[{"content":" 🏷️ Tags # conditional access (1) copilot (1) entra id (2) exchange online (1) hybrid identity (1) intune (4) microsoft 365 (1) microsoft bookings (1) teams (2) ","date":"1. Juni 2026","externalUrl":null,"permalink":"/blog/","section":"Blog","summary":"","title":"Blog","type":"blog"},{"content":"","date":"1. Juni 2026","externalUrl":null,"permalink":"/","section":"DaKo365 Tech Blog","summary":"","title":"DaKo365 Tech Blog","type":"page"},{"content":"–\u0026gt; Also available in english!\nMicrosoft hat im April-2026-Update zu Entra die Transition von Entra Connect Sync zu Entra Cloud Sync angekündigt. Beide Werkzeuge synchronisieren Benutzer, Gruppen und Kontakte aus dem lokalen Active Directory zu Entra ID. Cloud Sync ist laut Microsoft die strategische Richtung für die hybride Identitätssynchronisation und der empfohlene Weg für die meisten Organisationen. Dieser Artikel ordnet ein, was angekündigt wurde, und was daraus für den Admin-Alltag folgt.\nWas Microsoft angekündigt hat # Die Kernaussagen der Ankündigung:\nMicrosoft beginnt die Transition von Entra Connect Sync zu Entra Cloud Sync. Als Gründe nennt Microsoft geringere lokale Komplexität, höhere Sicherheit und Zuverlässigkeit sowie einfacheres Management. Die Umstellung erfolgt phasenweise, abhängig von den Features, die eine Organisation einsetzt. Ab Juli 2026 informiert Microsoft betroffene Organisationen über ihr individuelles Transition-Fenster. Die Benachrichtigung läuft über das M365 Message Center, über Entra Connect Health und über gezielte E-Mails. Den Anfang machen Tenants, bei denen Cloud Sync die aktuellen Connect-Sync-Use-Cases bereits vollständig abdeckt. Spätere Wellen folgen, sobald Cloud Sync die jeweils benötigten Funktionen unterstützt. Microsoft formuliert es so, dass spätere Gruppen erst dann benachrichtigt werden, wenn die entsprechende Unterstützung in Cloud Sync verfügbar ist. Ein hartes, globales Abschaltdatum für Connect Sync wurde in diesem Zusammenhang nicht genannt. Laut der offiziellen Migrations-FAQ musst du nicht migrieren, solange die von dir benötigten Funktionen in Cloud Sync nicht unterstützt sind. Bis dahin kannst du Connect Sync weiter betreiben und migrierst, sobald diese Funktionen verfügbar werden.\nZwei getrennte Termine sauber auseinanderhalten # In der Microsoft-Kommunikation laufen zwei unterschiedliche Vorgänge nebeneinander. Sie gehören nicht zusammen und haben unterschiedliche Konsequenzen.\nPflicht-Upgrade von Connect Sync (harte Deadline). Connect-Sync-Versionen älter als 2.5.79.0 stellen den Sync zum 30. September 2026 ein. Hintergrund ist eine Backend-Sicherheitsänderung. Wer unter dieser Version liegt und nicht aktualisiert, dessen Synchronisation stoppt. Der Installer ist nur noch über das Entra Admin Center verfügbar (Blade „Microsoft Entra Connect\u0026quot;), nicht mehr über das Microsoft Download Center. Die zugehörigen Message-Center-Einträge sind MC1262584 und MC1263280. Microsoft staffelt die Durchsetzung pro Tenant, die für dich gültigen Daten stehen also in deinen Message-Center-Benachrichtigungen. Dieser Schritt betrifft dich auch dann, wenn du auf Connect Sync bleibst, denn es ist Bestandspflege, kein Migrationsschritt.\nMigration zu Cloud Sync (phasenweise, ab Juli notifiziert). Das ist der eigentliche Umzug auf das neue Werkzeug mit individuellen Fenstern und Benachrichtigungen. Hier gibt es Stand heute kein hartes Abschaltdatum.\nDie praktische Reihenfolge lautet also: zuerst das Pflicht-Upgrade bis 30. September 2026, danach, sofern Tenant und Umgebung dafür bereit sind, die Migration zu Cloud Sync.\nParallel dazu greift ab 1. Juni 2026 zusätzlich das Hard-Match-Hardening, bei dem Entra bestimmte Hard-Match-Takeovers auf rollenbehaftete Cloud-Objekte blockiert. Das ist ein eigenes Thema, sollte aber im Hinterkopf bleiben, da im selben Zeitraum mehrere Sync-Änderungen zusammenfallen.\nWie Cloud Sync aufgebaut ist # Cloud Sync verlagert die Konfiguration in die Cloud. Statt eines dedizierten Connect-Servers installierst du einen leichtgewichtigen Provisioning-Agent auf einem domänen-gejointen Server. Die Sync-Engine läuft bei Microsoft, die gesamte Konfiguration liegt im Entra Admin Center. Daraus ergeben sich laut Microsoft folgende Eigenschaften:\nCloud-managte Konfiguration. Konfiguration, Statusprüfung und Troubleshooting erfolgen über das Entra Admin Center, ohne direkten Serverzugriff oder VPN. Konfigurationsänderungen werden automatisch an die Agents verteilt. Mehrere aktive Agents. Cloud Sync unterstützt mehrere aktive Provisioning-Agents mit automatischem Failover. Fällt ein Agent aus, übernehmen die übrigen. Connect Sync stellt dagegen einen Single Point of Failure dar. Automatische Agent-Updates. Die Agents beziehen Updates und Sicherheitspatches automatisch von Microsoft. Native Unterstützung getrennter Forests. Disconnected Forests, typisch bei Mergern und Akquisitionen, werden ohne Forest-Konsolidierung unterstützt. Plattform für neue Features. Neue Synchronisations- und Provisioning-Funktionen entwickelt Microsoft primär auf Cloud Sync. Beispiele sind Group Provisioning nach Active Directory und erweitertes Source-of-Authority-Management. Zu den Agent-Voraussetzungen: Windows Server 2016, 2019 oder 2022, mindestens 4 GB RAM, .NET 4.7.1 oder höher, kein Server Core. Der Agent muss die Domänencontroller per LDAP (TCP 389) und Global Catalog (TCP 3268) erreichen.\nCloud-first: Entra ID als führendes Directory # Cloud Sync ist nicht auf die klassische Richtung von Active Directory nach Entra ID beschränkt. Es ist zugleich die Grundlage für ein cloud-first-Modell, in dem Entra ID zur Source of Authority (SOA) wird. Praktisch bedeutet das, dass ein bestehendes, aus AD synchronisiertes Objekt auf cloud-verwaltet umgestellt wird. Danach wird es nicht mehr aus AD überschrieben, sondern verhält sich, als wäre es originär in der Cloud erstellt worden.\nDafür gibt es zwei zusammenhängende Bausteine:\nSource-of-Authority-Umstellung. Für Benutzer und Kontakte stellt Microsoft eine dokumentierte Umstellung der SOA auf Entra ID bereit, mit der sich einzelne synchronisierte AD-Objekte in cloud-verwaltete Identitäten überführen lassen. Für diese Objekte entfällt damit die Abhängigkeit von der AD-Synchronisation. Die SOA-Umstellung für synchronisierte Gruppen befindet sich zum Zeitpunkt der Ankündigung in der Public Preview. Da sich der Funktionsstand je Objekttyp unterscheidet, lohnt sich vor dem Einsatz ein Blick in die Doku, ob das jeweilige Szenario bereits allgemein verfügbar (GA) oder noch Preview ist. Group Provision to AD DS. Cloud Sync kann cloud-verwaltete Sicherheitsgruppen zurück nach Active Directory provisionieren (im Cloud-Sync-Setup als Konfiguration „Microsoft Entra ID to AD sync\u0026quot;). Damit lassen sich AD- bzw. Kerberos-basierte Anwendungen aus der Cloud über Entra ID Governance steuern. Diese Richtung ist ausschließlich in Cloud Sync verfügbar, Connect Sync kann das nicht. Zwei Punkte sind dabei wichtig. Erstens ist das kein Dual-Write: Sobald die SOA eines Objekts in der Cloud liegt, werden direkte Änderungen am On-Prem-Objekt beim nächsten Provisioning-Zyklus wieder überschrieben. Die Cloud ist die führende Quelle. Zweitens geht es um Gruppen und um die Autoritätsverlagerung bestehender Benutzer, nicht um das Neuanlegen von Benutzern in AD aus der Cloud heraus. Cloud-to-AD-User-Provisioning wird derzeit weder von Connect Sync noch von Cloud Sync unterstützt.\nVoraussetzungen für die SOA-Szenarien sind unter anderem ein aktueller Provisioning-Agent, das AD-Schema-Attribut msDS-ExternalDirectoryObjectId (ab Windows Server 2016 enthalten) sowie die passende Microsoft-Graph-Berechtigung zum Ändern der SOA.\nFunktionsumfang: Was Cloud Sync kann und was nicht # Cloud Sync hat noch nicht den vollen Funktionsstand von Connect Sync. Genau das ist der Grund für die phasenweise Migration. Die folgende Übersicht orientiert sich an der offiziellen Vergleichstabelle im Decision Guide.\nVolle Parität besteht bei: Synchronisation von Benutzern, Gruppen und Kontakten, Single und Multiple Connected Forests, Password Hash Synchronization, Password Writeback (SSPR), Directory Extensions (1 bis 15), Basis-Attributanpassung über den Expression Builder, OU-basiertem Filtering und Seamless Single Sign-On.\nIn Cloud Sync nicht (oder nur eingeschränkt) verfügbar:\nFunktion Status in Cloud Sync Device-Synchronisation (Hybrid Entra Join) nicht unterstützt Device Writeback eingestellt zugunsten Cloud Kerberos Trust Scale pro Domain max. 150.000 Objekte (Connect Sync unbegrenzt) Gruppengröße max. 50.000 Mitglieder (Connect Sync bis 250.000) Pass-Through Authentication Config separat vom Sync gemanagt ADFS-Integration separate Werkzeuge erforderlich Advanced Sync Rules nur Expression Builder Attribut-basiertes Filtering eingeschränkt Cross-Forest-Referenzen nicht unterstützt Attribut-Merge aus mehreren Domains nicht unterstützt Reconciliation (Out-of-band-Korrektur) nicht unterstützt User Provisioning nach AD in beiden nicht unterstützt Zur Authentifizierung der Hinweis von Microsoft: PHS, PTA und Seamless SSO funktionieren nach einer Migration weiter. Die PTA- und ADFS-Konfiguration wird in Cloud Sync lediglich getrennt vom Sync verwaltet.\nMigrationsreife: Wer kann, wer wartet # Microsoft teilt Organisationen im Decision Guide in drei Gruppen ein.\nSofort migrationsfähig, wenn alle Kriterien erfüllt sind: weniger als 150.000 Objekte pro Domain, Gruppen mit weniger als 50.000 Mitgliedern, kein Hybrid Entra Join (oder Bereitschaft zur Umstellung auf Cloud Kerberos Trust), Authentifizierung über PHS oder separat verwaltetes ADFS/PTA, OU-basiertes Filtering statt komplexer Attribut-Regeln, Single Forest oder verbundene Forests.\nMigration in naher Zukunft planen, wenn aktuell Hybrid-Join-Device-Synchronisation, komplexes Attribut-Filtering oder User Provisioning nach AD benötigt wird. Diese Punkte könnten künftig unterstützt werden, daher Feature-Ankündigungen beobachten.\nMigration für später evaluieren, wenn die Umgebung jenseits der Scale-Limits liegt, umfangreiche custom Sync Rules pflegt, Cross-Forest-Abhängigkeiten hat oder zwingend auf Reconciliation angewiesen ist. Für große Umgebungen empfiehlt Microsoft, die Migration nach Domain oder OU zu segmentieren.\nWas du jetzt prüfen solltest # Connect-Sync-Version feststellen. Über die Synchronization-Service-Manager-Konsole prüfen, ob die Version mindestens 2.5.79.0 ist. Falls darunter, aktualisieren. Deadline ist der 30. September 2026, der Installer liegt im Entra Admin Center. Feature-Abhängigkeiten gegen die Funktionsübersicht halten. Bereits ein einziges nicht unterstütztes Feature bedeutet vorerst Verbleib auf Connect Sync. Message Center beobachten. Die individuellen Transition-Fenster werden ab Juli 2026 dort bekanntgegeben. Schrittweise Migration und Test einplanen. Ein Parallelbetrieb für dieselben Objekte ist nicht unterstützt. Stattdessen migrierst du OU-weise, sodass jede OU zu einem Zeitpunkt nur von einem Tool verwaltet wird. Während der Migration wird Connect Sync in den Staging-Modus versetzt, ein Rollback ist möglich. Sichere vorher deine Connect-Konfiguration per Import/Export. Zum Pilotieren eignen sich eine Test-Forest sowie On-Demand Provisioning, mit dem du Konfigurationsänderungen an einem einzelnen Benutzer prüfst. Fazit # Microsoft hat den Umstieg von Entra Connect Sync auf Cloud Sync offiziell gestartet. Die Migration läuft phasenweise, beginnt mit den Tenants, deren Anforderungen Cloud Sync bereits abdeckt, und wird ab Juli 2026 individuell notifiziert. Ein hartes Abschaltdatum für Connect Sync gibt es derzeit nicht.\nZwei Punkte sind für die Praxis entscheidend. Erstens ist das Pflicht-Upgrade auf Version 2.5.79.0 bis zum 30. September 2026 von der Migration zu trennen. Es betrifft alle Connect-Sync-Installationen. Zweitens ist Cloud Sync noch nicht funktionsgleich zu Connect Sync. Umgebungen mit Hybrid Join, Device Writeback, komplexen Sync Rules oder Cross-Forest-Abhängigkeiten bleiben vorerst auf Connect Sync. Für alle anderen ist der Umstieg bereits jetzt möglich.\nQuellen # Microsoft Learn: Migrate from Microsoft Entra Connect to Cloud Sync (Decision Guide) Microsoft Learn: Migrate from Microsoft Entra Connect Sync to Cloud Sync FAQ Microsoft Learn: Migrating from Microsoft Entra Connect to Microsoft Entra Cloud Sync Microsoft Learn: Microsoft Entra releases and announcements (What\u0026rsquo;s new) What\u0026rsquo;s New in Microsoft Entra: May 2026 (Tech Community) Microsoft Learn: What is Microsoft Entra Cloud Sync? (Source of Authority management) Microsoft Learn: Configure user Source of Authority (SOA) Microsoft Learn: Provision groups to AD DS using Microsoft Entra Cloud Sync ","date":"1. Juni 2026","externalUrl":null,"permalink":"/blog/entra-connect-sync-cloud-sync-umzug/","section":"Blog","summary":"","title":"Entra Connect Sync zieht zu Cloud Sync um: Was Microsoft angekündigt hat","type":"blog"},{"content":"","date":"1. Juni 2026","externalUrl":null,"permalink":"/tags/entra-id/","section":"Tags","summary":"","title":"Entra ID","type":"tags"},{"content":"","date":"1. Juni 2026","externalUrl":null,"permalink":"/tags/hybrid-identity/","section":"Tags","summary":"","title":"Hybrid Identity","type":"tags"},{"content":"","date":"1. Juni 2026","externalUrl":null,"permalink":"/tags/","section":"Tags","summary":"","title":"Tags","type":"tags"},{"content":" Folge 108 - Teams Tipps \u0026amp; Tricks - Volume 3\nMan sagt ja: Aller guten Dinge sind drei! Und daher: Willkommen zur dritten Episode von MS Teams Tipps \u0026amp; Tricks. Es erwarten euch viele spannende Tipps, die euch den Umgang mit Teams erleichtern werden\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#M365 #Microsoft365 #Microsoft #Office365 #Alltag #Techies #Geeks #teams #tipps #tricks\n","date":"15. Mai 2026","externalUrl":null,"permalink":"/videos/folge-108-teams-tipps-tricks-volume-3/","section":"Videos","summary":"Folge 108 - Teams Tipps \u0026 Tricks - Volume 3 Man sagt ja: Aller guten Dinge sind drei! Und daher: Willkommen zur dritten Episode von MS Teams Tipps \u0026 Tricks. Es erwarten euch viele spannende Tipps,","title":"Folge 108 - Teams Tipps \u0026 Tricks - Volume 3","type":"videos"},{"content":"Hier findest du meine Videos vom YouTube-Kanal Daniel \u0026amp; René - M365 im Alltag.