Der Bezug vom kostenlosen Office Paket von Microsoft für Schüler/-innen und Angestellte von Schulen funktioniert neu über Self Sign-Up. Nachdem man als Administrator die Domänen gemeldet hat, können die Schüler/-innen einfach auf die Seite www.office.com/getoffice365 und dort ihre Mailaddresse eingeben und auf „Erste Schritte“ klicken.
Das ist nun schon das zweite Mal, dass uns Malware per Mail erreicht.
Auch dieses Mal befindet sich die Malware in einem Zip-Archiv. Die Absenderadresse ist gefälscht und kann aber durchaus eine sein, die man kennt. Scheinbar kommen Absender und Empfänger aus einem infizierten Adressbuch, so dass die Chance gross ist, dass der Empfänger den Absender kennt und für vertrauenswürdig hält.
Wenn man das angehängte “Report.zip” (oder ähnlich) herunterlädt, handelt es sich um eine ausführbare “exe” Datei, die aber durch ein falsches Symbol (z.B. PDF) vertrauenswürdig erscheinen möchte.
Bei beiden Malen war es so, dass der Virenscanner die Datei noch nicht als Virus oder Trojaner erkennt. Auch bei diesem Mal wird die Datei auf www.virustotal.com nur von 3 aus total 57 Scannern als Malware erkannt wird.
Erfahrungen vom letzten Mal haben gezeigt, dass die gleiche Datei am nächsten Tag von allen 57 Scannern erkannt wird. Aber in dieser Zeit kann ein Befall stattfinden. Wir setzen Endpoint Protection von Microsoft ein. Um zu erreichen, dass der Scanner noch schneller angepasst wird, kann man ein “sample” an Microsoft schicken. Dazu verpackt man die Datei in ein mit dem Passwort “infected” geschütztes Archiv.
Dieses kann man über diese Seite an Microsoft zur Überprüfung senden, damit der Virenscanner möglichst schnell angepasst wird.
Eine Möglichkeit ist es, die Anwender per Mail zu informieren. Zum einen weiss ich aber, dass meine Mails oft nicht oder nicht richtig gelesen werden 
und zum anderen haben wir auch noch Schüler/-innen, die nach einer solchen Mitteilung vielleicht erst recht die Datei ausführen.
Es gibt aber nicht viele Gründe, wieso ausführbare Dateien überhaupt per Mail geschickt werden müssten. Besser ist es also, wenn man diese schon blockiert, bevor sie beim Benutzer ankommen.
Dazu wählt man im “Exchange Admin Center” –> “Nachrichtenfluss” –> “Regeln”.
Durch einen Klick auf das Plus kann man eine neue Regel erstellen.
Nun wählt man zuerst “weitere Optionen…”
Der Regel muss man einen Namen geben und dann wählt man “Mindestens eine Anlage hat ausführbaren Inhalt” und “Die Nachricht ohne Benachrichtigung anderer Benutzer löschen”. Man könnte die Nachricht auch an den Absender zurückschicken mit einer Meldung, dass wir keine angehängten ausführbaren Dateien akzeptieren. Aber bei gefälschten Absenderadressen ist das eher kontraproduktiv (am Schluss meint man noch wir seien die Virenversender).
Gemäss diversen Internetressourcen dauert es eine gewisse Zeit, bis die neue Regel aktiviert ist. Danach sollte man die Regel unbedingt mit einem Testdokument von einer externen Adresse überprüfen.
Hier findet sich ein entsprechender Blogbeitrag auf MSDN und hier auf dem Technet. Falls es zu Problemen kommt, findet man hier einen Beitrag, der allenfalls eine Lösung bietet.
Nachtrag
Schon kurze Zeit später werden Mails mit ausführbaren Anhängen korrekt gelöscht. Es wurde sogar erkannt, dass ein umbenanntes Worddokument keine ausführbare Datei ist. Ich musste eine richtige exe nehmen um zu testen…
Bisher musste man den Lehrpersonen und Schüler/-innen die Lizenz für den ProPlus Benefit freischalten, damit sie auf privaten Geräten Office gratis installieren konnten.
