander.\nQuelle: Microsoft\nIn Deutschland gilt trotzdem: nicht blind aus der US Liste rechnen. Microsoft weist selbst darauf hin, dass Preise nach Land und Währung abweichen können. Auf der deutschen Microsoft Seite liegt Microsoft 365 E5 aktuell bei 55,20 Euro, Microsoft 365 Copilot bei 26,00 Euro pro Benutzer und Monat bei jährlicher Abrechnung. Für Budgetplanung zählt also der echte Vertrag, nicht nur die globale Ankündigung.\nFür wen sich E7 lohnt E7 passt dort, wo Copilot nicht mehr nur getestet wird, sondern in die Breite soll. E7 passt auch dort, wo Agenten absehbar Teil des Arbeitsalltags werden, etwa im Service, in internen Prozessen, im Wissensmanagement oder in der Vorbereitung von Entscheidungen.\nWeniger passend ist E7 für Unternehmen, die bei den Grundlagen noch nicht sauber stehen. Wenn Datenzugriffe unklar sind, Rollenmodelle wackeln oder Copilot noch keinen festen Platz im Alltag hat, dann wird E7 schnell zu viel auf einmal. Hier ist ein schrittweiser Weg oft sinnvoller.\nMein Fazit Microsoft 365 E7 ist keine normale neue SKU. Es ist ein Signal, wohin die Reise geht. Microsoft denkt den digitalen Arbeitsplatz nicht mehr nur für Menschen, sondern zunehmend auch für Agenten. Genau deshalb sollte E7 nicht nur im Einkauf bewertet werden. IT, Security, Datenschutz und Fachbereiche gehören hier gemeinsam an den Tisch.\nWer 2026 Microsoft 365 plant, plant nicht mehr nur Lizenzen. Geplant werden Zugriffe, Regeln, Verantwortlichkeiten und am Ende auch Vertrauen. Und genau deshalb lohnt es sich, E7 früh ernst zu nehmen. Nicht aus dem Hype heraus. Sondern weil die operative Realität gerade dabei ist, sich zu verschieben.\n","permalink":"https://m365simple.de/posts/microsoft-365-e7-ab-01-05-2026-was-entscheider-jetzt-wissen-mussen/","summary":"Stand 9. März 2026.\nMicrosoft bringt Microsoft 365 E7 zum 1. Mai 2026 an den Start. Enthalten sind Microsoft 365 E5, Microsoft 365 Copilot und Agent 365. Der offizielle Listenpreis liegt bei 99 US Dollar pro Nutzer und Monat. Zusätzlich nennt Microsoft die Entra Suite sowie weitere Funktionen aus Defender, Intune und Purview.\nKlingt erst mal wie noch eine neue Lizenz. Ehrlich gesagt ist es mehr als das.\nEs geht nicht nur um mehr Funktionen Wer Microsoft 365 betreut, kennt das Muster.","title":"Microsoft 365 E7 ab 01.05.2026: Was jetzt wirklich wichtig ist"},{"content":"Wir wollten eigentlich nur eines: Teams-Genehmigungen programmatisch erstellen und verwalten. Aus einer eigenen App heraus, ohne Power Automate, ohne Umwege. Die Microsoft Graph Approvals API klang nach genau dem richtigen Werkzeug.\nSpoiler: Die API ist Beta — und das merkt man. Deutlich.\nWas folgt, ist ein ehrlicher Erfahrungsbericht. Damit ihr nicht die gleichen Stunden verbrennt wie wir.\nWas die Approvals API verspricht Die Approvals API unter /beta/solutions/approval/approvalItems bietet auf dem Papier alles, was man braucht:\nGenehmigungen erstellen — programmatisch, mit Titel, Genehmigern und Antwortoptionen Genehmigungen lesen — Status abfragen, Ergebnisse auswerten Echtzeit-Updates per Webhook — Subscriptions auf Änderungen, damit man nicht pollen muss Dazu zwei Permission-Modelle:\nPermission Typ Beschreibung laut Microsoft ApprovalSolution.ReadWrite Delegated Lesen und Schreiben im User-Kontext ApprovalSolution.ReadWrite.All Application \u0026ldquo;Read all approvals and manage approval subscriptions\u0026rdquo; Klingt sauber. Ist es aber nicht.\nWas tatsächlich funktioniert Genehmigungen erstellen (Delegated) Das Erstellen von Approvals funktioniert — allerdings nur mit Delegated Permissions und mit einer Besonderheit: Die API antwortet nicht mit dem fertigen Objekt, sondern mit 202 Accepted und einer Operation-URL zum Pollen.\nRequest:\n1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 POST https://graph.microsoft.com/beta/solutions/approval/approvalItems Authorization: Bearer {delegated-token} Content-Type: application/json { \u0026#34;title\u0026#34;: \u0026#34;Urlaubsantrag genehmigen\u0026#34;, \u0026#34;description\u0026#34;: \u0026#34;Max Mustermann beantragt 5 Tage Urlaub\u0026#34;, \u0026#34;approvers\u0026#34;: [ { \u0026#34;user\u0026#34;: { \u0026#34;id\u0026#34;: \u0026#34;approver-user-id\u0026#34;, \u0026#34;displayName\u0026#34;: \u0026#34;Erika Musterfrau\u0026#34; } } ], \u0026#34;responseOptions\u0026#34;: [ { \u0026#34;response\u0026#34;: \u0026#34;Approve\u0026#34;, \u0026#34;displayValue\u0026#34;: \u0026#34;Genehmigen\u0026#34; }, { \u0026#34;response\u0026#34;: \u0026#34;Reject\u0026#34;, \u0026#34;displayValue\u0026#34;: \u0026#34;Ablehnen\u0026#34; } ] } Response — nicht das Objekt, sondern ein Redirect:\n1 2 HTTP/1.1 202 Accepted Location: https://graph.microsoft.com/beta/solutions/approval/operations/{operation-id} Dann heißt es: Pollen, bis status auf succeeded steht. Die echte Approval-ID steckt im Feld resourceLocation der Operation-Response.\n1 2 3 4 5 { \u0026#34;id\u0026#34;: \u0026#34;{operation-id}\u0026#34;, \u0026#34;status\u0026#34;: \u0026#34;succeeded\u0026#34;, \u0026#34;resourceLocation\u0026#34;: \u0026#34;https://graph.microsoft.com/beta/solutions/approval/approvalItems/{approval-id}\u0026#34; } Ungewöhnlich, aber funktional. Haken dran.\nGenehmigungen lesen (Delegated) Mit Delegated Token klappt auch das Lesen:\n1 2 GET https://graph.microsoft.com/beta/solutions/approval/approvalItems Authorization: Bearer {delegated-token} Funktioniert. Keine Überraschungen.\nWas nicht funktioniert Und hier wird es interessant.\nProblem 1: Approvals lesen mit App-Permissions → 401 Die Permission ApprovalSolution.ReadWrite.All beschreibt sich selbst als:\n\u0026ldquo;Read all approvals and manage approval subscriptions\u0026rdquo;\nMan erwartet also: App-Token holen, Approvals lesen, fertig. Wir hatten die Permission im Azure AD konfiguriert, Admin Consent erteilt — alles nach Lehrbuch.\nRequest:\n1 2 GET https://graph.microsoft.com/beta/solutions/approval/approvalItems Authorization: Bearer {app-token} Response:\n1 2 3 4 5 6 7 8 HTTP/1.1 401 Unauthorized { \u0026#34;error\u0026#34;: { \u0026#34;code\u0026#34;: \u0026#34;Unauthorized\u0026#34;, \u0026#34;message\u0026#34;: \u0026#34;Failed to authorize the client, required scope(s) or role(s) not present.\u0026#34; } } Das war verwirrend. Token war gültig, Permission war granted. Was war los?\nDie Auflösung findet sich nicht in der Permission-Beschreibung, sondern in der API-Referenz der einzelnen Endpoints. Dort steht bei List und Get approvalItems:\nApplication permissions: Not supported.\nDie Permission-Beschreibung sagt \u0026ldquo;Read all approvals\u0026rdquo;. Die Endpoint-Dokumentation sagt \u0026ldquo;Not supported\u0026rdquo;. Das widerspricht sich direkt.\nVon Microsoft bestätigt: Der Support hat dieses Verhalten reproduziert und als Dokumentations-Inkonsistenz bestätigt. Die Endpoint-Dokumentation ist maßgeblich — App-only Lesen wird aktuell nicht unterstützt. Eine Korrektur der Permission-Beschreibung wurde an das Engineering-Team weitergeleitet.\nProblem 2: Webhook-Notifications werden nie zugestellt Das war der frustrierendste Teil. Subscriptions auf Approval-Änderungen erstellen? Klappt einwandfrei:\nRequest:\n1 2 3 4 5 6 7 8 9 10 11 POST https://graph.microsoft.com/beta/subscriptions Authorization: Bearer {app-token} Content-Type: application/json { \u0026#34;changeType\u0026#34;: \u0026#34;created,updated\u0026#34;, \u0026#34;notificationUrl\u0026#34;: \u0026#34;https://our-app.example.com/webhook\u0026#34;, \u0026#34;resource\u0026#34;: \u0026#34;solutions/approval/approvalItems\u0026#34;, \u0026#34;expirationDateTime\u0026#34;: \u0026#34;2026-03-06T00:00:00Z\u0026#34;, \u0026#34;clientState\u0026#34;: \u0026#34;our-secret-state\u0026#34; } Response — alles sieht gut aus:\n1 2 3 4 5 6 7 8 9 HTTP/1.1 201 Created { \u0026#34;id\u0026#34;: \u0026#34;{subscription-id}\u0026#34;, \u0026#34;resource\u0026#34;: \u0026#34;solutions/approval/approvalItems\u0026#34;, \u0026#34;changeType\u0026#34;: \u0026#34;created,updated\u0026#34;, \u0026#34;notificationUrl\u0026#34;: \u0026#34;https://our-app.example.com/webhook\u0026#34;, \u0026#34;expirationDateTime\u0026#34;: \u0026#34;2026-03-06T00:00:00Z\u0026#34; } Der Validation-Handshake funktioniert: Microsoft sendet einen validationToken, unser Endpoint antwortet korrekt mit 200 OK und dem Token im Body. Subscription wird erstellt und ist auch per GET abrufbar.\nUnd dann: Stille.\nWir erstellen Approvals in Teams. Wir genehmigen sie. Wir lehnen ab. Keine einzige Notification kommt an.\nUnser Endpoint war erreichbar — das hat der Validation-Request ja bewiesen. Wir haben Logs, wir haben getestet. Nichts.\nEine Suche in der Microsoft Q\u0026amp;A Community zeigt: Wir sind nicht die einzigen. Andere Entwickler berichten exakt das gleiche Verhalten — erfolgreiche Validation, aber keine Change Notifications.\nVon Microsoft bestätigt: Der Support kann das Problem reproduzieren. Wörtlich: \u0026ldquo;The subscription creation and validation handshake succeed, but no events arrive when approvals are created/updated in Teams.\u0026rdquo; Es handelt sich um eine aktuelle Produktlimitation des Beta-Endpoints.\nProblem 3: v1.0 Endpoint existiert nicht Die Change Notifications Übersicht listet solutions/approval/approvalItems als unterstützte Resource — ohne Asterisk, was v1.0-Support impliziert.\nRequest:\n1 2 3 4 5 6 7 8 9 10 POST https://graph.microsoft.com/v1.0/subscriptions Authorization: Bearer {app-token} Content-Type: application/json { \u0026#34;resource\u0026#34;: \u0026#34;solutions/approval/approvalItems\u0026#34;, \u0026#34;changeType\u0026#34;: \u0026#34;created,updated\u0026#34;, \u0026#34;notificationUrl\u0026#34;: \u0026#34;https://our-app.example.com/webhook\u0026#34;, \u0026#34;expirationDateTime\u0026#34;: \u0026#34;2026-03-06T00:00:00Z\u0026#34; } Response:\n1 2 3 4 5 6 7 8 HTTP/1.1 400 Bad Request { \u0026#34;error\u0026#34;: { \u0026#34;code\u0026#34;: \u0026#34;BadRequest\u0026#34;, \u0026#34;message\u0026#34;: \u0026#34;Resource not found for the segment \u0026#39;approval\u0026#39;.\u0026#34; } } Approvals existieren ausschließlich unter /beta. Die Dokumentation wurde inzwischen zur Korrektur weitergeleitet.\nWas das für die Praxis bedeutet Fassen wir zusammen. Stand März 2026:\nFeature Delegated Application Approval erstellen ✅ (async, 202) ❌ nicht unterstützt Approval lesen ✅ ❌ 401 trotz Permission Subscription erstellen — ✅ (nur beta) Notifications erhalten — ❌ werden nicht geliefert v1.0 Endpoint ❌ ❌ Das Ergebnis: Ohne funktionierende Webhooks und ohne App-only Lesezugriff ist die Approvals API für Automatisierungs-Szenarien aktuell kaum nutzbar.\nWas bleibt als Workaround?\nPolling mit Delegated Token — Funktioniert, aber erfordert gespeicherte User-Tokens mit Refresh-Token-Handling und skaliert schlecht Power Automate — Microsofts eigener Weg, der funktioniert, aber den Sinn einer eigenen API-Integration konterkariert Warten — Die API ist Beta, und der Support hat eine Weiterleitung an das Engineering-Team bestätigt Fazit Die Microsoft Graph Approvals API hat Potenzial. Die Idee, Genehmigungsprozesse per API zu steuern, ist richtig und wichtig. Aber Stand heute fehlen grundlegende Bausteine:\nDrei Probleme — alle von Microsoft Support bestätigt Dokumentation widerspricht sich selbst Der zentrale Use Case (Echtzeit-Updates per Webhook) funktioniert schlicht nicht Unsere Empfehlung: Behaltet die API im Auge, aber plant aktuell nicht damit für Produktions-Szenarien. Beobachtet das Graph Changelog und den Q\u0026amp;A Thread für Updates.\nWir bleiben dran und berichten, sobald sich etwas tut.\nHabt ihr ähnliche Erfahrungen mit der Approvals API gemacht? Oder nutzt ihr einen anderen Weg, um Genehmigungen in Teams zu automatisieren? Schreibt es in die Kommentare oder meldet euch bei uns auf LinkedIn.\n","permalink":"https://m365simple.de/posts/microsoft-graph-approvals-api-was-funktioniert-und-was-nicht/","summary":"Wir wollten eigentlich nur eines: Teams-Genehmigungen programmatisch erstellen und verwalten. Aus einer eigenen App heraus, ohne Power Automate, ohne Umwege. Die Microsoft Graph Approvals API klang nach genau dem richtigen Werkzeug.\nSpoiler: Die API ist Beta — und das merkt man. Deutlich.\nWas folgt, ist ein ehrlicher Erfahrungsbericht. Damit ihr nicht die gleichen Stunden verbrennt wie wir.\nWas die Approvals API verspricht Die Approvals API unter /beta/solutions/approval/approvalItems bietet auf dem Papier alles, was man braucht:","title":"Microsoft Graph Approvals API — Was funktioniert, was nicht, und warum das wichtig ist"},{"content":"Microsoft hat die Timeline zur finalen Deaktivierung von SMTP Basic Auth nach hinten verschoben. Mehr Infos über die Hintergründe und Alternativen erfahren Sie hier. Nach der ursprünglichen Timeline wäre SMTP Basic Auth bereits am 30.04.2026 abgeschaltet worden. Mit der neuen Timeline müssen Administratoren zumindest bis Dezember 2026 nicht handeln.\nTimeline Zeitpunkt\nEreignis\nBis Dezember 2026\nKeine Änderung am SMTP Basic Auth verhalten\nab Ende Dezember 2026\nSMTP Basic Auth wird für bestehende Tenants deaktiviert - Administratoren erhalten die Möglichkeit dieses wieder zu aktivieren. Für neue Tenants wird SMTP Basic Auth nicht mehr verfügbar sein.\nAb Mitte 2027\nMicrosoft gibt finales Abschaltdatum bekannt\nJetzt handeln! Auch wenn Dezember 2026 noch lange hin ist, sollten Sie bereits jetzt aktiv werden. Kommen Sie gerne auf uns zu sofern Sie Unterstützung bei der Umsetzung benötigen.\n","permalink":"https://m365simple.de/posts/update-neue-timeline-fur-exchange-online-smtp-basic-auth-abschaltung/","summary":"Microsoft hat die Timeline zur finalen Deaktivierung von SMTP Basic Auth nach hinten verschoben. Mehr Infos über die Hintergründe und Alternativen erfahren Sie hier. Nach der ursprünglichen Timeline wäre SMTP Basic Auth bereits am 30.04.2026 abgeschaltet worden. Mit der neuen Timeline müssen Administratoren zumindest bis Dezember 2026 nicht handeln.\nTimeline Zeitpunkt\nEreignis\nBis Dezember 2026\nKeine Änderung am SMTP Basic Auth verhalten\nab Ende Dezember 2026\nSMTP Basic Auth wird für bestehende Tenants deaktiviert - Administratoren erhalten die Möglichkeit dieses wieder zu aktivieren.","title":"Update: Neue Timeline für Exchange Online SMTP Basic Auth Abschaltung"},{"content":"Kennst du das? Jemand verlässt das Unternehmen, die Aufgaben werden verteilt, das Organigramm wird hübsch aktualisiert. Und dann kommt die eigentliche Frage, meist zu spät, meist zwischen Tür und Angel: Wo sind eigentlich die Dateien?\nNicht „die Datei“, sondern die ganze kleine Welt aus Projektordnern, Freigaben, Excel Listen, PowerPoints, Notizen, Entwürfen. Alles liegt irgendwo in OneDrive. Und plötzlich hängt Wissen an einem Account, der bald weg ist. Das fühlt sich an wie ein Umzug, bei dem der Schlüssel schon halb im Briefkasten steckt.\nGenau da setzt Microsoft jetzt an: OneDrive bekommt ein vereinfachtes Verfahren für die Datei Übergabe, wenn Mitarbeitende ausscheiden. Klingt trocken, ist aber in der Praxis Gold wert.\nErstmal die harten Fakten Microsoft rollt die Änderung weltweit aus, auch für GCC, GCCH und DoD. Start war für Mitte Oktober 2025 angesetzt, Abschluss ist aktuell bis Ende April 2026 geplant. Die Zeitlinie wurde am 17. Februar 2026 aktualisiert.\nUnd wichtig: Es handelt sich nicht nur um eine neue Mail oder ein neues Label. Es geht um den Kernprozess: Wer bekommt Zugriff, wie findet man relevante Inhalte, wie verschiebt man viele Dateien, ohne die Zusammenarbeit zu zerlegen.\nWarum das Thema so oft knirscht, obwohl es „eigentlich klar“ ist Offboarding wirkt auf Papier simpel. Account wird gelöscht, Daten werden archiviert, Ende. In echt ist es eher ein Puzzle.\nDenn OneDrive Dateien sind selten isoliert. Da hängen Freigaben dran, Links in Teams Chats, eingebettete Dateien in PowerPoint, vielleicht sogar externe Partner. Wenn man dann händisch kopiert oder herunterlädt und neu hochlädt, passiert genau das, was keiner will: Freigaben brechen, Kolleginnen und Kollegen verlieren Zugriff, und die Inbox füllt sich mit „Kannst du mir das nochmal senden?“.\nMicrosoft adressiert genau diese Sollbruchstellen.\nWas sich ändert: Drei Verbesserungen, die man wirklich merkt 1) Die Benachrichtigungen sind endlich auffällig genug Wenn ein Benutzerkonto gelöscht wird, bekommt der Manager oder ein definierter zweiter Besitzer automatisch Zugriff auf das OneDrive des ausscheidenden Mitarbeiters. Dazu kommt eine Mail, die diesen Zugriff erklärt und auch die Aufbewahrungsdauer nennt. Sieben Tage vor Ablauf gibt es eine zweite Erinnerung, mit dem klaren Hinweis, dass die Daten in sieben Tagen endgültig entfernt werden.\nDas klingt banal. Ist es aber nicht. Viele Organisationen verlieren Daten nicht, weil sie „keine Regeln“ haben, sondern weil eine Mail zwischen all den anderen Mails untergeht. Genau das wird hier entschärft.\n2) Bessere Filter: schneller zu den Dateien, die wirklich zählen Im Zugriff auf das OneDrive des ausscheidenden Mitarbeiters gibt es neue Filter, die dem Manager helfen, geteilte oder wichtige Dateien schneller zu finden. Weniger Scrollen, weniger „wo war das nochmal“, mehr Treffer beim ersten Blick.\nUnd ehrlich gesagt, das ist der Teil, der in der Praxis Zeit frisst. Nicht das Verschieben, sondern das Finden.\n3) Massen Transfer mit „Move and keep sharing“: Verschieben ohne Freigabe Chaos Der spannendste Baustein ist der Bulk Transfer: Mehrere Dateien lassen sich auf einmal verschieben, inklusive Beibehaltung der bestehenden Freigaberechte. Microsoft nennt das „Move and keep sharing“, im Dialog taucht „Keep sharing with the same people“ auf.\nUnd noch ein Detail, das man erst würdigt, wenn man es erlebt hat: Werden sechs oder mehr Dateien verschoben, bekommen die bisherigen Mitbearbeiter eine zusammengefasste Benachrichtigung statt vieler einzelner. Das reduziert Mail Lärm, ohne Transparenz zu verlieren.\nSo läuft die Übergabe ab, Schritt für Schritt Wissen Sie was? Genau hier entscheidet sich, ob das Feature „nett“ ist oder wirklich hilft.\nMicrosoft beschreibt den Ablauf sehr konkret:\nDu öffnest die Mail zur Kontobereinigung und klickst auf „View files“.\nQuelle: https://mc.merill.net/\nDann landest du im OneDrive des ausscheidenden Mitarbeiters. Dort nutzt du den Filter „Shared“, wenn du zuerst die geteilten Inhalte sehen willst, oder „All“ für alles.\nQuelle: https://mc.merill.net/\nDanach kannst du per Checkbox Auswahl mehrere Dateien markieren, auf „Move to“ klicken, Zielordner auswählen und „Keep sharing with the same people“ aktiv lassen.\nQuelle: https://mc.merill.net/\nDann nochmal „Move to“ und fertig.\nQuelle: https://mc.merill.net/\nDas klingt fast zu einfach. Und ja, es ist einfacher. Der Trick ist, dass die Zusammenarbeit nicht neu aufgebaut werden muss.\nKleiner Widerspruch, der trotzdem stimmt Microsoft sagt: „Keine Admin Aktion erforderlich“. Gleichzeitig empfehle ich fast immer eine kurze Vorbereitung. Klingt widersprüchlich, ist aber Alltag.\nWarum? Das Feature rollt automatisch aus, korrekt. Aber die Wirkung hängt davon ab, ob eure internen Abläufe dazu passen: Wer ist als Manager gepflegt, gibt es einen sekundären Besitzer, wissen Führungskräfte, was sie nach einer Kündigungsmeldung tun sollen. Das sind keine technischen Hürden, eher Organisationshygiene.\nUnd wenn wir schon bei Hygiene sind: Offboarding ist auch Security. Ein sauberer Datei Transfer ist nicht „nice to have“, sondern schützt Teams davor, in Schattenkopien und privaten Downloads zu enden.\nWas das für Zusammenarbeit bedeutet Wenn Freigaben erhalten bleiben, bleiben Links stabiler, Zugriffe bleiben nachvollziehbar, und Teams verlieren weniger Kontext. Das ist ein bisschen wie beim Staffellauf: Du willst den Stab übergeben, nicht neu schnitzen.\nUnd die zusammengefassten Benachrichtigungen ab sechs verschobenen Dateien sind der kleine Bonus, der im Alltag zählt. Weniger Ping, weniger Verwirrung, trotzdem Transparenz.\nWas Kunden jetzt vorbereiten sollten Hier eine kurze Liste, sparsam, aber wirksam:\nPrüft, ob Manager Felder in Entra ID sauber gepflegt sind, sonst bekommt die falsche Person Zugriff oder niemand. Legt fest, wann ein sekundärer Besitzer sinnvoll ist, etwa bei Führungskräften oder Rollen mit vielen externen Freigaben. Aktualisiert interne Offboarding Checklisten: Nicht „Dateien sichern“, sondern „OneDrive prüfen, Shared Filter zuerst, dann Transfer“. Kommuniziert den Zeitfaktor: Es gibt eine Aufbewahrungsfrist, plus Erinnerung sieben Tage vor Ablauf. Wer wartet, riskiert Datenverlust. Mehr braucht es oft nicht. Kein großes Projekt, kein Drama. Nur ein klarer Handgriff zur richtigen Zeit.\nEine kleine Abschweifung, die leider wichtig ist Viele Firmen haben inzwischen Copilot, Automatisierung, schicke Dashboards. Alles fein. Aber wenn Offboarding hakt, wirkt die ganze Modern Work Story plötzlich wackelig.\nDenn Offboarding ist der Moment, in dem Prozesse ehrlich werden. Da zeigt sich, ob Zusammenarbeit robust ist oder an Personen klebt. Diese OneDrive Änderung ist deshalb mehr als Komfort. Sie ist ein Stück Resilienz, verpackt als Feature.\nFazit: Weniger Suchen, weniger Chaos, mehr saubere Übergaben Die neuen OneDrive Verbesserungen machen den Datei Transfer bei Austritten spürbar einfacher: klarere Mails, bessere Filter, Bulk Move mit erhaltenen Freigaben, plus weniger Benachrichtigungsflut. Rollout läuft seit Mitte Oktober 2025, Abschluss ist bis Ende April 2026 vorgesehen, mit aktualisierter Zeitlinie vom 17. Februar 2026.\n","permalink":"https://m365simple.de/posts/onedrive-offboarding-wird-entspannter-dateien-von-ausscheidenden-mitarbeitenden-sauber-ubergeben/","summary":"Kennst du das? Jemand verlässt das Unternehmen, die Aufgaben werden verteilt, das Organigramm wird hübsch aktualisiert. Und dann kommt die eigentliche Frage, meist zu spät, meist zwischen Tür und Angel: Wo sind eigentlich die Dateien?\nNicht „die Datei“, sondern die ganze kleine Welt aus Projektordnern, Freigaben, Excel Listen, PowerPoints, Notizen, Entwürfen. Alles liegt irgendwo in OneDrive. Und plötzlich hängt Wissen an einem Account, der bald weg ist. Das fühlt sich an wie ein Umzug, bei dem der Schlüssel schon halb im Briefkasten steckt.","title":"OneDrive Offboarding wird entspannter: Dateien von ausscheidenden Mitarbeitenden sauber übergeben"},{"content":"Mit \u0026ldquo;Exchange Online Delicensing Resiliency\u0026rdquo; führt Microsoft in Exchange Online einen Schutzmechanismus ein, der Mailboxes vor unbeabsichtigtem Lizenzentzug schützt. Das Feature bezieht sich aktuell ausschließlich auf Tenants mit mindestens 5000 Lizenzen, ohne Testversionen!\nWird einem aktiven Benutzer die Exchange Online Lizenz entzogen wurde bisher die Mailbox direkt deaktiviert und in einen Soft-Delete-Zustand überführt. Passiert dies ungewollt, z.B. durch einen Fehler in einer Gruppenzuweisung, kommt es für viele Benutzer zur Dienstunterbrechung und NDRs\nWas ändert sich? Um Delicensing-Fehler zu erkennen, werden die Auswirkungen auf den Exchange Online-Dienst verzögert. Als Admin hat man die Möglichkeit dies um 30 Tage zu verzögern, und somit auch die Mailzustellung bei versehentlichem Lizenzentzug zu gewährleisten.\nAchtung: Dieses Feature funktioniert nur bei Lizenzentzug, nicht wenn das Benutzerobjekt gelöscht wird.\nAktivieren der Exchange Online Delicensing Resiliency-Funktion Die Aktivierung wird über PowerShell durchgeführt\n1 Set-OrganizationConfig -DelayedDelicensingEnabled:$true Benachrichtigungen Bei Delicensing Resiliency können Admins sowie User eine Benachrichtigung erhalten, wenn die Mailbox in Resiliency Status ist. Im Standard wird die Benachrichtigung für Admins beim Aktivieren der Funktion aktiviert.\nEinstellung kontrollieren\n1 Get-OrganizationConfig | fl *TenantAdminNotificationForDelayedDelicensing* Admin-Benachrichtigung aktivieren\n1 Set-OrganizationConfig -TenantAdminNotificationForDelayedDelicensingEnabled:$true User-Benachrichtigung aktivieren\n1 Set-OrganizationConfig -EndUserMailNotificationForDelayedDelicensingEnabled:$true Die 5000-User-Hürde Versucht man das Feature in einem Tenant mit weniger als 5000 Lizenzen zu aktivieren erhält man leider folgende Ausgabe. Hier bleibt abzuwarten ob dieses Feature auch für kleinere Organisationen zugänglich wird.\n1 2 Set-OrganizationConfig -DelayedDelicensingEnabled:$true Set-OrganizationConfig: ||Ihr Mandant ist nicht für das Exchange Online Delicensing Resiliency-Feature qualifiziert, das nur für Mandanten mit mehr als „5000“ kostenpflichtigen Lizenzen verfügbar ist. Quelle und weitere Informationen:\nhttps://learn.microsoft.com/en-us/exchange/recipients-in-exchange-online/manage-user-mailboxes/exchange-online-delicensing-resiliency\n","permalink":"https://m365simple.de/posts/exchange-online-delicensing-resiliency-schutz-vor-unbeabsichtigtem-lizenzentzug/","summary":"Mit \u0026ldquo;Exchange Online Delicensing Resiliency\u0026rdquo; führt Microsoft in Exchange Online einen Schutzmechanismus ein, der Mailboxes vor unbeabsichtigtem Lizenzentzug schützt. Das Feature bezieht sich aktuell ausschließlich auf Tenants mit mindestens 5000 Lizenzen, ohne Testversionen!\nWird einem aktiven Benutzer die Exchange Online Lizenz entzogen wurde bisher die Mailbox direkt deaktiviert und in einen Soft-Delete-Zustand überführt. Passiert dies ungewollt, z.B. durch einen Fehler in einer Gruppenzuweisung, kommt es für viele Benutzer zur Dienstunterbrechung und NDRs","title":"Exchange Online Delicensing Resiliency - Schutz vor unbeabsichtigtem Lizenzentzug"},{"content":"Die Löschung eines alten, nicht mehr benötigten Microsoft 365-Tenants war lange Zeit nur über den Support möglich. Dies kann mittlerweile eigenständig durch einen Global Administrator erfolgen.\nErfahrungsgemäß ist die Löschung eines Tenants insbesondere bei Tenant-2-Tenant-Migrationen relevant, da letztlich nur ein Tenant in so einem Szenario überbleibt. Zusätzlich gibt es das Szenario eines Schatten-Tenants, welcher ohne Wissen der IT durch User in der Vergangenheit angelegt wurde und nicht verwaltet wird.\nVorbereitungen zur Löschung des Tenants Ein Microsoft 365-Tenant kann nicht einfach so gelöscht werden, sondern muss entsprechend vorbereitet werden. Dazu gehören nachfolgende Aufgaben:\nAlle ausstehenden Rechnungen für u.a. Azure Subscriptions und Lizenzen wurden beglichen Es sind keine aktiven Subscriptions oder Lizenzen im Tenant vorhanden Alle User bis auf den letzten Global Admin wurden aus Entra ID gelöscht Bei hybrid Umgegebungen ist vorab der Entra ID Connect Sync / Cloud Sync zu deaktivieren und anschließend die Löschung der User durchzuführen Löschung aller vorhandenen App Registrations und Enterprise Apps Entfernung von 3rd Party MFA-Providern (mit Ausnahme von Azure MFA) Löschung des Tenants Zur Löschung eines Microsoft 365-Tenants ist nach Erledigung aller Voraussetzungen wie folgt vorzugehen:\nWeitere Informationen:\nDelete a Microsoft Entra tenant - Microsoft Entra ID | Microsoft Learn\n","permalink":"https://m365simple.de/posts/m365-tenant-loschung/","summary":"Die Löschung eines alten, nicht mehr benötigten Microsoft 365-Tenants war lange Zeit nur über den Support möglich. Dies kann mittlerweile eigenständig durch einen Global Administrator erfolgen.\nErfahrungsgemäß ist die Löschung eines Tenants insbesondere bei Tenant-2-Tenant-Migrationen relevant, da letztlich nur ein Tenant in so einem Szenario überbleibt. Zusätzlich gibt es das Szenario eines Schatten-Tenants, welcher ohne Wissen der IT durch User in der Vergangenheit angelegt wurde und nicht verwaltet wird.\nVorbereitungen zur Löschung des Tenants Ein Microsoft 365-Tenant kann nicht einfach so gelöscht werden, sondern muss entsprechend vorbereitet werden.","title":"Microsoft 365-Tenant Löschung"},{"content":"Ein Mitarbeiter scheidet aus oder ist nicht erreichbar und ein Termin oder eine Terminserie muss dringend geändert werden? Administratoren kennen diese Herausforderung vermutlich zu gut. Bisherige Lösungsansätze sahen z.B. Vollzugriffe auf das betroffene Postfach und Löschung der Terminserie mit anschließender Neueinladung durch einen anderen Organisator vor.\nDas ist umständlich, erfordert oft Genehmigungen und bringt einen Bruch in Besprechungsserien.\nWas ändert sich? Ab Mai 2026 beginnt der Rollout der neuen Funktion. Im Anschluss steht Administratoren die Möglichkeit zur Verfügung via Powershell den Organisator anzupassen. Das Feature wird standardmässig in allen Tenants ausgerollt und soll bis spätestens Ende Juni 2026 Global verfügbar sein.\nWie nehmen User die Änderung wahr? Interne Teilnehmer erhalten keine Information. Die Besprechungsinformationen werden im Hintergrund mit dem neuen Organisator angepasst. Dieser hat im Anschluss volle Kontrolle über die Besprechung - wie gewohnt.\nExterne Teilnehmer erhalten 2 Mails. Eine Absage der alten Besprechungsserie und eine Einladung für die neue Besprechungsserie.\nWie geht es weiter? Microsoft stellt in naher Zukunft die offizielle Dokumentation für das Powerhsell Commandlet bereit.\nEbenso wurde die Übernahme dieses Features für User via Outlook Web / New Outlook und Teams in Aussicht gestellt. Eine Timeline - oder eine Aussicht zum konkreten Vorgehen für User - gibt es hierzu von Microsoft aktuell nicht.\n","permalink":"https://m365simple.de/posts/exchange-online-meeting-organisatoren-per-powershell-andern/","summary":"Ein Mitarbeiter scheidet aus oder ist nicht erreichbar und ein Termin oder eine Terminserie muss dringend geändert werden? Administratoren kennen diese Herausforderung vermutlich zu gut. Bisherige Lösungsansätze sahen z.B. Vollzugriffe auf das betroffene Postfach und Löschung der Terminserie mit anschließender Neueinladung durch einen anderen Organisator vor.\nDas ist umständlich, erfordert oft Genehmigungen und bringt einen Bruch in Besprechungsserien.\nWas ändert sich? Ab Mai 2026 beginnt der Rollout der neuen Funktion. Im Anschluss steht Administratoren die Möglichkeit zur Verfügung via Powershell den Organisator anzupassen.","title":"Exchange Online - Meeting Organisatoren per Powershell ändern"},{"content":"Microsoft erweitert Microsoft Teams um eine Funktion, die externe Kommunikation deutlich vereinfacht: Nutzer können Chats mit Personen starten, die kein Microsoft-365 oder Teams-Konto besitzen, allein über deren E-Mail-Adresse. Externe Kontakte treten dem Chat als Gast bei, ohne App-Download oder Registrierung.\nWie war es bisher? Schon seit Jahren können Teams-Nutzer Chats mit beliebigen E-Mail-Adressen starten, wenn entsprechende Kollaborationsrichtlinien aktiv sind.\nDer entscheidende Haken: Empfänger ohne Teams-Konto mussten sich bislang erst registrieren, bevor eine Zusammenarbeit möglich war.\nWas steckt hinter der Funktion? Teams ermöglicht es, externe E-Mail-Empfänger direkt in 1:1 oder Gruppen-Chats einzubinden. Technisch basiert das auf dem B2B-Gastmodell von Microsoft Entra. Externe Teilnehmer werden dabei als Gäste im eigenen Tenant geführt.\nWichtig dabei:\nNur Benutzer des eigenen Tenants können Chats initiieren. Externe Personen können keine Chats starten, sondern nur antworten. Sämtliche Daten bleiben innerhalb der Sicherheit \u0026amp; Compliance des eigenen Tenants. Außerdem haben Administratoren die volle Konrolle darüber:\nDas Feature lässt sich global oder granular deaktivieren. Bestehende B2B Allow-/Deny-Listen, Domain-Beschränkungen \u0026amp; Rollenmodelle werden vollständig berücksichtigt. Löschung oder Deaktivierung der erstellten Gast Benutzer ❓Folgende Policy steuert den Zugriff: UseB2BInvitesToAddExternalUsers\nDie Funktion wird ab Mai 2026 weltweit (General Availability) ausgerollt und ist dann global standardmäßig aktiviert, sofern sie nicht durch bestehende Teams-Messaging-oder Entra B2B-Richtlinien der Organisation eingeschränkt oder deaktiviert wird.\nQuellen ⛓️‍💥 Chat with anyone not using Teams - Microsoft Teams | Microsoft Learn\n⛓️‍💥 Message Center ID - MC1182004\n","permalink":"https://m365simple.de/posts/ms-teams-chatten-mit-jeder-e-mail-adresse-auch-ohne-teams-account/","summary":"Microsoft erweitert Microsoft Teams um eine Funktion, die externe Kommunikation deutlich vereinfacht: Nutzer können Chats mit Personen starten, die kein Microsoft-365 oder Teams-Konto besitzen, allein über deren E-Mail-Adresse. Externe Kontakte treten dem Chat als Gast bei, ohne App-Download oder Registrierung.\nWie war es bisher? Schon seit Jahren können Teams-Nutzer Chats mit beliebigen E-Mail-Adressen starten, wenn entsprechende Kollaborationsrichtlinien aktiv sind.\nDer entscheidende Haken: Empfänger ohne Teams-Konto mussten sich bislang erst registrieren, bevor eine Zusammenarbeit möglich war.","title":"MS Teams: Chatten mit jeder E-Mail-Adresse – auch ohne Teams-Account"},{"content":"Ab Februar 2026 führt Microsoft eine Erkennung von Geräten mit Jailbreak (iOS) oder Root-Zugang (Android) ein und blockiert diese Geräte automatisch. Die Möglichkeit eine Ausnahme zu schaffen ist nicht vorgesehen.\nWas ist Jailbreak / Root? Unter Jailbreak bei iOS oder Root bei Android wird das Aushebeln werksseitiger Sicherheitsmechanismen verstanden. Dies kann zum einen zur Freischaltung von Funktionen, welche vom Hersteller nicht vorgesehen sind, genutzt werden aber kann auch auf ein kompromittiertes Gerät hinweisen.\nAuch wenn der Jailbreak/Root Zugang vom Nutzer gewünscht ist kann dies zur Aushebelung der Sicherheitsmechanismen des Microsoft Authenticators führen\nWie macht sich das Update bemerkbar? Der Rollout wird in 3 Phasen passieren:\nPhase 1 - Warnung Benutzer erhalten einen Warnhinweis, können aber die Nutzung fortsetzen:\nPhase 2 - Blockieren Das betroffene Gerät kann nicht mehr zur Authentifizierung oder Neuregistrierung genutzt werden. Der Benutzer wird darauf hingewiesen\nPhase 3 - Löschung Hier werden die Entra Accounts - mit einem Benutzerhinweis - vom Gerät entfernt.\nZeitlicher Ablauf Microsoft gibt den Start der Maßnahme mit Februar 2026 an. Der Abschluss soll bereits im April erfolgen. Für einzelne Tenants soll der Vorgang innerhalb eines Monats abgeschlossen sein.\nVorbereitung Da die Erkennung lokal funktioniert ist eine zentrale Vorhersage nicht möglich. Informieren Sie Ihre User und Helpdesk über die kommende Änderung.\nEine Verschiebung oder Deaktivierung des Features ist von Microsoft nicht vorgesehen.\n","permalink":"https://m365simple.de/posts/microsoft-authenticator-erkennt-jailbreak-root/","summary":"Ab Februar 2026 führt Microsoft eine Erkennung von Geräten mit Jailbreak (iOS) oder Root-Zugang (Android) ein und blockiert diese Geräte automatisch. Die Möglichkeit eine Ausnahme zu schaffen ist nicht vorgesehen.\nWas ist Jailbreak / Root? Unter Jailbreak bei iOS oder Root bei Android wird das Aushebeln werksseitiger Sicherheitsmechanismen verstanden. Dies kann zum einen zur Freischaltung von Funktionen, welche vom Hersteller nicht vorgesehen sind, genutzt werden aber kann auch auf ein kompromittiertes Gerät hinweisen.","title":"Microsoft Authenticator erkennt Jailbreak / Root"},{"content":"Microsoft stellt die sogenannten Passkey Profile nach der Vorschau-Phase der Allgemeinheit zur Verfügung und ermöglicht damit eine granulare Konfiguration je Zielgruppe.\nWas sind Passkeys überhaupt? Passkeys sind eine passwortlose Anmelde-Methode, welche mehrere Probleme angehen:\nKein Phishing: Es gibt kein Passwort, das man auf einer Fake-Seite eingeben könnte. Keine Wiederverwendung: Jeder Passkey ist eindeutig an einen Dienst gebunden. Kein MFA-Spam: Push-Bombing oder Code-Abfragen funktionieren hier nicht. Kein Shared Secret: Server speichern nur öffentliche Schlüssel, keine sensiblen Anmeldedaten. Aus technischer Sicht wird ein einmaliges Schlüsselpaar erzeugt, welches das klassische Passwort ersetzt oder ergänzt. Für die Nutzung ist meist nur ein Smartphone notwendig.\nAufgrund dieser niedrigen Einstiegshürde - und der einfachen Nutzung - erfreuen sich Passkeys zunehmender Beliebtheit. Auch im privaten Umfeld.\nDevice-bound vs. synced Passkeys: Bei der Art der Passkeys wird in die beiden Varianten unterschieden:\nDevice-bound Passkeys: Der Schlüssel ist an ein einzelnes Gerät gebunden, ähnlich wie ein Hardware-Token. Synced Passkeys: Der Schlüssel wird über sichere Plattformmechanismen zwischen Geräten eines Nutzers synchronisiert, etwa über das Betriebssystem oder den Plattformanbieter (z.B. Passwortmanager wie 1Password) Was ändert sich mit Passkey Profiles? Die bisherige Konfiguration in Entra hat nur eine starre Passkey Konfiguration zugelassen. Es konnten die Einstellungen nur global getroffen werden. Diese betraff im Anschluss sowohl Administratoren und End-Nutzer.\nMit den Profilen lassen sich zum aktuellen Stand bis zu 3 Profile definieren.\nMicrosoft überführt die aktuelle Konfiguration in ein Default-Profil.\nWie kann so eine Konfiguration aussehen? Klar zu nennen ist, dass ein Passkey, der ans Gerät gebunden ist, einen höheren Sicherheitsstandard bietet. Die Schattenseite davon ist aber auch, dass dies bei Endnutzern zu geringerer Akzeptanz führt. Ein Endgeräte-Wechsel bringt hier auch einen neuen Passkey inkl. dem Prozess dazu mit. In größeren Umgebungen kann dies schnell zu Mehraufwänden im Support führen.\nDaher ist eine mögliche Konfiguration \u0026amp; Einsatzzweck für die Passkey Profile:\nAdministratoren: Device-bound Passkeys mit Attestation\nEnd-Nutzer: Synced Passkeys ohne weitere Einschränkungen\nWo wird das konfiguriert? Die Einstellung lässt sich in Entra im Bereich \u0026ldquo;Sicherheit\u0026rdquo; und anschließend im Menüpunkt \u0026ldquo;Authentifizierungsmethoden\u0026rdquo; definieren. Hier nun die Methode \u0026ldquo;Passkey (FIDO2)\u0026rdquo; auswählen.\nFazit Microsoft liefert mit den Profilen einen Mehrwert da der Spagat zwischen den Anforderungen von End-Nutzern und Administratoren ermöglicht wird.\n","permalink":"https://m365simple.de/posts/passkey-profile-in-entra-spezifische-einstellungen-fur-zielgruppen-sind-jetzt-allgemein-verfugbar/","summary":"Microsoft stellt die sogenannten Passkey Profile nach der Vorschau-Phase der Allgemeinheit zur Verfügung und ermöglicht damit eine granulare Konfiguration je Zielgruppe.\nWas sind Passkeys überhaupt? Passkeys sind eine passwortlose Anmelde-Methode, welche mehrere Probleme angehen:\nKein Phishing: Es gibt kein Passwort, das man auf einer Fake-Seite eingeben könnte. Keine Wiederverwendung: Jeder Passkey ist eindeutig an einen Dienst gebunden. Kein MFA-Spam: Push-Bombing oder Code-Abfragen funktionieren hier nicht. Kein Shared Secret: Server speichern nur öffentliche Schlüssel, keine sensiblen Anmeldedaten.","title":"Passkey Profile in Entra - Spezifische Einstellungen für Zielgruppen sind jetzt Allgemein Verfügbar"},{"content":"Was ist \u0026ldquo;IsCloudmanaged\u0026rdquo;? Wie wir schon berichtet hatten, unterstützt Exchange Online seit kurzem das Management von Mail Attributen in der Cloud. Damit können Administratoren auch für Benutzerobjekte, welche aus dem lokalen Active Directory synchronisiert werden, Mail-spezifische Attribute, wie z.B. die Mail-Adressen, anpassen. Damit entfallen Konstrukte mit Exchange Management Tools oder der Betrieb eines Exchange Management Servers.\nWie funktioniert es? Ist das Attribut aktiv, werden die Mail-spezifischen Attribute nicht mehr aus dem ActiveDirectory synchronisiert sondern der aktuelle Zustand übernommen und nur noch in der Cloud verwaltet. Werden dann Änderungen im ActiveDirectory vorgenommen werden diese nicht zu Entra synchronisieren.\nWelche Auswirkung hat das? Bevor wir zu den Auswirkungen kommen, schauen wir uns einmal an, welche Mechanismen heute typischerweise in Unternehmen im Kontext Exchange Onpremise - Exchange Online aber auch Active Directory und Entra zum Einsatz kommen:\nEmail Adress-Richtlinien: Ein gern genutztes Tool in größeren Organisationen für die Zuweisungen von Mail-Adressen - sowohl den Benutzername betreffend als auch die Domain. Gerne werden hier unterschiedliche Domains z.B. auf Basis der OU zugewiesen.\nEine vergleichbare Lösung existiert heute nicht in Exchange Online. Hier sind Lösungen via Azure Automation möglich.\nExtension Attributes: Diese Attribute werden gerne für zusätzliche Informationen, Indikatoren für Dritt-Tools, dynamische Gruppen u.v.m. genutzt. Mit der Nutzung von IsCloudmanaged entfällt auch die Synchronisation dieser Attribute zu Entra.\nAllerdings sind nicht nur die Extension Attribute sondern noch eine weitere Attribute betroffen:\nAttribut\nKann in EXO bearbeitet werden\nRückschreiben in lokales Netzwerk\naltRecipient\nJa\nNein\nAuthoring\nJa\nNein\ndLMemRejectPerms\nJa\nNein\ndLMemSubmitPerms\nJa\nNein\nextensionAttribute1\nJa\nJa\nextensionAttribute10\nJa\nJa\nextensionAttribute11\nJa\nJa\nextensionAttribute12\nJa\nJa\nextensionAttribute13\nJa\nJa\nextensionAttribute14\nJa\nJa\nextensionAttribute15\nJa\nJa\nextensionAttribute2\nJa\nJa\nextensionAttribute3\nJa\nJa\nextensionAttribute4\nJa\nJa\nextensionAttribute5\nJa\nJa\nextensionAttribute6\nJa\nJa\nextensionAttribute7\nJa\nJa\nextensionAttribute8\nJa\nJa\nextensionAttribute9\nJa\nJa\nlegacyExchangeDN\nJa\nNein\nmail\nJa\nNein\nmsExchArchiveGUID\nJa\nNein\nmsExchArchiveName\nJa\nNein\nmsExchAssistantName\nJa\nNein\nmsExchAuditAdmin\nJa\nNein\nmsExchAuditDelegate\nJa\nNein\nmsExchAuditDelegateAdmin\nJa\nNein\nmsExchAuditOwner\nJa\nNein\nmsExchBlockedSendersHash\nJa\nNein\nmsExchBypassAudit\nJa\nNein\nmsExchDelegateListLink\nJa\nNein\nmsExchELCExpirySuspensionEnd\nJa\nNein\nmsExchELCExpirySuspensionStart\nJa\nNein\nmsExchELCMailboxFlags\nJa\nNein\nmsExchEnableModeration\nJa\nNein\nmsExchExtensionCustomAttribute1\nJa\nJa\nmsExchExtensionCustomAttribute2\nJa\nJa\nmsExchExtensionCustomAttribute3\nJa\nJa\nmsExchExtensionCustomAttribute4\nJa\nJa\nmsExchExtensionCustomAttribute5\nJa\nJa\nmsExchHideFromAddressLists\nJa\nNein\nmsExchImmutableID\nJa\nNein\nmsExchLitigationHoldDate\nJa\nNein\nmsExchLitigationHoldOwner\nJa\nNein\nmsExchMailboxAuditEnable\nJa\nNein\nmsExchMailboxAuditLogAgeLimit\nJa\nNein\nmsExchMailboxGuid\nJa\nNein\nmsExchModeratedByLink\nJa\nNein\nmsExchModerationFlags\nJa\nNein\nmsExchRecipientDisplayType\nJa\nJa\nmsExchRecipientTypeDetails\nJa\nJa\nmsExchRemoteRecipientType\nJa\nNein\nmsExchRequireAuthToSendTo\nJa\nNein\nmsExchResourceCapacity\nJa\nNein\nmsExchResourceDisplay\nJa\nNein\nmsExchResourceMetaData\nJa\nNein\nmsExchResourceSearchProperties\nJa\nNein\nmsExchRetentionComment\nJa\nNein\nmsExchRetentionURL\nJa\nNein\nmsExchSafeRecipientsHash\nJa\nNein\nmsExchSafeSendersHash\nJa\nNein\nmsExchSenderHintTranslations\nJa\nNein\nmsExchUserHoldPolicies\nJa\nNein\nproxyAddresses\nJa\nJa\npublicDelegates\nJa\nNein\nunauthOrig\nJa\nNein\nuserCertificate\nJa\nNein\nuserSMIMECertificates\nJa\nNein\nWie geht es Weiter? Der aktuelle Zustand entspricht der sog. Phase 1 von Microsoft. In einer späteren „Phase 2“ ist vorgesehen, dass diese Attribute von Entra zurück in das lokale Active Directory synchronisiert werden können (Writeback). Damit würde Entra die führende Quelle werden und das lokale Active Directory die Werte nur noch konsumieren.\nWie vorgehen? Wenn der Ansatz, den Microsoft verfolgt, den Anforderungen entspricht, die Sie an Ihre Umgebung stellen und\nKeine Einschränkungen entstehen Sie Ihre Umgebung so anpassen können, dass die Einschränkungen nicht existent sind dann steht dem Wechsel zu IsCloudManaged nichts im Weg.\n","permalink":"https://m365simple.de/posts/exchange-online-mit-iscloudmanaged-was-kann-mich-daran-hindern/","summary":"Was ist \u0026ldquo;IsCloudmanaged\u0026rdquo;? Wie wir schon berichtet hatten, unterstützt Exchange Online seit kurzem das Management von Mail Attributen in der Cloud. Damit können Administratoren auch für Benutzerobjekte, welche aus dem lokalen Active Directory synchronisiert werden, Mail-spezifische Attribute, wie z.B. die Mail-Adressen, anpassen. Damit entfallen Konstrukte mit Exchange Management Tools oder der Betrieb eines Exchange Management Servers.\nWie funktioniert es? Ist das Attribut aktiv, werden die Mail-spezifischen Attribute nicht mehr aus dem ActiveDirectory synchronisiert sondern der aktuelle Zustand übernommen und nur noch in der Cloud verwaltet.","title":"Exchange Online mit \"IsCloudmanaged\" - Was kann mich daran hindern?"},{"content":"Microsoft gibt die Trennung vom \u0026ldquo;Mailbox External Recipient Limit\u0026rdquo; bekannt\nAndere Versandgrenzen und Schutzmechanismen bleiben aktiv. Ziel ist weniger Fehlalarme bei legitimen Mails und präzisere Missbrauchserkennung. Warum es dieses Limit überhaupt gab\nDas Limit wurde eingeführt, um kompromittierte Benutzerpostfächer einzudämmen, wenn es z.B. zu\nEiner Kontoübernahme via Phishing kam Angreifer in kurzer Zeit große Mengen externer E Mails versenden Reputationsschäden für Tenant und Microsoft Infrastruktur kommt Das Limit war technisch eine einfache Zählung externer Empfänger pro Zeitfenster, unabhängig vom Kontext. Daher kam es mit diesem Mechanismus auch regelmässig zu Problemen.\nWas sich jetzt ändert\nMicrosoft entfernt dieses eine Limit vollständig. Stattdessen greift:\nVerhaltensbasierte Spam und Abuse Erkennung\nReputationsmodelle auf Benutzer und Tenant Ebene\nBestehende Versandgrenzen wie tägliche Empfängerlimits\nWelche Limits gibt es jetzt noch?\nAuch wenn ein Limit entfernt wurde greifen nach wie vor weitere Begrenzungen wie z.B.\nMaximale Nachrichtengröße von 150MB Maximale Empfänger pro Nachricht: 1000 Maximale Empfänger pro Tag (sog. Recipient Rate Limit) : 10.000 Nachrichtengrenzwert: 30 Minuten pro Nachricht Zusätzlich gibt es noch das sog. \u0026ldquo;Tenant External Recipient Rate Limit\u0026rdquo;. Dieses berechnet sich individuell und kann im Exchange Admin Center im Bereich \u0026ldquo;Reports\u0026rdquo; eingesehen werden.\nAlle Limitierungen finden sich hier.\n","permalink":"https://m365simple.de/posts/exchange-online-mailbox-external-recipient-rate-limit-entfallt/","summary":"Microsoft gibt die Trennung vom \u0026ldquo;Mailbox External Recipient Limit\u0026rdquo; bekannt\nAndere Versandgrenzen und Schutzmechanismen bleiben aktiv. Ziel ist weniger Fehlalarme bei legitimen Mails und präzisere Missbrauchserkennung. Warum es dieses Limit überhaupt gab\nDas Limit wurde eingeführt, um kompromittierte Benutzerpostfächer einzudämmen, wenn es z.B. zu\nEiner Kontoübernahme via Phishing kam Angreifer in kurzer Zeit große Mengen externer E Mails versenden Reputationsschäden für Tenant und Microsoft Infrastruktur kommt Das Limit war technisch eine einfache Zählung externer Empfänger pro Zeitfenster, unabhängig vom Kontext.","title":"Exchange Online: Mailbox External Recipient Rate Limit entfällt"},{"content":"Hier erfahren Sie wie Sie Threat Detection für Azure Backup aktivieren. Dieses Feature ist derzeit in Public Preview verfügbar und bringt eine entscheidende Erweiterung für alle, die Azure-VMs sichern und im Fall von Angriffen schnell wiederherstellen müssen.\nWas macht Threat Detection? Threat Detection bewertet beim Erstellen von Backups die Integrität von VM-Restore-Points (RP), indem es Sicherheits- und Malware-Signale aus Microsoft Defender for Cloud (z. B. Ransomware-Indikatoren oder Malware-Scans der Quell-VM) nutzt, um kompromittierte oder verdächtige Backups zu erkennen und saubere Wiederherstellungspunkte für eine sichere Recovery zu identifizieren.\nAzure Backup Threat Detection aktivieren Voraussetzungen Die Workloads sind Azure VMs, die mit Azure Backup gesichert werden Microsoft Defender for Cloud ist aktiv Defender for Servers Plan 1 oder Plan 2 ist für die VMs aktiviert Du hast Owner- oder Security Admin-Rechte auf Subscription-Ebene Threat Detection im Recovery Services Vault aktivieren Öffne deinen Recovery Services Vault\nGehe zu Settings \u0026gt; Properties \u0026gt; Security Settings\nWähle Threat Detection (Preview)\nAktiviere Enable source-scan integration\nSpeichern\nStatus überprüfen Konfigurationsstatus – Source Scan (Azure VM Backups) Status\nBeschreibung\nConfigured\nDie Integration des Source-Scans mit Microsoft Defender for Cloud ist erfolgreich für die geschützten Elemente im Vault konfiguriert.\nNot Configured\nDie Integration des Source-Scans mit Microsoft Defender for Cloud ist noch nicht für die geschützten Elemente im Vault konfiguriert.\nConfiguration Failed\nDie Integration des Source-Scans mit Microsoft Defender for Cloud ist aufgrund eines Konfigurationsfehlers fehlgeschlagen.\nNot Applicable\nDie Defender for Servers-Pläne wurden nach der Konfiguration herabgestuft und sind nicht mehr anwendbar.\nZusammenfassungsstatus – Source Scan (Azure VM Backups) Status\nBeschreibung\nNo Threats Reported\nDefender for Cloud hat keine Malware- oder Ransomware-Bedrohungen für einen Wiederherstellungspunkt erkannt. Wenn in den letzten 7 Tagen alle RPs sauber waren, wird dieser Status gesetzt.\nSuspicious RPs Found\nFür mindestens einen Wiederherstellungspunkt in den letzten 7 Tagen wurden Malware- oder Ransomware-Signale erkannt.\nNot Applicable\nDer Defender for Servers-Plan wurde für die Quelle herabgestuft; wenn alle RPs betroffen sind, gilt dieser Status für das gesamte Backup.\nUnknown (-)\nDie Source-Scan-Integration ist nicht konfiguriert oder fehlgeschlagen, daher kann kein gültiger Status ermittelt werden\nFAQ Welche Regionen werden unterstützt?\nDie Funktion befindet sich aktuell im Preview, und ist nur in folgenden Regionen verfügbar: USA, Westen-Mitte; Australien, Osten; Europa, Norden; Schweiz, Norden; Europa, Westen; USA, Mitte; USA, Osten; USA, Osten 2; USA, Westen; Vereinigtes Königreich, Süden; Kanada, Mitte; Japan, Japan, Westen; Indien, Mitte; Indien, Süden; Indien, Westen.\nIst Azure Backup Threat Detection kostenlos?\nNein, es erfordert einen aktiven Defender for Servers Plan 1 oder 2.\nWerden bestehende Backups rückwirkend gescannt?\nNein, nur neu erstellte Wiederherstellungspunkte nach Aktivierung\nQuelle https://learn.microsoft.com/en-us/azure/backup/threat-detection-overview\n","permalink":"https://m365simple.de/posts/preview-azure-backup-threat-detection/","summary":"Hier erfahren Sie wie Sie Threat Detection für Azure Backup aktivieren. Dieses Feature ist derzeit in Public Preview verfügbar und bringt eine entscheidende Erweiterung für alle, die Azure-VMs sichern und im Fall von Angriffen schnell wiederherstellen müssen.\nWas macht Threat Detection? Threat Detection bewertet beim Erstellen von Backups die Integrität von VM-Restore-Points (RP), indem es Sicherheits- und Malware-Signale aus Microsoft Defender for Cloud (z. B. Ransomware-Indikatoren oder Malware-Scans der Quell-VM) nutzt, um kompromittierte oder verdächtige Backups zu erkennen und saubere Wiederherstellungspunkte für eine sichere Recovery zu identifizieren.","title":"Azure Backup Threat Detection aktivieren - Schutz vor Ransomware"},{"content":" Microsoft hat ein offizielles Slack to Teams Migration Tool veröffentlicht, das direkt im Microsoft 365 Admin Center verfügbar ist (Public Preview). Zielgruppe sind Tenant-Administratoren, die Slack ablösen und Teams als zentrale Collaboration-Plattform etablieren wollen.\nWas kann das Tool? Mit dem Migration Tool lassen sich aus Slack exportierte Daten nach Microsoft Teams importieren:\nÖffentliche und private Channels Channel-Nachrichten inkl. Threads Dateien und Anhänge Mitglieder (per User-Mapping) Canvas-/Listen-Inhalte als Dateien Direktnachrichten (DMs) und Slack-Apps werden nicht migriert.\nTechnischer Ablauf (Kurzfassung) Slack Export (ZIP) durch Workspace-Admin erstellen Upload des Exports in Azure Blob Storage Migration im M365 Admin Center starten\nhttps://admin.cloud.microsoft/?#/featureexplorer/migration/SlackMigration User-Mapping (automatisch bei identischer Mailadresse) Channels scannen, Migration ausführen, Status überwachen Slack-Daten bleiben unverändert – es handelt sich um einen reinen Import.\nVoraussetzungen Global / Teams Admin im M365 Tenant Admin-Zugriff auf den Slack-Workspace Azure Storage Account Sauberes Benutzer-Mapping (Mailadressen!) Quelle: https://learn.microsoft.com/en-us/MicrosoftTeams/slack-to-teams-migration-tool\n","permalink":"https://m365simple.de/posts/preview-slack-to-teams-migration-tool-verfugbar/","summary":"Microsoft hat ein offizielles Slack to Teams Migration Tool veröffentlicht, das direkt im Microsoft 365 Admin Center verfügbar ist (Public Preview). Zielgruppe sind Tenant-Administratoren, die Slack ablösen und Teams als zentrale Collaboration-Plattform etablieren wollen.\nWas kann das Tool? Mit dem Migration Tool lassen sich aus Slack exportierte Daten nach Microsoft Teams importieren:\nÖffentliche und private Channels Channel-Nachrichten inkl. Threads Dateien und Anhänge Mitglieder (per User-Mapping) Canvas-/Listen-Inhalte als Dateien Direktnachrichten (DMs) und Slack-Apps werden nicht migriert.","title":"Preview: Slack-to-Teams migration tool verfügbar"},{"content":"Span Konvertierungen: plötzlich sind Arrays gefühlt Spans Mit .NET 10 kommt C# 14, und damit ein Feature, das sich erst mal nach Komfort anfühlt: Methoden mit Span oder ReadOnlySpan Parametern werden bei der Überladungsauflösung viel häufiger als passend betrachtet. Das betrifft vor allem Extension Methods aus System.MemoryExtensions. Klingt harmlos, ist es auch meistens, nur eben nicht immer.\nDie technische Idee dahinter ist simpel: Es gibt zusätzliche eingebaute Konvertierungen, die Arrays in Richtung Span und ReadOnlySpan bringen, und diese Konvertierungen werden stärker in Type Inference und Extension Method Lookup einbezogen. Dadurch kann ein Aufruf, der früher eindeutig war, plötzlich eine andere Zielmethode bekommen. Genau das beschreibt Microsoft auch als Verhaltensänderung in .NET 10.\nContains: derselbe Code, andere Methode, andere Laufzeit Das prominenteste Beispiel ist array.Contains(x). Früher landete man oft bei Enumerable.Contains. Mit C# 14 kann stattdessen MemoryExtensions.Contains gebunden werden, weil es Overloads für Span und ReadOnlySpan gibt und die neuen Regeln die Bindung ermöglichen.\nIm normalen Codepfad merkst du davon selten etwas. In Expression Trees aber schon. Microsoft weist explizit darauf hin, dass diese neue Bindung in Expression Lambdas zu Runtime Exceptions führen kann, speziell wenn die Lambda interpretiert kompiliert wird. JetBrains warnt in Rider und ReSharper ebenfalls vor genau diesem Szenario.\nWarum? Expression Trees sind kein vollwertiger IL Dump. Sie modellieren nur einen Teil der Sprache. Und ref struct Typen wie Span sind in diesem Modell ein schwieriger Gast. Sobald eine Expression plötzlich eine spanbasierte Extension Method enthält, wird aus einer sauberen Query oder Predicate schnell ein Laufzeitproblem.\nDer eigentliche Kniff: op_Implicit taucht als Call im Tree auf Jetzt zum spannenden Teil, der gern übersehen wird: Die Konvertierung Array zu Span erscheint in Expression Trees oft als Call auf einen speziellen impliziten Operator. Das ist eine statische Methode mit SpecialName op_Implicit auf einem generischen DeclaringType. Und genau da setzt der Visitor Fix an:\n1 2 3 4 5 6 7 8 9 10 11 // C# 14 plus .NET 10: neue Span Bindings können im Expression Kontext stören if (call.Object == null \u0026amp;\u0026amp; call.Method is { IsSpecialName: true, Name: \u0026#34;op_Implicit\u0026#34;, DeclaringType.IsGenericType: true }) { var def = call.Method.DeclaringType.GetGenericTypeDefinition(); if (def == typeof(ReadOnlySpan\u0026lt;\u0026gt;) || def == typeof(Span\u0026lt;\u0026gt;)) { // Die Conversion liefert für die Übersetzung keinen Mehrwert. // Daher nur das Array Argument weiter besuchen. return Visit(call.Arguments[0]); } } Was passiert hier fachlich? Du erkennst gezielt die implizite Span Conversion und behandelst sie als No op für die Übersetzung. Das ist keine Schlamperei, das ist Absicht: Für viele Query Provider zählt die semantische Quelle, also das Array oder eine Collection, nicht das spanbasierte Zwischenstück.\nDas ist auch der Grund, weshalb sich das wie ein kleiner Trick anfühlt, aber in Wahrheit eine saubere Normalisierung ist. Du bringst den Tree zurück in eine Form, die dein Translator sicher versteht.\nAusblick: Fix ist mehr als Kosmetik Dieser Visitor Schritt allein löst noch nicht jedes Contains Problem, aber er ist ein stabiler Baustein. In der Praxis kombinierst du ihn oft mit einer zweiten Regel: Wenn Contains auf MemoryExtensions gebunden wurde, leite aktiv auf Enumerable.Contains oder eine providerfreundliche Variante. Der Kernpunkt bleibt: Seit .NET 10 kann dieselbe Zeile Code eine andere Methode targeten, und Expression basierte Systeme spüren das sofort.\n","permalink":"https://m365simple.de/posts/net-10-upgrade-expression-trees/","summary":"Span Konvertierungen: plötzlich sind Arrays gefühlt Spans Mit .NET 10 kommt C# 14, und damit ein Feature, das sich erst mal nach Komfort anfühlt: Methoden mit Span oder ReadOnlySpan Parametern werden bei der Überladungsauflösung viel häufiger als passend betrachtet. Das betrifft vor allem Extension Methods aus System.MemoryExtensions. Klingt harmlos, ist es auch meistens, nur eben nicht immer.\nDie technische Idee dahinter ist simpel: Es gibt zusätzliche eingebaute Konvertierungen, die Arrays in Richtung Span und ReadOnlySpan bringen, und diese Konvertierungen werden stärker in Type Inference und Extension Method Lookup einbezogen.","title":".NET 10 Upgrade - Expression Trees"},{"content":".NET 10 Upgrade und plötzlich fühlt sich Wartung angenehm an Kennst du das Gefühl, wenn ein Framework Upgrade eigentlich riesig klingt, du aber innerlich hoffst, dass es einfach nur ein paar Paket Updates sind und gut? Genau so bin ich an .NET 10 rangegangen. Und ja, .NET 10 ist nicht irgendein Release, sondern LTS. Release war am 11. November 2025, Support läuft bis November 2028. Das ist der Teil, der sich nach solider Planung anfühlt und nicht nach Glücksspiel.\nIm Projekt selbst war das Upgrade fast schon langweilig. Target Framework hoch, Pakete nachziehen, Tests laufen lassen, fertig. Klar, ein paar Warnungen tauchen auf, aber nichts, was einen den Kaffee kalt werden lässt. Performance und Tooling fühlen sich reif an, und Microsoft positioniert das Release auch genau so. Stabil, LTS, mit spürbaren Verbesserungen.\nDer Code war brav, die Pipeline eher nicht Und dann kam der Teil, den man gern vergisst: Build und Release. Lokal alles grün, im CI plötzlich Rot. Nicht weil .NET 10 komisch wäre, sondern weil die Azure Runner und auch manche Azure Release Tasks das neue SDK noch nicht automatisch mitbringen. Das sieht man gerade dann, wenn man auf Microsoft hosted Agents vertraut oder ältere Release Pipelines pflegt, die seit Jahren niemand anfassen wollte.\nDie pragmatische Lösung war erstaunlich simpel: SDK aktiv installieren. In Azure Pipelines geht das sauber mit UseDotNet. Damit ziehst du dir die gewünschte SDK Version in den Job und entkoppelst dich ein Stück weit vom Agent Image Stand. Microsoft dokumentiert den Task ziemlich klar, inklusive Cache Verhalten und Versionsangabe.\nDass das kein Einzelfall ist, sieht man auch in der Praxis: Entwickler berichten, dass ihre Build Agents noch nicht auf .NET 10 standen und erst eine explizite SDK Installation den Build wieder stabil gemacht hat.\nNebenbei, kleiner Tipp aus der Kategorie “spart Nerven”: eine saubere global.json hilft, wenn Teams parallel arbeiten und nicht jeder Rechner zufällig dasselbe SDK zieht. Das ist kein Glamour Thema, aber es verhindert diese leisen Versionsdrifts, die später viel Zeit fressen.\nAlles gut, bis auf eine Sache, die noch kommt Unterm Strich war das Upgrade angenehm. Der eigentliche Reibungspunkt war weniger .NET 10 selbst, sondern das Drumherum in Azure. Sobald das SDK bewusst im Pipeline Schritt sitzt, wird es wieder ruhig.\nWas ich aber nicht unter den Teppich kehre: C# 14 bringt neue Span Konvertierungen, und damit ändert sich in bestimmten Szenarien die Overload Resolution. Das kann ausgerechnet bei Contains auffallen, speziell wenn Expression Trees interpretiert kompiliert werden. Plötzlich bindet array.Contains nicht mehr an Enumerable.Contains, sondern an MemoryExtensions.Contains, und dann knallt es zur Laufzeit. Microsoft beschreibt das samt Beispiel und Workarounds ziemlich direkt.\nGenau da setze ich im nächsten Blogpost an: Expression Visitors, warum solche Bindings in Queries und Providern heikel sind, und welche Fixes sich sauber anfühlen, ohne dass man überall nervöse Casts verteilt.\n","permalink":"https://m365simple.de/posts/net-10-upgrade/","summary":".NET 10 Upgrade und plötzlich fühlt sich Wartung angenehm an Kennst du das Gefühl, wenn ein Framework Upgrade eigentlich riesig klingt, du aber innerlich hoffst, dass es einfach nur ein paar Paket Updates sind und gut? Genau so bin ich an .NET 10 rangegangen. Und ja, .NET 10 ist nicht irgendein Release, sondern LTS. Release war am 11. November 2025, Support läuft bis November 2028. Das ist der Teil, der sich nach solider Planung anfühlt und nicht nach Glücksspiel.","title":".NET 10 Upgrade"},{"content":"Hybrides Arbeiten ist gekommen, um zu bleiben. Doch wer nur an ausgewählten Tagen im Büro ist, braucht vor allem eins: einen schnell buchbaren Arbeitsplatz – ohne zusätzliche Tools oder komplizierte Prozesse.\nDie gute Nachricht: Mit Exchange Online und Outlook lässt sich ein einfaches Shared-Desk- bzw. Hot-Desking-Szenario direkt in Microsoft 365 abbilden. In diesem Praxistipp zeige ich, wie du Workspaces korrekt einrichtest, im Room Finder sichtbar machst und typische Stolperfallen vermeidest.\nWas ist ein Workspace in Exchange Online? Exchange Online kennt neben klassischen Meetingräumen auch sogenannte Workspaces. Technisch handelt es sich dabei um Resource-Postfächer, die:\nwie Räume gebucht werden im Outlook Room Finder erscheinen eine Kapazität besitzen (z. B. 1 Desk oder ein Desk-Pool) automatisch Buchungen annehmen oder ablehnen Ein Workspace eignet sich ideal für:\neinzelne Schreibtische Desk-Pools (z. B. 5 Plätze auf einer Etage) temporäre Arbeitsplätze im hybriden Büro Architektur-Empfehlung (aus der Praxis) Bewährt hat sich folgendes Modell:\nRoom List = Gebäude / Standort Workspace = Arbeitsplatz oder Desk-Pool Metadaten (Set-Place) = Filter \u0026amp; Orientierung im Room Finder So finden User in Outlook schnell den richtigen Arbeitsplatz – ohne Schulung.\nDie Konfiguration kann nur mit Powershell durchgeführt werden. Veröffentlichungen oder Änderungen können bis zu 48h dauern, bis sie im Room Finder sichtbar sind\nSchritt 1: Workspaces anlegen (Shared Desks) Zuerst erstellen wir die Workspace-Postfächer. Wichtig:\nEin Workspace ist technisch zunächst ein Room-Mailbox, die anschließend explizit als Workspace deklariert wird.\n1 2 3 4 5 6 7 Connect-ExchangeOnline New-Mailbox -Name desk1-eg-cologne -DisplayName \u0026#34;Desk1 – EG – Köln\u0026#34; -Room | Set-Mailbox -Type Workspace New-Mailbox -Name desk2-eg-cologne -DisplayName \u0026#34;Desk2 – EG – Köln\u0026#34; -Room | Set-Mailbox -Type Workspace Schritt 2: Metadaten mit Set-Place pflegen Damit Workspaces im Room Finder sinnvoll gefiltert werden können, sollten immer Place-Informationen gepflegt werden. Diese Informationen werden später im Outlook Room Finder verwendet – u. a. für Standort- und Etagenfilter.\n1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Set-Place desk1-eg-cologne@worksimple.de ` -CountryOrRegion \u0026#34;DE\u0026#34; ` -State \u0026#34;NRW\u0026#34; ` -City \u0026#34;Cologne\u0026#34; ` -Floor 1 ` -FloorLabel \u0026#34;Ground\u0026#34; ` -Capacity 1 Set-Place desk2-eg-cologne@worksimple.de ` -CountryOrRegion \u0026#34;DE\u0026#34; ` -State \u0026#34;NRW\u0026#34; ` -City \u0026#34;Cologne\u0026#34; ` -Floor 1 ` -FloorLabel \u0026#34;Ground\u0026#34; ` -Capacity 1 Schritt 3: Kapazität wirklich erzwingen Ein häufiger Fehler in der Praxis:\nDie Kapazität wird gesetzt – aber nicht durchgesetzt.\nMit Set-CalendarProcessing -EnforceCapacity $true stellst du sicher, dass:\nein Desk nicht doppelt gebucht wird Exchange Buchungen automatisch ablehnt, sobald die Kapazität erreicht ist 1 2 Set-CalendarProcessing desk1-eg-cologne@worksimple.de -EnforceCapacity $true Set-CalendarProcessing desk2-eg-cologne@worksimple.de -EnforceCapacity $true Schritt 4: Room List erstellen (Gebäude / Standort) Damit die Workspaces im Room Finder sauber gruppiert erscheinen, benötigen wir eine Room List. Room Lists sind spezielle Distribution Groups mit dem Parameter -RoomList.\n1 2 3 4 5 6 # Neue Roomlist anlegen New-DistributionGroup -Name \u0026#34;Cologne EG\u0026#34; -RoomList # Ressourcen zur Roomlist hinzufügen Add-DistributionGroupMember -Identity \u0026#34;Cologne EG\u0026#34; -Member desk1-eg-cologne@worksimple.de Add-DistributionGroupMember -Identity \u0026#34;Cologne EG\u0026#34; -Member desk2-eg-cologne@worksimple.de Empfehlung: Maximal ~50 Ressourcen pro Room List – das sorgt für bessere Performance im Outlook Room Finder.\nSchritt 5: Konfiguration prüfen Zum Abschluss lohnt sich ein kurzer Check, ob alle Place-Daten korrekt gesetzt sind:\n1 2 3 4 5 Get-DistributionGroupMember -Identity \u0026#34;Cologne EG\u0026#34; | Select-Object -ExpandProperty PrimarySmtpAddress | ForEach-Object { Get-Place -Identity $_ | Format-List } So buchen Anwender einen Shared Desk Für User ist der Prozess denkbar einfach:\nOutlook \u0026gt; Kalender Neuer Termin Room Finder öffnen Room List „Cologne EG“ auswählen Workspace (z. B. „Desk1“) buchen Termin senden Exchange übernimmt den Rest – inkl. Konfliktvermeidung.