\nZum YouTube-Kanal\n","date":"15. Mai 2026","externalUrl":null,"permalink":"/videos/","section":"Videos","summary":"","title":"Videos","type":"videos"},{"content":" Folge 107 - Teams Admin Hack: Apps ausblenden, die du nie genehmigt hast\nKann ich eigentlich Apps in Teams mittlerweile wieder ausblenden, wenn ich diese blockiert habe? Ja, das geht. Schau mal rein \u0026hellip; ;-)\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nLinks zur Folge ✘ MS Blog: https://learn.microsoft.com/en-us/graph/api/resources/teamsappsettings?view=graph-rest-1.0\u0026WT.mc_id=MVP_405640\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.cloud ✘ https://wasel365.de/\n#M365 #Microsoft365 #Microsoft #Office365 #Alltag #Techies #Geeks #teams #apps\n","date":"1. Mai 2026","externalUrl":null,"permalink":"/videos/folge-107-teams-admin-hack-apps-ausblenden-die-du-nie-genehmigt-hast/","section":"Videos","summary":"Folge 107 - Teams Admin Hack: Apps ausblenden, die du nie genehmigt hast Kann ich eigentlich Apps in Teams mittlerweile wieder ausblenden, wenn ich diese blockiert habe? Ja, das geht. Schau mal rein","title":"Folge 107 - Teams Admin Hack: Apps ausblenden, die du nie genehmigt hast","type":"videos"},{"content":" Folge 106 - Entra ID Backup \u0026amp; Recovery in Preview: Endlich da, aber was kann es wirklich?\nWer aufmerksam das Entra Admin Center verfolgt, sieht, dass es seit einiger Zeit neue Features in Preview gibt. Eines davon ist Entra ID Backup \u0026amp; Recovery. Microsoft möchte damit die Möglichkeit geben, Verzeichnisobjekte aus Entra ID zu sichern und im Bedarfsfall wiederherzustellen. Wir schauen uns heute mal an, was schon geht und wo es noch Potenzial zur Verbesserung gibt.\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nLinks zur Folge ✘ MS Learn: https://learn.microsoft.com/en-us/entra/backup/?WT.mc_id=MVP_405640\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#M365 #Microsoft365 #Microsoft #copilot #Alltag #Techies #Geeks #entraid #backup #recovery\n","date":"17. April 2026","externalUrl":null,"permalink":"/videos/folge-106-entra-id-backup-recovery-in-preview-endlich-da-aber-was-kann-es-wirkli/","section":"Videos","summary":"Folge 106 - Entra ID Backup \u0026 Recovery in Preview: Endlich da, aber was kann es wirklich? Wer aufmerksam das Entra Admin Center verfolgt, sieht, dass es seit einiger Zeit neue Features in Preview","title":"Folge 106 - Entra ID Backup \u0026 Recovery in Preview: Endlich da, aber was kann es wirklich?","type":"videos"},{"content":"","date":"13. April 2026","externalUrl":null,"permalink":"/tags/conditional-access/","section":"Tags","summary":"","title":"Conditional Access","type":"tags"},{"content":"–\u0026gt; Also available in english!\nWer mit externen Benutzern (Gästen) in Microsoft Entra ID arbeitet, kennt das Problem: Ein Gast möchte auf eine Ressource in deinem Tenant zugreifen, wird zur MFA aufgefordert und scheitert. Die Fehlermeldung ist kryptisch, der Benutzer frustriert. Was ist da los?\nIn diesem Artikel erkläre ich, warum externe Benutzer oft als Microsoft Account (MSA) behandelt werden, warum die Inbound Trust Settings dann nicht greifen und welche zusätzliche Falle bei Authentication Strengths in Conditional Access Policies lauert.\nDas Problem: Externe Accounts werden als Microsoft Account behandelt # Wenn du einen externen Benutzer per B2B Collaboration in deinen Tenant einlädst, löst dieser die Einladung ein (\u0026ldquo;Redemption\u0026rdquo;). Dabei entscheidet Entra ID anhand einer Redemption Order, welcher Identity Provider verwendet wird. Die Standard-Reihenfolge ist:\nMicrosoft Entra ID (wenn der Gast einen Entra ID Account im Home-Tenant hat) External Federation (SAML/WS-Fed) Microsoft Account (MSA) als Fallback Das Problem: Wenn Entra ID den Gast nicht einem Entra ID Tenant zuordnen kann, z.B. weil die E-Mail-Domain keinem Entra ID Tenant zugeordnet ist oder aus anderen Gründen, wird der Gast als MSA-Account (Microsoft Account) behandelt. Und genau hier beginnt das Dilemma:\nInbound Trust Settings gelten nur für Microsoft Entra Tenants, nicht für MSA-Accounts Dein Tenant kann die MFA eines MSA-Accounts nicht vertrauen, selbst wenn du \u0026ldquo;Trust multifactor authentication from Microsoft Entra tenants\u0026rdquo; aktiviert hast Der Gast wird zur MFA-Registrierung in deinem Resource-Tenant aufgefordert, oder der Zugriff schlägt komplett fehl Lösung Teil 1: MSA als Fallback deaktivieren # Der erste Schritt ist sicherzustellen, dass externe Benutzer nicht als MSA-Account ihre Einladung einlösen. Dazu deaktivierst du Microsoft Accounts als Fallback Identity Provider in den Cross-Tenant Access Settings.\nSo gehst du vor # Melde dich im Microsoft Entra Admin Center an (mindestens als Security Administrator) Navigiere zu Entra ID → External Identities → Cross-tenant access settings Wähle den Tab Default settings und klicke auf Edit inbound defaults Wechsle zum Tab B2B collaboration → Redemption order Unter Fallback identity providers: Deaktiviere Microsoft service account (MSA) Klicke auf Save Hinweis: Email One-Time Passcode (OTP) ist in allen Tenants standardmäßig aktiviert und übernimmt automatisch als Fallback, wenn MSA deaktiviert wird. Nur wenn jemand Email OTP bewusst deaktiviert hat, muss es unter External Identities → All identity providers wieder aktiviert werden.\nWichtig: Bestehende Gastbenutzer, die sich bereits mit einem MSA angemeldet haben, verwenden diesen weiterhin. Du musst deren Redemption-Status zurücksetzen, damit die neue Einstellung greift.\nMit dieser Konfiguration werden Gäste, die keinem Entra ID Tenant zugeordnet werden können, stattdessen per Email One-Time Passcode (OTP) authentifiziert, statt als MSA behandelt zu werden.\nWarum MSA deaktivieren? # MSA im Default zu deaktivieren ist nicht nur ein Workaround, sondern generell empfehlenswert für Enterprise-Szenarien:\nMFA-Trust greift nicht für MSA: \u0026ldquo;Trust MFA from Microsoft Entra tenants\u0026rdquo; gilt ausschließlich für Entra ID-Tenants. Solange MSA als Fallback aktiv ist, landen manche Gäste in dieser Lücke. Keine organisatorische Kontrolle: MSA sind persönliche Accounts (@outlook.com, @hotmail.com etc.). Kein Admin verwaltet die. Du weißt nicht, ob MFA aktiviert ist, welche Passwort-Policies gelten oder ob der Account kompromittiert ist. Conditional Access greift besser: Für MSA-Gäste greifen CA Policies anders als für Entra ID-Gäste. Du kannst z.B. keine Device Compliance oder Hybrid Join-Claims vertrauen. Email OTP ist der bessere Fallback: Ein zeitlich begrenzter Einmal-Code per E-Mail ist sicherer und vorhersagbarer als ein unkontrollierter MSA-Login. Mit MSA deaktiviert hast du zwei saubere Pfade: Entra ID (mit Trust) oder Email OTP (ohne Trust, aber kontrolliert). Kein unkontrollierter dritter Weg.\nHinweis: Für Gäste mit persönlichen Microsoft-Accounts (@outlook.com etc.) ändert sich die Anmelde-Erfahrung: Sie erhalten stattdessen einen Email-OTP-Code. In typischen B2B-Partner-Szenarien mit Unternehmensaccounts hat das keine Auswirkung.\nReferenz: Prevent your B2B users from redeeming an invite using Microsoft accounts\nLösung Teil 2: Inbound Trust Settings konfigurieren # Für Gäste, die tatsächlich aus einem Microsoft Entra Tenant kommen, brauchst du zusätzlich die Inbound Trust Settings. Damit sagst du deinem Tenant, dass er MFA-Claims aus anderen Entra ID Tenants vertrauen soll.\nIm Microsoft Entra Admin Center → External Identities → Cross-tenant access settings Default settings → Edit inbound defaults → Tab Trust settings Aktiviere Trust multifactor authentication from Microsoft Entra tenants Save Tipp: Du kannst diese Einstellung auch pro Organisation individuell konfigurieren, wenn du nicht allen externen Tenants pauschal vertrauen möchtest. Dazu legst du unter Organizational settings eine spezifische Konfiguration für den Partner-Tenant an.\nSoweit, so gut. Für viele Szenarien reichen diese beiden Schritte. Aber nicht für alle.\nDie Falle: Authentication Strength und externe Benutzer # Wenn du, wie von Microsoft empfohlen, deine Conditional Access Policies mit Authentication Strengths konfiguriert hast, können Gastbenutzer trotz aktivierter Inbound Trust Settings weiterhin scheitern. Der Grund ist allerdings differenzierter, als es auf den ersten Blick wirkt.\nWas funktioniert – und was nicht # Authentication Strength und Inbound Trust sind nicht grundsätzlich inkompatibel. Entscheidend ist, welche Authentication Strength du forderst und welche MFA-Methode der Gast in seinem Home-Tenant verwendet hat:\nBuilt-in \u0026ldquo;Multifactor authentication\u0026rdquo; Strength (die schwächste der drei): Funktioniert mit Inbound Trust, solange der Gast im Home-Tenant eine der von Microsoft für Cross-Tenant akzeptierten Methoden verwendet hat (z.B. Microsoft Authenticator Push, FIDO2, Software OATH Token). \u0026ldquo;Passwordless MFA\u0026rdquo; oder \u0026ldquo;Phishing-resistant MFA\u0026rdquo; Strength: Hier wird es eng. Dein Resource-Tenant kann nicht zuverlässig validieren, welche konkrete Methode der Gast im Home-Tenant genutzt hat. Wenn du z.B. Phishing-Resistant forderst, der Gast aber im Home-Tenant per Authenticator Push (nicht Passwordless) authentifiziert wurde, schlägt die Validierung fehl. Custom Authentication Strengths: Gleiches Problem. Je spezifischer die Anforderung, desto wahrscheinlicher scheitern externe Benutzer. Die zusätzliche Falle: External Authentication Methods # Nutzt der Home-Tenant des Gastes einen Drittanbieter als MFA-Provider über die External Authentication Methods (EAM) Integration, wird es definitiv problematisch.\n⚠️ Warning: External authentication methods are currently incompatible with authentication strength. You should use the Require multifactor authentication grant control.\n— Microsoft Learn: Require multifactor authentication for all users\nDieses Warning bezieht sich primär auf External Authentication Methods (EAM) – also Szenarien, in denen der Home-Tenant einen Drittanbieter (z.B. Duo, RSA SecurID) als MFA-Provider über die EAM-Schnittstelle integriert hat. In diesem Fall kann dein Resource-Tenant die MFA-Methode des Gastes über Authentication Strength nicht validieren, unabhängig davon welche Strength-Stufe du konfiguriert hast.\nWarum das in der Praxis trotzdem fast alle trifft # Eine typische Baseline-Policy sieht so aus:\nUsers: All users (inkl. Guests) Target resources: All resources Grant: Require authentication strength → Multifactor authentication Das ist die von Microsoft empfohlene Baseline-Policy. Selbst mit der schwächsten Built-in Strength scheitern Gäste in der Praxis häufig, weil:\nDu als Resource-Tenant nicht weisst, welchen MFA-Provider der Home-Tenant einsetzt (native Entra MFA oder EAM-Drittanbieter) Du nicht kontrollieren kannst, welche MFA-Methode der Gast konkret verwendet Die Fehlermeldung nicht klar auf Authentication Strength als Ursache hinweist Alles für interne Benutzer einwandfrei funktioniert Das macht den sicheren Fallback auf den klassischen \u0026ldquo;Require multifactor authentication\u0026rdquo; Grant Control für Gäste in den meisten Umgebungen zur pragmatischeren Wahl.\nTrade-off: Mit dem klassischen MFA Grant Control verlierst du die Möglichkeit, für Gäste Phishing-Resistant MFA zu erzwingen. Wenn das für dein Sicherheitskonzept relevant ist (z.B. bei Zugriff auf sensitive Ressourcen), kannst du für spezifische Partner-Tenants über Organizational Settings eine engere Konfiguration fahren und dort Authentication Strength beibehalten. Voraussetzung: Du hast mit dem Partner abgeklärt, dass er native Entra MFA mit passenden Methoden nutzt.\nLösung Teil 3: Separate CA Policy für Gäste # Die pragmatischste Lösung: Eine eigene Conditional Access Policy für externe Benutzer mit dem klassischen Grant Control statt Authentication Strength.\nCA Policy für Gäste erstellen # Erstelle eine neue Conditional Access Policy für externe Benutzer:\nUsers: Select users and groups → Guest or external users → B2B collaboration guest users Target resources: All resources (oder die relevanten Apps) Grant: Require multifactor authentication (nicht \u0026ldquo;Require authentication strength\u0026rdquo;!) Gäste aus der bestehenden Policy ausschließen # In deiner bestehenden Policy für alle Benutzer (die Authentication Strength verwendet) schließt du die Gastbenutzer aus:\nUnter Exclude → Guest or external users auswählen So behältst du für interne Benutzer weiterhin Authentication Strength (z.B. phishing-resistente Methoden), während Gäste über die separate Policy mit dem klassischen MFA Grant Control abgedeckt werden.\nFür regulierte Umgebungen: Wenn du für bestimmte Partner-Tenants Phishing-Resistant MFA erzwingen musst, kannst du zusätzlich eine dritte CA Policy erstellen, die auf eine spezifische Gruppe von bekannten Partner-Gästen scoped ist und Authentication Strength verwendet. Voraussetzung: Du hast mit dem Partner verifiziert, dass er native Entra MFA mit kompatiblen Methoden (FIDO2, Windows Hello for Business, Certificate-Based Auth) einsetzt, also keine Drittanbieter über EAM.\nZusammenfassung # Damit MFA für externe Benutzer / Gäste in deinem Entra ID Tenant funktioniert, brauchst du drei Dinge:\nSchritt Was Wo 1 MSA als Fallback deaktivieren Cross-tenant access settings → Redemption order → Fallback identity providers → MSA deaktivieren, Email OTP aktivieren 2 Inbound Trust Settings aktivieren Cross-tenant access settings → Trust settings → \u0026ldquo;Trust multifactor authentication from Microsoft Entra tenants\u0026rdquo; 3 Separate CA Policy für Gäste Eigene Policy mit \u0026ldquo;Require multifactor authentication\u0026rdquo; statt \u0026ldquo;Require authentication strength\u0026rdquo; (siehe Lösung Teil 3) Quellen:\nPrevent your B2B users from redeeming an invite using Microsoft accounts Cross-tenant access settings: Inbound Trust Settings for MFA Require multifactor authentication for all users: Conditional Access Policy Require authentication strength for external users Authentication and Conditional Access for External ID: MFA method comparison External authentication method provider reference ","date":"13. April 2026","externalUrl":null,"permalink":"/blog/mfa-externe-gaeste-entra-id/","section":"Blog","summary":"","title":"MFA mit externen Benutzern in Entra ID: Warum Inbound Trust allein nicht reicht","type":"blog"},{"content":"","date":"7. April 2026","externalUrl":null,"permalink":"/tags/copilot/","section":"Tags","summary":"","title":"Copilot","type":"tags"},{"content":"–\u0026gt; Also available in english!\nMicrosoft umwirbt europäische Unternehmen seit Jahren mit der sogenannten „EU-Datengrenze\u0026quot; (EU Data Boundary). Das Versprechen: Alle Daten werden innerhalb der EU gespeichert und verarbeitet. Für den Microsoft 365 Copilot wurde aber nun eine Ausnahme bekannt gegeben. Und die hat es in sich.