Manchmal steht man ja vor der Herausforderung, Office365 ProPlus konfigurieren zu müssen. Soll vorkommen, hab ich gehört. Dafür gibt es mehrere Arten, und klar, dass ich nicht alle hier behandeln kann. Aber zwei interessante wollte ich dann doch näher beschreiben.
Was fallen mir denn spontan für Methoden ein?
- jedes Mal neu rumklicken
- Office Bereitstellungstool
- Gruppenrichtlinien in der Domäne
- lokale Richtlinien ohne Domäne
- Cloud Policy Service
Das oberste ist natürlich nicht empfehlenswert, wer will das schon. Ich möchte über die unteren beiden schreiben, und zwar ganz einfach, weil ich über 2 und 3 nicht schreiben will. Zum einen sprengt das „Office Bereitstellungstool“ den Rahmen dieses Artikels, zum anderen, weil ich die „Gruppenrichtlinien in der Domäne“ bei den „lokalen Richtlinien ohne Domäne“ erwähne.
Lokale Richtlinien ohne Domäne
Die lokalen Richtlinien können mittels gpedit.msc bearbeitet werden. Im Rohzustand liefern die aber leider keine Einstellmöglichkeiten für Office365. Dazu muss man zuerst die „Administrativen Vorlagen“ runterladen und installieren. Die braucht man auch für die Gruppenrichtlinien in der Domäne, und man findet sie, wenn man nach „Microsoft Office Administrative Template files“ sucht oder auf den Link klickt. Abspeichern irgendwohin. Das ist eine EXE-Datei, einfach ausführen. Das entpackt 2 Ordner und 1 Datei in das angegebene Verzeichnis, zum Beispiel c:\temp. Das wird später nicht mehr benötigt, ist also egal.
Man sieht im Verzeichnis „admx“ mehrere Templates (Endung .admx) und Unterverzeichnisse für verschiedene Sprachen:
Diese Dateien müssen jetzt in den Systemordner kopiert werden, nämlich %systemroot%\PolicyDefinitions\ (normalerweise C:\Windows\PolicyDefinitions). Die .admx Dateien bitte direkt in den Ordner (da liegen auch schon andere rum), die Sprachen in den Unterverzeichnissen bitte in die entsprechenden Unterordner (ich nehm da meistens nur „de-de“ und „en-us“).
Das war es auch schon. Startet man jetzt den gpedit.msc neu, dann sieht man unter Administrative Vorlagen jede Menge Neues. Die Einstellungen für Diagnosedaten etc. stehen übrigens unter Benutzerkonfiguration, Administrative Vorlagen, Microsoft Office 2016, Datenschutz, Trust Center.
Der Nachteil dieser Methode ist, dass jeder Benutzer mit lokalen Admin-Rechten die Policy ändern kann. In Zeiten von Bring Your Own Device manchmal sub-optimal. Hier bietet sich noch eine andere Lösung an.
Cloud Policy Service
Der Cloud Policy Service erlaubt es dem Administrator eines Office365-Tenants, Vorgaben für Benutzergruppen zu machen, die dann beim Starten der lokalen Office-Applikation und dem damit verbundenen Anmelden des Benutzers angewendet werden, und zwar unabhängig davon, wer auf dem darunter laufenden System Admin ist und wer nicht. Schauen wir uns das mal gemeinsam an.
Der Service wird unter https://config.office.com aufgerufen. Nach Anmeldung als Administrator des Office-Tenants findet sich links im Menü unter „Anpassungen“ die „Richtlinienverwaltung“. Direkt drüber ist übrigens die Gerätekonfiguration für das Office-Anpassungstool, aber das wollten wir ja hier nicht behandeln.
Wie schon nebenbei erwähnt lassen sich Richtlinien nur an Benutzergruppen binden, und zwar als 1:1 Abbildung. Soll heißen: Eine Richtlinie pro Benutzergruppe, und pro Benutzergruppe auch nur eine Richtlinie. Also – falls nicht geschehen – erst mal Sicherheitsgruppen im Azure Active Directory bilden (oder rein synchronisieren) und Benutzer zuordnen. Und dann kann’s losgehen.
Zum Start ist wahrscheinlich noch keine Richtlinie konfiguriert, also auf „Erstellen“ klicken. Jedes Ding braucht einen Namen, am besten einen mit Wiedererkennungswert. Unter „Zuweisungen“ entscheiden wir uns für „Benutzer“, und unter „Gruppe auswählen“ – na was wohl – genau, die Gruppe, für die diese Richtlinie gelten soll. Und schon geht’s an das Konfigurieren der Richtlinie.
Zum Zeitpunkt dieses Artikels stehen 2075 Richtlinien zur Verfügung, ich denke, die Tendenz ist eher steigend. Hier empfiehlt es sich, im Suchfeld am oberen Rand die Auswahl etwas einzuschränken, siehe Beispiel.
Durch Anklicken der Policy kann sie konfiguriert werden. Das geschieht analog zu den Einstellungen der Gruppenrichtlinien und Lokalen Richtlinien (siehe weiter oben).
Hat man alle Einstellungen gemacht, dann kann die Richtlinie erstellt werden und wird bereitgestellt. Beim nächsten Starten einer Office-Applikation wird der Klick-und-Los-Dienst (ich finde den deutschen Namen viel witziger als den englischen) nach einer Richtlinie suchen und sie anwenden. Auf der Seite mit der Dokumentation zum Cloud Policy Dienst sind ein paar Hinweise, wann genau die Richtlinie angewendet wird (beim nächsten Starten, sofort etc). Bitte auch dran denken, dass eine Cloud-Richtlinie Vorrang hat vor lokalen Richtlinien oder AD-Gruppenrichtlinien!
Viel Spaß!
It's a cloudy world... 