Neu bietet Microsoft einen “Self Sign-Up Prozess” an. Somit muss die Schule das Ganze nicht mehr verwalten, sondern nur noch die entsprechenden Domänen melden. Den Rest übernimmt Microsoft. Nach erfolgreicher Validierung können Schüler/-innen das Officepaket unter www.office.com/getoffice365 und Lehrpersonen unter www.office.com/teachers beziehen.
Wenn man wie wir den ProPlus Benefit bereits angeboten hat, muss man ein paar Änderungen vornehmen, wenn man auf die automatisierte Lösung wechseln möchte. Man kann aber auch bei der alten Version bleiben.
Mit dem folgenden Befehl kann man überprüfen, ob der Office 365 Tenant korrekt eingerichtet ist.
Get-MsolCompanyInformation | fl allow*
Wie oben beschrieben, muss man nun also noch den Befehl verwenden, damit sich die Schüler/-innen und Mitarbeiter selbständig anmelden können.
Set-MsolCompanySettings -AllowEmailVerifiedUsers $true
Danach stimmt alles.
Zusammen mit Office 365 bekommt man ja neben einem Exchange- und Lyncserver auch einen Sharepointserver für die eigene Organisation in der Cloud. Sharepoint bietet sehr viele Möglichkeiten (man kann das nur schon am entsprechend langen Wikipedia Artikel ablesen). Vielleicht versuche ich später einmal, noch mehr von Sharepoint zu nutzen. Im Moment ging es aber nur darum, als totaler Anfänger einen Ersatz für unser bisheriges Intranet anzubieten.
Vereinfacht gesagt, gibt es eine hierarchische Struktur:
Webseitesammlung –> Webseite –> Webseiteinhalte
Obwohl man auf jeder Stufe Berechtigungen vergeben kann, habe ich mich nach einer kurzen Recherche dafür entschieden, für eigenständige Bereiche (z.B. das Führungshandbuch einer einzelnen Schulgemeinde) mit anderen Berechtigungen eine eigene Webseitesammlung zu eröffnen.
Dazu wählt man im “SharePoint Admin Center” –> “Websitesammlungen” und dann “Neu” –> “Private Websitesammlung”.
Im sich öffnenden Fenster muss man Titel und Namen angeben, eine Vorlage auswählen und die Zeitzone richtig setzen.
Die weitere Konfiguration nimmt man als Administrator unter Websites vor.
Man kann nun die neue Website über die Suche öffnen.
Über das Zahnrad rechts aussen kann man die Einstellungen der Website vornehmen.
Als erstes habe ich die Berechtigungen angepasst. Besucher haben Leseberechtigung, Mitglieder können die Dokumente bearbeiten oder hochladen.
Damit die Oberfläche möglichst einfach aussieht, habe ich unter Schnellstart alle Einträge gelöscht. Ziel ist es nur eine einfache Dateiablage ähnlich dem Explorer auf dem Computer anzubieten, die möglichst selbsterklärend für die Benutzer ist.
Über “Seite” –> “Seite bearbeiten” kann man den Begrüssungstext anpassen und die nicht benötigten Elemente entfernen.
Danach habe ich links unten einen neuen Webpart “Dokumente” hinzugefügt.
Standardmässig ist bei “Dokumente” eine Versionierung und die Funktion Ein- und Auschecken aktiviert, die ja sehr nützlich sein kann, wenn verschiedene Personen an den gleichen Dokumenten arbeiten. Bei uns ändern ja nur einzelne oder wenige Personen die Dokumente, die meisten haben nur Leseberechtigung. Daher sind diese Funktionen bei uns kein Mehrwert, sondern verkomplizieren nur die Handhabung.