\nWas ist Flex Routing? # Mit „Flex Routing\u0026quot; erlaubt Microsoft, dass die KI-Verarbeitung (LLM Inferencing) des Microsoft 365 Copilot bei Lastspitzen außerhalb der EU-Datengrenze stattfinden kann. Konkret bedeutet das: Eure Copilot-Anfragen können in Rechenzentren in den USA, Kanada oder Australien verarbeitet werden, wenn die EU-Kapazitäten nicht ausreichen.\nDas betrifft den Verarbeitungsschritt, bei dem das KI-Modell eure Eingabe ausführt, also zum Beispiel das Zusammenfassen von Dokumenten oder das Beantworten von Fragen. Genau der Moment also, in dem eure Unternehmensdaten durch das Sprachmodell laufen.\nWas verspricht Microsoft? # Microsoft betont, dass die Daten auch bei Flex Routing verschlüsselt übertragen und gespeichert werden. Die dauerhafte Speicherung soll weiterhin innerhalb der EU stattfinden. Ausgenommen davon sind pseudonymisierte Daten, die zu Sicherheits- und Betriebszwecken außerhalb gespeichert werden dürfen. Klingt erstmal nicht so dramatisch.\nAllerdings sind die Formulierungen in der offiziellen Dokumentation dazu eher schwammig. Welche Daten genau zu welchem Zweck die EU verlassen, wird nicht klar definiert.\nWas ist kritisch zu betrachten? # Opt-Out statt Opt-In # Der größte Kritikpunkt: Flex Routing ist standardmäßig aktiviert. Für Tenants, die nach dem 25. März 2026 erstellt wurden, ist es direkt an. Für Bestandskunden lohnt sich ein Blick ins Message Center (ID MC1269223). Dort wird informiert, dass Flex Routing ebenfalls aktiviert wird. Die Vorlaufzeit? Gerade einmal 14 Tage.\nDas ist besonders problematisch für Unternehmen, die sich bewusst für die EU-Datengrenze entschieden haben, sei es wegen interner Compliance-Vorgaben, regulatorischer Anforderungen oder schlicht aus Prinzip.\nEU-Datengrenze wird aufgeweicht # Wer seinen Kunden oder seiner Geschäftsführung bisher versichert hat, dass alle Microsoft-365-Daten in der EU bleiben, muss diese Aussage jetzt relativieren. Flex Routing ist ein klarer Bruch mit dem Versprechen der EU-Datengrenze, auch wenn Microsoft es als temporäre Lastverteilung kommuniziert.\nFlex Routing deaktivieren # Ihr könnt Flex Routing jederzeit im Microsoft 365 Admin Center deaktivieren:\nMeldet euch im Microsoft 365 Admin Center mit der Rolle AI Administrator an. Navigiert zu Copilot → Settings → Flexible inferencing during peak load periods. Wählt „Do not allow flex routing\u0026quot; aus. Wenn ihr Flex Routing im M365 Admin Center deaktiviert, wird die Einstellung auch im Power Platform Admin Center übernommen. Das LLM Inferencing findet dann ausschließlich innerhalb der EU-Datengrenze statt – auch bei Lastspitzen.\nMein Fazit # Ich kann nachvollziehen, dass Microsoft die KI-Kapazitäten in Europa noch nicht ausreichend ausgebaut hat und Lastspitzen global abfangen möchte. Trotzdem ist die Art und Weise, wie Flex Routing eingeführt wird, problematisch: Standardmäßig aktiv, kurze Vorlaufzeit und vage Dokumentation.\nWer als Admin für Datenschutz und Compliance verantwortlich ist, sollte jetzt handeln:\nPrüft eure Flex-Routing-Einstellung im M365 Admin Center. Bewertet gemeinsam mit eurem Datenschutzbeauftragten, ob Flex Routing für eure Organisation akzeptabel ist. Deaktiviert Flex Routing, wenn eure Compliance-Anforderungen eine Datenverarbeitung außerhalb der EU nicht zulassen. Dokumentiert eure Entscheidung, egal in welche Richtung. Das Thema wird sicher nicht kleiner werden, denn der Bedarf an KI-Rechenleistung wächst rasant. Bleibt also dran und behaltet die Einstellungen im Blick.\nQuellen # Microsoft Learn: Flex routing (EU and EFTA) Microsoft Learn: EU Data Boundary – Ongoing partial transfers ","date":"7. April 2026","externalUrl":null,"permalink":"/blog/flex-routing-m365-copilot-eu-datengrenze/","section":"Blog","summary":"","title":"Flex Routing in Microsoft 365: Was EU-Admins jetzt wissen müssen","type":"blog"},{"content":"","date":"7. April 2026","externalUrl":null,"permalink":"/tags/microsoft-365/","section":"Tags","summary":"","title":"Microsoft 365","type":"tags"},{"content":" Folge 105 - QuickSteps in SharePoint - Mit weniger Klicks zum Ziel\nMicrosoft Lists bekommen das nächste gamechanging Feature! QuickSteps (oder in deutsch: SchnelleSchritte :-D) kennen wir schon seit ein paar Monaten aus Outlook. Dieses Feature haben wir nun auch in SharePoint. Und gerade in Lists, sind sie extrem gut einzusetzen. Das zeigen wir euch heute!\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nLinks zur Folge ✘ MS Learn: https://support.microsoft.com/en-us/office/create-a-quick-step-for-your-list-or-library-b37c2c7f-2ae1-49f9-b4b0-a8d501f5f99e\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#M365 #Microsoft365 #Microsoft #Office365 #Alltag #Techies #Geeks #sharepoint #lists #quicksteps\n","date":"3. April 2026","externalUrl":null,"permalink":"/videos/folge-105-quicksteps-in-sharepoint-mit-weniger-klicks-zum-ziel/","section":"Videos","summary":"Folge 105 - QuickSteps in SharePoint - Mit weniger Klicks zum Ziel Microsoft Lists bekommen das nächste gamechanging Feature! QuickSteps (oder in deutsch: SchnelleSchritte :-D) kennen wir schon seit","title":"Folge 105 - QuickSteps in SharePoint - Mit weniger Klicks zum Ziel","type":"videos"},{"content":" Folge 104 - Microsoft 365 E7 - The Frontier Suite!\nLange haben wir drüber gewitzelt: \u0026ldquo;Dafür brauchst du die E9 Lizenz!\u0026rdquo; E9 ist es nicht geworden, aber Microsoft 365 E7 ist nun Realität. Und wenn man genauer hinschaut, macht das Ganze durchaus Sinn. Das wollen wir heute mit euch machen: Genauer hinschauen.\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nLinks zur Folge ✘ MS Blog: https://blogs.microsoft.com/blog/2026/03/09/introducing-the-first-frontier-suite-built-on-intelligence-trust/\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.cloud ✘ https://wasel365.de/\n#m365 #microsoft365 #Microsoft #Office365 #Alltag #Techies #Geeks #e7 #frontier #suite\n","date":"20. März 2026","externalUrl":null,"permalink":"/videos/folge-104-microsoft-365-e7-the-frontier-suite/","section":"Videos","summary":"Folge 104 - Microsoft 365 E7 - The Frontier Suite! Lange haben wir drüber gewitzelt: “Dafür brauchst du die E9 Lizenz!” E9 ist es nicht geworden, aber Microsoft 365 E7 ist nun Realität. Und wenn man","title":"Folge 104 - Microsoft 365 E7 - The Frontier Suite!","type":"videos"},{"content":" Folge 103 - Microsoft 365 Local: Das musst du wissen!\nDas Thema souveräne Cloud bzw. allgemein Souveränität ist gerade genauso fokussiert, wie AI. Auch Microsoft hat dazu im letzten Jahr einen Ansatz präsentiert. Mit Azure und M365 local haben sie Services an den Markt gebracht, die hier eingesetzt werden können. Ganz neu nun GA: Azure und M365 local disconnected. Was das bedeutet, schauen wir uns mal an.\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nLinks zur Folge ✘ MS Learn: https://learn.microsoft.com/en-us/azure/azure-local/concepts/microsoft-365-local-overview?view=azloc-2602\u0026WT.mc_id=MVP_405640\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#M365 #Microsoft365 #Microsoft #copilot #Alltag #Techies #Geeks #M365local #azurelocal #souvereignitycloud\n","date":"6. März 2026","externalUrl":null,"permalink":"/videos/folge-103-microsoft-365-local-das-musst-du-wissen/","section":"Videos","summary":"Folge 103 - Microsoft 365 Local: Das musst du wissen! Das Thema souveräne Cloud bzw. allgemein Souveränität ist gerade genauso fokussiert, wie AI. Auch Microsoft hat dazu im letzten Jahr einen Ansatz","title":"Folge 103 - Microsoft 365 Local: Das musst du wissen!","type":"videos"},{"content":" Folge 102 - Cloud‑PC in unter 5 Minuten? So einfach ist Windows 365 Business\nEs gibt viele Gründe, warum man spontan einen virtuellen Windows 11 PC benötigt. Mit Windows 365 Business haben wir eine super Option dies zu bewerkstelligen. Wir zeigen euch heute, wie ihr in kürzester Zeit euren persönlichen Cloud PC aufbauen könnt. Windows 365 Enterprise wird folgen! Versprochen!\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nLinks zur Folge ✘ MS Learn: https://learn.microsoft.com/en-us/windows-365/business/get-started-windows-365-business?WT.mc_id=MVP_405640 ✘ Windows 365 Link: https://www.microsoft.com/en-us/windows-365/link?msockid=354916548ee9688514d600788f1769cb ✘ Graph Call: GET https://graph.microsoft.com/beta/deviceManagement/virtualEndpoint/cloudPCs\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#M365 #Microsoft365 #Microsoft #copilot #Alltag #Techies #Geeks #windows365 #cloudpc\n","date":"20. Februar 2026","externalUrl":null,"permalink":"/videos/folge-102-cloudpc-in-unter-5-minuten-so-einfach-ist-windows-365-business/","section":"Videos","summary":"Folge 102 - Cloud‑PC in unter 5 Minuten? So einfach ist Windows 365 Business Es gibt viele Gründe, warum man spontan einen virtuellen Windows 11 PC benötigt. Mit Windows 365 Business haben wir eine","title":"Folge 102 - Cloud‑PC in unter 5 Minuten? So einfach ist Windows 365 Business","type":"videos"},{"content":" Folge 101 - Microsoft Places jetzt für (fast) alle!\nBei Microsoft Places ist im letzten Jahr einiges passiert. In diesem Video sprechen wir mit euch über die Neuerungen aus dem Summer release 2025 und den brandneuen Ankündigungen zur Lizenzänderung.\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nLinks zur Folge ✘ MS Learn: https://learn.microsoft.com/en-us/microsoft-365/places/places-overview?WT.mc_id=%3Fwt.mc_id%3DMVP_405640 ✘ Microsoft Places Website: https://www.microsoft.com/en-us/microsoft-places?msockid=063da0fd8320632f18c7b1cf824362fa ✘ Office Hours: https://aka.ms/PlacesOfficeHours\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#M365 #Microsoft365 #Microsoft #copilot #Alltag #Techies #Geeks #places #teams\n","date":"6. Februar 2026","externalUrl":null,"permalink":"/videos/folge-101-microsoft-places-jetzt-fr-fast-alle/","section":"Videos","summary":"Bei Microsoft Places ist im letzten Jahr einiges passiert. In diesem Video sprechen wir über die Neuerungen und die brandneuen Ankündigungen zur Lizenzänderung.","title":"Folge 101 - Microsoft Places jetzt für (fast) alle!","type":"videos"},{"content":" Folge 100 - Microsoft Teams Update: Notizen direkt im Chat\nDas besondere Special zu unserer 100. Folge! Back to the roots - back to the Teams!\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nLinks zur Folge\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#M365 #Microsoft365 #Microsoft #copilot #Alltag #Techies #Geeks #places #teams\n","date":"23. Januar 2026","externalUrl":null,"permalink":"/videos/folge-100-microsoft-teams-update-notizen-direkt-im-chat/","section":"Videos","summary":"Das besondere Special zu unserer 100. Folge! Back to the roots - back to the Teams!","title":"Folge 100 - Microsoft Teams Update: Notizen direkt im Chat","type":"videos"},{"content":" Folge 99 - Microsoft führt Baseline Security Mode ein – Was bedeutet das?\nMicrosoft 365 ist seit Jahren gewachsen und hat mittlerweile nicht nur eine Fülle an Admin Center, sondern schon immer eine Vielzahl an Konfigurationsmöglichkeiten. Für viele ist es eine große Herausforderung alle Einstellungen zu finden und dann noch die passende Konfiguration einzustellen. Auf der Ignite 2025 hat Microsoft ein neues Feature vorgestellt, was hier Abhilfe schaffen soll. Baseline Security Mode. Was das im Detail ist und heute schon kann, schauen wir uns im ersten Video 2026! Wir hoffen, dass ihr alle einen guten Start hattet und wünschen euch ein super Jahr 2026!\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nLinks zur Folge ✘ MS Learn: https://learn.microsoft.com/en-us/microsoft-365/baseline-security-mode/baseline-security-mode-settings?view=o365-worldwide\u0026WT.mc_id=MVP_405640\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#M365 #Microsoft365 #Microsoft #copilot #Alltag #Techies #Geeks #AdminCenter #BaselineSecurityMode #BSM\n","date":"9. Januar 2026","externalUrl":null,"permalink":"/videos/folge-99-microsoft-fhrt-baseline-security-mode-ein-was-bedeutet-das/","section":"Videos","summary":"Microsoft 365 hat mittlerweile eine Vielzahl an Konfigurationsmöglichkeiten. Auf der Ignite 2025 hat Microsoft Baseline Security Mode vorgestellt – was das im Detail ist, schauen wir uns an!","title":"Folge 99 - Microsoft führt Baseline Security Mode ein – Was bedeutet das?","type":"videos"},{"content":" Folge 98 - Microsoft macht ernst: Intune Suite bald in jeder E3/E5‑Lizenz\nLetzte Folge für dieses Jahr! Und da hat Microsoft doch ein kleines Geschenk unter den Tannenbaum gelegt.\nWir sehen uns nächstes Jahr wieder. Kommt gut rein!\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nLinks zur Folge ✘ MS Intune Blog announcement: https://techcommunity.microsoft.com/blog/microsoftintuneblog/microsoft-365-adds-advanced-microsoft-intune-solutions-at-scale/4474272 ✘ Preisanpassung: https://news.microsoft.com/source/2025/12/11/local-currency-price-adjustments-for-microsofts-commercial-cloud-2/ ✘ Folge 57 - Verwenden von Endpoint Privilege Management mit Microsoft Intune: https://youtu.be/Mh9iZOX36iY\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#m365 #microsoft365 #Microsoft #Office365 #Alltag #Techies #Geeks #intune #intunesuite\n","date":"26. Dezember 2025","externalUrl":null,"permalink":"/videos/folge-98-microsoft-macht-ernst-intune-suite-bald-in-jeder-e3e5lizenz/","section":"Videos","summary":"Letzte Folge für dieses Jahr! Und da hat Microsoft doch ein kleines Geschenk unter den Tannenbaum gelegt.","title":"Folge 98 - Microsoft macht ernst: Intune Suite bald in jeder E3/E5‑Lizenz","type":"videos"},{"content":" Folge 97 - Die neuen Microsoft Bibliothek Formulare erleben\nFrisch auf dem Markt und schon werden sie bei uns vorgestellt: Forms in SharePoint Bibliotheken. Wir kennen das Feature schon aus Lists. Jetzt gibt es das Feature auch in Bibliotheken, um das Sammeln von Dokumenten zu vereinfachen. Wie das funktioniert zeigen wir euch heute.