xrated2

Der wird aber auch nicht zusätzliche Settings reinzaubern können ;) Ist der Bedarf so selten nach einer zweiter Sharepoint URL? Was ich bis jetzt so gefunden habe über Multi Tentant Umgebungen, da bezieht sich MS auf 1 Million User https://learn.microsoft.com/de-de/microsoft-365/education/deploy/design-multi-tenant-architecture

Einen zweiten Tenant habe ich ja angelegt in Azure bzw. Entra ID, ich sehe auch das die User dort als Gast hinterlegt werden. Aber Dienste wie Sharepoint, Teams sind damit halt nicht verbunden. Kann mir auch nicht vorstellen das da plötzlich ein Sharepoint auftaucht sobald man einen User eine neue Lizenz zuweist. Eine Websitesammlung bringt denke ich nichts, da gehts ja nur darum mehrere Sites innerhalb einer Site zur Verfügung zu stellen. Momentan ist das so gedacht das jeder Kunde eine eigene Site erhalten soll auf die er zugreifen darf. Und für jede dieser Sites sind verschiedene Mitarbeiter zuständig (also so quasi die halbe Firma, mal der, mal der). Die Rechtevergabe in Sharepoint ist auch höchst unflexibel. Sobald man externes teilen global erlaubt, dürfen die Besitzer der jeweiligen Sites machen was sie wollen mit der einzelnen Site.

Bräuchten dann nur diejenigen Premium die darauf zugreifen? Das könnte allerdings recht teuer werden. Interessant wäre auch wo man denn diesen Sharepoint überhaupt anlegt, unter dem zweiten neu erzeugten Tenant in Azure ist nämlich kein Sharepoint abrufbar unter der gewohnten URL.

Das sind ja auch nur einzelne Sites im Verbund. Der Chef will aber eine eigene URL und getrennte Systeme.

Der Chef hat Angst das Daten vermischt werden und er hat wo anders gesehen das das mit einem zweiten Sharepoint gelöst wurde. Es soll eindeutig getrennt sein. Auf dem jetzigen Sharepoint soll gar kein Gast zugreifen dürfen.

Hallo es wird ein zweiter Sharepoint benötigt weil Daten extern geteilt werden soll und es soll eine klare Trennung geben (nur mit einzelnen Sites reicht nicht). Bis jetzt habe ich nur rausgefunden das man dazu einen zweiten Tenant benötigt. Den kann man ja in EntraID anlegen, aber Sharepoint gibt im Rahmen vom Business Standard Abo wohl nur einen? Wie funktioniert das? Ein komplett neues Account und alle User neu anzulegen bringt ja auch nichts.

2 geht nicht weil es fremde Zielempfänger sind und war da nicht noch was das da nur bestimmte definierte IP Adressen senden dürfen? 3 hab ich auch schon probiert und ist in unserer Umgebung auch komplex weil ein anderer Mailserver vorgeschaltet ist, dass muss ich auch noch abändern. Ohne Security Defaults habe ich jetzt bei jedem User einzeln MFA aktiviert wo nötig. Auch keine schöne Lösung da Conditional Access aus Lizenzgründen nicht zur Verfügung steht.

Ja da steht aber auch nirgends das man die Azure Security Defaults deaktivieren muss das es geht. Habe endlos Zeit vergeudet bis ich das entdeckt habe. Aber dann funktioniert es. Ich muss mir jetzt erstmal einen Test Tenant machen, nochmal ohne trifftigen Grund schalte ich die nicht wieder an. Hatte heute 5 Leute die sich nicht mehr einloggen konnten wegen MFA.

Nicht immer kann man Oauth2 nutzen z.b. bei Druckern, BackupSoftware

sobald die Security Defaults in Azure aktiv sind, ist scheinbar auch BasicAuthSmtp deaktiviert. https://www.msxfaq.de/cloud/authentifizierung/security_defaults.htm Ich weiß nicht ob man mit einer zusätzlichen Userpolicy das ganze wieder aktivieren kann: https://vanbrenk.blogspot.com/2019/04/enable-basic-authentication-for-one.html

das kenne ich aber da kommt ein Fehler wegen Authentifizierung. Bei Wordpress konnte ich es mittlerweile mit einem spez. Plugin (oauth2) lösen

