Outlook - testen Sie das neue Outlook - Nein

Derzeit erscheint in der Microsoft 365 #Outlook Desktop App oben rechts der Hinweis mit einem Schieberegler "Testen Sie das neue Outlook". Die Meldung ist so unglücklich platziert, dass man beim Minimieren des Outlook-Fensters leicht den Schieberegler aktiviert.

Die Folge: Aus dem Store wird die neue Outlook App heruntergeladen und als Standardprogramm für E-Mails eingetragen. Diese App ist nichts anderes als ein App-Fenster, wo im Browser unter Zuhilfenahme der Edge Webview2 Runtime (diese muss installiert sein) OWA aufgerufen wird.

Auch aktuell bietet OWA bei weitem noch nicht die Funktionen und den Bedienkomfort wie die Desktop App. So sind beim Bedienen des Kalenders deutlich mehr Mausklicks notwendig um z. B. einen vorhandenen Termin zu bearbeiten oder Flags zu setzen, die bei der Desktop App direkt im Ribbon Menü mit einem Klick erreichbar sind. Auch das Verändern und Verschieben von Terminen mit der Maus ist schwerfälliger in der Browserdarstellung und funktioniert mehr schlecht als recht.

Zudem werden nur Microsoft 365 Konten (bisher) unterstützt. Es gibt aber zahlreiche Kunden, die noch ein Google-Konto oder Post bei einem anderen Provider per IMAP mit abfragen müssen (meist historisch bedingt, aber notwendig).

Abhilfen: Wenn Sie die neue App bereits versehentlich aktiviert haben, müssen Sie den Schieber wieder ausschalten, die Store-App auf Ihrem Rechner deinstallieren und bei Standard-Apps die Outlook Desktop App wieder aktivieren.

#Erfreulich – zum Glück gibt es einen Registry-Schlüssel, den Admins auch per GPO ausrollen können, der die lästige Werbung für die minderwertige App entfernt (Für diejenigen, die mit User-Rechten arbeiten und den Registry-key lokal ausführen müssen – bitte den Registy Ast beginnen lassen mit Users und der SID des Benutzers für den das gelten soll. Dann mit Elevated rights Regedit aufrufen und den veränderten Key ausführen):

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\General]
"HideNewOutlookToggle"=dword:00000001

oder [HKEY_USERS\S-1-5-21-222222222-2222222222-2222222222-1153\SOFTWARE\...

Geheime Autotests auf dem Mars entdeckt

Automobilhersteller müssen sich immer neuen Herausforderungen stellen. So gilt es nach jedem Modellzyklus neue Designs zu entwerfen und das Fahrzeug auch unter widrigen Bedingungen zu testen. Über unseren Downloadzugang zum Mars-Roboter konnten wir die folgenden Fotos erhaschen. Zu sehen ist das neue Modell EQCLE 700h mit 700 hydroelektrischen PS und als Cabrio auf der Marsoberfläche. Die  Fahrer sind Einwohner des Planeten (sie kommen ohne Sauerstoffmaske aus). In einem Bild ist ein Tester von der Erde zu sehen, der seinen Raumanzug trägt und perfekt in die Motorhaube (Frunk) integriert ist. Er trägt ein Schild mit den Fahrzeugdaten auf Marsianisch. Der Fahrer ist hingegen Neu-Marsianer (martialic). Das neue Modell EQCLE 700h wurde auch von unserem Reporter in Peru gestern am Machu Pichu gesehen. Und auch an Angkor Wat und Machu Pichu wird getestet.