\nPro Tipp - TAGs verwenden Mit TAGs können zusätzliche Informationen wie verfügbare Ausstattungen an einen Workspace konfiguriert werden. Diese erscheinen ebenfalls im Room Finder\n1 2 set-place desk1-1og-cologne@worksimple.de -Tags \u0026#34;USB-C\u0026#34;,\u0026#34;Headset\u0026#34;,\u0026#34;Dual Monitor\u0026#34; set-place desk2-1og-cologne@worksimple.de -Tags \u0026#34;USB-C\u0026#34;,\u0026#34;Headset\u0026#34; Typische Stolperfallen Workspace erscheint nicht im Room Finder\nPrüfe: Room List, Metadaten, Replikationszeit\nMehrere User buchen denselben Desk\n-EnforceCapacity $true fehlt\nUser finden nichts Passendes\nSet-Place unvollständig oder uneinheitlich gepflegt\nZu viele Ressourcen in einer Liste\nRoom Lists logisch aufteilen (Gebäude, Etage, Standort)\n","permalink":"https://m365simple.de/posts/shared-desk-buchung/","summary":"Hybrides Arbeiten ist gekommen, um zu bleiben. Doch wer nur an ausgewählten Tagen im Büro ist, braucht vor allem eins: einen schnell buchbaren Arbeitsplatz – ohne zusätzliche Tools oder komplizierte Prozesse.\nDie gute Nachricht: Mit Exchange Online und Outlook lässt sich ein einfaches Shared-Desk- bzw. Hot-Desking-Szenario direkt in Microsoft 365 abbilden. In diesem Praxistipp zeige ich, wie du Workspaces korrekt einrichtest, im Room Finder sichtbar machst und typische Stolperfallen vermeidest.","title":"Praxistipp: Shared Desk Buchung mit Exchange Online - Outlook Room Finder"},{"content":" Warum man Seamless SSO in Microsoft Entra Connect deaktivieren sollte Es gibt diese technischen Features, die fühlen sich am Anfang wie Magie an. Einmal aktiviert, und plötzlich melden sich Leute an, ohne Passworttippen, ohne Nachdenken, ohne Support Tickets mit Betreff „Schon wieder Login Probleme“. Seamless SSO in Microsoft Entra Connect ist genau so ein Kandidat.\nUnd dann kommt der Moment, meist rund um ein Audit, einen Security Incident, oder ganz banal: beim Aufräumen zum Jahresende. Da schaut man auf die Hybrid Identitätsschicht und denkt: Moment mal. Brauchen wir das alles noch? Oder schleppen wir hier ein Extra mit, das längst keinen echten Mehrwert mehr liefert, aber sehr wohl neue Risiken eröffnet?\nGenau an der Stelle lohnt sich ein nüchterner Blick. Und ja, auch ein bisschen Mut zur Vereinfachung.\nSeamless SSO in einem Satz Microsoft Entra Seamless SSO meldet Benutzer automatisch an, wenn sie auf Firmen Geräten im Firmennetz arbeiten. In der Praxis heißt das: meist kein Passwort und oft nicht mal der Benutzername beim Zugriff auf Entra angebundene Cloud Apps.\nKlingt super. Ist es auch, solange man den Preis versteht.\nDenn Seamless SSO setzt dafür einen sehr konkreten Mechanismus voraus: In jeder betroffenen Active Directory Gesamtstruktur wird ein Computerkonto namens AZUREADSSOACC angelegt, das aus Sicherheitsgründen stark geschützt werden soll.\nSchon an der Formulierung merkt man: Das ist kein „kleines Häkchen“. Das ist ein zusätzlicher Baustein in einer ohnehin komplexen Kette.\nDer eigentliche Grund: weniger Angriffsfläche, weniger Kopfschmerzen Wissen Sie was? Security ist oft gar nicht die Frage nach dem besten Tool. Eher nach der kleinsten sinnvollen Menge an Tools.\nSeamless SSO bringt eine zusätzliche Vertrauensbeziehung zwischen On Premises AD und Cloud Identität. Und diese Beziehung hat einen Namen, ein Konto, Kerberos Tickets, Verschlüsselungstypen, Browser Zonen, Abhängigkeiten vom Netz. Das ist nicht per se schlecht. Es ist nur… mehr.\nMehr Dinge, die gepflegt werden wollen. Mehr Dinge, die falsch konfiguriert sein können. Mehr Dinge, die ein Angreifer attraktiv findet.\nMicrosoft selbst weist darauf hin, dass das AZUREADSSOACC Konto nur von Domain Admins verwaltet werden soll, dass Kerberos Delegation deaktiviert sein soll und dass andere Konten keine Delegationsrechte darauf haben sollen. Das liest sich wie eine Warnung: „Bitte hier besonders aufpassen.“\nUnd Defender for Identity geht noch einen Schritt weiter und beschreibt genau solche Hybrid Konten als sensibel, weil bei falschen Berechtigungen Missbrauch möglich ist, bis hin zur Übernahme von Hybrid Identitätsinfrastruktur.\nWenn man ein Feature nicht zwingend braucht, ist das ein ziemlich klares Signal.\nDer stille Wartungsaufwand, der gern vergessen wird Jetzt wird es herrlich alltäglich. Nicht „Hacker Movie“ Alltag, sondern echter Betrieb.\nFür Seamless SSO sollte der Kerberos Decryption Key regelmäßig erneuert werden. Microsoft empfiehlt mindestens alle 30 Tage ein Rollover via Update AzureADSSOForest.\nUnd hier kommt die typische Realität: Das steht in keiner Roadmap. Das steht in keinem Sprint. Das steht in genau einem Runbook, das niemand liest, bis es knallt.\nDazu kommen weitere kleine Stolpersteine, die in Summe nerven: Ticket Größen, Browser Verhalten, Zone Einstellungen, und das grundsätzliche Thema „funktioniert nur sauber im Firmennetz“. Microsoft listet eine Reihe bekannter Einschränkungen und Troubleshooting Punkte, inklusive Hinweisen auf Kerberos Ticket Größe und konkrete Audit Events.\nDas ist keine Schande. Es ist nur ein Zeichen dafür, dass Seamless SSO nicht „einfach immer“ ist, sondern ein System, das Aufmerksamkeit verlangt.\nModerne Geräte Anmeldung macht Seamless SSO oft überflüssig Jetzt der Teil, der viele überrascht: In vielen Umgebungen ist Seamless SSO technisch gesehen ein Extra, das keinen spürbaren Mehrwert mehr liefert.\nWenn Geräte bereits Microsoft Entra joined oder hybrid joined sind, ist der Primary Refresh Token oft der eigentliche Star der Show. Der liefert den gewünschten Anmelde Komfort, ohne dass Kerberos Tickets als zusätzlicher Weg in die Cloud genutzt werden müssen.\nUnd es wird noch praktischer: Wenn Entra Join aktiv ist, hat diese SSO Methode laut Microsoft Vorrang vor Seamless SSO. Das ist einer dieser „leicht widersprüchlichen“ Momente: Man aktiviert Seamless SSO für Komfort, und später stellt man fest, dass es bei vielen Geräten gar nicht mehr die entscheidende Rolle spielt.\nDas Ergebnis im Betrieb ist dann oft: Komplexität bleibt, Nutzen schrumpft.\nWann Sie Seamless SSO vielleicht noch behalten sollten Ein fairer Punkt. Es gibt Szenarien, in denen Seamless SSO noch eine Brücke sein kann, etwa wenn viele klassische Domain joined Geräte genutzt werden, die nicht Entra registriert oder joined sind, und wenn Nutzer überwiegend im Firmennetz arbeiten.\nNur: Das sind zunehmend weniger Umgebungen. Remote Work, Zero Trust Denke, Cloud First, Identität als Perimeter, all das drückt in eine Richtung: weniger Abhängigkeit vom internen Netz als Vertrauensanker.\nWenn Ihre Welt noch stark „Büro Netzwerk zentriert“ ist, kann Seamless SSO eine Übergangslösung bleiben. Als Dauerlösung wirkt es in vielen Setups eher wie ein Ersatzteil, das man längst nicht mehr verbaut, aber noch im Handschuhfach liegen hat.\nSo gehen Sie sauber vor, ohne Chaos am Montagmorgen Ein Abschalten ist kein Hexenwerk. Es ist eher ein kontrollierter Umbau.\n1) Prüfen, ob Seamless SSO real genutzt wird Microsoft beschreibt, wie sich erfolgreiche Seamless SSO Anmeldungen auf Domain Controllern nachvollziehen lassen, inklusive Event 4769 mit Bezug auf AZUREADSSOACC.\nDas ist Gold wert, weil Sie damit nicht raten müssen.\n2) Pilotieren, dann breit schalten Ein kleiner Benutzerkreis, idealerweise IT nahe Teams, dazu klare Kommunikation: „Wenn sich etwas anders anfühlt, bitte melden.“ Klingt banal, spart aber Überraschungen.\n3) Deaktivieren in Entra Connect Der klassische Weg ist simpel: In Microsoft Entra Connect den Wizard starten, Change user sign in wählen und die Option Enable single sign on abwählen. Microsoft dokumentiert diesen Weg im FAQ.\n4) Optional: Aufräumen der On Prem Artefakte Microsoft zeigt auch PowerShell Wege, die pro Forest arbeiten und dabei das AZUREADSSOACC Konto entfernen können.\nOb Sie das sofort tun oder erst nach einer Beobachtungsphase, ist eine Risiko und Change Frage. Viele Teams lassen erst Stabilität nachweisen und räumen dann auf.\nKleiner Ausblick: Was Sie stattdessen stärken sollten Wenn Seamless SSO wegfällt, entsteht oft Platz für das, was wirklich zählt:\nGeräte Status sauber: Entra joined oder hybrid joined, konsistent gemanagt Conditional Access Regeln, die Geräte und Risiko Signale einbeziehen Passwortlose Verfahren, wo möglich, etwa Windows Hello for Business oder FIDO2 Das ist nicht Glamour. Das ist solide Architektur. Wie bei einem Rechenzentrum: weniger Sonderkabel, mehr Standard, weniger Überraschungen.\nFazit Seamless SSO war für viele Hybrid Umgebungen lange ein netter Komfort Hebel. Heute ist es in vielen Setups vor allem eines: ein zusätzlicher Angriffs und Wartungspunkt, der sich vermeiden lässt.\nWenn Ihre Geräte schon modern angebunden sind, wenn Primary Refresh Token den Alltag tragen, und wenn Sie Security ernst nehmen, dann ist das Abschalten kein Verlust. Es ist Vereinfachung mit Ansage. Und ganz ehrlich: Genau diese Art von Aufräumen macht später die besten Audit Gespräche möglich.\n","permalink":"https://m365simple.de/posts/warum-man-seamless-sso-in-microsoft-entra-connect-deaktivieren-sollte/","summary":"Warum man Seamless SSO in Microsoft Entra Connect deaktivieren sollte Es gibt diese technischen Features, die fühlen sich am Anfang wie Magie an. Einmal aktiviert, und plötzlich melden sich Leute an, ohne Passworttippen, ohne Nachdenken, ohne Support Tickets mit Betreff „Schon wieder Login Probleme“. Seamless SSO in Microsoft Entra Connect ist genau so ein Kandidat.\nUnd dann kommt der Moment, meist rund um ein Audit, einen Security Incident, oder ganz banal: beim Aufräumen zum Jahresende.","title":"Warum man Seamless SSO in Microsoft Entra Connect deaktivieren sollte"},{"content":"Just‑in‑Time Registrierung für iOS Schnelleres Registrieren ohne Company Portal In vielen Umgebungen dauert die Registrierung neuer iPhones oder iPads länger als nötig. Der übliche Ablauf verlangt häufig zuerst die Installation der Company‑Portal‑App, anschließend mehrere Anmeldeschritte, und gelegentlich entstehen dabei kleine Stolpersteine, die zu Supportanfragen führen. Für Nutzerinnen und Nutzer wirkt das oft unnötig verschachtelt.\nJust‑in‑Time Registration reduziert diesen Aufwand. Statt über zusätzliche Apps läuft die Registrierung während der ersten Anmeldung in einer vorhandenen Arbeits‑ oder Schul‑App ab. Die Apple Single‑Sign‑On Erweiterung übernimmt im Hintergrund die eigentliche Registrierung und die Compliance‑Prüfung, ohne dass der Ablauf für die Anwender komplizierter wird.\nWas passiert bei der JIT‑Registrierung? Der erste Login in einer für SSO konfigurierten App löst zwei Schritte aus:\nDas Gerät wird bei Microsoft Entra registriert. Intune führt sofort eine Compliance‑Prüfung durch. Falls das Gerät nicht den Unternehmensrichtlinien entspricht, erscheint innerhalb der App ein Hinweis. Dort lässt sich sofort sehen, was fehlt, und das Gerät kann direkt in den konformen Zustand gebracht werden. Das Ganze läuft eingebettet in derselben App, ohne Wechsel auf externe Seiten oder zusätzliche Installationen.\nWas wird unterstützt? Just‑in‑Time Registration funktioniert mit allen verbreiteten Apple‑Enrollment‑Arten:\nApple User Enrollment Apple Device Enrollment (klassisch oder webbasiert) Automated Device Enrollment mit Setup Assistant Wichtig ist lediglich, dass eine Compliance‑Richtlinie zugewiesen ist. Nur dann kann Intune den eingebetteten Korrekturfluss nutzen.\nAktuell gibt es von Microsoft keine Hinweise, dass eine Just‑in‑Time Registration für Android vorgesehen ist. In der offiziellen Dokumentation wird Just‑in‑Time Registrierung ausschließlich für iOS und iPadOS beschrieben.\nWie wird JIT eingerichtet? Die Einrichtung besteht im Wesentlichen aus einer Richtlinie:\nIn Intune eine Single sign‑on app extension Richtlinie erstellen. Microsoft Entra ID als SSO‑Typ festlegen. Den Schlüssel device_registration, Typ String, mit dem Wert {{DEVICEREGISTRATION}} eintragen. (Empfohlen) Browser‑SSO aktivieren. Den Schlüssel browser_sso_interaction_enabled, Typ Integer, mit dem Wert 1 eintragen. Das Appbundle Feld ist nur für nicht-Microsoft apps. Für Microsoft Apps wirkt die SSO Extension automatisch. ➜ Richtlinie zuweisen und später den Microsoft Authenticator separat bereitstellen.\nMehr braucht es nicht, um neue Geräte sauber durch die automatische Registrierung zu schleusen.\nWofür ist das nützlich? schnellere Bereitstellung neuer Geräte weniger Supportaufwand, weil keine zusätzliche App installiert werden muss einheitlicher, klarer Ablauf für Mitarbeitende automatische Compliance‑Prüfung direkt beim ersten Start geeignet für große wie kleine Gerätebestände Fazit Just‑in‑Time Registrierung erleichtert die iOS‑Geräteeinrichtung. Mitarbeitende melden sich in einer App an, Intune erledigt den Rest. Ein stiller, aber wirkungsvoller Schritt, der viele Registrierungsschritte überflüssig macht und den Prozess beschleunigt.\n","permalink":"https://m365simple.de/posts/just-in-time-registrierung-ios/","summary":"Just‑in‑Time Registrierung für iOS Schnelleres Registrieren ohne Company Portal In vielen Umgebungen dauert die Registrierung neuer iPhones oder iPads länger als nötig. Der übliche Ablauf verlangt häufig zuerst die Installation der Company‑Portal‑App, anschließend mehrere Anmeldeschritte, und gelegentlich entstehen dabei kleine Stolpersteine, die zu Supportanfragen führen. Für Nutzerinnen und Nutzer wirkt das oft unnötig verschachtelt.\nJust‑in‑Time Registration reduziert diesen Aufwand. Statt über zusätzliche Apps läuft die Registrierung während der ersten Anmeldung in einer vorhandenen Arbeits‑ oder Schul‑App ab.","title":"Just-In-Time Registrierung iOS"},{"content":"Backups sind ein zentraler Bestandteil jeder IT Sicherheitsstrategie. Dabei sind sie bereits wesentlicher Bestandteil von gezielten Angriffen, insbesondere im Zusammenhang mit Ransomware. Daher erweitert Microsoft die Backup Ebene um eine sicherheitsrelevante Überwachungsschicht.\nWas ist Azure Backup überhaupt? Azure Backup ist ein cloudbasierter Dienst von Microsoft zur Sicherung und Wiederherstellung von Daten und Workloads. Es werden Server, Datenbanken, Dateifreigaben in der Cloud als auch On-Premise und viele weitere Azure Ressourcen unterstützt. Die Verwaltung erfolgt zentral über Recovery Services Vaults mit definierten Sicherungs- und Aufbewahrungsrichtlinien.\nWas Azure Backup Threat Detection ist Azure Backup Threat Detection ist eine neue Funktion von Azure Backup, welche sicherheitsrelevante Aktivitäten und Konfigurationsänderungen im Backup-Umfeld überwacht und Abweichungen vom normalen Verhalten erkennt.\nAls Ergebnis werden potenziell schädliche Aktionen sichtbar, bevor die Wiederherstellbarkeit von Daten beeinträchtigt wird.\nWesentlicher Bestandteil ist dabei die Erkennung von Verhaltensmustern - welche vom Normalzustand abweichen. Ergänzend werden Sicherheits-Signale aus Microsoft Defender for Cloud verwendet um Anomalien in Backup-Wiederherstellungspunkten zu identifizieren.\nZentrale Funktionen im Überblick Azure Backup Threat Detection bezieht sich auf sicherheitsrelevante Vorgänge rund um Sicherungen:\nErkennung ungewöhnlicher Löschvorgänge von Backup-Daten oder Recovery Points Überwachung von Änderungen an Backup-Richtlinien und Schutzkonfigurationen Hinweise auf verdächtige Aktivitäten im Zugriff auf Backup-Ressourcen Bewertung von Ereignissen im zeitlichen und inhaltlichen Zusammenhang Diese Funktionen unterscheiden sich vom klassischen Backup Monitoring, das eher den Zustand, Erfolg oder Fehler von Jobs betrachtet.\nIntegration in bestehende Security Strukturen Ein zentraler Vorteil liegt in der Einbindung in Microsoft Defender for Cloud. Alarme aus Azure Backup Threat Detection werden dort zusammen mit anderen sicherheitsrelevanten Signalen zusammengefasst. Damit wird eine zentrale Anlaufstelle für eine ganzheitlichere Bewertung und Reaktion beibehalten.\nDadurch bleiben Infrastruktur- und Sicherheitsteams auf Augenhöhe und schaffen einen gemeinsamen Kontext für Reaktionen auf Auffälligkeiten.\nVorteile für Betrieb und Sicherheit Aktivitäten im Backup-Bereich werden besser sichtbar und sicherheitsrelevante Änderungen bleiben nicht unbemerkt Durch frühzeitige Hinweise können Maßnahmen eingeleitet werden, bevor Sicherungen dauerhaft beeinträchtigt werden Zugriffskontrollen und Rollenmodelle werden um einen Fokus auf das Erkennen ungewöhnlicher Backup-Verhaltensweisen erweitert Voraussetzungen und Einsatzbereich Die Funktion setzt voraus, dass Microsoft Defender for Servers (Plan 1 oder Plan 2) aktiviert ist und dass die Region die Vorschau unterstützt. Zudem muss Threat Detection explizit aktiviert werden, in der Regel auf Ebene des Recovery Services Vaults.\nVorsicht: Vorschauversion und eingeschränkte Verfügbarkeit Wichtig zu wissen ist, dass Azure Backup Threat Detection noch nicht allgemein verfügbar (GA) ist. Die Funktion befindet sich derzeit in öffentlicher Vorschau (Public Preview), was bedeutet, dass sich Feature-Umfang, Verhalten und Support-Optionen noch ändern können.\nIn dieser Preview ist Threat Detection derzeit nur in ausgewählten Regionen verfügbar. Dazu gehören unter anderem:\nWest Central US West Europe North Europe Switzerland North UK South UK West Central US East US, East US2 Canada Central Australia East Fazit Azure Backup Threat Detection ergänzt Azure Backup um eine gezielte Funktion zur Erkennung ungewöhnlicher Aktivitäten im Sicherungsumfeld. Dabei inkludiert Microsoft die Funktionalität in bereits bestehende Lizenzen und hält so die Schwelle für die Nutzung niedrig. Die Funktionalität bietet einen deutlichen Mehrwert.\nEine sorgfältige Prüfung der Verfügbarkeit in der eigenen Region und der Voraussetzungen für den produktiven Einsatz ist empfehlenswert, bevor die Funktion breit ausgerollt wird.\n","permalink":"https://m365simple.de/posts/azure-backup-threat-detection-funktionen-und-mehrwert/","summary":"Backups sind ein zentraler Bestandteil jeder IT Sicherheitsstrategie. Dabei sind sie bereits wesentlicher Bestandteil von gezielten Angriffen, insbesondere im Zusammenhang mit Ransomware. Daher erweitert Microsoft die Backup Ebene um eine sicherheitsrelevante Überwachungsschicht.\nWas ist Azure Backup überhaupt? Azure Backup ist ein cloudbasierter Dienst von Microsoft zur Sicherung und Wiederherstellung von Daten und Workloads. Es werden Server, Datenbanken, Dateifreigaben in der Cloud als auch On-Premise und viele weitere Azure Ressourcen unterstützt. Die Verwaltung erfolgt zentral über Recovery Services Vaults mit definierten Sicherungs- und Aufbewahrungsrichtlinien.","title":"Azure Backup Threat Detection - Funktionen und Mehrwert"},{"content":"Passkey Sync in Entra ID jetzt auch mit iCloud Keychain Bis dato war die Nutzung von Passkeys auf iOS Devices nur mithilfe der Microsoft Authenticator App realisierbar. Microsoft hat in den vergangenen Wochen angekündigt, dass die Nutzung von Passkeys nun endlich auch mit der iCloud Keychain verwendbar ist.\nDas bedeutet, dass Passkeys geräteübergreifend (iPhone, iPad, Mac) synchronisiert werden und so die User Experience bei der Multifaktor-Authentifizierung in Entra ID weiter verbessern!\nWie diese Funktion im eigenen Tenant aktiviert wird, beschreiben wir nachfolgend:\nEntra ID öffnen und zu\n-\u0026gt; Authentication methods -\u0026gt; Passkey (FIDO2) -\u0026gt; Configure -\u0026gt; Edit default passkey profile\nwechseln.\nDort sind dann die Target types Device-bound sowie Synced (preview) zu aktivieren:\nIm Anschluss kann die Registrierung des Passkeys auf dem iOS Device unter https://aka.ms/mfasetup mit Auswahl der bekannten Option Security Key or Passkey durchgeführt werden.\nHinweis: Die o.g. Einstellung befindet sich aktuell in der Preview-Phase. Es kann daher sein, dass nicht alle Funktionalitäten vollumfänglich unterstützt werden!\n","permalink":"https://m365simple.de/posts/synced-passkeys-in-entra-id/","summary":"Passkey Sync in Entra ID jetzt auch mit iCloud Keychain Bis dato war die Nutzung von Passkeys auf iOS Devices nur mithilfe der Microsoft Authenticator App realisierbar. Microsoft hat in den vergangenen Wochen angekündigt, dass die Nutzung von Passkeys nun endlich auch mit der iCloud Keychain verwendbar ist.\nDas bedeutet, dass Passkeys geräteübergreifend (iPhone, iPad, Mac) synchronisiert werden und so die User Experience bei der Multifaktor-Authentifizierung in Entra ID weiter verbessern!","title":"Passkey Sync in Entra ID jetzt auch mit iCloud Keychain"},{"content":"In Exchange Online bleiben inaktive Postfächer häufig länger bestehen, weil verschiedene Holds oder Retention-Richtlinien sie vor der endgültigen Löschung schützen. Microsoft hat dafür einen neuen Ansatz vorgestellt: den PowerShell-Parameter ExcludeFromAllHolds. Er erleichtert das Entfernen von Aufbewahrungsmechanismen, ohne Compliance-Vorgaben zu verletzen.\n1 Set-Mailbox -Identity \u0026#34;\u0026lt;Mailbox\u0026gt;\u0026#34; -ExcludeFromAllHolds Was macht ExcludeFromAllHolds? Mit dem Parameter können Postfächer von nahezu allen Holds ausgeschlossen werden, sodass sie anschließend gelöscht werden können. Entscheidend ist:\nCompliance-kritische Holds wie Litigation Hold oder eDiscovery Holds bleiben weiterhin aktiv. Organisationale, userbasierte und zeitlich gesetzte Holds können dagegen automatisiert entfernt werden. Die Policies selbst werden nicht verändert – das Postfach wird lediglich von deren Wirkung ausgenommen. Nach der Ausführung werden alle nicht-rechtlichen Holds entfernt. Sobald keine weiteren Compliance-Stops mehr bestehen, kann das Postfach regulär gelöscht werden.\nWann ist das nützlich? Bereinigung vieler inaktiver Postfächer in größeren Umgebungen Entfernung ehemaliger Mitarbeiterpostfächer nach Abschluss aller Compliance-Fristen Automatisierte Lifecycle-Prozesse im Exchange- oder Identity-Management Reduzierung unnötiger Speicherlast durch verwaiste Mailboxen ","permalink":"https://m365simple.de/posts/exo-neue-option-fur-admins-excludefromallholds-erleichtert-mailbox-cleanup/","summary":"In Exchange Online bleiben inaktive Postfächer häufig länger bestehen, weil verschiedene Holds oder Retention-Richtlinien sie vor der endgültigen Löschung schützen. Microsoft hat dafür einen neuen Ansatz vorgestellt: den PowerShell-Parameter ExcludeFromAllHolds. Er erleichtert das Entfernen von Aufbewahrungsmechanismen, ohne Compliance-Vorgaben zu verletzen.\n1 Set-Mailbox -Identity \u0026#34;\u0026lt;Mailbox\u0026gt;\u0026#34; -ExcludeFromAllHolds Was macht ExcludeFromAllHolds? Mit dem Parameter können Postfächer von nahezu allen Holds ausgeschlossen werden, sodass sie anschließend gelöscht werden können. Entscheidend ist:\nCompliance-kritische Holds wie Litigation Hold oder eDiscovery Holds bleiben weiterhin aktiv.","title":"EXO: ExcludeFromAllHolds - Neue Option für Admins erleichtert Mailbox cleanup"},{"content":"Microsoft Baseline Security Mode\nEin klarer Sicherheitsrahmen für Office, SharePoint, Exchange, Teams und Entra\nWenn man ehrlich ist, erlebt man in Microsoft 365 immer wieder kleine Überraschungen. Einstellungen, die sich irgendwo ändern. Policies, die niemand mehr so richtig zuordnen kann. Und manchmal bleibt dieses Gefühl, dass die eigene Umgebung ein bisschen mehr Ordnung vertragen könnte. Genau dort beginnt der Baseline Security Mode zu wirken. Er bringt Ruhe in das System und verhindert, dass Sicherheit zu einem Glücksspiel wird.\nWas der Baseline Security Mode wirklich liefert\nDie Idee ist erstaunlich simpel. Microsoft definiert ein Sicherheitsniveau, das für die meisten Mandanten sinnvoll ist. Dieses Grundgerüst wird automatisch angewendet, ohne dass Admins hunderte Häkchen setzen müssen. Statt eines wilden Policy-Wirrwarrs entsteht ein Fundament, auf dem man sauber weiterbauen kann.\nGerade für Teams, die viele Services verwalten, fühlt sich das an wie ein aufgeräumter Werkzeugkasten. Nichts Spektakuläres, aber sehr wohltuend.\nDriftmanagement und Nachvollziehbarkeit\nWarum das inzwischen unverzichtbar ist\nEin großes Plus ist die Kontrolle über Konfigurationsabweichungen. Drift taucht in jedem Mandanten früher oder später auf. Ein Kollege passt eine Einstellung an, ein neues Feature überschreibt etwas, ein Pilotprojekt hinterlässt Spuren.\nMit dem Baseline Security Mode sieht man schneller, wo Policies abweichen und kann sie wieder einfangen. Die Umgebung bleibt konsistenter und deutlich besser überprüfbar.\nNachvollziehbarkeit steigt ebenfalls. Wer je erlebt hat, wie lange man nach einer verschwundenen Einstellung suchen kann, weiß, wie wertvoll ein sauberes Referenzniveau ist.\nMandantenfähigkeit\nEin Segen für große Organisationen und MSPs\nIm Multi-Tenant Umfeld sind einheitliche Standards Gold wert. Ohne sie entsteht in jedem Mandanten eine leicht andere Welt und Fehler wiederholen sich, als wären sie in Serie gefertigt.\nDer Baseline Security Mode sorgt dafür, dass alle Mandanten gleich starten. Das erleichtert Support, Audits, Vergleiche und Automatisierung. Auch Schulungsteams freuen sich, weil weniger Sonderfälle existieren.\nWie Office, SharePoint, Exchange, Teams und Entra profitieren\n• Office gewinnt an Klarheit, besonders beim Thema Makros. Weniger Chaos, weniger unerwartete Warnungen\n• SharePoint und OneDrive bekommen sinnvollere Freigabegrenzen und ein einheitliches Risikoniveau\n• Exchange Online verstärkt seinen Spam und Phishing Schutz\n• Teams verhindert Über-Offenheit bei externen Interaktionen\n• Entra sorgt für konsistente Identitätssicherheit, MFA und bessere Sign-in Regeln\nKurz gesagt: Jede App wirkt stabiler, weil die Grundkonfiguration stimmt.\nUnd wie steht das alles im Vergleich zu Microsoft Desired State Configuration (DSC) für M365?\nEin wichtiger Punkt, denn viele verwechseln beide Ansätze.\nBaseline Security Mode\n• liefert ein vordefiniertes, von Microsoft gepflegtes Sicherheitsniveau\n• ist leichtgewichtig und sofort einsatzbereit\n• setzt klare Minimalstandards, ohne alles zu fixieren\n• bietet gutes Driftmanagement, aber nicht auf Objekt-Ebene\n• eignet sich besonders für Organisationen, die eine stabile Grundlinie brauchen\nDSC für M365\n• ist ein echtes Konfigurationsframework\n• beschreibt den gewünschten Zustand einer ganzen Umgebung\n• kann sehr detailliert arbeiten und nahezu jede Einstellung festlegen\n• erfordert mehr Know-how und Pflege\n• ist perfekt für Automatisierung, CI Pipelines und streng regulierte Mandanten\nEinfach gesagt:\nDer Baseline Security Mode ist die solide Bodenplatte.\nDSC ist die Architekturzeichnung für das gesamte Gebäude.\nViele Unternehmen nutzen beides, allerdings mit unterschiedlichen Absichten. Die Baseline schützt sofort. DSC schafft langfristige Kontrolle und Reproduzierbarkeit.\nSituation / Anforderung\nBaseline Security Mode\nM365 Desired State Configuration (DSC)\nZielsetzung\nEinheitliches, sofort wirksames Sicherheitsniveau für alle Mandanten\nVollständige, reproduzierbare Konfigurationskontrolle über die gesamte M365 Umgebung\nKomplexität\nNiedrig, schnell aktivierbar\nHoch, erfordert Planung, Versionierung und Know-how\nDetaillierungsgrad\nGrobes Sicherheitsfundament; deckt Kernrisiken ab\nSehr granular; nahezu jede Einstellung kann definiert werden\nDriftmanagement\nErkannt wird nur Abweichung von der Baseline\nErkannt und automatisch korrigiert, wenn gewünscht\nAutomatische Korrektur\nNein, Hinweis auf Abweichung\nJa, kann Konfiguration wiederherstellen\nMandantenfähigkeit (MSPs / große Organisationen)\nStark, gleicher Startpunkt für alle Mandanten\nStark, aber aufwändiger; ideal für standardisierte Deployment Pipelines\nRegulatorische Anforderungen\nGut für allgemeine Sicherheitsstandards\nOptimal für streng regulierte Umfelder und Audits\nFlexibilität\nWeniger flexibel, da Microsoft das Baseline Level definiert\nVoll flexibel durch eigene Richtlinien und Definitionen\nPflegeaufwand\nGering\nMittel bis hoch, abhängig von Umfang und Automatisierung\nIdeal für\nUnternehmen, die eine klare Richtlinie ohne großen Setup benötigen\nOrganisationen, die Konfiguration versionieren, automatisieren und streng kontrollieren müssen\nPilotierungsaufwand\nMinimal\nNotwendig, besonders bei komplexen Mandanten\nEinsatz bei heterogenen Umgebungen\nSehr geeignet für Standardisierung\nNur dann sinnvoll, wenn konsequente Governance durchgesetzt wird\nInitiale Einrichtungsdauer\nMinuten\nStunden bis Wochen, abhängig vom Umfang\nLangfristige Governance\nGut für Stabilität, aber begrenzter Einfluss\nExzellent, da vollständige Konfigurationshistorie und Reproduzierbarkeit\nKurz gesagt Baseline Security Mode\n• schnelles, klares Sicherheitsfundament\n• ideal für fast alle Mandanten\n• ersetzt keine individuellen Policies, aber bringt Ordnung\nDSC\n• maximale Kontrolle, Versionierung und Automatisierung\n• perfekt für Enterprise-Governance, MSPs und regulierte Branchen\n• schafft ein echtes \u0026ldquo;Single Source of Truth\u0026rdquo; für Konfigurationen\nFazit\nEin ruhigerer Sicherheitsalltag für M365\nDer Baseline Security Mode reduziert Komplexität, sorgt für einheitliche Standards und verbessert die Transparenz im Mandanten. Er verhindert schleichende Abweichungen und erleichtert es Teams, sich wieder auf das Wesentliche zu konzentrieren.\nNatürlich ersetzt er nicht jede individuelle Policy. Und er wird nie so tief kontrollieren wie DSC. Aber er schafft einen Ausgangspunkt, an dem Sicherheit wieder überschaubar wirkt. Und manchmal ist genau das der größte Fortschritt.\n","permalink":"https://m365simple.de/posts/microsoft-baseline-security-mode-fur-office-sharepoint-exchange-teams-und-entra/","summary":"Microsoft Baseline Security Mode\nEin klarer Sicherheitsrahmen für Office, SharePoint, Exchange, Teams und Entra\nWenn man ehrlich ist, erlebt man in Microsoft 365 immer wieder kleine Überraschungen. Einstellungen, die sich irgendwo ändern. Policies, die niemand mehr so richtig zuordnen kann. Und manchmal bleibt dieses Gefühl, dass die eigene Umgebung ein bisschen mehr Ordnung vertragen könnte. Genau dort beginnt der Baseline Security Mode zu wirken. Er bringt Ruhe in das System und verhindert, dass Sicherheit zu einem Glücksspiel wird.","title":"Microsoft Baseline Security Mode für Office, SharePoint, Exchange, Teams und Entra"},{"content":"Azure Files mit Zonal Placement – weniger Latenz, mehr Stabilität Azure Files erhält mit der zonalen Platzierung ein Feature, das vielen Architekturen einen klaren Vorteil verschafft. Daten und Workloads können nun gezielt in derselben Availability Zone abgelegt werden, was Zugriffe beschleunigt und die Gesamtstabilität erhöhen kann. Microsoft führt damit eine Möglichkeit ein, die Infrastruktur näher aneinander zubringen.\nWas bringt das neue Modell? Kürzere Wege: Storage und Compute liegen räumlich näher beieinander, was Latenz verringert Bessere Ausfallsicherheit: Selbst wenn eine Zone Probleme hat, bleiben andere erreichbar Geringerer Overhead: Keine komplizierten Geo-Redundanz-Konstrukte nötig Worauf man achten sollte Zonal Placement funktioniert nur in Regionen mit mehreren Availability Zones. Ist die Zone überlastet oder nicht verfügbar, kann der Vorteil temporär entfallen. Außerdem bedeutet Nähe nicht immer Stabilität: Bei zonenübergreifenden Backups oder globalen Replikationen sind zusätzliche Überlegungen nötig.\nFazit Zonal Placement für Azure Files Premium bietet eine direkte Möglichkeit, Compute und Storage in derselben Availability Zone zu bündeln und so die Latenz spürbar zu reduzieren. Die Funktion steht in ausgewählten Regionen bereit, die sowohl Premium LRS als auch Availability Zones unterstützen. Wer neue Workloads aufsetzt oder bestehende Umgebungen optimiert, erhält damit einen klaren Hebel für mehr Kontrolle und höhere Verfügbarkeit.\n","permalink":"https://m365simple.de/posts/azure-files-mit-zonal-placement/","summary":"Azure Files mit Zonal Placement – weniger Latenz, mehr Stabilität Azure Files erhält mit der zonalen Platzierung ein Feature, das vielen Architekturen einen klaren Vorteil verschafft. Daten und Workloads können nun gezielt in derselben Availability Zone abgelegt werden, was Zugriffe beschleunigt und die Gesamtstabilität erhöhen kann. Microsoft führt damit eine Möglichkeit ein, die Infrastruktur näher aneinander zubringen.\nWas bringt das neue Modell? Kürzere Wege: Storage und Compute liegen räumlich näher beieinander, was Latenz verringert Bessere Ausfallsicherheit: Selbst wenn eine Zone Probleme hat, bleiben andere erreichbar Geringerer Overhead: Keine komplizierten Geo-Redundanz-Konstrukte nötig Worauf man achten sollte Zonal Placement funktioniert nur in Regionen mit mehreren Availability Zones.","title":"Azure Files mit Zonal Placement"},{"content":"Microsoft 365 rüstet Intune auf Was der Mittelstand von den neuen Funktionen wirklich hat Manchmal merkt man gar nicht, wie sehr man eine Erleichterung braucht, bis sie plötzlich vor einem liegt. Genau dieses Gefühl beschleicht viele IT-Teams gerade, denn Microsoft hat etwas getan, das im Mittelstand längst überfällig war: bestimmte erweiterte Intune-Funktionen werden direkt in Microsoft 365 E3 und E5 integriert. Keine zusätzlichen Add-ons, kein nerviges Jonglieren mit Lizenzmodellen. Einfach drin.\nUnd das ist spannender, als es auf den ersten Blick klingt.\nDenn wer eine gewachsene IT betreibt, kennt das Spiel: Geräteflotten, die aus den Nähten platzen, Sicherheitsanforderungen, die jeden Monat anspruchsvoller werden, und dazu der Wunsch, all das irgendwie zuverlässig, sicher und ohne Ballast zu bewegen. Genau hier setzt die Neuerung an.\nEin kurzer Blick auf die Ausgangslage Die IT im Mittelstand ist kein Experimentierfeld. Sie muss funktionieren, zuverlässig, vorhersehbar, wartbar. Gleichzeitig werden Endgeräte nicht weniger, sondern mehr. Smartphones, Laptops, Homeoffice-Workstations, vielleicht noch ein paar Rugged Devices im Außendienst.\nUnd dann kommt die Realität:\nPatchday ist da, aber nicht jeder Client meldet sich Zertifikate laufen aus Ein Nutzer braucht dringend Hilfe, sitzt aber 200 km entfernt Eine App hängt, aber keiner weiß warum Alles Punkte, die man mit guten Tools entschärfen kann, doch bisher waren viele dieser Werkzeuge im Microsoft-Ökosystem hinter zusätzlichen Lizenzen versteckt. Das ändert sich nun.\nDie Neuerungen im Überblick Microsoft öffnet Teile der Intune Suite für M365 E3 und E5 – und das sind genau die Funktionen, die IT-Abteilungen im Alltag am häufigsten vermissen.\nRemote Help Die vielleicht greifbarste Neuerung. Remote Support gehört zu jedem modernen Arbeitsplatz wie ein Sicherheitsgurt ins Auto.\nMit Remote Help kann die IT direkt und sicher auf Windows- oder Android-Geräte zugreifen. Das klingt banal, aber es löst gleich mehrere Schmerzen:\nSupport muss nicht mehr improvisieren Jeder Zugriff wird sauber protokolliert Identität und Compliance werden geprüft Außenstellen und Homeoffice-Mitarbeiter sind kein Sonderfall mehr Ehrlich gesagt: Viele mittelständische IT-Teams haben Remote Support bisher irgendwie zusammengeflickt. Jetzt gibt es es endlich sauber integriert.\nAdvanced Analytics Hier wird es leise technischer – und gleichzeitig ziemlich interessant.\nAdvanced Analytics sammelt Telemetriedaten zu Geräten und Anwendungen und hilft, Muster zu erkennen, bevor etwas eskaliert. Das ist ein bisschen wie ein Frühwarnsystem.\nWenn bestimmte Hardware häufiger Probleme macht, wenn eine App regelmäßig hängt oder wenn ein Patch auf 30 Geräten plötzlich länger als gewohnt bleibt – all das lässt sich früher erkennen.\nFür IT-Teams heißt das: weniger Rätselraten, mehr Gewissheit.\nApp-Schutz und MAM für gemischte Gerätewelten BYOD ist längst Realität, egal ob man es mag oder nicht. Und im Mittelstand sind private Geräte oft Türöffner für Schatten-IT.\nDie erweiterten App-Schutzrichtlinien in Intune Plan 2 schaffen hier Klarheit. Daten bleiben kontrolliert, auch wenn das Gerät dem Nutzer gehört. Kein erzwungenes Enrollment. Keine unnötige Hürde.\nEs ist eine pragmatische Lösung – und genau die braucht der Mittelstand.\nFür E5-Kunden gibt es zusätzlich ein paar Schwergewichte Nicht jeder Mittelständler nutzt E5, aber wer es tut, bekommt tatsächlich echten Gegenwert.\nEndpoint Privilege Management Mal ganz ehrlich: Die meisten Unternehmen vergeben immer noch zu viele lokale Adminrechte. Weil es bequem ist. Weil alte Anwendungen danach verlangen. Oder einfach, weil niemand ein besseres Konzept eingeführt hat.\nEndpoint Privilege Management bietet eine klare Alternative. Nutzer können bestimmte Aktionen temporär genehmigen lassen – ohne dass sie dauerhafte Adminrechte bekommen.\nWeniger Risiko, weniger Fehlkonfigurationen, weniger Schadenspotenzial.\nEnterprise Application Management Viele mittelständische IT-Teams kennen das Problem: Paketierung kostet Zeit, Nerven und manchmal sogar am Wochenende einige Stunden Schlaf.\nEAM liefert einen Katalog an vorgefertigten Apps, gepflegt und aktualisiert. Keine Paketierungsorgien mehr, keine veralteten Installationsquellen.\nMan muss es einfach sagen: jede Stunde, die man nicht mit MSI-Konfigurationen verbringt, kann man besser nutzen.\nCloud PKI Zertifikate sind ein Thema, das niemand wirklich liebt. Trotzdem hängen VPN, WLAN und viele Services daran.\nCloud PKI erspart den Betrieb einer eigenen PKI. Keine Zertifizierungsstellen mehr pflegen. Keine CRLs. Keine kaputten Templates.\nFür Unternehmen, die ihre Infrastruktur verschlanken wollen, ist das ein Geschenk.\nWarum das Ganze für den Mittelstand einen Unterschied macht So, was bedeutet dieser ganze Funktionskatalog nun praktisch für mittelständische Unternehmen?\nMehr als man denkt.\n1. IT-Landschaften werden einfacher Komplexität ist teuer. Microsoft reduziert sie jetzt an zentraler Stelle.\nMit der Integration dieser Tools müssen Unternehmen weniger Lösungen einführen, weniger pflegen und weniger erklären.\n2. Sicherheit bekommt ein stabiles Fundament Nicht sexy, aber enorm wichtig.\nMit Privilege Management, App-Schutz, besserem Support und sauberem Zertifikatsmanagement wird das Risiko spürbar kleiner.\n3. Weniger manuelle Arbeit Automatisierte Updates, vordefinierte App-Kataloge, vorausschauende Analysen – all das spart Zeit, die man an anderer Stelle dringend braucht.\n4. Endnutzer merken es auch Schnellerer Support\nWeniger Ausfälle\nStabilere Geräte\nIn vielen Unternehmen ist das der entscheidende Faktor, weil es die Stimmung hebt und die IT nicht länger als reiner Problemlöser wahrgenommen wird.\nEin kurzer Gedanke zum Schluss Ob Microsoft diese Änderungen aus Wettbewerbsdruck heraus vornimmt oder aus Überzeugung - schwer zu sagen. Wichtig ist nur: Der Mittelstand profitiert.\nDie Integration dieser erweiterten Intune-Funktionen in Microsoft 365 macht moderne Geräteverwaltung leichter zugänglich. Sie nimmt IT-Teams Last von den Schultern, schafft Ordnung in einer Welt, die immer digitaler wird, und stärkt die Sicherheit, ohne neue Hürden aufzubauen.\nManchmal braucht es nur ein paar gezielte Verbesserungen, damit sich ein komplexes System plötzlich viel verständlicher anfühlt. Intune ist auf einem guten Weg dahin.\nQuelle: https://techcommunity.microsoft.com/blog/microsoftintuneblog/microsoft-365-adds-advanced-microsoft-intune-solutions-at-scale/4474272\n","permalink":"https://m365simple.de/posts/microsoft-365-rustet-intune-auf/","summary":"Microsoft 365 rüstet Intune auf Was der Mittelstand von den neuen Funktionen wirklich hat Manchmal merkt man gar nicht, wie sehr man eine Erleichterung braucht, bis sie plötzlich vor einem liegt. Genau dieses Gefühl beschleicht viele IT-Teams gerade, denn Microsoft hat etwas getan, das im Mittelstand längst überfällig war: bestimmte erweiterte Intune-Funktionen werden direkt in Microsoft 365 E3 und E5 integriert. Keine zusätzlichen Add-ons, kein nerviges Jonglieren mit Lizenzmodellen. Einfach drin.","title":"Microsoft 365 rüstet Intune auf"},{"content":"Microsoft führt mit Auto Archive eine neue Funktion ein, die Exchange Online Postfächer automatisch vor dem Erreichen ihrer Speichergrenze schützt. Sobald ein Postfach 96 % seiner Quota erreicht, verschiebt Exchange automatisch ältere Elemente ins Archiv. So bleiben Postfächer funktionsfähig – ohne Eingreifen des Users oder Admins.\nWas gab es bisher? Vor Auto Archive standen Admins im Wesentlichen zwei Optionen zur Verfügung:\nManuelle Archivierung durch Benutzer\nNutzer konnten E-Mails manuell ins Archivpostfach verschieben – allerdings wenig zuverlässig und abhängig vom Nutzerverhalten. MRM-Richtlinien (Retention \u0026amp; Archive Tags)\nÜber Messaging Records Management konnten Unternehmen automatische Archivierungsregeln definieren, z. B. „nach 2 Jahren ins Archiv verschieben“.\nDiese Regeln arbeiten jedoch zeitbasiert und nicht abhängig vom Speicherstand eines Postfachs. Was ist neu? Echtzeitüberwachung des Speicherverbrauchs Bei \u0026gt;96 % Füllstand werden automatisch die ältesten Items ins Archiv gelagert Gilt für IPM-Ordner und Recoverable Items Respektiert „Never Move to Archive“-Tags Funktioniert nur, wenn ein Archivpostfach existiert Standardmäßig aktiviert für alle Tenants Rollout Public Preview: Mitte November – Anfang Dezember 2025 Worldwide Rollout: Januar 2026 Einstellungen für Admins Admins können:\nAuto Archive pro Postfach deaktivieren Den Schwellwert organisationsweit anpassen (80–100 %) Bei 100 % findet kein Auto Archive statt Für die meisten Organisationen ist kein Handlungsbedarf – das Feature reduziert Supportaufwand und schützt Mailflow automatisch.\n","permalink":"https://m365simple.de/posts/preview-automatische-archivierung-fur-exchange-online/","summary":"Microsoft führt mit Auto Archive eine neue Funktion ein, die Exchange Online Postfächer automatisch vor dem Erreichen ihrer Speichergrenze schützt. Sobald ein Postfach 96 % seiner Quota erreicht, verschiebt Exchange automatisch ältere Elemente ins Archiv. So bleiben Postfächer funktionsfähig – ohne Eingreifen des Users oder Admins.\nWas gab es bisher? Vor Auto Archive standen Admins im Wesentlichen zwei Optionen zur Verfügung:\nManuelle Archivierung durch Benutzer\nNutzer konnten E-Mails manuell ins Archivpostfach verschieben – allerdings wenig zuverlässig und abhängig vom Nutzerverhalten.","title":"Preview: Automatische Archivierung für Exchange Online"},{"content":"Azure Bastion macht’s leichter: RDP jetzt mit Entra ID Wenn RDP bislang eine gewisse Unsicherheit mitbrachte, lag das häufig an der Abhängigkeit von lokalen Konten. Genau hier setzt das neue Azure Bastion Update an. Microsoft hat die Entra ID basierte Authentifizierung für RDP direkt im Portal für Bastion freigeschaltet, was den bisherigen Ansatz deutlich modernisiert und lokale Konten ablösen kann.\nWas bringt das neue Feature? Keine lokalen Passwörter und keine vergessenen Admin-Credentials Entra ID übernimmt die Anmeldung und kappt damit eine klassische Angriffsfläche. Der Verbindungsaufbau wird deutlich einfacher Was ist dabei zu beachten? Die AADLoginForWindows Extension muss auf der VM aktiviert sein Der sich anmeldende User brauch eine der folgenden Berechtigungen: Virtual Machine Administrator Login: Wenn sich mit Administrator Berechtigungen angemeldet werden soll Virtual Machine User Login: Wenn sich mit normalen User Berechtigungen angemeldet werden soll Das Feature ist nur für Bastion Hosts, die höher als die Basic SKU konfiguriert sind Fazit Kurz gesagt: Azure Bastion mit Entra ID bietet ein überzeugendes Plus an Sicherheit und Komfort und setzt einen klaren Fortschritt im administrativen Zugang zu Windows VMs.\n","permalink":"https://m365simple.de/posts/preview-entra-id-support-fur-bastion-rdp-verbindungen/","summary":"Azure Bastion macht’s leichter: RDP jetzt mit Entra ID Wenn RDP bislang eine gewisse Unsicherheit mitbrachte, lag das häufig an der Abhängigkeit von lokalen Konten. Genau hier setzt das neue Azure Bastion Update an. Microsoft hat die Entra ID basierte Authentifizierung für RDP direkt im Portal für Bastion freigeschaltet, was den bisherigen Ansatz deutlich modernisiert und lokale Konten ablösen kann.\nWas bringt das neue Feature? Keine lokalen Passwörter und keine vergessenen Admin-Credentials Entra ID übernimmt die Anmeldung und kappt damit eine klassische Angriffsfläche.","title":"Preview: Entra ID Support für Bastion RDP Verbindungen"},{"content":"Microsoft hat auf der Ignite‑Konferenz 2025 einen Blick in die Zukunft der Endpoint‑Verwaltung geworfen: Security‑Copilot‑Agents für Intune. Diese KI‑gestützten Assistenten automatisieren Aufgaben rund um Geräte‑Offboarding, Richtlinienerstellung und Sicherheitsprüfungen. Im Folgenden stellen wir die vier Agents vor, erläutern ihre Stärken und zeigen auf, wo noch Grenzen liegen.\nWas sind Security‑Copilot‑Agents? Laut der offiziellen Dokumentation handelt es sich um AI‑Power‑Assistenten, die Admins repetitive Aufgaben abnehmen und die Sicherheit im Unternehmen erhöhen sollen.\nDie Vorschau umfasst vier Agents: den Change Review Agent, den Device Offboarding Agent, den Policy Configuration Agent und den Vulnerability Remediation Agent. Microsoft beschreibt diese Tools als Erweiterung der Security Copilot‑Funktionen innerhalb von Intune, die Endpunkt Schutz, Identitäts Management und Geräte Konfiguration automatisiert.\nDie einzelnen Agents im Überblick Change Review Agent Der Change Review Agent unterstützt Admins bei der Prüfung von Konfigurationsänderungen. Er analysiert geplante Skripte, erkennt potenzielle Risiken oder Konflikte und gibt Empfehlungen, bevor Änderungen wirksam werden. Laut der Dokumentation geht es darum, Risiken frühzeitig zu identifizieren und so die Sicherheitslage zu verbessern.\nVorteile Automatisierte Code‑Analyse verkürzt die Durchlaufzeiten bei Genehmigungen. Potentielle Konflikte werden vor dem Rollout erkannt, was zu weniger Fehlern in der Produktivumgebung führt. Der Agent hilft gerade in größeren Teams, den Überblick über komplexe Change‑Requests zu behalten. Grenzen Der Agent befindet sich noch in der Public Preview, daher ist die Qualität der Empfehlungen abhängig von der Trainingsbasis. Er ersetzt keine menschliche Validierung: bei unternehmenskritischen Änderungen müssen Admins weiterhin eigene Tests durchführen. 🔗 Change Review Agent Overview | Microsoft Learn\nDevice Offboarding Agent Der Device Offboarding Agent identifiziert überflüssige oder nicht mehr genutzte Endgeräte im Tenant und schlägt sichere Offboarding‑Schritte vor. Damit adressiert Microsoft eines der häufigsten Probleme in der Endpoint‑Verwaltung: verwaiste Geräte stellen ein Sicherheitsrisiko dar.\nVorteile Automatische Erkennung von veralteten oder unbenutzten Geräten spart Zeit. Schritt‑für‑Schritt‑Anleitungen minimieren das Risiko, dass sensible Daten auf stillgelegten Geräten zurückbleiben. Unterstützt Compliance‑Anforderungen, da verwaiste Geräte schneller entfernt werden. Grenzen Die Agent‑Analyse basiert auf Telemetriedaten, bei fehlender Datenqualität kann es zu falschen Einschätzungen kommen. Bei komplexen Offboarding‑Szenarien (z. B. BYOD‑Geräte) müssen manuelle Nacharbeiten erfolgen. 🔗 Get Started with the Device Offboarding Agent | Microsoft Learn\nPolicy Configuration Agent Der Policy Configuration Agent versteht natürliche Sprache und übersetzt sie in konkrete Intune‑Einstellungen. Er kann Vorgaben wie \u0026ldquo;Festplatten müssen zu 100% verschlüsselt sein\u0026rdquo; erfassen und passende Gerätekonfigurationen entwerfen.\nVorteile Verkürzt die Zeit vom Requirement zur fertigen Richtlinie enorm. Dokumente \u0026amp; Benchmarks importieren: Der Agent kann hochgeladene Dokumente oder Branchenstandards wie NIST‑Richtlinien analysieren und automatisch passende Einstellungen aus dem Intune‑Katalog zuordnen. Interne Richtlinien abbilden: Admins können auch eigene Compliance Vorgaben oder Baselines hochladen, wie etwa unternehmensinterne Sicherheitsrichtlinien. Der Agent zeigt auch hier relevante Einstellungen aus dem Intune‑Katalog und führt einen anschließend durch die Erstellung der Policy. Einsteigerfreundlich: auch weniger erfahrene Admins können Richtlinien mithilfe des Agents erstellen. Die Einbindung von Compliance‑Frameworks unterstützt dabei, unternehmerische Anforderungen systematisch umzusetzen. Grenzen Bei sehr spezifischen Anforderungen kann der Agent nur bedingt helfen, hier ist noch Fachwissen gefragt. Die Unterstützung für verschiedene Frameworks ist im Preview‑Status, es kann zu Lücken kommen. 🔗 Learn about Policy Configuration Agent and set it up | Microsoft Learn\nVulnerability Remediation Agent Der Vulnerability Remediation Agent konzentriert sich auf das Erkennen und Beheben von Schwachstellen in der Geräteflotte. Er analysiert Schwachstellen, priorisiert Risiken und empfiehlt passende Maßnahmen wie Patch‑Deployments oder Konfigurationsänderungen. Ziel ist es, Reaktionszeiten zu verkürzen und Sicherheitslücken schneller zu schließen.\nVorteile Schnelle Priorisierung hilft sich auf die wichtigsten Bedrohungen zu fokussieren. Automatisierte Handlungsempfehlungen erleichtern das Patch‑Management. Kann mit anderen Sicherheitsfunktionen wie Defender for Endpoint integriert werden. Grenzen Abhängig von der Aktualität der Schwachstellen Datenbanken, verpasste Einträge können zu Verzögerungen führen. Ersetzt nicht die Planung von Wartungsfenstern. Admins müssen Ausfallzeiten und Anforderungen berücksichtigen. 🔗 Vulnerability Remediation Agent Overview and Set Up | Microsoft Learn\nVorteile der Agents Die Security‑Copilot‑Agents bringen mehrere übergreifende Vorteile:\nEntlastung der IT‑Teams: Routineaufgaben wie Richtlinienerstellung oder Offboarding werden teilautomatisiert. Dadurch gewinnen Admins Zeit für andere wichtige Themen \u0026amp; Projekte. Verbesserte Sicherheit: Proaktive Erkennung von Risiken, z. B. durch den Change Review Agent, reduziert die Wahrscheinlichkeit von Fehlkonfigurationen. Bessere Compliance: Der Policy Configuration Agent integriert Compliance Frameworks in den Erstellungsprozess von Richtlinien \u0026amp; vereinfacht Audits. Grenzen \u0026amp; offene Fragen Trotz der spannenden Möglichkeiten gibt es einige Einschränkungen:\nPreview‑Status: Alle vier Agents befinden sich zum Veröffentlichungszeitpunkt (November 2025) in der öffentlichen Vorschau. Funktionen können sich ändern und der Produktivbetrieb sollte mit Vorsicht erfolgen. Datenschutz \u0026amp; Telemetrie: Die Agents benötigen umfangreiche Telemetrie, um Empfehlungen abzugeben. Unternehmen müssen prüfen, ob die Datenerhebung mit internen Richtlinien vereinbar ist. Lizenzierung: Für den Zugang zu den Agents ist Microsoft Intune erforderlich. Je nach Funktionsumfang könnten zusätzliche Lizenzkosten entstehen. Lizenzierung \u0026amp; Kosten Ein wichtiger Aspekt bei der Einführung der Security‑Copilot‑Agents ist die Lizenzierung und die damit verbundenen Kosten. Grundsätzlich gilt:\nInklusivleistung für E5‑Kunden: Microsoft stellt Security Copilot samt der Agent‑Funktionen ohne Aufpreis allen Microsoft 365 E5‑Kunden zur Verfügung. Jede M365 E5‑Lizenz enthält ein monatliches Kontingent an sogenannten Security Compute Units (SCUs) - 400 SCUs pro 1000 Benutzerlizenzen, maximal 10 000 SCUs pro Tenant. Das Kontingent soll typische Nutzungsszenarien abdecken, ungenutzte SCUs verfallen am Monatsende. Zusätzliche oder eigenständige Nutzung: Wenn das inkludierte SCU‑Kontingent nicht reicht oder man Security Copilot ohne E5 abonniert, fällt eine nutzungs‑ bzw. kapazitätsbasierte Gebühr an. Provisionierte SCUs (also fest reservierte Kapazität) kosten 4$ pro SCU und Stunde, Überlauf‑SCUs (bei Lastspitzen) 6$ pro Stunde. Microsoft empfiehlt, den Bedarf sorgfältig zu planen und nur bei Bedarf hochzuskalieren. Wie viele SCUs man benötigt, lässt sich mit dem Security Copilot Capacity Calculator ermitteln. ","permalink":"https://m365simple.de/posts/securitycopilotagents-intune/","summary":"Microsoft hat auf der Ignite‑Konferenz 2025 einen Blick in die Zukunft der Endpoint‑Verwaltung geworfen: Security‑Copilot‑Agents für Intune. Diese KI‑gestützten Assistenten automatisieren Aufgaben rund um Geräte‑Offboarding, Richtlinienerstellung und Sicherheitsprüfungen. Im Folgenden stellen wir die vier Agents vor, erläutern ihre Stärken und zeigen auf, wo noch Grenzen liegen.\nWas sind Security‑Copilot‑Agents? Laut der offiziellen Dokumentation handelt es sich um AI‑Power‑Assistenten, die Admins repetitive Aufgaben abnehmen und die Sicherheit im Unternehmen erhöhen sollen.","title":"Security‑Copilot‑Agents für Intune"},{"content":"Cloud-Native Fileserver ohne On-Premises Microsoft hat angekündigt, dass Azure Files ab sofort im Public Preview vollständig mit Entra-Only Identitäten genutzt werden kann. Das bedeutet: Unternehmen können auf SMB-Shares in Azure Files zugreifen – ganz ohne lokale Domain-Controller, ohne Hybrid-Identitäten, ohne VPN.\nDamit wird Azure Files erstmals wirklich cloud-native.\nWas bringt das neue Feature? Cloud-Identitäten reichen aus: Zugriff via SMB funktioniert jetzt allein mit Microsoft Entra ID Kein Storage-Key-Chaos mehr: Administratoren können per RBAC Share-Zugriffe verwalten. Ideal für moderne Arbeitsmodelle: Remote-Teams, Thin Clients und verteilte Standorte greifen einfach über das Internet zu. Weniger Komplexität \u0026amp; Kosten: Keine AD-Replikation, kein AAD-Connect, kein On-Premises-Overhead. Warum ist das relevant? Für viele Unternehmen – besonders im Mittelstand – ist dies ein großer Schritt:\nAzure Files wird zum vollwertigen Ersatz für klassische File-Server, ohne dass Domain-Infrastruktur weitergeführt werden muss. Gleichzeitig stärkt es Zero-Trust- und Cloud-First-Strategien.\nWas ist zu beachten? Die Funktion ist aktuell Public Preview. Granulare NTFS Berechtigungen für Entra-Identitäten folgen noch. Ideal für Pilotprojekte und die Vorbereitung auf eine zukünftige cloud-native Infrastruktur. ","permalink":"https://m365simple.de/posts/preview-azure-files-jetzt-mit-entra-only-identitaten/","summary":"Cloud-Native Fileserver ohne On-Premises Microsoft hat angekündigt, dass Azure Files ab sofort im Public Preview vollständig mit Entra-Only Identitäten genutzt werden kann. Das bedeutet: Unternehmen können auf SMB-Shares in Azure Files zugreifen – ganz ohne lokale Domain-Controller, ohne Hybrid-Identitäten, ohne VPN.\nDamit wird Azure Files erstmals wirklich cloud-native.\nWas bringt das neue Feature? Cloud-Identitäten reichen aus: Zugriff via SMB funktioniert jetzt allein mit Microsoft Entra ID Kein Storage-Key-Chaos mehr: Administratoren können per RBAC Share-Zugriffe verwalten.","title":"Preview: Azure Files jetzt mit Entra-Only Identitäten"},{"content":"Conditional Access Compliant Network check: SharePoint Online Anmeldefehler Ausgangsituation:\nGlobal Secure Access Internet Access wird in Verbindung mit Conditional Access zur Abfrage der Compliant Network Location eingesetzt. Das bedeutet, dass der zugreifende Client für den Zugriff auf M365-Apps zwingend über das Global Secure Access Network zugreifen muss.\nAlle anderen zugreifenden IP-Adressen werden entsprechend an der Anmeldung gehindert.\nDie CA-Policy wurde wie folgt angelegt:\nSonderfall: SharePoint Online Problematisch wurde nach Einschalten der CA Location-Policy der User-Zugriff auf SharePoint Online-Services (SharePoint Web, Teams Dateien Tab, OneDrive for Businss Web) über das Windows Betriebssystem.\nDas Fehlerbild sah wie folgt aus:\nTrotz Eingabe der Anmeldedaten konnte die Authentifizierung nicht erfolgreich durchgeführt werden.\nBugfix durch den Microsoft-Support Da die Recherche keinerlei weitere Fortschritte brachte, wurde zu guter Letzt ein Ticket bei Microsoft eröffnet. Dem Support war das Fehlerbild sofort bekannt und so konnte sehr schnell ein Lösungsvorschlag angeboten werden.\nSchnell wurde eine Einstellung im Session Management der GSA-Konfiguration als Fehlerursache ausgemacht.\nEinstellung im Kunden-Tenant:\nEinstellung im Kunden-Tenant nach Bugfix durch den Microsoft-Support:\nDurch die Bereitstellung einer \u0026ldquo;modifizierten\u0026rdquo; URL für den Zugriff auf das GSA Session Management konnte nachfolgendes Setting aktiviert werden:\nMittels nachfolgender URL kann das PREVIEW-Feature im Tenant aktiviert werden:\nhttps://entra.microsoft.com/?GSAOfficePreview=true\u0026amp;amp;Microsoft_Azure_Network_Access=stage1#view/Microsoft_Azure_Network_Access/Security.ReactView\nHinweis: Laut Microsoft-Support sollte dieser (bekannte) Bug bereits in den meisten M365-Tenants abgeschaltet sein.\n","permalink":"https://m365simple.de/posts/gsa-internet-access-conditional-access-sharepoint-fehler/","summary":"Conditional Access Compliant Network check: SharePoint Online Anmeldefehler Ausgangsituation:\nGlobal Secure Access Internet Access wird in Verbindung mit Conditional Access zur Abfrage der Compliant Network Location eingesetzt. Das bedeutet, dass der zugreifende Client für den Zugriff auf M365-Apps zwingend über das Global Secure Access Network zugreifen muss.\nAlle anderen zugreifenden IP-Adressen werden entsprechend an der Anmeldung gehindert.\nDie CA-Policy wurde wie folgt angelegt:\nSonderfall: SharePoint Online Problematisch wurde nach Einschalten der CA Location-Policy der User-Zugriff auf SharePoint Online-Services (SharePoint Web, Teams Dateien Tab, OneDrive for Businss Web) über das Windows Betriebssystem.","title":"GSA Internet Access - Conditional Access SharePoint Fehler"},{"content":"Azure SQL Managed Instance: Next-Gen General Purpose – Was ist neu? Mit der neuen Azure SQL Managed Instance der nächsten Generation kommen Verbesserungen, die die Verwaltung von SQL-Umgebungen erheblich vereinfachen und gleichzeitig die Leistung steigern. Doch was genau ist alles neu?\nNeue Features – Mehr Leistung und Flexibilität für Ihre SQL-Datenbanken Die neue Azure SQL Managed Instance für General Purpose bietet nicht nur eine verbesserte Performance, sondern auch eine höhere Flexibilität durch das Trennen von Compute und Storage, ein besseres Preis-Leistungs-Verhältnis und deutlich bessere Skalierbarkeit und Verfügbarkeit, was gerade in dynamischen IT-Umgebungen von entscheidender Bedeutung ist.\nNeuer Storage im Backend Der Storage setzt nun vollständig statt klassischer Premium Page Blobs auf Azure Elastic SAN, was eine höhere Leistung und starke Skalierung bietet. Dadurch entfällt die Begrenzung pro Datenbankdatei, denn die Instanz teilt sich ein gemeinsames Performance Kontingent. Das macht die Verwaltung deutlich einfacher und sorgt für ein Handling, das dem Business Critical Tier sehr ähnlich ist.\nNeue Flexibilität Die neue SKU bringt einen neuen Memory Slider mit, der bis zu 49 mögliche Speicher­konfigurationen pro Instance erlaubt. So können Workloads sehr präzise an Leistungs- und Kostenanforderungen angepasst werden. vCores, Arbeitsspeicher und IOPS lassen sich jetzt unabhängig voneinander einstellen, was das Feintuning deutlich erleichtert. Die meisten Änderungen sind in etwa fünf Minuten erledigt. Je nach Art der Anpassung gibt es drei Wege: ein echtes In-place Update ohne Datenkopie, ein Re-attach mit Failover oder ein Upgrade mit vollständiger Datenkopie.\nQuellen: https://techcommunity.microsoft.com/blog/AzureSQLBlog/generally-available-azure-sql-managed-instance-next-gen-general-purpose/4470970\n","permalink":"https://m365simple.de/posts/azure-sql-managed-instance-next-gen-general-purpose/","summary":"Azure SQL Managed Instance: Next-Gen General Purpose – Was ist neu? Mit der neuen Azure SQL Managed Instance der nächsten Generation kommen Verbesserungen, die die Verwaltung von SQL-Umgebungen erheblich vereinfachen und gleichzeitig die Leistung steigern. Doch was genau ist alles neu?\nNeue Features – Mehr Leistung und Flexibilität für Ihre SQL-Datenbanken Die neue Azure SQL Managed Instance für General Purpose bietet nicht nur eine verbesserte Performance, sondern auch eine höhere Flexibilität durch das Trennen von Compute und Storage, ein besseres Preis-Leistungs-Verhältnis und deutlich bessere Skalierbarkeit und Verfügbarkeit, was gerade in dynamischen IT-Umgebungen von entscheidender Bedeutung ist.","title":"Azure SQL Managed Instance: Next-Gen General Purpose"},{"content":"Demodaten in Odoo: So baust du sie richtig Hey, kennst du das? Du entwickelst ein neues Modul, alles läuft lokal wie geschmiert, und sobald du es auf einem frischen Odoo installierst — peng, keine Demodaten. Oder noch schlimmer: Die Tests schlagen fehl, weil irgendwas mit den Abhängigkeiten nicht stimmt. Frust pur. Deshalb lass uns heute mal ganz entspannt durchgehen, wie man Demodaten in Odoo wirklich sauber hinbekommt.\nXML ist dein Freund — aber nur, wenn du ihn richtig fütterst Demodaten gehören in Odoo traditionell in XML-Dateien im Ordner data oder demo. Der Unterschied? data wird bei jedem Update geladen, demo nur, wenn das Modul in einer Datenbank mit eingeschalteten Demo-Daten installiert wird. Für echte Demodaten also fast immer demo/.Ein simples Beispiel für einen Partner:\n1 2 3 4 5 \u0026lt;record id=\u0026#34;demo_partner_1\u0026#34; model=\u0026#34;res.partner\u0026#34;\u0026gt; \u0026lt;field name=\u0026#34;name\u0026#34;\u0026gt;Max Mustermann GmbH\u0026lt;/field\u0026gt; \u0026lt;field name=\u0026#34;email\u0026#34;\u0026gt;max@mustermann.de\u0026lt;/field\u0026gt; \u0026lt;field name=\u0026#34;is_company\u0026#34;\u0026gt;True\u0026lt;/field\u0026gt; \u0026lt;/record\u0026gt; Nichts Besonderes. Aber jetzt wird\u0026rsquo;s interessant.\nReferenzieren wie ein Profi — external IDs sind Gold wert Du willst, dass dein Demo-Produkt automatisch dem eben erstellten Partner zugewiesen wird? Dann brauchst du externe IDs.\n1 2 3 4 5 \u0026lt;record id=\u0026#34;demo_product_42\u0026#34; model=\u0026#34;product.template\u0026#34;\u0026gt; \u0026lt;field name=\u0026#34;name\u0026#34;\u0026gt;Super Produkt 3000\u0026lt;/field\u0026gt; \u0026lt;field name=\u0026#34;default_supplier_id\u0026#34; ref=\u0026#34;demo_partner_1\u0026#34;/\u0026gt; ... \u0026lt;/record\u0026gt; Mit ref=\u0026quot;modulename.external_id\u0026quot; greifst du auf alles zu, was vorher geladen wurde. Und genau da kommt die Reihenfolge ins Spiel.\nDie manifest.py ist kein Wunschkonzert — Reihenfolge ist alles Wenn du mehrere Demo-Dateien hast, z. B. erst Partner, dann Produkte, dann Verkaufsaufträge, musst du das in der manifest.py explizit angeben:\n1 2 3 4 5 \u0026#34;demo\u0026#34;: [ \u0026#34;demo/partner_demo.xml\u0026#34;, \u0026#34;demo/product_demo.xml\u0026#34;, \u0026#34;demo/sale_order_demo.xml\u0026#34;, ], Warum das so wichtig ist? Odoo lädt genau in dieser Reihenfolge. Wenn dein Sale Order auf ein Produkt verweist, das erst später kommt — ReferenceError. Game over. Das Modul wird weiter installiert - jedoch ohne Demodaten.\nWenn XML allein nicht reicht — Python-Funktionen direkt aus der XML aufrufen Manchmal brauchst du komplexere Logik: Preise berechnen, Seriennummern generieren, Angebote validieren. Dafür gibt\u0026rsquo;s:\n1 2 3 4 \u0026lt;function model=\u0026#34;sale.order\u0026#34; name=\u0026#34;action_confirm\u0026#34; eval=\u0026#34;[[ ref(\u0026#39;sale_order_1\u0026#39;), ref(\u0026#39;sale_order_2\u0026#39;), ]]\u0026#34;/\u0026gt; Funktioniert super — und wird genau dann ausgeführt, wenn die XML-Datei dran ist.\nUnit-Tests nicht kaputt machen – die goldene Regel Odoo hat eine Menge eigener Unit-Tests, die auf den Standard-Demodaten von base, sale, stock \u0026amp; Co. laufen. Wenn du jetzt einfach ein neues Produkt in die Kategorie „All“ oder „All / Saleable“ reinhaust, kann es passieren, dass ein Unit Test Abrechnungsdaten zu einem Produkt ändern will und dieses für bestehende Produkte nicht mehr erlaubt ist. Lösung: Leg dir eigene Demo-Kategorien an. Ja, wirklich. Auch wenn’s ein bisschen mehr Arbeit ist.\nBonus: Demo-Konfigurationen, die wirklich was bringen Willst du nicht nur Daten, sondern gleich eine lauffähige Konfiguration? Dann pack alles in demo/settings.xml:\n1 2 3 4 \u0026lt;record model=\u0026#34;ir.config_parameter\u0026#34; id=\u0026#34;sale_coupon\u0026#34; forcecreate=\u0026#34;False\u0026#34;\u0026gt; \u0026lt;field name=\u0026#34;key\u0026#34;\u0026gt;custom_module.sale_coupon\u0026lt;/field\u0026gt; \u0026lt;field name=\u0026#34;value\u0026#34;\u0026gt;True\u0026lt;/field\u0026gt; \u0026lt;/record\u0026gt; Wird nur im Demo-Modus geladen — perfekt für Kunden-Demos, Tests oder Screenshots.\nFazit? Nicht kompliziert, aber verdammt wichtig Saubere Demodaten sind kein Nice-to-have. Sie sind der Unterschied zwischen \u0026ldquo;läuft bei mir\u0026rdquo; und \u0026ldquo;läuft beim Kunden\u0026rdquo;. Nimm dir die zehn Minuten, ordne deine Dateien richtig, nutze externe IDs konsequent und denk an die Tests. Und ehrlich gesagt — wenn du das einmal verinnerlicht hast, willst du nie wieder ohne.\n","permalink":"https://m365simple.de/posts/erstellen-von-odoo-demodaten/","summary":"Demodaten in Odoo: So baust du sie richtig Hey, kennst du das? Du entwickelst ein neues Modul, alles läuft lokal wie geschmiert, und sobald du es auf einem frischen Odoo installierst — peng, keine Demodaten. Oder noch schlimmer: Die Tests schlagen fehl, weil irgendwas mit den Abhängigkeiten nicht stimmt. Frust pur. Deshalb lass uns heute mal ganz entspannt durchgehen, wie man Demodaten in Odoo wirklich sauber hinbekommt.\nXML ist dein Freund — aber nur, wenn du ihn richtig fütterst Demodaten gehören in Odoo traditionell in XML-Dateien im Ordner data oder demo.","title":"Erstellen von Odoo Demodaten"},{"content":"Ich habe mich schon oft gefragt, warum wir 2025 immer noch so viele Dateien per E Mail verschicken. Mit der neuen Funktion in Microsoft Teams könnte sich das bald ändern. Dateien lassen sich direkt im Chat mit externen Nutzern teilen, ohne Workarounds und ohne Medienbrüche.\nWas ist neu? Dateien und Loop Komponenten können in 1:1 , Gruppen und Meeting Chats direkt mit externen Nutzern geteilt werden. Die Zusammenarbeit bleibt im Kontext des Chats, statt zwischen Teams und E Mail hin und her zu springen.