Dazu wählt man bei “Dokumente” –> “Bibliothek” –> “Bibliothekeinstellungen” und danach “Versionsverwaltungseinstellungen”.
Hier stellt man dann ein, dass “keine Versionskontrolle” nötig und auch das “Auschecken von Dokumenten” nicht erforderlich ist.
Als letztes habe ich noch “Die heraufgestuften Websites unten verwalten” ausgewählt und die Website hochgestuft.
Wenn sich nun eine Lehrkraft am Office 365 Portal anmeldet und Websites auswählt, kommt sie auf die Ansicht oben, kann auf die gewünschte Kachel klicken und kommt auf die entsprechende Website. Dort gibt es nur die Ansicht mit den Dokumenten. Mit “Datei suchen” wird nicht nur nach dem passenden Dateinamen, sondern auch im Inhalt der Dokumente gesucht.
Also nur einen kleinsten Bruchteil der Möglichkeiten von Sharepoint benutzt, aber dafür ist alles sehr einfach in der Handhabung.
Wie hier beschrieben, synchronisieren wir die meisten unsere Benutzer über DirSync vom lokalen Active Directory nach Office 365.
Dies bedeutet, dass man auch Änderungen an Benutzern im lokalen AD durchführen muss. Im Office 365 Portal wird darauf hingewiesen: “Dieser Benutzer wird mit Ihrem lokalen Active Directory synchronisiert. Bestimmte Details können nur in Ihrem lokalen Active Directory bearbeitet werden.”
Nun musste ich für eine Lehrperson eine Namensänderung durchführen. Alle Änderungen wurden dann ins Portal synchronisiert. Die Lehrperson hatte danach eine funktionierende neue Mailadresse, aber für die Anmeldung am Portal musste sie immer noch die alte Adresse verwenden. Im Portal sieht man unter Benutzernamen noch den alten Namen von der Erstsynchronisierung. Dieser kann im Portal nicht geändert werden und vom AD wird er auch nicht synchronisiert.
Um diesen Benutzernamen trotzdem zu ändern, muss man sich über das Azure Active Directory-Modul für Windows PowerShell (vgl. diesen Beitrag) mit Office 365 verbinden.
Danach kann man den folgenden Befehl verwenden:
Set-MsolUserPrincipalName -UserPrincipalName altername@schalt.ch –NewUserPrincipalName neuername@schalt.ch
NACHTRAG
Der E-Mail Alias benutzername@tenantname.onmicrosoft.com lässt sich leider nicht ändern. So kann es also passieren, dass nach einem Namenswechsel noch ein solcher Alias im System ist, der für einen neuen Benutzer wieder gebraucht würde. Office 365 löst das aber selber. Der neue Benutzername bekommt dann einen Alias mit einer angehängten Nummer.
Man kann sich diesen Alias also als eine Art eindeutige User-ID für Office 365 vorstellen. Da dieser ja weder für eine Computeranmeldung, noch für Mails verwendet wird, muss man ihn nicht weiter beachten.
Wir setzen Kalender in öffentlichen Ordnern für verschiedene Zwecke ein. So kann man das Informatikzimmer buchen, Laptops reservieren, Termine in den Schulhausterminkalender eintragen oder die Absenzen von Schüler/-innen nachschauen resp. eintragen.
Outlook kennt 3 Möglichkeiten, wie ein Mail formatiert werden kann: “Nur Text”, “Rich Text”, “HTML”.
“Rich Text” ist ein proprietäres Format von Microsoft. Wenn ein Mail mit diesem Format verschickt wird, kommt technisch TNEF (Transport Neutral Encapsulation Format) zum Einsatz.
Einige Mailclients wie das Mailprogramm von Apple können aber mit dem TNEF Protokoll versendete Mails nicht lesen und bekommen ein Mail mit einem Winmail.dat Anhang, den sie ohne zusätzliche Programme oder Onlinedienste nicht öffnen können.
