Microsoft 365 Business Premium KI+

Bisher musste man die KI-Features mit rund 29 € monatlich extra bei Microsoft mieten. Erforderlich war dazu ein „Microsoft Tenant“ – auch als Geschäftskonto bekannt. Aus EU-Wettbewerbsgründen muss es den Coplilot Premium auch weiterhin einzeln geben.

Weil der „Microsoft 365 Business Premium“ schon immer „die eierlegende Wollmilchsau“ mit dem besten Preis-/Leistungsverhältnis ist, hat man sich entschlossen, mit dem neuen „M365 BP KI+“ ein Kombinationspaket zu schnüren. Es enthält neben allen Office Apps und den bekannten Cloud Features auch die Microsoft Copilot Premium mit ChatGPT 4.5 (ChatBot und Rest-API) und Dall-E 4.0 (aka. Microsoft Copilot Designer, generative Bild-KI). Enthalten ist auch eine „virtuelle Windows 365 Business-Cloud-PC“ Premium Lizenz mit 4 vCPUs, 32 GB RAM, 128 GB Speicher.

Monatliche Lizenzgebühren pro User sind nur 149,50 € zzgl. MwSt. Für ein All-Inclusive-Paket günstiger als mancher Server in Azure und mit allem, was man braucht, um die Arbeit zu erleichtern.

• Alle wichtigen Office Apps mit KI-Integration (Word,Excel,Powerpoint,Teams for Work, Outlook).
• Access und Publisher sind auch als installierbare Win32 Programme enthalten
• Ein kompletter Cloud-PC mit den oben angegebenen Leistungsdaten. So kann nach Ablauf von Windows 10 auf den alten Rechnern Linux oder Igel-OS installiert werden und man muss keine Windows Sicherheitsupdates auf dem Rechner machen. Hardwareneukauf entfällt
• Alle KI-Funktionen sind mit den neusten Versionen nutzbar – und ohne jegliche Wartezeiten
• Der Microsoft Designer ersetzt die Marketingabteilung

Microsoft Technologie Blog

Teams – Rathaus und Grammatik?

Heute kam ein großes Update für Microsoft Teams. Leider hat sich beim Update das Outlook Addon für Teams 2.1 verabschiedet. Outlook war damit kurzfristig ohne Teams-Buttons und ohne Statusanzeige. Diesmal half es auch nicht, Teams und Outlook neu zu starten. Nach Beenden von Outlook, Deinstallation des Addons unter Systemsteuerung/Programme & Features und Neustart des Teams Programms und der Outlook-Windows Anwendung (gemeint ist die Win32 Anwendung nicht die neue, schlechte Outlook-Store-App) – waren die Knöpfe und Stati wieder da.

Auch mit der Grammatik nimmt Teams das nicht so ernst: 7 Beiträge von Sie und... (es meint mich damit):

Im Kalender kann man nun über das Lookup im Teams-Knopf… ja! ein Rathaus planen … Rathaus?

#Lustig – während die Kriminalpolizei rät, was das bedeutet, kurz einen Versuch gestartet: Im Kleingedruckten der Maske steht dann im Betreff „Versammlung“.

Microsoft schreibt dazu:

In einer Versammlung können Organisatoren und Mitorganisatoren Echtzeit-Ereignisanalysen wie die Anzahl der Zuschauer, das Land oder die Region der Teilnehmer und vieles mehr anzeigen. Die Analyse besteht aus mehreren Datenwidgets, einschließlich Diagrammen und Grafiken, Aufschlüsselungstabellen und einer Zeitachse für die Anzeigeerfahrung.

https://support.microsoft.com/de-de/office/einblicke-in-versammlung-in-microsoft-teams-def99575-61bf-4ea2-ad0e-c6e75dce7741

Das erinnert mich an „Männlich, Weiblich, Taucher“… In einigen Dingen ist der Mensch der KI noch überlegen 😺. Ruft man die englische Version des Microsoft Support Artikels auf, wird dort von „Town hall insights in Microsoft Teams“ gesprochen. Aber genauso wie man Sprichworte nicht 1:1 ins Deutsche übersetzen kann oder umgekehrt, muss auch hier nachgelegt werden. Da war wohl jemand nicht „heavy on the wire“ und im „sleep on train“ unterwegs 🤣.

Teams 2.0 Pflicht ab 1. April 2024

Update 25.04.2024: Microsoft hat das Support-Ende von Microsoft Teams Classic auf den 30. Juni 2024 verschoben. Nun müssen Unternehmen die Teams-Versionen unter Windows bis zu diesem Zeitpunkt auf das neue Teams umstellen.

[time_until date="30.06.2024"]

Ursprünglicher Artikel: Es klingt wie ein Aprilscherz – ist es aber nicht. Wer derzeit noch mit dem „alten“ Teams 1.6 arbeitet – erkennbar an der Lila Menüfarbe und am Listeneintrag „Microsoft Teams classic“ in der Softwareliste – wird am 01. April 2024 auf das neue Teams 2.0 migriert. Ab Februar gibt es im Teams Classic schon Erinnerungen, die auf die Umstellung hinweisen. Teams 1.6 wird damit #endoflife – für Geschäftskonten.