\nWas sollte man beachten? Das Feature ist standardmäßig deaktiviert und muss aktiv eingeschaltet werden, um genutzt werden zu können. Bei der Aktivierung werden alle bestehenden Freigabeeinstellungen für Dateien berücksichtigt, sodass keine zusätzlichen Berechtigungen umgangen werden. Anstelle eines klassischen Dateianhangs wird ein Link zur Datei versendet, wodurch die Zugriffskontrolle weiterhin über die ursprünglichen Freigabeeinstellungen erfolgt.\nDie Aktivierung erfolgt in den Teams Files Policies über die Einstellung FileSharingInChatswithExternalUsers, über die gesteuert wird, ob Dateien in Chats mit externen Nutzern geteilt werden dürfen.\n1 2 3 Connect-MicrosoftTeams Set-CsTeamsFilesPolicy -Identity \u0026lt;PolicyName\u0026gt; -FileSharingInChatswithExternalUsers Enabled Get-CsTeamsFilesPolicy Wichtig ist es mir zu erwähnen, dass mit der Funktion die Hemmschwelle sinkt, Dateien per Chat zu senden statt per E-Mail. Dadurch steigt die Notwendigkeit, Klassifizierung, Sensitivitätskennzeichnungen und Compliance-Richtlinien konsequent umzusetzen. Wer die Dateifreigabe nach außen vereinfacht, muss sicherstellen, dass sensible Inhalte geschützt bleiben und alle Sicherheits- sowie Datenschutzvorgaben eingehalten werden.\nRollout Zeitraum Die Funktion wird ab November 2025 allgemein für Teams auf Desktop, Mac und im Web ausgerollt.\nQuelle Roadmap ID 492625 (Microsoft 365-Roadmap | Microsoft 365)\n","permalink":"https://m365simple.de/posts/neu-dateifreigabe-mit-externen-nutzern-in-teams-chats/","summary":"Ich habe mich schon oft gefragt, warum wir 2025 immer noch so viele Dateien per E Mail verschicken. Mit der neuen Funktion in Microsoft Teams könnte sich das bald ändern. Dateien lassen sich direkt im Chat mit externen Nutzern teilen, ohne Workarounds und ohne Medienbrüche.\nWas ist neu? Dateien und Loop Komponenten können in 1:1 , Gruppen und Meeting Chats direkt mit externen Nutzern geteilt werden. Die Zusammenarbeit bleibt im Kontext des Chats, statt zwischen Teams und E Mail hin und her zu springen.","title":"Neu: Dateifreigabe mit externen Nutzern in Teams Chats"},{"content":"Odoo Chatter-Nachrichten aus deinem eigenen Modul schreiben – so geht’s wirklich Hey, stell dir vor: Du bastelst an deinem eigenen Odoo-Modul und willst plötzlich, dass irgendwo eine Nachricht im Chatter auftaucht. Nicht manuell über die UI, sondern direkt aus deinem Python-Code. Kennst du das Gefühl, wenn du ewig suchst und dann feststellst – ach, eigentlich ist es total simpel? Genau das passiert mir jedes Mal bei message_post.\nDie magische message_post-Methode Die Methode, die alles kann, heißt message_post. Sie hängt an jedem Record, der mail.thread erbt. Ein kleines Beispiel aus dem echten Leben:\n1 2 3 4 5 6 7 8 self.message_post( body=\u0026#34;Der Auftrag wurde gerade freigegeben – juhu!\u0026#34;, subject=\u0026#34;Auftrag freigegeben\u0026#34;, author_id=self.env.ref(\u0026#39;base.partner_root\u0026#39;).id # zum setzen des Autors message_type=\u0026#34;notification\u0026#34;, # oder \u0026#34;comment\u0026#34; subtype_xmlid=\u0026#34;mail.mt_note\u0026#34;, # oder \u0026#34;mail.mt_comment\u0026#34; für @mentions partner_ids=[some_partner.id], # damit jemand benachrichtigt wird ) Fertig. Die Nachricht landet sofort im Chatter, mit Avatar, Zeitstempel, allem Drum und Dran. Ehrlich gesagt, ich nutze das ständig in Wizards, Scheduler-Jobs oder bei automatischen Statuswechseln. Plötzlich fühlt sich dein Custom-Modul wie ein echter Teil von Odoo an.\nWenn deine Modelle noch keinen Chatter haben Manchmal erbst du ein Modul von Odoo, und das Model hat weder Chatter noch Aktivitäten. Null. Nada. Niente. Dann machst du einfach:\n1 2 3 4 5 from odoo import models class MyShinyModel(models.Model): _name = \u0026#39;my.shiny.model\u0026#39; _inherit = [\u0026#39;my.shiny.model\u0026#39;, \u0026#39;mail.thread\u0026#39;, \u0026#39;mail.activity.mixin\u0026#39;] Boom – ab sofort kannst du message_post benutzen und hast auch das Aktivitäten-Feature dabei. Beides wird gebraucht, damit der Chatter später auch im UI angezeigt werden kann.\nDas Chatter-Widget rechts im Formular anzeigen Jetzt der Teil, der viele nervt: Du hast alles technisch korrekt, aber im Formular siehst du… nichts. Kein Chatter rechts. Die Lösung ist lächerlich kurz:\n1 2 3 4 5 6 7 8 9 \u0026lt;record id=\u0026#34;view_my_shiny_model_form\u0026#34; model=\u0026#34;ir.ui.view\u0026#34;\u0026gt; \u0026lt;field name=\u0026#34;name\u0026#34;\u0026gt;my.shiny.model.form\u0026lt;/field\u0026gt; \u0026lt;field name=\u0026#34;model\u0026#34;\u0026gt;my.shiny.model\u0026lt;/field\u0026gt; \u0026lt;field name=\u0026#39;arch\u0026#39; type=\u0026#39;xml\u0026#39;\u0026gt; \u0026lt;xpath expr=\u0026#39;//form/sheet\u0026#39; position=\u0026#39;after\u0026#39;\u0026gt; \u0026lt;chatter/\u0026gt; \u0026lt;/xpath\u0026gt; \u0026lt;/field\u0026gt; \u0026lt;/record\u0026gt; Kleiner Bonus-Tipp aus der Praxis Wenn du message_post in einer create oder write-Override aufrufst, pass auf Kontext-Schleifen auf. Manchmal triggert die Nachricht wieder eine write-Methode – dann hast du plötzlich Endlosschleifen. Einfach self.with_context(mail_create_nosubscribe=True) oder mail_notrack=True dazupacken, und alles bleibt ruhig.\nSo, jetzt hast du wirklich alles, was du brauchst, um aus jedem noch so obskuren Custom-Modul Chatter-Nachrichten rauszufeuern und sie auch schön anzuzeigen. Probier’s direkt aus – und erzähl mir gerne, wo du’s eingebaut hast. Ich bin gespannt!\n","permalink":"https://m365simple.de/posts/odoo-chatter-nachrichten/","summary":"Odoo Chatter-Nachrichten aus deinem eigenen Modul schreiben – so geht’s wirklich Hey, stell dir vor: Du bastelst an deinem eigenen Odoo-Modul und willst plötzlich, dass irgendwo eine Nachricht im Chatter auftaucht. Nicht manuell über die UI, sondern direkt aus deinem Python-Code. Kennst du das Gefühl, wenn du ewig suchst und dann feststellst – ach, eigentlich ist es total simpel? Genau das passiert mir jedes Mal bei message_post.\nDie magische message_post-Methode Die Methode, die alles kann, heißt message_post.","title":"Odoo Chatter-Nachrichten"},{"content":"Azure führt vCore Customization ein: Relevante Informationen zum neuen VM-Feature Bei vielen VM-Größen ist die Anzahl der vCPUs fest an Speicher und I/O gekoppelt, wodurch häufig mehr Kerne bereitgestellt werden als tatsächlich erforderlich sind. Dies wirkt sich auf Leistung und Lizenzkosten aus. Das neue Azure Feature in der öffentlichen Vorschau adressiert diese Einschränkung: Erstmals lassen sich aktive vCPUs gezielt reduzieren und Simultaneous Multithreading deaktivieren, während Speicher- und I/O-Kapazitäten unverändert bestehen bleiben.\nRelevanz für anspruchsvolle Workloads Zahlreiche Datenbanken und Analyseprozesse erzielen bessere Ergebnisse mit starker Single-Thread-Leistung statt zusätzlichen logischen Threads. Bei SQL-Server-Lizenzierungen spielt die Kernanzahl zudem eine zentrale Rolle. Durch die Anpassung der vCPU-Konfiguration bleibt die VM-Größe hinsichtlich RAM und Bandbreite erhalten, während die Kernzahl flexibel definiert werden kann. Dadurch ergeben sich:\nhöhere Single-Thread-Performance durch deaktiviertes SMT geringere Lizenzkosten aufgrund einer reduzierten Kernzahl unverändert hohe Speicher- und I/O-Kapazitäten großer VM-Größen Vorgehensweise für die Einführung Prüfung der unterstützten VM-Größen, Regionen und Images hinsichtlich vCore Customization Durchführung von Leistungstests, da Workloads unterschiedlich auf deaktiviertes Hyperthreading reagieren Analyse der Lizenzmodelle, insbesondere bei BYOL-Szenarien, um Kostenvorteile optimal auszuschöpfen Wichtige Hinweise Die Funktion befindet sich in der Preview und ist nur in ausgewählten Regionen und VM-Serien verfügbar Performancegewinne variieren je nach Anwendung Lizenzregelungen müssen vor Anpassungen geprüft werden Speicher-, Bandbreiten- und I/O-Werte bleiben unverändert Registrierung Die Teilnahme an der öffentlichen Vorschau ist hier möglich:\nhttps://techcommunity.microsoft.com/blog/azurecompute/announcing-preview-of-vcore-customization-disable-multithreading\u0026ndash;configurable-c/4462417\n","permalink":"https://m365simple.de/posts/azure-vm-vcore-customization/","summary":"Azure führt vCore Customization ein: Relevante Informationen zum neuen VM-Feature Bei vielen VM-Größen ist die Anzahl der vCPUs fest an Speicher und I/O gekoppelt, wodurch häufig mehr Kerne bereitgestellt werden als tatsächlich erforderlich sind. Dies wirkt sich auf Leistung und Lizenzkosten aus. Das neue Azure Feature in der öffentlichen Vorschau adressiert diese Einschränkung: Erstmals lassen sich aktive vCPUs gezielt reduzieren und Simultaneous Multithreading deaktivieren, während Speicher- und I/O-Kapazitäten unverändert bestehen bleiben.","title":"Azure VM vCore Customization"},{"content":"Microsoft hat im Oktober 2025 still und leise ein neues Feature herausgebracht: „Silent Test Call“. Es klingt unspektakulär, ist aber für viele Unternehmen ein praktisches Werkzeug.\nHierbei werden Anrufe im Hintergrund simuliert. Dies ist allerdings für den User nicht zu bemerken. Kein Pop-up, kein Ton, kein Symbol. Der Test läuft, misst die Verbindung, speichert die Daten – und fertig.\nWarum das Ganze? Teams ist für viele Organisationen ein wichtiger Baustein in der täglichen Kommunikation mit internen und externen Partnern. Dabei ist Teams auf die unterliegende Netzwerkinfrastruktur angewiesen. Das Troubleshooting von schlechter Gesprächsqualität ist dabei alles andere als einfach. Hier kommt die neue Test-Funktion zum Einsatz.\nDiese läuft automatisch, rund eine Minute lang, und überprüft, ob Netzwerk, Hardware und Audio zusammenspielen. Die Idee dahinter ist, dass Probleme sichtbar werden, bevor sie auftreten.\nNur für Premium – vorerst\nDie Funktion ist Teil von Teams Premium und steht zunächst für Windows- und macOS-Clients bereit. Microsoft rollt sie schrittweise aus: ab September 2025 für Targeted Release-Tenants, weltweit dann bis Anfang Dezember.\nIm Admin Center lassen sich die Tests einsehen und steuern, inklusive Zuordnung zu bestimmten Subnetzen um z.B. Filialen, große Büros oder Meetingräume mit bekannten Problemen identifizieren zu können.\nWas sich daraus ergibt\nStatt nur zu reagieren, kann die Infrastruktur kontinuierlich überprüft werden. Wenn sich etwa auffällige Werte häufen, lassen sich Engpässe erkennen, bevor das Problem durch Benutzer gemeldet wird.\nNatürlich hängt der Nutzen stark von der Umsetzung ab: Wer keine klare Datenbewertung hat oder Subnetze zu weit fasst, wird wenig daraus gewinnen. Aber richtig eingesetzt kann die Funktion Supportzeiten verkürzen und die Servicequalität verbessern.\nEin paar offene Punkte\nDie Lizenzpflicht schränkt den Kreis der Nutzer leider ein und auch die Interpretation der Messergebnisse erfordert technisches Verständnis. Außerdem bleibt abzuwarten, wie zuverlässig die Tests in komplexen Umgebungen funktionieren – etwa bei VPN-Nutzung oder wechselnden IP-Bereichen.\nDie Richtung ist allerdings eindeutig: Microsoft setzt stärker auf proaktive Systemdiagnose. Teams wird damit nicht nur Kommunikationsplattform, sondern bringt auch Werkzeuge mit um die unterliegende Infrastruktur zu testen.\nFazit\nEin unauffälliges Update, das leicht übersehen wird, aber viel Potenzial hat. Der „Silent Test Call“ ist kein Feature, das Schlagzeilen macht – doch wer regelmäßig mit schwankender Audioqualität zu kämpfen hat, dürfte es zu schätzen wissen.\n","permalink":"https://m365simple.de/posts/microsoft-teams-bekommt-stille-testanrufe-kleines-update-gro%C3%9Fe-wirkung/","summary":"Microsoft hat im Oktober 2025 still und leise ein neues Feature herausgebracht: „Silent Test Call“. Es klingt unspektakulär, ist aber für viele Unternehmen ein praktisches Werkzeug.\nHierbei werden Anrufe im Hintergrund simuliert. Dies ist allerdings für den User nicht zu bemerken. Kein Pop-up, kein Ton, kein Symbol. Der Test läuft, misst die Verbindung, speichert die Daten – und fertig.\nWarum das Ganze? Teams ist für viele Organisationen ein wichtiger Baustein in der täglichen Kommunikation mit internen und externen Partnern.","title":"Microsoft Teams bekommt stille Testanrufe – kleines Update, große Wirkung"},{"content":"Mit dem August-Update 2025 hat Microsoft ein neues Enterprise-Feature eingeführt, das die Verwaltung und Wiederherstellung von Windows-Geräten deutlich vereinfacht.\nWindows Backup for Organizations ermöglicht es, Benutzer­einstellungen und installierte Microsoft-Store-Apps zentral zu sichern und bei Neuinstallationen oder Gerätewechseln automatisch wiederherzustellen, inklusive Startmenü und Benutzerpräferenzen.\nGerade im Hinblick auf das Ende des Windows 10 Supports am 14. Oktober 2025 ist das ein interessanter \u0026amp; wichtiger Schritt für reibungslose Migrationen zu Windows 11.\nVorteile auf einen Blick Schnelleres Onboarding \u0026amp; weniger Aufwand: Benutzer können ihre persönlichen Einstellungen und App-Listen nach einem Reset oder Gerätewechsel automatisch wiederherstellen. Konsistentes Nutzererlebnis: Migration von Windows 10 zu Windows 11 ohne manuelle Neukonfiguration. Produktivität \u0026amp; Kontinuität: Minimierte Ausfallzeiten, vereinfachte Geräteerneuerung und besseres Recovery-Verhalten nach Vorfällen. Voraussetzungen Geräte sind Microsoft Entra-joined / Hybrid Joinded Windows 10 22H2 (Build 19045.6216+) oder Windows 11 22H2 (22621.5768+) August 2025-Sicherheitsupdate oder neuer Backup- und Restore-Richtlinien sind via Intune/MDM/GPO aktiviert Benutzer melden sich mit demselben Entra ID-Konto an, das für das Backup verwendet wurde Konfiguration \u0026amp; Verwaltung Die Aktivierung von Windows Backup for Organizations erfolgt per Richtlinie über Intune, CSP oder Gruppenrichtlinien.\nSobald die Funktion aktiviert ist, wird das Backup automatisch alle acht Tage durchgeführt. Alternativ können Benutzer das Backup auch manuell über die integrierte Windows Backup-App starten.\nEine detaillierte Anleitung zur Konfiguration findet sich in der offiziellen Dokumentation: Windows Backup for Organizations Overview | Microsoft Learn\nTipp aus der Praxis Wer Windows 11 per Autopilot im User-Driven-Modus ausrollt, kann Benutzer beim ersten Login direkt ein vorheriges Backup auswählen lassen. Das spart Zeit, erhöht die Zufriedenheit und reduziert Support-Tickets nach Gerätewechseln erheblich.\nQuelle: 🔗 Windows Backup for Organizations Overview | Microsoft Learn\n","permalink":"https://m365simple.de/posts/windows-backup-for-organizations/","summary":"Mit dem August-Update 2025 hat Microsoft ein neues Enterprise-Feature eingeführt, das die Verwaltung und Wiederherstellung von Windows-Geräten deutlich vereinfacht.\nWindows Backup for Organizations ermöglicht es, Benutzer­einstellungen und installierte Microsoft-Store-Apps zentral zu sichern und bei Neuinstallationen oder Gerätewechseln automatisch wiederherzustellen, inklusive Startmenü und Benutzerpräferenzen.\nGerade im Hinblick auf das Ende des Windows 10 Supports am 14. Oktober 2025 ist das ein interessanter \u0026amp; wichtiger Schritt für reibungslose Migrationen zu Windows 11.","title":"Windows Backup for Organizations"},{"content":"Windows 11: Vorinstallierte Microsoft-Store-Apps mit Intune entfernen Schlankere Systeme, geringerer Pflegeaufwand, mehr Kontrolle.\nEinleitung Viele Windows-11-Installationen enthalten ab Werk zahlreiche vorinstallierte Microsoft-Store-Apps. In Unternehmensumgebungen sind diese Anwendungen häufig überflüssig, da sie keinen produktiven Mehrwert bieten und mitunter zusätzlichen Wartungs- oder Sicherheitsaufwand verursachen.\nMit Microsoft Intune steht eine zentrale Richtlinie zur Verfügung, um diese Standard-Apps gezielt zu entfernen und so ein sauberes, einheitliches Systemabbild bereitzustellen.\nEntfernbare Standard-Apps Über die neue Intune-Richtlinie können zahlreiche Microsoft-Store-Apps entfernt werden, darunter beispielsweise:\nMicrosoft Copilot Microsoft Photos Xbox TCUI und Xbox Gaming App Windows Terminal Snipping Tool Notepad Sticky Notes Microsoft Solitaire Collection Windows Media Player Quick Assist Paint Clipchamp Sound Recorder Microsoft To Do MSN Weather Microsoft Teams Microsoft News Outlook for Windows Windows Calculator Feedback Hub Windows Camera Die Auswahl erfolgt individuell, je nach organisatorischen Anforderungen.\nVoraussetzungen Für die Nutzung der Richtlinie müssen bestimmte Bedingungen erfüllt sein:\nGeräte sind in Microsoft Intune registriert (MDM-Verwaltung). Geräte sind Entra ID-Joined, Hybrid Joined oder Entra ID-Registered. Betriebssystemversion: Windows 11 25H2 oder höher. Edition: Enterprise oder Education. Multi-User-Umgebungen werden nicht unterstützt. Administratorzugriff auf das Intune Admin Center ist erforderlich. Ein Test in einer Pilotgruppe wird empfohlen, bevor die Richtlinie produktiv ausgerollt wird.\nErstellung der Richtlinie Intune Admin Center öffnen\nZugriff über https://intune.microsoft.com/ Neue Konfigurationsrichtlinie anlegen Pfad: Geräte \u0026gt; Windows \u0026gt; Konfigurationsprofile Option: Erstellen \u0026gt; Profil Plattform: Windows 10 und später Profiltyp: Settings catalog\nProfil benennen\nBeispiel: Windows - Remove Default Microsoft Store Packages from the System\nEinstellungen hinzufügen Im Settings Picker nach Microsoft Store Packages suchen Auswahl: Administrative Templates \u0026gt; Windows Components \u0026gt; App Package Deployment \u0026gt; Remove Default Microsoft Store Packages from the System\nApps konfigurieren Richtlinie aktivieren (Enabled) Bei jeder App den Schalter auf True setzen, wenn sie entfernt werden soll False belässt die App auf dem Gerät\nZuweisungen festlegen Zielgruppen oder Gerätegruppen auswählen (z. B. Testgeräte) Überprüfung und Bereitstellung Einstellungen prüfen und mit Create bestätigen Synchronisierung und Überwachung Nach dem Erstellen der Richtlinie erfolgt die Anwendung bei der nächsten Geräte-Synchronisierung automatisch.\nEine manuelle Synchronisierung kann über die Geräteeinstellungen initiiert werden.\nDer Bereitstellungsstatus lässt sich im Intune Admin Center unter\nGeräte \u0026gt; Windows \u0026gt; Konfigurationsprofile \u0026gt; \u0026ldquo;Windows - Remove Default Microsoft Store Packages from the System\u0026rdquo; \u0026gt; Übersicht\neinsehen.\nÜberprüfung auf dem Endgerät Die erfolgreiche Entfernung kann über zwei Wege überprüft werden:\nStartmenüprüfung: Die entfernte App ist nicht mehr auffindbar. Ereignisanzeige: Unter\nApplications and Services Logs \u0026gt; Microsoft \u0026gt; Windows \u0026gt; AppxDeployment-Server \u0026gt; Operational\nfinden sich entsprechende „Remove operation finished successfully“-Einträge. Fehleranalyse und Hinweise Problem\nMögliche Ursache\nLösung\nRichtlinie wird nicht angewendet\nGerät erfüllt Anforderungen nicht\nEdition, Version und Join-Status prüfen\nApp bleibt installiert\nApp ist systemrelevant oder Standard-Handler\nApp im Image belassen\nKeine Ereigniseinträge\nPolicy noch nicht synchronisiert\nManuelle Synchronisierung oder Neustart\nFazit Die Intune-Einstellung „Remove Default Microsoft Store Packages from the System“ ermöglicht die gezielte Entfernung unnötiger Standard-Apps in Windows 11-Umgebungen.\nDas Ergebnis sind schlankere Systemimages, weniger Ablenkung für Endanwender und geringerer Verwaltungsaufwand für IT-Abteilungen.\nFür den produktiven Einsatz empfiehlt sich ein gestuftes Vorgehen mit Pilotierung, Überwachung und anschließendem Rollout.\n","permalink":"https://m365simple.de/posts/intune-vorinstallierte-microsoft-apps-entfernen/","summary":"Windows 11: Vorinstallierte Microsoft-Store-Apps mit Intune entfernen Schlankere Systeme, geringerer Pflegeaufwand, mehr Kontrolle.\nEinleitung Viele Windows-11-Installationen enthalten ab Werk zahlreiche vorinstallierte Microsoft-Store-Apps. In Unternehmensumgebungen sind diese Anwendungen häufig überflüssig, da sie keinen produktiven Mehrwert bieten und mitunter zusätzlichen Wartungs- oder Sicherheitsaufwand verursachen.\nMit Microsoft Intune steht eine zentrale Richtlinie zur Verfügung, um diese Standard-Apps gezielt zu entfernen und so ein sauberes, einheitliches Systemabbild bereitzustellen.\nEntfernbare Standard-Apps Über die neue Intune-Richtlinie können zahlreiche Microsoft-Store-Apps entfernt werden, darunter beispielsweise:","title":"Intune: Vorinstallierte Microsoft Apps entfernen"},{"content":"Ephemeral OS Disks jetzt für Session Host Configuration in Azure Virtual Desktop verfügbar Microsoft hat die Unterstützung von Ephemeral OS Disks für Azure Virtual Desktop (AVD) Session Host Configuration in der Public Preview angekündigt. Damit wird eine bereits etablierte Technologie erstmals vollständig in die automatisierte Host-Bereitstellung von AVD integriert.\nIntegration von Ephemeral OS Disks in die Session Host Verwaltung Ephemeral OS Disks sind kein neues Konzept. Sie speichern das Betriebssystem direkt auf dem lokalen Speicher des Host-Servers und werden beim Herunterfahren gelöscht. Bisher ließen sie sich allerdings nur manuell, über selbstgebaute Automationen oder Drittanbieterprodukte effektiv in größeren, dynamischen Host-Pools nutzen. Was die Azure native Verwaltung erschwerte.\nMit der Integration in das Session-Host Configuration Feature ändert sich das. Ephemeral Disks lassen sich nun im Rahmen der Host-Erstellung und -Verwaltung effektiv und direkt in Azure verwenden.\nTechnische und betriebliche Vorteile Schnellere Provisionierung: Session Hosts starten in deutlich kürzerer Zeit. Kosteneffizienz: Kein dauerhafter Storage-Verbrauch durch temporäre VMs. Erhöhte Sicherheit: Keine persistente Speicherung sensibler OS-Daten. Vereinfachte Verwaltung: Native Unterstützung innerhalb der AVD-Tools. Fazit Mit der Unterstützung für Ephemeral OS Disks in der Session Host Configuration schließt Microsoft eine wichtige Lücke in der AVD-Architektur. Die Kombination aus lokalem OS-Storage und zentralem Host-Pool-Management bietet eine ausgewogene Balance zwischen Leistung, Sicherheit und Verwaltungsaufwand und markiert einen klaren Fortschritt in der Weiterentwicklung von Azure Virtual Desktop.\n","permalink":"https://m365simple.de/posts/ephemeral-os-disks-in-azure-virtual-desktop-public-preview/","summary":"Ephemeral OS Disks jetzt für Session Host Configuration in Azure Virtual Desktop verfügbar Microsoft hat die Unterstützung von Ephemeral OS Disks für Azure Virtual Desktop (AVD) Session Host Configuration in der Public Preview angekündigt. Damit wird eine bereits etablierte Technologie erstmals vollständig in die automatisierte Host-Bereitstellung von AVD integriert.\nIntegration von Ephemeral OS Disks in die Session Host Verwaltung Ephemeral OS Disks sind kein neues Konzept. Sie speichern das Betriebssystem direkt auf dem lokalen Speicher des Host-Servers und werden beim Herunterfahren gelöscht.","title":"Ephemeral OS Disks in Azure Virtual Desktop (Public Preview)"},{"content":"Warum überhaupt ein M365 Backup? Microsoft 365 schützt die Infrastruktur, aber nicht die Daten selbst. Im Rahmen des Shared-Responsibility-Modells liegt die Verantwortung für die Datensicherung beim Anwender. Trotzdem verlassen sich laut IDC noch immer rund 60 bis 70 Prozent der Unternehmen ausschließlich auf die Standardfunktionen von Microsoft 365.\nDabei wächst die Bedrohungslage kontinuierlich: Ransomware-Angriffe, versehentliches Löschen, interne Sicherheitsvorfälle oder sogar Naturkatastrophen stellen reale Risiken dar. Daten von N-able zeigen, dass die Zahl der Disaster-Recovery-Fälle in Microsoft 365 im Zeitraum 2023/2024 um ganze 56 Prozent gestiegen ist.\nEin professionelles Backup ist daher längst kein \u0026ldquo;Nice-to-have\u0026rdquo; mehr, sondern essenziell für die Einhaltung gesetzlicher Vorgaben, den Schutz sensibler Informationen und die Sicherstellung der Geschäftskontinuität. Im folgenden Vergleich werfen wir einen Blick auf die führenden Anbieter für Microsoft-365-Backuplösungen.\nBackupkategorien Beim Vergleich von Backup-Lösungen für Microsoft 365 lassen sich grundsätzlich drei gängige Modelle unterscheiden.\nWelche Variante am besten passt, hängt von verschiedenen Faktoren ab: der Anzahl der Nutzer, dem Datenvolumen, der vorhandenen IT-Infrastruktur sowie den individuellen Anforderungen an Compliance und Datenschutz.\nKriterium\nPro User mit inkludiertem Speicher\nPro Gigabyte Pro User mit eigenem Speicher\nAbrechnung\nPauschal pro Benutzer\nNach tatsächlichem Speicherverbrauch\nLizenzkosten + eigener Speicher (z. B. S3, Azure, NAS)\nEmpfohlen für\nKleine bis mittlere Unternehmen (bis ca. 300 User)\nUnternehmen mit vielen Usern (ab ca. 300) und wenig Datenvolumen\nUnternehmen mit eigener Infrastruktur oder Compliance-Anforderungen\nVorteile\nEinfache Kalkulation\nKeine Infrastruktur nötig\nSchneller Start\nSkalierbar\nKosteneffizient bei geringer Datenlast\nVolle Kontrolle\nIntegration in bestehende Systeme\nTypische Szenarien\nCloud-only, Standardnutzung ohne große Datenmengen\nGezielte Sicherung einzelner Workloads, dynamische Nutzerzahlen\nBranchen mit Datenschutzvorgaben, Redundanz, Hybrid-Cloud\nVollumfängliche Vergleichstabelle Die komplette Vergleichstabelle mit allen 14 Lösungen und Features gibt es hier als PDF: M365 Backup Vergleich\nUnsere Auswahl Disclaimer: Alle Angaben ohne Gewähr. Es handelt sich um öffentlich zugängliche Informationen. Wir stehen in Partnerschaft mit Hornetsecurity und Acronis. Preise können je nach Projektumfang und individueller Vereinbarung variieren und sind im Einzelfall anzufragen. Nachfolgend aufgeführt sind alle uns bekannten Informationen aus Webrecherchen und von Distributoren.\nAuswahl pro User mit inkludiertem Speicher Wir empfehlen in dieser Kategorie Acronis als erste Wahl. Die Lösung bietet eine sehr gute Kostenplatzierung, unbegrenzten Speicher und einen umfassenden Funktionsumfang. Alle zentralen Microsoft 365-Dienste wie OneDrive, Teams, SharePoint und Exchange werden zuverlässig gesichert.\nAls zweite Empfehlung nennen wir Dropsuite. Auch hier sind alle relevanten Backup-Ziele abgedeckt, ergänzt durch zusätzliche Funktionen wie Teams-Apps und Entra ID.\nZusätzlich empfehlen wir Hornetsecurity, insbesondere dann, wenn es im Rahmen eines Gesamtpakets aus der Hornet-Welt eingesetzt wird. In Kombination mit Modulen wie E-Mail-Sicherheit oder Archivierung ergibt sich ein attraktives Preis-Leistungs-Verhältnis. Funktional steht Hornetsecurity den anderen Lösungen kaum nach und ist daher eine sinnvolle Alternative.\nAuswahl pro User mit eigenem Speicher Für Szenarien mit eigenem Speicher empfehlen wir NAKIVO, Veeam und CodeTwo.\nNAKIVO ist speziell auf die Nutzung eigener Speicherkapazitäten ausgelegt und bietet dennoch eine vollständige Abdeckung der wichtigsten Backup-Ziele.\nVeeam und CodeTwo bieten ebenfalls eine solide Funktionalität und sind in der Kostenplatzierung gut positioniert. Die Auswahl basiert auf der Kombination aus günstiger Kostenstruktur und technischer Vollständigkeit.\nAuswahl pro Gigabyte In dieser Kategorie gibt es nur wenige Anbieter mit klarer Positionierung. Wir empfehlen Acronis und Nexetic. Beide bieten eine gute Kostenplatzierung pro Gigabyte und unterstützen die wichtigsten Microsoft 365-Dienste.\nVon M365 Nativ raten wir aktuell ab, da der Funktionsumfang deutlich eingeschränkt ist und zentrale Backup-Ziele nicht vollständig abgedeckt werden.\nAcronis ist hier unser klarer Favorit. Neben der umfassenden Funktionalität bietet Acronis den zusätzlichen Vorteil eines eigenen Rechenzentrums in Deutschland, was insbesondere im Hinblick auf Datenschutz und Compliance ein starkes Argument ist.\nQuellen IDC M365 Backup N-able Research Points to Need for M365 Backup Microsoft 365 Backup: Best practices for data recovery and business continuity ","permalink":"https://m365simple.de/posts/retter-in-der-cloud-der-gro%C3%9Fe-m365-backup-vergleich/","summary":"Warum überhaupt ein M365 Backup? Microsoft 365 schützt die Infrastruktur, aber nicht die Daten selbst. Im Rahmen des Shared-Responsibility-Modells liegt die Verantwortung für die Datensicherung beim Anwender. Trotzdem verlassen sich laut IDC noch immer rund 60 bis 70 Prozent der Unternehmen ausschließlich auf die Standardfunktionen von Microsoft 365.\nDabei wächst die Bedrohungslage kontinuierlich: Ransomware-Angriffe, versehentliches Löschen, interne Sicherheitsvorfälle oder sogar Naturkatastrophen stellen reale Risiken dar. Daten von N-able zeigen, dass die Zahl der Disaster-Recovery-Fälle in Microsoft 365 im Zeitraum 2023/2024 um ganze 56 Prozent gestiegen ist.","title":"Retter in der Cloud: Der große M365-Backup Vergleich"},{"content":"Ich war ehrlich überrascht, als heute die neue Oberfläche für die Terminplanung in Outlook und Teams erschien. Das Event Formular wirkt moderner und aufgeräumter. Wichtige Optionen wie Teilnehmer, Räume und Besprechungsdetails sind besser erreichbar.\nZusätzlich stehen neue Copilot Funktionen bereit. Einladungen lassen sich aus E Mail Fäden vorbereiten. Agenden werden vorgeschlagen. Zur Vorbereitung fasst Copilot relevante Mails, Dateien und Aufgaben zusammen.\nWas ist besser? Die Erstellung von Meetings geht meiner Meinung nach schneller. Die Oberfläche ist klarer strukturiert. Mir werden jetzt auch direkt freie Slots angezeigt.\nZudem ist die Erfahrung zwischen Outlook und Teams wirkt einheitlicher. Der Copilot hilft mir zudem bei der Erstellung einer Agenda und gibt mir Meeting Kontext anhand bestehender Mails.\nWas funktioniert bisher nicht so gut? In meinem Tenant funktioniert das eigentliche Scheduling mit Copilot aktuell bisher nicht zuverlässig. Der Befehl öffnet Outlook im Web, danach passiert jedoch nichts.\nRollout Zeitraum\nDie Funktion wird auf allen Tenants zwischen September bis Mitte November 2025 ausgerollt. Der Rollout erfolgt standardmäßig und ohne zusätzliche Adminschritte.\nQuelle Microsoft 365 Message Center\nMessage ID MC1129717\n","permalink":"https://m365simple.de/posts/neue-terminansicht-in-outlook-und-teams/","summary":"Ich war ehrlich überrascht, als heute die neue Oberfläche für die Terminplanung in Outlook und Teams erschien. Das Event Formular wirkt moderner und aufgeräumter. Wichtige Optionen wie Teilnehmer, Räume und Besprechungsdetails sind besser erreichbar.\nZusätzlich stehen neue Copilot Funktionen bereit. Einladungen lassen sich aus E Mail Fäden vorbereiten. Agenden werden vorgeschlagen. Zur Vorbereitung fasst Copilot relevante Mails, Dateien und Aufgaben zusammen.\nWas ist besser? Die Erstellung von Meetings geht meiner Meinung nach schneller.","title":"Neue Terminansicht in Outlook und Teams"},{"content":"iOS 26 \u0026amp; iPadOS 26: Neues Web-App-Verhalten – was Intune-Admins wissen sollten Mit iOS 26 und iPadOS 26 hat Apple das Verhalten von Web-Apps verändert.\nWebseiten, die über Safari mit „Zum Home-Bildschirm“ hinzugefügt werden, starten nun standardmäßig als eigenständige Web-Apps – nicht mehr zwingend im Safari-Browser.\nWas für Nutzer nach Komfort klingt, kann in verwalteten Intune-Umgebungen Folgen haben.\nWas ändert sich? • iOS versucht, jede Website als Standalone-Web-App anzulegen.\n• Nutzer können dies im Dialog über „Öffnen als Web-App“ deaktivieren.\n• Dadurch laufen auch einfache Web-Links potenziell außerhalb des Managed Browsers.\nAuswirkungen auf Intune 1. Browser- und CA-Richtlinien\nWeb-Apps im Standalone-Modus umgehen ggf. App Protection Policies (APP) oder Conditional Access (CA),\nda sie nicht in Edge oder dem Managed Browser geöffnet werden.\n→ SSO kann fehlschlagen, erneute Anmeldung nötig.\n2. Unterschiedliches Nutzererlebnis\nIcons, Verhalten und Sessions können sich unterscheiden – besonders in BYOD-Szenarien.\nEmpfehlungen für Administratoren Maßnahme\nZiel\nWeblink-Apps unter iOS 26 testen\nSicherstellen, dass CA \u0026amp; APP greifen\nNutzer informieren\nUnterschied im Verhalten erklären\nBrowservorgaben prüfen\nEdge-Zwang ggf. anpassen\nInterne Web-Apps mit Manifest versehen\nEinheitliches Verhalten sicherstellen\nFazit Ein kleiner Safari-Schalter – große Wirkung:\nMit iOS 26 kann jede Website als eigenständige App starten.\nFür Unternehmen heißt das: testen, dokumentieren und Richtlinien anpassen, bevor Web-Links unter iOS 26 produktiv ausgerollt werden.\n","permalink":"https://m365simple.de/posts/ios-26-neues-web-app-verhalten/","summary":"iOS 26 \u0026amp; iPadOS 26: Neues Web-App-Verhalten – was Intune-Admins wissen sollten Mit iOS 26 und iPadOS 26 hat Apple das Verhalten von Web-Apps verändert.\nWebseiten, die über Safari mit „Zum Home-Bildschirm“ hinzugefügt werden, starten nun standardmäßig als eigenständige Web-Apps – nicht mehr zwingend im Safari-Browser.\nWas für Nutzer nach Komfort klingt, kann in verwalteten Intune-Umgebungen Folgen haben.\nWas ändert sich? • iOS versucht, jede Website als Standalone-Web-App anzulegen.\n• Nutzer können dies im Dialog über „Öffnen als Web-App“ deaktivieren.","title":"iOS 26 Neues Web-App-Verhalten "},{"content":"Nachdem es bereits Hinweise auf das Verlagern der Source of Authority für User-Accounts gab, ist dieses Feature nun in der Public Preview.\nWarum User SoA sinnvoll ist User SoA unterstützt in hybriden Szenarien die Möglichkeit, einzelne hybride Accounts in cloudverwaltete Accounts zu konvertieren. In der Vergangenheit war es hierzu immer notwendig, einen User-Account aus dem Sync zu nehmen, und anschließend den in der Cloud gelöschten Account wiederherzustellen. Durch die neue Möglichkeit zum Verlagern der SoA kann dieser Schritt nun ohne Unterbrechung erfolgen.\nVoraussetzungen Connect Sync client in der Version 2.5.76.0 und neuer, oder Cloud Sync client 1.1.1370.0 oder neuer Sie benötigen Zugriff auf die Microsoft Graph API, inklusive der Berechtigungen, um das onPremisesSyncBehavior-Attribut zu lesen und zu verändern. Ändern der SoA Aktuellen Status abfragen\n1 GET https://graph.microsoft.com/beta/users/{ID}/onPremisesSyncBehavior?$select=isCloudManaged Ändern der SoA\n1 2 3 4 PATCH https://graph.microsoft.com/beta/users/{ID}/onPremisesSyncBehavior { \u0026#34;isCloudManaged\u0026#34;: true } Hiernach muss ein AD Sync durchgeführt werden\nRollback Zum Rollback wird das Attribut wieder auf False gesetzt. Nach dem nächsten Sync überschreibt der OnPremises Account wieder die Einstellungen des Cloud Accounts\n1 2 3 4 PATCH https://graph.microsoft.com/beta/users/{ID}/onPremisesSyncBehavior { \u0026#34;isCloudManaged\u0026#34;: false } Quellen https://learn.microsoft.com/en-us/entra/identity/hybrid/how-to-user-source-of-authority-configure\n","permalink":"https://m365simple.de/posts/jetzt-verfugbar-iscloudmanaged-fur-user-accounts/","summary":"Nachdem es bereits Hinweise auf das Verlagern der Source of Authority für User-Accounts gab, ist dieses Feature nun in der Public Preview.\nWarum User SoA sinnvoll ist User SoA unterstützt in hybriden Szenarien die Möglichkeit, einzelne hybride Accounts in cloudverwaltete Accounts zu konvertieren. In der Vergangenheit war es hierzu immer notwendig, einen User-Account aus dem Sync zu nehmen, und anschließend den in der Cloud gelöschten Account wiederherzustellen. Durch die neue Möglichkeit zum Verlagern der SoA kann dieser Schritt nun ohne Unterbrechung erfolgen.","title":"Jetzt verfügbar: isCloudManaged für User Accounts"},{"content":"Microsoft hat vor einigen Tagen eine kleine, aber wichtige Funktionalität in Conditional Access für M365-Tenants aktiviert.\nMit Deleted Policies (aktuell noch in der Preview) können gelöschte CA-Policies schnell und einfach über das Entra Admin Center oder mittels PowerShell wiederhergestellt werden.\nWiederherstellung mittels GUI Navigation zu Conditional Access - Microsoft Entra admin center. Unter dem Reiter Deleted Policies (Preview) sind alle gelöschten CA-Policies auffindbar und können bei Bedarf (bis zu 30 Tage) wiederhergestellt oder dauerhaft gelöscht werden:\nWiederherstellung mittels PowerShell Die Wiederherstellung einer CA-Policy mittels MgGraph PowerShell kann wie folgt durchgeführt werden:\n1 2 3 4 5 6 7 8 9 10 Connect-MgGraph -Scope \u0026#34;Policy.ReadWrite.ConditionalAccess\u0026#34; #CA-Policy ID für Wiederherstellung abfragen $uri = $uri = \u0026#34;/beta/identity/conditionalAccess/deletedItems/policies\u0026#34; Invoke-MgGraphRequest -Uri $uri -OutputType PSObject | Select -Expand Value #CA Policy wiederherstellen $policyId = \u0026#34;Angabe der o.g. Policy ID\u0026#34; $uri = \u0026#34;beta/identity/conditionalAccess/deletedItems/policies/$policyId/restore\u0026#34; Invoke-MgGraphRequest -Uri $uri -Method Post ","permalink":"https://m365simple.de/posts/conditional-access-policy-recovery/","summary":"Microsoft hat vor einigen Tagen eine kleine, aber wichtige Funktionalität in Conditional Access für M365-Tenants aktiviert.\nMit Deleted Policies (aktuell noch in der Preview) können gelöschte CA-Policies schnell und einfach über das Entra Admin Center oder mittels PowerShell wiederhergestellt werden.\nWiederherstellung mittels GUI Navigation zu Conditional Access - Microsoft Entra admin center. Unter dem Reiter Deleted Policies (Preview) sind alle gelöschten CA-Policies auffindbar und können bei Bedarf (bis zu 30 Tage) wiederhergestellt oder dauerhaft gelöscht werden:","title":"Conditional Access Policy Recovery"},{"content":"Windows Backup for Organizations ist eine neue Funktion, mit der Unternehmen Benutzereinstellungen und Microsoft Store-Apps von Windows 10 oder Windows 11 sicher in der Cloud sichern und bei Bedarf wiederherstellen können.\nUnterstützt Entra-verbundene Geräte (Cloud oder Hybrid). Backups laufen automatisch (alle 8 Tage) oder manuell über die Windows Backup-App. Wiederherstellung erfolgt beim OOBE-Prozess, wenn sich Benutzer mit demselben Entra-Konto anmelden. Ziel: schnellere Gerätewechsel, reibungsloser Umstieg auf Windows 11, weniger Ausfallzeiten und höhere Produktivität Das Ergebnis: weniger Ausfallzeiten, eine schnellere Inbetriebnahme und höhere Geschäftskontinuität durch verlässliche Backups und schnelle Wiederherstellung.\nZentrale Vorteile: Beschleunigt Geräteerneuerungen und -Upgrades, inklusive des Wechsels auf Windows 11 und moderne KI-fähige Geräte. Ermöglicht eine konsequente Cloud-first-Strategie zur Verwaltung von Geräten und Benutzereinstellungen. Weitere Details finden Sie in der offiziellen Microsoft-Dokumentation hier und hier Voraussetzungen Für Backup und Wiederherstellung gelten jeweils eigene Anforderungen.\nBackup-Voraussetzungen Damit die Sicherung funktioniert, müssen die Geräte folgende Bedingungen erfüllen:\nSie sind mit Microsoft Entra verbunden (entweder vollständig oder hybrid). Sie laufen auf Windows 10 Version 22H2 oder Windows 11 Version 22H2 (oder neuer). Sie haben mindestens das Sicherheitsupdate vom August 2025 installiert. Dieses Update bringt die Windows Backup-App mit, die für das Speichern der Einstellungen und der Liste installierter Microsoft Store-Apps zuständig ist. Wiederherstellungs-Voraussetzungen Damit die Wiederherstellung funktioniert, müssen die Geräte folgende Bedingungen erfüllen:\nSie sind mit Microsoft Entra verbunden.\nSie laufen auf Windows 11 Version 22H2 oder neuer.\nSie haben bereits vor dem OOBE-Prozess (Out-of-Box-Experience) mindestens das Sicherheitsupdate vom August 2025 installiert.\nFalls das nicht gegeben ist, müssen sie während des OOBE-Prozesses auf einer der folgenden Basisversionen laufen:\nWindows 11, Version 22H2, Build 22621.3958 Windows 11, Version 23H2, Build 22631.3958 Windows 11, Version 24H2, Build 26100.1301 Berechtigungen \u0026amp; Einrichtung Erforderlich sind entweder Microsoft Intune Service-Administrator- oder Global-Administrator-Rechte.\nStelle sicher, dass Windows Backup and Restore mandantenweit auf Ein gestellt ist:\nNavigiere dazu im Intune Admin Center zu: Devices \u0026gt; Enrollment \u0026gt; Windows \u0026gt; Windows Backup and Restore (preview).\nSchalte die Option Show restore page auf On und speichere die Einstellung.\nDie Konfiguration der Restore-Einstellungen in der Geräte­registrierung erfordert entweder die Rolle Intune-Serviceadministrator oder Globaler Administrator.\nDiese Mandantenrichtlinie:\nist erforderlich, um die Wiederherstellungsoption während des OOBE-Prozesses (Out-of-Box-Experience) zu aktivieren. wird nur zum Zeitpunkt der Geräte-Registrierung angewendet. Änderungen an der Konfiguration wirken sich nicht auf bereits in Intune registrierte Geräte aus. Diese Funktion befindet sich derzeit im Rollout und ist möglicherweise noch nicht in allen Intune-\nMandanten sichtbar.\nWenn die Einstellung im eigenen Mandanten nicht angezeigt wird, erscheint sie, sobald der Rollout die Umgebung erreicht hat.\nBis dahin können Geräte über eine benutzerdefinierte Richtlinie konfiguriert werden, indem die im CSP-Tab beschriebenen Einstellungen verwendet werden.\nAbschließend ist es erforderlich, dass sich Benutzer mit demselben Microsoft Entra-Konto anmelden, das auch für die Sicherung verwendet wurde. Einrichtung mit Intune Um die erforderliche Intune-Richtlinie für die Aktivierung der Backup- und Restore-Option zu erstellen, im Intune-Portal den folgenden Pfad aufrufen:\nDevices → Windows → Configuration → Create → New policy → Platform: Windows 10 and later → Profile type: Settings catalog → Create\nUser Experience Backup Nach einem Neustart wurde die Intune-Richtlinie übernommen.\nSobald die Konfiguration abgeschlossen ist, wird auf dem Windows-Gerät ein Aufgabenplan eingerichtet, damit die Sicherungen automatisch alle 8 Tage ausgeführt werden. Alternativ können Benutzer die Sicherung manuell über die Windows-Backup-App starten.\nIm Aufgabenplaner finden Sie unter „CloudRestore“ weitere Details.\nAufgabenplanung Die Sicherungsoptionen können aufgerufen werden unter Einstellungen \u0026gt; Konten \u0026gt; Windows-Sicherung, sobald die Funktion aktiviert ist.\nDort finden Sie auch Schalter für die Funktionen:\nMeine Einstellungen speichern Meine Apps merken ","permalink":"https://m365simple.de/posts/intune-windows-backup-und-wiederherstellung/","summary":"Windows Backup for Organizations ist eine neue Funktion, mit der Unternehmen Benutzereinstellungen und Microsoft Store-Apps von Windows 10 oder Windows 11 sicher in der Cloud sichern und bei Bedarf wiederherstellen können.\nUnterstützt Entra-verbundene Geräte (Cloud oder Hybrid). Backups laufen automatisch (alle 8 Tage) oder manuell über die Windows Backup-App. Wiederherstellung erfolgt beim OOBE-Prozess, wenn sich Benutzer mit demselben Entra-Konto anmelden. Ziel: schnellere Gerätewechsel, reibungsloser Umstieg auf Windows 11, weniger Ausfallzeiten und höhere Produktivität Das Ergebnis: weniger Ausfallzeiten, eine schnellere Inbetriebnahme und höhere Geschäftskontinuität durch verlässliche Backups und schnelle Wiederherstellung.","title":"Intune Windows Backup für Organisationen"},{"content":"Neben Group SoA und Cloud-Managed Remote Mailboxes gibt es nun Hinweise darauf, dass dies in Zukunft auch für User-Accounts möglich ist.\nIm Pull Request #3407 fügt im Microsoft Graph PowerShell SDK (Beta) den Graph-Pfad /users/{id}/onPremisesSyncBehavior hinzu. Damit wird (in Beta) auch per PowerShell sichtbar, was die Graph-Dokus gerade einführen: ein Ressourcentyp onPremisesSyncBehavior für Groups, Users und orgContacts mit der Eigenschaft isCloudManaged. Setzt man diese auf true, werden Änderungen aus dem On-Prem AD in der Cloud blockiert - faktisch eine Umstellung auf „cloud-managed“.\nWichtig! Das Ganze ist beta und nicht GA. Nutzung in Produktion wird nicht empfohlen.\n1 2 3 4 5 6 7 Connect-MgGraph -Scopes \u0026#34;User-OnPremisesSyncBehavior.ReadWrite.All\u0026#34; $body = @{isCloudManaged = $true} Invoke-MgGraphRequest -Method PATCH ` -Uri \u0026#34;https://graph.microsoft.com/beta/users/{id}/onPremisesSyncBehavior\u0026#34; ` -Body $body ","permalink":"https://m365simple.de/posts/convert-user-soa/","summary":"Neben Group SoA und Cloud-Managed Remote Mailboxes gibt es nun Hinweise darauf, dass dies in Zukunft auch für User-Accounts möglich ist.\nIm Pull Request #3407 fügt im Microsoft Graph PowerShell SDK (Beta) den Graph-Pfad /users/{id}/onPremisesSyncBehavior hinzu. Damit wird (in Beta) auch per PowerShell sichtbar, was die Graph-Dokus gerade einführen: ein Ressourcentyp onPremisesSyncBehavior für Groups, Users und orgContacts mit der Eigenschaft isCloudManaged. Setzt man diese auf true, werden Änderungen aus dem On-Prem AD in der Cloud blockiert - faktisch eine Umstellung auf „cloud-managed“.","title":"Ausblick: isCloudManaged für User Accounts"},{"content":"Bislang zeigte Microsoft Teams externe Kontakte mit dem Zusatz „(Extern)“ hinter dem Namen an.\nDiese Kennzeichnung wird jetzt schrittweise durch neue Symbole und Hinweise ersetzt. Microsoft nennt sie Trust Indicators. Sie sollen auf einen Blick zeigen, ob eine Person intern, extern, Gast oder anonym ist.\nSo funktionieren die neuen Trust Indicators Neben dem Namen erscheint künftig ein kleines Symbol oder Badge, das den Vertrauensstatus kennzeichnet:\nGast – Eingeladene Personen mit Gastkonto in Ihrem Tenant\nExtern – Nutzer aus einer anderen Organisation (z. B. Partner oder Kunden)\nAnonym – Teilnehmer ohne Anmeldung\nZusätzlich wird im Chat oder Meeting ein Banner eingeblendet, wenn sich externe oder anonyme Personen in der Unterhaltung befinden. So lässt sich schnell erkennen, mit wem man wirklich kommuniziert.\nWarum das wichtig ist Der Austausch über Teams geht oft über Unternehmensgrenzen hinaus – etwa mit Dienstleistern, Kunden oder Partnern. Dabei besteht immer das Risiko, vertrauliche Informationen versehentlich nach außen zu geben.\nDie neuen Symbole sollen genau das verhindern:\nSie machen deutlich, wer Teil der eigenen Organisation ist und wer nicht. Damit stärkt Microsoft das Bewusstsein für Datenschutz und Sicherheit – ohne die Zusammenarbeit zu behindern.\nRollout und Verwaltung Die Trust Indicators werden automatisch aktiviert und erfordern keine manuelle Einrichtung. Der Rollout läuft derzeit in mehreren Phasen und sollte bis Ende des Jahres abgeschlossen sein. Administratoren können die Funktion nicht abschalten, sollten aber ihre Teams-Nutzer informieren – etwa über interne News oder Schulungen. Fazit Mit den neuen Symbolen wird Microsoft Teams übersichtlicher und sicherer.\nAnstelle des alten Textzusatzes „(Extern)“ gibt es nun eine klarere, visuelle Kennzeichnung.\nMehr Informationen finden sich direkt bei Microsoft: https://learn.microsoft.com/en-us/microsoftteams/trust-indicators\n","permalink":"https://m365simple.de/posts/neue-symbole-in-teams-was-bedeuten-sie/","summary":"Bislang zeigte Microsoft Teams externe Kontakte mit dem Zusatz „(Extern)“ hinter dem Namen an.\nDiese Kennzeichnung wird jetzt schrittweise durch neue Symbole und Hinweise ersetzt. Microsoft nennt sie Trust Indicators. Sie sollen auf einen Blick zeigen, ob eine Person intern, extern, Gast oder anonym ist.\nSo funktionieren die neuen Trust Indicators Neben dem Namen erscheint künftig ein kleines Symbol oder Badge, das den Vertrauensstatus kennzeichnet:\nGast – Eingeladene Personen mit Gastkonto in Ihrem Tenant","title":"Neue Symbole in Teams - Was bedeuten sie?"},{"content":"Am 14. Oktober 2025 endet der Support für Office 2016 und Office 2019 – einschließlich Visio und Project in diesen Versionen. Ab diesem Zeitpunkt stellt Microsoft keine Sicherheitsupdates, Bugfixes oder technischen Support mehr bereit. Zwar lassen sich die Programme weiterhin nutzen, doch Unternehmen riskieren damit erhebliche Sicherheitslücken und Kompatibilitätsprobleme.\nWas bedeutet das in der Praxis? Keine Updates mehr: Schwachstellen bleiben ungepatcht. Sicherheitsrisiko: Angriffe und Datenverluste werden wahrscheinlicher. Fehlende Kompatibilität: Neue Dienste und Systeme können Probleme bereiten. Welche Alternativen gibt es? Microsoft 365 / Office 365 Stets aktuelle Versionen von Word, Excel und Outlook. Zugriff auf moderne Funktionen, darunter Microsoft 365 Copilot. Laufende Sicherheitsupdates und Verbesserungen im Rahmen der Modern Lifecycle Policy. Office LTSC 2024 Geeignet für Organisationen, die eine lokal installierte Lösung ohne Cloud-Anbindung bevorzugen. Support bis Oktober 2029, allerdings ohne alle Neuerungen aus Microsoft 365. Fazit Der Umstieg von Office 2016 und 2019 ist unausweichlich. Wer nach dem 14. Oktober 2025 dabei bleibt, geht ein hohes Risiko ein. Unternehmen sollten jetzt die Weichen stellen – ob mit einem Wechsel zu Microsoft 365 für maximale Flexibilität oder zu Office LTSC 2024 für ein klassisches, lokales Setup. Eine rechtzeitige Entscheidung schützt nicht nur Daten und Systeme, sondern sorgt auch für eine stabile und zukunftssichere Arbeitsumgebung.\n","permalink":"https://m365simple.de/posts/support-ende-im-oktober-2025-microsoft-stellt-office-2016-und-2019-ein/","summary":"Am 14. Oktober 2025 endet der Support für Office 2016 und Office 2019 – einschließlich Visio und Project in diesen Versionen. Ab diesem Zeitpunkt stellt Microsoft keine Sicherheitsupdates, Bugfixes oder technischen Support mehr bereit. Zwar lassen sich die Programme weiterhin nutzen, doch Unternehmen riskieren damit erhebliche Sicherheitslücken und Kompatibilitätsprobleme.\nWas bedeutet das in der Praxis? Keine Updates mehr: Schwachstellen bleiben ungepatcht. Sicherheitsrisiko: Angriffe und Datenverluste werden wahrscheinlicher. Fehlende Kompatibilität: Neue Dienste und Systeme können Probleme bereiten.","title":"Support-Ende im Oktober 2025: Microsoft stellt Office 2016 und 2019 ein"},{"content":"External Identities in AVD: Was die Preview wirklich bringt Stellen Sie sich vor, Sie könnten Externe schnell in Ihre Azure Virtual Desktop-Umgebung holen, ohne komplizierte Workarounds. Klingt praktisch, oder? Genau hier setzt die neue Preview für External Identities an. Endlich lassen sich Gäste über Microsoft Entra ID einladen und direkt mit AVD-Ressourcen versorgen. Aber wie immer gilt: Es gibt Licht und Schatten.\nVoraussetzungen, die man kennen sollte Damit alles rundläuft, sind ein paar Voraussetzungen zu erfüllen. Der Session Host muss zwingend Windows 11 Enterprise mit dem Cumulative Update von September 2025 (KB5065789) oder neuer haben. Außerdem ist ein Entra-Join und konfigurierter Single Sign-on Pflicht. Und ganz wichtig: Die Verbindung klappt nur über die Windows App oder einen Browser.\nWas geht – und was eben nicht Die gute Nachricht zuerst: Eingeladene Nutzer können sich anmelden und mit AVD-Ressourcen arbeiten, ohne dass Sie komplizierte Brücken schlagen müssen. Doch Vorsicht, nicht alles ist perfekt: FSLogix ist außen vor. Bedeutet, externe Nutzer landen bei jeder Anmeldung in einem frischen Profil auf dem Session-Host. Charmant für persönliche Session-Hosts, nervig für Multi-User Szenarien. Auch Intune-Policies, die den External Identities zugewiesen sind, greifen nicht. Diese müssen stattdessen direkt auf das Gerät angewendet werden.\nGrenzen im Blick behalten Ein weiterer Haken: Die Preview funktioniert nur in der Azure Public Cloud. Kein Government, kein 21Vianet, kein Cross-Cloud. Wer also gehofft hat, externe Gäste aus jeder Ecke der Azure-Welt einzubinden, wird enttäuscht. Auch Kerberos oder NTLM für den Zugriff auf On-Prem-Resourcen bleiben außen vor.\nLohnt sich der Blick? Ehrlich gesagt: ja, wenn Sie Partner oder temporäre Projektteams unkompliziert anbinden wollen. Nein, wenn Sie eine ausgereifte, nahtlose Lösung erwarten. Denken Sie an diese Preview eher wie an einen Türöffner, der zeigt, wohin die Reise geht.\n","permalink":"https://m365simple.de/posts/external-identities-in-avd-was-die-preview-wirklich-bringt/","summary":"External Identities in AVD: Was die Preview wirklich bringt Stellen Sie sich vor, Sie könnten Externe schnell in Ihre Azure Virtual Desktop-Umgebung holen, ohne komplizierte Workarounds. Klingt praktisch, oder? Genau hier setzt die neue Preview für External Identities an. Endlich lassen sich Gäste über Microsoft Entra ID einladen und direkt mit AVD-Ressourcen versorgen. Aber wie immer gilt: Es gibt Licht und Schatten.\nVoraussetzungen, die man kennen sollte Damit alles rundläuft, sind ein paar Voraussetzungen zu erfüllen.","title":"External Identities in AVD: Was die Preview wirklich bringt"},{"content":"Kritische Sicherheitslücke in Apple-Systemen geschlossen – CVE-2025-43400 Apple hat eine neue Schwachstelle in iOS, iPadOS, macOS und visionOS behoben. Die Sicherheitslücke mit der Kennung CVE-2025-43400 betrifft die Verarbeitung von speziell präparierten Schriftarten. Angreifer könnten damit eine Out-of-Bounds-Write-Schwachstelle ausnutzen, die zu App-Abstürzen oder Speicherbeschädigungen führt.\nDetails zur Schwachstelle CVE-ID: CVE-2025-43400 Art: Out-of-Bounds Write (CWE-787) Gefahr: Manipulierte Schriftarten können auf anfälligen Geräten zum Absturz von Anwendungen oder zur Beschädigung des Arbeitsspeichers führen. CVSS-Bewertung: 6.3 (mittel) Angriffsvoraussetzungen: Kein spezielles Nutzerrecht erforderlich Angriff über das Netzwerk möglich Nutzerinteraktion notwendig (z. B. Öffnen einer Datei oder Webseite) Betroffene Systeme Laut Apple sind folgende Versionen verwundbar:\niOS vor 18.7.1 und vor 26.0.1 iPadOS vor 18.7.1 und vor 26.0.1 macOS Sonoma vor 14.8.1 macOS Sequoia vor 15.7.1 macOS Tahoe vor 26.0.1 visionOS vor 26.0.1 Verfügbarkeit von Patches Die Sicherheitslücke wurde von Apple am 29. September 2025 veröffentlicht. Mit den aktuellen Updates hat Apple verbesserte Prüfungen zur Speichergrenzen-Kontrolle implementiert. Nutzer sollten ihre Geräte daher dringend auf die neuesten Versionen aktualisieren.\nEinschätzung Obwohl die Lücke nur mit einem mittleren Schweregrad bewertet wird, stellt sie dennoch ein relevantes Risiko dar. Besonders gefährlich ist, dass Angriffe bereits durch das Laden von manipulierten Schriftarten erfolgen können – also etwa über eine Webseite oder eine empfangene Datei.\nFazit Apple-Nutzer sollten die bereitgestellten Updates umgehend installieren, um ihre Systeme gegen mögliche Angriffe abzusichern. Auch wenn bislang keine aktiven Ausnutzungen gemeldet wurden, ist die Wahrscheinlichkeit, dass Angreifer diese Schwachstelle künftig ins Visier nehmen, nicht zu unterschätzen.\n","permalink":"https://m365simple.de/posts/kritische-sicherheitslucke-in-apple-systemen/","summary":"Kritische Sicherheitslücke in Apple-Systemen geschlossen – CVE-2025-43400 Apple hat eine neue Schwachstelle in iOS, iPadOS, macOS und visionOS behoben. Die Sicherheitslücke mit der Kennung CVE-2025-43400 betrifft die Verarbeitung von speziell präparierten Schriftarten. Angreifer könnten damit eine Out-of-Bounds-Write-Schwachstelle ausnutzen, die zu App-Abstürzen oder Speicherbeschädigungen führt.\nDetails zur Schwachstelle CVE-ID: CVE-2025-43400 Art: Out-of-Bounds Write (CWE-787) Gefahr: Manipulierte Schriftarten können auf anfälligen Geräten zum Absturz von Anwendungen oder zur Beschädigung des Arbeitsspeichers führen. CVSS-Bewertung: 6.","title":"Kritische Sicherheitslücke in Apple-Systemen"},{"content":"Azure Arc: Automatische Agent-Updates jetzt als Preview verfügbar Microsoft hat ein neues Feature für Azure Arc-enabled Server veröffentlicht, das die Wartung hybrider Umgebungen deutlich vereinfacht: Der Azure Connected Machine Agent kann ab sofort automatisch aktualisiert werden – und zwar direkt über Azure, ohne Umweg über Microsoft Update. Das Feature befindet sich derzeit in der Public Preview.\nHintergrund: Bisherige Update-Strategie Bislang war die Aktualisierung des Azure Connected Machine Agent nur möglich, wenn auf dem jeweiligen Server „Microsoft Update“ aktiviert war. Das bedeutete: Nur wer die Option „Updates für andere Microsoft-Produkte“ aktivierte, erhielt Agent-Updates. In vielen Umgebungen war das entweder nicht gewünscht oder schlicht nicht möglich – etwa aus Sicherheitsgründen oder weil dadurch ungewünschte Updates installiert werden.\nDie Folge: Manuelle Updates per Skript oder WSUS, inkonsistente Versionsstände und zusätzlicher Verwaltungsaufwand.\nNeues Feature: Auto Agent Upgrade Mit Agent-Version 1.48 oder höher kann nun die neue Funktion Auto Agent Upgrade aktiviert werden. Ist sie aktiv, sorgt Azure selbst dafür, dass der Agent regelmäßig und automatisch aktualisiert wird. Die Updates erfolgen gestaffelt und regionsweise, um Stabilität und Verfügbarkeit sicherzustellen.\nVorteile im Überblick Keine Abhängigkeit mehr von Microsoft Update Automatisierte Aktualisierung direkt über Azure Reduzierter Wartungsaufwand Verbesserte Sicherheit durch zeitnahe Updates Aktivierung des Features Die Aktivierung erfolgt über Azure CLI oder PowerShell. Beispiel für PowerShell:\n1 2 3 4 5 6 7 8 9 10 $params = @{ ResourceGroupName = \u0026#34;MeinRG\u0026#34; ResourceProviderName = \u0026#34;Microsoft.HybridCompute\u0026#34; ResourceType = \u0026#34;Machines\u0026#34; ApiVersion = \u0026#34;2024-05-20-preview\u0026#34; Name = \u0026#34;MeinServer\u0026#34; Method = \u0026#34;PATCH\u0026#34; Payload = \u0026#39;{\u0026#34;properties\u0026#34;:{\u0026#34;agentUpgrade\u0026#34;:{\u0026#34;enableAutomaticUpgrade\u0026#34;:true}}}\u0026#39; } Invoke-AzRestMethod @params Für mehrere Server kann das Feature auch per Skript oder über Azure Policy aktiviert werden.\nStatusprüfung: Welche Server sind bereits aktiviert? Der aktuelle Status lässt sich direkt im Azure Portal unter der jeweiligen Arc-Server-Ressource einsehen. Relevant ist das Property agentUpgrade, insbesondere der Wert enableAutomaticUpgrade.\nAlternativ kann der Status auch über Azure Resource Graph abgefragt werden:\n1 2 3 4 Resources | where type == \u0026#34;microsoft.hybridcompute/machines\u0026#34; | extend autoUpgrade = properties.agentUpgrade.enableAutomaticUpgrade | project name, autoUpgrade So lässt sich schnell erkennen, welche Server bereits für automatische Updates konfiguriert sind und wo noch Handlungsbedarf besteht.\nFazit Das neue Auto Agent Upgrade-Feature ist ein sinnvoller Schritt in Richtung automatisiertes Lifecycle-Management für Azure Arc-enabled Server. Es reduziert den Wartungsaufwand, erhöht die Sicherheit und sorgt für konsistente Agent-Versionen – ohne zusätzliche Infrastruktur oder manuelle Eingriffe.\nFür alle, die Azure Arc produktiv einsetzen, lohnt sich ein Blick auf dieses neue Feature. Die Aktivierung ist unkompliziert, der Nutzen klar erkennbar.\n","permalink":"https://m365simple.de/posts/azure-arc-agent-auto-upgrade/","summary":"Azure Arc: Automatische Agent-Updates jetzt als Preview verfügbar Microsoft hat ein neues Feature für Azure Arc-enabled Server veröffentlicht, das die Wartung hybrider Umgebungen deutlich vereinfacht: Der Azure Connected Machine Agent kann ab sofort automatisch aktualisiert werden – und zwar direkt über Azure, ohne Umweg über Microsoft Update. Das Feature befindet sich derzeit in der Public Preview.\nHintergrund: Bisherige Update-Strategie Bislang war die Aktualisierung des Azure Connected Machine Agent nur möglich, wenn auf dem jeweiligen Server „Microsoft Update“ aktiviert war.","title":"Azure Arc Agent Auto Upgrade"},{"content":"Microsoft sorgt für eine Überraschung: Windows 10 erhält in der Europäischen Wirtschaftszone (EWR) ein zusätzliches Jahr kostenlose Sicherheitsupdates. Das ursprünglich geplante Support-Ende am 14. Oktober 2025 verschiebt sich damit auf den 14. Oktober 2026 – zumindest für private Nutzer.\nDas ursprüngliche Ende: Oktober 2025 Windows 10 begleitet Millionen von Anwendern seit 2015. Eigentlich sollte im Oktober 2025 Schluss sein: Danach wären keine Sicherheitsupdates mehr erschienen, außer über ein kostenpflichtiges „Extended Security Updates“-Programm (ESU). Vor allem Privatnutzer hätten damit vor der Wahl gestanden, sofort auf Windows 11 umzusteigen oder ohne Schutz weiterzumachen.\nKostenlose Updates im EWR Nun rudert Microsoft zurück – zumindest ein Stück weit. In der EWR-Region gibt es die erweiterten Sicherheitsupdates ein Jahr länger und ohne Zusatzkosten.\nGültig bis 14. Oktober 2026 Nur für Privatnutzer in der EU sowie Island, Liechtenstein und Norwegen Microsoft-Account erforderlich, Anmeldung alle 60 Tage Keine Cloud-Synchronisation oder zusätzliche Abos notwendig Hintergrund sind unter anderem neue EU-Vorgaben wie das Digitale-Märkte-Gesetz (DMA) und Forderungen von Verbraucherschützern.\nPrivat vs. Unternehmen: Zwei Welten Während Privatpersonen also ein Jahr geschenkt bekommen, gilt das nicht für Firmenkunden.\nPrivatnutzer: Updates bis Oktober 2026 kostenlos, einzig ein Microsoft-Konto ist Pflicht. Unternehmen \u0026amp; Organisationen: Keine Änderung – wer Windows 10 weiter einsetzen will, muss wie geplant ESU-Lizenzen kaufen. Diese gibt es über Volumenlizenzen und Cloud-Angebote. Damit macht Microsoft deutlich: Die Verlängerung ist in erster Linie eine Entlastung für Endverbraucher, nicht für Geschäftskunden.\nFazit Die Entscheidung verschafft Windows-10-Nutzern im EWR mehr Luft. Für Privatpersonen gibt es noch ein Jahr kostenlose Sicherheitsupdates, Unternehmen bleiben beim kostenpflichtigen Modell. Eine dauerhafte Lösung ist das aber nicht: Wer langfristig sicher arbeiten möchte, kommt um den Umstieg auf Windows 11 oder ein anderes unterstütztes System nicht herum. Spätestens 2026 endet die Windows-10-Ära endgültig.\n","permalink":"https://m365simple.de/posts/windows-10-sicherheitsupdates-microsoft-gibt-ein-jahr-extra-aber-nicht-fur-alle/","summary":"Microsoft sorgt für eine Überraschung: Windows 10 erhält in der Europäischen Wirtschaftszone (EWR) ein zusätzliches Jahr kostenlose Sicherheitsupdates. Das ursprünglich geplante Support-Ende am 14. Oktober 2025 verschiebt sich damit auf den 14. Oktober 2026 – zumindest für private Nutzer.\nDas ursprüngliche Ende: Oktober 2025 Windows 10 begleitet Millionen von Anwendern seit 2015. Eigentlich sollte im Oktober 2025 Schluss sein: Danach wären keine Sicherheitsupdates mehr erschienen, außer über ein kostenpflichtiges „Extended Security Updates“-Programm (ESU).","title":"Windows 10 Sicherheitsupdates: Microsoft gibt ein Jahr extra – aber nicht für Alle"},{"content":"Microsoft 365 Companion Apps: Was Admins ab Oktober erwartet Manche Updates plätschern vorbei, andere ziehen Wellen. Ab Ende Oktober 2025 installiert Microsoft automatisch die neuen Companion Apps auf Windows 11 Geräten mit Microsoft 365 Desktop-Apps. Rollout-Ende: Dezember. Klingt klein, ist es aber nicht – für IT-Admins kann das schnell ein neues Thema auf der Agenda werden.\nDrei Apps, ein Versprechen People zeigt Profile, Organigramme und Skills von Kollegen.\nFiles bündelt Cloud- und lokale Dokumente, mit Vorschau und Filtern.\nCalendar gibt Tages- und Agendaansichten, Meetings lassen sich direkt starten oder nachbereiten.\nDazu gesellt sich Copilot, der Inhalte zusammenfasst, Nachrichten vorbereitet oder Termineinladungen kontextbezogen ergänzt. Praktisch, ja – aber datensensibel.\nWarum Admins hinschauen müssen Die Installation läuft vollautomatisch. Nutzer tun nichts, die Apps sind einfach da. Wer das nicht möchte, muss aktiv werden: Im Microsoft 365 Apps Admin Center unter Device Configuration → Modern App Settings lässt sich die automatische Installation abschalten.\nAußerdem neu: Ab Mitte Oktober können Admins Companion Apps (und Copilot) zentral in die Taskleiste pinnen. Für Ordnung am Arbeitsplatz ein nützliches Detail.\nRollout in der Praxis Automatisch heißt selten reibungslos. Nutzer werden neue Symbole sehen und Fragen stellen. „Was ist das?“ oder „Warum habe ich plötzlich Zugriff auf andere Infos?“ – solche Supporttickets lassen sich mit klarer Kommunikation im Vorfeld vermeiden. Ein kurzer Hinweis oder eine kleine Schulungseinheit spart Zeit und Nerven.\nTo-dos für IT-Verantwortliche User-Schulungen einplanen, damit Mitarbeiter Nutzen und Funktionsweise verstehen Entscheiden, ob die Apps im Unternehmen standardmäßig bleiben oder deaktiviert werden Pilotgruppe einsetzen, um Feedback zu sammeln und Probleme früh sichtbar zu machen Compliance prüfen, da Copilot Microsoft Graph-Daten wie Dateien, Kontakte und Termine nutzt Datenschutz im Hinterkopf Copilot ist nur so gut wie die Daten, die er verarbeitet. Genau das macht ihn gleichzeitig zu einem Risiko. Wer den Rollout freigibt, sollte die interne Governance im Blick haben und die Prozesse sauber dokumentieren.\nFazit Drei neue Apps wirken unscheinbar, bringen aber tiefgreifende Veränderungen in die tägliche Arbeit mit Microsoft 365. Für Admins heißt das: Einstellungen prüfen, Datenschutzfragen klären und die Nutzer abholen. Wer das Thema früh angeht, verhindert nicht nur Ärger – er verschafft der Belegschaft Werkzeuge, die tatsächlich hilfreich sein können.\n","permalink":"https://m365simple.de/posts/microsoft-365-companion-apps-was-admins-ab-oktober-erwartet/","summary":"Microsoft 365 Companion Apps: Was Admins ab Oktober erwartet Manche Updates plätschern vorbei, andere ziehen Wellen. Ab Ende Oktober 2025 installiert Microsoft automatisch die neuen Companion Apps auf Windows 11 Geräten mit Microsoft 365 Desktop-Apps. Rollout-Ende: Dezember. Klingt klein, ist es aber nicht – für IT-Admins kann das schnell ein neues Thema auf der Agenda werden.\nDrei Apps, ein Versprechen People zeigt Profile, Organigramme und Skills von Kollegen.\nFiles bündelt Cloud- und lokale Dokumente, mit Vorschau und Filtern.","title":"Microsoft 365 Companion Apps: Was Admins ab Oktober erwartet"},{"content":"Microsoft hat im Oktober 2025 still und leise ein neues Feature herausgebracht: „Silent Test Call“. Es klingt unspektakulär, ist aber für viele Unternehmen ein praktisches Werkzeug.\nHierbei werden Anrufe im Hintergrund simuliert. Dies ist allerdings für den User nicht zu bemerken. Kein Pop-up, kein Ton, kein Symbol. Der Test läuft, misst die Verbindung, speichert die Daten – und fertig.\nWarum das Ganze?