Anmerkung der Redaktion: Der Inhalt des Artikels ist pure #Fiktion und soll an einem kleinen Beispiel verdeutlichen, welche Gefahren der Einsatz von Künstlicher Intelligenz bringen kann. Natürlich sind die Bilder von einer #KI generiert. Man kann hier noch gut erkennen, dass die Zusammenstellung noch im Lernprozess ist und die gerenderten Fahrzeuge wie in Indien zusammengedengelt (Die Leuchten von der R-Klasse mit Kühlergrill vom W204 und Spiegel vom W205. aussehen. Der Fahrer im mittleren Bild wurde mit dem Fahrzeug (A-Säule) verschmolzen. Schönes Designelement. Vielleicht auch gut, dass man hier die KI leicht entlarven kann, denn Fake-News sind nicht wirklich gut. Vorteile: Die Personen wurden und Gegenstände wurden dabei so verfremdet, dass kein Urheberrecht/Datenschutz verletzt werden können.

Bing Chat in Skype for Desktop, der wiederum Dall-E von OpenAI zu Rate gezogen hat

Nachtrag: Der Artikel-Text ist humanoiden Ursprungs. Obwohl der Inhalt des Artikels eine Science Fiction Kurzgeschichte ist, nimmt ChatGPT diesen für bare Münze und antwortet auf die Anforderung, einen Blog-Artikel über geheime Autotests auf dem Mars zu schreiben mit diesem und anderen Artikeln aus dem Internet, die ebenfalls Fiktion sind. Dabei wird beispielsweise das Automodell wieder erwähnt.

Fazit von der KI 🤖
Geheime Autotests auf dem Mars sind eine spannende und innovative Möglichkeit für Automobilhersteller, ihre neuesten Modelle zu testen und zu verbessern. Die Tests sind jedoch nicht ohne Risiken, denn sie könnten die wissenschaftlichen Ziele der Rover-Missionen beeinträchtigen oder sogar gefährden. Außerdem könnten sie rechtliche und ethische Fragen aufwerfen, zum Beispiel bezüglich des Umweltschutzes oder der Besitzansprüche auf dem Mars. Es bleibt also abzuwarten, wie sich diese Praxis in Zukunft entwickeln wird und ob wir bald mehr Autos auf dem Mars sehen werden.

Fazit von ChatGPT auf die Frage nach dem Erstellen eines Artikels zu geheimen Autotests auf dem Mars

CISCO Anyconnect und Secure Clients

Einige von Ihnen setzen CISCO Router als Firewalls oder als VPN Gateway ein. Dabei werden gern mobile Windows Clients angebunden sind (Homeoffice, mobiles Arbeiten, Außendienst).

Eine aktuelle Sicherheitslücke betrifft zwar nur den "CISCO Update-Mechanismus bei Einwahl", es ist aber grundsätzlich die Frage zu stellen, ob Ihr "CISCO Secure Client" oder "CISCO Anyconnect vpn Client" den aktuellen Stand hat.

Die aktuellen Updates erhält man nur, wenn man bei CISCO oder seinen Anbieter Wartung für den CISCO in der Hauptstelle abgeschlossen hat.

Bitte prüfen Sie Ihr Software-Inventar, ob Sie in Ihrem Unternehmen CISCO vpn Software einsetzen. Hierbei kann OpenAudit Classic hilfreich sein.

Wenn ja: Beschaffen Sie über Ihren Dienstleister den aktuellen Cisco AnyConnect Secure Mobility Client   5.0.03072 und rollen ihn an alle VPN-Endgeräte aus.

Falls Sie keine Wartung auf die CISCO Geräte haben, denken Sie bitte über den Einsatz einer alternativen Firewall- und VPN-Lösung nach.

Falls Sie Drittanbieter-Geräte von sophos oder Fortinet o.ä., stellen Sie mit Ihrem Dienstleister das vpn auf diese Lösung um und lassen prüfen, ob diese Geräte und Software auf dem aktuellen Stand ist. Allein bei Fortinet gibt es einmal im Monat einen Patchday, der kritische Sicherheitslücken schließt.