Obwohl es zu Problemen mit TNEF auf Empfängerseite kommen kann, sollte man es nicht ganz deaktivieren, da TNEF für Zusatzfunktionen wie Besprechungseinladungen, Abstimmungsschaltflächen oder Mailformulare verwendet wird.
Für Mails an externe Empfänger, die keine solchen Zusatzfunktionen verwenden, sollte man also nie das “Rich-Text” Format verwenden, sondern immer nur “Nur Text” oder “HTML”. Dies erreicht man, indem man bei der Registerkarte “TEXT FORMATIEREN” überprüft, was ausgewählt ist.
Standardmässig sollte hier ausgewählt sein, was man unter “Datei” –> “Optionen” –> “E-Mail” eingestellt hat.
Nun kann aber auch noch jede Mailadresse separate Einstellungen aufweisen. Dies kann man überprüfen, indem man z.B. in Outlook 2013 einen Rechtsklick auf die Mailadresse macht und “Outlook-Eigenschaften öffnen” auswählt. Wenn dort “Outlook wählt das optimale Sendeformat” ausgewählt ist, kann man hier auch “Als Nur-Text senden” erzwingen.
Diese Hintergrundinformationen interessieren die meisten Benutzer aber nicht und werden von vielen auch nicht verstanden. Für die Benutzer sollte das Mailsystem einfach funktionieren. Daher kann es sinnvoll sein, als Administrator für einzelne Empfänger oder ganze Domänennamen den Versand mit TNEF zu deaktivieren, wenn z.B. die Empfänger mit Apple Mail arbeiten und die oben erwähnten zusätzlichen Funktionen gar nicht nutzen können.
Um eine ganze Domäne zu konfigurieren, muss man sich zuerst mit Exchange Online über Powershell verbinden. Danach kann man eine neue Remotedomain erstellen, die man in einem weiteren Schritt konfiguriert:
New-RemoteDomain –Name Beispielschule –DomainName beispielschule.ch
Set-RemoteDomain –Identity Beispielschule -TNEFEnabled $false
In diesem Technet-Artikel ist zusätzlich noch beschrieben, wie man die Einstellung für einen einzelnen Kontakt ändert.
Komisch ist, dass wir auch einen Empfänger hatten, der mit Outlook und einem lokalen Exchangeserver einen Winmail.dat Anhang erhalten hat. Darüber habe ich im Internet aber nichts gefunden und kann es mir auch nicht wirklich erklären. Vielleicht ist da bei der lokalen Installation des Exchangeservers etwas eingestellt, das dieses Problem verursacht. Ich bin dem aber nicht weiter nachgegangen, sondern habe auch in diesem Fall einfach die Remotedomäne für TNEF deaktiviert.
Mit Excel Online kann sehr einfach eine Umfrage erstellt werden, die online am Computer ausgefüllt werden kann. Die Resultate der Umfrage werden zeilenweise in eine Exceldatei geschrieben.
Es gibt 3 verschiedene Wege, wie man zu seinen Mails kommt.
Ich möchte hier zeigen, wie man sich seine Mails auf ein lokal installiertes Mailprogramm wie Outlook synchronisiert. Alle unsere Schüler/-innen und Angestellten können Outlook als Teil des Office 365 ProPlus Benefit gratis für ihren PC oder Mac herunterladen und installieren.
Wie man Outlook konfiguriert, damit man seine Mails, Kontakte, Kalender des Schulaccounts damit bearbeiten kann, wird hier beschrieben.
Nachtrag: Dieser Beitrag ist veraltet. Neu bietet Microsoft ein Self Sign-Up Portal an.
Microsoft bietet allen Schüler/-innen und Angestellten der Schule das volle Office Paket kostenlos zum Download. Das Programm heisst Office 365 ProPlus Benefit und erlaubt 5 Installationen auf PCs oder Macs und 5 Office Mobile Versionen auf Tablets und Smartphones.
Hier ist beschrieben, wie man das Office Paket herunterladen und installieren kann.
ictschule 