Soweit nicht per Gruppenrichtlinie unterbunden von den Admins, werden oder haben einige bereits umgestellt. Dazu ist oben links in der Menüleiste des klassischen Teams ein Schieberegler, mit dem man auf das Neue umstellen kann und im neuen Teams in den Einstellungen der Schiebeschalter zurück zum klassischen Teams.

Es ist nachvollziehbar, dass Microsoft nicht zwei Clients auf Dauer pflegen möchte, zumal der alte Teams Client deutlich langsamer ist und auf Electron basiert. Die neue Implementierung im Chromium Stack (Microsoft nennt das: Edge Webview2 Runtime) mit reactjs ist deutlich schneller.

Allerdings sind einige Funktionen (wie als Moderator in einer Bildschirmfreigabe jemand Anderem die Sitzung zu übergeben – das Andere muss aktiv auffordern, die Steuerung zu übernehmen) im neuen Teams noch nicht verfügbar.

Erschwerend kommt hinzu, dass das neue Teams nur mit Geschäftskonten aka. EntraID funktioniert. Eine Anmeldung mit einem kostenlosen Microsoft-Konto (und damit eingeschränkter Funktionalität) ist nicht möglich. Wer also kein Geschäftskonto bzw. keine Microsoft 365 Tenant hat, wird bis auf Weiteres weiterhin den alten Teams Client benutzen müssen – oder aber im Webbrowser noch eingeschränktere Funktionen nutzen müssen.

Ich glaube der Termin für die „Zwangsumstellung“ ist zu früh gewählt, denn eine vollständige Ablösung vom Teams classic findet nicht statt.

Microsoft Copilot pro verfügbar

Kurz notiert: Microsoft bietet den Copilot in der kostenlosen Variante, der limitiert ist. Zu Spitzenzeiten sind die Wartezeiten länger und es wird auf ältere Trainingsmodelle (älter als ChatGPT-4 und Dall-E 4) zurückgeschaltet. Auch steht der Turbo-Modus nicht zur Verfügung und Bilder können nur im Seiten-Verhältnis 1:1 erstellt werden, nicht 16:9 und nicht Breitformat. Im Microsoft Designer stehen auch nur eingeschränkte Funktionen zur Verfügung. Designer ist quasi eine #KI unterstützte Bildbearbeitung im Browser. Zusätzlich können maximal 15 Bilder pro Woche erzeugt werden.

Ab sofort ist auch Copilot pro erhältlich. Die Aufhebung der Limitierungen schlägt mit 22 € pro User pro Monat zur Verfügung und verspricht zusätzlich eine bessere Integration der KI in Office Apps.

• Bevorzugter Zugang zu GPT-4 und GPT-4 Turbo auch in Spitzenlastzeiten für mehr Leistung und schnellere Bearbeitung Ihrer Aufgaben
• Zugriff auf Copilot in ausgewählten Microsoft 365-Apps, um Dokumente zu entwerfen, E-Mails zusammenzufassen, Präsentationen zu erstellen und vieles mehr
• Generieren Sie KI-Bilder mit DALL-E 3 im Querformat jetzt noch schneller mit Designer (früher Bing Image Creator) und 100 Boosts pro Tag

https://www.microsoft.com/de-de/store/b/copilotpro?rtc=1

Microsoft CO2-neutral vs. Elektronikschrott

In mehreren Werbekampagnen spricht Microsoft davon, bis 2030 klimaneutral zu sein. Dazu wird unter anderem „Windows Update ist jetzt CO2-fähig“ beworben. Schön, dass Microsoft etwas für den Klimaschutz tun möchte.

Wenn man kurz darüber nachdenkt und sich an die Hardware-Voraussetzungen für Windows 11 (aka. Vista 2.0) erinnert, wird Microsoft NICHT CO2-positiv, sondern CO2-negativ werden.

Eine Studie von Canalys kommt zu dem Schluss, dass viele Firmen ihre Rechner und Notebooks bis Oktober 2025 - #endoflife - ersetzen werden. Einige haben schon auf die die Enterprise LTSC 2019 Version mit Updates bis 2029 umgestellt oder setzen Azure Virtual Desktops (AVD) mit Windows 10 ein, das auch bis mind. 2029 Updates bekommen wird.

Die Unternehmen, die ohnehin alle vier Jahre die Notebooks und Rechner austauschen, können wir hier nicht abziehen, denn im Zweitmarkt für Gebrauchtgeräte lassen sich Windows 10 Endgeräte nicht mehr weiterveräußern. Demnach zählen diese auch zum produzierten Elektronikschrott.

Canalys kommt zu der Annahme, dass wenn allein nur jeder fünfte PC/Notebook verschrottet wird, 240 Millionen Endgeräte im Elektronikschrott landen. Teile dieser Geräte lassen sich anteilig recyclen – aber auch dieser Vorgang erzeugt wieder CO2. Der Rest landet im Müll.