\nTeams ist für viele Organisationen ein wichtiger Baustein in der täglichen Kommunikation mit internen und externen Partnern. Dabei ist Teams auf die unterliegende Netzwerkinfrastruktur angewiesen. Das Troubleshooting von schlechter Gesprächsqualität ist dabei alles andere als einfach. Hier kommt die neue Test-Funktion zum Einsatz.\nDiese läuft automatisch, rund eine Minute lang, und überprüft, ob Netzwerk, Hardware und Audio zusammenspielen. Die Idee dahinter ist, dass Probleme sichtbar werden, bevor sie auftreten.\nNur für Premium – vorerst\nDie Funktion ist Teil von Teams Premium und steht zunächst für Windows- und macOS-Clients bereit. Microsoft rollt sie schrittweise aus:\nab September 2025 für Targeted Release-Tenants, weltweit dann bis Anfang Dezember.\nIm Admin Center lassen sich die Tests einsehen und steuern, inklusive Zuordnung zu bestimmten Subnetzen um z.B. Filialen, große Büros oder Meetingräume mit bekannten Problemen identifizieren zu können.\nWas sich daraus ergibt\nFür IT-Abteilungen ist das durchaus relevant. Statt nur zu reagieren, kann die Infrastruktur kontinuierlich überprüft werden. Wenn sich etwa auffällige Werte häufen, lassen sich Engpässe erkennen, bevor das Problem durch Benutzer gemeldet wird.\nNatürlich hängt der Nutzen stark von der Umsetzung ab: Wer keine klare Datenbewertung hat oder Subnetze zu weit fasst, wird wenig daraus gewinnen. Aber richtig eingesetzt kann die Funktion Supportzeiten verkürzen und die Servicequalität verbessern.\nEin paar offene Punkte\nDie Lizenzpflicht schränkt den Kreis der Nutzer leider ein und auch die Interpretation der Messergebnisse erfordert technisches Verständnis. Außerdem bleibt abzuwarten, wie zuverlässig die Tests in komplexen Umgebungen funktionieren – etwa bei VPN-Nutzung oder wechselnden IP-Bereichen.\nDie Richtung ist allerdings eindeutig: Microsoft setzt stärker auf proaktive Systemdiagnose. Teams wird damit nicht nur Kommunikationsplattform, sondern bringt auch Werkzeuge mit um die unterliegende Infrastruktur zu testen.\nFazit\nEin unauffälliges Update, das leicht übersehen wird, aber viel Potenzial hat. Der „Silent Test Call“ ist kein Feature, das Schlagzeilen macht – doch wer regelmäßig mit schwankender Audioqualität zu kämpfen hat, dürfte es zu schätzen wissen.\n","permalink":"https://m365simple.de/posts/new-post-1/","summary":"Microsoft hat im Oktober 2025 still und leise ein neues Feature herausgebracht: „Silent Test Call“. Es klingt unspektakulär, ist aber für viele Unternehmen ein praktisches Werkzeug.\nHierbei werden Anrufe im Hintergrund simuliert. Dies ist allerdings für den User nicht zu bemerken. Kein Pop-up, kein Ton, kein Symbol. Der Test läuft, misst die Verbindung, speichert die Daten – und fertig.\nWarum das Ganze?\nTeams ist für viele Organisationen ein wichtiger Baustein in der täglichen Kommunikation mit internen und externen Partnern.","title":"Microsoft Teams bekommt stille Testanrufe – kleines Update, große Wirkung"},{"content":"Apple kündigt für den 22. September 2025 neue Vereinbarungen im Apple Business Manager (ABM) an. Administratoren sollten dieses Datum im Blick behalten, denn ohne die Zustimmung zu den neuen Bedingungen kommt die Geräte- und App-Verwaltung zum Stillstand.\nWelche Vereinbarungen werden aktualisiert? Folgende Verträge müssen akzeptiert werden:\niOS und iPadOS Softwarelizenz macOS Softwarelizenz tvOS Softwarelizenz visionOS Softwarelizenz Apple Business Manager Agreement Das Apple Business Manager Agreement enthält neben redaktionellen Anpassungen vor allem:\nNeue Definitionen und Klarstellungen Regulatorische Anpassungen für EU-Organisationen Allgemeine Verbesserungen zur Verständlichkeit Was passiert, wenn man die Verträge nicht akzeptiert? Ohne Annahme der neuen Bedingungen können keine neuen Geräte eingeschrieben und keine neuen Apps verteilt werden.\nDas bedeutet: Wer nicht rechtzeitig handelt, riskiert Ausfälle im laufenden Betrieb und Probleme beim Rollout von Hardware oder Anwendungen.\nWas müssen Unternehmen jetzt tun? Administrator festlegen: Prüfen, wer in Ihrer Organisation die ABM-Adminrolle innehat. Termin vormerken: Ab dem 22. September 2025 anmelden und die neuen Vereinbarungen bestätigen. Downtime vermeiden: Die Annahme sollte direkt erfolgen, um reibungslose Abläufe sicherzustellen. Fazit Für alle, die Apple Business Manager aktiv nutzen, ist die Annahme der neuen Verträge zwingend notwendig. Planen Sie die Umstellung rechtzeitig ein, damit weder Gerätebereitstellung noch App-Deployment blockiert werden.\nOffizielle Infos finden Sie direkt bei Apple: If Apple Business Manager, Apple Business Essentials, or Apple School Manager asks you to approve new terms and conditions - Apple Support\n","permalink":"https://m365simple.de/posts/apple-business-manager-update-2025/","summary":"Apple kündigt für den 22. September 2025 neue Vereinbarungen im Apple Business Manager (ABM) an. Administratoren sollten dieses Datum im Blick behalten, denn ohne die Zustimmung zu den neuen Bedingungen kommt die Geräte- und App-Verwaltung zum Stillstand.\nWelche Vereinbarungen werden aktualisiert? Folgende Verträge müssen akzeptiert werden:\niOS und iPadOS Softwarelizenz macOS Softwarelizenz tvOS Softwarelizenz visionOS Softwarelizenz Apple Business Manager Agreement Das Apple Business Manager Agreement enthält neben redaktionellen Anpassungen vor allem:","title":"Apple Business Manager Update 2025"},{"content":"","permalink":"https://m365simple.de/posts/new-post-2/","summary":"","title":"Apple Business Manager Update 2025"},{"content":"Microsoft hat seine Einzel-Abos neu strukturiert. Statt Copilot Pro gibt es nun Microsoft 365 Premium für 19,99 Dollar pro Monat. Der Fokus: mehr KI direkt in den Office-Apps, höhere Nutzungslimits und ein vereinfachtes Abo-Modell.\nKernpunkte von Microsoft 365 Premium Alle Office-Apps mit integriertem Copilot: Word, Excel, PowerPoint, OneNote, Outlook. Neue KI-Agenten: Researcher: sammelt und fasst Informationen aus Web oder Dateien direkt im Dokument. Analyst: verwandelt Rohdaten in Excel in umsetzbare Aufgaben. Früher Zugang zu Innovationen: Office Agent und Agent Mode für automatische Erstellung von Dokumenten und Präsentationen. Höchste Nutzungslimits: z. B. für GPT-4o Bildgenerierung, Voice, Deep Research, Vision, Podcasts. Zusatzleistungen: 1 TB Cloud-Speicher pro Person, Microsoft Defender für erweiterten Schutz. Neue Features in Arbeit: Photos Agent zur Organisation von Bildmaterial. Änderungen bei bestehenden Abos Personal (9,99 $) und Family (12,99 $): höhere Copilot-Limits ohne Aufpreis. Copilot Chat: jetzt in allen Microsoft 365-Apps auch für Einzelabonnenten. Frontier-Programm: Zugang zu experimentellen Features für alle Personal-, Family- und Premium-Abos. Studierendenangebot: 1 Jahr Microsoft 365 Personal kostenlos (bis 31. Oktober 2025, Uni-Mail erforderlich). Sicherheit und Governance Sichere Integration von persönlichem Copilot-Abo ins Arbeitsumfeld: Daten bleiben geschützt, Berechtigungen aus OneDrive/SharePoint werden respektiert, keine Modell-Trainings auf Kundendaten. Vergleich zu ChatGPT Plus (nur am Rande) Premium: Office-Integration, Speicher, Defender, höhere KI-Limits. ChatGPT Plus: individuelle GPTs und Sora (Video). Fazit: Microsoft 365 Premium ersetzt Copilot Pro, bündelt KI und Office-Apps in einem Abo und bringt erstmals fortgeschrittene Agenten wie Researcher und Analyst für Einzelanwender. Bestehende Abos profitieren von erweiterten Copilot-Funktionen ohne Preiserhöhung.\n","permalink":"https://m365simple.de/posts/microsoft-365-premium-das-neue-copilot-pro/","summary":"Microsoft hat seine Einzel-Abos neu strukturiert. Statt Copilot Pro gibt es nun Microsoft 365 Premium für 19,99 Dollar pro Monat. Der Fokus: mehr KI direkt in den Office-Apps, höhere Nutzungslimits und ein vereinfachtes Abo-Modell.\nKernpunkte von Microsoft 365 Premium Alle Office-Apps mit integriertem Copilot: Word, Excel, PowerPoint, OneNote, Outlook. Neue KI-Agenten: Researcher: sammelt und fasst Informationen aus Web oder Dateien direkt im Dokument. Analyst: verwandelt Rohdaten in Excel in umsetzbare Aufgaben.","title":"Microsoft 365 Premium - Das neue Copilot Pro"},{"content":"Ab dem 2. Dezember 2025 (oder kurz danach) nimmt Microsoft eine wichtige Änderung an der Netzwerkinfrastruktur von Microsoft Intune vor. Damit die Geräteverwaltung weiterhin reibungslos funktioniert, sollten IT-Abteilungen jetzt aktiv werden.\nWas ändert sich? - Intune wird künftig zusätzlich über Azure Front Door laufen. - Dafür werden neue IP-Adressen verwendet. - Unternehmen, die ausgehenden Netzwerkverkehr mit Firewalls, Proxys oder Netzwerk-Security-Gruppen einschränken, müssen ihre Regeln anpassen.\nWarum ist das wichtig? Wenn die neuen Adressen nicht erlaubt werden, können folgende Probleme auftreten:\n- Benutzer können sich nicht mehr anmelden. - Geräte verlieren die Verbindung zu Intune. - Wichtige Apps wie das Intune Company Portal oder Apps mit App-Schutzrichtlinien funktionieren nicht mehr zuverlässig.\nWas müssen Sie tun? 1. Prüfen Sie Ihre Firewall-/Netzwerkregeln\n- Wenn Ihre Umgebung bereits Service Tags unterstützt, fügen Sie den Tag `AzureFrontDoor.MicrosoftSecurity` hinzu. - Falls Ihre Systeme keine Service Tags verstehen, müssen Sie die folgenden IP-Bereiche explizit zulassen.\n2. Neue IP-Adressen freigeben\nIPv4\n- 13.107.219.0/24 - 13.107.227.0/24 - 13.107.228.0/23 - 150.171.97.0/24\nIPv6\n- 2620:1ec:40::/48 - 2620:1ec:49::/48 - 2620:1ec:4a::/47\n3. Regelmäßig prüfen\n- Microsoft kann IP-Bereiche jederzeit erweitern. - Laden Sie die aktuelle JSON-Datei mit allen Microsoft-IP-Adressen regelmäßig herunter oder automatisieren Sie den Abgleich.\nEmpfehlung - Jetzt handeln, nicht erst im Dezember! - Stimmen Sie sich mit Ihrem Netzwerkteam ab. - So stellen Sie sicher, dass es am Stichtag keine Ausfälle in Ihrer Intune-Umgebung gibt.\n-\u0026ndash;\nQuellen - Microsoft Tech Community – Support tip: Upcoming Microsoft Intune network changes\n-Azure IP Ranges and Service Tags – Public Cloud (Microsoft Download)\n- Microsoft Learn – Service Tags Overview\n- AzureSpeed – AzureFrontDoor.MicrosoftSecurity IP ranges\n","permalink":"https://m365simple.de/posts/intune-neue-netzwerk-endpunkte-und-ip-adressen/","summary":"Ab dem 2. Dezember 2025 (oder kurz danach) nimmt Microsoft eine wichtige Änderung an der Netzwerkinfrastruktur von Microsoft Intune vor. Damit die Geräteverwaltung weiterhin reibungslos funktioniert, sollten IT-Abteilungen jetzt aktiv werden.\nWas ändert sich? - Intune wird künftig zusätzlich über Azure Front Door laufen. - Dafür werden neue IP-Adressen verwendet. - Unternehmen, die ausgehenden Netzwerkverkehr mit Firewalls, Proxys oder Netzwerk-Security-Gruppen einschränken, müssen ihre Regeln anpassen.\nWarum ist das wichtig? Wenn die neuen Adressen nicht erlaubt werden, können folgende Probleme auftreten:","title":"Intune - Neue Netzwerk-Endpunkte und IP-Adressen"},{"content":" Wir wollen unser WorkSimple-Portfolio strategisch erweitern und setzen dabei auf echte KI-Anwendungen statt auf Buzzword-Feuerwerk. Genau deshalb machen wir das fundiert, mit sinnvollem Plan und klarer Zielrichtung. Worum es dabei konkret geht, seht ihr in unserem Logbuch.\nLogbuch Eintrag #1 - Der Start Logbuch Eintrag #2 - Willkommen im Dschungel Im dritten Beitrag kümmern wir uns um das Fundament: den Beginn jeder unternehmensbezogenen KI-Reise. Nach mehreren Kundeninterviews und einer Marktanalyse, die im nächsten Monat samt zugehöriger Use Cases folgt, möchte ich zunächst einen Grundstein für unsere zukünftige Arbeit legen. Dieser unterscheidet sich deutlich von dem, was viele andere Marktanbieter tun\u0026hellip;\n95% der KI Projekte scheitern - Warum? Vor zwei Wochen erschien eine neue MIT-Studie, die zeigt: Nur etwa 5 % der KI-Projekte liefern kurzfristig echten geschäftlichen Nutzen. Die übrigen 95 % bleiben im Pilotstatus oder scheitern. Die Hauptursachen:\nPrestigeprojekte statt Alltagsnutzen: Häufig starten Unternehmen „Leuchtturmprojekte“, die nach außen modern und innovativ wirken sollen – etwa Chatbots, die nie genutzt werden, oder Predictive-Analytics-Dashboards, die niemand im Alltag versteht. Diese Projekte schaffen selten echten Mehrwert, sondern verbrauchen Budgets und Ressourcen. Schlechte Integration \u0026amp; fehlendes Lernen: KI-Lösungen sind oft nicht in bestehende Prozesse eingebettet und lernen nicht kontextbezogen mit. Dadurch bleibt ihr Nutzen im operativen Alltag aus. Mangel an Know-how: Viele Unternehmen verfügen nicht über das nötige Verständnis oder die Fachkompetenz, um KI sinnvoll einzusetzen. Das führt zu ineffektiven Projekten. Starre Strukturen: Etablierte Organisationen sind weniger flexibel und tun sich schwer, Prozesse für KI anzupassen. Start-ups sind hier deutlich erfolgreicher. Falsche Use Cases: Der Fokus liegt häufig auf Marketing und Vertrieb, obwohl laut Studie der ROI bei internen Prozessen wie Back-Office deutlich höher ist. Fehlstrategie bei der Umsetzung: Eigenentwicklungen scheitern doppelt so häufig wie zugekaufte Lösungen. Erfolgsquote: 67 % bei externen Tools vs. 33 % bei internen Projekten. Schwaches Change-Management: Ohne Führung, Schulung und Kulturwandel bleiben KI-Initiativen in der Testphase stecken. Interne Widerstände sind ein zentraler Bremsfaktor. Diese Erkenntnisse decken sich mit den bisherigen Kundeninterviews und der Aussagen diverser Distributoren.\nVom Whiteboard zur Werkbank: Um nicht zu den 95% zu gehören, beginnen wir bei Ulrike Schaut man sich die Wettbewerbslandschaft an, kommen die meisten KI-Dienstleister aus dem Data-Analytics-Bereich und entwickeln ihre Lösungen technologiegetrieben. Der Knackpunkt: Die Ideen stammen oft aus dem Management, aber niemand spricht mit der operativen Ebene. Dort sitzt zum Beispiel Ulrike, die seit fünfzehn Jahren jeden Handgriff kennt und genau weiß, wo es hakt.\nWarum also nicht dort anfangen? Einen Tag über die Schulter schauen, verstehen, was wirklich gebraucht wird. Genau das machen wir. Wir wollen grundlegend mit dem klassichen Shadowing anfangen.\nShadowing: Mitarbeitenden direkt bei ihrer täglichen Arbeit über die Schulter zu schauen, um Abläufe, Herausforderungen und Verbesserungspotenziale aus erster Hand zu verstehen.\nDer Vorteil liegt auf der Hand: Wir entwickeln Use Cases mit echtem Mehrwert, direkt aus dem Alltag heraus. Die Mitarbeitenden bringen ihr Wissen ein, gestalten mit und sorgen dafür, dass die Lösungen später auch genutzt werden. Oft lassen sich daraus schlanke Prototypen entwickeln, die schnell Wirkung zeigen.\nNatürlich bringt dieser Ansatz auch Herausforderungen mit sich. Shadowing braucht Zeit und Struktur. Nicht jeder Prozess ist technisch sofort umsetzbar, und ohne Rückendeckung des Managements bleibt eine gute Idee schnell lokal stecken.\nDeshalb bleiben wir ergebnisoffen. Vielleicht ergibt sich ein KI-Use Case, vielleicht auch einfach ein \u0026ldquo;klassisches\u0026rdquo; Softwarethema, das unser Entwicklerteam direkt umsetzen kann. Entscheidend ist, was dem Kunden wirklich hilft.\nShadowing im Einsatz: Zwei Tage, die ein klares Bild liefern Und hier ist mein Ansatz, dieses Vorhaben als Grundlage jeder Kundensituation innerhalb von zwei Tagen umzusetzen:\nTag\nAktivität\nZiel\nDeliverables\nVorab (remote)\nVorgespräch \u0026amp; Scoping\nErwartungshaltung klären, Rahmenbedingungen und Zielprozesse festlegen, Zugang zu relevanten Rollen sicherstellen, Risiken vermeiden (z. B. dass Mitarbeitende nur „gewünschte Probleme“ platzieren).\nGesprächsprotokoll mit Zielen, Rahmenbedingungen, relevanten Rollen \u0026amp; Scoping-Dokument\nTag 1 (Vormittag)\nShadowing bei mehreren Mitarbeitenden in unterschiedlichen Rollen\nDirekten Einblick in reale Arbeitsabläufe gewinnen, unterschiedliche Perspektiven erfassen, ungeschminkte Schmerzpunkte dokumentieren\nShadowing-Dokumentation (1–2 Seiten) mit Beobachtungen, typischen Aufgaben, Herausforderungen\nTag 1 (Nachmittag)\nVertiefendes Shadowing in Schlüsselprozessen\nKritische Schnittstellen und Abhängigkeiten erkennen, typische Workarounds und versteckte Ineffizienzen sichtbar machen\nProzess-Mapping Draft (grafische Darstellung zentraler Abläufe inkl. Schwachstellen)\nTag 1 (Abend)\nProzessskizze \u0026amp; Vorbereitung des Workshops\nAbläufe in Prozessdiagrammen oder Journey Maps visualisieren, Hauptprobleme clustern, erste Hypothesen für Use Cases formulieren, Workshop-Agenda aufbauen\nProzessübersicht (Visual) + Workshop-Agenda (1 Seite)\nTag 2 (Vormittag)\nWorkshop: Analyse \u0026amp; Ideenentwicklung mit Mitarbeitenden und Stakeholdern\nGemeinsames Prozessverständnis schaffen, Pain Points validieren, Ideen bündeln, mögliche Use Cases aus Mitarbeitersicht entwickeln\nWorkshop-Protokoll mit dokumentierten Ideen, validierten Pain Points \u0026amp; ersten Use Case-Skizzen\nTag 2 (Mittag)\nStrukturierung \u0026amp; Bewertung der gesammelten Ideen\nUse Cases nach Nutzen, Umsetzbarkeit und Relevanz strukturieren, erste Shortlist erstellen\nUse Case Matrix (Impact/Effort-Analyse) + Top-3-Shortlist\nTag 2 (Nachmittag)\nRoadmap \u0026amp; Fahrplan-Definition\nPilot-Use Case auswählen, Prioritäten und Quick Wins festlegen, Verantwortlichkeiten klären, nächste Schritte definieren\nMini-Roadmap (2–3 Monate) mit Pilot-Use Case Beschreibung, Zuständigkeiten \u0026amp; nächstem Schritt\n","permalink":"https://m365simple.de/posts/die-worksimple-ki-reise-logbuch-eintrag-3-sprich-mit-erna/","summary":"Wir wollen unser WorkSimple-Portfolio strategisch erweitern und setzen dabei auf echte KI-Anwendungen statt auf Buzzword-Feuerwerk. Genau deshalb machen wir das fundiert, mit sinnvollem Plan und klarer Zielrichtung. Worum es dabei konkret geht, seht ihr in unserem Logbuch.\nLogbuch Eintrag #1 - Der Start Logbuch Eintrag #2 - Willkommen im Dschungel Im dritten Beitrag kümmern wir uns um das Fundament: den Beginn jeder unternehmensbezogenen KI-Reise. Nach mehreren Kundeninterviews und einer Marktanalyse, die im nächsten Monat samt zugehöriger Use Cases folgt, möchte ich zunächst einen Grundstein für unsere zukünftige Arbeit legen.","title":"Die WorkSimple KI-Reise | Logbuch Eintrag #3 - Sprich mit Ulrike"},{"content":"Ab dem 30. September 2025 macht Microsoft Schluss mit dem Default Outbound Access für virtuelle Maschinen. Bisher konnten VMs ohne eigene Public IP oder NAT Gateway trotzdem ins Internet. Azure hat sich darum gekümmert. Praktisch, aber kaum kontrollierbar.\nWarum das Ganze? Der Schritt ist logisch: Ein unsichtbarer Internetzugang passt nicht zu modernen Zero-Trust-Strategien. Wer Compliance, Sicherheit und Nachvollziehbarkeit ernst nimmt, will wissen, welche Systeme wie und über welche IP heraustelefonieren.\nWann bin ich betroffen? Alle ab dem 30. September 2025 neu erstellen VMs erhalten keinen Default Outbound Access.\nVorher erstellte VMs sind nicht betroffen.\nWas sind die Alternativen? Microsoft bietet vier klare Optionen:\nNAT Gateway: Ideal für produktive Workloads, zentral steuerbar, feste IPs. Allerdings kann ein NAT Gateway nur jeweils einem VNET zugewiesen werden. Public IP pro VM: Einfach, aber unübersichtlich, wenn viele VMs im Spiel sind. Azure Firewall/NVA: Für komplexe Sicherheitsarchitekturen mit strengen Vorgaben. Load Balancer mit Outbound Rules: Praktisch, wenn ohnehin Lastverteilung genutzt wird. Bietet zusätzlich kontrollierte Internetkonnektivität. Welche Lösung passt, hängt vom Szenario ab. Testsystem? Vielleicht reicht die Public IP. Kritische Umgebung? Besser NAT Gateway oder Firewall.\nMicrosofts vollständiges Statement finden Sie hier: https://learn.microsoft.com/en-us/azure/virtual-network/ip-services/default-outbound-access.\n","permalink":"https://m365simple.de/posts/azure-streicht-den-default-outbound-access-was-ist-zu-tun/","summary":"Ab dem 30. September 2025 macht Microsoft Schluss mit dem Default Outbound Access für virtuelle Maschinen. Bisher konnten VMs ohne eigene Public IP oder NAT Gateway trotzdem ins Internet. Azure hat sich darum gekümmert. Praktisch, aber kaum kontrollierbar.\nWarum das Ganze? Der Schritt ist logisch: Ein unsichtbarer Internetzugang passt nicht zu modernen Zero-Trust-Strategien. Wer Compliance, Sicherheit und Nachvollziehbarkeit ernst nimmt, will wissen, welche Systeme wie und über welche IP heraustelefonieren.","title":"Azure streicht den Default Outbound Access - Was ist zu tun?"},{"content":"Exchange Online stellt die Basic-Authentifizierung für \u0026ldquo;Client Submission (SMTP AUTH)\u0026rdquo; stufenweise ein. Ab dem 1. März 2026 werden erste Verbindungsversuche mit Basic auth abgelehnt, und ab dem 30. April 2026 erfolgt die vollständige Abschaltung – Basic auth wird dann endgültig nicht mehr unterstützt. Ursprünglich war dieser Schritt bereits für September 2025 vorgesehen, wurde jedoch im Juni 2025 auf das Frühjahr 2026 verschoben.\nUm Unternehmen und Administratoren rechtzeitig vorzubereiten, hat Microsoft zusätzliche Maßnahmen angekündigt. Bereits seit Oktober 2024 zeigt der \u0026ldquo;SMTP AUTH Clients Submission Report\u0026rdquo; an, ob Verbindungen per Basic auth oder OAuth erfolgen. Darüber hinaus werden im Laufe des Jahres 2025 Erinnerungsmeldungen im Microsoft Message Center bereitgestellt, konkret zu Beginn des Jahres sowie noch einmal im August 2025.\nTimeline Zeitpunkt\nEreignis\nOktober 2024\nEinführung des SMTP AUTH Clients Submission Reports – zeigt Basic- vs. OAuth-Nutzung\nAnfang 2025\nErste Erinnerungsmeldung im Microsoft Message Center\nAugust 2025\nZweite Erinnerungsmeldung im Microsoft Message Center\n1. März 2026\nErste Ablehnungen von Basic-authentifizierten SMTP-Verbindungen\n30. April 2026\nVollständige Abschaltung der Basic-Authentifizierung für SMTP AUTH\nWarum die Änderung? Basic-Authentifizierung überträgt Benutzername und Passwort leicht entschlüsselbar. Mögliche Angriffe sind:\nPhishing und Credential Theft Brute-Force-Angriffe Umgehung von Multi-Factor Authentication (MFA) Microsoft setzt deshalb auf OAuth 2.0 / Modern Authentication mit Token-basiertem, sicherem Ansatz, der auch MFA und Conditional Access unterstützt.\nAlternativen zur Basic-Authentifizierung für SMTP AUTH Falls Geräte oder Anwendungen noch Basic Authentication verwenden, gibt es mehrere Alternativen – je nach Einsatzzweck und Funktion des Endgeräts:\nOAuth-Authentifizierung nutzen\nWenn der Client oder die Anwendung es unterstützt, sollte unbedingt auf OAuth umgestellt werden. Dies ist die sicherste und langfristig empfohlene Lösung.\nHigh Volume Email für Microsoft 365\nFür interne Empfänger innerhalb des eigenen Tenants bietet Microsoft einen speziellen Dienst an, der aktuell noch in der Public Preview ist. Er ist besonders für große Mengen an SMTP-Submissions optimiert.\nAzure Communication Services – E-Mail (ACS)\nMit ACS lassen sich E-Mails sowohl an interne als auch an externe Empfänger senden. Die Lösung stellt eine moderne SMTP-Schnittstelle bereit, die mit sicherer Authentifizierung arbeitet und sich zentral verwalten lässt. Hier hat mein Kollege Nicolas vor einiger Zeit einen Artikel zum Communication Service verfasst.\nExchange-Server on-premises im Hybrid-Setup\nOrganisationen mit einer Hybrid-Umgebung können weiterhin über den lokalen Exchange-Server senden. Dabei ist es möglich, Basic Authentication lokal zu verwenden oder über einen Receive Connector Relay-Funktionalität bereitzustellen.\nSMTP-Relay / Direct Send über Office 365 Connectoren\nFür Geräte, die keine Authentifizierung unterstützen, kommt auch der direkte Versand über Office 365 Connectoren in Betracht. Diese Variante eignet sich besonders für spezielle Szenarien, in denen keine Umstellung auf OAuth möglich ist.\n","permalink":"https://m365simple.de/posts/exchange-online-stellt-basic-authentifizierung-smtp-auth-ein/","summary":"Exchange Online stellt die Basic-Authentifizierung für \u0026ldquo;Client Submission (SMTP AUTH)\u0026rdquo; stufenweise ein. Ab dem 1. März 2026 werden erste Verbindungsversuche mit Basic auth abgelehnt, und ab dem 30. April 2026 erfolgt die vollständige Abschaltung – Basic auth wird dann endgültig nicht mehr unterstützt. Ursprünglich war dieser Schritt bereits für September 2025 vorgesehen, wurde jedoch im Juni 2025 auf das Frühjahr 2026 verschoben.\nUm Unternehmen und Administratoren rechtzeitig vorzubereiten, hat Microsoft zusätzliche Maßnahmen angekündigt.","title":"Exchange Online stellt Basic-Authentifizierung (SMTP AUTH) ein"},{"content":"Microsoft launcht seit dem 1. September 2025 drei neue Add-On-Pakete für Microsoft 365 Business Premium. Mit den neuen Add-Ons Defender Suite, Purview Suite und der kombinierten Defender \u0026amp; Purview Suite erhalten Unternehmen Zugang zu Sicherheits- und Compliance-Features, die bislang vor allem großen Enterprise-Kunden vorbehalten waren\nAdd-On Paket\nPreis (USD/Monat/Nutzer)\nFokus\nInhalt\nDefender Suite for Business Premium\n10 $\nEnd-to-End Security\nEntra ID P2, Defender for Identity, Defender for Endpoint P2, Defender for Office 365 P2, Defender for Cloud Apps Purview Suite for Business Premium\n10 $\nCompliance \u0026amp; Governance\neDiscovery \u0026amp; Audit, Insider Risk Management, Information Protection \u0026amp; Governance – jeweils als M365 E5 Komponenten Defender \u0026amp; Purview Suite\n15 $\nSecurity + Compliance (Kombi)\nAlle obigen Dienste in einem Paket Highlights der Defender Suite ($10):\nIdentity Protection mit Entra ID P2: Risk-Based Conditional Access, Verhaltens-Analysen, Real-Time-Blockierung. Defender for Identity: Bietet umfassende Überwachung hybrider Identitätsumgebungen über XDR. Defender for Endpoint Plan 2: Antimalware, Endpoint Detection \u0026amp; Response, Threat Hunting, Attack Surface Reduction, Secure Score. Defender for Office 365 P2: Phishing-Simulation, automatisierte Reaktion, Post-Breach-Untersuchung. Defender for Cloud Apps: CASB-Funktionen inklusive Shadow-IT-Erkennung und Kontrolle. Highlights der Purview Suite ($10):\neDiscovery \u0026amp; Audit (M365 E5): Umfangreiche Recherche- und Compliance-Tools. Insider Risk Management (M365 E5): Automatisierte Warnung bei internen Risiken. Information Protection \u0026amp; Governance (M365 E5): Klassifikation, Schutz und Richtliniensteuerung für sensible Daten. Combined Bundle ($15):\nBeide Pakete kombiniert, zu einem Vorteilspreis ","permalink":"https://m365simple.de/posts/microsoft-fuhrt-defender-und-purview-suites-fur-business-premium-ein/","summary":"Microsoft launcht seit dem 1. September 2025 drei neue Add-On-Pakete für Microsoft 365 Business Premium. Mit den neuen Add-Ons Defender Suite, Purview Suite und der kombinierten Defender \u0026amp; Purview Suite erhalten Unternehmen Zugang zu Sicherheits- und Compliance-Features, die bislang vor allem großen Enterprise-Kunden vorbehalten waren\nAdd-On Paket\nPreis (USD/Monat/Nutzer)\nFokus\nInhalt\nDefender Suite for Business Premium\n10 $\nEnd-to-End Security\nEntra ID P2, Defender for Identity, Defender for Endpoint P2, Defender for Office 365 P2, Defender for Cloud Apps Purview Suite for Business Premium","title":"Microsoft führt Defender- und Purview-Suites für Business Premium ein"},{"content":"Was ist Direct Send und warum ist es problematisch? Direct Send ist eine Funktion in Exchange Online, mit der Geräte, Anwendungen oder Drittservices E-Mails direkt, ohne jegliche Authentifizierung, an Postfächer im eigenen Tenant senden können. Statt über sichere, geprüfte Verbindungen zu laufen, greifen diese Mails auf die öffentlich erreichbare Endpoint-Domain des Tenants zu, z. B. deine‑firma‑com.mail.protection.outlook.com. Genau darin liegt das Risiko: Da keine Authentifizierung notwendig ist, können Angreifer täuschend echte interne E-Mails versenden, ohne Zugang zu Konten oder Passwörtern. Hinzu kommt, dass Direct Send herkömmliche Schutzmechanismen wie SPF, DKIM und DMARC umgeht, weil die Mails über Microsofts eigene Infrastruktur zugestellt werden. Dadurch können Phishing-Nachrichten leichter in Postfächern landen und ein hohes Sicherheitsrisiko darstellen.\nBin ich betroffen? Ob im eigenen Tenant die Option richtig gesetzt ist, kann man über Exchange Online Powershell abfragen. Steht der Parameter auf false ist Direct Send nicht auf authentifizierte Connectoren beschränkt.\n1 2 3 Get-OrganizationConfig |fl RejectDirectSend RejectDirectSend : False Zusätzlich hierzu lässt sich über das Exchange Online-Admin-Center über Reports \u0026gt; Mailflow \u0026gt; Inbound messages report erfassen, wie viele Mails an Connectoren vorbei versendet werden.\nWie kann man Direct Send absichern? Ein neues Feature in Exchange Online ermöglicht es, dass E-Mails vom eigenen Domainnamen, aber ohne Authentifizierung, grundsätzlich abgelehnt werden. Aktivieren kann man dies per Exchange Online PowerShell\n1 2 3 4 5 6 7 # Reject Direct Send Set-OrganizationConfig -RejectDirectSend $true # Check Get-OrganizationConfig |fl RejectDirectSend RejectDirectSend : True Nach Aktivierung wird jede Direct‑Send-Mail mit dem Fehler\n1 550 5.7.68 TenantInboundAttribution; Direct Send not allowed for this organization from unauthorized sources. abgelehnt.\nNach der Aktivierung dürfen nur noch Systeme, die sich über Inbound Connectoren authentifizieren, senden. Hier ist gegebenenfalls ein wenig Vorarbeit notwendig, wenn zuvor Systeme nicht über Inbound Connector authentifiziert wurden.\n","permalink":"https://m365simple.de/posts/exchange-online-direct-send-absichern/","summary":"Was ist Direct Send und warum ist es problematisch? Direct Send ist eine Funktion in Exchange Online, mit der Geräte, Anwendungen oder Drittservices E-Mails direkt, ohne jegliche Authentifizierung, an Postfächer im eigenen Tenant senden können. Statt über sichere, geprüfte Verbindungen zu laufen, greifen diese Mails auf die öffentlich erreichbare Endpoint-Domain des Tenants zu, z. B. deine‑firma‑com.mail.protection.outlook.com. Genau darin liegt das Risiko: Da keine Authentifizierung notwendig ist, können Angreifer täuschend echte interne E-Mails versenden, ohne Zugang zu Konten oder Passwörtern.","title":"Exchange Online Direct Send absichern"},{"content":"Viele Admins kennen dieses Bild. Alle Postfächer längst in Exchange Online, aber im Keller steht immer noch dieser eine Exchange-Server, der eigentlich nichts mehr tut – außer Attribute im Active Directory für die Cloud freizugeben. Er läuft, er nervt, er wird gebraucht - bisher.\nWarum war dieser Server so hartnäckig nötig? Weil Exchange-Attribute von synchronisierten Benutzern in der Cloud nicht einfach angepasst werden konnten. Änderungen an E-Mail-Adressen oder Postfacheinstellungen mussten weiterhin On-Prem erledigt werden. Auch wenn die Postfächer längst weggezogen waren, hing das Management noch an der lokalen Infrastruktur.\nMicrosoft zieht die Schrauben nach Jetzt hat Microsoft etwas Neues ins Spiel gebracht: Cloud-Managed Remote Mailboxes. Klingt sperrig, macht das Leben aber leichter. Kern des Ganzen ist eine Eigenschaft namens IsExchangeCloudManaged.\nNormalerweise steht diese auf False. Heißt: Exchange-Einstellungen liegen in On-Prem-Händen. Wenn Admins den Wert auf True setzen, dreht sich das Bild. Ab diesem Moment lassen sich Exchange-Attribute direkt in der Cloud bearbeiten – ohne dass der lokale Server mitredet oder die Synchronisation Änderungen überschreibt.\nZusammen mit der Änderung der Group SoA ist man nun vollständig in der Lage seinen lokalen Exchange abzuschalten. Vorausgesetzt er läuft nur noch zum verwalten der Attribute.\nWas das praktisch bedeutet E-Mail-Adressen, Aliase oder Postfachrichtlinien sind endlich im Exchange Admin Center oder per PowerShell in der Cloud änderbar. Identitätsattribute wie Name oder Abteilung bleiben weiterhin On-Prem verwaltet. Der letzte lokale Exchange-Server wird überflüssig – zumindest für diesen Zweck. Phase 1. Jetzt in der Vorschau Der Clou ist die Steuerung pro Postfach. Du kannst einzelne Benutzer auf Cloud-Management umstellen, indem du IsExchangeCloudManaged auf True setzt. Und wenn nötig wieder zurück auf False. Perfekt für Pilotgruppen und sauberes Testen im Betrieb.\nParallel führt Microsoft eine Einstellung auf Organisationsebene ein. Damit werden neu synchronisierte Benutzer standardmäßig cloud-gemanagt. Laut Ankündigung ab September. Das nimmt Druck aus dem Prozess, weil neue Konten sofort sauber landen.\nPhase 2. Writeback und Cloud Sync Hier kommt die Synchronisierung zurück ins Spiel. Änderungen an wichtigen Exchange-Eigenschaften in der Cloud werden in das lokale Active Directory geschrieben. Also zum Beispiel neue Proxyadressen. Damit bleiben Cloud und On-Prem sauber in Einklang.\nVoraussetzung ist Entra ID Cloud Sync. Ohne dieses Stück Infrastruktur gibt es kein Writeback. Welche Attribute unterstützt sind, steht in der verlinkten Doku der Ankündigung.\nEinzelnes Postfach auf Cloud-Management umstellen 1 2 3 4 5 6 7 8 9 10 11 # Status prüfen Get-Mailbox -Identity \u0026lt;user@contoso.com\u0026gt; | fl Identity,IsExchangeCloudManaged # Cloud als Quelle für Exchange Attribute setzen Set-Mailbox -Identity \u0026lt;user@contoso.com\u0026gt; -IsExchangeCloudManaged $true # Ergebnis kontrollieren Get-Mailbox -Identity \u0026lt;user@contoso.com\u0026gt; | fl Identity,IsExchangeCloudManaged # Beispieländerung in der Cloud vornehmen Set-Mailbox -Identity \u0026lt;user@contoso.com\u0026gt; -CustomAttribute1 \u0026#34;ManagedInCloud\u0026#34; ","permalink":"https://m365simple.de/posts/cloud-managed-remote-mailboxes-abschied-vom-letzten-exchange-server/","summary":"Viele Admins kennen dieses Bild. Alle Postfächer längst in Exchange Online, aber im Keller steht immer noch dieser eine Exchange-Server, der eigentlich nichts mehr tut – außer Attribute im Active Directory für die Cloud freizugeben. Er läuft, er nervt, er wird gebraucht - bisher.\nWarum war dieser Server so hartnäckig nötig? Weil Exchange-Attribute von synchronisierten Benutzern in der Cloud nicht einfach angepasst werden konnten. Änderungen an E-Mail-Adressen oder Postfacheinstellungen mussten weiterhin On-Prem erledigt werden.","title":"Cloud-Managed Remote Mailboxes - Abschied vom letzten Exchange-Server"},{"content":"Platform SSO für macOS: Jetzt allgemein verfügbar mit Microsoft Entra ID Wenn man ehrlich ist, haben viele von uns ein zwiespältiges Verhältnis zu Passwörtern. Einerseits sind sie der Schlüssel zum digitalen Alltag, andererseits sind sie ständige Nervensägen. Genau hier setzt Microsoft an und bringt mit Platform SSO für macOS eine Lösung, die endlich allgemein verfügbar ist – und das könnte ein echter Gamechanger sein.\nEin Login, viele Türen Stell dir vor: Du schaltest deinen Mac ein, meldest dich mit deinem Microsoft Entra ID-Konto an und bist gleichzeitig in all deinen Apps und Browsern eingeloggt. Keine ständigen Pop-ups, keine Passwortabfragen, die dich im Arbeitsfluss ausbremsen. Genau das macht Platform SSO möglich. Es verbindet den Anmeldevorgang am Gerät direkt mit der Identität aus der Cloud.\nUnd weil Apple und Microsoft hier Hand in Hand arbeiten, steckt das Ganze tief im System. Kein zusätzlicher Klick-Marathon, sondern ein nahtloser Übergang.\nSicherheit, die nicht im Weg steht Jetzt die entscheidende Frage: Ist das sicher? Ja – und zwar richtig. Microsoft setzt dabei auf drei verschiedene Wege:\nPasswortlos über Secure Enclave: Der Mac erzeugt einen hardwaregebundenen Schlüssel, der in der Secure Enclave liegt. Damit wird dein Login quasi unknackbar. Smartcard-Authentifizierung: Für Unternehmen, die auf klassische Karten setzen, bleibt diese Option erhalten. Passwortsynchronisation: Wer lieber beim Passwort bleibt, kann sein Entra ID-Passwort direkt fürs lokale macOS-Konto nutzen – inklusive automatischer Synchronisation bei Änderungen. Das Schöne daran: Unternehmen können flexibel entscheiden, welche Methode passt.\nMehr als nur bequem Natürlich, es geht um Komfort – aber das ist nur die halbe Wahrheit. In Zeiten von Zero Trust und hybrider Arbeit zählt jeder Baustein, der Sicherheit und Nutzerfreundlichkeit verbindet. Wenn sich Mitarbeiter nicht mehr mit 20 Anmeldungen pro Tag herumärgern müssen, steigt die Akzeptanz von Sicherheitsmaßnahmen automatisch. Und weniger Supporttickets sind auch kein schlechter Nebeneffekt, oder?\nErfahrungen aus der Vorschau Seit Mai 2024 konnten Unternehmen die Vorschauversion testen. Besonders spannend: Die Rückmeldungen kamen quer durch alle Branchen – von Schulen über Krankenhäuser bis hin zu Finanzdienstleistern. Das Feedback war eindeutig: schnelleres Onboarding, weniger Stress für IT-Teams, zufriedenere User.\nDiese Rückmeldungen haben dazu geführt, dass Microsoft für den GA-Release nachgeschärft hat. Neu sind zum Beispiel eine bessere Telemetrie für Administratoren und eine granularere Steuerung der Authentifizierungsstärke. Auch die Durchsetzung hardwaregestützter biometrischer Schlüssel über die Secure Enclave ist jetzt fester Bestandteil.\nEin Blick nach vorn Wer heute Macs in Unternehmen verwaltet, weiß: Der Spagat zwischen Sicherheit und Usability ist oft mühsam. Platform SSO könnte genau das Stück fehlender Infrastruktur sein, das beide Seiten zusammenbringt.\nMein Tipp: Wer Entra ID und Intune bereits nutzt, sollte sich die Einführung jetzt ansehen. Der Mehrwert ist greifbar – weniger Helpdesk-Aufwand, mehr Sicherheit und eine Benutzererfahrung, die nicht mehr wie ein notwendiges Übel wirkt.\n👉 Fazit: Platform SSO für macOS ist mehr als ein technisches Update. Es ist ein Schritt in Richtung Alltagstauglichkeit von Zero-Trust-Sicherheit – und das, ohne dass Nutzer auf der Strecke bleiben.\n","permalink":"https://m365simple.de/posts/platform-sso-fur-macos/","summary":"Platform SSO für macOS: Jetzt allgemein verfügbar mit Microsoft Entra ID Wenn man ehrlich ist, haben viele von uns ein zwiespältiges Verhältnis zu Passwörtern. Einerseits sind sie der Schlüssel zum digitalen Alltag, andererseits sind sie ständige Nervensägen. Genau hier setzt Microsoft an und bringt mit Platform SSO für macOS eine Lösung, die endlich allgemein verfügbar ist – und das könnte ein echter Gamechanger sein.\nEin Login, viele Türen Stell dir vor: Du schaltest deinen Mac ein, meldest dich mit deinem Microsoft Entra ID-Konto an und bist gleichzeitig in all deinen Apps und Browsern eingeloggt.","title":"Platform SSO für macOS"},{"content":"Microsoft 365 Copilot-App: Vorschau statt Bearbeitung ab September 2025 Es ist schon spannend: Eine App, die jahrelang als Alleskönner galt, wird plötzlich auf Diät gesetzt. Microsoft verändert die Copilot-App für iPhone und iPad – und zwar deutlich. Ab September 2025 kannst du dort zwar noch Dokumente öffnen und ansehen, aber nicht mehr bearbeiten. Wer schreiben, formatieren oder Tabellen anpassen will, muss künftig auf Word, Excel oder PowerPoint wechseln.\nEin kurzer Blick zurück Die Reise dieser App ist eine kleine Geschichte für sich. Gestartet als Office-App 2019, war sie so etwas wie das Schweizer Taschenmesser: Word, Excel, PowerPoint – alles an einem Ort, inklusive OneDrive-Verknüpfung. Später wurde daraus die Microsoft 365-App, ein klarer Bruch mit der alten Office-Marke. Und seit Januar 2025 trägt sie nun stolz den Namen Copilot-App, um die Rolle der KI deutlicher zu betonen.\nWas genau passiert im September? Microsoft kündigt die Umstellung im Message Center (MC1136042) an. Dort heißt es ganz nüchtern:\nAb dem 15. September 2025 zeigt die Copilot-App auf iPhone und iPad nur noch Vorschauen. Bearbeiten ist passé. Öffnest du eine Datei, wirst du direkt in Word, Excel oder PowerPoint weitergeleitet. Banner in der App weisen darauf hin, dass du die jeweilige Einzel-App installieren sollst. Neue Dokumente werden über die Copilot-App künftig nicht mehr per Vorlage erstellt, sondern per Chat mit Copilot. Das Dokument landet anschließend in der passenden Office-App. Und falls du dich fragst: Ja, Android wird vermutlich folgen, offiziell bestätigt ist es aber noch nicht.\nWarum dieser Schritt? Microsoft verfolgt damit ein klares Ziel: Trennung von Rollen.\nCopilot soll als KI-Assistent wahrgenommen werden – zum Lesen, Fragen, Kommentieren. Die klassische Bearbeitung gehört in die Einzel-Apps.\nDas klingt logisch. Aber wenn man ehrlich ist, bedeutet es für viele von uns auch: weniger Komfort. Statt einer App hast du plötzlich drei oder vier. Statt „einmal tippen und loslegen“ heißt es nun öfter „App wechseln“.\nVor- und Nachteile im Überblick Lassen Sie mich erklären:\nPluspunkte:\nSpezial-Apps laufen meist stabiler und sind leistungsfähiger. Copilot kann sich stärker auf KI-Funktionen konzentrieren. Minuspunkte:\nMehr App-Wechsel, mehr Speicherverbrauch auf dem Smartphone. Das bequeme „Alles-in-einer-App“-Prinzip ist Geschichte. Was heißt das jetzt für Unternehmen? Für private Nutzer ist das eine Umgewöhnung, für Unternehmen aber eine echte Aufgabe. Wer mobile Geräte verwaltet, muss dafür sorgen, dass Word, Excel und PowerPoint installiert und aktualisiert werden. Wer Schulungsunterlagen oder interne FAQs pflegt, sollte sie anpassen. Und wer mit Intune oder einem anderen MDM arbeitet, tut gut daran, die App-Strategie jetzt schon zu überdenken.\nEin kleines Fazit Die Microsoft 365 Copilot-App wird ab Herbst 2025 mehr Begleiter als Werkzeug sein. Ein Navigator für Vorschauen und KI-Fragen, aber kein Editor mehr. Ob das den Arbeitsalltag erleichtert oder verkompliziert, hängt stark vom persönlichen Workflow ab. Fest steht: Microsoft setzt konsequent auf Spezialisierung und will Copilot als Marke klar von den klassischen Office-Anwendungen trennen.\nUnd mal ehrlich – wir alle werden uns umstellen. Die einen mit einem Schulterzucken, die anderen mit einem genervten Augenrollen. Aber spätestens beim ersten Chat mit Copilot, wenn die KI schnell die relevanten Infos aus einer dicken Excel-Tabelle zieht, denkt man sich vielleicht: Okay, ganz nutzlos ist das nicht.\n","permalink":"https://m365simple.de/posts/ios-microsoft-365-copilot-app/","summary":"Microsoft 365 Copilot-App: Vorschau statt Bearbeitung ab September 2025 Es ist schon spannend: Eine App, die jahrelang als Alleskönner galt, wird plötzlich auf Diät gesetzt. Microsoft verändert die Copilot-App für iPhone und iPad – und zwar deutlich. Ab September 2025 kannst du dort zwar noch Dokumente öffnen und ansehen, aber nicht mehr bearbeiten. Wer schreiben, formatieren oder Tabellen anpassen will, muss künftig auf Word, Excel oder PowerPoint wechseln.\nEin kurzer Blick zurück Die Reise dieser App ist eine kleine Geschichte für sich.","title":"iOS Microsoft 365 Copilot-App"},{"content":" Wir wollen unser WorkSimple-Portfolio strategisch erweitern und setzen dabei auf echte KI-Anwendungen statt auf Buzzword-Feuerwerk. Genau deshalb machen wir das fundiert, mit sinnvollem Plan und klarer Zielrichtung. Worum es dabei konkret geht, seht ihr in unserem Logbuch.\nLogbuch Eintrag #1 - Der Start Der zweite Eintrag dreht sich um den Aufbau einer KI-Marktübersicht mit Schwerpunkt Microsoft. Die Erkenntnisse daraus nutze ich, um im nächsten Beitrag die Gesprächsstruktur für unsere Kundeninterviews vorzubereiten.\nKI in a Nutshell KI heißt: Maschinen übernehmen Aufgaben, die früher Menschen erledigt haben. Sie analysieren Daten, erkennen Muster, verstehen Sprache, lernen dazu und unterstützen bei Entscheidungen. Wir sprechen von Systemen, die mit Unsicherheit umgehen und sich weiterentwickeln, nicht von starrer Wenn-dann-Logik.\nRelevanz hat das Thema, weil aus Jahrzehnten Forschung jetzt massentaugliche Werkzeuge entstanden sind. Vom Deep-Learning-Durchbruch 2012 über AlphaGo 2016 bis zu generativen Anwendungen wie ChatGPT und Microsoft Copilot.\nIch bin ein KMU - Was passiert gerade in meinem Unternehmen? In Unternehmen probieren Mitarbeitende KI-Tools aus Neugier und ohne feste Regeln aus. Die IT ist mit dem Tagesgeschäft ausgelastet und braucht klare Vorgaben für den Umgang mit Daten, Tools und Testphasen. Die Geschäftsführung muss Orientierung geben und den Rahmen definieren, innerhalb dessen KI genutzt werden darf. Viele Softwareanbieter liefern Einzellösungen ohne durchgängige Integration, was zu Silos führt.\nZwischen Neugier, Wildwuchs und Tool-Bingo stellt sich also irgendwann die Frage: Wo anfangen? Welche Plattform ergibt Sinn? Und was davon passt überhaupt zum eigenen Setup?\nFür viele unserer Kunden liegt die Antwort erstmal auf der Hand: Microsoft.\nWillkommen im Microsoft KI-Dschungel Als Microsoft-Fokuspartner interessiert uns besonders, wie Microsoft KI in seine Produktwelt integriert. Nicht nur, weil wir beratend unterwegs sind. Sondern weil viele Unternehmen Microsoft-Technologie bereits nutzen, vor allem rund um M365.\nDer große Vorteil liegt auf der Hand. Die neuen KI-Tools lassen sich direkt in bestehende Umgebungen einbauen. Keine zusätzlichen Plattformen, keine neuen Benutzerkonten. Und Microsoft stellt sichere Datenräume zur Verfügung, die sich gut mit gängigen Datenschutzkonzepten kombinieren lassen. Die technischen Details dazu gibt es in einem späteren Beitrag. Ich wollte meinen KI-Einstieg dort beginnen, wo unsere Kunden ohnehin schon arbeiten. In der Microsoft-Welt. Klingt vernünftig.\nDann stehe ich plötzlich im Dschungel.\nTäglich tauchen neue Begriffe auf. Neue Architekturen, neue Tools. Mal auf Blogs, mal in Dokus, mal in irgendwelchen LinkedIn-Beiträgen.Copilot Free. Copilot Pro. Copilot Studio.Azure AI Services. Azure OpenAI. Azure AI Foundry. Cognitive Services.Semantic Kernel. Power Platform. Und diverse Drittanbieter.\nAlles klingt nützlich, vieles überschneidet sich, kaum etwas ist auf meinen ersten Blick klar voneinander abgegrenzt. Viele dieser Tools können dasselbe. Sie tun es nur unterschiedlich. Ein Use Case, drei mögliche Tools. Drei Tools, drei Wege. Keine Anleitung.\nDann bin ich auf das Microsoft Cloud Adoption Framework gestoßen. Konkret auf den Abschnitt AI Adoption. Der Name klingt trocken, war aber genau das, was ich gebraucht habe.\nDie Fragen dort sind einfach, aber wirkungsvoll: Was will ich eigentlich mit KI machen? Welcher Microsoft-Baustein passt dazu? Und wie fügt sich das in eine bestehende Systemlandschaft ein?\nBesonders geholfen hat mir die Entscheidungsmatrix. Sie ordnet Technologien nicht nach Produktnamen, sondern nach Anwendungsfall. Das hat direkt Struktur in meinen ersten Entwurf unseres möglichen Portfolios gebracht.\nMein erster WorkSimple-Portfolioentwurf Um den Microsoft KI-Dschungel greifbar zu machen, habe ich ein erstes Modell für unser Portfolio entwickelt.\nUnten liegt das Fundament\nBevor Tools starten oder Agenten laufen, braucht es ein stabiles Fundament. Es klärt Fragen, die später sonst teuer werden:\nWarum KI überhaupt? Was soll sie verbessern? Wo steckt Potenzial? Repetitive Abläufe, datengetriebene Prozesse, manuelle Zeitfresser? Welche Daten dürfen genutzt werden? Wer hat Zugriff? Was gilt datenschutzrechtlich? Was ist erlaubt, was muss dokumentiert werden? Wie passt KI technisch ins Unternehmen? Wer entscheidet über was? Wer trägt Verantwortung? Und nicht zuletzt: Wer wird befähigt? Wer darf testen, wer muss geschult werden? Ohne Antworten auf diese Fragen läuft nichts rund.\nCopilot – der einfache Einstieg\nSteht das Fundament, wird Copilot spannend. Die standardisierte KI in Word, Outlook, Excel, PowerPoint und Teams liefert schnelle Unterstützung ohne lange Einführung.\nTypische Szenarien: Eine Projektleitung lässt sich aus mehreren Teams-Chats ein Status-Update erstellen. Eine Assistenz formuliert aus einem Stichwortsatz eine vollständige Kundenmail. Ein Kollege analysiert Umsatzzahlen in Excel.\nDas funktioniert sofort, bringt sichtbaren Nutzen und spart Zeit. Copilot nutzt bestehende Daten und Rechte, passt sich aber nicht an. Kein eigenes Modell, keine unternehmensspezifische Logik. Für den Start oft ideal, für mehr braucht es Azure AI.\nAzure AI – wenn’s spezifisch werden soll\nSobald es um komplexe Prozesse, mehrere Datenquellen oder eigenes Wissen geht, stößt Copilot an Grenzen. Azure AI übernimmt dort, wo Standardfunktionen aufhören.\nBeispiel: Mit Azure AI lässt sich ein Modell entwickeln, das genau das erledigt. Oder: In der Qualitätskontrolle sollen Produktdaten, Reklamationshistorien und Sensordaten aus der Produktion kombiniert werden, um Abweichungen frühzeitig zu erkennen. Das Ganze läuft dann über Azure OpenAI, Cognitive Services, Machine Learning oder Power Platform.\nErweiterungen\nMit Copilot Studio lassen sich eigene Chatbots bauen. Eine HR-Abteilung erstellt damit einen Helfer für Urlaubsrichtlinien. Ein Sales-Team automatisiert Angebotsvorschläge. Ganz ohne Code.\nIn Azure AI geht noch mehr. Hier entstehen Agenten, die selbstständig handeln. Eine Support-KI erkennt Anfragen, findet Antworten, legt Tickets an. Oder ein Assistent liest Vertragsdaten aus, erkennt Fristen, setzt Erinnerungen.\nBesonders stark wird’s, wenn mehrere Systeme zusammenspielen: CRM, ERP, Datenbanken, SharePoint. Möglich durch Logic Apps, Power Automate oder Azure Functions.\n","permalink":"https://m365simple.de/posts/printing_azure-virtual-desktop-copy/","summary":"Wir wollen unser WorkSimple-Portfolio strategisch erweitern und setzen dabei auf echte KI-Anwendungen statt auf Buzzword-Feuerwerk. Genau deshalb machen wir das fundiert, mit sinnvollem Plan und klarer Zielrichtung. Worum es dabei konkret geht, seht ihr in unserem Logbuch.\nLogbuch Eintrag #1 - Der Start Der zweite Eintrag dreht sich um den Aufbau einer KI-Marktübersicht mit Schwerpunkt Microsoft. Die Erkenntnisse daraus nutze ich, um im nächsten Beitrag die Gesprächsstruktur für unsere Kundeninterviews vorzubereiten.","title":"Die WorkSimple KI-Reise | Logbuch Eintrag #2 - Willkommen im Dschungel"},{"content":"Intune: Gerätebereinigungsregeln plattformübergreifend nutzen In Microsoft Intune lassen sich Geräte über sogenannte Gerätebereinigungsregeln automatisch verwalten. Diese Regeln dienen dazu, inaktive, veraltete oder nicht mehr reagierende Geräte aus der Verwaltung zu entfernen – ein wichtiger Schritt, um den Gerätebestand aktuell und übersichtlich zu halten.\nFunktion der Gerätebereinigungsregeln Mit Gerätebereinigungsregeln können Administratoren festlegen, unter welchen Bedingungen Geräte automatisch aus Intune entfernt werden. Typische Kriterien sind zum Beispiel:\nDas Gerät war über einen bestimmten Zeitraum nicht aktiv. Das Gerät hat sich nicht mehr mit Intune verbunden. Das Gerät entspricht nicht mehr den Anforderungen für die Verwaltung. Die Bereinigung erfolgt automatisiert, sodass kein manueller Aufwand entsteht.\nPlattformunabhängige Konfiguration Neu ist, dass diese Regeln plattformbezogen konfiguriert werden können. Es lassen sich individuelle Regeln festlegen für:\nWindows iOS/iPadOS macOS Android So kann z. B. für iOS-Geräte eine andere Inaktivitätsdauer gelten als für Windows-PCs. Die Regeln lassen sich flexibel an die jeweilige Plattform und Nutzungssituation anpassen.\nTransparenz durch Überwachungsprotokolle Intune stellt Überwachungsprotokolle und Berichte zur Verfügung, über die nachvollzogen werden kann, welche Geräte von den Bereinigungsregeln betroffen sind oder entfernt wurden. Dies sorgt für eine klare Nachverfolgbarkeit aller automatischen Vorgänge.\nRechtevergabe über RBAC Über die rollenbasierte Zugriffssteuerung (RBAC) kann genau definiert werden, wer Bereinigungsregeln erstellen, ändern oder löschen darf. Dadurch lässt sich die Verwaltung dieser Funktionen auf bestimmte Benutzergruppen oder Rollen beschränken.\nZusammenfassung Die plattformübergreifende Unterstützung von Gerätebereinigungsregeln in Intune ermöglicht eine gezielte, automatische Verwaltung des Gerätebestands. Durch die Kombination aus flexibler Regeldefinition, Transparenz in den Protokollen und klarer Rechtevergabe wird die Effizienz in der Geräteverwaltung deutlich erhöht.\nWeitere Informationen zur technischen Umsetzung und Konfiguration finden Sie hier:\n🔗 Microsoft-Dokumentation: Regeln für die Gerätebereinigung\n","permalink":"https://m365simple.de/posts/plattformubergreifende-geratebereinigungsregeln/","summary":"Intune: Gerätebereinigungsregeln plattformübergreifend nutzen In Microsoft Intune lassen sich Geräte über sogenannte Gerätebereinigungsregeln automatisch verwalten. Diese Regeln dienen dazu, inaktive, veraltete oder nicht mehr reagierende Geräte aus der Verwaltung zu entfernen – ein wichtiger Schritt, um den Gerätebestand aktuell und übersichtlich zu halten.\nFunktion der Gerätebereinigungsregeln Mit Gerätebereinigungsregeln können Administratoren festlegen, unter welchen Bedingungen Geräte automatisch aus Intune entfernt werden. Typische Kriterien sind zum Beispiel:\nDas Gerät war über einen bestimmten Zeitraum nicht aktiv.","title":"Plattformübergreifende Gerätebereinigungsregeln"},{"content":"Microsoft ermöglicht es jetzt, die \u0026ldquo;Source of Authority\u0026rdquo; (SoA) von Gruppen aus dem lokalen Active Directory (AD DS) in die Microsoft Entra ID (Cloud) zu verschieben – ein zentraler Schritt zur Minimierung der On-Prem-Infrastruktur.\nWarum das Ganze? Viele Organisationen wollen ihre Identitäts- und Zugriffsverwaltung in die Cloud verlagern. Mit der neuen Vorschau-Funktion Group SoA kannst du:\nOn-Prem-Gruppen in Cloud-Objekte umwandeln Die Gruppen anschließend direkt in Microsoft Entra ID verwalten Unnötige AD DS Gruppen löschen oder auf das Nötigste reduzieren Gruppen bei Bedarf aus der Cloud zurück nach AD DS provisionieren (z. B. für Legacy-Anwendungen) Was passiert bei der Umstellung? Gruppen, die per Entra Connect synchronisiert wurden, können in Cloud-managed Gruppen umgewandelt werden. Nach der Umstellung endet die AD-Synchronisierung für diese Gruppen. Änderungen, wie z. B. Mitgliederverwaltung, erfolgen ausschließlich in der Cloud. Die Migration ist reversibel, falls erforderlich. Voraussetzungen Microsoft Entra Connect Sync Version 2.5.76.0 oder neuer (veröffentlicht am 31. Juli 2025), enthält die neue SoA-Konvertierungsfunktion\nRolle: Hybrid Identity Administrator\nFür optionale Szenarien: ggf. Microsoft Entra Cloud Sync, falls Gruppen zurückprovisioniert werden sollen\nAD DS Gruppen auf Universell stellen\nGruppen SoA ändern Die SoA Einstellung kann mittels Graph Powershellmodul geändert werden, hierbei wird der Parameter icCloudManaged auf \u0026ldquo;true\u0026rdquo; gesetzt.\n1 2 3 4 5 6 7 8 9 10 11 12 13 14 # Connect to Microsoft Graph using delegated permissions Connect-MgGraph -Scopes \u0026#34;Group.Read.All Group-OnPremisesSyncBehavior.ReadWrite.All\u0026#34; # Set Group ID $groupObjectID = \u0026lt;Group ID\u0026gt; # Define the Microsoft Graph API endpoint for the group $url = \u0026#34;https://graph.microsoft.com/beta/groups/$groupObjectID/onPremisesSyncBehavior\u0026#34; # Define the JSON payload for the PATCH request $jsonPayload = @{isCloudManaged = \u0026#34;true\u0026#34;} | ConvertTo-Json # Make the PATCH request to update the JSON payload Invoke-MgGraphRequest -Uri $url -Method Patch -ContentType \u0026#34;application/json\u0026#34; -Body $jsonPayload Quellen https://learn.microsoft.com/de-de/entra/identity/hybrid/concept-source-of-authority-overview?utm_source=substack\u0026amp;amp;utm_medium=email\nhttps://learn.microsoft.com/de-de/entra/identity/hybrid/how-to-group-source-of-authority-configure#connect-sync-client-1\n","permalink":"https://m365simple.de/posts/convert-group-soa/","summary":"Microsoft ermöglicht es jetzt, die \u0026ldquo;Source of Authority\u0026rdquo; (SoA) von Gruppen aus dem lokalen Active Directory (AD DS) in die Microsoft Entra ID (Cloud) zu verschieben – ein zentraler Schritt zur Minimierung der On-Prem-Infrastruktur.\nWarum das Ganze? Viele Organisationen wollen ihre Identitäts- und Zugriffsverwaltung in die Cloud verlagern. Mit der neuen Vorschau-Funktion Group SoA kannst du:\nOn-Prem-Gruppen in Cloud-Objekte umwandeln Die Gruppen anschließend direkt in Microsoft Entra ID verwalten Unnötige AD DS Gruppen löschen oder auf das Nötigste reduzieren Gruppen bei Bedarf aus der Cloud zurück nach AD DS provisionieren (z.","title":"Preview: Group SoA zu Entra ID konvertieren "},{"content":"Intune-Zuweisungen: Benutzergruppen vs. Gerätegruppen – einfach erklärt Bei der Verwaltung von Geräten mit Microsoft Intune stellt sich oft die Frage:\nSollen Einstellungen einer Benutzergruppe oder einer Gerätegruppe zugewiesen werden?\nDiese Entscheidung beeinflusst, wie und auf wen die Richtlinien wirken. Die folgenden Erläuterungen bieten eine einfache Orientierung.\nBenutzergruppen Zuweisungen an Benutzergruppen gelten für den Nutzer – unabhängig vom Gerät, an dem er sich anmeldet. Wird von einem Benutzer z. B. ein Laptop und zusätzlich ein Smartphone verwendet, greifen die Richtlinien auf beiden Geräten. Beispiele für den Einsatz von Benutzergruppen: OneDrive-Konfigurationen Office-Einstellungen Bereitstellung bestimmter Apps Zertifikate für Benutzer Firmen-Shortcuts auf allen Geräten eines Nutzers Gerätegruppen Zuweisungen an Gerätegruppen gelten für das Gerät – unabhängig davon, wer es nutzt. Besonders geeignet für gemeinsam genutzte Geräte oder Geräte mit klar definierter Aufgabe. Beispiele für den Einsatz von Gerätegruppen: Kiosksysteme, Scanner, Druck-PCs BIOS- oder Gerätesicherheitseinstellungen (z. B. Kamera deaktivieren) Gerätespezifische Konfigurationen wie Edge-Richtlinien Entscheidungshilfe Szenario\nEmpfehlung\nEinstellungen sollen einem Benutzer folgen\nBenutzergruppe\nGeräte werden von mehreren Personen genutzt\nGerätegruppe\nGerätespezifische Sicherheitseinstellungen\nGerätegruppe\nBenutzer arbeitet auf mehreren Geräten\nBenutzergruppe\nKombination aus Nutzer- und Geräteeigenschaften nötig\nKombination mit Filtern\nKombination mit Filtern Für feinere Steuerung können Filter verwendet werden, z. B.:\nNur Geräte mit bestimmtem Betriebssystemtyp Ausschluss bestimmter Geräteklassen oder Plattformen Auf diese Weise lassen sich Benutzergruppen gezielt mit Einschränkungen kombinieren, sodass z. B. bestimmte Richtlinien nur auf unternehmenseigene Geräte angewendet werden.\nTechnischer Hinweis zu Richtlinienverhalten Manche Konfigurationen (z. B. OMA-URI oder CSP-basierte Einstellungen) verhalten sich unterschiedlich, je nachdem ob sie Benutzern oder Geräten zugewiesen wurden. Beim Entfernen von Richtlinien sollte beachtet werden, dass manche Einstellungen nicht automatisch zurückgesetzt werden. Best Practice: Alte Richtlinien nicht nur entfernen, sondern gezielt durch neue ersetzen oder „Nicht konfiguriert“ setzen.\nZusammenfassung Benutzergruppen: Für Einstellungen, die dem Nutzer folgen sollen. Gerätegruppen: Für Einstellungen, die dauerhaft auf dem Gerät bleiben sollen. Kombinationen und Filter ermöglichen differenzierte Zuweisungen. Die Wahl der richtigen Zuweisung erhöht die Übersichtlichkeit, reduziert Fehler und sorgt für konsistentes Verhalten in der Geräteverwaltung. Diese Grundlagen helfen dabei, Microsoft Intune effizient und zielgerichtet einzusetzen – sowohl in kleinen als auch in größeren Umgebungen.\n","permalink":"https://m365simple.de/posts/intune-benutzergruppen-vs-gerategruppen/","summary":"Intune-Zuweisungen: Benutzergruppen vs. Gerätegruppen – einfach erklärt Bei der Verwaltung von Geräten mit Microsoft Intune stellt sich oft die Frage:\nSollen Einstellungen einer Benutzergruppe oder einer Gerätegruppe zugewiesen werden?\nDiese Entscheidung beeinflusst, wie und auf wen die Richtlinien wirken. Die folgenden Erläuterungen bieten eine einfache Orientierung.\nBenutzergruppen Zuweisungen an Benutzergruppen gelten für den Nutzer – unabhängig vom Gerät, an dem er sich anmeldet. Wird von einem Benutzer z. B. ein Laptop und zusätzlich ein Smartphone verwendet, greifen die Richtlinien auf beiden Geräten.","title":"Intune Benutzergruppen vs. Gerätegruppen"},{"content":"Seit dem frühen Morgen des 23. Juli 2025 berichten einige Nutzer über ein unerwartetes Verhalten in Exchange Online: In bestimmten eingehenden E-Mails erscheint plötzlich der Zusatz \u0026quot;[EXTERNAL]\u0026quot; im Betreff – auch bei Nachrichten, bei denen das zuvor nicht der Fall war. Die Funktion soll grundsätzlich helfen, externe E-Mails leichter zu erkennen.\nWas ist passiert? Microsoft hat das Problem unter der Issue ID EX1120259 als Service Degradation eingestuft. Laut aktuellem Status wird ein kürzlich durchgeführter Code-Change an der Funktion \u0026lsquo;Set-ExternalInOutlook\u0026rsquo; als Ursache vermutet. Die Funktion kennzeichnet normalerweise externe E-Mails visuell in Outlook – offenbar funktioniert das derzeit nicht wie beabsichtigt.\nWer ist betroffen? Nur einige Nutzer sind betroffen, die nun in Betreffzeilen von E-Mails unerwartet den Zusatz \u0026ldquo;[EXTERNAL]\u0026rdquo; sehen. Die Auswirkungen scheinen nicht weltweit zu sein.\nSie finden weitere Informationen und den Status im Service Alert von Microsoft\nhttps://admin.cloud.microsoft/?#/servicehealth/:/alerts/EX1120259 ","permalink":"https://m365simple.de/posts/exchange-online-unerwarteter-external-tag-im-betreff/","summary":"Seit dem frühen Morgen des 23. Juli 2025 berichten einige Nutzer über ein unerwartetes Verhalten in Exchange Online: In bestimmten eingehenden E-Mails erscheint plötzlich der Zusatz \u0026quot;[EXTERNAL]\u0026quot; im Betreff – auch bei Nachrichten, bei denen das zuvor nicht der Fall war. Die Funktion soll grundsätzlich helfen, externe E-Mails leichter zu erkennen.\nWas ist passiert? Microsoft hat das Problem unter der Issue ID EX1120259 als Service Degradation eingestuft. Laut aktuellem Status wird ein kürzlich durchgeführter Code-Change an der Funktion \u0026lsquo;Set-ExternalInOutlook\u0026rsquo; als Ursache vermutet.","title":"Exchange Online: Unerwarteter \"[EXTERNAL]\" - Tag im Betreff"},{"content":"Microsoft hat angekündigt, die Verwaltung der Legacy-MFA- und SSPR-Policies in Microsoft Entra ID endgültig zum 30. September 2025 abzuschalten. Das bedeutet, dass ab diesem Datum die klassischen Einstellungen für Multi-Faktor-Authentifizierung (MFA) und Self-Service Password Reset (SSPR) nicht mehr wie bisher konfigurierbar sein werden. Ursprünglich war diese Umstellung bereits für 2024 geplant, wurde jedoch um ein Jahr auf 2025 verschoben um Administratoren mehr Zeit für die Migration zu gewähren.\nRisiken, wenn keine Migration erfolgt Verlust der Steuerung: Legacy-Policies sind nach dem 30.09. nicht mehr änderbar Sicherheitslücken: Kein Zugriff auf moderne, sichere Methoden wie Passkeys oder FIDO2 Anmeldeprobleme: Nutzer verlieren ggf. MFA-/SSPR-Funktionalität Keine Gruppensteuerung: Legacy ist tenantweit – keine differenzierte Kontrolle möglich Migrationsüberblick Audit: Notiere aktuelle MFA-/SSPR-Methoden Migration starten: Entra Admin Center → Authentication Methods → Manage migration Neue Policy konfigurieren: Methoden aktivieren, Gruppen zuweisen Migration abschließen: Auf „Migration Complete“ setzen Tests \u0026amp; Cleanup: Funktion prüfen, alte Policies ignorieren Step-by-Step Anleitung 1. Vorbereitung Legacy-MFA-Einstellungen prüfen: Melden Sie sich im Entra Admin Center an und navigieren Sie zu Entra ID \u0026gt; Users \u0026gt; Per-user MFA \u0026gt; Service Settings. Dort sind die klassischen MFA-Methoden aufgeführt\nLegacy-SSPR-Einstellungen prüfen: Gehen Sie im Entra Admin Center zu Entra ID \u0026gt; Users \u0026gt; Password Reset \u0026gt; Authentication Methods. Dort sehen Sie, welche Methoden für SSPR zugelassen sind (z. B. Mobile App Code/Notification, E-Mail, Handy/Office Phone, Security Questions). Notieren Sie, welche Methoden aktiviert sind und ob SSPR allen Benutzern oder nur bestimmten Gruppen zur Verfügung steht\nAktuelle Authentication Methods Policy (falls vorhanden): Falls Sie die neue Policy bereits testweise genutzt haben, überprüfen Sie deren Einstellungen unter Entra ID \u0026gt; Authentication Methods \u0026gt; Policies\n2. Migration starten Entra Admin Center → Authentication Methods → Policies Klicke auf Manage migration, wähle Migration in Progress 3. Policy konfigurieren Starte den Assistenten\nÜbernimm bestehende Methoden und pass die Methoden gezielt an\n4.Migration abschließen Klicke im Assistenten auf Migrate → Confirm\nDer Status wechselt auf Migration Complete 5. Nacharbeiten MFA/SSPR-Login testen\nBenutzer informieren\nLegacy-Settings nicht mehr verwenden\n","permalink":"https://m365simple.de/posts/migriere-sie-jetzt-abschaltung-der-entra-legacy-authentication-zum-30-09/","summary":"Microsoft hat angekündigt, die Verwaltung der Legacy-MFA- und SSPR-Policies in Microsoft Entra ID endgültig zum 30. September 2025 abzuschalten. Das bedeutet, dass ab diesem Datum die klassischen Einstellungen für Multi-Faktor-Authentifizierung (MFA) und Self-Service Password Reset (SSPR) nicht mehr wie bisher konfigurierbar sein werden. Ursprünglich war diese Umstellung bereits für 2024 geplant, wurde jedoch um ein Jahr auf 2025 verschoben um Administratoren mehr Zeit für die Migration zu gewähren.\nRisiken, wenn keine Migration erfolgt Verlust der Steuerung: Legacy-Policies sind nach dem 30.","title":"Migriere Sie jetzt! Abschaltung der Entra legacy Authentication Policies zum 30.09."},{"content":"Mit dem stetigen Anstieg raffinierter Cyberangriffe erweitert Microsoft Defender for Office 365 seine Schutzmechanismen: Ab Ende Juni 2025 wird weltweit die neue Mail Bombing Detection eingeführt. Ziel ist es, Organisationen effektiv vor einer immer häufiger auftretenden Bedrohung zu schützen – dem sogenannten Email Bombing.\nWas ist Email Bombing? Beim Email Bombing handelt es sich um eine Taktik, bei der ein Postfach mit tausenden E-Mails überflutet wird – oft mit harmlosen, aber massenhaft versendeten Nachrichten. Das Ziel: Wichtige Informationen in der Flut zu verstecken oder Systeme durch die schiere Menge an Nachrichten zu überlasten. Die neue Detection-Funktion erkennt diese Angriffe automatisch und reagiert ohne Zutun des Administrators.