\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nLinks zur Folge ✘ MS Roadmap: https://www.microsoft.com/de-ch/microsoft-365/roadmap?id=489834 ✘ Folge 52 - Die neuen Microsoft Lists Formulare erleben: https://youtu.be/EdvYSERvOwA\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#M365 #Microsoft365 #Microsoft #Office365 #Alltag #Techies #Geeks #sharepoint #bibliotheken #forms\n","date":"12. Dezember 2025","externalUrl":null,"permalink":"/videos/folge-97-die-neuen-microsoft-bibliothek-formulare-erleben/","section":"Videos","summary":"Frisch auf dem Markt und schon werden sie bei uns vorgestellt: Forms in SharePoint Bibliotheken. Jetzt gibt es das Feature auch in Bibliotheken, um das Sammeln von Dokumenten zu vereinfachen.","title":"Folge 97 - Die neuen Microsoft Bibliothek Formulare erleben","type":"videos"},{"content":" Folge 96 - Microsoft Ignite 2025\nHerzlich Willkommen zu unserem 4. Ignite Recap. Traditionell veranstaltete Microsoft im November ihre größte Konferenz - die Microsoft Ignite! Dieses Jahr vor Ort im Moscone Center in San Francisco, aber auch mit vielen Live und on-demand Sessions online. Der klare Fokus dieses Jahr wurde sehr schnell klar: Agents, Agents, Agents. Wie die vergangenen Jahre auch sprechen Daniel und René über ihre persönlichen Highlights und beleuchten dabei vor allem auch die Ankündigungen hinter den Hypethemen.\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nLinks zur Folge: ✘ Book of News: https://news.microsoft.com/ignite-2025-book-of-news/ ✘ What\u0026rsquo;s new in Microsoft Intune at Ignite: https://techcommunity.microsoft.com/blog/microsoftintuneblog/whats-new-in-microsoft-intune-at-ignite/4471043?WT.mc_id=MVP_405640 ✘ Announcing Microsoft Baseline security mode: https://techcommunity.microsoft.com/blog/microsoft_365blog/ignite%E2%80%9925-spotlight-announcing-microsoft-baseline-security-mode/4469709?WT.mc_id=MVP_405640 ✘ What’s New in Microsoft Teams | Microsoft Ignite 2025: https://techcommunity.microsoft.com/blog/MicrosoftTeamsBlog/what%E2%80%99s-new-in-microsoft-teams--microsoft-ignite-2025/4470387?WT.mc_id=MVP_405640 ✘ Edge for Business presents: the world’s first secure enterprise AI browser: https://blogs.windows.com/msedgedev/2025/11/18/edge-for-business-presents-the-worlds-first-secure-enterprise-ai-browser/\n✘ Azure Meetup Bonn Ignite Recap: https://www.meetup.com/azure-bonn-meetup/events/311306764/?eventOrigin=group_upcoming_events\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#M365 #Microsoft365 #Microsoft #Office365 #Alltag #Techies #Geeks #AI #Copilot #microsoft #ignite #agent\n","date":"28. November 2025","externalUrl":null,"permalink":"/videos/folge-96-microsoft-ignite-2025/","section":"Videos","summary":"Herzlich Willkommen zu unserem 4. Ignite Recap. Der klare Fokus dieses Jahr wurde sehr schnell klar: Agents, Agents, Agents.","title":"Folge 96 - Microsoft Ignite 2025","type":"videos"},{"content":" Folge 95 - Von Basis- bis Hochsicher: Authentication Strengths richtig nutzen\nConditional Access ist in jedem Unternehmen ein zentrales Sicherheitsfeature – oder sollte es zumindest sein. Früher konnte man lediglich festlegen: MFA ja oder nein. Welche Art von MFA genutzt wurde, musste separat geregelt werden. Jetzt gibt es von Microsoft eine spannende Neuerung: „Authentication Strengths“. Damit können wir selbst definieren, welche Faktoren als zweiter Faktor gelten, diese als Profile speichern und gezielt in Conditional-Access-Richtlinien einsetzen. Dieses Feature macht Conditional Access noch flexibler und präziser konfigurierbar. Aber überzeugt euch selbst!\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nLinks zur Folge ✘ MS Learn: https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-strengths?WT.mc_id=MVP_405640 ✘ Folge 3 - Regeln für Zugriffe auf M365 Dienste: https://youtu.be/mFB4mqgT3uI\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#M365 #Microsoft365 #Microsoft #copilot #Alltag #Techies #Geeks #entraid #conditionalaccess #authenticationstrengths\n","date":"14. November 2025","externalUrl":null,"permalink":"/videos/folge-95-von-basis-bis-hochsicher-authentication-strengths-richtig-nutzen/","section":"Videos","summary":"Conditional Access ist in jedem Unternehmen ein zentrales Sicherheitsfeature. Jetzt gibt es von Microsoft eine spannende Neuerung: Authentication Strengths.","title":"Folge 95 - Von Basis- bis Hochsicher: Authentication Strengths richtig nutzen","type":"videos"},{"content":" Folge 94 - Copilot ohne Risiko: Datenklassifizierung mit Purview als Schlüssel (Gast: Julian)\nDie meisten Unternehmen beschäftigen sich mit dem Einsatz von Copilot bzw. AI generell. Die sichere Verwendung und der Schutz der Daten steht dabei nicht immer an oberster Stelle. Dabei bietet Microsoft Services, die dabei sehr einfach grosse Wirkung erzielen. Julian Kusenberg, MVP für Purview, zeigt uns heute, was zum sicheren Einsatz von Copilot alles gemacht werden muss. Lieber Julian: Vielen Dank für die coolen Insights.\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nLinks zur Folge ✘ MS Learn: https://learn.microsoft.com/en-us/purview/sensitivity-labels?WT.mc_id=MVP_405640 ✘ Julians LinkedIn: https://www.linkedin.com/in/juliankusenberg/\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#M365 #Microsoft365 #Microsoft #copilot #Alltag #Techies #Geeks #purview #insiderrisk\n","date":"31. Oktober 2025","externalUrl":null,"permalink":"/videos/folge-94-copilot-ohne-risiko-datenklassifizierung-mit-purview-als-schlssel-gast-/","section":"Videos","summary":"Die meisten Unternehmen beschäftigen sich mit dem Einsatz von Copilot bzw. AI generell. Julian Kusenberg, MVP für Purview, zeigt uns, was zum sicheren Einsatz von Copilot alles gemacht werden muss.","title":"Folge 94 - Copilot ohne Risiko: Datenklassifizierung mit Purview als Schlüssel (Gast: Julian)","type":"videos"},{"content":" Folge 93 - Mehr Produktivität, weniger Klicks – die neuen M365 Companion Apps im Überblick\nEnde Oktober rollt Microsoft über die Office Updates 3 neue Apps aus. Die sogenannten Companion Apps bestehen aus People, Files und Calendar. Sie sollen uns im Alltag helfen, die wichtigen Dinge für unsere Arbeit noch schneller zu finden. In diesem Video verschaffen wir euch einen Überblick über die Apps, Diskutieren die Vor- und Nachteile und geben für Admins wertvolle Tipps zum Roll-Out.\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nLinks zur Folge ✘ MS Learn: https://learn.microsoft.com/en-us/microsoft-365-apps/companions/overview?WT.mc_id=MVP_405640\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#M365 #Microsoft365 #Microsoft #Office365 #Alltag #Techies #Geeks #apps #companion #office365\n","date":"17. Oktober 2025","externalUrl":null,"permalink":"/videos/folge-93-mehr-produktivitt-weniger-klicks-die-neuen-m365-companion-apps-im-berbl/","section":"Videos","summary":"Ende Oktober rollt Microsoft über die Office Updates 3 neue Apps aus. Die sogenannten Companion Apps bestehen aus People, Files und Calendar.","title":"Folge 93 - Mehr Produktivität, weniger Klicks – die neuen M365 Companion Apps im Überblick","type":"videos"},{"content":"","date":"5. Oktober 2025","externalUrl":null,"permalink":"/tags/intune/","section":"Tags","summary":"","title":"Intune","type":"tags"},{"content":"Willkommen in meinem nächsten Blogartikel.\nIhr habt LAPS (Local Administrator Password Solution) erfolgreich in eurer Umgebung eingeführt – ein wichtiger Schritt für mehr Sicherheit und Compliance. Doch wie geht es nun weiter? Viele Unternehmen möchten den nächsten Komfortschritt gehen: die Integration der Passwortausgabe in ihren Self-Service.\nIn diesem Artikel zeige ich euch, wie ihr genau das umsetzen könnt – und zwar mithilfe der Microsoft Graph API in Kombination mit einer Logic App. Damit könnt ihr den Prozess automatisieren und euren Anwendern eine einfache, sichere Möglichkeit bieten, benötigte Administratorpasswörter selbstständig abzurufen.\nAlles was ihr für dieses Szenario benötigt sind ein Microsoft Forms Formular und eine Logic App.\nSchritt 1 – Trigger # Jede Logic App benötigt einen Trigger. In meinem Szenario verwende ich dafür ein Microsoft Forms-Formular, über das der antragstellende Benutzer die erforderlichen Informationen einträgt. Besonders wichtig ist dabei der Name des Geräts, für das das LAPS-Passwort benötigt wird.\nDarüber hinaus können zusätzliche, hilfreiche Angaben abgefragt werden – beispielsweise Informationen, die für die Erstellung eines Tickets im IT-System relevant sind. Ebenso kann es sinnvoll sein, eine Begründung (Justification) zu erfassen, die anschließend im Ticket hinterlegt wird.\nNachdem wir das Formular erstellt haben, binden wir es nun in unsere Logic App ein. Der erste Schritt besteht darin, den Trigger so zu konfigurieren, dass er auf neue Formularübermittlungen reagiert. Sobald ein Benutzer das Formular ausfüllt, wird die Logic App automatisch gestartet.\nIm nächsten Schritt rufen wir die übermittelten Antwortinformationen ab. Diese Daten sind die Grundlage für alle weiteren Aktionen in unserem Workflow. Typischerweise handelt es sich dabei um den Gerätenamen, für den das LAPS-Passwort benötigt wird, sowie zusätzliche Angaben wie Ticketnummer oder Begründung.\nDiese Informationen können wir anschließend in den folgenden Schritten flexibel weiterverarbeiten.\nSchritt 2 – Managed Identity berechtigen # Bevor wir die Graph API-Aufrufe in unsere Logic App integrieren, müssen wir sicherstellen, dass die notwendigen Berechtigungen vorhanden sind. Für die Authentifizierung verwenden wir die Managed Identity der Logic App.\nWie ihr eine Managed Identity einrichtet und die entsprechenden Berechtigungen zuweist, findet ihr in der offiziellen Microsoft-Dokumentation. Wichtig ist, dass die Identity der Logic App folgende Berechtigungen in Microsoft Graph erhält:\nDevice.Read.All – um Geräteinformationen wie die Device-ID abzurufen DeviceLocalCredential.Read.All – um die LAPS-Passwörter auslesen zu können Diese Berechtigungen müssen als Application Permissions in der App-Registrierung hinterlegt und von einem Administrator genehmigt werden. Erst danach kann die Logic App erfolgreich auf die benötigten Daten zugreifen.\nFolgendes PowerShell Skript hilft euch dabei:\n#Connect to AzureAD mit einem entsprechenden Admin Account Connect-AzureAD #New Service Principal Permissions using Azure AD module $ServicePrincipalId = \u0026lt;ID eurer managed identity\u0026gt; # App ID der notwendigen Graph API $GraphResource = Get-AzureADServicePrincipal -Filter \u0026#34;AppId eq \u0026#39;00000003-0000-0000-c000-000000000000\u0026#39;\u0026#34; #Set role DeviceLocalCredential.Read.All $Permission = $GraphResource.AppRoles | Where-Object {$_.value -eq \u0026#39;DeviceLocalCredential.Read.All\u0026#39;} New-AzureADServiceAppRoleAssignment -ObjectId $ServicePrincipalId -PrincipalId $ServicePrincipalId -Id $Permission.Id -ResourceId $GraphResource.ObjectId #Set role Device.Read.All $Permission = $GraphResource.AppRoles | Where-Object {$_.value -eq \u0026#39;Device.Read.All\u0026#39;} New-AzureADServiceAppRoleAssignment -ObjectId $ServicePrincipalId -PrincipalId $ServicePrincipalId -Id $Permission.Id -ResourceId $GraphResource.ObjectId Bevor wir nun in der Logic App die Calls ausführen, kann es sinnvoll sein ein paar Minuten oder Stunden zu warten, bis die Berechtigungen vollends greifen.\nSchritt 3 – Device ID ermitteln # Damit wir das LAPS-Passwort für ein bestimmtes Gerät über die Microsoft Graph API abrufen können, benötigen wir zunächst die Device-ID. Diese ID ist der eindeutige Schlüssel, den die API für den Zugriff auf die lokalen Administrator-Anmeldeinformationen erwartet.\nDa uns aktuell nur der Gerätename vorliegt, müssen wir diesen zunächst in die entsprechende Device-ID auflösen. Dazu führen wir einen GET-Request an den Graph-Endpunkt aus und geben den dynamischen Wert aus dem Forms mit:\nhttps://graph.microsoft.com/v1.0/devices?$filter=displayName+eq+\u0026#39;\u0026lt;dynamic_content_forms_Device Name\u0026gt;\u0026#39; Achtet darauf, dass ihr sowohl die korrekte URI als auch die richtige HTTP-Methode verwendet. Um den dynamischen Wert aus dem Microsoft Forms-Formular einzufügen, könnt ihr den Shortcut „/\u0026quot; nutzen. Dadurch öffnet sich ein Auswahlmenü, in dem alle verfügbaren dynamischen Inhalte angezeigt werden.\nZum Abschluss ist es entscheidend, die korrekte Authentifizierung zu konfigurieren. Hierfür verwenden wir die zu Beginn erstellte Managed Identity.\nIn der HTTP-Aktion wählt ihr als Authentifizierungstyp Managed Identity aus. Unter dem Feld Audience muss der Wert gesetzt werden auf:\n00000003-0000-0000-c000-000000000000 Dieser Wert steht für Microsoft Graph und ist erforderlich, damit die Logic App die API-Aufrufe erfolgreich ausführen kann.\nDer API-Aufruf liefert uns eine JSON-Antwort, die wir für die weitere Verarbeitung zunächst aufbereiten müssen. Dafür nutzen wir in der Logic App die Aktion „Parse JSON\u0026quot;.\nIm Feld Content geben wir den dynamischen Wert Body des vorherigen HTTP-Calls an. Anschließend hinterlegen wir das passende Schema, damit die Logic App die Struktur der Antwort kennt und wir die einzelnen Werte (z. B. das Passwort) in den nächsten Schritten einfach referenzieren können. Nun haben wir aus dem angegebenen Gerätenamen die erforderliche Device-ID ermittelt.\nSchritt 4 – LAPS Passwort erhalten # Mit der ermittelten Device-ID können wir nun das LAPS-Passwort abrufen. Dazu führen wir einen weiteren Graph API-Aufruf aus, der die Device-ID als Parameter verwendet.\nDer entsprechende Endpunkt lautet:\nhttps://graph.microsoft.com/beta/directory/deviceLocalCredentials\u0026lt;dynamische Device ID\u0026gt;?$select=credentials Zusätzlich müssen wir in diesem Schritt bestimmte Header-Informationen mitgeben, damit der API-Aufruf korrekt verarbeitet wird. Dazu gehören:\nUser-Agent = Dsreg/10.0 (Windows 10.0.19043.1466) ocp-client-name = My Friendly Client ocp-client-version = 1.2 Vergesst außerdem nicht, am Ende wieder die richtige Authentifizierung zu konfigurieren – wie zuvor beschrieben über die Managed Identity mit dem entsprechenden Audience-Wert für Microsoft Graph.\nJe nach Konfiguration von LAPS und der eingestellten Gültigkeitsdauer der Passwörter kann es vorkommen, dass der API-Aufruf mehrere gültige Passwörter zurückliefert. Aus diesem Grund erstellt die Logic App an dieser Stelle automatisch eine „For Each\u0026quot;-Schleife, um alle zurückgegebenen Einträge zu verarbeiten.\nHinweis: Um sicherzustellen, dass ihr das aktuellste Passwort verwendet, prüft in der JSON-Antwort das Feld backupDateTime. Sortiert die Einträge nach diesem Wert und wählt das Passwort mit dem jüngsten Zeitstempel aus. In der Logic App könnt ihr dies beispielsweise mit einer „Select\u0026quot;-Aktion und anschließend einer „Sort\u0026quot;-Funktion umsetzen, bevor ihr das erste Element weiterverarbeitet.\nSchritt 5 – Passwort an User ausgeben # Jetzt, da wir das Passwort erfolgreich abgerufen haben, müssen wir es natürlich noch an den Benutzer übermitteln. In meinem Beispiel nutze ich dafür Microsoft Teams und sende über den Flow Bot eine Chat-Nachricht an den Benutzer, der das Formular eingereicht hat. Dazu muss zusätzlich ein Account vorhanden sein, um eine Teams Connection aufzubauen. Beispielsweise kann aber auch ein Ticketsystem oder anderes dafür genutzt werden.