CISCO Artikel zur aktuellen Sicherheitslücke

End of Life vieler Produkte - Zeitleiste

Wer wissen möchte, wann die eingesetzten Produkt-Versionen keinen Support oder - #wichtig - keine Sicherheitsupdates mehr bekommen, dem sei die folgende Seite empfohlen, die alle End-Daten in einer farblich gestalteten Oberfläche übersichtlich darstellt. Tipp: Windows und Office sind unter 'M' wie Microsoft zu finden:

https://endoflife.date/

Website mit EOL-Daten

Für die wichtigsten Produkte haben wir für Sie diese Zeitleiste zusammengestellt:

[timeline]
2027-01-12|=|Windows Server 2016 - Ende der Sicherheitsupdates - EOL||
2026-10-13|=|Office 2021 - keine Sicherheits-Updates mehr - EOL||
2026-07-06|=|MariaDB 10.6 (MySQL) Ende der Sicherheitsupdates - EOL||
2025-12-02|=|PHP Version 8.2 Supportende EOL (Community)||
2025-10-14|=|Office 2016 und Office 2019 - keine Sicherheits-Updates - EOL||
2025-10-10|=|Windows 10 - keine Sicherheitsupdates (Consumerversionen) - EOL||
2024-07-09|=|Microsoft SQL-Server 2014 Supportende - EOL||
2024-12-10|=|PHP Version 8.1 Supportende EOL (Community)||
2023-12-02|=|PHP Version 8.0 Supportende EOL (Community)||
2023-10-10|=|Windows Server 2012 R2 - Ende der Sicherheitsupdates - EOL
[/timeline]

Office (Microsoft 365) 32-Bit oder 64-Bit

Heutzutage werden fast ausschließlich Windows Betriebssysteme mit 64-Bit eingesetzt. Ältere Versionen mit 32-Bit werden von vielen Herstellern und Anwendung nicht mehr unterstützt.

Die Software, die man unter Windows einsetzt, kann damit 32-Bit oder 64-Bit sein. Lange Zeit hat Microsoft empfohlen, die 32-Bit-Versionen von Office einzusetzen.

#Erfreulich - mittlerweile bieten die 64-Bit-Versionen eine bessere Performance, da kein 32-Bit-Subsystem unter Windows für die Office Apps gestartet werden muss und die Limitierung von 4GB Arbeitsspeicher entfällt. In Excel lassen sich so recht große Datenmengen darstellen und der Import über die Datenquellen ist auch deutlich schneller.

Achtung! Dazu muss allerdings auch der Rechner einen Core I5 mindestens der 8. Generation, 8 GB RAM, besser noch 16 GB Arbeitsspeicher und eine schnelle SSD haben

Insbesondere bei Microsoft Teams muss die Anwendung immer in 64-Bit installiert sein, da ansonsten extreme Performance-Einbußen drohen.

Wann ist für Microsoft 365 (Office) 32-Bit Pflicht?

Wenn Sie Anwendungen auf dem Rechner einsetzen (das gilt auch für Azure Virtual Desktop und Terminal- und Citrix-Server), die nur in der 32-Bit-Version mit Outlook (über OLHANDLER.DLL) kommunizieren können, dürfen Sie nicht die 64-Bit-Version installieren. Einige Beispiele sind:

• Microsoft Dynamics 2009 R2 (Classic) --> gevis Classic bis G/R8
• Microsoft Dynamics NAV bis Version 2018 und Business Central bis Version 14 (BC14)
• Gigaset Quicksync (Synchronisieren von Outlook-Kontakten mit DECT-Handsets)
• GWS MDESync (die Windows Mobilschnittstelle meckert Outlook32 als fehlend an)
• Andere Programme, die die E-Mails erzeugen und dabei MAPI32.dll oder OLHANDLER.dll benutzen

Mit gevis ERP | BC Versionen ab 17.x (Business Central Version ab 17, Client = Google Chrome für Enterprise, 64-Bit) lassen sich beliebige E-Mail-Programme durch Download von .EML-Dateien aufrufen. Die Bit-Tiefe ist dabei unerheblich. Wenn Sie eine unserer SaaS-Lösungen wie gevis ERP | VEO einsetzen, ist die Office-Bit-Tiefe ebenfalls unerheblich.