\nNichts aktivieren – Feature ist automatisch aktiv. Microsoft hat bestätigt, dass keine Konfiguration oder Richtlinienanpassung erforderlich ist. Sobald verfügbar, erkennt Defender automatisch Mail Bombing-Versuche und verschiebt betroffene Nachrichten in den Junk-Mail-Ordner. Prüfe eure Junk Folder Handling Policies, um sicherzustellen, dass wichtige Nachrichten (z. B. aus der Kommunikation mit Partnern) durch die neue Logik nicht versehentlich übersehen werden. Nachrichten von „Safe Senders“ sind ausgenommen – sie landen nicht im Junk-Ordner, auch wenn sie Teil eines Bombing-Versuchs wären. ","permalink":"https://m365simple.de/posts/microsoft-defender-for-office-365-mail-bombing-detection-verfugbar/","summary":"Mit dem stetigen Anstieg raffinierter Cyberangriffe erweitert Microsoft Defender for Office 365 seine Schutzmechanismen: Ab Ende Juni 2025 wird weltweit die neue Mail Bombing Detection eingeführt. Ziel ist es, Organisationen effektiv vor einer immer häufiger auftretenden Bedrohung zu schützen – dem sogenannten Email Bombing.\nWas ist Email Bombing? Beim Email Bombing handelt es sich um eine Taktik, bei der ein Postfach mit tausenden E-Mails überflutet wird – oft mit harmlosen, aber massenhaft versendeten Nachrichten.","title":"Microsoft Defender for Office 365: Mail Bombing Detection verfügbar"},{"content":"Viele Unternehmen erleben derzeit unerwartete Authentifizierungsprobleme in ihren WLAN- oder VPN-Netzen: Nach dem Entra Hybrid Join funktioniert die Anmeldung über 802.1x RADIUS mit MSCHAPv2 nicht mehr wie gewohnt. Besonders betroffen sind Windows‑11‑Geräte mit aktiviertem Windows Defender Credential Guard\nDas Problem In klassischen 802.1x-Setups wird oft PEAP mit MSCHAPv2 verwendet, um sich gegenüber dem RADIUS-Server zu authentifizieren. Doch bei hybrid-joined Windows‑11 Geräten funktioniert das plötzlich nicht mehr:\nSSO schlägt fehl Benutzer werden erneut zur Eingabe ihrer Anmeldedaten aufgefordert RADIUS lehnt Verbindungen ab Besonders bei maschinen- oder benutzerbasierten WLAN-Policies kommt es zu Verbindungsproblemen Grund dafür ist Windows Defender Credential Guard, das gespeicherte NTLM-Hashes vor Zugriff schützt – was allerdings für MSCHAPv2 erforderlich ist.\nWarum Credential Guard MSCHAPv2 blockiert Credential Guard ist eine Sicherheitsfunktion, die sensible Anmeldeinformationen isoliert, um sie vor Diebstahl (z. B. durch Pass-the-Hash-Angriffe) zu schützen. Protokolle wie MSCHAPv2 oder NTLMv1 sind dabei problematisch, weil sie auf diese Hashes zugreifen müssen.\nLösung: Wechsel auf EAP‑TLS Microsoft empfiehlt eindeutig, PEAP-MS‑CHAPv2 durch EAP‑TLS (Zertifikatsauthentifizierung) zu ersetzen. Das funktioniert problemlos mit Credential Guard und bietet zugleich ein deutlich höheres Sicherheitsniveau.\nVorteile von EAP‑TLS: Kompatibel mit Credential Guard Starke Sicherheit durch asymmetrische Authentifizierung Kein Passwort-Hash-Zugriff nötig Nahtloser SSO-Zugriff möglich Temporärer Workaround (nicht empfohlen) Credential Guard kann deaktiviert werden, um MSCHAPv2-SSO wieder zu ermöglichen – aber das reduziert den Schutz gegen Credential-Theft erheblich. https://learn.microsoft.com/de-de/windows/security/identity-protection/credential-guard/configure?tabs=gpo\n","permalink":"https://m365simple.de/posts/entra-hybrid-join-peap-ms-chapv2-netzwerkauthentifizierung-schlagt-fehlt/","summary":"Viele Unternehmen erleben derzeit unerwartete Authentifizierungsprobleme in ihren WLAN- oder VPN-Netzen: Nach dem Entra Hybrid Join funktioniert die Anmeldung über 802.1x RADIUS mit MSCHAPv2 nicht mehr wie gewohnt. Besonders betroffen sind Windows‑11‑Geräte mit aktiviertem Windows Defender Credential Guard\nDas Problem In klassischen 802.1x-Setups wird oft PEAP mit MSCHAPv2 verwendet, um sich gegenüber dem RADIUS-Server zu authentifizieren. Doch bei hybrid-joined Windows‑11 Geräten funktioniert das plötzlich nicht mehr:\nSSO schlägt fehl Benutzer werden erneut zur Eingabe ihrer Anmeldedaten aufgefordert RADIUS lehnt Verbindungen ab Besonders bei maschinen- oder benutzerbasierten WLAN-Policies kommt es zu Verbindungsproblemen Grund dafür ist Windows Defender Credential Guard, das gespeicherte NTLM-Hashes vor Zugriff schützt – was allerdings für MSCHAPv2 erforderlich ist.","title":"Entra Hybrid Join: MS-CHAPv2 Netzwerkauthentifizierung schlägt fehlt"},{"content":"An wen richtet sich dieser Blogeintrag? Dieser Blogeintrag richtet sich an IT-Entscheider, Administratoren und technische Projektverantwortliche, die vor der Frage stehen, ob und wann der Einsatz einer virtuellen Desktopinfrastruktur (VDI) sinnvoll ist. Besonders relevant ist der Beitrag für Unternehmen, die zwischen Azure Virtual Desktop und Windows 365 abwägen. Hierfür wollen wir eine fundierte Entscheidungsgrundlage bieten.\nWann brauche ich eine virtuelle Desktopinfrastruktur? Viele Unternehmen nutzen heute verschiedenste Anwendungen mit hohen Ansprüchen an Leistung und Netzwerk. Klassische Client-Server-Modelle kommen dabei oft an ihre Grenzen, vor allem bei datenintensiven Anwendungen. Wenn der Server weit weg ist, steigt die Latenz. Das führt dann wiederum zu lästigen Mini-Wartezeiten.\nVirtual Desktop Infrastructure, kurz VDI, löst genau das. Die Desktop-Umgebung läuft zentral auf sogenannten Terminalservern direkt neben der App im Rechenzentrum. Ein Terminalserver ist ein zentraler Server, auf dem mehrere Benutzer gleichzeitig arbeiten, indem sie sich über das Netzwerk mit einer virtuellen Sitzung verbinden. Nutzer greifen also über das Netzwerk auf ihre gewohnte Arbeitsumgebung zu, während Anwendungen direkt auf dem Server ausgeführt werden. Vergleichbar ist dies mit Netflix, wo Filme zentral gespeichert und nur gestreamt werden.\nDas bringt weniger Latenz, bessere Performance und mehr Sicherheit, weil keine Daten auf dem Endgerät liegen. Microsoft hat dafür zwei Lösungen im Angebot: Azure Virtual Desktop und Windows 365. Weitere etablierte Anbieter auf dem Markt sind Citrix, VMware Horizon, Amazon WorkSpaces und Nutanix Frame, die jeweils unterschiedliche Ansätze in Bezug auf Infrastruktur, Verwaltung und Integration verfolgen. Heute konzentrieren wir uns jedoch bewusst auf die Lösungen von Microsoft.\nAzure Virtual Desktop (AVD) \u0026amp; Windows 365 (W365) AVD ist ein flexibler Cloud-Dienst für virtuelle Desktops und Apps in Azure. Der Service ermöglicht sichere Remotearbeitsplätze, die von überall erreichbar sind. AVD unterstützt Multi-Session-Desktops für mehrere Nutzer auf einer VM oder Personal-Desktops mit eigener VM pro Nutzer.\nPooled Desktop bedeutet, dass sich mehrere Benutzer eine virtuelle Maschine teilen. Diese Multi-Session-Umgebung ist besonders effizient bei standardisierten Arbeitsplätzen mit ähnlichen Anforderungen. Personal Desktop hingegen stellt jedem Benutzer eine eigene virtuelle Maschine zur Verfügung. Das bietet maximale Individualisierung und Performance, ist aber ressourcenintensiver und mit höheren Kosten verbunden. Die Abrechnung erfolgt auf Basis der genutzten Azure-Ressourcen, zusätzlich ist eine geeignete Lizenz Voraussetzung für die Nutzung.\nWindows 365, auch „Cloud-PC“ genannt, ist ein vollständig verwalteter Desktop-as-a-Service von Microsoft. Jeder Nutzer erhält einen festen virtuellen Desktop mit eigenen Ressourcen, betrieben in der Microsoft-Cloud. Die Abrechnung erfolgt pauschal als Lizenz.\nAktuell drängt Microsoft verstärkt in Richtung Windows 365. Die Lösung passt aber nicht in jedem Szenario. Für eine klare Entscheidungsgrundlage folgt ein objektiver Vergleich. Dabei betrachten wir die technische Architektur, IT-Administration, Benutzererlebnis und Kosten.\nVergleich Azure Virtual Desktop (AVD) vs. Windows 365 🛠️ Technische Architektur MerkmalAVDAVD PersonalWindows 365 EnterpriseWindows 365 BusinessRessourcenverwaltung in Azure (Compute, Storage)✔️(Kunde verwaltet)✔️(Kunde verwaltet)❌(Kunde verwaltet nur Netzwerk)❌(Vollständig Microsoft)Verbrauchsbasierte Kosten \u0026amp; Auto-Scaling✔️✔️❌❌Mehrbenutzerfähigkeit (Multi-Session)✔️❌❌❌Zentralisierte Benutzerprofile (FSLogix)✔️✔️❌(Nur lokale Profile)❌(Nur lokale Profile)Flexible VM-Konfiguration (CPU/RAM)✔️(Frei wählbar)✔️(Frei wählbar)❌(Feste Größen)❌(Feste Größen)Flexible Netzwerksteuerung (IP, VPN, Firewall)✔️✔️✔️❌Native Backup \u0026amp; Disaster Recovery Lösung✔️(Azure-native Lösungen)✔️(Azure-native Lösungen)❌(3rd Party Lösung für langfristige Backups benötigt)❌(3rd Party Lösung für langfristige Backups benötigt)Unterstützte IdentitätsmodelleAD DS,EntraID\nAD DS,EntraID\nEntra Hybrid Join,Entra Join\nEntra Join ⚙️ IT-Administration MerkmalAVD PooledAVD PersonalWindows 365 EnterpriseWindows 365 BusinessZentrale Verwaltung✔️(Azure Portal)✔️(Azure Portal)✔️(Intune)✔️(Intune)Eigene Images nutzbar✔️✔️✔️(20 Images)❌Flexible Anwendungsbereitstellung (MSIX)✔️✔️❌❌Monitoring \u0026amp; Diagnostik✔️(Azure Monitor)✔️(Azure Monitor)❌(Nur Endpoint Analytics)❌Windows Server OS Support✔️(Multi-Session)✔️(Single-Session)❌(Nur Win10/11)❌(Nur Win10/11) 👤 Benutzererlebnis Client\nAVD PooledAVD PersonalWindows 365 EnterpriseWindows 365 BusinessWindows-App✔️✔️✔️✔️Automatische Verbindung nach Boot des Gerätes (Windows 365 Boot)❌❌✔️✔️ 💰 Kostenvergleich Vergleich der reinen Rechenleistungskosten Ein einfacher Kostenvergleich der Rechenleistung zeigt einen klaren Vorteil für AVD. Im Vergleich zu Windows 365 sind Einsparungen von bis zu 87 % möglich.\nWindows 365 Business + Enterprise\nAVD Ressources\nAVD Pooled\nvCPU und RAM\nSSD-Speicher (GB)\nLizenzpreis\nvCPU und RAM\nSpeicher (GB)\n3 Jahre Reserved\nPay as you go\n2 vCPUs / 4 GB\n64\n28,30 €\nLight User (6 User pro vCPU)\nD2ls_v5: 2 vCPUs / 4 GB\nSSD Standard E10: 128\n6,42 €\n9,62 €\n128\n31,30 €\nSSD Standard E10: 128\n6,42 €\n9,62 €\n256\n40,40 €\nSSD Standard E15: 256\n8,11 €\n11,30 €\n2 vCPUs / 8 GB\n128\n41,40 €\nLight User (6 User pro vCPU)\nD2s_v5: 2 vCPUs / 8 GB\nSSD Standard E10: 128\n7,15 €\n11,09 €\n256\n50,50 €\nSSD Standard E15: 256\n8,83 €\n12,77 €\n4 vCPUs / 16 GB\n128\n66,70 €\nMedium User (4 User pro vCPU)\nD4as_v5: 4 vCPUs / 16 GB\nSSD Standard E10: 128\n5,91 €\n14,19 €\n256\n75,80 €\nSSD Standard E15: 256\n6,76 €\n15,03 €\n512\n102,10 €\nSSD Standard E20: 512\n8,45 €\n16,72 €\n8 vCPUs / 32 GB\n128\n124,30 €\nHeavy User (2 User pro vCPU)\nD8s_v5: 8 vCPUs / 32 GB\nSSD Standard E10: 128\n11,76 €\n30,35 €\n256\n133,40 €\nSSD Standard E15: 256\n12,61 €\n31,20 €\n512\n159,70 €\nSSD Standard E20: 512\n14,29 €\n32,89 €\n16 vCPUs / 64 GB\n512\n280,00 €\nPower User (1 User pro vCPU)\nD16s_v5: 16 vCPUs / 64 GB\nSSD Standard E20: 512\n25,13 €\n62,40 €\n1000\n318,40 €\nSSD Standard E30: 1024\n28,59 €\n65,77 €\nDurchschnittliche Einsparung im Vergleich zu Windows 365:\n87%\n76%\nDie Berechnung basiert auf der Annahme, dass alle Ressourcen in der Region Germany West Central betrieben werden. Grundlage sind 10 Nutzende, die jeweils 50 Stunden pro Woche arbeiten. Die Kosten werden auf einen Preis pro User heruntergebrochen.\nDer Vergleich allein über Rechenleistung greift also kurz. Windows 365 verursacht deutlich weniger Aufwand bei Konfiguration, Wartung und Betrieb. Auch Aspekte wie Profil-Storage, Lizenzen, Backup und Support sind in der simplen Betrachtung nicht enthalten. Deshalb folgt nun ein beispielhafter TCO-Vergleich, der die Gesamtkosten realistisch abbildet.\nTCO-Betrachtung Annahmen Mengengerüst 1000 Benutzende 50 Stunden Arbeitszeit pro Woche Anwendungen für Datenbankeingaben, Befehlszeilenschnittstellen, Microsoft Word, statische Webseiten, Microsoft Outlook, Microsoft PowerPoint, dynamische Webseiten, Softwareentwicklung AVD: Workload-Typ Heavy - zwei User pro vCPU (Richtlinien zur Größenfestlegung für Sitzungshost-VM für Azure Virtual Desktop) Windows 365: 2 vCPUs/8 GB/128 GB im Bereich Windows 365 (Größenempfehlungen für Windows 365 | Microsoft Learn) Lizenzierung Gleiche Lizenzierung im Szenario W365 / AVD (z.B. M365 E3) Wir gehen von einem Client-Betriebssystem aus und wenden keinen hybriden Benefit an Keine Rabatte bei beiden Szenarien Technische Parameter 11 GB Profilspeicher pro Person im Bereich pooled AVD Azure VPN wird in beiden Szenarien zur Anbindung der On-premise Umgebung benötigt Kunde besitzt ein bestehendes Active Directory Im Bereich AVD wird eine Hydra-Lizenzierung und Bereitstellung zur Kostenoptimierung inkludiert Hydra ist ein Cloud-PC-Management-Framework, das Azure Virtual Desktop zentralisiert verwaltet, automatisiert bereitstellt und durch intelligente Skalierung und Ressourcensteuerung eine gezielte Kostenoptimierung ermöglicht.\nServices Wir gehen im Betrieb von AVD von einer benötigten Unterstützung durch einen externen Partner aufgrund der Komplexitätssteigerung im Betrieb aus. Hierfür nutzen wir unsere eigene Servicekalkulation, welche alle wichtigen Bestandteile für den Betrieb umfasst.\nKostenvergleich Bezeichnung\nGesamt (Einmalig)\nKommentar\nAzure Virtual Desktop\nImplementierung Cloud Foundation\n10.000,00 €\nFestpreis\nAufwände zur Konfiguration AVD\n42.000,00 €\n30 Tage bei Tagessatz von 1400 Euro\nWindows 365\nAufwände zur Konfiguration AVD\n14.000,00 €\n10 Tage bei Tagessatz von 1400 Euro\nBezeichnung\nAnzahl\nPreis (Netto)\nGesamt (Monat)\nKommentar\nAzure Virtual Desktop\nService zur Verwaltung der AVD-Umgebung\n1\n15.255,00 €\n15.255,00 €\nManaged Service für 1000 User\nAVD-Ressourcen\n1\n9.469,00 €\n9.469,00 €\nPooled Desktops (D8as_V5 8C/32GB/128GB Premium SSD), Backup, 11TB FSLogix Profile, Template VM, Backup, Hydra Database, NAT Gateway (30TB)\nWindows 365\nAufwände zur Konfiguration AVD\n1\n10 Tage bei Tagessatz von 1400 Euro\nWindows 365 (2 vCPU / 8 GB RAM / 128 GB Storage)\n1000\n41,40 €\n41.400,00 €\nSumme\nMonatlich\nEinmalig\nSumme AVD\n24.724,00 €\n59.000,00 €\nSumme W365\n41.400,00 €\n17.500,00 €\nWährend AVD mit höheren einmaligen Kosten startet (59.000 € gegenüber 17.500 € bei W365), sind die monatlichen Kosten deutlich geringer: 24.724 € für AVD im Vergleich zu 41.400 € bei W365.\nNach 1 Jahr ist AVD bereits 158.612 € günstiger als W365. (30,84 %) Nach 3 Jahren steigt die Ersparnis auf 558.836 €. (37,06 %) Nach 5 Jahren beträgt die Gesamtersparnis 959.060 €. (38,34 %) Der Break-even ist nach etwa 3 Monaten erreicht. Ab dann ist AVD die wirtschaftlichere Wahl.\nFazit \u0026amp; Entscheidungsbaum Windows 365 eignet sich ideal für einfache, standardisierte Arbeitsplätze mit festen Anforderungen wie für externe Mitarbeitende, Empfangspersonal oder den Zugriff von privaten Geräten. Die Bereitstellung erfolgt schnell, der Verwaltungsaufwand ist gering und die Kosten sind gut planbar. Ein Vorteil ist, dass jeder Nutzer seinen eigenen Cloud-PC mit einem dedizierten Betriebssystem und einer persönlichen Umgebung erhält. Gerade Power-User profitieren davon, da sie nicht wie bei klassischen Multi-Session-Umgebungen Ressourcen teilen müssen.\nSobald jedoch zentrale Verwaltung, Integration in ein Azure-VNet, skalierbare Sitzungen oder granulare Steuerungsmöglichkeiten erforderlich sind, ist Azure Virtual Desktop die überlegene Wahl. AVD überzeugt besonders bei komplexen Szenarien durch mehr Flexibilität, zentralisierte Steuerung, Multi-User-Betrieb und ein starkes Kostenoptimierungspotenzial durch Skalierung und Reservierungen.\nEine Kombination beider Lösungen ist in vielen Fällen sinnvoll. Beispiel: Die Kernbelegschaft nutzt AVD-Pools mit Autoscaling zur Kosteneffizienz. Entwickler oder Analysten mit hohem Individualisierungsbedarf erhalten eigene Windows-365-Cloud-PCs. Externe Dienstleister oder Freelancer greifen gezielt über AVD RemoteApp auf einzelne Anwendungen zu, ohne eine komplette virtuelle Maschine zu benötigen.\nUnternehmen, die langfristig Kontrolle behalten und Kosten optimieren möchten, setzen weiterhin auf Azure Virtual Desktop und ergänzen dies gezielt mit Windows 365 dort, wo persönliche Umgebungen oder einfache Bereitstellung gefragt sind.\n","permalink":"https://m365simple.de/posts/windows-365-vs-azure-virtual-desktop/","summary":"An wen richtet sich dieser Blogeintrag? Dieser Blogeintrag richtet sich an IT-Entscheider, Administratoren und technische Projektverantwortliche, die vor der Frage stehen, ob und wann der Einsatz einer virtuellen Desktopinfrastruktur (VDI) sinnvoll ist. Besonders relevant ist der Beitrag für Unternehmen, die zwischen Azure Virtual Desktop und Windows 365 abwägen. Hierfür wollen wir eine fundierte Entscheidungsgrundlage bieten.\nWann brauche ich eine virtuelle Desktopinfrastruktur? Viele Unternehmen nutzen heute verschiedenste Anwendungen mit hohen Ansprüchen an Leistung und Netzwerk.","title":"Azure Virtual Desktop vs. Windows 365"},{"content":" Wir wollen unser WorkSimple-Portfolio strategisch erweitern und setzen dabei auf echte KI-Anwendungen statt auf Buzzword-Feuerwerk. Genau deshalb machen wir das fundiert, mit sinnvollem Plan und klarer Zielrichtung. Worum es dabei konkret geht, steht in meinem heutigen Post.\nKI ist überall. Es fühlt sich an, als würde gerade jeder etwas dazu sagen oder posten. Vieles klingt wichtig, bringt aber wenig. Ich selbst tue mich oft noch schwer, zwischen Hype und echtem Nutzen zu unterscheiden. Nach mehreren Gesprächen intern sowie mit Kunden versuche ich, das Gehörte in Stichpunkten zusammenzufassen.\nViel Buzzword, wenig Substanz 70 % der wahrgenommenen \u0026ldquo;Use Cases\u0026rdquo; sind Standard-Softwareentwicklung LinkedIn: viele KI-Posts ohne Zusammenhang oder Nutzen KI-Thema öffnet Türen in Fachabteilungen, nicht nur zur IT Copilot-Lizenzen werden von Kunden vereinzelt testweise gebucht, meist ohne klaren Plan Sichtbarkeit bei Microsoft steigt als Partner, wenn man sich aktiv zum Thema positioniert Wenn sinnvoll eingesetzt, kann KI schon Mehrwerte liefern Verwalten und Finden von Wissen Automatisierung repetitiver Textaufgaben Insgesamt sehen wir klar, dass sich der Markt bewegt: Das Thema verschwindet nicht mehr. Genau das verstehen wir als Chance.\nDeshalb haben wir gemeinsam beschlossen, uns aktiv zu beteiligen. Unser Ziel ist es, bis Dezember einen Businessplan zu entwickeln. Auf dem Weg dorthin wollen wir offen und ergebnisorientiert konkrete Anwendungsfelder identifizieren und mit Kunden bewerten. Kein theoretisches Konzept, sondern praktische Lösungen für reale Projekte.\nIch würde euch gern auf meiner Reise hier im Blog mitnehmen. Jeden Monat ein Einblick: offen, direkt, ohne Filter. Ziel ist, herauszufinden, wo KI bei Firmen echten Nutzen bringt und wie wir diesen in der Praxis gemeinsam realisieren können.\nMein selbstgesteckter Rahmen zum Business Plan: Als methodische Basis will ich das Business Model Canvas (BMC) nutzen. Kurz hatte ich auch das Lean Canvas in Betracht gezogen, aber das passt weniger, weil wir auf ein bestehendes Fundament aufbauen können. Ich veröffentliche jeden Monat einen Blogeintrag mit etwa einem Monat Verzug zum tatsächlichen Projektstand. So bleibt genug Zeit zum Reflektieren, Auswerten und sauber Dokumentieren. Nachfolgend die Teilzeit-Roadmap bis Dezember: Monat\nAufgaben / Aktivität\nDeliverables\nJuni\nRecherche Microsoft AI Framework\nGrobe Marktübersicht Azure AI / Copilot / Copilot Studio\nMID Förderung ansehen\nRahmenbedingungen zum Qualifizierungs-Chancen-Gesetz prüfen\nBewerbung Masterstudium\nErste Marktübersicht (grob) / Liste mit möglichen Geschäftsfeldern und \"Missionsphasen\"\nAussage zu den Förderungen\nLinkedin / Blog-Beitrag\nJuli\nVorbereitung halbstrukturierte Kundeninterviews\nVorbereitung der Marktanalyse (Ziele, Kriterien) - Sekundäranalyse, Wettbewerbsanalyse, Expertenbefragung\nAuswahl von geeigneten Kunden und Experten (Microsoft, ALSO)\nVorbereitung einer externen Machbarkeitsanalyse\nInterviewleitfaden Kunden\nErstellung Kundenliste / Terminierung\nStruktur der Marktanalyse festgelegt\nBriefing-Dokument für externe Marktanalyse\nLinkedin / Blog-Beitrag\nAugust\nDurchführung Kundeninterviews\nDurchführung eigener Marktanalyse\nDurchführung der externen Machbarkeitsanalyse\nErste Recherche weiterer Partneroptionen\nKundenfeedback dokumentiert\nInterne Marktanalyse dokumentiert\nExterne Studie gestartet\nLinkedin / Blog-Beitrag\nSeptember\nBMC-Entwurf erstellen\nErste Use Case Ideen skizzieren\nEntscheidung Aufbau intern/Partner treffen (mit GF), Definition des vorläufigen Kompetenzbedarfs / Partner\nErgebnisse aufbereiten für internen Firmen-Vortrag (30 min)\nFirmeninterner Vortrag gehalten\nBMC-Entwurf\nÜbersicht erste Use Cases\nDokumentation vorläufiger Kompetenzprofile / benötigte Partner\nLinkedin / Blog-Beitrag\nOktober\nAI-Strategie detailliert ausarbeiten mit den jeweiligen Schritten\nFinalisierung der Use Cases\nGo-to-Market-Plan skizzieren\nStrategiepapier fertig\nGTM-Konzept-Entwurf\nFinale Liste der Use Cases\nLinkedin / Blog-Beitrag\nNovember\nBudget- und Kostenplan aufsetzen\nBMC finalisieren\nFestlegung der Meilensteine und Ziele, Vorgehen 2026\nVorab-Review mit dem Team durchführen\nFinale BMC \u0026amp; Use Cases abgelegt\nGF-Review abgeschlossen\nÜbersicht Vorgehen \u0026amp; Meilensteine 2026\nBudget \u0026amp; Kostenplan dokumentiert\nLinkedin / Blog-Beitrag\nDezember\nBusinessplan finalisieren\nFinale Präsentation vorbereiten/durchführen\nFinaler Businessplan erstellt\nPräsentation gehalten \u0026amp; Entscheidung für das weitere Vorgehen dokumentiert\nLinkedin / Blog-Beitrag\nZiel für nächsten Monat ist somit: Einblick in die Vorbereitung der Kundeninterviews, Auswahl relevanter Ansprechpartner und erste Erkenntnisse zur Marktlage.\nWas ich jetzt noch gut gebrauchen könnte: den Austausch mit Kolleginnen und Kollegen bei Microsoft oder mit anderen, die sich mit KI im Unternehmenskontext beschäftigen. Ob konkrete Kundensituationen, Use Cases oder einfach ein ehrlicher Blick hinter die Kulissen.\nComputer, Logbuch schließen. Nächster Eintrag in einem Monat. Ende der Transmission. 🖖\n","permalink":"https://m365simple.de/posts/die-worksimple-ki-reise-logbuch-eintrag-1-der-start/","summary":"Wir wollen unser WorkSimple-Portfolio strategisch erweitern und setzen dabei auf echte KI-Anwendungen statt auf Buzzword-Feuerwerk. Genau deshalb machen wir das fundiert, mit sinnvollem Plan und klarer Zielrichtung. Worum es dabei konkret geht, steht in meinem heutigen Post.\nKI ist überall. Es fühlt sich an, als würde gerade jeder etwas dazu sagen oder posten. Vieles klingt wichtig, bringt aber wenig. Ich selbst tue mich oft noch schwer, zwischen Hype und echtem Nutzen zu unterscheiden.","title":"Die WorkSimple KI-Reise | Logbuch Eintrag #1 - Der Start"},{"content":"Was ist Azure - Just in Time Access (JIT)? Azure Just in Time Access (JIT) ist eine Sicherheitsfunktion innerhalb von Microsoft Defender for Cloud, die den Netzwerkzugriff auf virtuelle Maschinen (VMs) in Azure nur bei Bedarf und für einen begrenzten Zeitraum erlaubt. Ziel ist es, die Angriffsfläche zu minimieren, indem dauerhaft offene Ports wie etwa für RDP oder SSH vermieden werden.\nIn der Praxis sieht das oft differenzierter aus. Zwar sind viele virtuelle Maschinen nicht direkt aus dem Internet erreichbar, sondern über interne Netzwerke oder über VPNs abgesichert, dennoch bleiben häufig administrative Ports wie RDP oder SSH dauerhaft geöffnet. Das geschieht oft, um Administratoren oder externen Dienstleistern einen schnellen Zugriff zu ermöglichen. Auch innerhalb eines privaten Netzwerks kann dies ein Sicherheitsrisiko darstellen, insbesondere wenn keine zusätzlichen Schutzmechanismen wie Netzwerksegmentierung, rollenbasierte Zugriffskontrolle oder Multi-Faktor-Authentifizierung implementiert sind.\nEin typisches Beispiel: Ein mittelständisches Unternehmen betreibt mehrere Windows-Server in Azure, die über ein Site-to-Site-VPN mit dem Unternehmensnetzwerk verbunden sind. Die Administratoren greifen regelmäßig per RDP auf diese Server zu, wobei Port 3389 dauerhaft offen bleibt, allerdings nur für interne IP-Adressen. Eines Tages wird ein verdächtiger Zugriff aus einem anderen Subnetz festgestellt. Die Analyse ergibt, dass ein kompromittiertes Gerät im internen Netzwerk den Zugriff ausgelöst hat. Der Vorfall zeigt, dass auch interne Angriffsvektoren nicht unterschätzt werden dürfen.\nMit Azure Just in Time Access wäre der Zugriff auf die Server nur bei Bedarf und für eine begrenzte Zeit möglich gewesen. Selbst innerhalb des internen Netzwerks wäre der Port standardmäßig geschlossen und nur gezielt geöffnet worden, beispielsweise für eine bestimmte IP-Adresse und einen definierten Zeitraum. Der Zugriff wäre kontrolliert, protokolliert und automatisch wieder beendet worden. So lassen sich auch interne Risiken deutlich reduzieren und administrative Zugriffe besser absichern.\nWelche Voraussetzungen und Kosten habe ich? Voraussetzungen Microsoft Defender for Servers Plan 2 muss für das jeweilige Azure-Abonnement aktiviert sein Unterstützt werden: Azure-VMs, die über den Azure Resource Manager bereitgestellt wurden VMs, die durch Azure Firewall oder NSG geschützt sind Nicht unterstützt: Klassisch bereitgestellte VMs VMs, die durch Azure Firewall Manager gesteuert werden Kosten: Die Nutzung von JIT ist in Microsoft Defender for Servers Plan 2 enthalten, der wiederum kostenpflichtig ist. Die Preise für die Lizenz liegen zum Datum dieser Veröffentlichung bei 12,91 € pro Server.\nWie konfiguriere ich JIT? Die Konfiguration von Azure Just in Time Access erfolgt über das Azure-Portal. Für Unternehmen, die Microsoft Defender for Servers Plan 2 noch nicht nutzen, besteht die Möglichkeit, einen 30-tägigen kostenlosen Testzeitraum zu aktivieren. Der Plan muss auf der Subscription aktiviert werden und wird auch über diese abgerechnet.\nDie Einrichtung im Azure-Portal erfolgt in mehreren Schritten:\nZunächst wird Microsoft Defender for Cloud geöffnet. Unter dem Menüpunkt Workload Protections findet sich die Kategorie „Just-in-Time VM-Zugriff“.\nDort werden alle VMs aufgelistet. Ebenfalls kann hier die virtuelle Maschine ausgewählt werden, für die JIT aktiviert werden soll.\nAnschließend werden die zu schützenden Ports definiert, zum Beispiel Port 22 für SSH oder Port 3389 für RDP. Zusätzlich wird festgelegt, wie lange der Zugriff maximal gewährt werden darf, etwa eine Stunde, und welche IP-Adressen Zugriff erhalten dürfen.\nDanach wird die Richtlinie gespeichert. Damit ist JIT für die ausgewählte VM aktiv.\nDer Zugriff kann nun bei Bedarf über das Azure-Portal angefordert werden. Die Anfragen werden protokolliert und nach Ablauf der definierten Zeit automatisch beendet.\nAlternativ kann JIT direkt in der VM eingestellt werden:\nPersönliche Meinung / Fazit Azure Just in Time Access ist ein praktisches Sicherheitsfeature, das unnötig offene Ports vermeidet und so die Angriffsfläche reduziert. Gleichzeitig hilft es Unternehmen, Compliance-Anforderungen wie ISO 27001 besser zu erfüllen, da der Zugriff auf Systeme gezielt gesteuert und protokolliert wird. Die Einrichtung ist einfach, die Integration in Defender for Cloud funktioniert gut. Voraussetzung ist allerdings der kostenpflichtige Defender-Plan.\nQuellen Aktivieren des Just-In-Time-Zugriffs auf virtuellen Computern - Microsoft Defender for Cloud | Microsoft Learn ","permalink":"https://m365simple.de/posts/azure-just-in-time-access-jit/","summary":"Was ist Azure - Just in Time Access (JIT)? Azure Just in Time Access (JIT) ist eine Sicherheitsfunktion innerhalb von Microsoft Defender for Cloud, die den Netzwerkzugriff auf virtuelle Maschinen (VMs) in Azure nur bei Bedarf und für einen begrenzten Zeitraum erlaubt. Ziel ist es, die Angriffsfläche zu minimieren, indem dauerhaft offene Ports wie etwa für RDP oder SSH vermieden werden.\nIn der Praxis sieht das oft differenzierter aus. Zwar sind viele virtuelle Maschinen nicht direkt aus dem Internet erreichbar, sondern über interne Netzwerke oder über VPNs abgesichert, dennoch bleiben häufig administrative Ports wie RDP oder SSH dauerhaft geöffnet.","title":"Azure - Just in Time Access (JIT)"},{"content":"Im Februar 2025 berichtete mein Kollege Nicolas über den Abschluss der EU Data Boundary. Ein Meilenstein Microsofts, welcher es europäischen Kunden ermöglicht, ihre Daten ausschließlich innerhalb der EU und EFTA zu speichern und zu verarbeiten. Ziel war es, den Anforderungen der DSGVO gerecht zu werden und die Kontrolle über sensible Informationen zu stärken. Doch trotz dieser Fortschritte blieb eine zentrale Frage offen: Wie wird die EU Data Boundary umgesetzt und sind europäische Daten wirklich vor dem Zugriff durch US-Behörden im Rahmen des Cloud Acts?\nDer US CLOUD Act verpflichtet US-Unternehmen wie Microsoft, Daten auch dann herauszugeben, wenn sie in der EU gespeichert sind. Microsoft setzt sich in solchen Fällen zwar juristisch zur Wehr, doch ein Zugriff bleibt gesetzlich grundsätzlich möglich.\nNeue Schutzmaßnahmen für europäische Kunden Am 16. Juni 2025 stellte Microsoft-CEO Satya Nadella in Amsterdam neue Maßnahmen vor, um die anhaltenden Ungewissheiten auszuräumen. Im Zentrum steht die Einführung der Microsoft Sovereign Cloud, die europäischen Kunden mehr Kontrolle, Wahlfreiheit und digitale Resilienz bieten soll.\nDie Lösung umfasst drei Modelle, die unterschiedliche Anforderungen an Souveränität und Kontrolle abdecken:\nSovereign Public Cloud: Diese Weiterentwicklung der Microsoft Cloud for Sovereignty wird in allen europäischen Rechenzentrumsregionen angeboten. Sie stellt sicher, dass Daten vollständig in Europa verarbeitet werden, unter europäischem Recht und mit Zugriff ausschließlich durch europäisches Personal. Die Verschlüsselung bleibt vollständig unter Kontrolle der Kunden, eine Migration ist nicht erforderlich. Sovereign Private Cloud: Für besonders sensible Szenarien bietet Microsoft eine Lösung, bei der Dienste wie Microsoft 365 Local und Azure Local direkt in der eigenen Infrastruktur oder bei europäischen Partnern betrieben werden. Diese Variante eignet sich für Organisationen mit hohen Anforderungen an Ausfallsicherheit, Datenresidenz und operative Autonomie. National Partner Cloud: Für stark regulierte Bereiche wie den öffentlichen Sektor oder kritische Infrastrukturen arbeitet Microsoft mit lokalen Partnern zusammen. In Deutschland übernimmt Delos Cloud, ein Tochterunternehmen von SAP, den Betrieb einer souveränen Cloud, die den Anforderungen der Bundesregierung entspricht. Data Guardian \u0026amp; externe Verschlüsselung Ergänzend zu den drei Cloud-Modellen führt Microsoft neue Funktionen ein, die den Schutz europäischer Daten weiter stärken sollen:\nData Guardian: Dieses Modell stellt sicher, dass der Fernzugriff auf Systeme ausschließlich durch Microsoft-Mitarbeitende mit Wohnsitz in Europa erfolgt. Sollte ein Zugriff durch Personal außerhalb Europas notwendig sein, muss dieser von europäischem Personal genehmigt und in einem manipulationssicheren Protokoll dokumentiert werden. Externe Schlüsselverwaltung (External Key Management): Microsoft ermöglicht es Kunden, ihre Daten mit eigenen Hardware-Sicherheitsmodulen (HSM) zu verschlüsseln. Unterstützt werden dabei unter anderem Lösungen von Utimaco, Futurex und Thales. Die vollständige Kontrolle über die Verschlüsselungsschlüssel verbleibt beim Kunden. Somit hat selbst Microsoft hat keinen Zugriff auf die entschlüsselten Daten. Vertragliche Zusicherungen gegen US-Zugriffe: Bereits zuvor hatte Microsoft-Vizepräsident Brad Smith angekündigt, dass sich das Unternehmen im Falle unrechtmäßiger Zugriffsversuche durch US-Behörden juristisch zur Wehr setzen werde. Diese Zusicherung wird nun auch explizit in Kundenverträge aufgenommen, um europäischen Unternehmen zusätzliche rechtliche Sicherheit zu bieten. Meine Einschätzung Microsoft bietet mit der Sovereign Cloud inzwischen einen technisch sehr sicheren Betrieb für europäische Daten, insbesondere durch Verschlüsselung, Zugriffskontrollen und europäische Infrastruktur. Rechtlich bleibt der US CLOUD Act jedoch ein Restrisiko, wenn auch meiner Meinung nach ein geringes. Gleichzeitig ist absehbar, dass auch deutsche Behörden künftig verstärkt auf Cloud-Daten zugreifen werden, etwa im Rahmen nationaler Sicherheitsgesetze. Für besonders sensible Daten bleibt daher eine sorgfältige Risikoabwägung weiterhin unerlässlich.\nQuellen Microsoft Ankündigung: Announcing comprehensive sovereign solutions empowering European organizations ","permalink":"https://m365simple.de/posts/haben-die-datenschutzdiskussionen-mit-microsoft-nun-endlich-ein-ende/","summary":"Im Februar 2025 berichtete mein Kollege Nicolas über den Abschluss der EU Data Boundary. Ein Meilenstein Microsofts, welcher es europäischen Kunden ermöglicht, ihre Daten ausschließlich innerhalb der EU und EFTA zu speichern und zu verarbeiten. Ziel war es, den Anforderungen der DSGVO gerecht zu werden und die Kontrolle über sensible Informationen zu stärken. Doch trotz dieser Fortschritte blieb eine zentrale Frage offen: Wie wird die EU Data Boundary umgesetzt und sind europäische Daten wirklich vor dem Zugriff durch US-Behörden im Rahmen des Cloud Acts?","title":"Haben die Datenschutzdiskussionen mit Microsoft nun endlich ein Ende?"},{"content":"Microsoft stellt Autofill-Funktion im Authenticator ein Microsoft hat offiziell angekündigt, dass die Autofill-Funktion in der Microsoft Authenticator-App eingestellt wird. Diese Änderung betrifft Millionen von Nutzern weltweit, die bislang auf die praktische Funktion zum automatischen Ausfüllen von Passwörtern, Adressen und Zahlungsinformationen gesetzt haben. In diesem Artikel erklären wir, was sich genau ändert, und wann es so weit ist.\nWarum wird die Autofill-Funktion eingestellt? Laut Microsoft ist die Einstellung der Autofill-Funktion Teil einer strategischen Neuausrichtung: Das Unternehmen möchte Passwort- und Identitätsfunktionen künftig stärker zentralisieren – insbesondere im Microsoft Edge-Browser. Dadurch sollen Verwaltung, Sicherheit und Nutzerfreundlichkeit über Geräte hinweg verbessert werden.\nWichtige Termine im Überblick Juni 2025: Es können keine neuen Passwörter mehr in der Microsoft Authenticator-App gespeichert werden. Juli 2025: Die Autofill-Funktion wird vollständig deaktiviert. August 2025: Gespeicherte Passwörter sind in der App nicht mehr zugänglich. Was passiert mit bestehenden Daten? Die gute Nachricht: Passwörter und Adressen, die in der Authenticator-App gespeichert sind, werden mit dem Microsoft-Konto synchronisiert und bleiben im Microsoft Edge-Browser verfügbar. Wer also Edge als Standardbrowser nutzt, kann seine Daten weiterhin problemlos verwenden.\nWichtig zu wissen: Zahlungsinformationen werden nicht synchronisiert. Diese müssen nach der Umstellung manuell in Edge neu hinterlegt werden. Microsoft empfiehlt, gespeicherte Daten vor dem 1. August 2025 zu exportieren – vor allem, wenn Sie künftig einen anderen Passwortmanager verwenden möchten.\nWas bleibt erhalten? Die Unterstützung für Passkeys in der Authenticator-App bleibt weiterhin bestehen. Wichtig ist jedoch, dass die App in den Systemeinstellungen als Passkey-Anbieter aktiviert bleibt – sonst funktioniert auch diese Funktion nicht mehr.\n","permalink":"https://m365simple.de/posts/microsoft-stellt-autofill-funktion-im-authenticator-ein/","summary":"Microsoft stellt Autofill-Funktion im Authenticator ein Microsoft hat offiziell angekündigt, dass die Autofill-Funktion in der Microsoft Authenticator-App eingestellt wird. Diese Änderung betrifft Millionen von Nutzern weltweit, die bislang auf die praktische Funktion zum automatischen Ausfüllen von Passwörtern, Adressen und Zahlungsinformationen gesetzt haben. In diesem Artikel erklären wir, was sich genau ändert, und wann es so weit ist.\nWarum wird die Autofill-Funktion eingestellt? Laut Microsoft ist die Einstellung der Autofill-Funktion Teil einer strategischen Neuausrichtung: Das Unternehmen möchte Passwort- und Identitätsfunktionen künftig stärker zentralisieren – insbesondere im Microsoft Edge-Browser.","title":"Microsoft stellt Autofill-Funktion im Authenticator ein"},{"content":"Neustarts nach Windows-Updates gehören bald der Vergangenheit an, zumindest größtenteils. Mit Hotpatching bringt Microsoft eine Funktion aus der Azure-Welt nun auch für Windows Server 2025 in hybride und On-Premises-Umgebungen. Ab dem 1. Juli 2025 wird Hotpatching als kostenpflichtiger Dienst (im Abo) allgemein verfügbar.\nAuch für Windows 11 Clients ist Hotpatching seit Anfang April verfügbar. Voraussetzung sind Abonnements der Stufen E3, E5, F3 oder ein Education-Abo A3 und A5 oder eine Windows-365-Enterprise-Lizenz.\nWas ist Hotpatching? Hotpatching ermöglicht das Einspielen von Updates ohne Neustart des Systems. Der Trick: Updates werden direkt im laufenden System angewendet – der Code laufender Prozesse wird im Arbeitsspeicher aktualisiert, ganz ohne Unterbrechungen.\nVorteile auf einen Blick Vorteil\nBeschreibung\n🔄 Keine Neustarts\nUpdates werden in laufende Prozesse gepatcht, ohne Server-Neustart.\n⏱️ Schnellere Updates\nKleinere Pakete, zügige Installation und zentralisierte Orchestrierung.\n🔒 Reduziertes Risiko\nKürzeres Window of Vulnerability dank sofortiger Installation.\nPatch-Zeitplan Maximal 8 Hotpatches pro Jahr, unterbrochen von 4 sogenannten Baseline Updates, die weiterhin einen Neustart erfordern.\nArt des Updates\nMonate\nNeustart erforderlich\nBaseline-Update\nJanuar, April, Juli, Oktober\nJa\nHotpatch\nAlle übrigen Monate (8 pro Jahr)\nNein\nVoraussetzungen Für den Einsatz außerhalb von Azure gelten folgende Bedingungen:\nWindows Server 2025 Standard oder Datacenter Verbindung über Azure Arc Azure Hotpatching-Abo erforderlich In Azure selbst (z. B. IaaS, Stack, Azure Local): keine zusätzlichen Anforderungen, wenn Windows Server Datacenter: Azure Edition verwendet wird.\nKostenmodell Aktuell ist Hotpatching noch kostenlos in der Vorschau. Ab Juli 2025 gilt:\n1,50 USD pro vCPU/Monat Abrechnung monatlich, unabhängig davon, ob Hotpatch oder Basisupdate ⚠️ Wichtig: In der Vorschau registrierte Maschinen werden ab 1. Juli automatisch kostenpflichtig weitergeführt – außer, sie werden bis 30. Juni abgemeldet.\nHotpatching aktivieren Im Azure Portal anmelden Azure Update Manager öffnen \u0026ldquo;Machines\u0026rdquo; aufrufen und Arc-Server auswählen Im Bereich \u0026ldquo;Hotpatch\u0026rdquo; auf \u0026ldquo;Change\u0026rdquo; klicken Lizenzoption aktivieren (\u0026ldquo;I want to license\u0026hellip;\u0026rdquo;) auswählen Hotpatching aktivieren und bestätigen Verwaltung jederzeit im Azure Portal möglich Quellen 📖 Link zur offiziellen Microsoft Dokumentation\n","permalink":"https://m365simple.de/posts/hotpatching-windows-server-2025/","summary":"Hotpatching reduziert Neustarts und bringt schnellere Updates für Windows Server 2025 – jetzt auch außerhalb von Azure.","title":"Hotpatching in Windows Server 2025 – Updates ohne Unterbrechung"},{"content":"Azure VM Kapazitätsprobleme - Ursachen und Optionen Seit gestern kommt es in der Azure Region Germany west central zeitweise zu Kapazitätsproblemen bei virtuellen Maschinen mit AMD CPU. Dadurch ließen sich keine neuen VMs mit diesen bereitstellen, oder aus dem deallocated Status wieder hochfahren. Da solche Engpässe auch kritische und dynamisch skalierende Workloads betreffen können, ist es wichtig Vorkehrungen zu treffen, um Ausfälle zu vermeiden.\nDoch was kann man in diesem konkreten Fall tun? Wie lässt sich das Risiko hier minimieren?\nOption 1: Wechsel auf Intel Der Großteil der Azure VM Größen lassen sich entweder mit AMD oder Intel CPU bereitstellen. VMs mit AMD CPU sind an dem \u0026ldquo;a\u0026rdquo; im Namen erkennen. Als Beispiel D2asV5. Dieses Shape hat auch ein Intel äquivalent. Die D2sV5. Beide verfügen über 2 vCPUs und 8 GiB Arbeitsspeicher. Auch sonstige Features sind identisch. Der einzige Unterschied ist im Preis zu sehen. Während die AMD Variante bei 125,74€ im Monat zusehen ist, liegt die gleiche Größe mit Intel Hardware bei 132,80€.\n*Preise aus dem Azure-Kalkulator stand 26. Mai.2025\n💡 Tool-Tipp: Zum Vergleich von VMs empfehle ich Cloudprice. Dort lässt sich mithilfe diverser Filtereinstellung die ideale alternative VM finden.\nOption 2: Vorbeugung durch Azure capacity reservations (ACR) Azure capacity reservations bieten die Möglichkeit, sich Kapazitäten für Ressourcen in einer Region zu sichern. Egal ob diese im Moment aktiv sind oder nicht. Gerade für kritische Workloads in Regionen mit knappen Ressourcen ist die Evaluierung zur Nutzung von ACR\u0026rsquo;s wichtig.\nDer entspricht exakt der zugrundeliegenden VM. Das ist ideal für 24/7 Workloads mit planbarer Auslastung. ACR\u0026rsquo;s lassen sich auch mit reserved instances zur Kosteneinsparung kombinieren.\nBesonderheit Azure Virtual Desktop (AVD) Dynamische Workloads wie AVD, wo z. B. in einer nicht persistenten VDI-Umgebung täglich mehrmals VMs bereitgestellt und gelöscht oder hoch- und heruntergefahren werden, kann dies zu Problemen bei den Nutzenden führen, wenn keine Kapazität vorhanden ist. Hier können Tools zur Automatisierung Abhilfe verschaffen. Das AVD Automatisierungstool Hydra bietet die Möglichkeit, alternative VM Größen zu konfigurieren. Dabei erkennt die Hydra, wenn eine VM aufgrund von Kapazitäten nicht mehr bereitgestellt werden kann und stellt automatisiert auf die angegebene Alternative um. Das könnte im heutigen Fall bei einer Umgebung mit AMD VMs ein Intel Shape sein.\nFazit Kapazitätsprobleme sind zwar kein tägliches Problem, können aber durchaus auftreten und kritische Systeme beeinträchtigen. Insbesondere bei beliebten Regionen. Umso wichtiger ist es, sich diesem Risiko bewusst zu sein und dementsprechende Maßnahmen zur Vorbeugung zu treffen.\nZum Schluss lässt sich daher nur sagen:\n\u0026ldquo;In der Cloud regnet’s nicht – aber wer keine Kapazität reserviert, steht trotzdem im Nassen.\u0026rdquo;\n","permalink":"https://m365simple.de/posts/azure-vm-kapazitatsprobleme/","summary":"Azure VM Kapazitätsprobleme - Ursachen und Optionen Seit gestern kommt es in der Azure Region Germany west central zeitweise zu Kapazitätsproblemen bei virtuellen Maschinen mit AMD CPU. Dadurch ließen sich keine neuen VMs mit diesen bereitstellen, oder aus dem deallocated Status wieder hochfahren. Da solche Engpässe auch kritische und dynamisch skalierende Workloads betreffen können, ist es wichtig Vorkehrungen zu treffen, um Ausfälle zu vermeiden.\nDoch was kann man in diesem konkreten Fall tun?","title":"Azure VM Kapazitätsprobleme"},{"content":"Neuer Intune-Connector für Entra-Hybrid-Join per Windows Autopilot Hintergrund und Ziel der Änderung Im Rahmen der Secure Future Initiative von Microsoft wurde der bisherige Intune Connector, der mit dem lokalen SYSTEM-Konto ausgeführt wurde, überarbeitet. Stattdessen nutzt der neue Connector künftig ein Managed Service Account (MSA). Ziel dieser Umstellung ist es, das Prinzip der minimalen Rechtevergabe konsequent umzusetzen und die Angriffsfläche zu reduzieren. Ein eigens eingerichtetes MSA erhält nur jene Berechtigungen, die für den Hybrid-Join-Prozess benötigt werden – weit weniger als das generelle SYSTEM-Konto.\nZeitplan und Auswirkungen Ab Ende Juni 2025 wird der bisherige Connector endgültig außer Betrieb genommen.\nAb Juli 2025 sind keine Neuanmeldungen von Geräten mehr über den alten Connector möglich.\nGeräte, die bereits registriert sind und keine Neu-Join-Operation erfordern, bleiben weiterhin verwaltbar. Für alle neuen Hybrid-Joins ist jedoch zwingend der neue Connector erforderlich.\nWas Sie jetzt tun sollten **Installation des neuen Connectors\n**Melden Sie sich im Intune Admin Center an, laden Sie die aktuelle Version des Connectors herunter und führen Sie die Installation durch.\nEinrichtung des Managed Service Accounts\nFolgen Sie dem Assistenten zur Konfiguration des MSA. Dieses Konto wird automatisch in Ihrem Active Directory angelegt und erhält die notwendigen Zugriffsrechte.\nAnpassung der OU-Einstellungen\nÖffnen Sie die Konfigurationsdatei ODJConnectorEnrollmentWizard.exe.config und ergänzen Sie die Active-Directory-Organizational Units (OUs), in denen neue Geräte beitreten sollen.\nFür detaillierte Schritt-für-Schritt-Anleitungen verweisen wir auf die offiziellen Microsoft-Dokumentationen:\nMicrosoft Intune Connector for Active Directory security update\nDeploy Microsoft Entra hybrid joined devices by using Intune and Windows Autopilot\nZusammenfassung Die Umstellung auf den neuen Intune Connector mit Managed Service Account ist ein notwendiger Schritt, um Ihre Autopilot-Bereitstellungen sicherer zu gestalten und den Empfehlungen von Microsoft zu folgen. Als Ihr Consultant unterstützen wir Sie gerne bei der Planung und Umsetzung dieser Änderung – sprechen Sie uns an, um einen reibungslosen Übergang sicherzustellen.\n","permalink":"https://m365simple.de/posts/intune-connector-fur-entra-hybrid-join/","summary":"Neuer Intune-Connector für Entra-Hybrid-Join per Windows Autopilot Hintergrund und Ziel der Änderung Im Rahmen der Secure Future Initiative von Microsoft wurde der bisherige Intune Connector, der mit dem lokalen SYSTEM-Konto ausgeführt wurde, überarbeitet. Stattdessen nutzt der neue Connector künftig ein Managed Service Account (MSA). Ziel dieser Umstellung ist es, das Prinzip der minimalen Rechtevergabe konsequent umzusetzen und die Angriffsfläche zu reduzieren. Ein eigens eingerichtetes MSA erhält nur jene Berechtigungen, die für den Hybrid-Join-Prozess benötigt werden – weit weniger als das generelle SYSTEM-Konto.","title":"Intune-Connector für Entra-Hybrid-Join"},{"content":"Microsoft führt ab Mai ein neues OneDrive-Feature ein, das zunächst harmlos wirken mag, jedoch erhebliche Risiken für Datensicherheit und Compliance birgt. Nutzer werden künftig aktiv dazu aufgefordert, ihre persönlichen Microsoft-Konten auf Arbeitsgeräten zu synchronisieren (Microsoft 365 Roadmap ID 490064).\nWas zunächst wie ein einfacher komfortabler Vorschlag à la \u0026ldquo;Möchtest du deine Dateien synchronisieren?\u0026rdquo; erscheint, könnte im Unternehmenskontext schnell zur ernsthaften Gefahr werden.\nDie standardmäßig aktivierte Funktion kann zu folgenden kritischen Situationen führen:\n🚨 Datenlecks: Unternehmensdaten könnten versehentlich (oder absichtlich) in persönliche OneDrive-Konten gelangen. 🔍 Fehlende Kontrolle und Überwachung: Persönliche Konten fallen nicht unter die Sicherheitsrichtlinien des Unternehmens, wodurch Aktivitäten weder überwacht noch protokolliert werden. 📛 Compliance-Verstöße: Besonders in regulierten Branchen riskierst man Verstöße gegen die Compliance-Vorschriften. So deaktivierst du die persönliche OneDrive-Synchronisierung Microsoft bietet spezifische Gruppenrichtlinien zur Deaktivierung:\nEssentielle Richtlinie: DisablePersonalSync Diese Richtlinie blockiert vollständig die Synchronisierung persönlicher OneDrive-Konten.\nGruppenrichtlinienverwaltung öffnen (gpmc.msc). Navigiere zu: Benutzerkonfiguration → Richtlinien → Administrative Vorlagen → OneDrive. Öffne \u0026ldquo;Benutzer an der Synchronisierung persönlicher OneDrive-Konten hindern\u0026rdquo;. Stelle die Richtlinie auf \u0026ldquo;Aktiviert\u0026rdquo;. Bestätige mit \u0026ldquo;OK\u0026rdquo;. Registry-Pfad: 1 2 [HKCU\\SOFTWARE\\Policies\\Microsoft\\OneDrive] \u0026#34;DisablePersonalSync\u0026#34;=dword:00000001 ⚠️ Hinweis: Bereits synchronisierte Dateien bleiben auf dem Gerät bestehen. Je früher du aktivierst, desto besser!\nOptionale Richtlinie: DisableNewAccountDetection Mit dem Registry- bzw. GPO-Setting \u0026ldquo;DisableNewAccountDetection\u0026rdquo; lässt sich der Hinweis unterdrücken, OneDrive mit einem persönlichen Microsoft-Konto zu synchronisieren.\n⚠️ Wichtig: Diese Einstellung blockiert nichts, sondern verhindert nur den Prompt beim Erkennen eines neuen privaten Kontos. Diese Lösung ist somit hilfreich als Workaround, aber kein Ersatz für das vollständige Deaktivieren der persönlichen OneDrive-Synchronisierung.\n📖 Konfigurierbar per Gruppenrichtlinie oder direkt in der Registry: Microsoft-Dokumentation\n","permalink":"https://m365simple.de/posts/onedrive-sicherheitsrisiko-neue-funktion-gefahrdet-unternehmensdaten/","summary":"Microsoft führt im Mai eine neue Standardfunktion in OneDrive ein, die persönliche Konten auf Unternehmensgeräten synchronisiert. Was zunächst praktisch klingt, könnte zum Sicherheitsrisiko für Unternehmen werden.","title":"OneDrive als Sicherheitsrisiko? Neue Funktion gefährdet Unternehmensdaten!"},{"content":"Microsoft kündigt SMTP Auth (Basic) zum 30.09.2025 endgültig ab und viele Firmen werden vor der Frage stehen: Wie versende ich meine Mails von Druckern oder anderen Systemen die kein OAuth unterstützen?\nHier stehen einige Möglichkeiten zur Auswahl. Heute soll es sich aber um eine SaaS Lösung handeln: Azure Communication Services.\nWas ist ACS Hierbei handelt es sich um einen Dienst, den Microsoft im Azure Portal bereitstellt und hierrüber verschiedenste Kommunikationswege bereitstellen kann. Dazu gehören SMS, Telefonie oder auch Whatsapp. Wir konzentrieren uns hier aber auf SMTP.\nVoraussetzung Um diesen Dienst nutzen zu können ist eine Azure Subscription über welche die anfallenden Kosten abgerechnet werden können. Diese orientieren sich im übrigen an der Nutzung. Daher gilt: Es werden wenig Mails versendet -\u0026gt; Es fallen geringe Kosten an. Die Kosten hierzu können im Azure Preisrechner individuell berechnet werden. Bei 1000 Mails und 5MB pro Mail fallen damit ca. 0,8€ im Monat an Kosten an.\nEinschränkungen Hierbei handelt es sich um ein um ein Tool, welches nur für den Versand in eine Richtung (z.B. vom Scanner zum User) geeignet ist. Daher ist es für Bidirektionale Kommunikation nicht geeignet.\nAufgrund technischer Einschränkungen muss hier das Passwort für den SMTP Versand am sendenden Geräte alle 2 Jahren spätestens geändert werden.\nWas ist die beste Lösung Sollte das zu nutzende Gerät OAuth2 unterstützen empfehlen wir die Nutzung direkt mit ExchangeOnline. Hier sind alle Voraussetzungen für einen nachhaltigen und sicheren Einsatz gegeben. Wird dies nicht unterstützt und sind die genannten Einschränkungen nicht hinderlich, dann kann ACS der richtige Weg sein.\nInteresse? Dann sprecht uns direkt an oder über kunde@worksimple.de . Wir helfen gerne bei der Lösungsfindung und Umsetzung.\n","permalink":"https://m365simple.de/posts/mail-relay-ohne-installation/","summary":"Microsoft kündigt SMTP Auth (Basic) zum 30.09.2025 endgültig ab und viele Firmen werden vor der Frage stehen: Wie versende ich meine Mails von Druckern oder anderen Systemen die kein OAuth unterstützen?\nHier stehen einige Möglichkeiten zur Auswahl. Heute soll es sich aber um eine SaaS Lösung handeln: Azure Communication Services.\nWas ist ACS Hierbei handelt es sich um einen Dienst, den Microsoft im Azure Portal bereitstellt und hierrüber verschiedenste Kommunikationswege bereitstellen kann.","title":"Mail-Relay ohne Installation"},{"content":"In Ergänzung zu den technischen Themen in unserem Blog soll dieser Artikel näher auf die Möglichkeiten der Finanzierung eines Azure Virtual Desktop (AVD) Projekts durch Microsoft eingehen. Diese Initiative ist Teil des Azure Migrate and Modernize and Azure Innovate Programms, welches Microsoft im Juli 2023 eingeführt hat. Das Ziel ist es, Kunden bei der Implementierung Ihrer Cloud-Reise zu unterstützten.\nBisher wurde von Microsoft kein Enddatum für die Förderung angekündigt. Die Bedingungen gelten unabhängig davon mindestens bis zum Ende des aktuellen Microsoft-Geschäftsjahrs am 30.06.2025.\nWelche Voraussetzungen gibt es für Partner? Die WorkSimple hat seit April 2025 neben den Solution Partnerships für Infrastructure sowie Modern Work nun auch eine Spezialisierung im Bereich Azure Virtual Desktop. Dadurch ist es möglich, ein gemeinsames Projekt bei Microsoft zur Nutzung der finanziellen Unterstützung anzumelden.\nWas muss vorbereitet werden? Dazu ist eine konkrete Projektidee im Bereich AVD notwendig. Diese Idee sollte beinhalten, welche Personengruppe mit welchen Anwendungen für die Nutzung von AVD infrage kommen. Als Nächstes sollte ein Finanzplan erstellt werden. Dieser sollte auch Einsparungen z. B. durch die Ablösung bestehender Lösungen wie Citrix oder einer OnPrem RDS Farm inkludieren. Für eine Bewertung der zukünftigen AVD-Kosten bietet sich der Azure Pricing Calculator an.\nIm Anschluss erfolgt eine Nominierung des Projekts bei Microsoft für die Inanspruchnahme der Förderung. Wird diese Nominierung akzeptiert, erfolgt die Finanzierung und es kann losgehen.\nWie viel Unterstützung ist für mein Projekt möglich? Die finanzielle Unterstützung durch Microsoft für ein Azure Virtual Desktop (AVD) Projekt steht in Abhängigkeit von dem voraussichtlichen jährlichen Azure Umsatz nach Abschluss der Implementierung. Dieser Planwert kann der Schätzung des Azure Pricing Calculators entnommen werden.\nDie nachfolgende Tabelle stellt die mögliche Projektfinanzierung durch Microsoft in Abhängigkeit zu dem ermittelten typischen Azure Jahresumsatz dar:\nGeplanter Azure Umsatz pro Jahr\nMaximale Projektdauer\nFinanzierung in USDUnterstützung in Euro\n$10K - $25K120 Tage\n5.000 USDca. 4.300 €\n\u0026gt;$25K - $125K120 Tage\n15.000 USDca. 13.100 €\n\u0026gt;$125K - $250K\n200 Tage\n35.000 USD\nca. 30.700 €\n\u0026gt;$250K - $500K\n260 Tage\n50.000 USD\nca. 43.900 €\nWas wird im Rahmen des Projekts ausgeliefert? Prüfung/Review der Kompatibilität von Applikationen Einrichtung oder Review der Azure Landing Zone Implementierungs-Aktivitäten inkl. Azure Security Workloads​ Was gibt es noch zu beachten? Neben den oben dargestellten Ergebnissen aus dem Projekt empfiehlt Microsoft dringend, auch die Securityaspekte bei neuen Azure Workloads wie AVD zu berücksichtigen. Diese Securityaspekte umfassen dabei unter anderem:\nAnti-Malware Lösung wie z.B. Microsoft Defender for Cloud (oder ein gleichwertiges Sicherheitsprodukt von Drittanbietern) Network-Security durch z.B. Netzwerksicherheitsgruppen, sicherer VNet-Konfigurationen, Azure Front Door mit WAF-Richtlinien, Azure Bastion und DDoS-Schutz ggfs. Azure Firewall Premium und das Konfigurieren von Firewall-Manager-Richtlinien und -Warnungen Was ist nach dem Projektabschluss zu tun? Für die Umsetzung des Projekts steht nach der Bestätigung des Beginns der Umsetzung durch den Kunden je nach der Kategorie der Größe eine bestimmte Anzahl an Tagen zur Verfügung. Am Ende der Projektdauer muss die Implementierung mit den oben genannten Zielen erfolgt sein. Am Ende des Projekts erfolgt die Auszahlung des Zuschuss.\nDer Kunde bestätigt die Umsetzung des Projekts durch die Unterzeichnung eines Nachweises der Durchführung (Proof of Execution PoE).\nWie kann ich ein Projekt starten? Melde dich bei uns. Entweder bei einem dir bekannten WorkSimple Kontakt oder falls du uns bislang nicht so genau kennst, auch gerne per E-Mail: kunde@worksimple.de\n","permalink":"https://m365simple.de/posts/projektfinanzierung-azure-virtual-desktop/","summary":"In Ergänzung zu den technischen Themen in unserem Blog soll dieser Artikel näher auf die Möglichkeiten der Finanzierung eines Azure Virtual Desktop (AVD) Projekts durch Microsoft eingehen. Diese Initiative ist Teil des Azure Migrate and Modernize and Azure Innovate Programms, welches Microsoft im Juli 2023 eingeführt hat. Das Ziel ist es, Kunden bei der Implementierung Ihrer Cloud-Reise zu unterstützten.\nBisher wurde von Microsoft kein Enddatum für die Förderung angekündigt. Die Bedingungen gelten unabhängig davon mindestens bis zum Ende des aktuellen Microsoft-Geschäftsjahrs am 30.","title":"Microsoft zahlt für Azure Virtual Desktop Projekte"},{"content":"Am 14. Oktober 2025 endet der erweiterte Support für Exchange Server 2016 und 2019. Ab diesem Datum erhalten diese Versionen keine Sicherheitsupdates, Fehlerbehebungen oder technischen Support mehr​. Zwar werden bestehende Exchange-Server weiterhin funktionieren, jedoch läuft man ohne Updates Gefahr, bekannten oder zukünftigen Sicherheitslücken schutzlos ausgesetzt zu sein​. Für viele Unternehmen kann der Betrieb nicht unterstützter Systeme zudem Compliance-Risiken bedeuten, da Sicherheitsstandards und Prüfungen aktuelle Patches voraussetzen.\nFolgen und Risiken des Support-Endes Ohne weitere Sicherheitsupdates steigt das Risiko von Datenpannen und Systemkompromittierungen erheblich. Neue Schwachstellen – ähnlich früheren Exchange-Exploits – würden ungepatcht bleiben. Überdies verfolgt Microsoft im Sinne von Zero Trust konsequent die Absicherung von Cloud-Anbindungen. So werden aktuell bereits Verbindungen von veralteten oder ungepatchten On-Premises-Exchange-Servern unterbunden oder limitiert​. IT Administratoren sehen in Ihren SMTP Logs mitunter folgende Meldungen. Die Limitierung lässt sich zwar für 90 Tage pausieren, danach bestehen zumindest in hybriden Umgebungen erhebliche Einschränkungen.\n1 4.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online throttled for n mins/hr. 1 5.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online blocked for n mins/hr. Quelle: https://techcommunity.microsoft.com/blog/exchange/how-to-pause-throttling-and-blocking-of-out-of-date-on-premises-exchange-servers/4007169\nMigration zu Exchange Online Der Wechsel in die Cloud ist aus Microsoft-Sicht die einfachste und zukunftssicherste Option​. Durch eine Migration zu Exchange Online bzw. Microsoft 365 profitieren Organisationen von modernen Funktionen (inkl. neuen AI-Features) und müssen keine eigene Serverinfrastruktur mehr absichern. Aus technischer Sicht bedeutet die Cloud-Option, dass alle Postfächer rechtzeitig in die Online-Umgebung migriert werden sollten, bevor der On-Premises-Server aus dem Support fällt. Dies erfordert Planungsaufwand (Netzwerk, Identitäten, Benutzerakzeptanz), bringt aber langfristig Entlastung bei Wartung und Updates.\nUpgrade zu Exchange SE (Subscription Edition) Für Organisationen, die weiterhin einen lokalen Exchange-Server betreiben müssen oder wollen, erscheint in Q3 2025 die neue **Exchange Server Subscription Edition (SE)**​. Diese Version wird technisch auf Exchange 2019 (CU15) aufbauen und ähnliche Systemanforderungen haben. Wichtig: Es handelt sich um ein Abo-Modell – das heißt, für den Betrieb werden Subscription-Lizenzen oder eine aktive Software Assurance benötigt. Im Gegenzug bleibt die Plattform aktuell (geplante Update-Kadenz: zwei CUs pro Jahr) und unterstützt moderne Features wie TLS 1.3, Kerberos-Authentifizierung und REST-APIs, während veraltete Techniken (z. B. Outlook Anywhere) entfallen.\nHandlungsempfehlung IT-Administratoren sollten sofort mit der Planung beginnen. Prüfen Sie, welche Exchange-Versionen im Einsatz sind, und entscheiden Sie sich für einen Migrationspfad. Wenn Cloud eine Option ist, starten Sie zeitnah Pilot-Migrationen zu Exchange Online – bedenken Sie Bandbreite, Identitätsmanagement und mögliche Compliance-Anforderungen. Falls ein On-Premises-Betrieb nötig ist, planen Sie das zweistufige Upgrade (Exchange 2016 → 2019 → SE) frühzeitig ein. Stellen Sie sicher, dass alle Voraussetzungen erfüllt sind (aktuelle CUs, passendes AD-Level, kompatible Windows-Server-Versionen, gültige Lizenzen). Warten Sie nicht bis Oktober 2025: Ein durchdachter Fahrplan und Tests im Vorfeld minimieren Ausfallrisiken. So bleiben Ihre E-Mail-Systeme auch über 2025 hinaus sicher und unterstützt.\n","permalink":"https://m365simple.de/posts/support-ende-von-exchange-server-2016-2019-im-oktober-2025/","summary":"Am 14. Oktober 2025 endet der erweiterte Support für Exchange Server 2016 und 2019. Ab diesem Datum erhalten diese Versionen keine Sicherheitsupdates, Fehlerbehebungen oder technischen Support mehr​. Zwar werden bestehende Exchange-Server weiterhin funktionieren, jedoch läuft man ohne Updates Gefahr, bekannten oder zukünftigen Sicherheitslücken schutzlos ausgesetzt zu sein​. Für viele Unternehmen kann der Betrieb nicht unterstützter Systeme zudem Compliance-Risiken bedeuten, da Sicherheitsstandards und Prüfungen aktuelle Patches voraussetzen.\nFolgen und Risiken des Support-Endes Ohne weitere Sicherheitsupdates steigt das Risiko von Datenpannen und Systemkompromittierungen erheblich.","title":"Jetzt handeln! Support-Ende von Exchange Server 2016/2019 im Oktober 2025"},{"content":"Microsoft Teams: Veraltete Desktop-Apps werden ab April 2025 blockiert Microsoft wird ab dem 11. April 2025 beginnen, ältere Desktop-Versionen von Microsoft Teams zu blockieren. Genauer gesagt betrifft das alle Clients, die älter als 90 Tage sind. Ziel dieser Maßnahme ist es, die Sicherheit, Stabilität und Funktionsfähigkeit der Anwendung zu gewährleisten.\nWas genau ändert sich? Wenn die installierte Teams-App nicht innerhalb von 90 Tagen nach dem letzten Update aktualisiert wurde, erfolgt zunächst eine Vorwarnung – anschließend wird der Zugriff blockiert. Die Warnfristen unterscheiden sich je nach Plattform:\nWindows- und Mac-Clients: Warnung 60 Tage vor Ablauf VDI-Umgebungen: Warnung 30 Tage vor Ablauf Zeitplan der Blockierung Die Umstellung erfolgt gestaffelt:\nWindows-Clients: ab 11. April 2025 Teams in VDI-Umgebungen: ab 6. Mai 2025 Mac-Clients: ab 15. Mai 2025 Was ist jetzt zu tun? Für Endanwender:innen: Prüfen Sie Ihre installierte Teams-Version und stellen Sie sicher, dass sie aktuell ist. Bei Bedarf können Sie die neueste Version direkt über die Microsoft Teams Download-Seite beziehen. Für Administrator:innen: Sorgen Sie dafür, dass automatische Updates für Teams aktiviert sind. Stellen Sie sicher, dass keine Netzwerkeinstellungen oder Sicherheitslösungen die Aktualisierung blockieren. Auf macOS sollte Microsoft AutoUpdate (MAU) korrekt konfiguriert sein. Auf Windows darf der WebView2-Updater nicht durch Gruppenrichtlinien blockiert werden. Warum diese Änderung? Microsoft verfolgt mit dieser Maßnahme das Ziel, die Nutzung veralteter und potenziell unsicherer Software zu vermeiden. Regelmäßige Updates sorgen nicht nur für besseren Schutz vor Sicherheitslücken, sondern auch für die reibungslose Nutzung neuer Funktionen.\n","permalink":"https://m365simple.de/posts/microsoft-teams-veraltete-desktop-apps-werden-ab-april-2025-blockiert/","summary":"Microsoft Teams: Veraltete Desktop-Apps werden ab April 2025 blockiert Microsoft wird ab dem 11. April 2025 beginnen, ältere Desktop-Versionen von Microsoft Teams zu blockieren. Genauer gesagt betrifft das alle Clients, die älter als 90 Tage sind. Ziel dieser Maßnahme ist es, die Sicherheit, Stabilität und Funktionsfähigkeit der Anwendung zu gewährleisten.\nWas genau ändert sich? Wenn die installierte Teams-App nicht innerhalb von 90 Tagen nach dem letzten Update aktualisiert wurde, erfolgt zunächst eine Vorwarnung – anschließend wird der Zugriff blockiert.","title":"Microsoft Teams: Veraltete Desktop-Apps werden ab April 2025 blockiert"},{"content":"Wichtige Änderung: Neue ABM-Vereinbarung ab dem 14. April 2025 – jetzt handeln! Was Admins jetzt wissen müssen Wer Apple-Geräte über den Apple Business Manager (ABM) in Microsoft Intune verwaltet, sollte sich den 14. April 2025 fett im Kalender markieren. Ab diesem Datum tritt eine aktualisierte Version der ABM-Vereinbarung in Kraft – und ohne deren Zustimmung steht euer Gerätemanagement vorübergehend still.\nWas passiert genau? Apple kündigt an, dass mit Veröffentlichung der neuen ABM-Vereinbarung:\nkeine Geräte mehr registriert werden können keine neuen Apps mehr verteilt werden können\n… bis ein Administrator die neuen Bedingungen im ABM akzeptiert. Das betrifft insbesondere alle, die Geräte automatisiert über Intune enrollen oder Apps via VPP bereitstellen. Auch die Integration mit Apple School Manager oder Apple Business Essentials ist betroffen.\nWas hat sich geändert? Apple nennt u. a. folgende Anpassungen:\nKlarstellungen zur Nutzung von Administrator-Konten mit anderen Apple-Diensten Überarbeitung der Altersanforderungen für Administrator-Zugänge Regulatorische Updates entsprechend neuer gesetzlicher Vorgaben Neue Hinweise zur Datenweitergabe an andere Apple-Dienste (z. B. für Registrierungsprozesse) Den vollständigen Wortlaut könnt ihr bereits jetzt als Vorschau einsehen: Vorschau der aktualisierten Vereinbarung\nWas ihr jetzt tun solltet Loggt euch als Administrator im Apple Business Manager ein:\n👉 business.apple.com Akzeptiert ab dem 14. April 2025 die neue Vereinbarung. Informiert ggf. euer IT-Team, wenn mehrere Personen mit ABM und Intune arbeiten. Nur Administratoren mit den entsprechenden Rechten können die Bedingungen akzeptieren. Überprüft eure Automatisierungen – ob Enrollment-Prozesse, App-Deployments oder andere ABM-Workflows. Diese Änderung ist kein Grund zur Panik – aber zum Handeln. Wer rechtzeitig zustimmt, stellt sicher, dass die Verwaltung von iPhones, iPads und Macs weiterhin reibungslos läuft – auch im Zusammenspiel mit Intune.\n","permalink":"https://m365simple.de/posts/vereinbarung-apple-business-manager-update/","summary":"Wichtige Änderung: Neue ABM-Vereinbarung ab dem 14. April 2025 – jetzt handeln! Was Admins jetzt wissen müssen Wer Apple-Geräte über den Apple Business Manager (ABM) in Microsoft Intune verwaltet, sollte sich den 14. April 2025 fett im Kalender markieren. Ab diesem Datum tritt eine aktualisierte Version der ABM-Vereinbarung in Kraft – und ohne deren Zustimmung steht euer Gerätemanagement vorübergehend still.\nWas passiert genau? Apple kündigt an, dass mit Veröffentlichung der neuen ABM-Vereinbarung:","title":"Vereinbarung  Apple Business Manager Update"},{"content":"Bring Your Own Device (BYOD) mit Intune – sinnvoll oder Sicherheitsrisiko?\nDie Idee ist zunächst charmant: Mitarbeitende nutzen ihre privaten Geräte – ob Smartphone oder Tablet – auch für die Arbeit. Das spart dem Unternehmen Hardwarekosten, und die Nutzer sind auf ihren gewohnten Geräten unterwegs.\nDoch wie so oft steckt der Teufel im Detail. Gerade beim Thema Datenschutz, IT-Sicherheit und Support wird BYOD schnell zur Herausforderung. Microsoft Intune kann hier eine Menge abfedern – wenn man es klug einsetzt.