\nDen Namen des lokalen Admins können wir wieder über eine dynamische Abfrage aus dem Graph Call bekommen.\nDas von der Graph API zurückgegebene Passwort ist Base64-codiert. Bevor wir es in der Nachricht anzeigen, müssen wir es also dekodieren. In der Logic App lässt sich das ganz einfach mit der Funktion decodeBase64() umsetzen:\ndecodeBase64(item()?[\u0026#39;passwordBase64\u0026#39;]) So stellen wir sicher, dass der Benutzer das Passwort in Klartext erhält, ohne zusätzliche Schritte durchführen zu müssen.\nConclusio # Mit der Kombination aus Microsoft Forms, Logic Apps und der Microsoft Graph API lässt sich die Ausgabe von LAPS-Passwörtern effizient und sicher automatisieren. Der Prozess bietet nicht nur Komfort für Anwender, sondern sorgt auch für Nachvollziehbarkeit und reduziert manuelle Eingriffe. Durch den Einsatz von Managed Identities, klar definierten Berechtigungen und Best Practices wie Logging und Justification bleibt die Lösung sicher und compliant. Der Prozess kann weiterhin beliebig angepasst werden und beispielsweise durch einen Freigabeprozess erweitert werden.\n","date":"5. Oktober 2025","externalUrl":null,"permalink":"/blog/laps-prozessautomatisierung/","section":"Blog","summary":"","title":"LAPS Prozessautomatisierung","type":"blog"},{"content":" Folge 92 - Neue Threadansicht in Microsoft Teams Kanälen: Mehr Chat, weniger Struktur? (mit: Nicole)\nMicrosoft ändert sukzessive die Art und Weise, wie wir in MS Teams kommunizieren. Begonnen haben sie Anfang des Jahres mit der neuen Chat- und Teamsansicht. Eine Änderung die anfangs zu viel Aufruhr gesorgt hat. Jetzt kommt ein weiterer Schritt: Eine neue Ansicht direkt in den Kanälen. Mit Threads gleicht Microsoft nun auch Kanäle den Chats an. Oder nicht? Wir schauen uns das heute mal an und haben uns dazu wieder einmal Verstärkung geholt. Nicole Wiske, MVP für Copilot und Teams, zeigt uns, was Threads können und wie man die neue Ansicht einstellt. Lieben Dank Nicole, dass du da warst und für die spannenden Einblicke.\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nLinks zur Folge ✘ MS Blog: https://techcommunity.microsoft.com/blog/microsoftteamsblog/from-threads-to-workflows-microsoft-teams-features-that-boost-everyone%E2%80%99s-product/4430879 ✘ LinkedIn Nicole: https://www.linkedin.com/in/nicolewiske/\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#M365 #Microsoft365 #Microsoft #Office365 #Alltag #Techies #Geeks #teams #threads #channel\n","date":"3. Oktober 2025","externalUrl":null,"permalink":"/videos/folge-92-neue-threadansicht-in-microsoft-teams-kanaelen-mehr-chat-weniger-strukt/","section":"Videos","summary":"Microsoft ändert sukzessive die Art und Weise, wie wir in MS Teams kommunizieren. Jetzt kommt ein weiterer Schritt: Eine neue Ansicht direkt in den Kanälen mit Threads.","title":"Folge 92 - Neue Threadansicht in Microsoft Teams Kanälen: Mehr Chat, weniger Struktur? (mit: Nicole)","type":"videos"},{"content":" Folge 91 - Microsoft 365 Copilot + PowerPoint: Geniale Präsentationen im Unternehmenslook! (Gast: Fabio)\nDer Microsoft 365 Copilot unterstützt uns täglich schon in so vielen Aufgaben, aber richtig cool wäre es, wenn er mir auch schnell Präsentationen im Unternehmensstil erstellen könnte. Leider geht das nicht so richtig. Oder doch? Mit der richtigen Konfiguration und ein wenig Vorbereitung kann man auch hier mittlerweile bemerkenswerte Ergebnisse erzielen. Was es dazu braucht zeigt uns heute unser Gast Fabio Bonolo. Als MVP für Microsoft 365 Copilot ist er ein wahrer Experte, wenn es um den Einsatz von Copilot geht. Vielen Dank lieber Fabio für die Insights.\nWie findet ihr diese Funktion? Ist das ein mehrwert für euch?\nLinks zur Folge ✘ Setup Assest Library: https://learn.microsoft.com/en-us/sharepoint/organization-assets-library?WT.mc_id=MVP_405640 ✘ Fabios Socials: https://www.fabiobonolo.com, https://www.youtube.com/@UCy7K3OSAgZneEIbPsU7wo0A\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#M365 #Microsoft365 #Microsoft #azure #Alltag #Techies #Geeks #copilot #powerpoint\n","date":"19. September 2025","externalUrl":null,"permalink":"/videos/folge-91-microsoft-365-copilot-powerpoint-geniale-praesentationen-im-unternehmen/","section":"Videos","summary":"Der Microsoft 365 Copilot unterstützt uns täglich in vielen Aufgaben. Mit der richtigen Konfiguration kann man auch in PowerPoint bemerkenswerte Präsentationen im Unternehmensstil erstellen.","title":"Folge 91 - Microsoft 365 Copilot + PowerPoint: Geniale Präsentationen im Unternehmenslook!","type":"videos"},{"content":" Folge 90 - Microsoft Teams Profi Tipp: Meeting Hintergründe per Explorer hinzufügen\nBenutzerdefinierte Hintergründe in Teams Meetings sind ein essenzielles Feature. Im neuen Teams-Client lassen sich diese auf verschiedenen Wegen hinzufügen. Besonders für Administratoren hat sich jedoch einiges geändert – insbesondere bei der zentralen Verteilung ohne Teams Premium.\nIn diesem Video zeigen wir euch, wie ihr eure Hintergründe weiterhin über den Windows Explorer setzen könnt – ganz ohne Zusatzlizenz.\nLinks zur Folge ✘ Link im Explorer: %LOCALAPPDATA%\\Packages\\MSTeams_8wekyb3d8bbwe\\LocalCache\\Microsoft\\MSTeams\\Backgrounds\\Uploads ✘ Renés Blog: https://wasel365.de/2025/09/05/microsoft-teams-meeting-hintergrunde-per-explorer-hinzufugen/\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#M365 #Microsoft365 #Microsoft #Office365 #Alltag #Techies #Geeks #teams #hintergründe #meeting\n","date":"5. September 2025","externalUrl":null,"permalink":"/videos/folge-90-microsoft-teams-profi-tipp-meeting-hintergruende-per-explorer-hinzufueg/","section":"Videos","summary":"Benutzerdefinierte Hintergründe in Teams Meetings sind ein essenzielles Feature. In diesem Video zeigen wir euch, wie ihr eure Hintergründe über den Windows Explorer setzen könnt – ganz ohne Zusatzlizenz.","title":"Folge 90 - Microsoft Teams Profi Tipp: Meeting Hintergründe per Explorer hinzufügen","type":"videos"},{"content":" Folge 89 - From Mess to Maester: So machst du M365 wasserdicht (Gast: Fabian)\nSecurity und Governance sind zentrale Bestandteile einer sicheren Verwendung von IT Ressourcen. Auch in M365 müssen wir dafür Sorge tragen, dass unser Tenant sicher und nach best practice konfiguriert ist. Aber was sind denn eigentlich best practices und wie kann ich schnell und einfach feststellen, wie der Stand meines Tenants ist? Hier kommt das Community Tool Maester ins Spiel. Fabian Bader hat selbst maßgeblich an diesem Tool mitgearbeitet und zeigt uns heute, was man damit alles tracken kann. Für weitere Infos rund um Cloud Security folgt Fabian auf seinen Socials. Und jetzt viel Spass mit Folge 89!\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nLinks zur Folge ✘ Maester: https://maester.dev/ ✘ Cloud Identity Summit: https://www.identitysummit.cloud/\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#m365 #microsoft365 #Microsoft #cloud #Alltag #Techies #Geeks #maester #security #governance\n","date":"22. August 2025","externalUrl":null,"permalink":"/videos/folge-89-from-mess-to-maester-so-machst-du-m365-wasserdicht-gast-fabian/","section":"Videos","summary":"Security und Governance sind zentrale Bestandteile einer sicheren Verwendung von IT Ressourcen. Fabian Bader zeigt uns, was man mit dem Community Tool Maester alles tracken kann.","title":"Folge 89 - From Mess to Maester: So machst du M365 wasserdicht (Gast: Fabian)","type":"videos"},{"content":" Folge 88 - Pimp my list - Deine Listen können mehr als du denkst\nWir haben ja schon viel über Lists gesprochen. Als Alternative zu Planner oder auch die allseits beliebten Lists Forms. Heute wollen wir mal ansehen, wie man MS Lists so anpassen kann, dass sie jedem UseCase entsprechen können. Und wir versprechen: Man kann es soweit auf die Spitze treiben, dass man niemals mehr eine Liste dahinter vermutet. Viel Spass!\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nLinks zur Folge ✘ MS Learn: https://learn.microsoft.com/en-us/sharepoint/dev/declarative-customization/column-formatting?WT.mc_id=MVP_405640 ✘ GitHub Community Repo: https://github.com/pnp/List-Formatting/tree/master ✘ Folge 68 - Microsoft Lists - der bessere Planner? (Gast: Adrian): https://youtu.be/Vk_ZnZeWdaM\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#M365 #Microsoft365 #Microsoft #Office365 #Alltag #Techies #Geeks #sharepoint #lists #forms\n","date":"8. August 2025","externalUrl":null,"permalink":"/videos/folge-88-pimp-my-list-deine-listen-koennen-mehr-als-du-denkst/","section":"Videos","summary":"Heute wollen wir mal ansehen, wie man MS Lists so anpassen kann, dass sie jedem UseCase entsprechen können. Man kann es soweit auf die Spitze treiben, dass man niemals mehr eine Liste dahinter vermutet.","title":"Folge 88 - Pimp my list - Deine Listen können mehr als du denkst","type":"videos"},{"content":" Folge 86 - Nie wieder Patch-Stress: Windows Autopatch im Check!\nUnser Kanal erscheint im neuen Gewand. Nach über 85 Folgen ist es nun mal Zeit das Design zu ändern. Wir starten mit den Thumbnails und mehr wird folgen. In der heutigen Folge sprechen wir über Windows Autopatch. Eine hervorragende Möglichkeit eure Windows Devices immer up to date zu halten. Und das jetzt auch in M365 Business Premium integriert. Nutzt ihr es schon?\nWas sagt ihr zum neuen Thumbnail?\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nLinks zur Folge ✘ MS Learn: https://learn.microsoft.com/en-us/windows/deployment/windows-autopatch/overview/windows-autopatch-overview?WT.mc_id=MVP_405640\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#m365 #microsoft365 #Microsoft #Office365 #Alltag #Techies #Geeks #windowsupdate #windowsautopatch #intune #windows11\n","date":"25. Juli 2025","externalUrl":null,"permalink":"/videos/folge-86-nie-wieder-patch-stress-windows-autopatch-im-check/","section":"Videos","summary":"Unser Kanal erscheint im neuen Gewand. In der heutigen Folge sprechen wir über Windows Autopatch – eine hervorragende Möglichkeit eure Windows Devices immer up to date zu halten.","title":"Folge 86 - Nie wieder Patch-Stress: Windows Autopatch im Check!","type":"videos"},{"content":" Folge 87 - Robopack: Intune Pakete einfach \u0026amp; schnell erstellen\nM365 im Alltag bedeutet für uns auch, dass wir an manchen Stellen mal links und rechts schauen, welche Tools es gibt, die uns die Verwaltung von M365 Services vereinfacht oder automatisiert. Hier ist Daniel vor ein paar Wochen das Tool Robopack vor die Füße gefallen. Mit Robopack habt ihr das perfekte Add-On, um Applikationsverwaltung und Updateprozesse in Intune zu vereinfachen. Und das Beste: Für SMBs und NGOs ist es kostenlos. Es werden auch noch weitere Videos zu diesem Tool kommen, da wir nicht alle Features verpacken konnten. Viel Spass!\n🔔 Abonniert unseren Kanal für weitere Alltagstipps rund um Microsoft 365!\nLinks zur Folge ✘ Robopack: https://robopack.com/\nFolge uns auf Bluesky ✘ @DuRM365.bsky.social ✘ @renewasel.bsky.social ✘ @dako365.bsky.social\nUnsere Blogs ✘ https://dako365.com/ ✘ https://wasel365.de/\n#m365 #microsoft365 #Microsoft #Office365 #Alltag #Techies #Geeks #appdeployment #intune #robopack\n","date":"25. Juli 2025","externalUrl":null,"permalink":"/videos/folge-87-robopack-intune-pakete-einfach-schnell-erstellen/","section":"Videos","summary":"M365 im Alltag bedeutet für uns auch, dass wir an manchen Stellen mal links und rechts schauen, welche Tools es gibt. Hier ist Daniel das Tool Robopack vor die Füße gefallen – das perfekte Add-On für Applikationsverwaltung in Intune.","title":"Folge 87 - Robopack: Intune Pakete einfach \u0026 schnell erstellen","type":"videos"},{"content":" Was ist LAPS? # „LAPS\u0026quot; steht für „Local Administrator Password Solution\u0026quot;. Es handelt sich dabei um ein von Microsoft entwickeltes Tool zur Verwaltung von lokalen Administrator-Passwörtern auf Windows-Computern. Die Idee hinter LAPS ist es, sicherzustellen, dass auf jedem Windows-Computer in einem Netzwerk ein eindeutiges zufällig generiertes Administrator-Passwort verwendet wird. Dadurch wird das Risiko verringert, dass Angreifer sich Zugriff auf das gesamte Netzwerk verschaffen können, wenn sie Zugriff auf ein einzelnes Administrator-Passwort erlangen.\nLAPS funktioniert, indem es das lokale Administrator-Passwort auf jedem Computer zufällig generiert und speichert. Die gespeicherten Passwörter werden in einer Active Directory-Attributfeld gespeichert, auf das nur autorisierte Benutzer oder Gruppen Zugriff haben. Seit Oktober ist LAPS auch in Intune (GA) verfügbar. Hier werden die generierten Passwörter in den Eigenschaften des Gerätobjekts gespeichert und können durch verschiedene Rollen, wie z.B. Helpdesk eingesehen werden. Das Passwort ändert sich nach einem definierten Zeitraum nach Benutzung.\nDurch die Verwendung von LAPS können Unternehmen die Sicherheit ihres Netzwerks verbessern, indem sie sicherstellen, dass lokale Administrator-Passwörter regelmäßig geändert und sicher gespeichert werden.\nWarum LAPS? # Lasst uns LAPS konfigurieren # LAPS in Entra aktivieren # Zunächst einmal müssen wir in unserem Tenant LAPS einschalten. Dafür navigieren wir ins Entra zu den Devices settings. Hier stellen wir die Einstellung „Enable Microsoft Entra Local Administrator Password Solution (LAPS) auf „Yes\u0026quot;. Danach steht uns nach kurzer Zeit LAPS in Intune zur Verfügung.\nLAPS Policy konfigurieren # Wie bereits erwähnt ist LAPS eine Konfiguration in Intune. Ihr findet diese unter Intune admin center → Endpoint security → Account protection.\nHier erstellen wir eine neue LAPS Policy. Zunächst einmal müssen wir unserer Policy einen Namen und am besten eine Beschreibung geben.\nJetzt kommen wir zur eigentlichen Konfiguration. Im ersten Überblick sehen wir sechs Punkte, die zu konfigurieren sind:\nBackup Directory # Als erstes müssen wir definieren, wo das lokale Admin Passwort gespeichert werden soll. Neben Entra stehen uns noch das lokale Active Directory oder die Option, es gar nicht zu speichern, zur Verfügung. Da ich hier im Beitrag LAPS in Intune zeigen möchte, konfigurieren wir hier die Option „Backup the password to Azure AD only\u0026quot;.\nZusätzlich können wir unter diesem Punkt noch „Password Age Days\u0026quot; festlegen. Diese Einstellung hat einen minimal zulässigen Wert von 7 Tagen und einen maximal zulässigen Wert von 365 Tagen. Wenn nicht konfiguriert, ist standardmäßig 30 Tage festgelegt.