Bei einem durchschnittlichen Gewicht von 2kg (Notebook) oder 6kg (Desktop PC) – rechnen wir mal mit 4 kg – ergibt das 1,2 Millionen Tonnen Müll.

Zur Info: Ein 4 Jahre genutzter PC hat einen CO2 Fußabdruck von etwa 100 kg (78kg Herstellung, 12 kg Transport) hinter sich. Wird er nicht weiterverwendet, kommen rund 8kg für den Recycling-Prozess dazu). Dass neue PCs weniger Energie verbrauchen und dass Laptops grundsätzlich sparsamer sind, als Desktop-PCs macht nicht viel aus. Noch unwahrscheinlicher wird das Ziel, wenn man darüber nachdenkt, wie viel Strom die KI mehr verbraucht und verbrauchen wird.

Fazit: Ein hehres Ziel von Microsoft, bis 2030 klimaneutral zu werden, lassen sich nicht erreichen wegen Millionen Tonnen Elektronik-Schrott, die mit dem Supportende von Windows ab Oktober 2025 entstehen werden.

Appell an Microsoft: Setzt die Mindestanforderung für den System-Prozessor bei Windows 12 für Intel Core-I Prozessoren auf alle ab der dritten Generation, nicht ab der Achten. Damit werden nahezu alle derzeit im Betrieb befindlichen Rechner weiterbetrieben werden können. Dass Firmen weiterhin PCs auswechseln nach 4 Jahren und damit den Hardware-Markt ankurbeln ist davon unabhängig. Secure Boot und TPM zu fordern ist für die meisten Business PCs kein Problem. Auch können sie mit SSD und RAM vielfach aufgerüstet werden.

Diskutieren Sie in den Kommentaren mit…

Quellen: Canalys, Microsoft Blogs und Umweltbundesamt

Copilot – Bilderkennung

Ein weiterer Anwendungsfall für die KI aka. Microsoft #Copilot ist die Erkennung von Bildinhalten. Mit Speisen funktioniert das zwar in den meisten Fällen nicht (obwohl Zanderfilet an der Hautmaserung leicht zu identifizieren ist und auch Garnelen leicht erkennbar sind), versuchen wir es mal mit aktuellen Automodellen.

Ich habe in Showroom das neue CLE-Coupe (von vorne und hinten) und einen Maybach fotografiert, die Bilder in der Microsoft Copilot Seitenleiste hochgeladen und gefragt, um welches Auto es sich handelt…

Nach einem EPIC Fail – Der CLE von vorne wird als Porsche Cayenne SUV erkannt, ist die Erkennung von hinten besser trainiert (obwohl das Coupe von hinten Ähnlichkeit mit dem 911er hat). Den Maybach kennt Sydney (aka. Copilot:ininende) dann auch direkt von vorn:

Das soll Sie aber nicht davon abhalten, die Bildidentifizierung auch mal auszuprobieren. Gerade im technischen Großhandel eine Artikelbeschreibung anhand eines Fotos zu bekommen oder im Gartenmarkt kann es auch ohne die PlantNet App und deren Community hilfreich sein, Pflanzen zu identifizieren.

Microsoft Copilot im Enterprise Plan

Microsoft Copilot und Datenschutz

Während die kostenlosen Zugriffe auf Microsoft BING Chat (a.k. ChatGPT 4) und den mit Windows 10 und 11 verteilten #Copilot Chatprompt, sowie die direkten oder indirekten Zugriffe auf Bing Image Creator (aka. Dall-E 3.0) alle eingegebenen Informationen öffentlich im Internet speichern und auch ausgewählte generative Bilder veröffentlichen, gibt es im Rahmen ausgewählter Microsoft 365 Pläne seit Dezember 2023 die Variante "Bing Chat Enterprise", sowie das daraus aufgerufene Datenmodell "Bing Image Creator Enterprise".

Basis für die Anmeldung ist dabei die EntraID (ehemals Azure Active Directory Anmeldung). Man meldet sich also (hierfür ist derzeit noch der Edge-Browser erforderlich, der aber nicht Standardbrowser sein muss) mit seinem Arbeitskonto im Edge Browser an und ruft bing.com auf. Hat man nun einen unterstützten Microsoft 365 Plan, ist man in einem Bing Chat Enterprise (Copilot) unterwegs, der die Prompts zwar zum Training benutzt, nicht aber der Person zuordnen kann und auch erstellte generative Bilder nicht im Internet speichert.

Welche Pläne erlauben Bing Chat Enterprise?