"für" nicht, aber dann macht doch kein MFA (zumindest für Mail) keinen Sinn mehr wenn man es über SMTP einfach aushebeln kann. Es ist wirklich sehr unübersichtlich wenn es soviele Mechanismen gibt (Basic, SMTP Auth, App password) und man nicht weiß welcher davon bei SMTP blockiert. Laut den Commands oben müsste es ja am App Passwort liegen? Da steht wieder was das es wegen MFA nicht geht: https://blog.icewolf.ch/archive/2020/10/19/exchange-online-send-mail-with-smtp-auth-from-a-shared/ Ich möchte Mails über Wordpress, Backup, Drucker etc. versenden und das geht anscheinend nicht wegen MFA oder App Password, was auch immer. Ich hab auch keine Lizenzen um MFA für bestimmte Konten mit conditional access auszumachen.

Also wegen MFA geht kein SMTP oder?

Get-TransportConfig | Format-List SmtpClientAuthenticationDisabled SmtpClientAuthenticationDisabled : False Get-OrganizationConfig | Format-Table DefaultAuthenticationPolicy DefaultAuthenticationPolicy --------------------------- Get-AuthenticationPolicy | Format-Table Name -Auto Also ich find hier nix was blockieren würde, nicht mal Basic Auth.

Hallo mir ist aufgefallen das SMTP nicht funktioniert. Liegt das an MFA oder Basic authentication? SMTP Authentication habe ich via PS abgefragt, ist aktiv. Ist bei jedem User auch an. Somit fällt das schon mal weg (unter Option 2,3): https://learn.microsoft.com/de-de/exchange/mail-flow-best-practices/how-to-set-up-a-multifunction-device-or-application-to-send-email-using-microsoft-365-or-office-365 Wenn ich aus Lizenzgründen kein conditional access für MFA machen kann, ist dann ein sog. App passwort die Lösung wie hier beschrieben? https://j0rt3g4.medium.com/how-to-send-emails-using-office-365-smtp-auth-help-part-2-smtp-auth-with-mfa-opc2-52ed3ca4fa5e

Das Userprofil ist ja letztendlich ganz normal lokal gespeichert aber irgendwie mit dem Computerkonto von AD verknüpft. Wenn man sich jetzt zb bei Windows mit vornamenachname@ad.firma.xy anmeldet und das o365 benutzerkonto nachname@newfirma.xy heisst, muss man dann womöglich noch das ganze Profil kopieren wenn es komplett in Azure sein soll? Jemand extern zu holen wird schwer, wenn es aktuell nicht geplant ist und jede Menge anderer Sachen auf der Agenda stehen. Ich bin mir auch sicher das es solche ähnliche Scenarien schon zig mal gab und gewisse Best Practices Artikel wie der typische Ablauf ist.

Die User greifen ja jetzt schon auf Sharepoint zu, dass ist nicht das Problem. Das Hauptding ist eigentlich wie das Userprofil am Windows Rechner, das jetzt in AD ist, zur Cloud kommt. Müsste man dann als nächstes entweder Hybrid AD einrichten und in Intune das Autoenrollment festlegen oder für reines Azure AD den Rechner in der Company Portal App manuell registrieren? Gibts für letzteres irgendwas zum automatisieren?

Vor allem der Grund, weil alle Devices im AD hängen aber diese ausschließlich über VPN mit AD kommunizieren. Es gibt vor Ort, wo die Server sind, nur noch 1 PC. So macht das keinen Sinn. VPN basiert auf SSTP und weil es kein Windows 10 Enterprise ist, musste ich mir damals wegen Corona selber auf die schnelle ein "Always On" VPN über Taskscheduler basteln. Und nach Corona arbeiten aber immer noch alle im Home Office bzw. an einem anderen Standort wo die IT fremd ist und nur WLAN zur Verfügung steht. Dort Server hinstellen geht also auch nicht. Ich habe bedenken das irgendein Windows Update diese VPN Funktionalität abschiesst. Ausserdem hat man mit der DSL Leitung einen Single Point of Failure. Nächster Punkt, neue PCs kann ich nur im LAN installieren. Der andere Punkt ist der, wenn ich alles in die Cloud bringen würde dann mache ich womöglich entbehrlich meinte der Chef. Die Firma hat sich nämlich mit anderen zusammengeschlossen und das könnte auch heissen das die IT zentralisiert wird. Böse böse das alles. Mich hätte erstmal interessiert wie man da generell vorgeht, ohne konkret was zu machen. Also wie das aussehen würde. Nicht im Detail sondern nur als grober Ablauf.