\nAdministrator Account Name # Diese Einstellung verwenden wir, um den Namen des verwalteten lokalen Administratorkontos zu konfigurieren. Wenn nicht angegeben, wird das standardmäßige integrierte lokale Administratorkonto nach der bekannten SID gefunden (auch wenn es umbenannt wurde). Falls angegeben, wird das Kennwort des angegebenen Kontos verwaltet. (Lokalen Admin Account erstellen → hier) In meinem Fall ist es der „LocAdmin\u0026quot;.\nAchtung: Diese Einstellung erstellt auf dem Client kein neues lokales Admin Konto. Dieses müssen wir über Intune erst erstellen. Wird das hier angegebene Konto auf dem Client nicht verfügbar, kann LAPS nicht angewendet werden.\nPassword Complexity # Die Komplexität des erstellten Passworts kann folgendermaßen eingestellt werden. Ich habe mich in meinem Beispiel für Groß- und Kleinbuchstaben und Nummern entschieden. Hier müsst ihr selber entscheiden, was für euch sinnvoll ist.\nPassword Length # So wie der Name schon sagt, können wir hier die Länge des Kennworts des verwalteten lokalen Administratorkontos konfigurieren. Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 14 Zeichen festgelegt. Diese Einstellung hat einen minimal zulässigen Wert von 8 Zeichen und einen maximal zulässigen Wert von 64 Zeichen.\nBeachte: Der User muss das Passwort auf seinem Client in der User Access Control (UAC) manuell eingeben. Copy \u0026amp; Paste ist dort nicht möglich. Im Sinne der Usability sollte es dann also nicht zu lang oder zu kompliziert sein.\nPost Authentication Actions # Hier passiert jetzt eigentlich erst die wirkliche Magie von LAPS. Wir stellen ein, was nach der Verwendung des Passwortes und Ablauf der Toleranzperiode passieren soll.\nFolgende Möglichkeiten stehen uns zur Verfügung:\nWert Beschreibung 1 Kennwort zurücksetzen: Nach Ablauf der Toleranzperiode wird das Kennwort des verwalteten Kontos zurückgesetzt 2 Zurücksetzen des Kennworts und Abmelden des verwalteten Kontos: Nach Ablauf der Toleranzperiode wird das Kennwort des verwalteten Kontos zurückgesetzt, und alle interaktiven Anmeldesitzungen mit dem verwalteten Konto werden beendet. 3 (Standard) Zurücksetzen des Kennworts und Neustart: Nach Ablauf der Toleranzperiode wird das Kennwort des verwalteten Kontos zurückgesetzt, und das verwaltete Gerät wird sofort neu gestartet. Ich verwende in meinem Beispiel Option 2.\nPost Authentication Reset Delays # Hier können wir die Toleranzperiode angeben, wie lange (in Stunden) nach einer Authentifizierung gewartet werden soll, bevor das Passwort zurückgesetzt wird. Wenn nicht angegeben, wird diese Einstellung standardmäßig auf 24 Stunden festgelegt. Diese Einstellung hat einen minimal zulässigen Wert von 0 Stunden und einen maximal zulässigen Wert von 24 Stunden.\nAbschließend müsst ihr eure Konfiguration den entsprechenden Gruppen zuweisen. LAPS-Richtlinien werden nun angewendet und das Passwort im Geräteprofil zur Verfügung gestellt.\nLAPS-Passwort abrufen # Das LAPS-Passwort könnt ihr nun in den Eigenschaften eures Gerätes abfragen. Hier gibt es verschiedene Möglichkeiten. Entweder über Entra in der Device Overview, im Entra Device Objekt oder natürlich im Intune.\nHier findet ihr es unter dem Eintrag „Local Admin Password\u0026quot;. Hier wird euch zunächst einmal angezeigt, wann die letzte Passwortrotation war und wann die nächste statt findet. Mit Klick auf den Link wird euch dann der lokale Admin Account mit dem entsprechenden Passwort angezeigt.\nManuelle Rotation des Passwords # Das Passwort wird in dem Zyklus rotiert, der von euch in der Policy definiert wurde. Im Intune Admin Center können wir die Rotation aber auch manuell ausführen. Diese könnt ihr im Geräteobjekt in der Aktionsleiste initiieren.\nBeachte bitte, dass die Erstellung des Passworts lokal auf dem Client vorgenommen wird und dementsprechend Zeit benötigt.\nNotwendige Admin Rollen # Um mit dem Intune-Administrationscenter das Kennwort für das lokale Administratorkonto eines Geräts anzuzeigen oder zu ändern, muss deinem Konto die folgenden Intune-Berechtigungen zugewiesen werden:\nManaged devices: Read Organization: Read Remote tasks: Rotate Local Admin Password Um Kennwortdetails anzeigen zu können, muss dein Konto über eine der folgenden Microsoft Entra-Berechtigungen verfügen:\nmicrosoft.directory/deviceLocalCredentials/password/read to read LAPS metadata and passwords. microsoft.directory/deviceLocalCredentials/standard/read to read LAPS metadata excluding passwords. LAPS-Passwort mit PowerShell und Graph abfragen # Um den manuellen Aufwand zu verringern, sollte man den LAPS Passwort Prozess automatisieren. Hierzu werde ich euch hier auf meinem Blog eine Möglichkeit demonstrieren. Wenn ihr bereits bestehende Prozesse automatisiert habt, hier nur kurz das entsprechende CMDlet. Ihr müsst euch dazu zunächst mit der PowerShell am Microsoft Graph authentifizieren.\n#Connect to Microsoft Graph Connect-Mggraph -Scope DeviceLocalCredential.Read.All, Device.Read.All #Define your device name here Param ( [string]$DeviceID ) # Get the LAPS password Get-LapsAADPassword -DeviceIds $DeviceID -IncludePasswords -AsPlainText Die Sicht des Users und Diskussion # Schaut euch dazu unser Video auf #DuRM365 an 😊\n","date":"15. Dezember 2023","externalUrl":null,"permalink":"/blog/intune-local-admin-password-solution-laps/","section":"Blog","summary":"","title":"Intune: Local Admin Password Solution (LAPS)","type":"blog"},{"content":"Die Erstellung von lokalen Konten und auch Adminkonten kann nicht nur für die Verwendung von LAPS nützlich sein. Wie ihr das Konto erstellt und es in die entsprechende Berechtigungsgruppe verschiebt zeige ich euch in diesem kurzen Blogartikel.\nGerätekonfiguration erstellen # Zunächst einmal müssen wir im Intune Admin Center ein neues „Configuration profile\u0026quot; für Windows Geräte anlegen. Die Konfiguration, die wir benötigen ist leider nicht im Katalog enthalten und muss manuell über OMA-URI Einträge vorgenommen werden. Daher wählen wir als „Profile type\u0026quot; „Templates\u0026quot; aus und wählen das „Custom\u0026quot; Template.\nDanach benennt ihr eure Richtlinie entsprechend und könnt dann manuelle Einstellungen hinzufügen.\nLokales Konto erstellen # Um einen User Account mit entsprechendem Passwort anzulegen, müssen wir folgenden Eintrag anlegen:\nOMA-URI ./Device/Vendor/MSFT/Accounts/Users/$DisplayNamedesKontos$/Password Wichtig ist, dass ihr im String den vorletzten Wert mit eurem Wunschnamen anpasst.\nSetzt ihr LAPS ein, wird das hier vergebene Passwort durch die LAPS Policy überschrieben.\nKonto in lokale Administratorengruppe hinzufügen # Damit haben wir nun aber nur einen lokalen User erstellt. Damit dieser auch lokaler Admin wird, müssen wir ihn noch der Gruppe der lokalen Administratoren hinzufügen. Dies geschieht auch über einen OMA-URI Eintrag im gleichen Profil. Wir fügen also einen weiteren Eintrag hinzu mit folgenden Werten:\nOMA-URI ./Device/Vendor/MSFT/Accounts/Users/$DisplayNamedesKontos$/LocalUserGroup Auch hier bitte wieder darauf achten, dass der vorletzte Wert identisch zu eurem davor erstellten Account ist.\nAnschließend weist ihr das Profil den gewünschten Gruppen zu.\nKonfiguration wird als fehlerhaft angezeigt # Nachdem das Profil auf die Geräte verteilt wurde, zeigt Intune Fehler in der Übersicht an.\nSchauen wir uns das im Detail an, sehen wir das der Error Code „-2016281112\u0026quot; zurückgegeben wird.\nFakt ist allerdings, dass die Konfiguration funktioniert und der lokale Admin erstellt wird. In meinen bisherigen Recherchen konnte ich keine Antworten auf diesen Fehler finden. In verschiedenen Foren geht man davon aus, dass es einfach ein Bug ist. Wie auch immer: Hauptsache ist, dass es funktioniert.\n","date":"15. Dezember 2023","externalUrl":null,"permalink":"/blog/lokales-admin-konto-mit-intune-erstellen/","section":"Blog","summary":"","title":"Lokales Admin Konto mit Intune erstellen","type":"blog"},{"content":"","date":"14. Juli 2023","externalUrl":null,"permalink":"/tags/exchange-online/","section":"Tags","summary":"","title":"Exchange Online","type":"tags"},{"content":"–\u0026gt; Also available in english!\nCyber Angriffe durch Phishing Mails sind immer noch eine der beliebtesten Methoden. Zusätzlich werden diese Angriffe immer raffinierter und authentischer. Natürlich gibt es Sicherheitsmechanismen, wie DKIM, DMARC oder SPF. Der Einsatz dieser ist auch zwingend zu empfehlen. Dennoch können wir auch damit keinen hundertprozentigen Schutz garantieren. Umso wichtiger ist es, unsere User im Umgang mit der IT zu schulen und für Sicherheitsrisiken zu sensibilisieren. Exchange Online bietet ein paar Feature, um es den Usern einfacher zu machen Gefahren zu erkennen:\nExternal E-Mail Tags Manipulation des Betreffs der E-Mail Farbige Warnung im Body der E-Mail Zusätzlich möchte ich in diesem Blogpost euch einen MailTip in Outlook zeigen, der standardmäßig nicht aktiviert ist, aber dem User einen Hinweis gibt, wenn er eine E-Mail an eine Person außerhalb der Organisation sendet. Dieser Tipp kann vor dem Abfließen von intern/vertrauenswürdigen Dokumenten schützen.\nExternal E-Mail Tags # Starten wir mit einem relativ neuem Feature. Wir haben nun die Möglichkeit externe E-Mails in Outlook Clients mit einem „External\u0026quot; Tag zu versehen.\nDieses Feature müsst ihr einmal tenantweit für alle Mailbox aktivieren:\nSet-ExternalInOutlook -Enabled $true Beachtet bitte, dass es bis zu 48 Stunden dauern kann, bis die Einstellung greift. Möchtet ihr beispielsweise Emailadressen oder Domains von Partnerorganisationen davon ausnehmen, dann könnt ihr diese Domains auf eine „AllowList\u0026quot; setzen:\nSet-ExternalInOutlook -AllowList @{Add=\u0026#34;daniel@dako365.de\u0026#34;, \u0026#34;dako365.com\u0026#34;} Und das wars auch schon! Meiner Meinung nach, einfach aktivieren, da es eigentlich gar nicht stört. Jetzt kann man aber natürlich diskutieren, wie gut dieser doch recht kleine Hinweis funktioniert. Zumal dieser, wie bereits kurz erwähnt, nur in Outlook (egal, ob Web, Client oder App) sichtbar ist. Weiterhin sind die Einstellungsmöglichkeiten sehr begrenzt. Eigentlich geht nur An oder Aus. Klar man kann aufwändig eine Whitelist per PowerShell pflegen, aber damit hebelt man dann auch direkt den Grundgedanken aus. Wenn nämlich nicht alle externen E-Mails getaggt werden, wie soll ein user dann interpretieren, ob diese E-Mail jetzt gut oder schlecht ist?!\nWenn ihr einen anderen Weg, der mehr Konfigurationsmöglichkeiten bietet, sucht, dann schaut euch doch das nächste Kapitel an.\nManipulation des Betreffs der E-Mail # Dies ist wohl die klassische Art und Weise, wie man es schon in Exchange on-premises gemacht hat. Mit Hilfe einer (oder mehrerer) Transportregeln, manipulieren wir den Betreff jeder externen E-Mail beim Eingang. Ein übliches Vorgehen ist es hier, dem Betreff mit einem Präfix, wie zum Beispiel „*EXTERNAL*\u0026quot; zu versehen.\nIch möchte euch einmal zeigen, wie ihr das in Exchange Online konfiguriert.\nZunächst einmal müssen wir ins Exchange Online Admin Center. Hier klickt ihr unter „Mail flow\u0026quot; auf die „Rules\u0026quot;.\nHier erstellen wir unter dem Reiter „Add a new rule\u0026quot; eine neue Regel mit „Create a new rule\u0026quot;.\nDann geben wir der Regel einen entsprechenden Namen und wählen die unten stehenden Einstellungen. Ihr seht jetzt hier schon, dass uns die Transportregeln viel mehr Raum für benutzerdefinierte Anpassungen bieten. Wir können bspw. auch User oder gesamte Gruppen von der Regel ausnehmen (Except if) und diesen andere Regeln mit einem anderen Präfix zuweisen. So ist es viel einfacher seinen eigenen Vorstellungen gerecht zu werden.\nZuletzt könnt ihr einen Testmodus einstellen, wenn ihr eure Regeln zunächst erst testen wollt. Die Gewichtung (Severity) der Regel sollte entsprechend eurer anderer Regeln eingestellt werden. Die Priorität der Regel können wir im Nachgang einstellen.\nDenn wichtig ist es, dass ihr die Regel nach dem Erstellen noch aktiviert. Sonst passiert nämlich gar nichts 😉\nFür alle jene, die einfach mehr Gestaltungsspielraum bei der Markierung von E-Mails benötigen, sind die Transportregeln immer noch das Mittel der Wahl. Es hat aber noch einen weiteren Vorteil: Dadurch, dass wir den Betreff manipulieren, haben wir unabhängig des verwendeten Clients immer eine Warnung. Verwendet ihr also andere Clients als Outlook (zum Beispiel die native Mail App auf eurem Smartphone), dann habt ihr hier keinerlei Einbußen, wie z.B. bei Variante 1.\nAuch S/MIME verschlüsselte E-Mails können so manipuliert werden, auch wenn die Entschlüsselung erst im Outlook Client passiert. Der Betreff steht im Header und ist somit nicht verschlüsselt.\nFarbige Warnung im Body der E-Mail # Ihr habt besonders schützenswerte Accounts und euch sind diese Hinweise immer noch zu wenig? Dann könnt ihr mit Transportregeln auch farbige Hinweise in den Body der E-Mail einfügen. Somit habt ihr auch nochmal einen farbigen Trigger. Allerdings sehe ich hier häufig von ab, da es für den Usern störend sein kann, da dieser Hinweise als Text im Body steht und damit auch beim Antwort mit versendet wird (wie beim Betreff auch).\nWenn ihr es dennoch mal testen wollt, erstellt ihr euch wieder eine Transportregel, wie oben gezeigt. Im Bereich „Do the following\u0026quot; könnt ihr nun mit HTML eine Warnung mit Text und Farbe nach eurem Empfinden eintragen. Ich habe mich für die Folgende entschieden, da diese den „Microsoft Style\u0026quot; hat:\nAchtung: Diese E-Mail wurde von einer externen Adresse verschickt. Wenn Sie den Absender nicht kennen, klicken Sie auf keine Links und öffnen Sie keine Anhänge. Wenn Sie sich unsicher sind, kontaktieren Sie stets den Service Desk.\n\u0026lt;!-- Gelbes Warnbanner --\u0026gt; \u0026lt;table border=0 cellspacing=0 cellpadding=0 align=\u0026#34;left\u0026#34; width=\u0026#34;100%\u0026#34;\u0026gt; \u0026lt;tr\u0026gt; \u0026lt;!-- Dunkelgelber Rand --\u0026gt; \u0026lt;td style=\u0026#34;background:#ffb900;padding:5pt 2pt 5pt 2pt\u0026#34;\u0026gt;\u0026lt;/td\u0026gt; \u0026lt;!-- Textfeld --\u0026gt; \u0026lt;td width=\u0026#34;100%\u0026#34; cellpadding=\u0026#34;7px 6px 7px 15px\u0026#34; style=\u0026#34;background:#fff8e5;padding:5pt 4pt 5pt 12pt;word-wrap:break-word\u0026#34;\u0026gt; \u0026lt;div style=\u0026#34;color:#222222;\u0026#34;\u0026gt; \u0026lt;span style=\u0026#34;color:#222; font-weight:bold;\u0026#34;\u0026gt;Achtung:\u0026lt;/span\u0026gt; Diese E-Mail wurde von einer externen Adresse verschickt. Wenn Sie den Absender nicht kennen, klicken Sie auf keine Links und öffnen Sie keine Anhänge. Wenn Sie sich unsicher sind, kontaktieren Sie stets den Service Desk. \u0026lt;/div\u0026gt; \u0026lt;/td\u0026gt; \u0026lt;/tr\u0026gt; \u0026lt;/table\u0026gt; \u0026lt;br /\u0026gt; Wenn ihr so eine Regel erstellt, ist es wichtig eine Fall Back Option mitzugeben, falls die Regel nicht angewendet werden kann, um keine Fehler zu produzieren.