Microsoft Copilot (früher Bing Chat Enterprise) fügt kommerziellen Datenschutz für berechtigte Benutzer hinzu, die mit Geschäfts-, Schul- oder Unikonten (Entra ID) angemeldet sind. Derzeit ist kommerzieller Datenschutz in Copilot für Benutzer mit einer berechtigten Microsoft 365-Lizenz verfügbar:

• Microsoft 365 E3
• Microsoft 365 E5
• Microsoft 365 F3
• Microsoft 365 Business Standard
• Microsoft 365 Business Premium

https://learn.microsoft.com/de-de/copilot/manage

Der grün markierte Plan ist derzeit der mit dem besten Preis/Leistungsverhältnis, da er im Cloud-Einsatz die benötigten Einzelpakete zu einem günstigeren monatlichen Gesamtpaket vereinigt.

Vor- und Nachteile

[procons](+) gesenktes Risiko für Datenschutz-Verstöße||(+) es werden keine Prompts und Ausgabe-Daten dauerhaft gespeichert||(+) Anfragen und Ergebnisse stehen nur dem User zur Verfügung||(+) Bilder werden nicht in öffentlichen Galerien veröffentlicht, sondern stehen nur während der Browser-Sitzung dem User zum Download bereit||(-) Wer keine Microsoft 365 Pläne oben aus der Liste nutzt, geht leer aus und sollte die KI nicht geschäftlich nutzen||(+) im meistgenutzten Microsoft 365 Plan ist die Nutzung inbegriffen[/procons]

Fazit und Workshop

#Erfreulich - wenn Sie bereits die Microsoft 365 Business Premium Pläne im Unternehmen einsetzen, können Sie die verbesserten Datenschutzfunktionen des Copilot Enterprise nutzen.

Angebot: Wir bieten Ihnen einen Individual-Workshop an, um gemeinsam mit Ihnen die Voraussetzungen und neuen Möglichkeiten der datenschutzkonformen Nutzung der KI anhand ausgewählter Beispiele zu verdeutlichen und die Gefahren aufzuzeigen.

[linkbutton link="https://tech-nachrichten.de/workshop-copilot/" label="Workshop zum Microsoft Copilot"]

Wenden Sie sich an die Redaktion über das Schulungs-Anmelde-Formular oder kontaktieren Sie uns über die gewohnten Wege.

Microsoft Copilot – aufblasen!

Mit dem Dezember Update (oder wer es früher auf dem Rechner haben möchte mit dem optionalen Windows Update am 24.11.2023) verteilt Microsoft seinen Copilot nun auch an Windows 10 (22H2) Endgeräte. Die „Scharfschaltung“ der Funktionalität erfolgt dann zeitversetzt einige Wochen später. Je nach Microsoft 365 Abomodell lassen sich mit einem Geschäftskonto Funktionen der künstlichen Intelligenz abrufen. Microsoft spricht von einem Nachfolger des eingestellten „Cortana“ Assistenten. Auch mit einem Microsoft Konto stehen grundlegende Funktionen limitiert zur Verfügung. Aus Datenschutzgründen sollte der Copilot aber nur mit einem Geschäftskonto im Rahmen des Microsoft Tenants benutzt werden.

Da Windows 10 noch immer einen Marktanteil von über 78% hat und nicht zu erwarten ist, dass Firmen Millionen Tonnen von Elektronikschrott produzieren, weil sie funktionsfähige PCs, die drei bis fünf Jahre alt sind, verschrotten, rechnet sich die KI für eine Plattform Windows 11 mit mittlerweile geringerem Marktanteil (knapp 7% Pro/Enterprise, 18% Consumer-Versionen) als apple MAC-OS (rund 20%) vermutlich nicht.

#Witzig – Bei „Copilot“ muss ich als Erstes an eine Filmkomödie der Regisseure Abrahams/Zucker aus dem Jahre 1980 mit Leslie Nielsen denken: „Die unglaubliche Reise in einem verrückten Flugzeug„. Der beschriebene „Filmcharakter“ heißt zwar in der deutschen Fassung „Autopilot“, sitzt aber auf dem Sitz des Copiloten im Flugzeug. In der Szene verliert der Copilot Luft (wie Microsoft auf der Windows 11 Plattform). Legendäre Filmzitate vorher im Film „Mein Name ist Roger Murdock. Ich bin der Copilot“ und der Dialog zwischen Roger, Victor und Over „We have clearance, Clarence. Roger, Roger. What’s our vector, Victor?“

Wer diese Art von Humor mag, gebe bitte gern auf Google die Suchbegriffe „Copilot aufblasen“ oder „Roger Victor Vector over“ ein. Ein 2-Minuten Clip (den ich aus Copyrightgründen hier nicht verknüpfe) erläutert Details 🤣.

KI-Bild zum "Copilot" erstellt mit Bing Image Creator unter Assistenz von Dall-E

Azure AD wird zu Microsoft Entra ID

Kurz notiert: Microsoft hat am 11. Juli 2023 das Produkt „Azure Active Directory“ in „Microsoft Entra ID“ umbenannt. Vertraglich ändert sich nichts, auch die Preismodelle bleiben zunächst gleich. Weil das Active Directory in der Cloud schon immer ein Modul aus der Microsoft Entra Identitätslösung war, hat man sich entschlossen, die Bezeichnung anzupassen.