\nWas steckt eigentlich hinter BYOD?\nBYOD bedeutet, dass Mitarbeiter ihre privaten Endgeräte dienstlich nutzen dürfen. Gerade im Homeoffice oder bei mobiler Arbeit wirkt das erst einmal pragmatisch – man spart sich Anschaffungen und ist flexibel unterwegs.\nDie Vorteile von BYOD mit Intune\nAus meiner Sicht bietet BYOD in Verbindung mit Intune einige echte Pluspunkte:\nKosten sparen: Weniger Firmen-Hardware nötig. Flexibilität für Mitarbeitende: Arbeiten mit dem, was man kennt. Schnelle Skalierbarkeit: Praktisch bei Projektspitzen oder Freelancern. Gerätemanagement mit Intune: Unternehmensdaten lassen sich gezielt schützen, ohne dass man das komplette Gerät unter Kontrolle haben muss. Aber: Sicherheit und Datenschutz muss man ernst nehmen\nUnd genau hier wird’s kritisch. Private Geräte sind oft nicht so abgesichert wie firmeneigene – es fehlen Updates, Virenschutz oder sichere Passwörter.\nDazu kommt: Ein Unternehmen darf nicht einfach alles kontrollieren oder löschen, was sich auf einem privaten Gerät befindet – der Datenschutz setzt hier klare Grenzen.\nTypische Fragestellungen, die mir immer wieder begegnen:\nWie trennt man private und geschäftliche Daten wirklich sauber? Wer haftet, wenn Daten verloren gehen? Was passiert bei Diebstahl oder Verlust des Geräts? Wie funktioniert ein rechtssicheres Offboarding? Wie Intune hier unterstützt\nMit den richtigen Intune-Funktionen lässt sich BYOD durchaus sicher umsetzen. Besonders hilfreich finde ich:\nApp-basiertes Management mit Microsoft Entra (ehemals Azure AD): Nur geschäftliche Apps wie Outlook, Teams oder OneDrive werden verwaltet. App Protection Policies (APP): Geschäftsdaten bleiben in geschützten Bereichen – auch auf privaten Geräten. Conditional Access: Nur registrierte, konforme Geräte dürfen auf sensible Ressourcen zugreifen. Selective Wipe: Bei Bedarf kann man gezielt nur die Unternehmensdaten löschen – der Rest bleibt unberührt. Mein Fazit\nBYOD ist kein Selbstläufer – aber mit einer durchdachten Intune-Strategie lässt sich viel erreichen.\nWichtig ist, klare Spielregeln zu definieren, technisch saubere Lösungen zu wählen und offen mit den Mitarbeitenden zu kommunizieren. Wenn das funktioniert, kann BYOD eine echte Bereicherung sein – sowohl für Unternehmen als auch für die Nutzer.\n","permalink":"https://m365simple.de/posts/bring-your-own-device-byod-mit-intune/","summary":"Bring Your Own Device (BYOD) mit Intune – sinnvoll oder Sicherheitsrisiko?\nDie Idee ist zunächst charmant: Mitarbeitende nutzen ihre privaten Geräte – ob Smartphone oder Tablet – auch für die Arbeit. Das spart dem Unternehmen Hardwarekosten, und die Nutzer sind auf ihren gewohnten Geräten unterwegs.\nDoch wie so oft steckt der Teufel im Detail. Gerade beim Thema Datenschutz, IT-Sicherheit und Support wird BYOD schnell zur Herausforderung. Microsoft Intune kann hier eine Menge abfedern – wenn man es klug einsetzt.","title":"Bring Your Own Device (BYOD) mit Intune "},{"content":"Remote Desktop: Nach der Store-App folgt nun auch das Ende der MSI-Version\nNach dem bereits angekündigten Support-Ende der Remote Desktop App aus dem Microsoft Store zum 27. Mai 2025 folgt nun der nächste Schritt: Auch die MSI-Version der Remote Desktop App wird eingestellt – und zwar endgültig zum 27. März 2026. Das bedeutet, dass beide Varianten, also sowohl die Store- als auch die MSI-Installationen, mittelfristig nicht mehr unterstützt werden.\nWer bisher dachte, mit der MSI-Version auf der sicheren Seite zu sein, sollte spätestens jetzt umdenken. Microsoft stellt klar: Die Zukunft gehört der neuen Windows-App – und darauf sollten wir uns als Admins auch vorbereiten.\nDie neue Windows-App: Modern, aber noch mit Lücken\nMit der neuen Windows-App setzt Microsoft auf eine moderne, vereinheitlichte Oberfläche für alle Remote-Szenarien – egal ob Azure Virtual Desktop, Windows 365 oder Dev Box. Die App bringt einige Verbesserungen mit:\nMulti-Monitor-Support dynamische Auflösungen Teams-Optimierung ein einheitliches Benutzererlebnis über verschiedene Dienste hinweg Klingt gut – aber es gibt auch noch einige Einschränkungen.\nAktuell fehlt zum Beispiel:\ndie Unterstützung für Proxy-Server mit Authentifizierung die Integration ins Startmenü SSO über ADFS Support für Private Link oder auch für spezielle Azure-Umgebungen wie Azure Deutschland oder Azure Gov Das sind Punkte, die in manchen Umgebungen durchaus entscheidend sein können. Microsoft arbeitet hier zwar an Nachbesserungen – aber der Stand heute ist eben noch nicht komplett rund.\nWas heißt das für die Paketierung?\nEin Punkt, der schnell übersehen wird: Mit der neuen App ändert sich auch der Weg der Bereitstellung. Die Anwendung wird ausschließlich als MSIX-Paket angeboten – das ist ein klarer Bruch mit dem klassischen MSI-Modell.\nWer bisher über Gruppenrichtlinien, SCCM oder einfache Batch-Installationen verteilt hat, muss nun auf moderne Deployment-Methoden umstellen – etwa via Intune oder PowerShell mit MSIX-Unterstützung. Auch Anpassungen beim App-Handling (z. B. Reset, Updates, Userdaten) müssen berücksichtigt werden.\nFür viele bedeutet das eine Umstellung im gewohnten Deployment-Flow – und je nach Umgebung auch ein gewisser Mehraufwand.\nFazit\nDie Entscheidung von Microsoft ist deutlich: Die klassische Remote Desktop App ist Geschichte – zuerst die Store-Version, jetzt auch die MSI-Variante. Wer auf die neue Windows-App umsteigen möchte (oder muss), sollte sich frühzeitig mit den neuen Rahmenbedingungen vertraut machen.\nInsbesondere bei der Paketierung und Verteilung der App gibt es einige Änderungen, die man nicht auf den letzten Drücker lösen sollte. Besser jetzt planen als später improvisieren – das gilt hier ganz besonders.\nQuelle: https://techcommunity.microsoft.com/blog/windows-itpro-blog/prepare-for-the-remote-desktop-client-for-windows-end-of-support/4397724\n","permalink":"https://m365simple.de/posts/remote-desktop-app-eol-der-msi-version/","summary":"Remote Desktop: Nach der Store-App folgt nun auch das Ende der MSI-Version\nNach dem bereits angekündigten Support-Ende der Remote Desktop App aus dem Microsoft Store zum 27. Mai 2025 folgt nun der nächste Schritt: Auch die MSI-Version der Remote Desktop App wird eingestellt – und zwar endgültig zum 27. März 2026. Das bedeutet, dass beide Varianten, also sowohl die Store- als auch die MSI-Installationen, mittelfristig nicht mehr unterstützt werden.\nWer bisher dachte, mit der MSI-Version auf der sicheren Seite zu sein, sollte spätestens jetzt umdenken.","title":"Remote Desktop App EOL der MSI Version"},{"content":"Entra ID Connect Upgrade Durch die Einstellung der MSOnline PowerShell in diesem Monat ergibt sich ein kurzfristiger Handlungsbedarf zur Versionsaktualisierung der Entra ID Connect-Instanz.\nBetroffen hiervon sind alle Entra ID Connect-Versionen unter der Version 2.4.18.0.\nSofern kein Upgrade durchgeführt wird, ist die zukünftige Verwaltung von Entra ID Connect eingeschränkt:\nWir empfehlen in diesem Zuge auf die neueste Version (aktuell: 2.4.131.0) von Entra ID Connect zu aktualisieren.\nVersionsprüfung Die aktuell eingesetzte Version kann über zwei Wege geprüft werden:\n1. Synchronization Service Manager auf dem Entra Connect-Server\n2. Entra ID Portal - Microsoft Entra Connect Health - Microsoft Entra admin center\nDownload Die jeweils aktuelle Version ist hier bereitgestellt:\nDownload Microsoft Entra Connect from Official Microsoft Download Center\nDurchführung Upgrade Das Upgrade auf die neueste Version von Entra ID Connect kann als In-Place Upgrade durchgeführt werden.\nVor der Installation sollte die bestehenden Konfiguration gesichert werden. How to import and export Microsoft Entra Connect configuration settings - Microsoft Entra ID | Microsoft Learn\n","permalink":"https://m365simple.de/posts/entra-connect-update/","summary":"Entra ID Connect Upgrade Durch die Einstellung der MSOnline PowerShell in diesem Monat ergibt sich ein kurzfristiger Handlungsbedarf zur Versionsaktualisierung der Entra ID Connect-Instanz.\nBetroffen hiervon sind alle Entra ID Connect-Versionen unter der Version 2.4.18.0.\nSofern kein Upgrade durchgeführt wird, ist die zukünftige Verwaltung von Entra ID Connect eingeschränkt:\nWir empfehlen in diesem Zuge auf die neueste Version (aktuell: 2.4.131.0) von Entra ID Connect zu aktualisieren.\nVersionsprüfung Die aktuell eingesetzte Version kann über zwei Wege geprüft werden:","title":"Entra Connect Upgrade"},{"content":"Microsoft hat angekündigt, dass der Support für OneNote für Windows 10 am 14. Oktober 2025 endet. Um den fortlaufenden Zugriff auf neueste Funktionen und Sicherheitsupdates sicherzustellen, ist eine zeitnahe Umstellung auf OneNote für Windows (M365) erforderlich. Hierfür werden ab Juli 2025 in OneNote für Windows 10 Hinweise zur Migration eingeblendet, die den Arbeitsfluss stören können.\nOneNote für Windows 10 wurde am 29. Juli 2015 eingeführt und war als vorinstallierte App in allen Editionen von Windows 10 enthalten. Mit der Veröffentlichung von Office 2019 und Microsoft 365 im Jahr 2018 wurde die klassische OneNote-Desktopanwendung (ehemals OneNote 2016) wieder als Standardanwendung integriert, um OneNote für Windows 10 abzulösen. Diese klassische Anwendung ist nun unter dem Namen \u0026ldquo;OneNote\u0026rdquo; Bestandteil von Microsoft 365 und Office 2019 und wird weiterhin aktiv entwickelt. ​\nUm zu erkennen, ob OneNote für Windows 10 installiert ist, können Sie das Startmenü öffnen und nach \u0026ldquo;OneNote für Windows 10\u0026rdquo; suchen. Diese Version zeichnet sich durch eine vereinfachte Benutzeroberfläche mit einem einzelnen Menüband am oberen Bildschirmrand aus.\nVorteile von OneNote für Windows (M365) Erweiterte Sicherheits- und Compliance-Funktionen: OneNote für Windows (M365) unterstützt Microsoft Information Protection (MIP) Sensitivitätskennzeichnungen, was den Schutz sensibler Daten gewährleistet. Kontinuierliche Funktionserweiterungen und KI-Integration: Regelmäßige Updates integrieren neue Funktionen, einschließlich KI-gestützter Tools wie Copilot.​ Leistungsoptimierung und Zuverlässigkeit: Die veraltete Version erhält keine Updates oder Fehlerbehebungen mehr, was zu potenziellen Leistungsproblemen führen kann. Ab Juni 2025 ist mit einer Verlangsamung der Synchronisationsleistung zu rechnen, was die Echtzeit-Zusammenarbeit beeinträchtigen könnte.​ Quellen Moving to OneNote on Windows - Microsoft Support What\u0026rsquo;s the difference between the OneNote versions? - Microsoft Support ","permalink":"https://m365simple.de/posts/eol-onenote-fur-windows-10-zum-14-oktober-2025/","summary":"Microsoft hat angekündigt, dass der Support für OneNote für Windows 10 am 14. Oktober 2025 endet. Um den fortlaufenden Zugriff auf neueste Funktionen und Sicherheitsupdates sicherzustellen, ist eine zeitnahe Umstellung auf OneNote für Windows (M365) erforderlich. Hierfür werden ab Juli 2025 in OneNote für Windows 10 Hinweise zur Migration eingeblendet, die den Arbeitsfluss stören können.\nOneNote für Windows 10 wurde am 29. Juli 2015 eingeführt und war als vorinstallierte App in allen Editionen von Windows 10 enthalten.","title":"EOL - 14. Oktober 2025 - OneNote für M365 löst OneNote für Windows 10 ab"},{"content":"​Microsoft hat angekündigt, die Remote Desktop-App für Windows zum 27. Mai 2025 einzustellen.\nAb diesem Datum wird die Anwendung nicht mehr unterstützt oder zum Herunterladen verfügbar sein. Nutzer, die weiterhin auf Dienste wie Windows 365, Azure Virtual Desktop und Microsoft Dev Box zugreifen möchten, müssen auf die neue Windows-App umsteigen.\nVorteile der Windows-App ​Die neue Windows-App bietet einige Verbesserungen. Sie ermöglicht einen zentralisierten Zugriff auf verschiedene Windows-Dienste, einschließlich Cloud-PCs und virtueller Desktops, über eine einheitliche Benutzeroberfläche. Die Anwendung unterstützt die Nutzung mehrerer Monitore und passt die Bildschirmauflösung dynamisch an. Zudem ist eine nahtlose Integration von Microsoft Teams vorhanden, die die Zusammenarbeit erleichtert. Der Wechsel zwischen verschiedenen Benutzerkonten wurde ebenfalls vereinfacht, um den Arbeitsfluss zu verbessern.\nEinschränkungen ​Die neue Windows-App weist derzeit mehrere bekannte Einschränkungen auf:​\nZurücksetzen von Benutzerdaten: Ein Zurücksetzen der Benutzerdaten über die Benutzeroberfläche wird nicht unterstützt. Stattdessen kann die Windows-App in den Windows-Einstellungen zurückgesetzt werden.​ Integration in das Startmenü: Eine Integration in das lokale Windows-Startmenü ist nicht verfügbar.​ Private Link: Die Nutzung von Private Link zur Verbindung mit Azure Virtual Desktop wird nicht unterstützt.​ Single Sign-On (SSO): Eine Single Sign-On-Funktionalität mit Active Directory Federation Services (AD FS) ist nicht gegeben.​ Spezielle Azure-Umgebungen: Verbindungen zu Azure Government, Azure Deutschland, Azure, betrieben von 21Vianet, oder Azure Virtual Desktop (Classic) sind nicht möglich.​ Proxy-Server: Die Windows-App funktioniert nicht in Umgebungen, in denen Proxy-Server eine Proxy/HTTP-Authentifizierung erfordern. Fazit Die Einstellung der Remote Desktop-App zugunsten der Windows-App markiert Microsofts Bestreben, eine einheitliche und optimierte Lösung für Remote-Desktop-Verbindungen bereitzustellen. Dennoch stehen Nutzer vor Herausforderungen, insbesondere aufgrund fehlender Funktionen in der neuen App. Es bleibt abzuwarten, wie schnell Microsoft diese Lücken schließen wird und ob die Windows-App die Erwartungen der Nutzer erfüllen kann.\nQuellen Microsoft Ankündigung: Windows App to replace Remote Desktop Einschränkungen: Known issues and limitations of Windows App ","permalink":"https://m365simple.de/posts/eol-remote-desktop-app-zum-27-mai-2025/","summary":"​Microsoft hat angekündigt, die Remote Desktop-App für Windows zum 27. Mai 2025 einzustellen.\nAb diesem Datum wird die Anwendung nicht mehr unterstützt oder zum Herunterladen verfügbar sein. Nutzer, die weiterhin auf Dienste wie Windows 365, Azure Virtual Desktop und Microsoft Dev Box zugreifen möchten, müssen auf die neue Windows-App umsteigen.\nVorteile der Windows-App ​Die neue Windows-App bietet einige Verbesserungen. Sie ermöglicht einen zentralisierten Zugriff auf verschiedene Windows-Dienste, einschließlich Cloud-PCs und virtueller Desktops, über eine einheitliche Benutzeroberfläche.","title":"EOL - Remote Desktop-App zum 27. Mai 2025"},{"content":"Microsoft hat die Implementierung seiner EU Data Boundary abgeschlossen, die es europäischen Kunden ermöglicht, Daten ausschließlich innerhalb der EU und der EFTA zu speichern und zu verarbeiten. Dieses mehrstufige Projekt, das im Januar 2023 begann, wurde im Februar 2025 erfolgreich finalisiert. Mit dem Vorhaben zielt Microsoft darauf ab, den europäischen Datenschutzanforderungen gerecht zu werden und die Daten seiner Kunden vor unbefugtem Zugriff zu schützen. Die Initiative umfasst alle Kern-Cloud-Dienste wie Microsoft 365, Dynamics 365, Power Platform und Azure.\nHerausforderungen durch den US CLOUD Act Trotz dieser Bemühungen bleibt die Frage offen, inwieweit europäische Daten vor dem Zugriff durch US-Behörden geschützt sind. Der 2018 verabschiedete US CLOUD Act verpflichtet US-Unternehmen, auf Anordnung Daten herauszugeben, selbst wenn diese außerhalb der USA gespeichert sind. Dies könnte bedeuten, dass Daten europäischer Kunden, die in der EU Data Boundary gespeichert sind, dennoch US-Behörden zugänglich gemacht werden müssen.\nErweiterte Verschlüsselungsmaßnahmen zur Datensicherheit Um den Datenschutz weiter zu stärken und den Anforderungen des US CLOUD Act entgegenzuwirken, bietet Microsoft seinen Kunden die Möglichkeit, ihre Daten mit eigenen Verschlüsselungsschlüsseln zu sichern. Selbst wenn Microsoft nach einer rechtlichen Prüfung einer behördlichen Anfrage nachkommen müsste, würden die angeforderten Daten ausschließlich in verschlüsselter Form vorliegen.\nFazit: Ein Fortschritt mit offenen Fragen Microsofts EU Data Boundary ist ein wichtiger Schritt für mehr Datensouveränität in Europa. Doch der US CLOUD Act und unsichere transatlantische Abkommen werfen weiterhin Fragen auf. Selbst Microsoft kritisiert bestehende Regelungen, die potenziell Zugriff auf geschützte Daten ermöglichen. Politische Entwicklungen in den USA könnten zudem bestehende Datenschutzmaßnahmen untergraben. Ob die aktuellen Schutzmechanismen ausreichen, bleibt ungewiss – die Debatte um den tatsächlichen Datenschutz wird uns also noch eine Weile begleiten.\nQuellen Übersicht der EU Data Boundary: Microsoft EU Data Boundary Overview | Microsoft Trust Center Bekanntmachung: Microsoft completes landmark EU Data Boundary, offering enhanced data residency and transparency US Cloud Act: Wie Microsoft mit dem CLOUD Act umgeht | News Center Microsoft ","permalink":"https://m365simple.de/posts/microsofts-eu-data-boundary-haben-die-datenschutzdiskussionen-ein-ende/","summary":"Microsoft hat die Implementierung seiner EU Data Boundary abgeschlossen, die es europäischen Kunden ermöglicht, Daten ausschließlich innerhalb der EU und der EFTA zu speichern und zu verarbeiten. Dieses mehrstufige Projekt, das im Januar 2023 begann, wurde im Februar 2025 erfolgreich finalisiert. Mit dem Vorhaben zielt Microsoft darauf ab, den europäischen Datenschutzanforderungen gerecht zu werden und die Daten seiner Kunden vor unbefugtem Zugriff zu schützen. Die Initiative umfasst alle Kern-Cloud-Dienste wie Microsoft 365, Dynamics 365, Power Platform und Azure.","title":"Microsofts EU Data Boundary: Haben die Datenschutzdiskussionen ein Ende?"},{"content":"Microsoft wird im kommenden Monat die Grenzwerte für den Versand von externen E-Mails von Exchange Online heraus beschränken. Bereits heute ist es nicht gestattet, Exchange Online für den Massenmailversand zu verwenden.\nDiesbezüglich wurde vor einiger Zeit bereits die Lösung High Volume E-Mail (HVE) in Exchange Online bereitgestellt:\nManage high volume emails for Microsoft 365 in Exchange Online Public preview | Microsoft Learn\nDie sog. Tenant External Recipient Rate Limit TERRL wird nachfolgend erklärt:\nLimitierungen Die Anzahl an zu versendenden E-Mails an externe Empfänger wird zukünftig abhängig von den im M365-Tenant eingebuchten Lizenzen sein.\nDas bedeutet, dass jede Lizenz zählt, welche den Dienst Exchange Online beinhaltet - z.B. Microsoft 365 E3, Microsoft 365 Business Premium, Exchange Online Plan 1, uvm.\nAnhand des folgenden Beispiels wird dargestellt, wie viele E-Mails künftig innerhalb von 24h nach Extern mit der u.g. Anzahl an Lizenzen verschickt werden können:\nAnzahl Exchange Online-Lizenzen\nAnzahl externer E-Mails je 24h\n1\n10.000\n2\n10.312\n10\n12.006\n25\n14.259\n100\n22.059\n1.000\n72.446\n10.000\n324.979\n100.000\n1.590.639\nDer Tenant spezifische Grenzwert für den Versand an externe Empfänger wird jede 24h zurückgesetzt!\nDas jeweils für den eigenen Tenant gültige Limit kann mittels folgender Formel berechnet werden:\n500 * (Anzahl Exchange Online-Lizenzen ^ 0,7) + 9500\nImpact Sofern der für den jeweiligen Tenant gültige Grenzwert innerhalb eines 24h-Zeitfenstern eintreten sollte, wird die Zustellung von E-Mails nach Extern mit einem Fehler (NDR) abgelehnt:\n550 5.7.233 - Your message can\u0026rsquo;t be sent because your tenant exceeded its daily limit for sending email to external recipients (tenant external recipient rate limit)\nBesonderheiten Von den o.g. Grenzwerten sind folgende Szenarien ausgenommen:\nCross Tenant E-Mails sind von den Grenzwerten ausgenommen Nachrichten an exteren Verteilergruppen richten sich immer nach der Anzahl der Mitglieder und zählen nicht als nur ein Empfänger E-Mails, welche über High-volume E-Mail (HVE) versendet werden, sind hiervon ausgenommen Rollout Die Einführung der TERRL wird von Microsoft schrittweise eingeführt:\nPhase 1: Ab dem 3. März 2025 für Tenants mit bis zu 25 E-Mail-Lizenzen. Phase 2: Ab dem 10. März 2025 für Tenants mit bis zu 200 Lizenzen. Phase 3: Ab dem 17. März 2025 für Tenants mit bis zu 500 Lizenzen. Phase 4: Ab dem 31. März 2025 für alle weiteren Tenants. Der Status des Rollouts kann jederzeit mit der Exchange Online PowerShell abgefragt werden:\nHierbei sind die folgenden Parameter relevant:\nVerdict: Angabe, ob die Einschränkung schon aktiv ist\nEnforcmentEnabled: Gibt an, ob E-Mails bei überschreiten des Quotas geblockt werden\nThreshold: Anzahl der externen E-Mails, welche innerhalb von 24h aus Exchange Online für diesen Tenant verschickt werden können\nObservedValue: Anzahl der E-Mails, welche an externe Empfänger in den letzten 24h verschickt wurden\nZusammenfassung Laut Microsoft wird diese Änderung für die wenigsten Tenants einen Impact hervorrufen. Ab Ende Februar / Anfang März wird Microsoft für Kunden eine Auswertungsmöglichkeit in Form eines neuen Reports (Name: Tenant Outbound External Recipients) innerhalb des Exchange Admin Centers bereitstellen. Dieser kann bei Erscheinen hier eingesehen werden:\nExchange admin center\nBereits heute kann im Defender XDR-Portal eingesehen werden, welche Absender besonders viele E-Mails verschicken:\nZudem ist perspektivisch geplant, ein Admin-Alerting bei 80% Erreichung des Limits zu integrieren.\nWeitere detaillierte Informationen können der Ankündigung auf dem Exchange Online Blog entnommen werden:\nIntroducing Exchange Online Tenant Outbound Email Limits | Microsoft Community Hub\n","permalink":"https://m365simple.de/posts/exchange-online-outbound-email-limits/","summary":"Microsoft wird im kommenden Monat die Grenzwerte für den Versand von externen E-Mails von Exchange Online heraus beschränken. Bereits heute ist es nicht gestattet, Exchange Online für den Massenmailversand zu verwenden.\nDiesbezüglich wurde vor einiger Zeit bereits die Lösung High Volume E-Mail (HVE) in Exchange Online bereitgestellt:\nManage high volume emails for Microsoft 365 in Exchange Online Public preview | Microsoft Learn\nDie sog. Tenant External Recipient Rate Limit TERRL wird nachfolgend erklärt:","title":"Exchange Online Outbound Email Limits"},{"content":"Microsoft Teams erhält eine neue Funktion (Microsoft 365 Roadmap ID 478611): Der Facilitator-Agent erstellt automatisch Notizen in Meetings und Chats:\nIn Meetings ermöglicht der Facilitator das gemeinsame Erstellen und Bearbeiten von Notizen in Echtzeit. Wichtige Gesprächspunkte werden automatisch zusammengefasst, sodass Aufgaben und Entscheidungen leichter nachverfolgt werden können. In Chats erstellt er fortlaufend KI-gestützte Zusammenfassungen und erfasst Aufgaben sowie offene Fragen. Die Notizen werden automatisch aktualisiert, während die Unterhaltung weiterläuft. Verfügbarkeit und Voraussetzungen Die Einführung des Facilitators (General Availability) beginnt Anfang April 2025 und soll bis Ende des Monats abgeschlossen sein. Die Funktion wird auf Windows, Mac, im Web sowie auf iOS- und Android-Geräten verfügbar sein. Zur Nutzung ist eine Microsoft 365 Copilot-Lizenz erforderlich.\nUnser Test Meetings Für einen Test habe ich mit einem Kollegen ein Meeting geplant. Nach dem Beitritt aktivierte ich unter dem Reiter „Notizen“ die AI-Meeting-Funktion.\nMit hoher Erwartung und einer kurzen Bestätigung im Chat, dass die Funktion aktiv ist, beobachteten wir die Notizen – zunächst ohne sichtbare Änderungen. Nach etwa drei Minuten erschienen die ersten Texte, was auf die bekannten Cloud-Verzögerungen hindeutet.\nDie Notizen werden derzeit ausschließlich auf Englisch erstellt. Dennoch wurden alle relevanten Punkte erfasst, sodass eine eigenständige Dokumentation entfallen konnte. Eine nützliche Funktion, insbesondere für die Transkription von Kundenmeetings.\nEinschränkungen laut Microsoft:\nAI-generierte Notizen können nicht über die Teams-Mobile-App gestartet werden. Werden sie jedoch am Desktop aktiviert, sind Echtzeit-Updates auch mobil sichtbar. Externe Nutzer haben keinen Zugriff auf AI-generierte Notizen. AI-generierte Notizen sind nicht für Sofortmeetings, Teams-Anrufe oder Kanalmeetings verfügbar. Die Notizen basieren ausschließlich auf dem Meeting-Transkript. Inhalte aus dem Meeting-Chat werden nicht berücksichtigt. Chats Im Chat befindet sich das AI-Notizen-Symbol oben rechts in der Chat-Kopfzeile, rechts neben dem Copilot-Symbol. Das Symbol, dargestellt als Seite, ermöglicht den Zugriff auf AI-generierte Notizen. Falls diese nicht aktiviert sind, kann die entsprechende Schaltfläche im Seitenbereich ausgewählt werden, um die Funktion zu aktivieren. Nach der Aktivierung erscheint ein Funken auf dem AI-Notizen-Symbol, und die Erstellung der Notizen startet automatisch.\nBei den ersten Tests der AI-generierten Notizen fiel auf, dass die Zusammenfassungen vor allem Nachrichten erfassen, die einen Status als Fließtext beschreiben. In der praktischen Anwendung innerhalb von Projektgesprächen erwies sich dies jedoch als unzureichend, da Kommunikation über verschiedene Kanäle, Chats und insbesondere Meetings verteilt ist. Eine kurze Recherche in den offiziellen Microsoft-FAQ bestätigte einige der beobachteten Einschränkungen (Frequently asked questions about Facilitator in Microsoft Teams):\nKein Zugriff auf Anruftranskripte Kein Zugriff auf im Chat geteilte Dateien Keine Unterstützung in Besprechungs- oder externen Chats Kein Zugriff auf nachträglich bearbeitete oder gelöschte Nachrichten\n(Inhalte, die einmal in die AI-Notizen aufgenommen wurden, bleiben bestehen, auch wenn Nachrichten später geändert oder entfernt werden. Eine manuelle Überprüfung der Richtigkeit anhand der Quellen wird empfohlen.). Ferner wurde schnell ersichtlich, dass Chat-Zusammenfassungen ausschließlich in englischer Sprache erstellt werden – ein Umstand, der ebenfalls von Microsoft bestätigt wird.\nEin weiteres bemerkenswertes Verhalten zeigte sich im Umgang mit Aufgaben: Bereits erledigte Aufgaben wurden weiterhin in den Notizen aufgelistet, da ihre Erledigung nicht explizit im Chat vermerkt wurde. Microsoft empfiehlt aber, abgeschlossene Aufgaben ausdrücklich im Chat zu bestätigen, damit der Facilitator-Agent den aktuellen Stand korrekt erfasst.\nIn der Praxis zeigt sich jedoch, dass dies kaum in bestehende Arbeitsabläufe passt, da solche Prozesse oft flexibel und über verschiedene Kommunikationswege verteilt erfolgen. Die Nutzung des Facilitator-Agents würde demnach eine grundsätzliche Anpassung unserer Kommunikationsstrukturen erfordern, um mit den Funktionsweisen von Microsoft Teams übereinzustimmen. In der bisherigen flexiblen Arbeit mit Teams dürften somit die meisten Unternehmen feststellen, dass die Chat-Zusammenfassung in ihrer aktuellen Form keinen praktischen Mehrwert bietet.\nAdministrative Konfiguration und Vorbereitung für Unternehmen Der Facilitator ist standardmäßig aktiviert, es sei denn, alle Apps sind unternehmensweit blockiert. Administratoren können die Funktion für bestimmte Nutzergruppen freigeben oder einschränken. Der nachfolgende Microsoft Learn Artikel geht genauer auf die einzelnen Möglichkeiten ein: Einrichten eines Vermittlers in Microsoft Teams für KI-Zusammenarbeitsnotizen\nFazit KI-Notizen in Meetings: 👍\nKI-Notizen in Chats: 🥴\nQuellen Roadmap: Microsoft 365 Roadmap | Microsoft 365 FAQ: Frequently asked questions about Facilitator in Microsoft Teams Sicherheit und Datenschutz: Daten, Datenschutz und Sicherheit für Microsoft 365 Copilot Für Admins: Einrichten eines Vermittlers in Microsoft Teams für ki-Zusammenarbeitsnotizen - Microsoft Teams Für Benutzende (Meetings): Automatisieren der Anmeldung in Microsoft Teams-Besprechungen Für Benutzende (Chats): Nachverfolgen von Chats mit KI-Notizen in Microsoft Teams ","permalink":"https://m365simple.de/posts/new-post/","summary":"Microsoft Teams erhält eine neue Funktion (Microsoft 365 Roadmap ID 478611): Der Facilitator-Agent erstellt automatisch Notizen in Meetings und Chats:\nIn Meetings ermöglicht der Facilitator das gemeinsame Erstellen und Bearbeiten von Notizen in Echtzeit. Wichtige Gesprächspunkte werden automatisch zusammengefasst, sodass Aufgaben und Entscheidungen leichter nachverfolgt werden können. In Chats erstellt er fortlaufend KI-gestützte Zusammenfassungen und erfasst Aufgaben sowie offene Fragen. Die Notizen werden automatisch aktualisiert, während die Unterhaltung weiterläuft. Verfügbarkeit und Voraussetzungen Die Einführung des Facilitators (General Availability) beginnt Anfang April 2025 und soll bis Ende des Monats abgeschlossen sein.","title":"Microsoft Teams Facilitator: Automatische Notizen in Meetings und Chats"},{"content":"MacOS FileVault: Was ist das und warum ist es wichtig? In der heutigen digitalen Welt spielt Datensicherheit eine entscheidende Rolle. Besonders auf mobilen Geräten wie Laptops besteht die Gefahr, dass sie verloren gehen oder gestohlen werden. Apple bietet mit FileVault eine leistungsstarke Lösung zur Festplattenverschlüsselung, um persönliche und geschäftliche Daten zu schützen. Doch was genau ist FileVault, und warum sollte es aktiviert werden?\nWas ist FileVault? FileVault ist eine integrierte Verschlüsselungstechnologie von Apple für macOS, die die gesamte Festplatte oder SSD eines Mac-Computers verschlüsselt. Dies bedeutet, dass ohne die richtige Anmeldeinformation oder den Wiederherstellungsschlüssel niemand auf die gespeicherten Daten zugreifen kann.\nFileVault verwendet eine XTS-AES-128-Bit-Verschlüsselung mit einem 256-Bit-Schlüssel, um maximale Sicherheit zu gewährleisten. Nach der Aktivierung erfolgt die Entschlüsselung in Echtzeit, sodass während der Nutzung des Macs keine spürbaren Performanceeinbußen auftreten.\nWarum sollte FileVault aktiviert werden? 1. Schutz vor unbefugtem Zugriff Falls ein Mac gestohlen wird oder verloren geht, sind die Daten ohne das korrekte Passwort oder den Wiederherstellungsschlüssel nicht lesbar.\n2. Datensicherheit bei Reparaturen Sollte ein Mac zur Reparatur müssen, ist sichergestellt, dass selbst Techniker*innen ohne das Passwort keinen Zugriff auf die Dateien haben.\n3. Einhaltung von Datenschutzrichtlinien Für Unternehmen und Organisationen ist FileVault eine wichtige Maßnahme, um Datenschutzrichtlinien wie die DSGVO (Datenschutz-Grundverordnung) zu erfüllen.\nFileVault über Intune aktivieren Microsoft Intune ermöglicht die zentrale Verwaltung und Durchsetzung von Sicherheitsrichtlinien, einschließlich der Aktivierung von FileVault auf macOS-Geräten. So lässt sich FileVault in Intune aktivieren:\nAnmeldung im Microsoft Intune Admin Center.\nNavigieren zu Geräte \u0026gt; Konfiguration\nErtellen der Richtlinie über Erstellen \u0026gt; + Neue Richtlinie\nAls Plattform macOS und als Profiltyp Vorlagen und als Vorlagenname Endpunktschutz auswählen.\nEine Bezeichnung eingeben\nmit Weiter bestätigen\nWähle FileVault und konfiguriere es entweder nach deinen Wünschen oder gemäß den Vorgaben der Sicherheitsabteilung.\nMeine Konfigurationen:\nFileVault aktivieren: Ja\nBeschreibung des Hinterlegungsstandorts für den persönlichen Wiederherstellungsschlüssel:\nDu kannst den persönlichen Wiederherstellungsschlüssel für dein macOS-Gerät aus der Microsoft Intune-App, der Company Portal-Website oder den Company Portal-Apps für Android und iOS/iPadOS abrufen. Der Support hat keinen Zugriff auf Wiederherstellungsschlüssel, die zu persönlichen Geräten gehören.\nRotation des persönlichen Wiederherstellungsschlüssels: Alle 6 Monate\nWiederherstellungsschlüssel ausblenden: Ja\nAufforderung zum Abmelden deaktivieren: Ja\nAnzahl der zulässigen Umgehungen: 2\nWeise das Konfigurationsprofil einer Gruppe zu, in der sich macOS-Geräte befinden.\nKlicke auf Weiter \u0026gt; Erstellen.\nMit dieser Methode ist sichergestellt, dass alle verwalteten macOS-Geräte im Unternehmen automatisch verschlüsselt werden und ein zentral verwalteter Wiederherstellungsschlüssel zur Verfügung steht.\nWichtige Hinweise zur Nutzung von FileVault Wiederherstellungsschlüssel sichern: Falls das Passwort vergessen wird und kein Wiederherstellungsschlüssel existiert, können die Daten nicht wiederhergestellt werden. Performance auf älteren Macs: Auf neueren Macs ist FileVault kaum spürbar, aber auf älteren Modellen mit langsamen Festplatten kann es zu einer leichten Verlangsamung führen. Backups nicht vergessen: Eine regelmäßige Sicherung der Daten, z. B. über Time Machine, bleibt auch mit aktivierter Verschlüsselung essenziell. Fazit FileVault bietet eine effektive Möglichkeit, die Sicherheit von Daten unter macOS zu gewährleisten. Gerade in einer Zeit, in der Datenschutz immer wichtiger wird, sollte die Verschlüsselung eine Standardmaßnahme für alle Mac-Nutzer*innen sein. Die einfache Aktivierung und der hohe Schutzfaktor machen FileVault zu einer unverzichtbaren Funktion für alle, die ihre sensiblen Daten absichern möchten. Zudem ermöglicht die Verwaltung über Intune eine zentrale und sichere Implementierung in Unternehmensumgebungen.\n","permalink":"https://m365simple.de/posts/security-macos-filevault-copy/","summary":"MacOS FileVault: Was ist das und warum ist es wichtig? In der heutigen digitalen Welt spielt Datensicherheit eine entscheidende Rolle. Besonders auf mobilen Geräten wie Laptops besteht die Gefahr, dass sie verloren gehen oder gestohlen werden. Apple bietet mit FileVault eine leistungsstarke Lösung zur Festplattenverschlüsselung, um persönliche und geschäftliche Daten zu schützen. Doch was genau ist FileVault, und warum sollte es aktiviert werden?\nWas ist FileVault? FileVault ist eine integrierte Verschlüsselungstechnologie von Apple für macOS, die die gesamte Festplatte oder SSD eines Mac-Computers verschlüsselt.","title":"Security: MacOS FileVault"},{"content":"Was sind dynamische memberOf Gruppen? Dynamische memberOf Gruppen sind spezielle Gruppen in Microsoft Entra ID, deren Mitgliedschaft automatisch durch die Mitgliedschaft in anderen Gruppen bestimmt wird. Dies bedeutet, dass Benutzer, die Mitglieder einer bestimmten Gruppe sind, automatisch Mitglieder der dynamischen Gruppe werden, die das memberOf Attribut verwendet.\nVorteile der Verwendung von dynamischen memberOf Gruppen Automatisierung: Reduziert den manuellen Aufwand für die Verwaltung von Gruppenmitgliedschaften. Konsistenz: Stellt sicher, dass die Mitgliedschaften immer aktuell sind, basierend auf den zugrunde liegenden Gruppen. Flexibilität: Ermöglicht die Erstellung komplexer Gruppenstrukturen, die sich automatisch an Änderungen anpassen. Einrichtung von dynamischen memberOf Gruppen Um eine dynamische memberOf Gruppe in Microsoft Entra ID zu erstellen, folge diesen Schritten:\nAnmeldung: Melde dich im Microsoft Entra Admin Center als mindestens Benutzeradministrator an.\nNavigieren: Gehe zu Identität \u0026gt; Gruppen \u0026gt; Alle Gruppen.\nNeue Gruppe erstellen: Wähle Neue Gruppe und fülle die Details der Gruppe aus.\nMitgliedschaftstyp: Wähle den Typ \u0026ldquo;Dynamischer Benutzer\u0026rdquo; oder \u0026ldquo;Dynamisches Gerät\u0026rdquo; aus\nDynamische Abfrage hinzufügen: Wähle Dynamische Abfrage hinzufügen und konfiguriere die Regel mit dem memberOf Attribut. Der Regel-Generator kann für memberOf nicht verwendet werden.\nBeispiel für eine Benutzerregel:\nuser.memberof -any (group.objectId -in ['groupId', 'groupId'])\nBeispiel für eine Geräteregel\ndevice.memberof -any (group.objectId -in ['groupId', 'groupId'])\nErstellen: Klicke auf OK und dann auf Gruppe erstellen\n.\nEinschränkungen und Überlegungen Lizenzanforderungen: Für die Nutzung dieser Funktion ist eine Microsoft Entra ID P1 oder P2 Lizenz erforderlich.\nBegrenzungen: Ein Microsoft Entra Mandant kann maximal 500 dynamische Mitgliedschaftsgruppen mit dem memberOf Attribut haben. Jede dynamische Gruppe kann dabei bis zu 50 Mitgliedergruppen umfassen.\nKeine Rekursion: Wenn Sie Mitglieder von Sicherheitsgruppen zu memberOf dynamischen Mitgliedschaftsgruppen hinzufügen, werden nur direkte Mitglieder der Sicherheitsgruppe zu Mitgliedern der dynamischen Gruppe. Zudem können keine dynamische Gruppen nicht als Basis verwendet werden.\nPerformance: Bei einer großen Anzahl von Gruppen oder häufigen Updates kann die Verarbeitung langsamer sein\nRegelgenerator: Der Regel-Generator zum Erstellen und Überprüfen dynamischer Gruppenregeln kann derzeit nicht für memberOf verwendet werden.\nOperatoren: Das memberOf Attribut kann nicht mit anderen Operatoren als in verwendet werden. Sie können z. B. keine Regel erstellen, die festlegt, dass nur Mitglieder einer Gruppe A aufgenommen werden, die nicht in Gruppe B mitglied sind.\nFazit Dynamische memberOf Gruppen in Microsoft Entra ID bieten eine effiziente Möglichkeit, Gruppenmitgliedschaften automatisch zu verwalten und zu aktualisieren. Durch die Nutzung dieser Funktion können Administratoren sicherstellen, dass ihre Verzeichnisstruktur stets aktuell und konsistent bleibt, was zu einer verbesserten Verwaltung und Sicherheit beiträgt.\n","permalink":"https://m365simple.de/posts/dynamische-memberof-gruppen-in-entra-id-ein-uberblick/","summary":"Was sind dynamische memberOf Gruppen? Dynamische memberOf Gruppen sind spezielle Gruppen in Microsoft Entra ID, deren Mitgliedschaft automatisch durch die Mitgliedschaft in anderen Gruppen bestimmt wird. Dies bedeutet, dass Benutzer, die Mitglieder einer bestimmten Gruppe sind, automatisch Mitglieder der dynamischen Gruppe werden, die das memberOf Attribut verwendet.\nVorteile der Verwendung von dynamischen memberOf Gruppen Automatisierung: Reduziert den manuellen Aufwand für die Verwaltung von Gruppenmitgliedschaften. Konsistenz: Stellt sicher, dass die Mitgliedschaften immer aktuell sind, basierend auf den zugrunde liegenden Gruppen.","title":"Dynamische memberOf Gruppen in Entra ID: Ein Überblick"},{"content":"Entra ID Connect (ehemals Azure AD Connect) ist ein von Microsoft bereitgestelltes Tool, dass die On-Premise Active Directory-Welt mit Microsoft Entra ID (ehemals Azure AD) verbindet. Neben der reinen Synchronisierung von Objekten stellt Entra ID Connect zusätzliche Funktionen wie Passwort-Hash-Sync oder Single-Sign On (SSO) bereit.\nTIER 0 Das Tier 0-Modell umfasst hoch privilegierte Identitäten und Systeme, die u. a. direkten Zugriff auf Domain Controller haben. Entra ID Connect benötigt u. a. für die Synchronisierung und Bereitstellung von SSO Zugriff auf die Domain Controller und wird daher als TIER 0 System eingestuft.\nEntra ID Connect Auditing Die neueste Version von Entra ID Connect - 2.4.129.0 ist mit neuen Auditing-Funktionalitäten ausgestattet, um dieses System einfacher gegenüber Konfigurationsänderungen überwachen zu können.\nDie nachfolgenden Auditing-Events lassen sich künftig überwachen:\nEventID\nEventName\nDescription\n2503\nAdd/Update/Delete Directories\nProvides the name of the affected directory\n2504\nEnable Express settings mode\nThis event will be logged when \"Express Setup\" is selected by the administrator\n2505\nEnable/Disable domains and OU for sync\nShows a list of all domains connected to Connect Sync\n2506\nEnable/Disable PHS Sync\nShows Password Hash Sync is enabled or disabled\n2507\nEnable/Disable Sync start after install\nEvent is logged when sync is enabled or disabled when the installation is done\n2508\nCreate ADDS account\nShows the created account needed to connect to the new directory added\n2509\nUse Existing ADDS account\nShows name of the account used to connect to the directory\n2510\nCreate/Update/Delete custom sync rule\nShows the name of the sync rule that has changed along with information on what changed\n2511\nEnable/Disable Domain based filtering\nShows domain filtering is selected and lists selected domains\n2512\nEnable/Disable OU based filtering\nShows OU based filtering is selected and lists selected OUs\n2513\nUser Sign-In method changed\nShows the old sign in method and the new one\n2514\nConfigure new ADFS farm\nShows the federation service name\n2515\nEnable/Disable Single sign-on\nShows single sign-on change\n2516\nInstall web application proxy server\nShows selected ADFS servers and Domain Admin username\n2517\nSet Permissions\nShows the specific AD Sync permission changed\n2518\nChange ADDS Connector credential\nShows ADDS Connector credential changed\n2519\nReinitialize Entra ID Connector account password\nShows that the AD Sync service account password was reset\n2520\nInstall ADFS Server\nShows the selected server\n2521\nSet ADFS Service Account\nSpecifies if group-managed or domain user. Includes administrator username\nUpgrade Das Upgrade von Entra ID Connect auf die aktuellste Version kann wie gewohnt per In-Place Upgrade erfolgen.\nDownload der aktuellen Version:\nDownload Microsoft Entra Connect from Official Microsoft Download Center\nEvent forwarding Zur Überwachung möglicher Konfigurationsänderungen empfiehlt es sich, ein entsprechendes Weiterleiten der Logs des Entra ID Connect-Servers zu einem SIEM- System einzurichten.\nWie bereits in einem unserer vergangenen Blogpost Was ist Azure-Arc | M365simple beschrieben, wird für die cloudbasierte Verwaltung von On-Premise Servern die Verwendung von Azure Arc vorausgesetzt.\nMithilfe des Azure Monitor Agent (AMA) können die erzeugten Logdateien direkt in das Microsoft hauseigene SIEM - Sentinel integriert und dort entsprechend verarbeitet werden.\nDie Aktivierung des AMA auf Azure Arc aktivierten Servern kann direkt via Built-In Policy erfolgen. Der AMA-Agent sorgt schlussendlich dafür, dass die Logdateien das SIEM erreichen können.\nMittels Regelwerk innerhalb von Sentinel kann eingestellt werden, dass bei Eintreten eines der o.g. Events ein Incident erzeugt wird.\nWeitere Informationen Auditing administrator events in Microsoft Entra Connect Sync - Microsoft Entra ID | Microsoft Learn\nWindows Forwarded Events connector for Microsoft Sentinel | Microsoft Learn\nAzure Monitor Agent Overview - Azure Monitor | Microsoft Learn\nDeploy Azure Monitor agent on Arc-enabled servers - Azure Arc | Microsoft Learn\nZusammenfassung Die Überwachung von TIER 0-Systemen ist wichtig und beschränkt sich nicht nur auf den Entra ID Connect-Dienst. Durch die Integration von cloudbasierten Agenten kann die Überwachung in bestehende SIEM-Systeme (bspw. Microsoft Sentinel) integriert werden.\n","permalink":"https://m365simple.de/posts/entra-id-connect-auditing/","summary":"Entra ID Connect (ehemals Azure AD Connect) ist ein von Microsoft bereitgestelltes Tool, dass die On-Premise Active Directory-Welt mit Microsoft Entra ID (ehemals Azure AD) verbindet. Neben der reinen Synchronisierung von Objekten stellt Entra ID Connect zusätzliche Funktionen wie Passwort-Hash-Sync oder Single-Sign On (SSO) bereit.\nTIER 0 Das Tier 0-Modell umfasst hoch privilegierte Identitäten und Systeme, die u. a. direkten Zugriff auf Domain Controller haben. Entra ID Connect benötigt u. a.","title":"Entra ID Connect Auditing"},{"content":"Seit 2024 prüft Microsoft bei der Aktivierung von „Outlook New“ auf dem Desktop, ob eine gültige Office-App-Lizenz vorhanden ist. Nutzer mit Business Basic Lizenz oder Exchange Online Lizenz erhalten häufig Fehlermeldungen wie „NoOfficeProPlus“, da diese Lizenz die Nutzung von Desktop-Anwendungen nicht abdeckt.\nLaut Microsoft sollte die Nutzung von Outlook Classic (Windows und Mac) sowie von Outlook für Windows in Verbindung mit Office 365 E1, Microsoft 365 Business Basic oder Microsoft Exchange Online P1/P2 bereits jetzt nicht mehr möglich sein. (Exchange Online service description - Service Descriptions | Microsoft Learn)\n\u0026ldquo;Connecting an Office 365 E1, Microsoft 365 Business Basic, Microsoft Exchange Online P1 or P2 to Outlook for Windows, classic Outlook for Windows, and Outlook for Mac requires that those applications first be licensed with an account that includes the rights to Microsoft 365 desktop apps.\u0026rdquo;\nTechnisch funktioniert dies jedoch bei der Nutzung von Outlook Classic aktuell noch, was darauf hinweist, dass die vollständige Durchsetzung der Einschränkungen möglicherweise noch aussteht. Unternehmen sollten sich dennoch darauf vorbereiten, dass diese Möglichkeit jederzeit deaktiviert werden könnte.\nHandlungsempfehlungen Upgrade auf eine geeignete Lizenz\nDer Wechsel auf Microsoft 365 Business Standard oder höher ist nötig, um den Zugriff auf den Outlook-Desktop-Client sicherzustellen. Diese Lizenzen bieten zusätzlich Zugang zu weiteren Office-Anwendungen und erweiterten Funktionen. (Vergleich der Microsoft 365-Pläne)\nNutzung der Outlook-Webversion\nWenn ein Upgrade keine Option ist, muss die Webversion von Outlook genutzt werden. Hierfür müssen Nutzende gegebenenfalls geschult werden.\nDer Zwang zum teureren Abo Es bleibt bei dem bekannten Muster. Microsoft verfolgt eine klare Strategie, um Nutzer nicht nur in das Abonnementmodell von Microsoft 365 (M365) zu überführen, sondern sie auch zu höherwertigen Abonnements zu bewegen. Dies zeigt sich zum einen bei dem erweiterten Funktionsumfang im Vergleich zwischen Office 2024 und Microsoft 365 (Häufig gestellte Fragen zu Office 2024 und Office LTSC 2024)\n\u0026ldquo;Office 2024 und Office LTSC 2024 nur eine Teilmenge der Features enthalten, die in Microsoft 365-Apps enthalten sind.\u0026rdquo;\nals auch in dem Vergleich der einzelnen M365-Pläne untereinander.\nQuellen How to fix Error code: NOOFFICEPROPLUS ? - Microsoft Community ","permalink":"https://m365simple.de/posts/fehlermeldung-noofficeproplus/","summary":"Seit 2024 prüft Microsoft bei der Aktivierung von „Outlook New“ auf dem Desktop, ob eine gültige Office-App-Lizenz vorhanden ist. Nutzer mit Business Basic Lizenz oder Exchange Online Lizenz erhalten häufig Fehlermeldungen wie „NoOfficeProPlus“, da diese Lizenz die Nutzung von Desktop-Anwendungen nicht abdeckt.\nLaut Microsoft sollte die Nutzung von Outlook Classic (Windows und Mac) sowie von Outlook für Windows in Verbindung mit Office 365 E1, Microsoft 365 Business Basic oder Microsoft Exchange Online P1/P2 bereits jetzt nicht mehr möglich sein.","title":"Outlook New Nutzung nur mit Abo-Lizenz - \"NoOfficeProPlus\""},{"content":"Microsoft Cloud Lizenzen: Wichtige Preisänderungen ab April 2025\nMicrosoft hat für 2025 entscheidende Änderungen im Bereich der Microsoft Cloud Lizenzen bekannt gegeben. Diese Änderungen umfassen gezielte Preiserhöhungen für bestimmte Microsoft 365-Lizenzen sowie einen generellen Aufschlag von 5 % für monatlich abgerechnete Jahreslizenzen. Hier finden Sie die wichtigsten Informationen und praktische Empfehlungen, wie Sie optimal darauf reagieren können.\nDie Preisänderungen im Überblick\nPreiserhöhungen bei bestimmten Lizenzen\nMicrosoft plant Preiserhöhungen für folgende Produkte:\nTeams Phone Standard: +25 % Teams Phone Calling Plans: +10–20 % Power BI Pro: +40 % Power BI Premium: +20 % Nicht betroffen von diesen Preisänderungen sind Lizenzen wie die Office 365 E5 und die Microsoft 365 E5 Suite. Diese beinhalten bereits Teams Phone Standard und Power BI Pro und bieten somit ein attraktives Gesamtpaket.\n5 % Preisaufschlag für monatlich abgerechnete Jahreslizenzen\nSeit der Einführung der New Commerce Experience (NCE) Regelung haben Kunden die Wahl zwischen monatlicher und jährlicher Laufzeit. Während jährliche Lizenzen bisher 20 % teurer waren, wird ab dem 1. April 2025 ein zusätzlicher 5 %-Aufschlag für jährliche Lizenzen erhoben, die monatlich abgerechnet werden.\nHandlungsempfehlungen für Unternehmen\nWechsel zur Microsoft 365 E5 Suite prüfen\nWenn Ihr Unternehmen sowohl Teams Phone als auch Power BI nutzt, könnte ein Wechsel zur E5 Suite wirtschaftlich sinnvoll sein. Diese bietet neben den betroffenen Lizenzen auch erweiterte Sicherheitsfunktionen – ohne die geplanten Preiserhöhungen.\nVon Monatsabrechnung auf Jahresabrechnung umstellen\nUm den 5 %-Aufschlag für monatliche Abrechnungen zu vermeiden, sollten Sie Ihre Abrechnungsmodalitäten rechtzeitig anpassen. Eine Umstellung auf eine Jahresabrechnung kann langfristig Kosten sparen.\nVerlängerungsdatum prüfen\nWenn Ihre Lizenzen bis Ende März 2025 verlängert werden, können Sie die Preiserhöhungen für ein weiteres Jahr aufschieben. Nutzen Sie diese Möglichkeit, um Ihre IT-Budgetplanung anzupassen.\nEinladung zum Webinar\nUm Ihnen einen detaillierten Einblick in die geplanten Preisänderungen zu geben, laden wir Sie herzlich zu unserem Webinar ein:\nThema: Microsoft Preisänderungen 2025 / Vorgehensweise Tenanthärtung Datum: 23. Januar 2025 Uhrzeit: 09:00 Uhr Dauer: 45 Minuten Speaker: Bernhard Altschäffel und Marco Hagel In diesem Webinar erklären wir die Änderungen im Detail und geben praxisnahe Beispiele, wie Sie Ihre Lizenzstrategie optimieren können. Zudem stellen wir die optimale Vorgehensweise zur Tenanthärtung von M365 Tenants vor Selbstverständlich stehen wir auch für Ihre individuellen Fragen zur Verfügung.\nAnmeldung zum Webinar\nFazit\nDie anstehenden Änderungen bei den Microsoft Cloud Lizenzen betreffen alle Kundensegmente und erfordern eine frühzeitige Planung, um unnötige Mehrkosten zu vermeiden. Kontaktieren Sie uns, um Ihre optimale Lizenzstrategie zu entwickeln. Wir unterstützen Sie gerne persönlich bei der Planung und Umsetzung.\nKontakt: Bernhard Altschäffel\nTelefon: +49 2924 496992 0\nE-Mail: kunde@worksimple.de\n","permalink":"https://m365simple.de/posts/microsoft-cloud-lizenzen-wichtige-preisanderungen-ab-april-2025/","summary":"Microsoft Cloud Lizenzen: Wichtige Preisänderungen ab April 2025\nMicrosoft hat für 2025 entscheidende Änderungen im Bereich der Microsoft Cloud Lizenzen bekannt gegeben. Diese Änderungen umfassen gezielte Preiserhöhungen für bestimmte Microsoft 365-Lizenzen sowie einen generellen Aufschlag von 5 % für monatlich abgerechnete Jahreslizenzen. Hier finden Sie die wichtigsten Informationen und praktische Empfehlungen, wie Sie optimal darauf reagieren können.\nDie Preisänderungen im Überblick\nPreiserhöhungen bei bestimmten Lizenzen\nMicrosoft plant Preiserhöhungen für folgende Produkte:","title":"Microsoft Cloud Lizenzen: Wichtige Preisänderungen ab April 2025"},{"content":"Einführung der neuen Geräteinventarfunktion für Windows in Intune Microsoft hat eine neue Funktion für die Verwaltung von Windows-Geräten in Intune vorgestellt. Damit können IT-Teams jetzt noch mehr und genauere Informationen über ihre Geräte sammeln und nutzen. Die Funktion wurde diese Woche eingeführt – probieren Sie sie gerne aus!\nDas bringt die neue Geräteinventar-Funktion: Mehr Infos über die Geräte\nIT-Teams können jetzt zusätzliche Details zu den Geräten erfassen, z. B. den Zustand des Akkus oder die Version des Sicherheitsmoduls (TPM).\nEinfacher Zugriff auf Daten\nAlle gesammelten Informationen werden übersichtlich im „Ressourcen-Explorer“ angezeigt. So können IT-Teams schnell herausfinden, was mit einem Gerät los ist, und fundierte Entscheidungen treffen.\nAnpassbare Einstellungen IT-Admins können festlegen, welche Daten sie von den Geräten erfassen möchten. Diese Einstellungen lassen sich flexibel auf bestimmte Gruppen oder alle Geräte anwenden.\nSchnell und ressourcenschonend\nDie Datenübertragung ist effizient, da nur neue oder geänderte Informationen hochgeladen werden. Das schont Netzwerk und Geräte.\nAuch für andere Geräte verfügbar Ab nächstem Jahr funktioniert die Funktion nicht nur für Windows, sondern auch für macOS-, iOS- und Android-Geräte.\nMit diesen Neuerungen wird es für Unternehmen einfacher, ihre Geräte zu verwalten, Probleme schneller zu lösen und sie sicher zu halten.\nVorteile der neuen Geräteinventarfunktion Schnellere Problemlösung: Mit mehr Infos über die Geräte können IT-Teams Probleme schneller finden und beheben. Bessere Entscheidungen: Die gesammelten Daten helfen, klügere Entscheidungen zu treffen und bei Verhandlungen mit Anbietern gut vorbereitet zu sein. Mehr Sicherheit: Es wird einfacher zu prüfen, ob Geräte sicher sind, oder ob sie ein Update oder eine Erneuerung brauchen. Alles an einem Ort: Alle wichtigen Infos sind in Intune gesammelt – Sie brauchen keine zusätzlichen Programme mehr. So schalten Sie die Funktion ein Um die neue Geräteinventarfunktion zu nutzen, erstellen Sie ein Inventarprofil in Intune.\nMelden Sie sich im Microsoft Intune Admin Center an. Gehen Sie zu Geräte \u0026gt;Windows \u0026gt; Konfiguration. Klicken Sie auf Erstellen und wählen Sie + Neue Richtlinie aus.\nWählen Sie aus, dass eine Richtlinie für Windows 10 und höher aus dem Eigenschaften-Katalog erstellt werden soll.\nGeben Sie der Sammlung einen Namen und eine Beschreibung und klicken Sie auf „Weiter“.\nKlicken Sie auf +Eigenschaften hinzufügen\nWählen Sie die Informationen aus, die Sie von Ihrem Gerät sammeln möchten, und klicken Sie auf „Weiter“.\nSchließen Sie die Einrichtung ab, indem Sie die passenden Scope-Tags hinzufügen und die Konfiguration den richtigen Geräten zuweisen\nSo sehen Sie die gesammelten Daten Melden Sie sich im Intune Admin Center an und gehen Sie zu Geräte \u0026gt; Windows. Wählen Sie das Gerät aus, für das Sie die Daten sehen möchten. Gehen Sie zum Abschnitt Überwachung und klicken Sie auf Ressourcen-Explorer. Wählen Sie eine Kategorie aus, um die gesammelten Geräteinformationen anzusehen.\nNachdem ein Gerät mit Intune verbunden wurde, kann es bis zu 24 Stunden dauern, bis die ersten Daten über das Gerät gesammelt werden. Sobald die Daten verfügbar sind, können Sie detaillierte Informationen über die Hardware des Geräts einsehen.\nFazit Die neue Geräteinventarfunktion in Intune ist ein großer Schritt nach vorne. Sie bietet mehr Informationen und erleichtert die Verwaltung von Geräten erheblich.\n","permalink":"https://m365simple.de/posts/neu-die-gerateinventarfunktion-fur-windows-in-intune/","summary":"Einführung der neuen Geräteinventarfunktion für Windows in Intune Microsoft hat eine neue Funktion für die Verwaltung von Windows-Geräten in Intune vorgestellt. Damit können IT-Teams jetzt noch mehr und genauere Informationen über ihre Geräte sammeln und nutzen. Die Funktion wurde diese Woche eingeführt – probieren Sie sie gerne aus!\nDas bringt die neue Geräteinventar-Funktion: Mehr Infos über die Geräte\nIT-Teams können jetzt zusätzliche Details zu den Geräten erfassen, z. B. den Zustand des Akkus oder die Version des Sicherheitsmoduls (TPM).","title":"Neu: Die Geräteinventarfunktion für Windows in Intune"},{"content":"Worum geht es? Wer kennt es nicht? Ein neues Projekt steht in den Startlöchern, aber bevor es richtig losgehen kann, muss erst ein NDA unterschrieben werden. Also gut: Passende Vorlage suchen, Details anpassen, versenden, Rückfragen klären, erneut anpassen, E-Mails hin- und herschicken – und schließlich unterschreiben lassen. Dabei noch den Überblick über alle Versionen behalten … Moment mal, gab es nicht schon ein NDA? Und ist das überhaupt noch gültig?\nGenau diesen Prozess, als auch die Erstellung aller anderen Vertragsunterlagen will Microsoft nun mit einer eigenen Lösung in SharePoint vereinfachen. Den SharePoint-Vereinbarungen. Somit entfallen zukünftig die Erstellung mühsamer Content-Types als auch die damit verbundene Vielzahl an Powerautomate-Flows.\nWas kann die Lösung? Zentrale Übersicht aller Vereinbarungen Nach der Einbindung der App in Microsoft Teams wird man mit einer Übersicht begrüßt, welche für den jeweiligen Arbeitsbereich die Anzahl aller bestehenden Vereinbarungen mit dem jeweiligen Status aufzeigt. Weiterhin kann eine Auflistung einzelner Vereinbarungen und den dazugehörigen Status gegeben werden.\nErstellung neuer Vereinbarungen Auf Basis zuvor definierter Vorlagen lassen sich nun Vereinbarungen erstellen. Dies ist vergleichbar zu der jetzigen Nutzung von Content-Types. Hinzu kommt, dass wieder verwendbare Abschnitte aus einer sogenannten Abschnittsbibliothek eingeschlossen werden können.\nGenehmigungsprozess Im zweiten Schritt erfolgt ein Überprüfungs- / Genehmigungsprozess. Dieser wird wie gewohnt über die Microsoft-Genehmigungsfunktion an die hinterlegten Personen versendet. Öffnet jetzt die Person das Dokument, fällt ein Alleinstallungsmerkmal auf. Dieses besticht darin, dass alle vorgenommenen Änderungen aggregiert, zusammengefasst und im Text verlinkt werden, um einen schnellen Überblick über Abweichungen zu bekommen.\nE-Signaturen Wurde das Dokument genehmigt, kann dieses an die externen Parteien zur Signatur versendet werden. Der Prozess wird dabei von der SharePoint E-Signaturlösung unterstützt.\nAbschließend wird die Vereinbarung zusammen mit dem Signaturdatum abgelegt. So kann SharePoint eine Erinnerung mitteilen, sobald diese abläuft.\nWie kann ich starten? Derzeit befindet sich die Anwendung noch in der Early Access Phase. Für die Registrierung der Teilnahme kann folgender Link genutzt werden: Microsoft SharePoint Agreements AI solution - General Availability (GA) Nomination Form. Hier sollte es eine Rückmeldung nach spätestens 14 Tagen geben. Nach der Freigabe kann die Lösung über den Teams-Anwendungskatalog installiert werden.\nWas kostet das Ganze? Das Lizenzmodell und damit verbundene Kosten befinden sich noch in der Finalisierung. Early-Access-Kunden können Testlizenzen erhalten. Diese Testlizenzen sind ab dem Aktivierungsdatum sechs Monate gültig.\nIch persönlich gehe davon aus, dass die Lösung Teil von SharePoint Premium (ehemals SharePoint Syntex) sein wird. Für diese besteht zum aktuellen Zeitpunkt eine pay-per-use Abrechnung die sich wie folgt gestaltet:\nContent Assembly pro Dokument: 0,15 Cent E-Signatur pro Vorgang: 2,00 EUR Fazit Im Vergleich zu Drittanbieterlösungen wie DocuSign oder AdobeSign bietet Microsoft durch die nahtlose Integration in Microsoft 365 und die Abdeckung des gesamten Vertragsprozesses eine vielversprechende Alternative. Allerdings bleibt abzuwarten, wie das endgültige Lizenzmodell aussieht und welche Kosten damit verbunden sein werden.\nWeitere Informationen Einführung in SharePoint-Vereinbarungen - Microsoft Syntex | Microsoft Learn ","permalink":"https://m365simple.de/posts/neuerungen-bei-microsoft-sharepoint-vereinbarungsmanagement-app/","summary":"Worum geht es? Wer kennt es nicht? Ein neues Projekt steht in den Startlöchern, aber bevor es richtig losgehen kann, muss erst ein NDA unterschrieben werden. Also gut: Passende Vorlage suchen, Details anpassen, versenden, Rückfragen klären, erneut anpassen, E-Mails hin- und herschicken – und schließlich unterschreiben lassen. Dabei noch den Überblick über alle Versionen behalten … Moment mal, gab es nicht schon ein NDA? Und ist das überhaupt noch gültig?","title":"Neuerungen bei Microsoft SharePoint: Vereinbarungsmanagement-App"},{"content":"Dieser Artikel stellt die Funktion der Restricted management administrative units (kurz: RMAU) vor, welche in Entra ID zur Absicherung und Containerisierung privilegierter Objekte (u.a. Benutzerkonten, Gruppen und Geräte) verwendet werden können.\nWichtig hierbei ist zu nennen, dass sich die o.g. Funktion aktuell noch in der Preview befindet.\nVoraussetzungen Bei der Lizenzierung einer RMAU wird zwischen dem verwalteten Administrator und dem enthaltenen Benutzer (Mitglied) unterschieden.\nAdministratoren, welche eine RMAU verwalten, sind mit mind. einer Entra ID P1 auszustatten. Benutzerkonten, welche in einer RMAU als Scope enthalten sind, benötigen ausschließlich eine Microsoft Entra ID Free Lizenz.\nAnwendungsfall Eine RMAU kann verschiedene Anwendungsfälle haben, u.a. die Absicherung von VIP-Benutzern, Sicherheitsgruppen oder privilegierten Computern.\nIn diesem Artikel liegt der Fokus auf Conditional Access. Hierzu wird nachfolgend eine RMAU erstellt, welche alle vorhandenen Ausnahmegruppen von Conditional Access-Richtlinien enthält.\nAnlage RMAU Hierzu wird in Entra ID -\u0026gt; Identity -\u0026gt; Roles \u0026amp; admins -\u0026gt; Admin units eine neue RMAU erstellt:\nDazu muss bei der Anlage der RMAU der Schieberegler Restricted management administrative unit aktiviert werden. Eine nachträgliche Aktivierung ist nicht möglich.\nDie Zuweisung von Administratorrollen kann zunächst übersprungen werden. Im Anschluss können bestehende Gruppen in die erstellte RMAU hinzugefügt werden:\nDies sorgt dafür, dass u.a. das Hinzufügen von neuen Mitglieder auch für einen Administrator mit Global Administrator Berechtigung zunächst nicht möglich ist.\nBerechtigungszuweisung Die Zuweisung zur Bearbeitung von u.a. Gruppen, welche sich im Scope einer RMAU befinden, kann wie folgt konfiguriert werden:\nAnschließend Roles and administrators öffnen:\nJe nach Anwendungsfall gibt es verschiedene Administratorrollen innerhalb einer RMAU. Wir entscheiden uns für die Rolle des User Administrator, da diese Rolle entsprechend die Bearbeitung der Mitglieder zulässt.\nDie Zuweisung der jeweiligen Rolle kann dann statisch (nicht empfohlen) oder mit Privileged Identity Management durchgeführt werden (Entra ID P2 Lizenz vorausgesetzt).\nUnsere Empfehlung ist jedoch, alle personenbezogenen Administratorrollen immer als Eligible Assignment zu verteilen. Im besten Fall noch mit der Angabe eines Ablaufdatums.\nNach Zuweisung der notwendigen Berechtigungsrolle ist die Bearbeitung der RMAU möglich.\nDie Rolle des Global Administrator allein ist nicht ausreichend, damit Objekte innerhalb einer RMAU verwalten werden können. Der Global Administrator hat jedoch jederzeit die Möglichkeit, eine neue RMAU zu erstellen bzw. die für die Verwaltung der RMAU notwendigen Rechte zu verteilen.\nDie o.g. Schritte zeigen lediglich einen einzigen Anwendungsfall, für den eine RMAU verwendet werden kann.\nMögliche Einschränkungen und weitere nützliche Informationen sind hier zu finden:\nRestricted management administrative units in Microsoft Entra ID (Preview) - Microsoft Entra ID | Microsoft Learn\n","permalink":"https://m365simple.de/posts/restricted-management-administrative-units/","summary":"Dieser Artikel stellt die Funktion der Restricted management administrative units (kurz: RMAU) vor, welche in Entra ID zur Absicherung und Containerisierung privilegierter Objekte (u.a. Benutzerkonten, Gruppen und Geräte) verwendet werden können.\nWichtig hierbei ist zu nennen, dass sich die o.g. Funktion aktuell noch in der Preview befindet.\nVoraussetzungen Bei der Lizenzierung einer RMAU wird zwischen dem verwalteten Administrator und dem enthaltenen Benutzer (Mitglied) unterschieden.\nAdministratoren, welche eine RMAU verwalten, sind mit mind.","title":"Restricted management administrative units"},{"content":"Wie unsere Reise begann Die Übernahme der Druckerinfrastruktur eines Kunden mit über 700 Druckern stellte uns vor eine enorme Herausforderung. Was zunächst als Technologiewechsel von Citrix zu Azure Virtual Desktop (AVD) begann, entwickelte sich schnell zu einem komplexen Projekt, das weit mehr erforderte als nur den Umstieg auf eine neue Umgebung.\nCitrix Adieu, AVD Hallo – Der Beginn unerwarteter Herausforderungen Der geplante Umstieg des Kunden von Citrix auf AVD versprach moderne, cloudbasierte Lösungen, die eine effizientere Arbeitsumgebung bieten sollten. Doch die Nutzung der Drucker des Kunden in AVD erwies sich als weitaus komplizierter als erwartet. Während das Druckermapping unter Citrix noch über die Client-IP funktionierte, gab es unter AVD keine vergleichbare Lösung. Dies erforderte individuell angepasste Skripte, um die Drucker funktionsfähig zu machen.\nKomplexe GPO-Struktur und lange Anmeldezeiten Ein weiterer Stolperstein war die Druckerzuweisung über ein Gruppenrichtlinienobjekt (GPO). Der Kunde hatte über die Jahre eine komplexe GPO aufgebaut, die für verschiedene Abteilungen und sogar für einzelne Stockwerke individuelle Druckerzuweisungen vorsah. Dies führte zu erheblichen Verzögerungen. Das Bearbeiten der GPO dauerte bis zu fünf Minuten, und die Anmeldezeiten der Benutzer in AVD verlängerten sich um zwei bis drei Minuten, bis alle Drucker korrekt zugewiesen waren.\nUniversal Print: Eine vielversprechende, aber noch nicht ausreichende Lösung Nach den ersten Schwierigkeiten suchten wir nach einer effizienteren Alternative und setzten auf Microsoft Universal Print, eine cloudbasierte Druckerverwaltungslösung von Microsoft. Die Integration von Microsoft Universal Print wurde über einen Windows Server 2019 Print Server realisiert, der mithilfe eines Universal Print Connectors die Kommunikation mit dem Clouddienst sicherstellt. Dadurch werden die lokalen Drucker nahtlos in die Cloud-Umgebung eingebunden und können über den Universal Print Service bereitgestellt und verwaltet werden. Dies ermöglicht eine zentrale cloudbasierte Verwaltung der Drucker, während gleichzeitig die bestehende On-Premises-Infrastruktur des Kundens genutzt wird.\nDie Architektur von Univeral Print ist im folgendem Diagramm dargestellt:\nDie anfängliche Integration verlief reibungslos: Die tadellos gepflegten Druckerattribute des Kunden wurden sauber übernommen, und die Verwaltung schien unkompliziert. Doch im laufenden Betrieb zeigten sich schnell Schwächen:\nDrucker verschwanden sporadisch aus der Liste. Die Zuweisung des Standarddruckers funktionierte nicht zuverlässig. Wichtige Einstellungen wie Schwarz-Weiß-Druck und Duplex-Modus gingen bei der Migration der Drucker in die Cloud verloren. Trotz intensiver Zusammenarbeit mit dem Microsoft-Support konnten diese Probleme nicht vollständig behoben werden. Die Benutzererfahrung blieb unbefriedigend und führte zu Frustration im Arbeitsalltag.\nUnsere Lösung: Eine maßgeschneiderte Drucker-App Um eine dauerhafte und zuverlässige Lösung zu gewährleisten, entwickelten wir eine eigene Drucker-App. Diese App kombiniert eine benutzerfreundliche Oberfläche, gleichzusetzen mit der von Universal Print, mit stabiler, bewährter Legacy-Technologie im Hintergrund und bietet eine effiziente Druckerverwaltung, die die Schwächen von Universal Print kompensiert. Die App ermöglicht es den Benutzern, Drucker schnell auszuwählen, diese als Standarddrucker festzulegen und die Konfiguration dauerhaft zu speichern – ohne täglich wiederholte Einstellungen.