Hi mal angenommen es gibt ein AD mit User/Computer Objekten was hauptsächlich für GPO verwendet wird. Nennen wir es einfach mal DomäneX. Dann gibt es noch Benutzer in Azure (ohne payed Subscription) für Office365 mit komplett anderer Domäne DomäneY. Die Firma wurde umbenannt und musste die Domäne in Azure und Sharepoint ändern. Wenn das Ziel ist, die lokalen Server komplett zu ersetzen und ca. 30-40 Laptops komplett in die Cloud zu bringen, wie würde man vorgehen? Über Zwischenschritt AD Azure Connect? Geht das, wenn auch noch der Prefix anders ist? In Azure ist der User nur mit Nachnahme hinterlegt nachname@DomäneY und in AD mit zusätzlich erstem Buchstaben vom Vornamen vnachname@DomäneX. Oder gleich nach und nach jedes Laptop einzeln anfassen? Sollte man die DomäneY onmicrosoft Domäne auch nochmal als Toplevel reservieren? Diese lautet Firmenname+gmbh weil Firmenname schon belegt war. Nach aussen zu Kunden wird aber nur "Firmenname" benutzt. Das man die eMail Adresse nur mit Nachnamen anlegt hab ich mir nicht ausgedacht, der Chef wollte es haben und auch nicht ändern als es noch deutlich weniger User waren.

Gibt es einen Grund Verteiler statt der O365 Gruppen zu verwenden? Bei der O365 Gruppe kann ich auch (externe) Kontakte hinzufügen aber seltsamerweise nicht alle. Und auch nur innerhalb Outlook, im Admin Center kann ich die nicht auswählen.

Kann man die auch in Outlook erstellen? Ich sehe da nur normale Gruppen. Kontaktgruppe in Outlook scheint nur der User zu sehen.

Jetzt konnte ich doch noch einlenken, aber nur weil der Vertrag bei Ionos sowieso umgezogen werden müsste. Habe ich das bei MS richtig verstanden das die Mail immer in ein bestehendes Postfach geleitet werden muss und deswegen keine reinen Forwarder möglich sind? Kurious ist das der Chef die Mails von z.b. Marketing, Sales, HR etc. sehen will ohne ein extra Postfach öffnen zu müssen. Kann man von einem Postfach z.B. Sales dann Weiterleitungen auf mehrere Postfächer gleichzeitig setzen?

Auf mein Anraten die Lösung mit Forwarder und 2 verschiedenen Domains zu ändern auf eine einzige Maildomain bei MS kam die Antwort das das momentan keine Prio hätte. Momentan werden ja alle Mails von Ionos zu MS weitergeleitet auf eine onmicrosoft.com Domain. Das ist ja auch sehr ungewöhnlich und kann meiner Meinung zu erheblichen Komplikationen führen. Wurde damals notgedrungen so gemacht weil die Leute von Heute auf Morgen Exchange brauchten.

Das Frage ich mich auch. 99% der Kunden eMail Adressen landen auf einem einzigen Postfach. Nur bei manchen gibt es noch zusätzliche Postfächer.

Hallo ich habe zu dem Thema nichts gefunden, ist es bei O365 möglich reine Mailforwarder angzulegen ohne das die Mail als erstes abgelegt wird vor der Weiterleitung. Ich habe dazu keine Lösung gefunden und der Chef legt mir hier ein Ei indem er mir Forwarder (für jeden seiner Kunden!) anlegt, die in ein weiteres (einzelnes!) Sammelpostfach auflaufen. Er lässt sich davon auch nicht abbringen. Als Folge dessen läuft der DNS bei einem normalen Webhosting Vertrag bei Ionos wo die Userpostfächer zu einem O365 Postfach bei MS weitergeleitet werden weil ich diese Massen (über 300) an Forwarder nicht in O365 abbilden kann. In Folge dessen geht natürlich auch kein DMARC.