Wenn Sie Azure AD heute verwenden oder derzeit Azure AD in Ihren Organisationen bereitstellen, können Sie den Dienst weiterhin ohne Unterbrechung verwenden. Alle vorhandenen Bereitstellungen, Konfigurationen und Integrationen funktionieren weiterhin wie heute, ohne dass Sie etwas zu unternehmen brauchen.

Sie können vertraute Azure AD-Funktionen weiterhin verwenden, auf die Sie über das Azure-Portal, das Microsoft 365 Admin Center und das Microsoft Entra Admin Center zugreifen können.

https://learn.microsoft.com/de-de/azure/active-directory/fundamentals/new-name

Patchday Juli – eine Lücke bleibt

Wie üblich, hat Microsoft für seine unterstützten Betriebssysteme und für Office am Dienstag Sicherheitslücken geschlossen. Wer also für Office und Windows die Updates zeitnah installiert, ist sicherer unterwegs. Für die Server müssen laut Richtlinien von BSI und Versicherungen die Patches innerhalb von 7 Tagen installiert sein, ansonsten drohen Kürzungen bei Versicherungsleistungen.

Eine entdeckte Lücke in Office, die bereits ausgenutzt wird, bleibt aber noch ungepatcht: (CVE-2023-36884, CVSS 8.3, hoch). Hierbei kann beim Öffnen eines präparierten Dokuments durch Mitarbeitende Schadcode eingeschleust werden.

Mindestens eine Bande russischer Krimineller nutzt die Lücke bereits in großem Stil aus. Wie Microsoft verlautbart, schützt der Microsoft 365 Defender für Business vor den Attacken. Wer also M365 Business Premium und den enthaltenen Defender für Business einsetzt oder den Defender für Business Plan aktiviert hat, ist sicherer.

#Wichtig – Ein Workaround soll zusätzliche Sicherheit für alle noch unterstützten Office-Versionen bieten:

Windows Registry Editor Version 5.00
[Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION]
"Excel.exe"=dword:00000001
"Graph.exe"=dword:00000001
"MSAccess.exe"=dword:00000001
"MsPub.exe"=dword:00000001
"PowerPnt.exe"=dword:00000001
"Visio.exe"=dword:00000001
"WinProj.exe"=dword:00000001
"WinWord.exe"=dword:00000001
"Wordpad.exe"=dword:00000001 

Da auch Wordpad (Bestandteil von Windows und Windows Server) auftaucht, ist es ratsam den key generell auf alle Systeme auszurollen, da auch damit Word-Dokumente geöffnet werden können.

Microsoft Authenticator App matching numbers

Kurz notiert: Um die Sicherheit zu erhöhen, aktiviert Microsoft neben der MFA Verpflichtung den Mechanismus, eine auf dem Windows-Rechner im Browser angezeigte, zweistellige Zahl in der Authenticator App auf dem Smartphone einzugeben. Bisher musste man Login-Vorgänge nur in der App genehmigen.

Die Änderung gilt für beide Plattformen (IOS und Android) und ist verpflichtend. Wie und ob Microsoft die matching numbers bei den anderen Authentifizierungsverfahren (Telefonanruf und TOTP) realisiert, ist nicht bekannt, bzw. macht bei TOTP auch keinen Sinn, da man dabei meist einen Hardware-Token hat.

Weitere Details zur Zwei-Faktor-Autorisierung haben wir hier für Sie zusammengestellt.

Microsoft verlangt 2-Faktor in Microsoft 365

In letzter Zeit verschickt Microsoft E-Mails zu sogenannten "Sicherheitsstandards". Man weist Sie darauf hin, zu einem bestimmten Datum diese Sicherheitsstandards für Ihren Microsoft 365 Tenant zu aktivieren. Der Microsoft Tenant wird für alle Online-Anwendungen verwendet. Dazu zählen: Exchange online, Office, Sharepoint, Teams, Dynamics 365, gevis ERP | VEO, gevis ERP | SaaS, Power-BI, Microsoft CRM 365 und Weitere.

Siehe hierzu: Bereitstellen eines Standardsicherheitsniveaus in Azure Active Directory - Microsoft Entra | Microsoft Learn

Teil dieser Sicherheitsstandards ist die Aktivierung von #MFA (Multi-Faktor-Authentifizierung) für jeden Benutzer. Aus diesem Anlass gibt es ein paar wichtige Punkte, auf die wir Sie gerne hinweisen möchten.

Während derzeit nur rund 37% der Unternehmenskunden überhaupt MFA verwenden - ein großer Anteil sogar nur für administrative Konten, plant Microsoft so schnell wie möglich, den Faktor auf 100% und alle Benutzer zu steigern.

MFA ist ein Sicherheitsverfahren beim Anmelden, bei dem ein Benutzer neben seinem Benutzername und Kennwort einen weiteren Faktor zur Anmeldung benötigt, damit die Anmeldung genehmigt wird. Dieser Faktor ist im Falle der Sicherheitsstandards die Authenticator App von Microsoft, die auf dem Smartphone des Mitarbeiters installiert wird. Dort muss die Anmeldung bei Microsoft 365 zusätzlich genehmigt werden, was die Sicherheit vor Account Diebstahl deutlich erhöht.