\nFunktionsweise der Drucker App im Detail Unsere Drucker-App bietet eine nahtlose Integration mit dem Kunden Active Directory. Sie ermöglicht den Abruf der Drucker, die in einer bestimmten Organisationseinheit im Active Directory hinterlegt sind. Diese Drucker werden in einer benutzerfreundlichen, grafischen Oberfläche übersichtlich dargestellt, was die Verwaltung und Auswahl der Drucker deutlich erleichtert.\nIn unserer Drucker-App nutzen wir die Windows Management Instrumentation (WMI). WMI ermöglicht es, verschiedene Aufgaben wie das Verwalten von Druckern über Scripting-Sprachen wie VBScript oder PowerShell sowohl lokal als auch remote durchzuführen.\nAuf dieser Basis haben wir zwei nützliche Funktionen in unsere App eingebaut:\nMit der AddPrinterConnection-Methode wird eine Verbindung zu einem Netzwerkdrucker hergestellt und zur Druckerliste hinzugefügt. Mit der SetDefaultPrinter-Methode kann der Benutzer den Standarddrucker festlegen. Der Weg zur Bereitstellung im AVD-Image Um die Drucker-App erfolgreich in der AVD-Umgebung für den Kunden bereitzustellen, sind die folgenden vereinfacht dargestellten technischen Schritte erforderlich:\nInstallation der Drucker-Anwendung und Abhängigkeiten auf dem Master Template Session Host: Zunächst muss die Drucker-App auf dem Master-Template-Session-Host installiert werden. Erstellung eines neuen AVD-Images basierend auf dem Master-Template in Hydra: Nachdem die App auf dem Session Host installiert wurde, wird ein neues Golden Image basierend auf dem Master-Template erstellt. Dieses Image dient als Grundlage für die Bereitstellung neuer Session Hosts. Hydra wird dabei verwendet, um das neue Image effizient zu managen und zu orchestrieren. Erstellung von FSLogix App Masking Regeln für eine geregelte Bereitstellung: Mithilfe von FSLogix App Masking können Zugriffsregeln erstellt werden, um die App gezielt nur bestimmten Benutzergruppen zur Verfügung zu stellen. Dies ermöglicht uns eine flexible Bereitstellung der Anwendung, sodass nur berechtigte Nutzer Zugriff auf die Drucker-App erhalten, während sie für andere Nutzergruppen verborgen bleibt. Rollout der neuen Session Hosts auf Basis des angepassten Images: Nach der Erstellung und Anpassung des Images erfolgt die Nutzung des neuen AVD-Images für den Rollout weiterer Session Hosts. Diese Hosts werden mit dem neuen Image initialisiert, wodurch die Drucker-App in der gesamten Umgebung für die zugewiesenen Benutzergruppen bereitgestellt werden kann. Dieser strukturierte Prozess stellt sicher, dass die Drucker-App effizient und mit minimalen Unterbrechungen in der AVD-Umgebung des Kundens ausgerollt werden kann, während gleichzeitig eine granulare Kontrolle über die Zugriffsrechte gewährleistet wird.\nFazit Die Entwicklung unserer Drucker-App hat es uns ermöglicht, die Herausforderungen der Druckerintegration für den Kunden nachhaltig zu lösen. Die App bietet eine schnelle, stabile und benutzerfreundliche Verwaltung der Druckerlandschaft, die die Effizienz im Arbeitsalltag des Kunden deutlich erhöht. Durch die individuelle Anpassung an die Bedürfnisse des Unternehmens konnten wir eine Lösung schaffen, die die technischen Hürden des Umstiegs auf AVD erfolgreich überwindet und langfristig für eine reibungslose Nutzung sorgt.\n","permalink":"https://m365simple.de/posts/printing_azure-virtual-desktop/","summary":"Wie unsere Reise begann Die Übernahme der Druckerinfrastruktur eines Kunden mit über 700 Druckern stellte uns vor eine enorme Herausforderung. Was zunächst als Technologiewechsel von Citrix zu Azure Virtual Desktop (AVD) begann, entwickelte sich schnell zu einem komplexen Projekt, das weit mehr erforderte als nur den Umstieg auf eine neue Umgebung.\nCitrix Adieu, AVD Hallo – Der Beginn unerwarteter Herausforderungen Der geplante Umstieg des Kunden von Citrix auf AVD versprach moderne, cloudbasierte Lösungen, die eine effizientere Arbeitsumgebung bieten sollten.","title":"Printing Azure Virtual Desktop"},{"content":"Microsoft hat gerade seine neueste Variante von Windows Autopilot veröffentlicht, die als Autopilot Device Preparation / Autopilot-Gerätevorbereitung bekannt ist, und diese Woche wurde viel darüber berichtet.\nZuerst müssen einige Einstellungen im Tenant vorgenommen werden. Bevor Geräte registriert werden können, muss der Tenant vorbereitet werden:\nErlauben der persönlichen Registrierung:\nMelden Sie sich bei Intune an. Gehen Sie zu „Geräte“ \u0026gt; „Windows-Registrierung“ und wählen Sie „Geräteplattformeinschränkung“. Stellen Sie sicher, dass „Persönliche Geräte“ für Windows (MDM) erlaubt ist. Erstellen einer speziellen Gerätegruppe:\nNavigieren Sie zu „Gruppen“ \u0026gt; „Alle Gruppen“ und klicken Sie auf „Neue Gruppe“. Wählen Sie „Sicherheitsgruppe“ und setzen Sie den Mitgliedschaftstyp auf „Zugewiesen“. Fügen Sie als Besitzer „Intune Autopilot ConfidentialClient“ hinzu. ","permalink":"https://m365simple.de/posts/intune_autopilot_device_preparation/","summary":"Microsoft hat gerade seine neueste Variante von Windows Autopilot veröffentlicht, die als Autopilot Device Preparation / Autopilot-Gerätevorbereitung bekannt ist, und diese Woche wurde viel darüber berichtet.\nZuerst müssen einige Einstellungen im Tenant vorgenommen werden. Bevor Geräte registriert werden können, muss der Tenant vorbereitet werden:\nErlauben der persönlichen Registrierung:\nMelden Sie sich bei Intune an. Gehen Sie zu „Geräte“ \u0026gt; „Windows-Registrierung“ und wählen Sie „Geräteplattformeinschränkung“. Stellen Sie sicher, dass „Persönliche Geräte“ für Windows (MDM) erlaubt ist.","title":"Intune Autopilot Device Preparation"},{"content":" Die Cloud-Computing-Technologie hat die Art und Weise, wie wir Daten speichern, verwalten und verarbeiten, revolutioniert. Mit zunehmender Migration von Workloads in die Cloud wird jedoch das Management und die Überwachung dieser Umgebungen immer komplexer.\nAzure Arc ist eine Lösung, die das Multi-Cloud-Management vereinfacht und es Unternehmen ermöglicht, Resourcen zu verwalten, unabhängig davon, ob sie sich in einem lokalen Rechenzentrum oder in einer Cloud-Umgebung befinden.\nWas ist Azure-Arc? Azure-Arc wurde Oktober 2023 veröffentlicht und ist ein Verwaltungstool, welches ihnen ermöglicht, Azure-Verwaltungsfunktionen auf Maschinen anzuwenden, die nicht in Azure gehostet sind.\nVerwenden Sie den Azure Update Manager um ihre Server zu patchen, ganz gleich ob sie sich On-Premises, in der private Cloud oder in der Azure-Cloud befinden.\nSie wollen ihren SQL Server über Azure verwalten. Azure-Arc hilft ihnen SQL-Dienste in Azure anzubinden.\nZudem werden auch Linux Systeme mitberücksichtigt und können auch verwaltet oder geupdatet werden.\nAzure-Arc vereinheitlicht die Verwaltung von Servern und ermöglicht es ihnen den Werkzeugkasten von Azure auch außerhalb von Azure zu nutzen.\nAzure-Arc kann ihnen helfen die folgenden Infrastruktur Resourcen zu verwalten:\nServer VMWare vSphere SQL Server System Center VMM (SCVMM) Azure-Arc Vorteile Azure-Arc bietet eine super Möglichkeit für Unternehmen, die in die Azure Cloud umziehen wollen. Eine sofortige Migration von allen On-Premises Systemen zu Azure stellt sich in den meisten Fällen ziemlich schwierig bis unmöglich dar. Um schrittweise umzuziehen ist Azure-Arc ein hilfreiches Tool um die Administration von On-Premises Maschinen schnell in der Cloud bereitzustellen.\nNehmen wir hierfür ein Beispiel Scenario. Firma X hat einen Entra ID Tenant und schon einige Server auf denen verschiedene Applikation laufen. Beispielsweise läuft auf einem Server ein Lexware und auf einem anderen ein Monitoring. Die Updates für diese Server laufen automatisch über den Azure Update Manager. Jetzt möchte Firma X den SQL Server, der On-Premises gehostet ist, auch über die Cloud managen. Hier möchte man aber weiterhin den Betrieb On-Premises hosten. Hier findet Azure-Arc seine Anwendung. Der SQL Server kann hierdrüber an die Cloud angebunden werden und das Management, wie zum Beispiel automatische Updates können über den Azure Update Manager erfolgen.\nSobald zum Beispiel ein Server in der Cloud verfügbar ist, kann hier Microsoft Defender für Antivirus aktiviert werden oder Updates können über den Azure Update Manager administriert werden.\nWichtig ist auch noch hervorzuheben, dass Windows Server 2012/R2 über Azure-Arc noch Updates bekommen kann. Hierfür muss jedoch der Server durch einen aktiven Software Assurance Plan abgedeckt sein. (https://learn.microsoft.com/de-de/lifecycle/faq/extended-security-updates) Falls keine Software Assurance vorliegt, muss der Server nach Azure umgezogen werden. Dort bekommt Windows Server 2012/R2 immernoch Updates. Die Bepreisung für die Extended Security Updates sieht wie folgt aus:\nQuelle: https://azure.microsoft.com/de-de/pricing/details/azure-arc/data-services/\nAzure-Arc ermöglicht es Windows oder Linux Maschinen, die außerhalb von Azure gehosted sind, in einer gleichen Weise in Azure zu verwalten wie native Azure Maschinen. Hierfür muss aber ein Agent auf Seiten des Servers installiert werden. Es können sowohl ganze Server als auch einzelne virtuelle Maschinen hinzugefügt werden. Eine Übersicht von den unterstüzten Betriebssystemen findet ihr hier: https://learn.microsoft.com/de-de/azure/azure-arc/servers/prerequisites#supported-environments\nAzure-Arc Preise Kommen wir zu den Kosten von Azure-Arc. Wenn ein Server über Azure-Arc in die Cloud hinzugefügt wird und zum Beispiel der Azure Update Manager genutzt wird, dann kostet das dem Kunden nichts. Die Kernsteuerungsdienste sind in Azure-Arc kostenlos. Darunter fallen:\nOrgansisation über Resourcengruppen und Tags Azure Resource Graph um Daten zu verbildlichen Access-Control für den Rollenbasierten Zugriff (RBAC) Für SQL-Server gibt es die Möglichkeit Lizenzkosten auch über Azure abzuwickeln. Hierfür bietet Azure sogar die Option Pay-as-you-go Lizenzen an, wie man es von anderen Azure Resourcen kennt. Das ist besonders lokrativ für Unternehmen die ihren SQL Server bisher Pro-Monat lizensiert haben. Hier kann nämlich der SQL Server wenn er nur tagsüber verwendet wird nachts abgeschalten werden und es wird Geld gespart.\nFür den Azure Update Manager muss bei Arc-enabled Maschinen ein monatlicher Preis von €4,682 Pro-Server Pro-Monat aufgebracht werden. Hierfür kann aber dann das patchen von den Server komplett automatisiert werden. Hierfür muss nur ein Wartungsfenster festgelegt werden und welche Maschinen geupdatet werden sollen. Danach muss noch ausgewählt werden ob Security Updates, Critical Updates, Feature Packs oder gleich alle Updates gefahren werden sollen und schon werden die Arc-enabled Maschinen regelmäßig geupdatet.\nHinzufügen von On-Premises Servern Um Azure-Arc On-Premises für Systeme zu verwenden muss zu diesen natürlich erst einmal eine Verbindung aufgebaut werden. Hierfür muss nicht eine Vielzahl an Ports geöffnet werden sondern es wird lediglich über den HTTPS-Port (443) bewerkstelligt. Trotzdem benötigt es auf Seiten der On-Premises Maschine noch weitere Einstellungen.\nUnd zwar muss der sogenannte Connected Maschine Agent installiert werden. Zum installieren kann im Azure Portal ein Powershell-Skript heruntergeladen/kopiert werden, welches unter Azure-Arc -\u0026gt; Maschines -\u0026gt; Add/Create generiert werden (s.u.). Über dieses Skript wird auch der Beitritt in Azure-Arc durchgeführt. Nach der Skript Durchführung wird noch eine User Anmeldung abgefragt und der Server ist dann in der jeweiligen Resourcegruppe eingefügt und in Azure sichtbar.\nHäufige Probleme beim hinzufügen von Servern Import-User hat zu wenige Rechte zum onboarden Beim Import von On-Premises Maschinen muss der User der das Onboarding durchführt genug Rechte haben um den Server zu migrieren. Natürlich hat ein Globaladministrator genug Rechte um dies zutun, aber im Idealfall sollte natürlich nach dem Prinzip des Least-Priviledge vorgegangen werden. Vorrallem wenn beim Onboarding kein User sondern ein Service Principle verwendet wird. Die niedrigste Rolle um eine Maschine ist die \u0026ldquo;Azure Connected Machine Onboarding\u0026rdquo; Rolle.\nResource Provider wurden in Subscription nicht registriert Wenn sie bei ausführen des Skriptes auf die Fehlermeldung stoßen: The subscription isn\u0026rsquo;t registered to use namespace \u0026lsquo;Microsoft.HybridCompute\u0026rsquo;. Dann haben sie in ihrer Subscription die nötigen Resource provider noch nicht registriert. Um diese zu aktivieren können sie im Azure Portal unter Subscriptions -\u0026gt; Resource providers die folgenden Resource Provider aktivieren:\nMicrosoft.HybridCompute Microsoft.GuestConfiguration Microsoft.HybridConnectivity Microsoft.AzureArcData (nur für Arc-enabled SQL Server Instanzen) Oberfläche von Azure-Arc Azure-Arc bietet die Möglichkeit unterschiedliche Betriebssysteme zu verwalten, doch wie bilden sich diese in der Azure-Arc Oberfläche ab? Die Oberfläche einer Windows Maschine, die über Azure-Arc angebunden wurde, sieht wie folgt aus.\nAccess control, Security, Policy, Updates, etc. All diese Funktionen stehen zur Verfügung, wie bei einer nativen Azure VM. Über Security können sie zum Beispiel den Secure Score für ihre Maschine sehen und was sie tun können um diesen zu verbessern. Und über Updates können sie regelmäßige Updates konfigurieren um bei Sicherheitsupdates immer auf dem neusten Stand zu sein.\nDie Oberfläche einer Linux Maschine, die über Azure-Arc angebunden wurde, sieht wie folgt aus.\nZusammenfassung Azure-Arc ist eine super Ergänzung zum Azure Portfolio. Es sorgt dafür, dass die hilfreichen Tools die Azure bietet übertragen werden können auf nicht native Azure Resourcen. Somit kann es die Flexibilität von Administratoren verstärken. Und für Administratoren, die sich von vornherein schon viel in der Azure Oberfläche bewegen, bietet es eine Lösung die Verwaltung von On-Premises und Azure Strukturen zu homogenisieren.\n","permalink":"https://m365simple.de/posts/azure-arc/","summary":"Die Cloud-Computing-Technologie hat die Art und Weise, wie wir Daten speichern, verwalten und verarbeiten, revolutioniert. Mit zunehmender Migration von Workloads in die Cloud wird jedoch das Management und die Überwachung dieser Umgebungen immer komplexer.\nAzure Arc ist eine Lösung, die das Multi-Cloud-Management vereinfacht und es Unternehmen ermöglicht, Resourcen zu verwalten, unabhängig davon, ob sie sich in einem lokalen Rechenzentrum oder in einer Cloud-Umgebung befinden.\nWas ist Azure-Arc? Azure-Arc wurde Oktober 2023 veröffentlicht und ist ein Verwaltungstool, welches ihnen ermöglicht, Azure-Verwaltungsfunktionen auf Maschinen anzuwenden, die nicht in Azure gehostet sind.","title":"Was ist Azure-Arc"},{"content":"Einführung in Azure Update Manager In der Welt sich ständig weiterentwickelnder Technologien ist es entscheidend, Software und Systeme auf dem neuesten Stand zu halten. Microsoft Azure bietet mit dem Azure Update Manager eine fortschrittliche Lösung, um das Aktualisierungsmanagement für virtuelle Maschinen in der Cloud und auf On-Premises-Systemen zu erleichtern.\nFür Unternehmen ist es besonders wichtig, ihre Systeme auf dem neuesten Stand zu halten. Der Rückstand bei der Installation von aktuellen Patches stellt eine der Hauptquellen für Sicherheitslücken in Unternehmen dar und erhöht das Risiko von Cyberangriffen. Es ist nicht nur aus sicherheitstechnischer Sicht wichtig, Betriebssysteme auf dem neuesten Stand zu halten, sondern auch, um sicherzustellen, dass der Endbenutzer effektiv arbeiten kann. IT-Administratoren sind für Updates verantwortlich und verbringen Stunden mit dem Aktualisieren von Systemen. Um diesen Prozess zu vereinfachen, bedarf es eines zentralen Systems, in dem Updates überprüft und geplant werden können, ohne ständige manuelle Eingriffe zu erfordern.\nDer Azure Update Manager bietet hierfür eine passende Lösung.\nDemonstration vom Azure Update Manager Grafische Übersicht von Update Status Hier ist zu sehen, dass auf 3 Maschinen Updates ausstehen.\nZudem kann man sehen wie viele Updates insgesamt anstehen. In diesem Fall, 6 Updates insgesamt. Davon 2 Sicherheitsupdates und 4 andere Updates.\nEs können auch Linux Updates durchgeführt werden, jedoch sind hier verständlicherweise nicht alle Distributionen unterstützt. Eine Übersicht über die unterstützen Distributionen findet ihr hier: https://learn.microsoft.com/en-us/azure/update-manager/support-matrix?tabs=azurevm%2Cazurevm-os\nÜbersicht ongeboardeter Maschinen Hier ist zusehen wie viele Updates für welche virtuelle Maschine ausstehen. Übersicht anfallender Updates Die spezifischen Updates die ausstehen können hier eingesehen werden.\nAußerdem wird hier angezeigt ob ein Update einen Neustart benötigen kann oder nicht.\nOne-Time Update Bei dem One-Time Update muss zuerst in dem Reiter \u0026ldquo;Maschines\u0026rdquo; die virtuelle Maschine ausgewählt werden auf der Updates durchgeführt werden sollen. Im nächsten Reiter \u0026ldquo;Updates\u0026rdquo; wird dann angezeigt welche Updates installiert werden. Zudem kann auch noch ausgewählt werden ob eine bestimmte KB mit installiert werden soll oder ausgeschlossen werden soll.\nSchedule Update Es gibt auch die Option Updates regelmäßig zu planen. Wenn ein Unternehmen also am ersten Dienstag in jeden Monat Updates durchführt, kann das einfach über \u0026ldquo;Schedule Update\u0026rdquo; implementiert werden.\nWenn man zudem noch einstellen will, dass nicht jede Art von Update durchgeführt werden soll, sondern nur Sicherheitsupdates und kritische Updates kann das im Reiter \u0026ldquo;Updates\u0026rdquo; unter \u0026ldquo;+ Include update classification\u0026rdquo; eingestellt werden.\nAzure Update Manager und Azure-Arc Enabled Servers Zudem ist es möglich, dass On-Premises Server, die über Azure-Arc in Azure eingebunden sind mithilfe vom Azure Update Manager zu verwalten. Jedoch bezieht Microsoft hierfür extra Gebühren. Laut Microsoft belaufen sich die Kosten Pro Arc-Enabled Server auf $5 (~4,62€) im Monat. (https://learn.microsoft.com/en-us/azure/update-center/update-manager-faq#pricing)\nAblösung von Automation Update Management und Log Analytics Agent Als letzten Punkt gilt es hervorzuheben, dass das Automation Update Management und der Log Analytics Agent ab dem 31.08.2024 eingestellt werden. Diese Services wurden zum Updaten von On-Premises-Servern und Azure-virtuellen-Maschinen genutzt. In Zukunft muss hierfür auf den Azure Update Manager umgestiegen werden.\n","permalink":"https://m365simple.de/posts/azure-update-manager/","summary":"Einführung in Azure Update Manager In der Welt sich ständig weiterentwickelnder Technologien ist es entscheidend, Software und Systeme auf dem neuesten Stand zu halten. Microsoft Azure bietet mit dem Azure Update Manager eine fortschrittliche Lösung, um das Aktualisierungsmanagement für virtuelle Maschinen in der Cloud und auf On-Premises-Systemen zu erleichtern.\nFür Unternehmen ist es besonders wichtig, ihre Systeme auf dem neuesten Stand zu halten. Der Rückstand bei der Installation von aktuellen Patches stellt eine der Hauptquellen für Sicherheitslücken in Unternehmen dar und erhöht das Risiko von Cyberangriffen.","title":"Einführung in Azure Update Manager"},{"content":"Vorausetzungen Intune-Abonnement: Die Remote-Hilfe-Lösung ist in Intune integriert, daher ist ein gültiges Intune-Abonnement erforderlich. Intune-Fernhilfe-Lizenz: Fernhilfe-Zusatzlizenz für alle IT-Supportmitarbeiter (Helfer) und Benutzer. Sie müssen die Fernhilfe-Lizenz den Support-Mitarbeitern und Benutzern zuweisen. Unterstützung für Windows 10/11-Geräte: Nur Windows 10- und Windows 11-Geräte werden für die Fernhilfe unterstützt. Fernhilfe-Anwendung: Die Fernhilfeanwendung ist als Download von Microsoft erhältlich und muss auf jedem Gerät installiert werden, bevor dieses Gerät zur Teilnahme an einer Fernhilfesitzung verwendet werden kann. Berechtigungen für die Verwendung der Fernhilfe Remote-Hilfe einrichten Um Remote-Hilfe für Ihren Mandanten einzurichten, gehen Sie die folgenden Schritte durch. Diese Schritte sind wichtig, um Remote-Hilfe für alle unterstützten Plattformen zu aktivieren.\nAktivieren der Fernhilfe\nMelden Sie sich bei [Microsoft Intune Admin Center] (https://go.microsoft.com/fwlink/?linkid=2109431) an und gehen Sie zu Mandantenverwaltung \u0026gt; Fernhilfe.\nWählen Sie die Registerkarte Einstellungen:\nSetzen Sie Fernhilfe aktivieren auf Aktiviert, um die Verwendung der Fernhilfe zuzulassen. Standardmäßig ist diese Einstellung Deaktiviert. Setzen Sie Fernhilfe für nicht registrierte Geräte zulassen auf Aktiviert, wenn Sie diese Option zulassen möchten. Standardmäßig ist diese Einstellung Deaktiviert. Setzen Sie Chat deaktivieren auf Ja, um die Chat-Funktion in der Fernhilfe-App zu entfernen. Standardmäßig ist der Chat aktiviert und diese Einstellung ist auf Nein gesetzt. Wählen Sie Speichern.\nBenutzerdefinierte Rollen für die Fernhilfe in Intune erstellen Sie können eine benutzerdefinierte Intune-Rolle für Remote-Hilfe-Benutzer mit den folgenden Schritten erstellen:\nMelden Sie sich beim Microsoft Endpoint Manager Admin Center an. Gehen Sie zu Mandantenverwaltung \u0026gt; Rollen. Um eine neue benutzerdefinierte Rolle zu erstellen, wählen Sie Erstellen. Wählen Sie auf der Registerkarte Berechtigungen in der Liste der Berechtigungen die Option Fernhilfe-App. Konfigurieren Sie die folgenden Berechtigungen.\nErhöhen: Ja Bildschirm anzeigen: Ja Volle Kontrolle übernehmen: Ja Bei Bedarf kann auch die unbeaufsichtigte Kontrolle aktiviert werden.\nKlicken Sie auf Weiter.\nWählen Sie im Abschnitt Scope-Tags die Scope-Tags aus. Sie können Bereichs-Tags verwenden, um sicherzustellen, dass die richtigen Admins den richtigen Zugriff und die richtige Sichtbarkeit für die richtigen Intune-Objekte haben. Das Standardbereichs-Tag wird automatisch zu allen nicht markierten Objekten hinzugefügt, die Bereichs-Tags unterstützen. Klicken Sie auf Next.\nÜberprüfen Sie auf der Registerkarte Überprüfen+Erstellen die Berechtigungen und wählen Sie Erstellen. Damit sind die Schritte zum Erstellen benutzerdefinierter Rollen für die Intune-Fernhilfe-App abgeschlossen.\nMit dem gleichen Verfahren wie oben beschrieben können Sie 2 neue Rollen erstellen, Fernhilfe - Erhöhen und Fernhilfe - Bildschirm anzeigen, indem Sie die richtigen Berechtigungen zuweisen.\nBenutzer zu Rollen zuweisen Wählen Sie Zuordnungen \u0026gt; Zuordnen, um Rollenzuordnung hinzufügen zu öffnen.\nGeben Sie auf der Seite Grundlagen einen Zuweisungsnamen und eine optionale Zuweisungsbeschreibung ein, und wählen Sie dann Weiter.\nWählen Sie auf der Seite Admin-Gruppen die Gruppe aus, die den Benutzer enthält, dem Sie die Berechtigungen zuweisen möchten. Wählen Sie Weiter.\nWählen Sie auf der Seite Geltungsbereich (Gruppen) eine Gruppe aus, die die Benutzer/Geräte enthält, die ein Mitglied verwalten darf. Sie können auch alle Benutzer oder alle Geräte auswählen. Wählen Sie Weiter, um fortzufahren.\nWichtig Wenn ein Teilnehmer oder das Gerät eines Teilnehmers nicht in den Geltungsbereich eines Helfers fällt, kann dieser Helfer keine Unterstützung leisten.\nWählen Sie auf der Seite Überprüfen + Erstellen die Option Erstellen, wenn Sie fertig sind. Die neue Zuordnung wird in der Liste der Zuordnungen angezeigt. Download und Installation der Fernhilfe-App Die Fernhilfe-App muss auf jedem Gerät installiert werden, bevor das Gerät zur Teilnahme an einer Fernhilfesitzung verwendet werden kann. Sie können die neueste Version der Fernhilfe direkt von Microsoft unter aka.ms/downloadremotehelp herunterladen. Speichern Sie die Datei RemoteHelpinstaller.exe, und wir werden sie nun installieren.\nUm die Fernhilfe zu installieren, doppelklicken Sie auf die Datei RemoteHelpInstaller.exe. Wählen Sie auf dem Willkommensbildschirm der Fernhilfe die Option Ich akzeptiere die Microsoft-Lizenzbedingungen und klicken Sie auf Installieren.\nStarten Sie eine Remote-Sitzung Öffnen Sie ein Gerät in Intune Klicken Sie auf die drei Punkte und wählen Sie \u0026ldquo;Neue Remoteunterstützungssitzung\u0026rdquo;\nClicken Sie auf \u0026ldquo;Weiter\u0026rdquo;\nAm Client Es öffnet sich ein Fenster, dass ein \u0026ldquo;Administrator\u0026rdquo; helfen möchte\nKlicken Sie auf \u0026ldquo;Remotehilfe öffnen\u0026rdquo; um die Sitzung zu aktivieren.\nIn Intune Klicken Sie im Fenster auf den Link um die Remote Hilfe App zu starten und melden Sie sich dann an der Remote Hilfe App an.\n","permalink":"https://m365simple.de/posts/microsoft-intune-remote-help/","summary":"Vorausetzungen Intune-Abonnement: Die Remote-Hilfe-Lösung ist in Intune integriert, daher ist ein gültiges Intune-Abonnement erforderlich. Intune-Fernhilfe-Lizenz: Fernhilfe-Zusatzlizenz für alle IT-Supportmitarbeiter (Helfer) und Benutzer. Sie müssen die Fernhilfe-Lizenz den Support-Mitarbeitern und Benutzern zuweisen. Unterstützung für Windows 10/11-Geräte: Nur Windows 10- und Windows 11-Geräte werden für die Fernhilfe unterstützt. Fernhilfe-Anwendung: Die Fernhilfeanwendung ist als Download von Microsoft erhältlich und muss auf jedem Gerät installiert werden, bevor dieses Gerät zur Teilnahme an einer Fernhilfesitzung verwendet werden kann.","title":"Microsoft Intune Remote Help"},{"content":"Einführung in die Microsoft Intune Enterprise App-Verwaltung Zu Beginn dieses Jahres kündigte Microsoft die Einführung der Intune Suite an, die Unternehmen dabei unterstützen soll, Drittanbieteranwendungen einfacher zu verpacken, bereitzustellen und zu aktualisieren. Heute freuen wir uns, die Einführung des Microsoft Intune Enterprise Application Management im Februar 2024 bekannt zu geben, das eine wichtige Erweiterung der Intune Suite darstellt.\nEine große Herausforderung für viele Unternehmen besteht darin, ihre Anwendungen auf dem neuesten Stand und sicher zu halten. Ein Microsoft Digital Defense Report betonte, dass 78 Prozent der Geräte neun Monate nach der Entdeckung einer kritischen Sicherheitslücke immer noch nicht gepatcht sind. Die Verzögerung bei der Anwendung von Patches und der Aktualisierung von Anwendungen ist eine der Hauptursachen für Sicherheitslücken, die Unternehmen anfällig für Cyberangriffe machen.\nDas Verwalten von Anwendungen verschiedener Entwickler und das Gewährleisten ihrer Aktualität ist mühsam. IT-Administratoren verbringen Stunden damit, Anwendungen für die Bereitstellung vorzubereiten, um sicherzustellen, dass Endbenutzer effektiv arbeiten können. Unternehmen benötigen eine einfache und effiziente Methode zur Verwaltung ihrer Drittanbieteranwendungen, einschließlich eines einfachen Zugriffs, Erkennung und Bereitstellungssysteme. Diese Herausforderungen erfordern eine umfassende Lösung.\nEnterprise App Management vereinfacht den Lebenszyklus der Anwendungsverwaltung, indem es einen sicheren, vorinstallierten Katalog von Anwendungen bereitstellt. Dies reduziert den Zeit- und Arbeitsaufwand der IT-Administratoren für die Verpackung von Anwendungen und das Verfolgen von Updates. Mit dieser Lösung können IT-Teams effizient Korrekturen für gefährdete Anwendungen bereitstellen und sicherstellen, dass alle Anwendungen über das Intune-Administrationszentrum auf dem neuesten Stand gehalten werden. Die Einführung des neuen Katalogs beginnt mit Windows-Anwendungen.\nOptimierung der App-Verwaltung Dank eines benutzerfreundlichen Zugangs zu einem großen Katalog von Microsoft- und Drittanbieteranwendungen, die verschiedene Sprachpakete und Architekturen unterstützen, können Kunden ihre Auswahl basierend auf ihren individuellen Vorlieben und Anforderungen anpassen. Sobald sie die gewünschte Anwendung auswählen, werden wichtige Details wie Installations- und Deinstallationsbefehle automatisch mit bearbeitbaren Metadaten ausgefüllt.\nBeispiel Hinzufügen einer Enterprise verwalteten App App Informationen Katalog durchsuchen Beispiel 7-Zip Details der App Informationen Reiter Programm Installationsbefehl - Bereits vorausgefüllt Deinstallationsbefehl- Bereits vorausgefüllt Erlaube die Deinstallation - Mit Ja vorbelegt. Vorbereitete Erkennungsregeln ","permalink":"https://m365simple.de/posts/microsoft-intune-enterprise-app-management/","summary":"Einführung in die Microsoft Intune Enterprise App-Verwaltung Zu Beginn dieses Jahres kündigte Microsoft die Einführung der Intune Suite an, die Unternehmen dabei unterstützen soll, Drittanbieteranwendungen einfacher zu verpacken, bereitzustellen und zu aktualisieren. Heute freuen wir uns, die Einführung des Microsoft Intune Enterprise Application Management im Februar 2024 bekannt zu geben, das eine wichtige Erweiterung der Intune Suite darstellt.\nEine große Herausforderung für viele Unternehmen besteht darin, ihre Anwendungen auf dem neuesten Stand und sicher zu halten.","title":"Einführung in die Microsoft Intune Enterprise App-Verwaltung"},{"content":"Nachdem die Benutzeranmeldeinformationen in der Intune AutoPilot-Registrierung validiert wurden, wird die folgende Fehlermeldung angezeigt: invalid_client error failed%20to%20authenticate%20user\nDie detaillierte Fehlermeldung lautet wie folgt:\nEs ist ein Problem aufgetreten. Offenbar kann keine Verbindung mit der URL zu den MDM-Nutzungsbedingungen für Ihre Organisation hergestellt werden. Versuchen Sie es nochmal, oder wenden Sie sich mit den Fehlerinformationen von dieser Seite an Ihren Systemadministrator.\nZusätzliche Fehlerinformationen:\nFehler: invalid_Client Untergeordneter Fehlercode: Beschreibung: failed%20to%20authenticate%20user\nUm dieses Problem zu beheben, sind einige Dinge zu überprüfen.\nStellen Sie sicher, dass das Benutzerkonto über eine Intune-Lizenz verfügt. In meinem Fall fehlte diese, und durch Hinzufügen der Lizenz wurde das Problem behoben. Wenn Sie eine gruppenbasierte Lizenzierung verwenden, stellen Sie sicher, dass die Intune-Lizenz für die Gruppe aktiviert ist. Stellen Sie sicher, dass der MDM-Benutzerbereich in Intune nicht auf \u0026ldquo;Kein\u0026rdquo; gesetzt ist. Wenn eine Gruppe verwendet wird, stellen Sie sicher, dass das Benutzerkonto, bei dem der Fehler auftritt, Teil dieser Gruppe ist. ","permalink":"https://m365simple.de/posts/autopilot-invalid-client/","summary":"Nachdem die Benutzeranmeldeinformationen in der Intune AutoPilot-Registrierung validiert wurden, wird die folgende Fehlermeldung angezeigt: invalid_client error failed%20to%20authenticate%20user\nDie detaillierte Fehlermeldung lautet wie folgt:\nEs ist ein Problem aufgetreten. Offenbar kann keine Verbindung mit der URL zu den MDM-Nutzungsbedingungen für Ihre Organisation hergestellt werden. Versuchen Sie es nochmal, oder wenden Sie sich mit den Fehlerinformationen von dieser Seite an Ihren Systemadministrator.\nZusätzliche Fehlerinformationen:\nFehler: invalid_Client Untergeordneter Fehlercode: Beschreibung: failed%20to%20authenticate%20user\nUm dieses Problem zu beheben, sind einige Dinge zu überprüfen.","title":"Autopilot Anmeldung führt zur Meldung Invalid_client"},{"content":" Achtung Apple Business Manager Benutzer! Wichtige Updates stehen an! Achtung an alle Apple Business Manager Nutzer! Am 24. Oktober 2023 werden wichtige Updates auf Sie zukommen, die Sie auf keinen Fall verpassen sollten.\nAb dem genannten Datum wird Apple aktualisierte Verträge einführen, darunter Änderungen am Apple Business Manager Agreement und am macOS Software License Agreement. Der Haken an der Sache: Solange Ihr Administrator sich nicht angemeldet und diese Aktualisierungen akzeptiert hat, kann Ihr Unternehmen keine neuen Geräte registrieren oder neue Apps bereitstellen.\nWarum die Aufregung Bei diesen Aktualisierungen handelt es sich nicht um die üblichen Änderungen, die man so kennt. Das Apple Business Manager Agreement wird grundlegend überarbeitet, um die Exportkontrolle zu verbessern und die Bedingungen klarer zu gestalten. Es geht um mehr als nur Papierkram; es geht darum, dass Ihre Abläufe reibungslos und konform sind.\nSofortiges Handeln erforderlich Markieren Sie den 24. Oktober in Ihrem Kalender und stellen Sie sicher, dass Ihre Verwaltung bereit ist, Maßnahmen zu ergreifen. Ohne Akzeptanz könnte der Arbeitsablauf in Ihrem Unternehmen vorübergehend zum Stillstand kommen. Lassen Sie sich nicht überrumpeln - behalten Sie die Kontrolle!\nWo Sie sich informieren können\nEine detaillierte Übersicht über die bevorstehenden Änderungen finden Sie im Apple Support Artikel\n","permalink":"https://m365simple.de/posts/apple-business-manager-update-oktober-2023/","summary":"Achtung Apple Business Manager Benutzer! Wichtige Updates stehen an! Achtung an alle Apple Business Manager Nutzer! Am 24. Oktober 2023 werden wichtige Updates auf Sie zukommen, die Sie auf keinen Fall verpassen sollten.\nAb dem genannten Datum wird Apple aktualisierte Verträge einführen, darunter Änderungen am Apple Business Manager Agreement und am macOS Software License Agreement. Der Haken an der Sache: Solange Ihr Administrator sich nicht angemeldet und diese Aktualisierungen akzeptiert hat, kann Ihr Unternehmen keine neuen Geräte registrieren oder neue Apps bereitstellen.","title":"Apple Business Manager Update"},{"content":"","permalink":"https://m365simple.de/posts/apple-business-manager-update/","summary":"","title":"Apple Business Manager Update"},{"content":"Microsoft wird ab heute beginnend, die MFA Registration campaign vom Status Microsoft managed auf den Status Enabled für M365-Tenants abzuändern. Diese Änderung wird laut Microsoft in einem Zeitraum innerhalb der nächsten 6 Wochen durchgeführt.\nDazu wurden betroffene Tenants über eine entsprechende Benachrichtigung informiert.\nTenant Default Die Standard-Einstellung im Tenant für die MFA Registration campaign ist Microsoft managed. Das bedeutet, dass Microsoft über die Aktivierung der jeweiligen Einstellung entscheidet. Impact Diese Änderung betrifft alle Tenants, dessen Anwender für Multifaktor Authentifizierung die veralteten Authentifizierungsformen SMS und Voice nutzen und nicht den Microsoft Authenticator registriert haben. Diese Anwender werden mit der o.g. Änderung dazu aufgefordert, den Microsoft Authenticator einzurichten.\nIn der Regel können Anwender die Registrierung bis zu 14 Tage hinauszögern.\nAuswertung der Authentifizierungsformen Das Azure AD bietet die Möglichkeit die derzeit registrierten Authentifizierungsformen der Anwender auszuwerten. Die Gesamtübersicht ist hier zu finden: https://portal.azure.com/#view/Microsoft_AAD_IAM/AuthenticationMethodsMenuBlade/~/AuthMethodsActivity\nHierzu sind besonders die Aktivitäten zu Mobile und Office phone relevant bzw. von dieser Änderung betroffen.\nFür eine granulare Filterung der aktuell genutzten Authentifizierungsmethoden bietet Microsoft die User registration details an, wo entsprechende Filtermöglichkeiten zur Verfügung stehen.\nLink: Authentication methods - Microsoft Azure\nVerschieben des Rollout Kunden, die Ihre Anwender auf diese Veränderung noch vorbereiten müssen, können die Aktivierung dieser Einstellung (noch) abwenden.\nDazu wird im Azure Portal unter Authentication methods - Microsoft Azure die Einstellung für den State auf den Wert Disabled gesetzt. Empfehlung Veraltete Authentifizierungsformen für MFA wie SMS oder Voice sollten kurzfristig abgeschaltet werden, da diese nicht mehr den aktuellen Sicherheitsanforderungen entsprechen. Die Nutzung der MS Authenticator App ist für Anwender ratsam. Als eine noch sicherere Authentifizierungsform für MFA werden sog. FIDO2 Keys empfohlen.\nDiese Security Keys könnte vor allem für Anwender interessant sein, welche kein Company Smartphone besitzen bzw. das private Endgerät nicht für geschäftliche Zwecke nutzen möchten.\nWeitere Quellen https://learn.microsoft.com/en-us/azure/active-directory/authentication/how-to-mfa-registration-campaign\n","permalink":"https://m365simple.de/posts/entraid-mfaregistrationcampaign/","summary":"Microsoft wird ab heute beginnend, die MFA Registration campaign vom Status Microsoft managed auf den Status Enabled für M365-Tenants abzuändern. Diese Änderung wird laut Microsoft in einem Zeitraum innerhalb der nächsten 6 Wochen durchgeführt.\nDazu wurden betroffene Tenants über eine entsprechende Benachrichtigung informiert.\nTenant Default Die Standard-Einstellung im Tenant für die MFA Registration campaign ist Microsoft managed. Das bedeutet, dass Microsoft über die Aktivierung der jeweiligen Einstellung entscheidet. Impact Diese Änderung betrifft alle Tenants, dessen Anwender für Multifaktor Authentifizierung die veralteten Authentifizierungsformen SMS und Voice nutzen und nicht den Microsoft Authenticator registriert haben.","title":"Entra ID - MFA Registration campaign"},{"content":"Dieser Artikel behandelt das Monitoring von Zugriffen von Emergency Accounts im Microsoft Entra ID mittels Microsoft Sentinel. Die hier besschriebene Funktion bildet nur einen kleinen Teil von Microsoft Sentinel ab.\nWas sind Emergency Accounts? Emergency-, Notfall-, oder auch Break-Glass-Accounts, sind privilegierte Entra ID Accounts die einen Notfallzugriff auf einen Azure bzw. M365 Tenant ermöglichen. Ein solcher Zugriff ist notwendig, sollte der eigene Admin Account gesperrt sein. Dies kann unterschiedliche Gründe haben, wie den Verlust einer MFA Methode, oder eine falsch konfigurierte Conditional Access Policy.\nEmergency Accounts sollten folgende Charakteristika aufweisen:\nAnmeldedomäne gleich Tenantdomäne (@tenantname.onmicrosoft.com). Federated- oder Custom Domains eignen sich nicht Zufällig generierter Name z.B. 4bl7uikGQaX@tenantname.onmicrosoft.com Langes, komplexes Passwort Zugangsdaten werden gesichert aufbewahrt Von MFA ausgenommen, oder mit Hardware Token abgesichert Von CA Policies ausgenommen Was ist Microsoft Sentinel Bei Microsoft Sentinel handelt es sich um eine cloudnative SIEM-Lösung mit intelligenten KI-gestützten Sicherheitsanalysen. Sentinel dient als zentraler Hub für Sicherheitsrelevante Logs und deren automatisierte Auswertung. Neben der Benachrichtigung können bei Erkennung von Gefahren auch Aktionen, wie das Sperren eines Accounts durchgeführt werden. Microsoft Sentinel wird nach der Menge der analysierten Logs in GB pro Tag abgerechnet. Microsoft 365 E5-, A5-, F5- und G5- sowie Microsoft 365 E5-, A5-, F5- und G5 Security-Kunden erhalten zudem 5 MB pro User/Tag Analyse. Zusätzlich zu dieser Datengutschrift sind die folgenden Microsoft 365-Datenquellen für alle Microsoft Sentinel-Benutzer dauerhaft kostenlos:\nAzure-Aktivitätsprotokolle Office 365-Überwachungsprotokolle (alle SharePoint-Aktivitäten und Exchange-Administratoraktivitäten) Warnungen von Microsoft Defender for Cloud, Microsoft 365 Defender, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Endpoint und Microsoft Defender for Cloud Apps Es empfiehlt sich vor Einsatz die aktuellen Preislisten zu überprüfen.\nVoraussetzungen Microsoft Azure Subscription Microsoft Sentinel und Log Analytics Workspace Entra ID P1 oder P2 Lizenz Emergency Account Object ID Microsoft Sentinel Setup Öffne Sentinel im Azure Portal https://portal.azure.com Erstelle Microsoft Sentinel Erstelle einen Log Analytics Workspace, wenn nicht vorhanden Füge Microsoft Sentinel dem Log Analytics Workspace hinzu Microsoft Sentinel ist nun verfügbar Konfiguration der Connectoren Für das Monitoring von Anmeldungen müssen nun die Login- und Audit Logs zu Sentinel übertragen werden\nMicrosoft Sentinel \u0026gt; Content Hub \u0026gt; Azure Active Directory \u0026gt; Install Connector konfigurieren: Microsoft Sentinel \u0026gt; Data Connectors \u0026gt; Azure Active Directory \u0026gt; Open Connector Page Sign-In Logs und Audit Logs auswählen Erstellen der Analytics Rule Microsoft Sentinel \u0026gt; Analytics \u0026gt; Create \u0026gt; NRT query rule NRT steht dabei für Near Real Time, und sorgt für eine zeitnahne Benachtichtigung bei einer Login-Aktivität\nName vergeben\nAnalytics Rule einstellen\n1 2 3 4 5 6 SigninLogs | project UserId, UserPrincipalName, Location, SourceSystem, TimeGenerated, IPAddress | where UserId == \u0026#39;\u0026lt;Ermergency Account Object ID\u0026gt;\u0026#39; | extend AccountCustomEntity = UserPrincipalName | extend IPCustomEntity = IPAddress | extend HostCustomEntity = SourceSystem Zusätzliche Informationen wie UPN, IP, etc. für den Incident mit \u0026ldquo;Entity mapping\u0026rdquo; bereitstellen Konfiguration der Benachrichtigung Sentinel kann auch über Incidents informieren, sowie bei Incidents Aktionen triggern. Für die Benachrichtigung ist es eforderlich ein Playbook sowie eine Automation Rule, die das Runbook antriggert, zu erstellen. Beide Konfigurationen können direkt aus Sentinel durchgeführt werden.\nPlaybook Microsoft Sentinel \u0026gt; Automation \u0026gt; Active Playbooks \u0026gt; Create \u0026gt; Playbook with incident trigger Namen, Subscription, Recource Group und Region einstellen Benachrichtigung mit dem Playbook Designer erstellen und speichern Automation Rule erstellen Microsoft Sentinel \u0026gt; Automation \u0026gt; Automation Rule \u0026gt; Create \u0026gt; Automation Rule\nName festlegen, Berechtigung vergeben\nRunbook auswählen Fertig :) Incident Alert testen Zum Testen der Konfiguration kann man sich mit dem Account aus der Analytic Rule anmelden, oder dort einen Testaccount hinterlegen. Wenn alles funktioniert sieht das Ergebnis wie folgt aus, und es sollte eine E-Mail Notification gesendet worden sein.\nWeitere Quellen https://learn.microsoft.com/de-de/azure/sentinel/overview https://azure.microsoft.com/de-de/pricing/offers/sentinel-microsoft-365-offer/\n","permalink":"https://m365simple.de/posts/sentinel-breakglass-monitoring/","summary":"Dieser Artikel behandelt das Monitoring von Zugriffen von Emergency Accounts im Microsoft Entra ID mittels Microsoft Sentinel. Die hier besschriebene Funktion bildet nur einen kleinen Teil von Microsoft Sentinel ab.\nWas sind Emergency Accounts? Emergency-, Notfall-, oder auch Break-Glass-Accounts, sind privilegierte Entra ID Accounts die einen Notfallzugriff auf einen Azure bzw. M365 Tenant ermöglichen. Ein solcher Zugriff ist notwendig, sollte der eigene Admin Account gesperrt sein. Dies kann unterschiedliche Gründe haben, wie den Verlust einer MFA Methode, oder eine falsch konfigurierte Conditional Access Policy.","title":"Microsoft Sentinel: Entra ID Emergency Account Monitoring"},{"content":"Aktualisierung der Office 365 und Microsoft 365-Lizenzen Microsoft hat offiziell bekannt gegeben, dass ab dem 1. Oktober 2023 Teams nicht länger standardmäßig in den Microsoft 365 (E3, E5) und Office 365 (E1, E3, E5) Abonnements im Europäischen Wirtschaftsraum und der Schweiz enthalten sein wird. Diese Entscheidung erfolgt im Vorgriff auf eine erwartete Entscheidung der Europäischen Kommission.\nEs ist anzunehmen, dass Microsoft diese Änderung nicht gänzlich freiwillig vorgenommen hat. Mit dem 1. Oktober werden die Preise für Microsoft 365- und Office 365-Abonnements um 2 Euro pro Monat (24 Euro pro Jahr) reduziert.\nMicrosoft äußerte sich wie folgt zu dieser Änderung\nFür neue Unternehmenskunden wird Teams weiterhin separat zum Listenpreis von 5 Euro pro Monat oder 60 Euro pro Jahr erhältlich sein. Bestehende Unternehmenskunden, die bereits eine Suite mit Teams haben, können entweder ihre aktuelle Produktivitätssuite behalten oder zu einer Suite ohne Teams wechseln. Für kleine Unternehmen und Außendienstmitarbeiter bieten wir weiterhin Suiten mit Teams an, aber gleichzeitig auch eine Option ohne Teams zu einem niedrigeren Preis.\u0026quot;\nDies ist jedoch nicht die einzige Änderung in Vorbereitung. Aktuell wird in der Dev-Insider-Version getestet, die Verknüpfung von MS-Links in Widgets und ähnlichen Funktionen zu entfernen, sodass diese Links stattdessen im standardmäßigen Webbrowser geöffnet werden. Diese Anpassung erfolgt ebenfalls im Rahmen der Anforderungen der Europäischen Kommission im Europäischen Wirtschaftsraum (EWR). Unternehmen müssen jedoch eine App im Microsoft Store bereitstellen, um diese Art von Links offiziell zu unterstützen, ähnlich wie ein \u0026ldquo;offizielles\u0026rdquo; MSEdgeRedirect für diese Link-Typen.\n","permalink":"https://m365simple.de/posts/office-without-teams/","summary":"Aktualisierung der Office 365 und Microsoft 365-Lizenzen Microsoft hat offiziell bekannt gegeben, dass ab dem 1. Oktober 2023 Teams nicht länger standardmäßig in den Microsoft 365 (E3, E5) und Office 365 (E1, E3, E5) Abonnements im Europäischen Wirtschaftsraum und der Schweiz enthalten sein wird. Diese Entscheidung erfolgt im Vorgriff auf eine erwartete Entscheidung der Europäischen Kommission.\nEs ist anzunehmen, dass Microsoft diese Änderung nicht gänzlich freiwillig vorgenommen hat. Mit dem 1.","title":"Office without Teams"},{"content":"Allgemein Bei einem unserem Kunden hatten wir die Problematik, dass Gastuser in einer B2B-Kollaboration nicht auf Dateien in Shared Channels zugreifen konnten. Unter dem Tab Dateien waren diese nicht sichtbar, es wurde folgende Meldung angezeigt:\nDie Fehlermeldung war Client und OS unabhängig, auch in der Teams Webapp trat der Fehler auf.\nTicket bei Microsoft eröffnet Nach langem hin und her mit dem First-Level wurde die Problematik an den 3rd Level Support weitergegeben.\nLösung: Ursache des Problems waren die Sharepoint Berechtigungen\nDie Vererbung der Berechtigungen wurde über den SharePoint einmal zurückgesetzt. Dafür müssen folgende Schritte durchgeführt werden:\nZum SharePoint Admin Center wechseln\nDie SharePoint Seite des betroffenen Channels öffnen\nIn den Site-Content wechseln\nAuf die drei Punkte der Documents klicken und auf Settings wechseln\nNun auf die Library Permission klicken\nStop Inheriting Permissions anklicken\nUser aus Teams Channel entfernen, warten und wieder hinzufügen.\n","permalink":"https://m365simple.de/posts/teams_shared_channels-sd/","summary":"Allgemein Bei einem unserem Kunden hatten wir die Problematik, dass Gastuser in einer B2B-Kollaboration nicht auf Dateien in Shared Channels zugreifen konnten. Unter dem Tab Dateien waren diese nicht sichtbar, es wurde folgende Meldung angezeigt:\nDie Fehlermeldung war Client und OS unabhängig, auch in der Teams Webapp trat der Fehler auf.\nTicket bei Microsoft eröffnet Nach langem hin und her mit dem First-Level wurde die Problematik an den 3rd Level Support weitergegeben.","title":"Dateien Teilen in Shared Teams Channels"},{"content":"Die Intune Enrollment Application befindet sich normalerweise unter Azure Active Directory \u0026gt; Mobility (MDM and MAM)\nWas ist der Unterschied zwischen den beiden Apps? Microsoft Intune: Dies repräsentiert Intune als Ganzes (und Ihr Windows Intune-Abonnement), und der Großteil der Konfiguration erfolgt in dieser Anwendung Microsoft Intune-Enrollment: Dies stellt nur die Intune-Registrierung als Sicherheitsprinzipal in AAD dar. Alle benutzerbasierten Anmeldungen in Intune werden gezwungen, sich gegen \u0026ldquo;Microsoft Intune Enrollment\u0026rdquo; zu authentifizieren. Wenn der Administrator AAD-CA-Richtlinien (z. B. 2FA) konfigurieren möchte, die nur für die Anmeldung gelten, sollten sie hier vorgenommen werden. Siehe https://docs.microsoft.com/en-us/intune/multi-factor-authentication für weitere Informationen zu diesem Thema. Aber in einigen Tenants war die App Microsoft Intune Enrollment nicht vorhanden.\nDiese muss aber oft als Ausnahme in Conditional Access Regeln hinterlegt werden.\nWie bekommt man diese App nun in den Tenant? Dies kann man mit zwei einfachen PowerShell Befehlen durchführen\n1 2 3 4 ## Create the App Connect-AzureAD -AccountId xxx@xxx..onmicrosoft.com New-AzureADServicePrincipal -AppId d4ebce55-015a-49b5-a083-c84d1797ae8c Nach Eingabe der Befehle ist die App auch unter Azure Active Directory \u0026gt; Mobility (MDM and MAM) sichtbar.\n","permalink":"https://m365simple.de/posts/intuneenrollmentapp-missing/","summary":"Die Intune Enrollment Application befindet sich normalerweise unter Azure Active Directory \u0026gt; Mobility (MDM and MAM)\nWas ist der Unterschied zwischen den beiden Apps? Microsoft Intune: Dies repräsentiert Intune als Ganzes (und Ihr Windows Intune-Abonnement), und der Großteil der Konfiguration erfolgt in dieser Anwendung Microsoft Intune-Enrollment: Dies stellt nur die Intune-Registrierung als Sicherheitsprinzipal in AAD dar. Alle benutzerbasierten Anmeldungen in Intune werden gezwungen, sich gegen \u0026ldquo;Microsoft Intune Enrollment\u0026rdquo; zu authentifizieren. Wenn der Administrator AAD-CA-Richtlinien (z.","title":"Intune Enrollment App ist nicht vorhanden"},{"content":"Details zu den Kosten Vor kurzem veröffentlichte Microsoft die Kosten für den lang ersehnten Copiloten. Mit stolzen 30 Dollar pro User im Monat will Microsoft die hauseigenen Kassen klingeln lassen. Diese Summe erscheint vielen unserer Kunden als zu hoch. Auch uns überraschen die Mehrkosten. So hätten wir uns gewünscht, dass Microsoft die neuen Funktionen flächendeckend ausrollen will und in diesem Kontext einen niedrigeren Preis wählt. Hier fehlt aber anscheinend der Wettbewerb, womit Microsoft die bestehende Monopolstellung vollends auskosten kann.\nNeben der Preisindikation hat Microsoft veröffentlicht, dass man für den Copiloten bereits eine E3, E5, Business Standard oder Business Premium Lizenz besitzen muss, um diesen zu nutzen.\nUnter diesen Rahmen bleibt und also nur die Frage, ob sich der Copilot preislich lohnt?\nDahinter verbirgt sich die Frage, wie sich die Produktivität im Allgemeinen messen lässt? Und natürlich auch, wie wir in Zukunft allgemein arbeiten werden?\nNehmen wir an, dass ich als Berater den Copiloten einsetze. So wird meine Zeit, die ich aufwende, um Konzepte und Dokumentationen zu verfassen, drastisch reduziert, indem ich durch den Copiloten auf unseren vorhandenen Wissensspeicher zugreifen kann. Außerdem kann ich die mir zur Verfügung gestellten Excel Dateien der Kunden mit einem Klick auswerten lassen und ebenfalls direkt als Grafik in eine Powerpoint einbauen. Zuletzt verspricht Microsoft die Möglichkeit automatisch auf Mails zu antworten und mir diese zusammenzufassen. Alles in dem Stil meines persönlichen Sprachgebrauches.\nDiese Fähigkeiten lassen mich derzeit annehmen, dass ich einen signifikanten Teil meiner Arbeitszeit künftig dazu nutze, neue Technologien zu erlernen, womit sich die Investition von 30 Dollar für mich lohnt. Auch gehe ich derzeit davon aus, dass wir unsere Leistungen so optimieren können, dass unsere Kunden zukünftig auf ein breiteres und tiefergehendes Portfolio freuen können.\nMeine persönliche Betrachtung lässt sich auch auf unsere Kunden beziehen. So können viele der uns bekannten Prozesse durch den Copiloten unterstützt werden. Dies setzt jedoch voraus, dass zuvor diese Prozesse und damit betroffenen Arbeitsbereiche identifiziert werden.\nAuswahl der geeigneten Copilot User Generell ist davon auszugehen, dass sich Copilot am besten für diejenigen Nutzenden eignet, die ohnehin viele Daten in OneDrive, SharePoint, Exchange Online und Teams besitzen und nutzen. Diese Informationen kann Copilot über die Graph-API beziehen, um auf die gestellten Prompts zu antworten und in der Weiterverarbeitung zu nutzen. So werden all diejenigen User entlastet, die klassische Verwaltungsarbeit leisten.\nNeben dieser Auswahl muss jedoch auch das gesamte Unternehmen der Arbeit mit Copilot offen gegenüberstehen. So werden in nächster Zeit viele Betriebsräte mit der Frage konfrontiert werden, ob der Einsatz des Copiloten Arbeitsplätze gefährdet und wie mit der freigewordenen Zeit umgegangen werden soll. Je nach Ausgangssituation (verändernde Branche, Wettbewerbssituation, Fachkräftemangel, usw.) wird diese Entscheidung anders ausfallen.\nAuch in den IT-Abteilungen wird die Einführung des Copiloten einige Debatten entfachen. So ist davon auszugehen, dass Menschen keine Copilot-Lizenz zugewiesen wird, obwohl sie eine haben wollen (oder meinen, dass sie eine haben sollten). Die Zuweisung von Lizenzen auf der Basis eines \u0026ldquo;Wunsches\u0026rdquo; und nicht eines nachgewiesenen Bedarfs kann dabei durchaus zu einer Mehrausgabe für Lizenzen führen.\nEine Veränderung ist nicht zu vermeiden Eins steht fest: Der Copilot wird kommen und er wird das heutige Arbeiten auf den Kopf stellen. So sehe ich jetzt schon, wie die Menschen E-Mails verfassen werden und diese durch den Copiloten ergänzen zu lassen, damit die Empfänger dieser Mails diese durch den Copiloten zusammenfassen lassen, um die Antworten dann wieder auszuschmücken. Wie das im Gesamten unsere Arbeitswelt ändern wird, kann ich zur Zeit nicht beantworten, ich bin aber gespannt auf die Veränderungen und bleibe weiter am Ball.\n","permalink":"https://m365simple.de/posts/copilot-lizenzkosten/","summary":"Details zu den Kosten Vor kurzem veröffentlichte Microsoft die Kosten für den lang ersehnten Copiloten. Mit stolzen 30 Dollar pro User im Monat will Microsoft die hauseigenen Kassen klingeln lassen. Diese Summe erscheint vielen unserer Kunden als zu hoch. Auch uns überraschen die Mehrkosten. So hätten wir uns gewünscht, dass Microsoft die neuen Funktionen flächendeckend ausrollen will und in diesem Kontext einen niedrigeren Preis wählt. Hier fehlt aber anscheinend der Wettbewerb, womit Microsoft die bestehende Monopolstellung vollends auskosten kann.","title":"Microsoft veröffentlicht Lizenzkosten zum Copilot"},{"content":"Erste Schritte mit MAM für Microsoft Edge for Business unter Windows Hinweis: Die Funktion ist aktuell noch in einer Preview und nicht für den produktiven Einsatz vorgesehen.\nMicrosoft gibt bekannt, dass MAM für Microsoft Edge for Business unter Windows in einer öffentlichen Vorschau für Unternehmen verfügbar ist. Kunden können an der öffentlichen Vorschau teilnehmen, indem sie sich auf dieser Seite anmelden. Beachten Sie jedoch, dass IT-Administratoren möglicherweise bis zu 10 Werktage warten müssen, um Zugang zu dieser Funktionalität in ihren Tenants zu erhalten.\nWas ist MAM? MAM ist ein Mobile Application Management; es verwaltet die auf den Geräten gespeicherten Anwendungen. Mobile Application Management beschreibt die Software; sie bietet IT-Administratoren eine granularere Möglichkeit, Unternehmensdaten zu kontrollieren und zu sichern, was in jeder mobilen Strategie wichtig ist, insbesondere bei Bring-your-own-device (BYOD)-Programmen.\nErstellen einer Appschutz Richtlinie\nData Protection (Datenschutz)\nHealth Checks (Integritätsprüfungen)\nAssign Group\nEs gibt zwei Kategorien von Richtlinieneinstellungen: Datenschutz und Integritätsprüfungen. In diesem Artikel bezieht sich der Begriff Richtlinienverwaltete App auf Apps, die mit App-Schutzrichtlinien konfiguriert sind.\nDatenschutz Die Datenschutzeinstellungen wirken sich auf die Organisationsdaten und den Kontext aus. Als Administrator können Sie die Verschiebung von Daten in und aus dem Kontext des Organisationsschutzes steuern. Der Organisationskontext wird durch Dokumente, Dienste und Websites definiert, auf die über das angegebene Organisationskonto zugegriffen wird. Die folgenden Richtlinieneinstellungen helfen beim Steuern externer Daten, die in den Organisationskontext empfangen werden, und Organisationsdaten, die aus dem Organisationskontext gesendet werden.\nFunktionalität Integritätsprüfungen Legen Sie die Integritätsprüfungsbedingungen für Ihre App-Schutzrichtlinie fest. Wählen Sie eine Einstellung aus, und geben Sie den Wert ein, den Benutzer für den Zugriff auf Ihre Organisationsdaten erfüllen müssen. Wählen Sie dann die Aktion aus, die Sie ausführen möchten, wenn Benutzer Ihre Bedingungen nicht erfüllen. In einigen Fällen können mehrere Aktionen für eine einzelne Einstellung konfiguriert werden. Weitere Informationen finden Sie unter Integritätsprüfungsaktionen.\nApp-Bedingungen Konfigurieren Sie die folgenden Integritätsprüfungseinstellungen, um die Anwendungskonfiguration zu überprüfen, bevor Sie den Zugriff auf Organisationskonten und -daten zulassen.\nGerätebedingungen Konfigurieren Sie die folgenden Integritätsprüfungseinstellungen, um die Gerätekonfiguration zu überprüfen, bevor Sie den Zugriff auf Organisationskonten und -daten zulassen. Ähnliche gerätebasierte Einstellungen können für registrierte Geräte konfiguriert werden. Erfahren Sie mehr über das Konfigurieren von Gerätekonformitätseinstellungen für registrierte Geräte.\n[Aktivieren des Mobile Threat Defense-Connector in Intune für nicht registrierte Geräte](Aktivieren des Mobile Threat Defense-Connector für nicht registrierte Geräte - Microsoft Intune | Microsoft Learn\nConditional Access Anlage einer Conditional Acces Regel, die eine Appschutzrichtlinie voraussetzt, wenn über Windows und dem Edge-Browser zugegriffen werden soll.\nAnmeldung mit nicht unterstütztem Browser (z.B. Chrome) Die Unterstützung für MAM muss im Edge (Developer oder Canary-Zweig) aktiviert werden Fehler beim Anmeldeprozess Wenn diese Meldung erscheint:\nDann bitte die Logfiles prüfen, in meinem Fall war das Gerät bereits einem MDM zugeordnet.\nCheck the logfiles: MAM Log: collect logs from “%LOCALAPPDATA%\\Microsoft\\ Edge \u0026lt;channel; Canary=SxS\u0026gt;\\User Data\\MamLog.txt” Fehlermeldung:\n1 MAM enrollment for User ID xxxxxx-xxxxxx-xxxxxxxxx is blockedbecause the device is enrolled to MDM. All other MAM enrollments will be removed. Prüfe Einstellungen \u0026raquo; Konten \u0026raquo; Auf Arbeits- oder Schulkonto zugreifen ob das Gerät nicht schon einem Tenant zugeordnet wurde.\nSo sollte es aussehen Das Gerät ist ins AAD gejoined und bekommt eine Appschutzrichtlinie. Das Kopieren aus der App ist in diesem Beispiel nicht erlaubt!\nEs wird sicher nicht mehr lange dauern, bis die Funktion offiziell publiziert wird! Bis daher ist zu beachten, dass es eine reine Preview ist!\n","permalink":"https://m365simple.de/posts/windows-mam-preview/","summary":"Erste Schritte mit MAM für Microsoft Edge for Business unter Windows Hinweis: Die Funktion ist aktuell noch in einer Preview und nicht für den produktiven Einsatz vorgesehen.\nMicrosoft gibt bekannt, dass MAM für Microsoft Edge for Business unter Windows in einer öffentlichen Vorschau für Unternehmen verfügbar ist. Kunden können an der öffentlichen Vorschau teilnehmen, indem sie sich auf dieser Seite anmelden. Beachten Sie jedoch, dass IT-Administratoren möglicherweise bis zu 10 Werktage warten müssen, um Zugang zu dieser Funktionalität in ihren Tenants zu erhalten.","title":"PREVIEW - Windows MAM"},{"content":"Hintergrund Für einige Berechtigungen ist es hilfreich diese an die Mitgliedschaft in bestimmten Gruppen zu binden. Leider sind nicht alle Berechtigungen an eine Gruppe zu binden. Das bezieht sich zum Beispiel auf zugelassene Exchange Protokolle. Es könnte also sinnvoll sein eine AzureAD Gruppe zu verwenden dessen Mitglieder automatisch für die Nutzung von SMTP oder die Nutzung von IMAP/POP3 aktiviert werden ohne, dass man manuell in die Exchange Administration eintauchen muss. Diese Gruppe kann zum Beispiel auch aus dem OnPrem AD synchronisiert werden. Somit kann man dort auch direkt die Protokolle für einen Nutzer administrieren.\nAusblick Es sind auch noch weitere Use-Cases denkbar so zum Beispiel die auomatische Verwaltung von delegierten Berechtigungen auf Shared Mailboxen. Wenn es für jede Shared Mailbox eine korrespondierende AzureAD Gruppe mit Self-Servie Group Membership Administration geben würde könnte man die Verwaltung der Zugriffe auf eine Shared Mailbox in die Hände des Owners dieser AzureAD Gruppe legen. Außerdem könnte man diese Berechtigungen durch die Access Review Funktion regemäßig prüfen.\nVoraussetzungen Um eine Automatiserung der Exchange Administration vorzunehmen gibt es verschiedene Wege. Dieser Artikel beschäftigt sich mit der Automatisierung durch die Nutzung von Azure Automate. Die Vorteile sind, dass man keine eigene Infrastruktur für das Ausführen von Runbooks betreiben muss und die übliche Azure Infrastruktur für das Monitoring verwenden kann. Weiterhin kann man innerhalb von Azure Automate sowohl OnPremise Runbooks als auch Runbooks die Online laufen sollen gemeinsam verwalten. Gegenüber den klassichen geplanten Tasks auf einem Service bietet Azure Automate außerdem den Vorteil die Protokoller aller Ausführungen einfach einzusehen. Ein weiterer Aspekt ist die Authentifierung von Zugriff des Skripts welches Dinge automatisieren soll auf die Resourcen die zur Anpassung von Konfigurationen erforderlich sind. Dies lässt sich OnPremise durch ein Zertifikat und ein Service Principal im AzureAD lösen. Im Fall von Azure Automate ist diese Identität durch Microsoft verwaltet. Ihr können direkt Berechtigungen die notwendig sind zugewiesen werden.\nAzure Automate Zunächst muss eine neue Azure Automate Instanz erstellt werden. Bei der Erstellung der Instanz wählen wir aus, dass eine System Assigned Identity verwendet werden soll. Diese werden wir später mit den notwendigen Berechtigungen ausstatten um Exchange Online Konfigurationen durchzuführen.\nBerechtigungen Die Zuweisung der notwendigen Berechtigungen geht nur teilweise per GUI. Die Zuweisung der API Berechtigungen lassen sich nur per Graph API erledigen. Um hier nicht zu viele Wege zu vermischen ist nachfolgend sowohl die Einrichtung der API-Berechtigungen als auch die Zuweisung der Azure AD Rolle per Graph API beschrieben.\nFür einen einfachen Zugang zur Graph API bietet sich das Powershell Modul an. Wir gehen an dieser Stelle davon aus, dass dies bereits auf dem System installiert ist. Im ersten Schritt verbinden wir uns mit dem Graph API. Hier werden direkt die notwendigen Scopes angefragt. In diesem Fall möchten wir die folgenden Konfigurationen vornehmen:\nZuweisung einer Approlle zu einem ServicePrincipal (Application.ReadWrite.All) Auslesen der vorhanden Azure AD Rollen (Directory.Read.All) Zuweisen der Exchange Administrator Rolle (RoleManagement.ReadWrite.Directory) Zuweisen der Graph Rolle (AppRoleAssignment.ReadWrite.All) Mit dem nachfolgenden Befehl erfolgt die Anmeldung mit den notwendigen Berechtigungen:\n1 Connect-MgGraph -Scopes Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,Directory.Read.All,RoleManagement.ReadWrite.Directory Zuweisung der API-Berechtigungen EXO Um der Identitiät unter der die Runbooks der Azure Automate Instanz laufen Berechtigungen zuzuweisen benöitgen wir zunächst deren Id. Diese lässt sich mit dem nachfolgenden Befehl abrufen. Dort ist der Name der Azure Automate Instanz einzutragen.\n1 2 $ServicePrincipal = Get-MgServicePrincipal -All -Filter \u0026#34;DisplayName eq \u0026#39;\u0026lt;AzureAutomationInstanzName\u0026gt;\u0026#39;\u0026#34; Write-Output \u0026#34;$($ServicePrincipal.DisplayName) has Id: $($ServicePrincipal.Id)\u0026#34; Mögliche Berechtiungen sind Rollen auf einer spezfisichen App die ebenfall im AzureAD als solche registriert ist. In unserem Fall geht es um die Exchange Online API. Diese ist unter dem Namen \u0026ldquo;Office 365 Exchange Online\u0026rdquo; zu finden. Der nachfolgende Befehl gibt deren Id aus:\n1 2 $EXOServicePrincipal = Get-MgServicePrincipal -Filter \u0026#34;displayName eq \u0026#39;Office 365 Exchange Online\u0026#39;\u0026#34; Write-Output \u0026#34;$($EXOServicePrincipal.DisplayName) has Id: $($EXOServicePrincipal.Id)\u0026#34; Eine Anwendung kann mehr als eine Rolle zur Nutzung bereitstellen. In unserem Fall möchten wir unserer Runbook Identität die \u0026ldquo;Exchange.ManageAsApp\u0026rdquo; Berechtigun erteilen und wir interessieren uns für deren Id. Mit dem folgenden Befehl wird die Id ausgegeben:\n1 2 $Approle = $EXOServicePrincipal.AppRoles.Where({$_.Value -eq \u0026#39;Exchange.ManageAsApp\u0026#39;}) Write-Output \u0026#34;$($Approle.DisplayName) has Id: $($Approle.Id)\u0026#34; Mit allen notwendigen Ids können wir nun die eigentliche Zuweisung erledigen. Der nachfolgende Befehl macht dies auf Basisd der vorher ermittelten Informationen:\n1 New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $ServicePrincipal.Id -ResourceId $EXOServicePrincipal.Id -AppRoleId $Approle.Id -PrincipalId $ServicePrincipal.Id Zuweisung der API-Berechtigungen Graph Neben den Exchange Online Berechtigungen muss auch die Zustimmung zum auslesen der Mitgleider einer Gruppe gegeben werden.\n1 2 3 4 5 6 $GraphServicePrincipal = Get-MgServicePrincipal -Filter \u0026#34;displayName eq \u0026#39;Microsoft Graph\u0026#39;\u0026#34; $ApproleAD = $GraphServicePrincipal.AppRoles.Where({$_.Value -eq \u0026#39;GroupMember.Read.All\u0026#39;}) Write-Output \u0026#34;$($ApproleAD.DisplayName) has Id: $($ApproleAD.Id)\u0026#34; New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $ServicePrincipal.Id -ResourceId $GraphServicePrincipal.Id -AppRoleId $ApproleAD.Id -PrincipalId $ServicePrincipal.Id Zuweisung AzureAD Rolle Nachdem alle Berechtigungen gesetzt worden sind, benötigt die Identität der Automate Instanz die passende Azure Active Directory Rolle. Deren Id müssen wir zunächst ermitteln. Das passiert mit dem nachfolgenden Befehl:\n1 2 $ExchangeAdminRole = Get-MgDirectoryRole -Filter \u0026#34;DisplayName eq \u0026#39;Exchange Administrator\u0026#39;\u0026#34; Write-Output \u0026#34;$($ExchangeAdminRole.DisplayName) has Id: $($ExchangeAdminRole.Id)\u0026#34; Mit der Id der Rolle und der Id der Identität unseres Automation Accounts können wir die Zuweisung vornehmen:\n1 2 3 4 $DirObject = @{ \u0026#34;@odata.id\u0026#34; = \u0026#34;https://graph.microsoft.com/v1.0/directoryObjects/$($ServicePrincipal.Id)\u0026#34; } New-MgDirectoryRoleMemberByRef -DirectoryRoleId $ExchangeAdminRole.Id -BodyParameter $DirObject Die erfolgreiche Zuweisung der Berechtigungen kann mit der ID im Azure Portal unter Enterprise-Apps nachverfolgt werden.