\nIm Gegensatz zur Betreffmanipulation, können Mails, die verschlüsselt sind, so nicht bearbeitet werden. Die Veränderung des Body ist durch die Verschlüsselung nicht möglich.\nMailTips in Outlook # Ihr habt sicherlich alle schon mal in Outlook die MailTips gesehen. Den meisten wird aufgefallen sein, dass sie Hinweise bekommen, wenn sie eine E-Mail an eine Person mit Abwesenheitsnachricht schreiben oder der Empfängerkreis mehr als 25 Personen groß ist.\nAber wusstet ihr, dass es genau einen MailTip gibt, der standardmäßig ausgeschaltet ist?\nWie in der Einleitung schon erwähnt, können wir einen MailTip aktivieren, der uns davor warnt, wenn eine Empfängeradresse außerhalb des Unternehmens ist. Das ist auch wieder ein einfacher Hinweis für eure User, aufmerksam zu sein, wenn sie Informationen versenden. Gerade bei der Verwendung von Verteilern, kann dieses Feature sehr nützlich sein.\nAber wie aktiviert man es? Natürlich per PowerShell:\nSet-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled $true Und hiermit könnt ihr euch mal alle MailTips anzeigen lassen:\nGet-OrganizationConfig | select *Mailtips* Von mir auch hier die klare Empfehlung zur Aktivierung: Dieses Feature hat mehr Nutzen, als, dass es jemanden beeinträchtigt.\nLinks and Facts # MailTips in Exchange Online | Microsoft Learn Native external sender callouts on email in Outlook – Microsoft Community Hub Set-ExternalInOutlook (ExchangePowerShell) | Microsoft Learn ","date":"14. Juli 2023","externalUrl":null,"permalink":"/blog/external-email-warning-in-office-365-und-outlook/","section":"Blog","summary":"","title":"External Email Warning in Office 365 und Outlook","type":"blog"},{"content":"–\u0026gt; Also available in English!\nIn der heutigen digitalisierten Welt haben sich viele Arbeitsabläufe verändert. Insbesondere die Teamkommunikation hat einen enormen Wandel erfahren. Mit der Einführung von Microsoft Teams wurde die Art und Weise, wie Unternehmen, Organisationen und Teams zusammenarbeiten, revolutioniert. Diese Revolution ist immer noch im vollen Gange. Mit Mesh hat Microsoft bereits einen virtuellen Raum angekündigt, in dem wir uns frei bewegen können und Meetings in einem völlig neuen Stil halten können. Ein aufregendes neues Feature, dass uns in diese Richtung bringt und das die Teamkommunikation auf eine neue Ebene hebt: die Microsoft Teams Avatare.\nWas sind Microsoft Teams Avatare? # Microsoft Teams Avatare sind personalisierte digitale Abbilder von dir, wie man sie schon aus vielen anderen Tools kennt. Snapchat, Apple oder auch Nintendo arbeiten seit vielen Jahren mit diesem Konzept. Unseren Teams Avatar können wir nun in der virtuellen Umgebung von Microsoft Teams Meetings verwenden. Als Ersatz für die eingeschaltete Webcam, ermöglichen Sie es den Benutzern, ihre Identität und Präsenz visuell darzustellen und bieten eine einzigartige Möglichkeit, sich in virtuellen Meetings und Chats auszudrücken. Damit dein Avatar dir auch möglichst ähnlich sieht, können Sie individuell angepasst werden, um deinen persönlichen Stil, deine Vorlieben und deine Persönlichkeit widerzuspiegeln. Verschiedene Kleidung für verschiedene Anlässe, ist natürlich auch vorhanden.\nDie Avatar App verbinden # Um euch Avatare zu erstellen, müsst ihr zunächst die Avatar App in eurem Teams Client hinzufügen. Am besten sucht ihr unter dem Reiter Apps nach „Avatar\u0026quot;. Wenn ihr die App nicht findet, wird es so sein, dass eure Administration die App nicht freigeschaltet hat. Sprecht in diesem Fall mit eurem Administrator.\nHabt ihr die App hinzugefügt, kommt ihr automatisch in den Avatar Builder, wo ihr bis zu 3 verschiedene Avatare erstellen könnt.\nDeinen eigenen Avatar erstellen # Im Avatar Builder könnt ihr nun nach Belieben euren Avatar gestalten. Wählen könnt ihr aus den 5 Hauptkategorien:\nKörper Gesicht Haare Erscheinungsbild Garderobe Jeden einzelnen Unterpunkt hier aufzuzählen, wäre dann doch zu viel. Klickt euch einfach mal durch und designt euren eigenen Avatar.\nAvatare im Teams Meeting # Ihr habt einen oder mehrere Avatare erstellt? Dann wollt ihr diese natürlich jetzt auch im Meeting nutzen. Wenn ihr an einem Meeting teilnehmt, habt ihr nun die Möglichkeit, an Stelle der Kamera euren Avatar zu verwenden. Wichtig ist nur, dass ihr eure Kamera vorher ausschaltet. Wählt euren Avatar aus und wenn ihr wollt, könnt ihr noch einen Standardhintergrund verwenden. Benutzerdefinierte Hintergründe sind aktuell noch in der Preview und haben daher noch ihre Tücken.\nSeid ihr dem Meeting beigetreten, könnt ihr das Avatar Menü aufrufen, um verschiedene Aktionen mit eurem Avatar durchzuführen. Im Avatar Menü habt ihr eine Übersicht über verschiedenste Einstellungsmöglichkeiten:\nDeine Avatare – Hier kannst du zwischen deinen erstellten Avataren schnell hin und her wechseln Avatar Reaktionen – Damit dein Avatar im Meeting nicht nur regungslos herumsteht, kannst du zwischen diversen Reaktionen wählen. Auch die klassischen Reaktionen werden auf deinen Avatar übertragen. Ein wirklich cooles Feature ist, dass sich die Lippen deines Avatars bewegen, wenn du sprichst. Avatar Hintergründe – Verwenden von verschiedenen Standardhintergründen Avatar Stimmung – Hier kannst du die Stimmung deines Avatars einstellen. Von einem mürrischen, desinteressierten Avatar bis hin zu einem freudig lächelnden Avatar, ist alles möglich. Avatar Kamera – Wie auch in der echten Webcam, kannst du deinen Avatar nicht nur frontal in der Kamera stehen haben, sondern auch rechts/links seitlich versetzt Experimentelle Einstellungen – Benutzerdefinierte Hintergründe sind noch in der Preview. Du kannst hier aber schon mal austesten, wie das funktioniert. Aktuelle Voraussetzungen und Limits # Lizenzen # User von Teams können auf die Avatar Funktion zugreifen, wenn sie eine der folgenden Lizenzen besitzen: Teams Essentials, Microsoft 365 Business Basic, Microsoft 365 Business Standard, Microsoft 365 Business Premium, Microsoft 365 E3/E5 und Office 365 E1/E3/E5.\nHardware # Komponente Mindeste Leistung Empfohlene Leistung Prozessor 2 Kerne 4 Kerne oder mehr Arbeitsspeicher 4 GB RAM 8 GB oder mehr Bei meinen Tests auf virtuellen Maschinen mit 4 GB RAM konnte ich feststellen, dass Avatare nicht flüssig liefen oder sogar abbrachen. Bei 8 GB traten diese Probleme nicht mehr auf.\nClient # Aktuell funktionieren Avatare nur im Client für Windows und Mac. Im Browser und auf mobilen Endgeräten sind diese nicht verfügbar.\nFazit # Die Einführung von Microsoft Teams Avataren ist der nächste Schritt zu Mesh und den virtuellen Raum. Avatare ermöglichen es den Benutzern, ihre Persönlichkeit auszudrücken und eine Verbindung zu ihren Teammitgliedern herzustellen, unabhängig von ihrem Standort, vor allem, wenn die Verwendung der Webcam einfach nicht möglich ist. Meiner Meinung nach ist aber auch hier noch viel Luft nach oben. Das Erstellen des Avatars ist sehr mühselig. Andere Tools, wie Snapchat, bieten hier schon die Möglichkeit, über Bilder und Videos automatisch Avatare zu generieren, die man nur leicht individuell anpassen muss. Weiterhin ist die Stabilität im Meeting noch nicht komplett gegeben. Bei vielen Tests haben die Meetingteilnehmer meinen Avatar entweder gar nicht, oder die Aktionen nicht gesehen. Hin und wieder ist sogar mein gesamter Client abgestürzt.\nAber dennoch: Mit der zunehmenden Bedeutung von Remote-Arbeit und virtueller Zusammenarbeit werden Avatare einen wesentlichen Beitrag zur Verbesserung der Teamkommunikation leisten und die Zukunft der Arbeitswelt prägen. Ich bin gespannt, wo die Entwicklung hingeht.\nYouTube Video # Auf unserem YouTube Kanal findet ihr dazu auch ein Video.\nLinks und Facts # Join a meeting as an avatar in Microsoft Teams – Microsoft Support Set up avatars for Microsoft Teams – Microsoft Teams | Microsoft Learn ","date":"30. Juni 2023","externalUrl":null,"permalink":"/blog/avatare-in-ms-teams-meetings/","section":"Blog","summary":"","title":"Avatare in MS Teams Meetings","type":"blog"},{"content":"","date":"30. Juni 2023","externalUrl":null,"permalink":"/tags/teams/","section":"Tags","summary":"","title":"Teams","type":"tags"},{"content":"–\u0026gt; Also available in English!\nIch werde häufig nach einer Methode gefragt Druckertreiber zentral über Intune zu verteilen. Gerade auf Clients ohne lokale Adminrechte ist es nicht möglich Treiber beispielsweise von einem Printserver herunterzuladen und zu installieren. Hierzu habe ich ein Vorgehen entwickelt mit Hilfe von pnputil.exe Treiber auf Clients zu installieren.\nWas benötigen wir dafür:\nDie Treiberdateien des Herstellers (wichtig vor allem *.INF und *.CAT) Eine Powershellumgebung (Visual Studio, ISE o.ä.) Microsoft Win32 Content Prep Tool Entpacken der Treiber # Die Treiber laden wir beim Druckerhersteller herunter und entpacken diese im gewünschten Pfad. Im Ordner, in dem die Installationsdatei liegt (*.INF) erstellen wir 3 PowerShellskripte:\nInstall-Driver.ps1 Remove-Driver.ps1 Detectionscript.ps1 Install-Driver.ps1 # Zur Installation des Treibers auf dem Client nutzen wir das Tool pnputil.exe. Dieses rufen wir per „Start-Process\u0026quot;-Befehl in der PowerShell auf und geben entsprechende Argumente, sowie die Installationsdatei an. Ist der Treiber mit pnputil geladen, kann mit dem Befehl „Add-PrinterDriver\u0026quot; der gewünschte Treiber hinzugefügt werden. Sind in einem Treiberpaket mehrere Druckertreiber enthalten, können natürlich alle gewünschten Treiber hinzugefügt werden.\nDa wir das Skript in eine WIN32 App packen, startet Intune bei der Verteilung standardmäßig eine 32-bit PowerShell. Diese kann allerdings pnputil.exe nicht aufrufen. Daher muss am Anfang des Skripts mitgegeben werden, dass das Skript in 64-bit PowerShell gestartet wird.\nIn meinem Beispiel nutze ich Treiber der Druckerserie THERMOMARK von Phoenix.\n#starts script in 64bit powershell If ($ENV:PROCESSOR_ARCHITEW6432 -eq \u0026#34;AMD64\u0026#34;) { Try { \u0026amp;\u0026#34;$ENV:WINDIR\\SysNative\\WindowsPowershell\\v1.0\\PowerShell.exe\u0026#34; -File $PSCOMMANDPATH } Catch { Throw \u0026#34;Failed to start $PSCOMMANDPATH\u0026#34; } Exit } #install driver #pnputil arguments $INFARGS = @( \u0026#34;/add-driver\u0026#34; \u0026#34;PHOENIX.inf\u0026#34; ) Start-Process pnputil.exe -ArgumentList $INFARGS -wait -passthru Add-PrinterDriver -Name \u0026#34;THERMOMARK ROLL 2.0\u0026#34; Add-PrinterDriver -Name \u0026#34;THERMOMARK CARD 2.0\u0026#34; Druckertreiber ohne vertrauenswürdige Zertifikate # Es gibt Druckertreiber, die standardmäßig von Windows 10 nicht als vertrauenswürdig eingestuft werden. Bei der Installation muss dies erst bestätigt werden.\nIn einer Intune Installation ist diese Userinteraktion nicht gewünscht und auch nicht möglich, da lokale Adminrechte notwendig sind. Das können wir allerdings lösen in dem wir im Powershellskript vorher das Zertifikat aus der *.CAT Datei exportieren und im Zertifikatsspeicher unter „Trusted Publisher\u0026quot; speichern.\nSo haben wir nun ein Skript, das Druckertreiber mithilfe von pnputil.exe installiert.\n#starts script in 64bit powershell If ($ENV:PROCESSOR_ARCHITEW6432 -eq \u0026#34;AMD64\u0026#34;) { Try { \u0026amp;\u0026#34;$ENV:WINDIR\\SysNative\\WindowsPowershell\\v1.0\\PowerShell.exe\u0026#34; -File $PSCOMMANDPATH } Catch { Throw \u0026#34;Failed to start $PSCOMMANDPATH\u0026#34; } Exit } #transfer driver certificate to local trusted cert store $signature = Get-AuthenticodeSignature PHOENIX.cat $store = Get-Item -Path Cert:\\LocalMachine\\TrustedPublisher $store.Open(\u0026#34;ReadWrite\u0026#34;) $store.Add($signature.SignerCertificate) $store.Close() #install driver $INFARGS = @( \u0026#34;/add-driver\u0026#34; \u0026#34;PHOENIX.inf\u0026#34; ) Start-Process pnputil.exe -ArgumentList $INFARGS -wait -passthru Add-PrinterDriver -Name \u0026#34;THERMOMARK ROLL 2.0\u0026#34; Add-PrinterDriver -Name \u0026#34;THERMOMARK CARD 2.0\u0026#34; Remove-Printer.ps1 # Wichtig für einen reibungslosen Betrieb über Intune ist auch die Deinstallation von Programmpaketen. Somit kann auch die Deinstallation von alten Druckertreibern, die nicht mehr benötigt werden, realisiert werden. Hierzu nutzen wir wieder pnputil.exe und die gleiche Herangehensweise, wie bei der Installation.\nIf ($ENV:PROCESSOR_ARCHITEW6432 -eq \u0026#34;AMD64\u0026#34;) { Try { \u0026amp;\u0026#34;$ENV:WINDIR\\SysNative\\WindowsPowershell\\v1.0\\PowerShell.exe\u0026#34; -File $PSCOMMANDPATH } Catch { Throw \u0026#34;Failed to start $PSCOMMANDPATH\u0026#34; } Exit } #delete driver $INFARGS = @( \u0026#34;/delete-driver /force\u0026#34; \u0026#34;oemsetup.inf\u0026#34; ) Start-Process pnputil.exe -ArgumentList $INFARGS -wait Remove-PrinterDriver -Name \u0026#34;THERMOMARK ROLL 2.0\u0026#34; Remove-PrinterDriver -Name \u0026#34;THERMOMARK CARD 2.0\u0026#34; Detectionscript.ps1 # Damit Intune nach der Installation erkennt, dass der Vorgang erfolgreich war, müssen wir ein Erkennungsskript während der Bereitstellung in Intune hochladen. Dieses Skript prüft, ob die Druckertreiber über die PowerShell gefunden werden. Wenn man mehrere Treiber installiert, müssen alle Treiber auch in der Detection aufgenommen werden.\nDies könnte dann beispielsweise so aussehen.\nIF ( (Get-PrinterDriver| Where-Object {($_.Name -Match \u0026#34;THERMOMARK ROLL 2.0\u0026#34;)})` -and (Get-PrinterDriver| Where-Object {($_.Name -Match \u0026#34;THERMOMARK CARD 2.0\u0026#34;)})){ $True } Paketierung # Jetzt haben wir alle notwendigen Dateien und Skripte und können das Intune Paket packen. Wichtig für die Paketierung ist, dass alle Skripte im Ordner mit der *.INF und *.CAT Datei liegen. Das Detectionscript muss nicht mitgepackt werden, da es extra in Intune hochgeladen wird.\nIst der Ordner vollständig, starten wir das Microsoft Win32 Content Prep Tool und geben alle relevanten Informationen ein.\nDas Tool packt uns nun eine Install-Driver.intunewin Datei, die wir in Intune hochladen können.\nEinstellungen in Microsoft Endpoint Manager # Wir laden nun unsere INTUNEWIN Datei als Win32 App in Endpoint Manager hoch und geben dem Paket den gewünschten Namen.\nUnter dem Punkt „Program\u0026quot; geben wir das Installationskommando\npowershell.exe -executionpolicy bypass \u0026#34;.