Siehe hierzu: Azure AD Multi-Factor Authentication – Übersicht - Microsoft Entra | Microsoft Learn

Neben der App werden auch weitere Faktormethoden unterstützt wie Telefonanruf oder Hardwaretoken.

Nach der Aktvierung der Sicherheitsstandards von Microsoft, hat jeder Benutzer 14 Tage Zeit die App einzurichten. Nach Ablauf funktioniert die Anmeldung, ohne die App eingerichtet zu haben, nicht mehr. Eine nachträgliche Einrichtung ist aber weiterhin möglich. Falls Sie aktuell nicht über die nötigen Mittel verfügen, die Authenticator App bei jedem Benutzer zu installieren, empfehlen wir Ihnen folgende Möglichkeiten:

Einrichtung von Conditional Access

Die Authenticator App von Microsoft, dürfen Sie bereits bei Erstellung des Tenants sofort nutzen. Sie ist kostenlos als zusätzlicher Faktor und kann lizenzunabhängig eingerichtet werden. Neben der Authenticator App bietet Microsoft aber auch andere Möglichkeiten an, die Sicherheit durch einen weiteren Faktor zu erhöhen. Hier kommt Conditional Access zum Einsatz. Conditional Access kann andere Faktoren wie Standort, Betriebssystem, Geräte oder Gruppen nutzen, um den Zugriff für einen Benutzer zu gewähren. So kann sich der Mitarbeiter beispielsweise nur Anmelden, wenn er sich an einem der von Ihnen vorher definierten Standort befindet.

 Siehe hierzu: Was ist der bedingte Zugriff in Azure Active Directory? - Microsoft Entra | Microsoft Learn

Conditional Access ist lizenzpflichtig und wird nur bei einem EntraID Plan1 freigeschaltet, der alle Mitarbeitenden, die Conditonal Access nutzen sollen, lizenziert werden muss. Die EntraID Plan1 Lizenz ist bereits in dem Abonnement Microsoft 365 Business Premium enthalten.

Wenn MFA für die Benutzer aktiviert wurde, muss MFA auch für die Benutzer eingerichtet werden. Das gilt auch, wenn Conditional Access so eingerichtet ist, dass keine MFA-Anmeldung erforderlich ist.

Sicherheitsstandards wieder deaktivieren?

Update 12.12.2023 - Mittlerweile lassen sich die Richtlinien auch nicht mehr deaktivieren. Die Sicherheitsstandards können nach der Aktivierung von Microsoft auch wieder über Azure Active Directory #EntraID deaktiviert werden. Wir weisen an dieser Stelle klar darauf hin, dass wir das nicht empfehlen.

Die Deaktivierung sollte nur erfolgen, falls noch mehr Zeit für die Organisation benötigt wird, MFA Unternehmensweit einzuführen. Eine langfristige Deaktivierung kann der Sicherheit Ihrer Microsoft 365 Umgebung schaden.

Siehe hierzu: https://learn.microsoft.com/de-de/azure/active-directory/fundamentals/concept-fundamentals-security-defaults#disabling-security-defaults

Falls Sie noch Rückfragen zu dem Thema der Microsoft Sicherheitsstandards haben, können Sie jederzeit einen Vorgang eröffnen und wir beraten Sie gerne.

Fazit - AVD mit Office ist günstiger als ohne

MFA kann nur mandantenweit (ganzer Tenant) aktiviert werden. Wenn Sie vermeiden möchten, dass auch an Theken und Kassen-Arbeitsplätzen das Handy mit der Authenticator-App gezückt werden muss, benötigen Sie entweder einen Microsoft 365 Business Premium Plan oder bei anderen Plänen wie Windows E3 (für Azure virtual Desktop (AVD) ohne Office und ohne E-Mail) den Microsoft EntraID Plan 1. Diese beiden Zusammenstellungen erlauben auch Geräte-ID oder IP-Adresse des Geräts als zweiten Faktur zuzulassen. Die Nutzung der Authenticator App kann damit vermieden werden.

#Wichtig - Nutzer, die bisher einen Exchange online Plan 1 nebst Mailvirenschutz, Endpunkt-Virenschutz und AVD Zugriff nutzten, sollten auf den Microsoft 365 Business Premium Plan umstellen, sobald möglich, da die Summe der Einzel-Pläne den Preis des Premium-Plans überschreitet. Oder anders gesagt: Das Gesamtpaket mit Office ist günstiger als AVD mit Postfach und Schutz und MFA.