\nInstallation benötigter Module in der Azure Automate Instanz Damit unser Powershell-Script läuft, müssen wir zunächst alle erforderlichen Module installieren. Hierfür gehen wir in unsere Automate-Instanz und wählen auf der linken Seite den Tab Module. Anschließend können wir Module hinzufügen. Für die gruppenbasierte SMTP Aktivierung benötigen wir folgdende Module:\nAz.Accounts PackageManagement PowerShellGet ExchangeOnlineManagement Microsoft.Graph.Authentication Microsoft.Graph.Groups Alle Module müssen in der Version 5.1 installiert werden.\nErstellung des Powershell Runbooks in Azure Automate Nachdem unsere Module bereit stehen, können wir uns an die Erstellung des Powerautomate Scriptes setzen. Hierfür erstellen wir in unserer Instanz unter dem Tab Runbooks ein neues Runbook. Die Laufzeitversion beträgt 5.1, der Typ ist Powershell.\nAnschließend klicken wir auf bearbeiten und erstellen unser Script. Bei den nachfolgenden Script muss der Tenantname und die ID der Gruppe aller SMTP Nutzenden ersetzt werden. Anschließend können wir unser Script im Berarbeitungsmenü unter der Auswahl Testbereich testen.\n1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 # Verbindung zu Exchange Online herstellen Connect-ExchangeOnline -ManagedIdentity -Organization \u0026lt;Tenantname\u0026gt;.onmicrosoft.com Write-Output \u0026#34;Connected to Exchange Online\u0026#34; # Verbindung zu Graph herstellen Connect-AzAccount -Identity $token = Get-AzAccessToken -ResourceUrl \u0026#34;https://graph.microsoft.com\u0026#34; Connect-MgGraph -AccessToken $token.Token Write-Output \u0026#34;Connected to Graph\u0026#34; # Variable mit allen Mailboxen erzeugen $mailboxes = Get-EXOCasMailbox -ResultSize Unlimited Write-Output \u0026#34;Retrieved all mailboxes\u0026#34; # Abrufen aller Mitglieder der Gruppe \u0026#34;SMTP_Active\u0026#34; über GraphAPI $groupMembers = Get-MgGroupMember -GroupId \u0026lt;Gruppen-ID\u0026gt; Write-Output \u0026#34;Retrieved all group members from SMTP_Active\u0026#34; # Für jedes Mitglied überprüfen, ob SMTP eingeschaltet ist, wenn nein oder null -\u0026gt; einschalten foreach ($member in $groupMembers) { $mailbox = $mailboxes | Where-Object {$_.Name -eq $member.Id} if ($mailbox.SmtpClientAuthenticationDisabled -eq $true -or $mailbox.SmtpClientAuthenticationDisabled -eq $null) { Set-CASMailbox -Identity $mailbox.Identity -SmtpClientAuthenticationDisabled $false Write-Output \u0026#34;Enabled SMTP authentication for mailbox with ID: $($mailbox.Identity)\u0026#34; } } Write-Output \u0026#34;Checked all Group mailboxes and enabled SMTP where necessary\u0026#34; # Alle Mailboxen aus der Liste löschen die in der Gruppe \u0026#34;SMTP_Active\u0026#34; sind $mailboxes = $mailboxes | Where-Object { $_.Name -notin $groupMembers.Id } Write-Output \u0026#34;Removed all mailboxes in the SMTP_Active group from the list\u0026#34; # Für jedes verbeleibende Mitglied der Liste überprüfen, ob SMTP eingeschaltet ist, und wenn ja, deaktivieren foreach ($mailbox in $mailboxes) { if ($mailbox.SmtpClientAuthenticationDisabled -eq $false -or $mailbox.SmtpClientAuthenticationDisabled -eq $null) { Set-CASMailbox -Identity $mailbox.Identity -SmtpClientAuthenticationDisabled $true Write-Output \u0026#34;Disabling SMTP authentication for mailbox with ID: $($mailbox.Identity)\u0026#34; } } Write-Output \u0026#34;Checked all remaining mailboxes and disabled SMTP where necessary\u0026#34; # Trennen der Verbindung Disconnect-ExchangeOnline Disconnect-MgGraph Write-Output \u0026#34;Disconnected\u0026#34; Liveschaltung des Scriptes Zuletzt wird das Runbook veröffentlicht und eine stündliche Ausführung konfiguriert.\n","permalink":"https://m365simple.de/posts/exo-permission-automate/","summary":"Hintergrund Für einige Berechtigungen ist es hilfreich diese an die Mitgliedschaft in bestimmten Gruppen zu binden. Leider sind nicht alle Berechtigungen an eine Gruppe zu binden. Das bezieht sich zum Beispiel auf zugelassene Exchange Protokolle. Es könnte also sinnvoll sein eine AzureAD Gruppe zu verwenden dessen Mitglieder automatisch für die Nutzung von SMTP oder die Nutzung von IMAP/POP3 aktiviert werden ohne, dass man manuell in die Exchange Administration eintauchen muss. Diese Gruppe kann zum Beispiel auch aus dem OnPrem AD synchronisiert werden.","title":"Gruppenbasierte Exchange Online Berechtigungen mit Azure Automate"},{"content":"Unterstützt durch den Wunsch, den relativen Schweigemarsch seit dem Start des Copilots am 16. März zu durchbrechen, hat Microsoft die Benachrichtigung MC600245 und einen Post in der Microsoft Technical Community am 21. Juni ausgestellt. (Hier nachlesbar.) Allerdings stellten beide sich als solche Wundertüten heraus, dass sie den Kunden in Bezug auf einige der grundlegenden Probleme im praktischen Einsatz von Microsoft 365 Copilot wenig Klarheit brachten. Hier sind meine Weisheiten des Tages.\nMicrosoft 365 Copilot Lizenzierung Microsoft wirft in den Raum, dass Unternehmensnutzer Microsoft 365 E3 oder Microsoft 365 E5 Lizenzen benötigen, um Copilot zu nutzen. KMU-Kunden sind berechtigt, mit Microsoft 365 Business Standard oder Business Premium Lizenzen teilzunehmen. \u0026ldquo;Berechtigt\u0026rdquo; ist hier ein großes Wort. Meine Interpretation ist, dass diese Konten berechtigt sein werden, Copilot zu einem noch unbekannten Preis zu erwerben.\nDer Sprung von Office 365 E3 zu Microsoft 365 E3 ist ein ordentlicher Batzen Geld, um für eine Funktion berechtigt zu sein die Menschen dabei helfen soll, bessere E-Mails zu schreiben oder Unterstützung bei der Erstellung von Fortschrittsberichten zu erhalten.\nMicrosoft 365 Copilot Technische Anforderungen Für den einsatz des Copilots sollen Kunden ihr Netzwerk prüfen und gegebenenfalls nach den Herstellereigenen Leitfaden anpassen: Hier.).\nWeiterhin wurde bekannt, dass der Copilot nicht offline zu nutzen ist. Obwohl es möglich ist, mit dem OneDrive-Sync-Client große Datenmengen lokal zu kopieren, kann Copilot nicht ohne Zugang zu Azure-Diensten arbeiten.\nEbenfalls wird auf die Notwendigkeit von WebSocket-Verbindungen hingewisen, welche als Plug-Ins für Teams aktiviert werden müssen. Der Hinweis hier bezieht sich auf Teams-Anwendungspolicies, was meiner Meinung nach bedeutet, dass Organisationen eine Copilot-App für Teams aktivieren müssen.\nInteressant ist auch der Hinweis im Absatz \u0026ldquo;Erste Schritte mit Microsoft 365 Copilot\u0026rdquo;, wo wir erfahren, dass \u0026ldquo;Für eine nahtlose Integration von Microsoft 365 Copilot mit Outlook es erforderlich ist, dass Sie das neue Outlook für Windows verwenden, das sich derzeit in der Vorschau befindet.\u0026rdquo; Mit anderen Worten, die aktuellen Outlook-Desktop-Versionen bekommen Copilot nicht. Stattdessen wird Microsoft das Copilot Feature nutzen, um die Adoption des Outlook Monarch Clients zu unterstützen. Microsoft kann diesen Ansatz rechtfertigen, indem sie darauf hinweisen, dass ihre Outlook Entwicklungsbemühungen auf Monarch zentriert sind und es für sie keinen Sinn macht, in die Bereitstellung von Copilot für die ältere Outlook-Desktop-Generation zu investieren.\nBei Teams unterstützt Copilot sowohl den alten als auch den neuen 2.1 Client. Obwohl das wie ein weiterer Widerspruch erscheint, glaube ich, dass der Übergang vom alten Teams-Client zum neuen viel schneller sein wird als die bisherige Erfahrung mit Outlook.\nDatenschutz und Nutzungsrechte Im Rahmen des Early Access Programms wird Microsft die Datenverarbeitung des Copilot ausschließlich in Rechenzentren innerhalb der EU durchführen. Damit orientiert sich Microsoft an der bestehenden EU Data Boundary. Neben dem Aspekt des Datenschutz sind ein weiterer interessanter Aspket die Nutzungsrechte an den Arbeitsergebnissen der durch Copilot erstellten Inhalte. Microsoft beansprucht an dieser Stelle nicht das Eigentum an den erzeugten Inhalten macht aber keine Aussage zu weiteren etwaigen rechtlichen Rahmenbedinungen.\nÜbermäßiges Teilen Unhabhängig von der Verarbeitung von Daten innerhalb des Rahmens der DSGVO kann es interessant sein, welche Daten durch den Copilot verarbeitet werden. Unter Umständen will ein Unternehmen nicht alle Daten mit der KI teilen. Mit dem Blick auf die Geschehnisse nach der Einführung der Delve-App, als viele Unternehmen feststellten, dass die auf SharePoint Online-Sites angewandten Freigabekontrollen nicht ganz so gut waren, schlägt Microsoft vor, dass potenzielle Copilot-Kunden auf Oversharing achten sollten.\nZur Unterstützung verweist Microsoft auf einige aktuelle Entwicklungen für SharePoint Online. So ist die Microsoft Syntex SharePoint Advanced Lizenz verfügbar, um Funktionen wie die Beschränkung des Zugriffs auf eine SharePoint-Website auf Mitglieder einer bestimmten Gruppe zu ermöglichen. (Einige Funktionen hier erscheinen erst im Q3 / Q4 2023: Nähere Informationen)\nZuletzt liegt es in der Verantwortung des Benutzers alle ausgebenen Informationen zu prüfen.\nZusammenfassend bleibt es also spannend. Weitere Neuigkeiten posten wir selbstverständlich hier.\n","permalink":"https://m365simple.de/posts/copilot-updates-mc600245/","summary":"Unterstützt durch den Wunsch, den relativen Schweigemarsch seit dem Start des Copilots am 16. März zu durchbrechen, hat Microsoft die Benachrichtigung MC600245 und einen Post in der Microsoft Technical Community am 21. Juni ausgestellt. (Hier nachlesbar.) Allerdings stellten beide sich als solche Wundertüten heraus, dass sie den Kunden in Bezug auf einige der grundlegenden Probleme im praktischen Einsatz von Microsoft 365 Copilot wenig Klarheit brachten. Hier sind meine Weisheiten des Tages.","title":"KI in M365 - Neues zum Copilot"},{"content":"Windows LAPS-Benutzer über Remediations (Wartungen) anlegen In diesem Beitrag geht es um die Erstellung des Windows LAPS-Benutzers über (proaktive) Remediations. Der Benutzer, den Sie über Windows LAPS verwalten möchten, wird nicht automatisch erstellt. Dieser Blog und das Skript helfen Ihnen, dies zu tun.\nVoraussetzungen Sie haben die Windows LAPS-Richtlinie bereits konfiguriert m365simple - Intune LAPS. Sie haben eine passende Lizenz für Remediations\nDie Skripte Die Remediation besteht aus 2 Skripten. Das Erkennungsskript und das Remediationsskript.\nDas Erkennungsskript erkennt, ob der Windows LAPS-Benutzer bereits vorhanden ist, und das Remediationsskript erstellt den Benutzer und fügt ihn der Gruppe der lokalen Administratoren hinzu.\nDies ist das Erkennungsskript:\n1 2 3 4 5 6 7 8 9 10 11 12 13 Start-Transcript -Path \u0026#34;$env:ProgramData\\Microsoft\\IntuneManagementExtension\\Logs\\LAPSLocalAdmin_Detect.log\u0026#34; -Append $LAPSAdmin = \u0026#34;ENTER_NAME_OF_ADMINUSER\u0026#34; $Query = Get-WmiObject -Class Win32_UserAccount -Filter \u0026#34;LocalAccount=True\u0026#34; If ($Query.Name -notcontains $LAPSAdmin) { Write-Output \u0026#34;User: $LAPSAdmin does not existing on the device\u0026#34; Exit 1 } Else { Write-Output \u0026#34;User $LAPSAdmin exists on the device\u0026#34; Exit 0 } Stop-Transcript Dies ist das Remediationsskript:\n1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 Start-Transcript -Path \u0026#34;$env:ProgramData\\Microsoft\\IntuneManagementExtension\\Logs\\LAPSLocalAdmin_Remediate.log\u0026#34; -Append $LAPSAdmin = \u0026#34;ENTER_NAME_OF_ADMINUSER\u0026#34; $Group = Get-WmiObject -Query \u0026#34;Select * From Win32_Group Where LocalAccount = TRUE And SID = \u0026#39;S-1-5-32-544\u0026#39;\u0026#34; $GroupName = $Group.Name $PassWord = \u0026#39;INSERT_COMPLEXPASSWORD_HERE\u0026#39; $Query = Get-WmiObject -Class Win32_UserAccount -Filter \u0026#34;LocalAccount=True\u0026#34; If ($Query.Name -notcontains $LAPSAdmin) { Write-Output \u0026#34;User: $LAPSAdmin does not existing on the device, creating user\u0026#34; try { Net User $LAPSAdmin $PassWord /Add Write-Output \u0026#34;Added Local User $LAPSAdmin\u0026#34; net localgroup $GroupName $LAPSAdmin /add Write-Output \u0026#34;Added Local User $LAPSAdmin to Administrators\u0026#34; Exit 0 } catch { Write-Error \u0026#34;Couldn\u0026#39;t create user\u0026#34; Exit 1 } } Else { Write-Output \u0026#34;User $LAPSAdmin exists on the device\u0026#34; Exit 0 } Stop-Transcript Es wäre einfacher mit dem Microsoft.PowerShell.LocalAccounts PowerShell Modul gewesen, aber leider kann dies nicht im Systemkontext genutzt werden, da dann nicht auf die lokale Administratorengruppe zugegriffen werden kann. Daher musste ich CMD-Befehle verwenden, um den Benutzer zu erstellen und ihn zu den lokalen Administratoren hinzuzufügen. Ich nutze an für die lokale Admingruppe nicht die Bezeichnung, sondern die SID der Gruppe (SID = \u0026lsquo;S-1-5-32-544), da die Bezeichnung der Gruppe für jede Lokalisierung anders lautet und ich das Skript auf allen OS Sprachen nutzen möchte.\nBeide Skripte sind auch über Github verfügbar. Dies ist der Link für das Erkennungsskript und dies ist der Link für das Remediationsskript. Beide Skripte werden auch in einem Zip-Archiv bereitgestellt.\nErstellen der Remediation (Wartung) Melden Sie sich am Intune-Portal an und gehen Sie zu Geräte und anschließend zu Wartungen:\nKlicken Sie auf Skriptpaket erstellen und geben Sie einen Namen ein wählen Sie die Erkennungs- und Wiederherstellungsskript aus \u0026gt; laden Sie die beiden Konfigurationsdateien hoch und stellen Sie die Richtlinie bereit. Status Der Status \u0026ldquo;Problem behoben\u0026rdquo; wird angezeigt, wenn der Benutzer nicht vorhanden war und danach erstellt wurde. Der Status \u0026ldquo;ohne Probleme\u0026rdquo; bedeutet, dass der Benutzer bereits vorhanden ist.\nLogfiles Auf dem Gerät werden zudem Protokolldateien erstellt. Diese werden im Ordner \u0026ldquo;C:\\ProgramData\\Microsoft\\IntuneManagementExtension\\Logs\u0026quot; angelegt.\nInhalt der Logfiles LAPSLocalAdmin_Remediate.log\nLAPSLocalAdmin_Detect.log\nHier geht es zum ersten Teil der LAPS-Einrichtung Intune LAPS\n","permalink":"https://m365simple.de/posts/intune_laps_remediation/","summary":"Windows LAPS-Benutzer über Remediations (Wartungen) anlegen In diesem Beitrag geht es um die Erstellung des Windows LAPS-Benutzers über (proaktive) Remediations. Der Benutzer, den Sie über Windows LAPS verwalten möchten, wird nicht automatisch erstellt. Dieser Blog und das Skript helfen Ihnen, dies zu tun.\nVoraussetzungen Sie haben die Windows LAPS-Richtlinie bereits konfiguriert m365simple - Intune LAPS. Sie haben eine passende Lizenz für Remediations\nDie Skripte Die Remediation besteht aus 2 Skripten. Das Erkennungsskript und das Remediationsskript.","title":"Intune LAPS Remediation"},{"content":"Bereitstellung von Azure AD LAPS mit Intune - Schritt für Schritt Azure AD LAPS (Local Administrator Password Solution) ermöglicht die Verwaltung eines einzigen lokalen Administratorkontos auf Azure Active Directory oder lokalen Active Directory-verbundenen Geräten. Das Passwort ist dann in AD geschützt, während der Zugriff auf das Passwort an bestimmte Benutzer delegiert werden kann.\nDie Konfiguration und Bereitstellung von modernem Azure AD LAPS wird mit Microsoft Intune vereinfacht. Sobald es in Ihrem Tenant aktiviert ist, kann ein einziges Konfigurationsprofil verwendet werden, um Windows LAPS zu konfigurieren (in der neuesten Version von Windows-Betriebssystemen integriert). Das Passwort kann dann manuell über das Azure AD- oder Intune-Verwaltungsportal abgerufen und geändert werden.\nIn diesem Tutorial zeige ich Ihnen, wie Sie Azure AD LAPS über das Microsoft Intune-Verwaltungsportal konfigurieren.\nÜber LAPS mit Intune Das Azure AD LAPS-Szenario wird von den neuen Windows LAPS-Funktionen unterstützt, die direkt in das Windows-Betriebssystem integriert sind. Dies bedeutet, dass es schnell und einfach bereitgestellt werden kann, ohne dass zusätzliche Client-Software installiert werden muss.\nDie Kehrseite der Medaille liegt in den Anforderungen. Windows LAPS wird nur von den neuesten Betriebssystemen unterstützt, d. h., wenn Sie nicht auf dem neuesten Stand sind und die Windows-Funktionsupdates nicht konsequent durchführen (was für manche ein Problem ist), kann es sein, dass einige Geräte nicht gesichert sind. Daher ist es wichtig, dass die Anforderungen sorgfältig geprüft werden, um die Sicherheitsvorteile zu nutzen, die Azure AD LAPS mit Intune bieten kann. Im Grunde genommen geht es um alles oder nichts: Wenn Sie eine Lücke lassen, wird der Hacker sie finden.\nDie Bereitstellung von Azure AD LAPS wird durch die Verwendung von Microsoft Intune vereinfacht. Für diejenigen, die nur über begrenzte Verwaltungsfähigkeiten verfügen, kann Azure AD LAPS jedoch auch über Gruppenrichtlinien, manuell über Registrierungsschlüssel oder über Windows CSP-Einstellungen in Intune bereitgestellt werden. Aus welchem Grund auch immer mehrere Bereitstellungsmethoden für einen einzelnen Computer gelten, die Windows CSP/Intune-Einstellungen haben immer Vorrang. Intune wird immer die empfohlene Wahl sein, da es einfach ist, die Berichtsfunktionen gut sind und keine Sichtverbindung zu einem Domänencontroller erforderlich ist.\nAnforderungen Azure AD LAPS nutzt die in das Windows-Betriebssystem integrierte Windows LAPS-Komponente, die in den folgenden Windows-Versionen verfügbar ist. Sie können die nachstehenden Links verwenden, um die erforderlichen Update-Dateien manuell aus dem Microsoft Update-Katalog herunterzuladen.\nWindows 11 22H2 Windows 11 21H2 Windows 10 - 11. April 2023 Windows Server 2022 Windows Server 2019 Glücklicherweise ist LAPS in jeder kostenlosen Version von Azure Active Directory enthalten. Wenn Sie also eine Microsoft 365-Lizenz in Ihrem Tenant haben, können Sie das LAPS-Kennwort in Azure Active Directory speichern. Wie Sie jedoch erwarten können, benötigen Sie für die Verwaltung über Intune mindestens eine Microsoft Intune Plan 1-Lizenz, die das grundlegende Intune-Abonnement darstellt. Es wird auch während eines Probeabonnements unterstützt.\nAktivieren Sie Azure AD LAPS Um die Implementierung von Azure AD LAPS zu unterstützen, müssen Sie zunächst Windows LAPS für Azure AD im Azure AD Management Portal aktivieren. Führen Sie dazu einfach die folgenden Schritte aus:\nAnmeldung bei https://entra.microsoft.com/ Wählen Sie Azure Active Directory, Alle Geräte, Geräteeinstellungen. 3. Setzen Sie \"Lokale Azure AD-Administratorkennwortlösung (Local Administrator Password Solution, LAPS) (Vorschau) aktivieren\" auf \"Ja\" und klicken Sie dann auf \"Speichern\". Damit ist der Tenant für LAPS vorbereitet.\nWeiter geht es in der Endpuntsicherheit im Bereich Intune\nErstellen eines LAPS-Konfigurationsprofils Nachdem LAPS für Ihren Tenant aktiviert wurde, können Sie nun ein Konfigurationsprofil erstellen, das alle Einstellungen für Azure AD LAPS enthält, die auf Ihre Geräte angewendet werden sollen.\nmelden Sie sich bei Intune https://intune.microsoft.com/ an. Wählen Sie Endpunktsicherheit. 3. Wählen Sie Kontoschutz 4. Klicken Sie auf \"Richtlinie erstellen\", um eine neue Endpunktschutzrichtlinie für Azure AD LAPS zu erstellen. 5. Wählen Sie im Pop-Out-Fenster folgende Einstellung und klicken Sie auf Erstellen. 6. Wählen Sie einen sprechenden Namen und klicken Sie auf weiter. 7. Definieren Sie Ihre Azure AD LAPS-Konfigurationseinstellungen. Verwenden Sie meine Einstellungen wie empfohlen: Hinweis: Wenn in dieser Einstellung ein benutzerdefinierter Name für ein verwaltetes lokales Administratorkonto angegeben ist, muss dieses Konto auf andere Weise erstellt werden. Wenn Sie einen Namen in dieser Einstellung angeben, wird das Konto dazu nicht automatisch erstellt.\nKlicken Sie auf Alle Geräte hinzufügen, um diese Richtlinie auf alle unterstützten Geräte anzuwenden, die in Intune registriert sind. Sie können hier auch beliebige Gerätefilter definieren, um bestimmte Geräte von der Azure AD LAPS-Richtlinie auszuschließen. Klicken Sie dann auf Weiter. 9. Überprüfen Sie schließlich Ihre Einstellungen und klicken Sie auf Erstellen. Prüfen, ob Azure AD LAPS erfolgreich ist Bei der Bereitstellung von Azure AD LAPS müssen Sie Ihre Geräte nicht neu starten, im Gegensatz zur vorherigen Version von LAPS, bei der ein Neustart erforderlich war, um die MSI über GPO bereitzustellen. Das heißt, wenn die Richtlinie das nächste Mal auf Ihr Gerät angewendet wird, wird LAPS konfiguriert.\nSie können überprüfen, ob die Richtlinie wie erwartet bereitgestellt wurde, indem Sie das Fenster mit dem Richtlinienbericht aufrufen:\nÜber das Intune-Portal: Endpunktsicherheit \u0026gt; Kontoschutz \u0026gt; Ihre LAPS-Richtlinie \u0026gt; Bericht anzeigen.\nAzure AD LAPS-Kennwort anzeigen und ändern Das Anzeigen und Ändern des LAPS-Kennworts für ein Gerät kann schnell und einfach über das Azure AD-Portal oder das Intune-Portal erfolgen.\nAzure AD-Portal Gehen Sie folgendermaßen vor, um das LAPS-Kennwort über das Azure AD-Portal anzuzeigen:\nGeräte \u0026gt; Wiederherstellung des lokalen Administratorkennworts \u0026gt; Wählen Sie Ihr Gerät aus \u0026gt; Lokales Administratorkennwort.\nIntune-Portal Um das LAPS-Kennwort über das Intune-Portal anzuzeigen, gehen Sie wie folgt vor:\nGeräte \u0026gt; Alle Geräte \u0026gt; Wählen Sie Ihr Gerät \u0026gt; Lokales Administratorkennwort \u0026gt; Lokales Administratorkennwort\nUm das Kennwort vor der festgelegten Ablaufzeit zu ändern, wählen Sie das Gerät in Intune aus, klicken Sie auf die 3 Punkte oben rechts und dann auf Lokales Administratorkennwort ändern.\nUm das Kennwort vor der festgelegten Ablaufzeit zu ändern, wählen Sie das Gerät in Intune aus, klicken Sie auf die 3 Punkte oben rechts und dann auf Lokales Administratorkennwort ändern.\nLAPS blockiert auch externe Versuche, das Passwort zu ändern, auch wenn Sie die Funktion \u0026ldquo;Passwort zurücksetzen\u0026rdquo; in Azure für virtuelle Maschinen verwenden.\nHier geht es zum zweiten Teil der LAPS-Einrichtung Intune LAPS Remediation\n","permalink":"https://m365simple.de/posts/intune_laps/","summary":"Bereitstellung von Azure AD LAPS mit Intune - Schritt für Schritt Azure AD LAPS (Local Administrator Password Solution) ermöglicht die Verwaltung eines einzigen lokalen Administratorkontos auf Azure Active Directory oder lokalen Active Directory-verbundenen Geräten. Das Passwort ist dann in AD geschützt, während der Zugriff auf das Passwort an bestimmte Benutzer delegiert werden kann.\nDie Konfiguration und Bereitstellung von modernem Azure AD LAPS wird mit Microsoft Intune vereinfacht. Sobald es in Ihrem Tenant aktiviert ist, kann ein einziges Konfigurationsprofil verwendet werden, um Windows LAPS zu konfigurieren (in der neuesten Version von Windows-Betriebssystemen integriert).","title":"Intune LAPS"},{"content":"Voraussetzung Um die Windows-Driver update zu verwenden, muss Ihr Unternehmen über die folgenden Lizenzen, Abonnements und Netzwerkkonfigurationen verfügen:\nAbonnements\nIntune: Ihr Tenant benötigt das Microsoft Intune Plan 1-Abonnement. Azure Active Directory (Azure AD): Azure AD Free (oder höher) Abonnement. Anforderungen für Geräte und Editionen Windows-Abonnements und -Lizenzen\nIhr Unternehmen muss über eines der folgenden Abonnements verfügen, die eine Lizenz für den Windows Update for Business-Bereitstellungsdienst enthalten:\nWindows 10/11 Enterprise E3 oder E5 (enthalten in Microsoft 365 F3, E3, oder E5) Windows 10/11 Education A3 oder A5 (enthalten in Microsoft 365 A3 oder A5) Windows Virtual Desktop Access E3 oder E5 Microsoft 365 Business Premium Windows-Editionen\nTreiber-Updates werden für die folgenden Windows 10/11-Editionen unterstützt:\nPro Enterprise Education Pro for Workstations Aktivieren der Datensammlung für Berichte\nUm Berichte für Windows-Treiberupdates zu unterstützen, müssen Sie die Verwendung von Windows-Diagnosedaten in Intune aktivieren. Es ist möglich, dass Diagnosedaten bereits für andere Berichte wie Windows-Featureupdates und Beschleunigte Qualitätsupdateberichte aktiviert sind. So aktivieren Sie die Verwendung von Windows-Diagnosedaten:\nMelden Sie sich beim Microsoft Intune Admin Center an, und wechseln Sie zu Mandantenverwaltung \u0026gt; Connectors und Token\u0026gt; Windows-Daten.\nErweitern Sie Windows-Daten, und stellen Sie sicher, dass die Einstellung Features aktivieren, die Windows-Diagnosedaten in der Prozessorkonfiguration erfordern auf Ein eingestellt ist.\nWeitere Informationen finden Sie unter Aktivieren der Verwendung von Windows-Diagnosedaten durch Intune.\nVerwalten der Richtlinie für Windows-Treiberupdates mit Microsoft Intune Erstellen von Windows-Treiberupdaterichtlinien Melden Sie sich beim Microsoft Intune Admin Center an, wechseln Sie zu Geräte \u0026gt; Windows-Treiberupdates \u0026gt;für Windows 10 und höher (Vorschau), und wählen Sie Profil erstellen aus. Geben Sie auf der Seite Grundlagen die folgenden Eigenschaften ein:\nName: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Profile, damit Sie sie später leicht identifizieren können. Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen. Konfigurieren Sie unter Einstellungen die Genehmigungsmethode für Geräteupdates in dieser Richtlinie. Wählen Sie eine der folgenden Optionen für Genehmigungsmethode aus:\nManuelles Genehmigen und Bereitstellen von Treiberupdates: Mit dieser Option wird für jedes neue Treiberupdate, das der Richtlinie hinzugefügt wird, die status auf Anforderungsüberprüfung festgelegt. Ein Administrator muss die Richtlinie bearbeiten, um die status jedes einzelnen Updates in Genehmigt zu ändern, bevor dieses Update auf entsprechenden Geräten bereitgestellt werden kann. Wenn Sie ein Update manuell genehmigen, können Sie ein Datum angeben, an dem es für Windows Update zur Installation auf entsprechenden Geräten verfügbar wird. Dieses Datum unterscheidet sich von dem Zurückstellungszeitraum, der für automatisch genehmigte Updates in Richtlinien erforderlich ist, die automatische Genehmigungen verwenden.\nAutomatisches Genehmigen aller empfohlenen Treiberupdates: Mit dieser Option werden alle neuen empfohlenen Treiberupdates, die der Richtlinie hinzugefügt werden, mit dem status Genehmigt hinzugefügt und beginnen mit der Installation auf entsprechenden Geräten, ohne dass sie von einem Administrator überprüft oder genehmigt werden müssen. - Updates nach (Tagen) verfügbar machen: Bei dieser Einstellung handelt es sich um einen Verzögerungszeitraum, der verzögert wird, wenn Windows Update mit der Bereitstellung und Installation des neuen empfohlenen Updates beginnt, das der Richtlinie automatisch mit dem status Genehmigt hinzugefügt wurde. Die Verzögerung wird von null bis 30 Tagen unterstützt und beginnt mit dem Tag, an dem das Update der Richtlinie hinzugefügt wird, nicht ab dem Datum, an dem das Update vom OEM verfügbar gemacht oder veröffentlicht wurde. Die Verzögerung soll Ihnen Zeit geben, um die Bereitstellung des neuen empfohlenen Updates zu identifizieren und ggf. anzuhalten. Identifizieren von Richtlinien mit neu hinzugefügten Treiberupdates Wenn Sie die Liste der Treiberupdaterichtlinien im Admin Center überprüfen, können Sie Richtlinien identifizieren, für die neue Treiber hinzugefügt wurden, indem Sie die Spalte Zu überprüfende Treiber auf Hinweise auf neue Updates überprüfen, die überprüft werden müssen.\nUm nach Richtlinien zu suchen, für die neue Treiberupdates ausstehen, wechseln Sie im Admin Center zu Geräte \u0026gt; Windows 10 und späteren Updates \u0026gt; Treiber Updates Registerkarte.\nÜberprüfen Sie in der Liste der Windows-Treiberupdaterichtlinien die Spalte Zu überprüfende Treiber auf Einträge, die darauf hinweisen, dass der Richtlinie neue Updates hinzugefügt wurden, die Sie möglicherweise für die Bereitstellung überprüfen und genehmigen möchten.\nDie Richtlinien mit neuen Treiberupdates stellt diese neuen Updates erst bereit, wenn ein Administrator sie explizit genehmigt.\nRichtlinien zeigen weiterhin die Anzahl neuer Updates an, bis jedes Update genehmigt oder abgelehnt wurde. Nachdem alle aktuellen Updates verwaltet wurden, sinkt die Anzahl auf null (0), bis neue Updates identifiziert und der Richtlinie hinzugefügt werden.\nRichtlinieneigenschaften und die Treiberliste Beim Anzeigen der Liste der Windows-Treiberupdaterichtlinien können Sie Details zu einer Richtlinie anzeigen, indem Sie den Richtliniennamen oder einen der zugehörigen Werte auswählen. Richtliniendetails sind über drei Registerkarten verfügbar.\nAuf der ersten Registerkarte werden die Richtlinieneigenschaften angezeigt, in denen Sie die Richtlinienkonfiguration überprüfen und bearbeiten können. Die anderen beiden Registerkarten umfassen die Richtlinientreiberliste. Sie können die Treiberliste verwenden, um die Treiberupdates zu überprüfen, die von WUfB-DS als anwendbar für ein oder mehrere Geräte identifiziert werden, die diese Richtlinie erhalten. In der Liste können Sie die Genehmigungs-status jedes Updates anzeigen und verwalten.\nDie Treiberliste ist in zwei Registerkarten unterteilt\nEmpfohlene Treiber: Empfohlene Treiber sind die beste Übereinstimmung mit den \u0026ldquo;erforderlichen\u0026rdquo; Treiberupdates, die Windows Update für ein Gerät identifizieren können. Um ein empfohlenes Update zu sein, muss der OEM- oder Treiberherausgeber das Update als erforderlich markieren, und das Update muss die neueste Updateversion sein, die als erforderlich gekennzeichnet ist. Diese Updates sind dieselben, die über Windows Update verfügbar sind, und sind fast immer die aktuellste Updateversion für einen Treiber. Wenn ein OEM eine neuere Updateversion veröffentlicht, die als der neue empfohlene Treiber qualifiziert ist, ersetzt er das vorherige Update als empfohlenes Treiberupdate. Wenn die ältere Updateversion weiterhin für ein Gerät in der Richtlinie gilt, wird sie auf die Registerkarte Andere Treiber verschoben. Wenn die ältere Version zuvor genehmigt wurde, bleibt sie genehmigt.\nAndere Treiber : Andere Treiberupdates sind Updates, die vom Originalgerätehersteller (OEM) abgesehen vom aktuell empfohlenen Treiberupdate verfügbar sind. Diese Updates bleiben in einer Richtlinie, solange sie neuer sind als die Treiberversion, die auf mindestens einem Gerät mit der Richtlinie installiert ist. Diese Updates können Folgendes umfassen:\nEin zuvor empfohlenes Update wurde durch eine neuere Updateversion ersetzt. Firmwareupdates Optionale Treiberupdates oder Updates, die der OEM nicht standardmäßig auf allen Geräten installieren möchte Diese Updates können über Richtlinien für Windows-Treiberupdates verwaltet und bereitgestellt werden, jedoch nicht über klassische Client-Windows Update for Business-Richtlinien (WUfB).\nIn der folgenden Bildschirmaufnahme haben wir die Richtlinie mit dem Namen \u0026ldquo;Windows - Driver and BIOS Updates\u0026rdquo; geöffnet und die Registerkarte Empfohlene Treiber ausgewählt:\nDiese Richtlinie erfordert eine manuelle Genehmigung und verfügt derzeit über drei Treiberupdates, die überprüft werden.\nJede Treiberliste zeigt die folgenden Details für Updates in der Richtlinie an. Die meisten der folgenden Details basieren auf Informationen, die sie aus dem Treiberupdate vom OEM oder Treiberhersteller erhalten haben:\nTreibername : Der Name des Treiberupdates. Es ist nicht ungewöhnlich, dass nachfolgende Versionen eines Updates von einem OEM oder Hersteller identische Namen haben. Verwenden Sie die Updateversion und das Veröffentlichungsdatum , um zwischen Updateinstanzen zu unterscheiden. Version : Die Updateversion, die vom OEM oder Hersteller bereitgestellt wird. Hersteller : Der Hersteller des Treiberupdates. Treiberklasse : Die Treiberklasse wird anhand der vom Treiberherausgeber erstellten Details bestimmt und stellt in der Regel die Treiberhardwareklasse dar. Diese Informationen sind nicht immer einfach zu bestimmen oder über Updates von verschiedenen OEM-Quellen oder Herstellern hinweg konsistent. Wenn die Klasse eines Treibers nicht identifiziert werden kann, wird sie der Hardwareklasse Other zugewiesen. Veröffentlichungsdatum : Das Datum, an dem der OEM dieses Treiberupdate zur Verfügung gestellt hat. Status: Die aktuelle status des Treiberupdates in dieser Richtlinie. Sie können die status für einzelne Updates ändern, indem Sie den Namen des Treiberupdates aus der Liste auswählen. Für Updates stehen vier status Optionen zur Verfügung: Überprüfung erforderlich Genehmigt Abgelehnt Angehalten Anwendbare Geräte : Diese Nummer gibt an, wie viele Geräte eine bestimmte Version eines Updates installieren können. Dasselbe Gerät kann für mehrere Versionen eines Treiberupdates sowohl auf den Registerkarten Empfohlene Treiber als auch Andere Treiber gemeldet werden. Geräte melden mehrere Male, wenn mehr als eine neuere Version für einen Treiber verfügbar ist, der noch vom Gerät verwendet wird. Anwendbare Geräte : Diese Nummer gibt an, wie viele Geräte eine bestimmte Version eines Updates installieren können. Dasselbe Gerät kann für mehrere Versionen eines Treiberupdates sowohl auf den Registerkarten Empfohlene Treiber als auch Andere Treiber gemeldet werden. Geräte melden mehrere Male, wenn mehr als eine neuere Version für einen Treiber verfügbar ist, der noch vom Gerät verwendet wird.\nVerwalten des Status von Treiberupdates Beim Anzeigen einer Richtlinientreiberliste können Sie einzelne Updates auswählen, um deren status zu überprüfen und zu ändern.\nVerwalten des Status eines Treiberupdates: Im Bereich Treiber verwalten haben Sie folgende Möglichkeiten:\nBestätigen Sie den Namen des Treiberupdates. Zeigen Sie die status des Updates an. Das Update in der Bildschirmaufnahme verfügt über eine status der Überprüfung der Anforderungen. Zeigen Sie die Anzahl der Geräte an, auf denen diese Updateversion installiert ist. Da diese Treiberupdateversion noch nicht genehmigt wurde und nicht auf Geräten installiert wurde, wird bei dieser Anzahl nicht zutreffend angezeigt. Wählen Sie das Dropdownfeld für Aktionen aus, in dem Sie eine Aktion auswählen können, um die status des Updates zu ändern. Zu den Optionen für ein neues Treiberupdate gehören Abgelehnt und Genehmigen. Es folgen Regeln zum Verwalten des Status eines Treiberupdates:\nNur neuen Treiberupdates kann die status Überprüfung der Anforderungen zugewiesen werden. Ein neues empfohlenes Update, das einem Richtliniensatz für die automatische Genehmigung hinzugefügt wird, wird jedoch als Genehmigt hinzugefügt. Ein Treiberupdate, das überprüft werden muss , kann genehmigt oder abgelehnt sein. Ein genehmigtes Update kann angehalten werden. Ein angehaltenes Update kann genehmigt sein. Nachdem ein Update genehmigt wurde, kann es nie abgelehnt werden, aber Sie können es auf unbestimmte Zeit anhalten. Im Folgenden finden Sie Details zu den einzelnen Status:\nÜberprüfung erforderlich: Dieser status wird verwendet, um neue Treiber zu identifizieren, die einer Richtlinie hinzugefügt wurden. Für Richtlinien, die eine manuelle Genehmigung verwenden, gilt die Überprüfung der Anforderungen sowohl für neue empfohlene Treiber als auch für neue andere Treiber. Wenn ein Administrator die neuen Updates nicht explizit genehmigt, werden sie nicht auf Geräten bereitgestellt. Für Richtlinien, die die automatische Genehmigung verwenden:\nEin neuer empfohlener Treiber wird automatisch genehmigt und löst nicht die Anzeige der Überprüfung der Anforderungen aus. Ein neues Update, bei dem es sich nicht um das empfohlene Treiberupdate handelt, wird der Liste Andere Treiber hinzugefügt und mit Bedarfsüberprüfung gekennzeichnet. Das Update verbleibt als Anforderungsüberprüfung , bis ein Administrator es manuell genehmigt. Genehmigt: Dieser status identifiziert ein Update, das für die Installation auf entsprechenden Geräten genehmigt wurde. Die folgenden Regeln gelten für die Einstellung Genehmigt für ein Update:\nRichtlinien mit automatischer Genehmigung: Alle neuen empfohlenen Treiberupdates werden automatisch als Genehmigt konfiguriert und ersetzen alle vorhandenen empfohlenen Treiberupdates für denselben Treiber. Nach der automatischen Genehmigung unterliegt das Update dem Zurückstellungszeitraum der Richtlinie, bevor es auf einem Gerät installiert werden kann. Wenn ein neues empfohlenes Update ein älteres empfohlenes Treiberupdate ersetzt, wird das ältere Treiberupdate in die Liste der anderen Treiber verschoben, bleibt jedoch genehmigt. Diese Änderung des Speicherorts der Treiberliste ist wichtig, da Windows Update nur die neueste genehmigte Version eines Treiberupdates in einer Richtlinie bereitstellt. Wenn jedoch die neueste genehmigte Version angehalten wird, stellt Windows Update die nächstaktuelle Version des Treiberupdates bereit, die weiterhin genehmigt und auf ein Gerät anwendbar ist.\nRichtlinien mit manueller Genehmigung: Für Richtlinien, die eine manuelle Genehmigung erfordern, müssen Sie die Richtlinie bearbeiten und neue Updates verwalten, um sie als Genehmigt zu konfigurieren. Nach dem Festlegen auf Genehmigt können Sie eine Einstellung namens Verfügbar machen in Windows Update konfigurieren. Hier müssen Sie ein Datum angeben, das angibt, wann das Update für die Installation auf entsprechenden Geräten verfügbar ist. Wenn Sie dieses Feld leer lassen, wird das Update sofort für die Installation auf Geräten genehmigt.\nAngehalten: Wenn ein Update auf Angehalten festgelegt ist, wird es zurückgehalten und über diese Richtlinie erst dann auf weiteren Geräten bereitgestellt, wenn sein status manuell wieder in Genehmigt geändert wird. Das Anhalten eines Updates führt nicht zu einem Rollback einer abgeschlossenen Installation des Updates, kann jedoch eine aktive Installation eines aktuell ausgeführten Updates beenden.\nWenn Sie die neueste Version eines genehmigten Updates anhalten, macht Windows Update dieses Update nicht mehr für Geräte verfügbar, wenn sie das nächste Mal nach Updates suchen. Wenn die Richtlinie jedoch über eine frühere Updateversion für denselben Treiber verfügt, die weiterhin genehmigt wurde, beginnt Windows Update mit der Installation dieser älteren Version auf entsprechenden Geräten.\nBetrachten Sie das folgende Szenario: Sie verfügen über eine Richtlinie mit automatischen Genehmigungen, für die das empfohlene Update für den Drucker des Geräts Version 3 ist. Dieses Treiberupdate ist auf allen Geräten erfolgreich, auf denen es installiert wurde, und war länger als die richtlinienneue Treiberverzögerung verfügbar.\nAbgelehnt: Sie können ein Treiberupdate so konfigurieren, dass es abgelehnt wird. Dadurch wird es nicht mehr als neuer Treiber angezeigt, der überprüft werden muss. Wenn Sie ein Update auf abgelehnt festlegen, wird es nicht aus der Richtlinie entfernt, und Sie können es wieder in Genehmigt ändern, wenn das Update auf entsprechenden Geräten bereitgestellt werden soll. ","permalink":"https://m365simple.de/posts/intune_driverupdates/","summary":"Voraussetzung Um die Windows-Driver update zu verwenden, muss Ihr Unternehmen über die folgenden Lizenzen, Abonnements und Netzwerkkonfigurationen verfügen:\nAbonnements\nIntune: Ihr Tenant benötigt das Microsoft Intune Plan 1-Abonnement. Azure Active Directory (Azure AD): Azure AD Free (oder höher) Abonnement. Anforderungen für Geräte und Editionen Windows-Abonnements und -Lizenzen\nIhr Unternehmen muss über eines der folgenden Abonnements verfügen, die eine Lizenz für den Windows Update for Business-Bereitstellungsdienst enthalten:\nWindows 10/11 Enterprise E3 oder E5 (enthalten in Microsoft 365 F3, E3, oder E5) Windows 10/11 Education A3 oder A5 (enthalten in Microsoft 365 A3 oder A5) Windows Virtual Desktop Access E3 oder E5 Microsoft 365 Business Premium Windows-Editionen","title":"Intune driver updates for windows 10 and later"},{"content":"Windows 365 Boot in Public Preview Mit Windows 365 Boot können Sie sich nun auf einem PC mit Windows 11 ab der Version 22H2, direkt bei Ihrem Windows 365 Cloud PC an ihrem Endgerät(PC) anmelden.\nSo gelangen Sie mit Windows 365 Boot direkt zu Ihrer Windows 11-Anmeldung. Nach der Anmeldung sind Sie direkt mit Ihrem Windows 365 Cloud PC verbunden, ohne weitere Schritte durchzuführen.\nDies ist eine großartige Lösung für gemeinsam genutzte Geräte, bei denen die Anmeldung mit einer eindeutigen Benutzeridentität Sie zu Ihrem eigenen persönlichen und sicheren Cloud-PC führen kann.\nBereitstellung Windows 365 Boot Voraussetzungen: Windows 11-basierte Endgeräte (Windows 11 Pro und Enterprise) Anmeldung zum Windows Insider Programm (Dev Channel) Microsoft Intune-Administratorrechte Windows 365 Cloud PC-Lizenz (siehe Erstellen von Bereitstellungsrichtlinien für eine Anleitung zum Erstellen von Cloud PCs). Schritt 1: Übertragen Sie die Windows 365-Boot-Einstellungen mit Intune auf Ihre Endgeräte Gehen Sie zu Devices \u0026gt; Provisioning \u0026gt; Windows 365 und öffnen Sie die \u0026ldquo;Windows 365 Boot guided setup\u0026rdquo;. Dies initiiert die geführte Einrichtung von Windows 365 Boot. Hinweis: Um fortzufahren, müssen Sie mindestens über Gruppen- und Intune-Administratorrechte verfügen !\nSchritt 2: Wählen Sie Next: Basics, um die Konfiguration zu starten. Die folgende Einstellung ist optional, aber es kann sehr nützlich sein, Ihre Endpunkte so umzubenennen, dass sie mit einem Präfix beginnen, um Endpunkte aus der Ferne zu identifizieren. Beispiel:\nSchritt 3: Geben Sie einen Ressourcen-Präfixnamen und eine Beschreibung ein. Dies hilft Ihnen, die Ressourcen zu finden, nachdem Sie sie erstellt haben und wenn Sie sie ändern möchten. Wählen Sie Next: Endpoint Updates Der Setup-Assistent enthält die folgenden Ressourcen:\n\u0026lt;Präfix\u0026gt; Windows 365 \u0026lt;Präfix\u0026gt; Azure Virtual Desktop (HostApp) \u0026lt;Präfix\u0026gt; Windows 365 Boot Enrollment Status Page Profile \u0026lt;Präfix\u0026gt; Windows 365 Boot Autopilot \u0026lt;Präfix\u0026gt; Windows 365 Boot Device Configuration Policy \u0026lt;Präfix\u0026gt; Windows 365 Boot Shared PC Gerätekonfigurationsrichtlinie \u0026lt;Präfix\u0026gt; Windows 365 Boot Windows Update-Richtlinie \u0026lt;Präfix\u0026gt; Windows 365 Boot-Richtliniensatz\nSchritt 4: Als Nächstes sind bestimmte bevorzugte Einstellungen in Bezug auf Windows-Updates zu konfigurieren. Da dem Benutzer keine lokale Windows-Benutzeroberfläche/Shell zur Verfügung steht und es sich um einen gemeinsam genutzten PC handeln könnte, ist es wichtig, dass Sie proaktiv Maßnahmen ergreifen, um sicherzustellen, dass Windows sicher bleibt.\nDazu gehören folgende Einstellungen:\nUpdate deferral settings Legen Sie fest (in Tagen), wie schnell monatliche Sicherheitsupdates und Windows-Funktionsupdates nach ihrer Veröffentlichung angewendet werden sollen. User experience settings Einstellungen für die Benutzerfreundlichkeit. Passen Sie die aktiven Stunden so an, dass Neustarts nur dann erfolgen, wenn sie die Produktivität des Endbenutzers nicht beeinträchtigen. Update deadline settings Einstellungen für die Aktualisierungsfrist. Die letzte Einstellung legt ein Zeitfenster für Updates fest, so dass sie innerhalb einer bestimmten Zeitspanne installiert und angewendet werden, um sicherzustellen, dass Endbenutzer immer ein sicheres Windows verwenden, wenn sie sich mit ihrem Cloud-PC verbinden. Hinweis: Windows 365 Boot unterstützt auch Windows Autopatch, sodass Sie die Patch-Verwaltung für Ihre Windows 365 Cloud-PCs delegieren können. Schritt 5: Sobald Sie Ihre Windows-Update-Einstellungen gespeichert haben, können Sie ein VPN-Profil oder ein Wi-Fi-Profil für Ihre Endgeräte vorkonfigurieren. Diese Einstellungen sind optional. Schritt 6: Verwenden Sie die optionale Spracheinstellung, wenn es eine lokale Sprache gibt, die Sie auf dem Endpunkt und in Bereichen wie dem Windows-Anmeldebildschirm verwenden möchten. Alle von Windows 11 unterstützten Sprachen sind konfigurierbar. Wir empfehlen, Ihre Einstellungen sowohl Windows 11-Endpunkten zuzuweisen, bei denen das Gerät gelöscht wurde, als auch neuen Endpunkten, die sofort einsatzbereit sind. Wenn Sie Windows 365 Boot auf vorhandenen Windows 11-Endpunkten bereitstellen, empfehlen wir Ihnen, den Endpunkt nach Abschluss dieser Konfiguration per Fernzugriff zu löschen. Sobald die Konfiguration abgeschlossen ist, erhalten alle Endpunkte in der Azure AD-Gruppe, die Sie angehängt oder erstellt haben, die zugewiesenen Ressourcen und Windows 365 Boot wird innerhalb weniger Stunden aktiviert.\nSchritt 7: Erstellen Sie schließlich unter Assignments entweder eine neue Gruppe oder weisen Sie der Ressource eine bestehende Azure AD-Gruppe zu. Wenn alles erfolgreich verlief bekommen Sie dies noch einmal bestätigt: Schritt 8: Überprüfen Sie ihre Einstellungen Windows Insider Program Um an der Vorschau von Windows 365 Boot teilzunehmen, muss der Windows 11-Endpunkt, den Sie konfigurieren möchten, im Windows Insider Program Dev Channel registriert sein. Die Schritte können über Microsoft Intune oder manuell auf dem Endpunkt unter Verwendung des folgenden Registrierungsprozesses durchgeführt werden:\nLogin experience Sobald Windows 365 Boot aktiviert ist, wird der Sperrbildschirm des Benutzers der Bildschirm von Windows 11 sein.\nQuellen und nützliche Links Windows Insider Program Dev Channel: https://www.microsoft.com/en-us/windowsinsider/\n","permalink":"https://m365simple.de/posts/win365boot/","summary":"Windows 365 Boot in Public Preview Mit Windows 365 Boot können Sie sich nun auf einem PC mit Windows 11 ab der Version 22H2, direkt bei Ihrem Windows 365 Cloud PC an ihrem Endgerät(PC) anmelden.\nSo gelangen Sie mit Windows 365 Boot direkt zu Ihrer Windows 11-Anmeldung. Nach der Anmeldung sind Sie direkt mit Ihrem Windows 365 Cloud PC verbunden, ohne weitere Schritte durchzuführen.\nDies ist eine großartige Lösung für gemeinsam genutzte Geräte, bei denen die Anmeldung mit einer eindeutigen Benutzeridentität Sie zu Ihrem eigenen persönlichen und sicheren Cloud-PC führen kann.","title":"Windows 365 Boot"},{"content":"Das Problem Im Rahmen des Betriebs ist die Datensicherung ein wichtiger Aspekt. In den meisten Fällen werden die im Azure AD gespeicherten Bitlocker Wiederherstellungs Schlüssel nicht durch eine Datensicherung erfasst. Neben diesem Grund kann es außerdem erforderlich sein die Schlüssel in der Vorbereitung auf die Migration in einen neuen M365 Tenant zu sichern.\nDer Lösungsweg Das Abrufen der Widerherstellungsschlüssel ist über das Microsoft Graph API möglich. Der einfachste Weg zur Verwendung des Graph API ist das Powershell SDK für die Graph API. Bei der Verbindung ist es wichtig die korrekten Scopes zu verwenden, damit das bei der Anmeldung erzeugte Token auch die richtigen Berechtigungen enthält. Benötigt wird speziell der Scope BitlockerKey.Read.All um die Recovery Keys abrufen zu können. 1 2 Import-Module Microsoft.Graph.Identity.SignIns Connect-MgGraph -Scopes BitlockerKey.Read.All Dem für die Anmeldung verwendete Nutzerkonto muss eine der folgenden Rollen zugewiesen sein. Ist keine dieser Rollen zugewiesen kann der angemeldete Nutzer nur die Schlüssel seiner eigenen Geräte abrufen.\nCloud device administrator Helpdesk administrator Intune service administrator Security administrator Security reader Global reader Die Liste aller Bitlocker Schlüssel kann mit dem folgenden Kommando abgerufen werden:\n1 Get-MgInformationProtectionBitlockerRecoveryKey -All -Property Key Allerdings sind die eingentlichen Schlüssel in dem Ergebnis der Liste nicht enthalten:\n1 2 3 4 5 6 Id Key -- --- 4cfedf91-d3eb-44a3-9672-554ca2003762 304b831a-f382-4ce5-9693-f44a6fc6303b 2420254e-138a-49f3-b6bc-c141d0723f6f 46cbf220-632c-4a99-b614-e64027fe39da Das Abrufen aller Bitlocker Recovery Keys ist mit einem Kommando also nicht möglich, da dieser keine Werte für den eigentlichen Schlüssel zurückliefert. Der Abruf eines einzelnen Schlüssels mit ist jedoch ohne Probleme möglich. 1 Get-MgInformationProtectionBitlockerRecoveryKey -BitlockerRecoveryKeyId 4cfedf91-d3eb-44a3-9672-554ca2003762 -Property Key | fl Ein möglicher Ansatz das Problem zu umgehen ist, das Abrufen aller Schlüssel in einer Schleife durchzuführen und die Ergebnisse anschließend in einer Datei zur späteren Verwendung zu speichern. Dieser Vorgang kann für ca. 2.000 Schlüssel in etwa 15 Minuten dauern.\nDas Skript Das nachfolgende Skript ruft alle vorhandenen Bitlocker Keys ab und speichert diese anschließend in einer JSON-Datei. Hier ist darauf zu achten diese Datei sehr sorgsam zu behandeln, da alle Keys darin enthalten sind!\n1 2 3 4 5 6 7 8 9 10 11 Import-Module Microsoft.Graph.Identity.SignIns Connect-MgGraph -Scopes BitlockerKey.Read.All $bitlockerkeys = Get-MgInformationProtectionBitlockerRecoveryKey -All $keys = New-Object System.Collections.ArrayList foreach ($key in $bitlockerkeys) { Write-Output \u0026#34;Processing key $($key.id)...\u0026#34; $key_value = Get-MgInformationProtectionBitlockerRecoveryKey -BitlockerRecoveryKeyId $key.Id -Property Key $keys.Add($key_value) } $keys | ConvertTo-Json | Out-File -FilePath \u0026lt;pfad\u0026gt;\\bitlocker.json Quellen und nützliche Links Erforderliche API permissions: https://learn.microsoft.com/en-us/graph/api/bitlockerrecoverykey-get?view=graph-rest-1.0\u0026amp;tabs=http#permissions Powershell Command - Get-MgInformationProtectionBitlockerRecoveryKey: https://learn.microsoft.com/en-us/powershell/module/microsoft.graph.identity.signins/get-mginformationprotectionbitlockerrecoverykey?view=graph-powershell-1.0\n","permalink":"https://m365simple.de/posts/bitlocker-recoverykey-backup/","summary":"Das Problem Im Rahmen des Betriebs ist die Datensicherung ein wichtiger Aspekt. In den meisten Fällen werden die im Azure AD gespeicherten Bitlocker Wiederherstellungs Schlüssel nicht durch eine Datensicherung erfasst. Neben diesem Grund kann es außerdem erforderlich sein die Schlüssel in der Vorbereitung auf die Migration in einen neuen M365 Tenant zu sichern.\nDer Lösungsweg Das Abrufen der Widerherstellungsschlüssel ist über das Microsoft Graph API möglich. Der einfachste Weg zur Verwendung des Graph API ist das Powershell SDK für die Graph API.","title":"Backup AzureAD Bitlocker Keys"},{"content":"Wofür steht MTA-STS MTA-STS steht für Mail Transfer Agent Strict Transport Security. Es handelt sich dabei um ein Sicherheitsprotokoll, das es Domäneninhabern ermöglicht, die Verwendung der Transport Layer Security (TLS)-Verschlüsselung beim Austausch von E-Mails mit anderen Mailservern zu erzwingen.\nIm Wesentlichen ist MTA-STS ein Mechanismus zum Schutz vor Man-in-the-Middle-Angriffen (MITM), die die E-Mail-Sicherheit und den Datenschutz gefährden können. Indem es TLS-Verschlüsselung vorschreibt und eine strenge Sicherheitsrichtlinie durchsetzt, verhindert MTA-STS, dass Angreifer E-Mail-Nachrichten abfangen und lesen sowie bösartige Inhalte verändern oder in diese Nachrichten einfügen.\nWarum sollte man MTA-STS einsetzen? Folgend aufgelistet einige Vorteile des Einsatz von MTA-STS:\nDurch die Implementierung von MTA-STS können Domänen sicherstellen, dass ihre E-Mail-Übertragung verschlüsselt und sicher ist, wodurch die Wahrscheinlichkeit von E-Mail-Verletzungen verringert wird. Außerdem fördert MTA-STS die Verwendung gültiger TLS-Zertifikate, was die Vertrauenswürdigkeit der Domäne erhöht.\nSchutz vor Man-in-the-Middle-Angriffen: MTA-STS verhindert, dass Angreifer Ihre E-Mail-Nachrichten abfangen und verändern, wodurch die Vertraulichkeit und Integrität Ihrer Kommunikation gefährdet werden kann.\nErzwingung von TLS-Verschlüsselung: MTA-STS erzwingt die Verwendung der TLS-Verschlüsselung, die für den Schutz sensibler Daten vor unbefugtem Zugriff unerlässlich ist.\nEinfache Implementierung: MTA-STS ist relativ einfach zu implementieren und zu konfigurieren, insbesondere für Domaininhaber, die bereits Erfahrung mit der Verwaltung von DNS-Einträgen haben.\nWie funktioniert MTA-STS? Für MTA-STS muss an der eigenen Maildomäne ein DNS-Eintrag namens \u0026ldquo;MTA-STS\u0026rdquo; hinzufügt werden. Dieser Eintrag enthält direkte Anweisungen an entfernte Mailserver bezüglich der E-Mail-Übertragung.\nFolgend aufgeführt einige Beispiele wie Anweisungen/Richtlinien aussehen könnten:\nOhne - Wenn \u0026ldquo;Ohne\u0026rdquo; eingestellt ist, bedeutet dies, dass die Domäne MTA-STS nicht unterstützt und die E-Mail-Übertragung auf SMTP-Standardprotokollen beruht.\nTest - Die Domäne testet eine neue MTA-STS-Richtlinie, und die Mailserver müssen die Anforderungen nicht vollständig erfüllen.\nErzwingen - Die Domäne hat MTA-STS erfolgreich implementiert und erzwingt sichere E-Mail-Verbindungen.\nWenn ein entfernter Mailserver eine zu sendende E-Mail erhält, prüft er automatisch, ob die Empfängerdomäne einen MTA-STS-Eintrag veröffentlicht hat oder nicht. Wenn ein MTA-STS-Eintrag gefunden wird, prüft der Mailserver die Richtlinie der Domäne für die E-Mail-Übertragung.\nWenn die Domänenrichtlinie auf \u0026ldquo;Ohne oder \u0026ldquo;Test\u0026rdquo; eingestellt ist, funktioniert die E-Mail-Übertragung mit den Standard-SMTP-Protokollen.\nWenn jedoch \u0026ldquo;Erzwingen\u0026rdquo; eingestellt ist, prüft der Mailserver, ob das von der Absenderdomäne verwendete TLS-Zertifikat gültig ist und von einer vertrauenswürdigen Stelle ausgestellt wurde. Ist das TLS-Zertifikat nicht gültig, schlägt die E-Mail-Übertragung fehl, und der Absender erhält eine Fehlermeldung.\nZertifikatsüberprüfung: Der zweite von MTA-STS verwendete Mechanismus ist die Zertifikatsüberprüfung. Wenn ein E-Mail-Server eine Nachricht erhält, prüft er im öffenltichen DNS auf die MTA-STS-Richtlinie des Absenders. Es wird geprüft, ob das Zertifikat des Servers mit der Richtlinie übereinstimmt. Sollten die Zertifikate nicht übereinstimmen oder keine veröffentlichte Richtlinie zutreffen, wird die E-Mail zurückgewiesen.\nEinrichtung von MTA-STS Um MTA-STS einzurichten, müssen Sie die folgenden Schritte ausführen:\nErstellung eines TLS-Zertifikats: Sie müssen ein TLS-Zertifikat für Ihre E-Mail-Domäne erstellen. Sie können entweder ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) erwerben oder ein kostenloses Zertifikat von Let\u0026rsquo;s Encrypt verwenden.\nErstellen einer MTA-STS-Richtliniendatei: Erstellen Sie eine Richtliniendatei , die Ihre MTA-STS-Richtlinie definiert. Diese Datei sollte den Namen \u0026ldquo;mta-sts.txt\u0026rdquo; tragen und auf dem Webserver Ihrer Domain gehostet werden.\nMTA-STS-Richtlinie veröffentlichen: Veröffentlichen Sie Ihre MTA-STS-Richtlinie , indem Sie einen DNS-Eintrag auf dem DNS-Server Ihrer Domain hinzufügen. Dieser Eintrag sollte ein TXT-Eintrag mit dem Namen \u0026ldquo;_mta-sts\u0026rdquo; sein und die URL zu Ihrer Richtliniendatei enthalten.\nTesten Sie die MTA-STS-Richtlinie: Sie sollten Ihre MTA-STS-Richtlinie testen, um sicherzustellen, dass sie korrekt funktioniert.\nMTA-STS-Protokolle überwachen: Überwachen Sie die Protokolle, um sicherzustellen, dass Ihre Richtlinie korrekt umgesetzt wird, und um eventuell auftretende Probleme zu beheben.\nSchnell umgesetzt in M365 Mit ein paar Zeilen Code können Sie dies in Exchange Online schnell implementieren:\n1 2 3 Connect-ExchangeOnline Get-transportRule Enable-TransportRuleTransportRule \u0026lt;Name der Richtlinie\u0026gt; -RequireTLS $true -EnableSecureTransport $true Wie testet man MTA-STS? Zunächst sollte überprüft werden, ob die zu testende Domäne eine MTA-STS-Richtlinie veröffentlicht hat. Dies können Sie tun, indem Sie eine DNS-Suche nach dem TXT-Eintrag \u0026ldquo;_mta-sts.domain.com\u0026rdquo; durchführen. Sollte der Eintrag existieren, so hat die Domäne MTA-STS bereits aktiviert.\nDes Weiteren müssen Sie das HTTPS-Zertifikat der Domäne überprüfen. Dazu können Sie Tools wie SSL Labs\u0026rsquo; SSL Server Test oder Qualys SSL Server Test verwenden. Die Testergebnisse zeigen, ob der Server MTA-STS unterstützt und ob das Zertifikat gültig ist.\nEine andere Möglichkeit der Überprüfung bietet folgende Seite: https://www.mailhardener.com/tools/mta-sts-validator\n","permalink":"https://m365simple.de/posts/mta-sts/","summary":"Wofür steht MTA-STS MTA-STS steht für Mail Transfer Agent Strict Transport Security. Es handelt sich dabei um ein Sicherheitsprotokoll, das es Domäneninhabern ermöglicht, die Verwendung der Transport Layer Security (TLS)-Verschlüsselung beim Austausch von E-Mails mit anderen Mailservern zu erzwingen.\nIm Wesentlichen ist MTA-STS ein Mechanismus zum Schutz vor Man-in-the-Middle-Angriffen (MITM), die die E-Mail-Sicherheit und den Datenschutz gefährden können. Indem es TLS-Verschlüsselung vorschreibt und eine strenge Sicherheitsrichtlinie durchsetzt, verhindert MTA-STS, dass Angreifer E-Mail-Nachrichten abfangen und lesen sowie bösartige Inhalte verändern oder in diese Nachrichten einfügen.","title":"Schutz der E-Mail Integrität - Überblick zu STS-MTA"},{"content":" Vor einer Woche ist Microsoft mit der Freischaltung von Teams 2.0 in die selbst ernannte „neue Ära“ gestartet. Was ist dran an dieser Aussage? – ein kurzer Erfahrungsbericht nach einer Woche.\nMicrosoft Teams 2.0 kann derzeit bei aktivem Public Preview (offizielle Dokumentation) getestet werden:\nWählen Sie die drei Punkte links neben Ihrem Profil aus, um das Menü „Teams“ anzuzeigen. Wählen Sie Info\u003ePublic Preview aus. Wählen Sie Zur Public Preview wechseln aus. Nachfolgend erscheint ein Schieberegler oben links im Teams Client, um die neue Version zu testen. Vorteile Teams ist endlich kein RAM-Schluckendes Monster mehr: Durch den Wechsel auf den leistungsfähigeren und stärker von Microsoft kontrollierten Technologie-Stack Edge Webview2 verbraucht Teams auf meinem Client tatsächlich ganze 40% weniger Arbeitsspeicher. Diese neuen schwäbischen Gewohnheiten sind im Alltag deutlich zu spüren.\nSterioide und Koffein: Während ich damals noch dachte ich ziehe einen Strohhalm durch eine Betonmauer gleite ich nun durch die neu gestaltete Oberfläche. Das macht sich nicht nur bei dem Aufrufen einzelner Kanäle und Tabs bemerkbar, sondern zeigt sich auch im Caching der Chats, die nun nahtlos durchgescrollt werden können.\nBrowser Chaos ade: Endlich kann ich problemlos zwischen verschiedenen Mandanten während eines aktiven Meetings switchen. Vor allem in internen Abstimmungen bei denen Kundeninformationen eines anderen Mandanten gesichtet werden ist dies ein echter Mehrwert.\nTechnischer Hintergrund: Microsoft Teams verwendet heute Electron als Framework zur Erstellung von Desktop-Anwendungen mit Webtechnologien wie JavaScript, HTML und CSS. Obwohl es bei einigen Entwicklern aufgrund seiner Flexibilität beliebt ist, ist es auch bekannt für seinen hohen Speicherverbrauch.\nInnerhalb von Electron wird Chromium für das Rendering eingesetzt. Chromium wiederum erkennt wie viel Systemspeicher verfügbar ist, und nutzt genug davon, um das Rendering zu optimieren. Wenn andere Anwendungen oder Dienste Speicher benötigen, gibt Chromium Speicher frei. Auf High-End-PCs spielt dies eine geringere Rolle, aber auf leistungsschwächeren und ausgelasteten Rechnern, kann die Leistung darunter leiden.\nAber, Aber\u0026hellip; Trotz der tollen neuen Funktionen gibt es noch Lücken und Bugs die bis zum offiziellen Release behoben werden sollen (Informationen von Microsoft):\nDie Teams Hintergrundbilder wurden nicht migriert und mussten erneut hochgeladen werden. Die endgültige Nutzung der Hintergründe brauchte noch einmal einen Neustart. Derzeit können keine Kanäle gelöscht werden. Es gibt vereinzelte Verbindungsabbrüche. Die Suche funktioniert noch nicht ganz. Es können noch keine neuen Teams erstellt werden. Es können keine neuen Registerkarten hinzugefügt werden. Es können noch keine neuen Kanäle erstellt werden. Erweiterte Anruffunktionen wie z.B. Warteschlangen sind noch nicht implementiert. Quellen und nützliche Links Zum technischen Hintergrund: https://tomtalks.blog/microsoft-teams-2-0-will-use-half-the-memory-dropping-electron-for-edge-webview2/\n","permalink":"https://m365simple.de/posts/erste-woche-mit-teams-2/","summary":"Vor einer Woche ist Microsoft mit der Freischaltung von Teams 2.0 in die selbst ernannte „neue Ära“ gestartet. Was ist dran an dieser Aussage? – ein kurzer Erfahrungsbericht nach einer Woche.\nMicrosoft Teams 2.0 kann derzeit bei aktivem Public Preview (offizielle Dokumentation) getestet werden:\nWählen Sie die drei Punkte links neben Ihrem Profil aus, um das Menü „Teams“ anzuzeigen. Wählen Sie Info\u003ePublic Preview aus. Wählen Sie Zur Public Preview wechseln aus.","title":"Die erste Woche mit Teams 2.0"},{"content":"Einleitung In der Lizenzierung der Nutzenden stellt sich für viele Unternehmen die Frage, welches der effizienteste und kostengünstigste Weg ist. Inbesondere die Microsoft Business Premium Lizenzierung ist für kleine Unternehmen sehr attraktiv. Am besten ist die Lizenzierung mittels Microsoft 365 Enterprise E3 damit vergleichbar. Die Unterschiede zwischen den Lizenzformen sind im Detail zu finden.\nDie Inhalte der Lizenzen sind dauernden Änderungen unterlegen und die nachfolgende Tabelle stellt eine Momentaufnahme für den Zeitpunkt der Betrachtung dar.\nDer Vergleich Microsoft Business Premium Microsoft 365 Enterprise E3 Nutzende Maximal 300 Unbegrenzt OnPremise CALs Exchange CAL (Dual Use)Sharepoint CAL (Dual Use)Windows Server CAL ❌ ✅ System Center Configuration Manager (Lizenzierung OnPrem) ❌ ✅ Shared Computer Activation (Office Apps auf TerminalServer) ✅ ✅ Azure Information Protection ❌ ✅ Azure Active Directory Azure AD Plan 1 Azure AD Plan 1 Windows 10/11 Windows Business (kein AlwaysOn VPN, MDOP, MBAM\u0026hellip;) Windows Enterprise E3 (BranchCache, AlwaysOn VPN, MDOP) Windows Update Windows Update for Business Windows Autopatch - Nur Hybrid/Cloud! (Windows Update for Business zzgl. Magie) Microsoft Defender (Auf Endgeräten) Defender for Business Plan 1 zzgl. folgendem: Vereinfachte Client-KonfigurationVerwundbarkeits-ManagementEDR (Erkennung und Reaktion)Threat hunting (6 Monate Logs)Threat Analytics Defender for Endpoint Plan 1 Microsoft Defender (for Office 365) Defender for Office 365 Plan 1 ❌ Office Apps (PC Installation) M365 Apps for Business (keine Gruppenrichtlinien) M365 Apps for Enterprise Exchange Online Plan 1 + Archiving (50 GB Postfächer) Plan 2 (100 GB Postfächer, DLP) Sharepoint OneDrive Plan 1 (1TB OneDrive) Plan 2 (unlimitierter Platz OneDrive) Endpoint Manager (Intune, Autopilot) ✅ ✅ Release Support Windows 24 Monate 36 Monate Quellen und nützliche Links Inhalte M365 Business Premium: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RWR6bM\nInhalte M365 Enterprise: https://go.microsoft.com/fwlink/?linkid=2139145\nMicrosoft Autopatch: https://learn.microsoft.com/en-us/windows/deployment/windows-autopatch/overview/windows-autopatch-faq\nDefender Office 365: https://learn.microsoft.com/de-de/microsoft-365/security/office-365-security/defender-for-office-365?view=o365-worldwide\nDefender for Endpoint: https://learn.microsoft.com/en-us/microsoft-365/security/defender-business/compare-mdb-m365-plans?view=o365-worldwide\nMicrosoft OneDrive: https://learn.microsoft.com/en-us/office365/servicedescriptions/onedrive-for-business-service-description\nWindows Support: https://learn.microsoft.com/de-de/windows/whats-new/windows-11-plan#servicing-and-support\n","permalink":"https://m365simple.de/posts/business-premium-vs-m365-e3/","summary":"\u003ch3 id=\"einleitung\"\u003eEinleitung\u003c/h3\u003e\n\u003cp\u003eIn der Lizenzierung der Nutzenden stellt sich für viele Unternehmen die Frage, welches der effizienteste und kostengünstigste Weg ist. Inbesondere die Microsoft Business Premium Lizenzierung ist für kleine Unternehmen sehr attraktiv. Am besten ist die Lizenzierung mittels Microsoft 365 Enterprise E3 damit vergleichbar. Die Unterschiede zwischen den Lizenzformen sind im Detail zu finden.\u003c/p\u003e","title":"Microsoft Business Premium vs. Microsoft 365 E3"},{"content":"Das Problem Wir hatten nach dem Lizenzwechsel von der Microsoft 365 E3 auf die Microsoft Business Premium Lizenzierung das Problem, dass neue Systeme, die über OSD Cloud oder OXE Boot bei einem unserer Kunden nicht mehr aktiviert waren und es zu folgender Fehlermeldung kam:\n\u0026ldquo;We can´t activate windows on this device as we can`t connect to your oganization´s activation Server\u0026hellip;\u0026rdquo;\nDas Skript Mittels des folgenden Script konnten wir die Geräte wieder davon überzeugen, dass die sich mit der digitalen Lizenz des Rechners aktivieren sollen.\n1 2 3 4 5 6 $CheckForGVLK = Get-WmiObject SoftwareLicensingProduct -Filter \u0026#34;ApplicationID = \u0026#39;55c92734-d682-4d71-983e-d6ec3f16059f\u0026#39; and LicenseStatus = \u0026#39;5\u0026#39;\u0026#34; $CheckForGVLK = $CheckForGVLK.ProductKeyChannel if ($CheckForGVLK -eq \u0026#39;Volume:GVLK\u0026#39;){ $GetDigitalLicence = (Get-WmiObject -query \u0026#39;select * from SoftwareLicensingService\u0026#39;).OA3xOriginalProductKey cscript c:\\windows\\system32\\slmgr.vbs -ipk $GetDigitalLicence } Quelle Folgender Artikel war bei der Problemlösung hilfreich: https://sccmentor.com/2022/09/14/we-cant-activate-windows-on-this-device-an-intune-solution-to-windows-not-activated/\n","permalink":"https://m365simple.de/posts/lizenz-wechsel-e3-business-premium/","summary":"Das Problem Wir hatten nach dem Lizenzwechsel von der Microsoft 365 E3 auf die Microsoft Business Premium Lizenzierung das Problem, dass neue Systeme, die über OSD Cloud oder OXE Boot bei einem unserer Kunden nicht mehr aktiviert waren und es zu folgender Fehlermeldung kam:\n\u0026ldquo;We can´t activate windows on this device as we can`t connect to your oganization´s activation Server\u0026hellip;\u0026rdquo;\nDas Skript Mittels des folgenden Script konnten wir die Geräte wieder davon überzeugen, dass die sich mit der digitalen Lizenz des Rechners aktivieren sollen.","title":"Windows Aktivierung bei Wechsel von Microsoft 365 E3 zu Mirosoft 365 Business Premium"}]