\\Install-Driver.ps1\u0026#34; sowie das Deinstallationskommando an.\npowershell.exe -executionpolicy bypass \u0026#34;.\\Remove-Printer.ps1\u0026#34; Unter den Voraussetzungen muss Windows als 64-bit Architektur eingetragen werden. Die Betriebssystemversion sollte immer im supporteten Bereichen sein.\nIm nächsten Schritt laden wir unser Detectionscript.ps1 hoch.\nJetzt muss das Paket nur noch entsprechenden Usern, Geräten oder Gruppen zugewiesen werden. Natürlich gilt wie immer: Bevor ihr es ausrollt, testet es ausgiebig auf ein paar Maschinen.\nViel Spaß beim nachbauen!\nBei Fragen kommt gerne auf mich zu.\n","date":"22. Februar 2022","externalUrl":null,"permalink":"/blog/druckertreiber-installation-mit-mem-und-pnputil/","section":"Blog","summary":"","title":"Druckertreiber Installation mit MEM und pnputil.exe","type":"blog"},{"content":"Auf dem TeamsCommunityDay 2021 haben René und ich in unserer Session vier Teams App Templates vorgestellt, mit denen man die Unternehmenskultur im Homeoffice stärken kann. Diese Apps und deren Einsatzmöglichkeiten möchte ich hier noch einmal vorstellen. Zusätzlich findet ihr hier unsere Folien aus der Session.\n1. Icebreaker # Als erstes haben wir den Icebreaker vorgestellt. Diese App bringt zufällig Mitglieder eines Teams zusammen, damit diese sich kennenlernen können und sich persönlich austauschen. Der Bot arbeitet in einem einzustellenden Zeitraum und bietet über 2 Buttons die Möglichkeiten, dass die Partner sofort miteinander chatten oder ein Meeting planen.\nDiese App schafft es also das Gespräch an der Kaffeemaschine oder das zufällige Treffen auf dem Flur nach Teams zu bringen. Weiterhin können ebenso Personen zusammen gebracht werden, die sich nicht kennen, da sie in völlig unterschiedlichen Teams oder gar Standorten arbeiten.\nBest practices:\nDediziertes Team für Icebreaker Icebreaker im Team ankündigen Werbung über Key User Regelmäßig für \u0026ldquo;frische\u0026rdquo; Teilnehmer sorgen Pause benötigt? Jeder User kann den Bot pausieren Team verlassen Microsoft Teams-App-Vorlagen – Teams | Microsoft Docs\n2. Company Communicator # Interne Kommunikation ist grundsätzlich ein wichtiges Werkzeug im Unternehmen. Für Mitarbeiter im Homeoffice ist es noch wichtiger durch Transparenz und Informationsfluss weiter teil am Unternehmen haben zu können.\nDie App „Company Communicator\u0026quot; kann dabei helfen, die Unternehmenskommunikation weg von E-Mails hinzu Microsoft Teams zu bringen. Mit dem Autorenmodus können im Handumdrehen Karten erstellt werden, die in Kanäle von Teams oder in die Chats der Mitarbeiter gesendet werden.\nPraktisch: Autoren können über einen eigenen Berechtigungsparameter unabhängig von ihrer Position im Unternehmen benannt werden.\nBest practices:\nDediziertes Team für Company Communicator Autoren Company Communicator Empfänger in die globale App-Einrichtungsrichtlinie einfügen Entweder Company Communicator oder E-Mail Nicht spammen 😊 3. Reflect # Nachdem wir Mitarbeiter zusammen gebracht und die Kommunikation im Unternehmen verbessert haben, wollen wir noch eine Möglichkeit haben, die Stimmung und das persönliche Wohlbefinden der Mitarbeiter zu erfassen. Mit „Reflect\u0026quot; implementieren wir eine Microsoft Teams-Messaging-Erweiterungs-App, die es ermöglicht, über ein einfaches Formular, Feedback zu Fragen einzuholen. Diese Fragen können benutzerdefiniert eingegeben werden. Die Antwortmöglichkeiten sind Smileys auf einer Skala von „lachend\u0026quot; zu „böse\u0026quot;.\nVerfügbar ist diese Erweiterung in jeglicher Art von Chat und ist durch verschiedene Datenschutzeinstellungen inklusiv und sicher.\nBest practices:\nÖffentliches Team erstellen, damit Mitarbeiter freiwillig beitreten können Auf Feedback offen reagieren Microsoft Teams-App-Vorlagen – Teams | Microsoft Docs\n4. New Employee Onboarding # Wenn viele oder gar alle Mitarbeiter im Homeoffice sind, ist das Onboarding und Einarbeiten von neuen Mitarbeitern sehr schwierig. Gerade Kontakte zu knüpfen und die Prozesse im Unternehmen zu verstehen, fällt neuen Kollegen durch die Distanz sehr schwer.\nDie App „New Employee Onboarding\u0026quot; integriert eine SharePoint Lookbook Lösung in Teams. Über eine SharePoint Liste können alle Stationen des Onboardings erfasst und per Teams an den Neuling übergeben werden. Dies bietet ein konsistentes und qualitativ hochwertiges Onboarding aller Mitarbeiter.\nDie SharePoint Liste bietet zusätzlich der Personalabteilung und den Vorgesetzten ein ständiges Monitoring des Prozesses.\nBest practices:\nAn eigene Prozesse anpassen und weiterentwickeln Einbindung von allen involvierten Fachabteilungen Feedback einholen Microsoft Teams-App-Vorlagen – Teams | Microsoft Docs\n","date":"31. Januar 2021","externalUrl":null,"permalink":"/blog/teamscommunityday-2021/","section":"Blog","summary":"","title":"TEAMSCommunityDay 2021 – Unternehmenskultur im Homeoffice stärken mit Teams App Templates","type":"blog"},{"content":"","date":"8. Januar 2021","externalUrl":null,"permalink":"/tags/microsoft-bookings/","section":"Tags","summary":"","title":"Microsoft Bookings","type":"tags"},{"content":"Mit Bookings bietet Microsoft ein einfaches und übersichtliches Tool, um einen Buchungskalender für Dienste zu veröffentlichen. Das Einrichten ist schnell und unkompliziert und auch die Einstellungsmöglichkeiten sind übersichtlich. Manche administrativen Einstellungen fehlen allerdings.\nNutzern von hybriden Umgebungen sei gesagt, dass Bookings ein reiner Onlinedienst ist und nur mit Exchange Online Postfächer nutzbar ist. Bei der Erstellung eines Bookings Kalender wird im Exchange Online ein Postfach erstellt. Dieses lässt sich allerdings nicht im Exchange Online Admin Center finden und kann nur durch die PowerShell abgefragt werden. (Wichtig: vorher PowerShell Modul installieren und mit Exchange Online verbinden)\nGet-Mailbox -RecipientTypeDetails Scheduling Zusätzlich ist mir nach Erstellung mehrerer Bookings Kalender aufgefallen, dass der User, der den Kalender erstellt, in die Weiterleitung eingetragen wird. Demnach erhält er für jede Buchung oder Änderung am Kalender eine E-Mail. Um dies zu ändern, muss das Attribut „ForwardingSMTPAddress\u0026quot; angepasst werden. Das Attribut kann ein anderes Postfach, aber auch leer sein.\nGet-Mailbox -Identity $Name | Set-Mailbox -ForwardingSmtpAddress $null Die Löschung eines Bookings Kalender ist über PowerShell auch am einfachsten zu realisieren.\nGet-Mailbox -Identity $Name | Remove-Mailbox Die Cmdlets „Get-Mailbox\u0026quot; und „Set-Mailbox\u0026quot; ermöglichen es uns, alle Anpassungen vorzunehmen, die wir auch an User Mailboxen vornehmen können. Damit erweitert die PowerShell die administrativen Einstellungen eines Bookings Kalenders und bietet zusätzlich Möglichkeiten der Automatisierung.\n","date":"8. Januar 2021","externalUrl":null,"permalink":"/blog/microsoft-bookings-mit-powershell-anpassen/","section":"Blog","summary":"","title":"Microsoft Bookings mit PowerShell anpassen","type":"blog"},{"content":" 1. Verantwortliche Stelle # Daniel Kordes Mönchhofstrasse 22 8802 Kilchberg ZH Schweiz\nE-Mail: kontakt@dako365.de\n2. Allgemeine Hinweise # Gestützt auf Artikel 13 der schweizerischen Bundesverfassung und die datenschutzrechtlichen Bestimmungen des Bundes (Datenschutzgesetz, DSG) hat jede Person Anspruch auf Schutz ihrer Privatsphäre sowie auf Schutz vor Missbrauch ihrer persönlichen Daten.\nDer Betreiber dieser Website nimmt den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.\nDiese Website kann grundsätzlich ohne Registrierung besucht werden. Dabei werden keine personenbezogenen Daten an uns übermittelt, sofern Sie uns diese nicht freiwillig mitteilen.\n3. Hosting # Diese Website wird bei Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA) gehostet. Beim Besuch dieser Website werden durch Cloudflare automatisch Informationen in sogenannten Server-Log-Files gespeichert, die Ihr Browser automatisch übermittelt. Dies sind:\nBrowsertyp und -version Verwendetes Betriebssystem Referrer URL IP-Adresse des zugreifenden Rechners Uhrzeit der Serveranfrage Diese Daten sind nicht bestimmten Personen zuordenbar. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.\nCloudflare ist zertifiziert nach dem EU-US Data Privacy Framework. Weitere Informationen finden Sie in der Datenschutzerklärung von Cloudflare.\n4. Eingebettete YouTube-Videos # Auf dieser Website werden Videos der Plattform YouTube (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) eingebettet.\nWenn Sie eine Seite mit eingebettetem YouTube-Video aufrufen, wird eine Verbindung zu den Servern von YouTube hergestellt. Dabei wird YouTube mitgeteilt, welche Seite Sie besuchen. Wenn Sie in Ihrem YouTube-Konto eingeloggt sind, ermöglichen Sie YouTube, Ihr Surfverhalten direkt Ihrem persönlichen Profil zuzuordnen.\nYouTube verwendet Cookies und vergleichbare Wiedererkennungstechnologien. Die Datenverarbeitung kann auch in den USA stattfinden.\nWeitere Informationen finden Sie in der Datenschutzerklärung von Google.\n5. Links zu Drittanbietern # Diese Website enthält Links zu externen Websites (z.B. Social-Media-Plattformen). Auf deren Inhalte und Datenschutzpraktiken haben wir keinen Einfluss. Bitte informieren Sie sich auf den jeweiligen Seiten über deren Datenschutzbestimmungen.\n6. Ihre Rechte # Sie haben gemäss dem schweizerischen Datenschutzgesetz (DSG) folgende Rechte:\nAuskunftsrecht: Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen. Berichtigungsrecht: Sie können die Berichtigung unrichtiger Daten verlangen. Löschungsrecht: Sie können die Löschung Ihrer Daten verlangen. Datenherausgabe: Sie können die Herausgabe Ihrer Daten in einem gängigen Format verlangen. Für die Ausübung dieser Rechte wenden Sie sich bitte an: kontakt@dako365.de\n7. Änderungen # Wir behalten uns vor, diese Datenschutzerklärung jederzeit zu ändern. Die aktuelle Fassung ist auf dieser Website veröffentlicht.\nStand: März 2026\n","externalUrl":null,"permalink":"/datenschutz/","section":"Datenschutzerklärung","summary":"","title":"Datenschutzerklärung","type":"datenschutz"},{"content":" Angaben gemäss Art. 3 UWG # Daniel Kordes Mönchhofstrasse 22 8802 Kilchberg ZH Schweiz\nKontakt # E-Mail: kontakt@dako365.de\nHaftungsausschluss # Der Autor übernimmt keine Gewähr für die Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit der Informationen auf dieser Website.\nHaftungsansprüche gegen den Autor wegen Schäden materieller oder immaterieller Art, die aus dem Zugriff oder der Nutzung bzw. Nichtnutzung der veröffentlichten Informationen entstanden sind, werden ausgeschlossen.\nAlle Angebote sind freibleibend. Der Autor behält es sich ausdrücklich vor, Teile der Seiten oder das gesamte Angebot ohne gesonderte Ankündigung zu verändern, zu ergänzen, zu löschen oder die Veröffentlichung zeitweise oder endgültig einzustellen.\nHaftung für Links # Verweise und Links auf Webseiten Dritter liegen ausserhalb unseres Verantwortungsbereichs. Jegliche Verantwortung für solche Webseiten wird abgelehnt. Der Zugriff und die Nutzung solcher Webseiten erfolgen auf eigene Gefahr des Nutzers.\nUrheberrecht # Die Urheber- und alle anderen Rechte an Inhalten, Bildern, Fotos oder anderen Dateien auf dieser Website gehören ausschliesslich Daniel Kordes oder den speziell genannten Rechteinhabern. Für die Reproduktion jeglicher Elemente ist die schriftliche Zustimmung des Urheberrechtsträgers im Voraus einzuholen.\n","externalUrl":null,"permalink":"/impressum/","section":"Impressum","summary":"","title":"Impressum","type":"impressum"},{"content":"","externalUrl":null,"permalink":"/series/","section":"Series","summary":"","title":"Series","type":"series"},{"content":"Ich spreche regelmässig auf Konferenzen und Community Events rund um Microsoft 365, Intune und Cloud-Technologien.\nSessionize | run.events\nKommende Events DatumEventOrtThemaSlides 30.09.2026 Cloud \u0026amp; Datacenter Conference Germany 2026 Hanau Lokale Adminrechte unter Kontrolle: Intune Suite, E3/E5 und die neue Security-Strategie – 31.07.2026 SysAdminDay 2026 Leipzig Lokale Adminrechte unter Kontrolle: Intune Suite, E3/E5 und die neue Security-Strategie – 2026 DatumEventOrtThemaSlides 29.04.2026 M365 Summit Online Forms, List Forms \u0026amp; SharePoint Forms – Welche Formulare gehören wohin? 📥 Slides 28.04.2026 M365 Summit Online Automatisiere deine Microsoft 365 Governance – Best Practices um Compliance zu garantieren 📥 Slides 16.03.2026 Easy Way 365 - LearningDays Online Forms, List Forms \u0026amp; SharePoint Forms – Welche Formulare gehören wohin? 📥 Slides 03.03.2026 Experts Live Germany 2026 Leipzig Lokale Adminrechte mit Intune smart verwalten 📥 Slides 23.01.2026 CollabDays Bremen 2026 Bremen Von KI bis Kollaboration: Wie Copilot und Microsoft Places die Arbeitswelt transformieren 📥 Slides 2025 DatumEventOrtThemaSlides 28.08.2025 EMPOWER 2025 Zürich Automating M365 Governance: Ensuring Enterprise Compliance with Best Practices – 21.02.2025 CollabDays Bremen 2025 Bremen Eine Reise durch Microsoft Places – ","externalUrl":null,"permalink":"/speaking/","section":"Speaking","summary":"","title":"Speaking","type":"speaking"},{"content":" Hallo, ich bin Daniel! 👋 # Mein Name ist Daniel Kordes, Jahrgang 1991 und ich wohne in Kilchberg bei Zürich. Ich arbeite als Senior Expert bei Cyberfy.\nSeit 2017 beschäftige ich mich intensiv mit Microsoft Cloud Technologien. Über viele Projekte im Mittelstand und in der Enterprise-Welt durfte ich tiefe Einblicke in Umgebungen von 100 bis 32.000 Usern sammeln.\nIch bin Microsoft MVP und teile mein Wissen regelmäßig auf Konferenzen, in Community Events und hier auf meinem Blog.\nWas ich mache # 🔧 Microsoft 365 Beratung und Implementierung 🎤 Speaker auf Community Events und Konferenzen 📝 Tech-Blogger über M365, Intune und Azure 🎬 YouTube Content Creator bei Daniel und René - M365 im Alltag Speaker-Profil # Ich spreche regelmäßig auf Konferenzen und Community Events über Microsoft 365 Themen. Meine aktuellen und vergangenen Sessions findet ihr hier:\nSessionize run.events Zertifizierungen \u0026amp; Auszeichnungen # Microsoft MVP Diverse Microsoft-Zertifizierungen Kontakt # Ihr habt Fragen zu mir oder meiner Arbeit? Schreibt mir gerne eine E-Mail an kontakt@dako365.de oder folgt mir auf Social Media:\nLinkedIn GitHub YouTube Ich freue mich jederzeit neue Kontakte zu schließen.\nZusammen sind wir alle schlauer. #communityrocks\n","externalUrl":null,"permalink":"/about/","section":"Über mich","summary":"","title":"Über mich","type":"about"}]