Microsoft Preisliste - nachgerechnet

Azure und Onlinedienste - Backup Fakten

#Wichtig - nach dem totalen Datenverlust eines norwegischen Cloud-Anbieters, hier die Fakten, was und wie bei Microsoft in ISO-zertifizierten Rechenzentren gesichert wird:

• SaaS: (z.B. gevis SaaS, ECM (Archiv) SaaS, BI1 SaaS) - Microsoft bzw. AWS führt einmal täglich einen Snapshot der Datenbanken aus. Dieser wird 30 Tage vorgehalten.
• IaaS: virtuelle Server, die Sie bei Microsoft in Azure betreiben, sind standardmäßig mit 1 Snapshot aller VMs pro Tag, 14 Tage lang und 10 Jahressicherungen gesichert. Wer mehr möchte, kann Wochen und Monatssicherungen zusätzlich mieten
• Online-Dienste: Exchange online, Sharepoint online, Teams, Onedrive für Business werden nicht gesichert. Diese Dienste verfügen nur über einen Papierkorb, der 30 Tage Datenrestauration (allerdings auch nur für Onedrive und Exchange Postfächer, nicht für Teams Chats und Teams Einstellungen). Wir empfehlen für die Sicherung dieser Dienste den Onlinedienst "Artikel A0002613 ConnectWise Full Cloud Backup".
• Mailarchiv: In den Microsoft 365 Business Premium Plänen ist ein Mailarchiv enthalten, das eingerichtet werden kann. Alternativ ein Drittprodukte mit Ihrem Dienstleister einsetzen - z.B. Mailstore als Onlinedienst.

Wir haben für Sie typische Fragen (und Antworten) zur #Datensicherung in der #Microsoft #Azure IaaS Cloud in dieser #FAQ zusammengefasst:

[faq]Was wird über Azure Backup gesichert?|=|Azure Backup macht sogenannte Snapshots von allen in Azure IaaS angelegten und zur Sicherung ausgewiesenen Servern. Hierbei wird die gesamte Windows oder Linux-Maschine mit allen Inhalten, Betriebssystem und Daten (Storage) komplett gesichert. Liegen auf einer Dateifreigabe die Dokumente (aka. Laufwerke P:, Q:, R:, S:), werden diese mitgesichert.
||Wie werden Daten in Azure Backup verschlüsselt?|=|Azure Backup verschlüsselt alle Ihre gesicherten Daten automatisch, wenn sie in der Cloud mit Azure Storage-Verschlüsselung gespeichert werden. Dies hilft Ihnen, Ihre Sicherheits- und Complianceverpflichtungen zu erfüllen. Ruhende Daten werden mit der AES-256-Verschlüsselung verschlüsselt (einer der stärksten verfügbaren Blockchiffren, die mit dem FIPS 140-2-Standard konform ist). Zusätzlich werden alle Ihre Sicherungsdaten während der Übertragung über HTTPS übertragen. Sie bleiben immer im Azure-Backbone-Netzwerk.
||Wieviele Backups der Datensicherung werden erstellt (Generationen)?|=| Die empfohlene Standardeinstellung (und Best-Practice) ist:

• [X] 14 Tages Sicherungen (1 x pro Tag)
• keine 5 Wochen Sicherungen (da deutlich teurer)
• keine 12 Monats-Sicherungen (da deutlich teurer)
• [X] 10 Jahres-Sicherungen

Hierbei ist entscheidend, dass Daten und Datenbanken, die älter als 14 Tage sind, keinen nennenswerten wirtschaftlichen Vorteil bieten. Für die Langzeitsicherung wird 1x pro Jahr eine Sicherung für 10 Jahre aufbewahrt.
||Wo wird die Datensicherung gespeichert (an anderen Orten oder anderer Cloud)?|=|Aus wirtschaftlichen Überlegungen (GRC ist mind. doppelt so teuer) ist die Datensicherung als LRC gebucht, d.h. sie findet am Standort des gewählten Rechenzentrums (Frankfurt, Berlin, Dublin, Amsterdam) statt.||Ist die Datensicherung gegen Eventualitäten eines Ransomware-Angriffs vorbereitet?|=| Hierzu gibt es eine Liste von Empfehlungen von Microsoft. Ob diese von den Syskos auch eingesetzt werden, muss dieser selbst prüfen.
||Kann ich die gevis Datenbank zusätzlich Offline-Sicherung On-Premises erstellen?|=|Rechnen Sie die Datenmenge des SQL-Backup-Ordners und teilen sie durch Ihren Downstream Ihrer Internet-Leitung. Wenn die benötigte Zeit ausreicht, könnten Sie ein NAS z.B. von Synology bei sich aufstellen und über den integrierten Mechanismus den Ordner darauf kopieren. Zusätzlich - wegen notwendiger OFFLINE-Sicherungen müssen regelmäßig auf an das NAS angeschlossene USB-Platten Sicherungskopien erstellt werden, die dann an einem anderen Ort gelagert werden.
||Wie kann ein Wiederherstellungstest durchgeführt werden?|=|Das BSI schreibt regelmäßige Rücksicherungstests vor. Best practice ist hierbei 1x pro Monat. Analog zum Datensicherungs-Band-Check (On-Premises) bieten wir auch für das Azure Backup Rücksicherungsprüfungen an. Der Bestellschein kann hier heruntergeladen werden.
||Wie werden Daten aus Teams, Sharepoint, Exchange online und Onedrive for Business gesichert?|=|Wenn Sie keine optional anzumietenden Lösungen wie Connectwise Full Backup einsetzen, werden diese Dokumente und Daten nicht gesichert. Über de Papierkorb-Funktion der Onlinedienste lassen sich Dokumente nur max. 30 Tage restaurieren. Wird der Papierkorb gelöscht, sind die Dokumente fort. Mit dem Einsatz von Connectwise Full Backup werden mehrere Snapshots der Dokumente am Rechenzentrum des Connectwise Onlinedienstes gesichert.
||Wie werden E-Mails archiviert?|=|Nur wenn im Rahmen des Microsoft 365 Business Premium Plans das E-Mail-Archiv auf den Postfächern aktiviert und bei den anderen Plänen lizensiert und aktiviert wird, erfolgt eine Archivierung von E-Mails. Alternativ kann unsere Archivlösung oder ein Barracuda Mailarchiv lizensiert und eingerichtet werden. Fremdarchiv-Onlinedienste sind ebenfalls denkbar, müssen aber vom Anbieter eingerichtet werden.[/faq]

ChatGPT und der erste April

Nun ja, das mit Google am ersten April war unser diesjähriger #Aprilscherz, wie einige bemerkt haben, Überhaupt fällt auf, dass sich diese Jahr fast alle ITler auf ChatGPT in ihren Scherzen konzentrieren.

ChatGPT selbst ist leider nicht sehr kreativ und bietet nur Vorschläge für zwei Scherze an:

Bing KI-Suche wird zu Google KI-Suche

Nachdem Microsoft mit dem Edge on Chromium Browser aktuell wieder Marktanteile verliert (Das hängt auch damit zusammen, dass der intergrierte PDF-Betrachter durch die Adobe Acrobat Reader Freemium Software mit Werbung ausgetauscht wird), möchte man sich ganz auf die künstliche Intelligenz konzentrieren.

Bisher musste man entweder Microsoft Edge benutzen oder in Chrome die bing.com Webseite aufrufen, um die Suchmaschine BING optional um die KI-Funktionen zu erweitern.

Ab sofort kann, wer als Standard-Browser Google Chrome für Enterprise verwendet (auch der empfohlene Browser unserer Redaktion), sich auf der Microsoft Bing ChatGPT-Seite (wie bisher) registrieren und (nach Verlassen der Warteschlange, was einige Tage dauert) die KI aus dem Chrome Browser heraus nutzen. Dazu muss nicht einmal mehr Edge on Chromium auf dem System installiert sein. Auch Cortana, der Sprach-Assistent ist optional, da Google ja ebenfalls eine Sprachengine enthält.

Die Google Suche bekommt damit ebenfalls die Microsoft ChatAI Funktion – man muss nicht BING verwenden als Suchmaschine.

Microsoft Tech Blog

Zum Aktivieren der KI-Such-Funktionalität (ehemals Bing ChatGPT inklusive der Google Sprachsteuerung) in Google Chrome (ab Version 111 stable) gehen Sie in die chrome://flags und setzen den folgenden Parameter auf „enabled“. Nach einem Neustart des Browsers und wenn Sie bei Microsoft freigeschaltet sind (siehe oben), antwortet Ihnen die Google Suche automatisch mit der künstlichen Intelligenz von (ehemals BING-) ChatGPT – selbstverständlich auf deutsch.

Defender 365 ATP – Quarantäne für Microsoft

Zum Onlinedienst Exchange online kann man E-Mail-Security und SPAM-Schutz dazubuchen (und hat den Defender mit Advanced Threat Protection im Business Premium Plan enthalten oder zum Exchange online-Plan den Defender gebucht).

Der Virenscanner ist so sicher, dass er selbst nachweislich von Microsoft (Kopfdaten im E-Mail-Header und Sendeverlauf der Mailserver) stammende E-Mails fallweise auch in Quarantäne „Phishing-Verdacht“ legt. Was mir dabei gar nicht gefällt ist, dass die Benachrichtigungs-E-Mail vom Microsoft Quarantäne-Center genau so aufgebaut ist, wie alle Phishing-Mails. So befindet sich darin beispielsweise ein Link, auf den man klicken soll. Geschulte User klicken auf keinen Fall auf den Link. Wer also weiß, wie er das Microsoft 365 Defender Quarantänecenter erreichen kann, gibt die URL dazu im Browser ein, wer nicht, fragt seinen Administrator nach der URL und gibt sie dann im Browser ein.

Im Quarantäne-Bereich angekommen, erscheint dann die E-Mail in der Liste. Hier wird nun auch der Grund für die Quarantäne genannt: SPAM-Verdacht, nicht Phishing.

Niemals auf Links und Buttons in E-Mails klicken, auch wenn die E-Mails von einem bekannten Absender stammen. Ist die Zieladresse bekannt, diese im Browser eingeben. Ist sie nicht bekannt, die E-Mail umgehend löschen!