Wir empfehlen Microsoft 365. So bleiben Sie im Rahmen des Abonnements immer auf dem besten Stand der Sicherheit und die Verteilung der Updates durch die Admins ist auch sehr einfach. Sollten Sie Kaufversionen im Einsatz haben (erkennbar an einer Jahreszahl am Ende) müssen diese Versionen nach Ablauf der Sicherheitsupdates neu gekauft werden. Alle Versionen erhalten nach dem 13. Oktober 2026 keine Sicherheitsupdates mehr.

Aktuell werden für gevis Umgebungen Microsoft 365 (aktueller monatlicher Kanal) für alle Installationsarten und nur für die lokale Installation auf Windows 10 Pro Endgeräten (nicht Terminal-/Citrix/Azure Virtual Desktop) die Kauf-Versionen 2019 und 2021 unterstützt.

Patchday Juni manueller Eingriff erforderlich

#Wichtig - mit dem Patchday Juni 2023 hat Microsoft die #Sicherheitslücken aus CVE-2023-32019 geschlossen, die zu Datenabfluss und Elevated Rights für authentifizierte Benutzer führen kann. Leider wird der Lückenschluss nicht aktiviert, so dass ein manueller Eintrag in die Windows Registry der Windows 10 PCs erfolgen muss.

Wer Gruppenrichtlinien einsetzt, kann diese natürlich über die Gruppenrichtlinienverwaltung verteilen.

Für Server 2022 und für die Windows 11 Versionen ist der Wert anders, als bei dem im Beispiel aufgezeigten Schlüssel für Windows 10 22H2 (19045).

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides]
"4103588492"=dword:00000001

Mehr Details im Artikel bei Microsoft

Internet Domain .zip lieber sperren

Auch Google ist als Vergabestelle von Internet-Domains (Registrar) am Markt tätig. Seit Mai 2023 ist die Toplevel Domain ".zip" ohne Einschränkung buchbar. Bereits wenige Tage nach Verfügbarkeit nutzen Betrüger diese Domain, um Benutzer zum Klicken zu animieren und Schadcode zu verteilen.

Damit sind beispielsweise URLs wie: https://packprogramm.zip oder https://neuertreiber.zip oder https://sicherheitsupdate.zip möglich.

Der Betrachter könnte auf die Idee kommen, dass es sich um ein wichtiges Update handelt, das er installieren muss.

Meist erfolgt aber kein Download, sondern man bekommt eine Website angezeigt, wo man erstmal vertrauliche Daten eingeben muss. Alternativ wird die im Browser nachgebildete Oberfläche von Winrar in der Sprache des Besuchers angezeigt und bewirbt das Schadprogramm einen vertrauenswürdigen, virengeprüften Download.

#Wichtig - Sicherheitsforscher raten derzeit, den Zugriff auf Domains unter .ZIP in der Firewall zu sperren. Es ist auch nicht ganz klar, welchen Werbe- und Erkennungseffekt die Endung haben soll (ZIP steht für eine amerikanische Postleitzahl oder für Reißverschluss)

Details im Artikel des Forschers

Mercedes me OBD2 Adapter R.I.P

Ich nutze den Adapter bis jetzt. Seit heute kommt eine Meldung, dass der Onlinedienst im August 2023 eingestellt wird. :( Man empfiehlt einige Funktionen in der Mercedes me Service App zu nutzen. Das sind aber keinerlei Funktionen, die etwas aus dem Fahrzeug auslesen, keine Streckenerfassung, kein Cockpit, keine Tankerfassung - also im Prinzip nichts, was die Adapter App kann!

Ich nutze den Adapter, um Werte wie Motoröltemperatur, Batteriespannung, und viele andere Cockpitfunktionen auf dem Smartphone in der Fahrzeug-Halterung anzuzeigen. Darüberhinaus ist das Erkennen der Tankvorgänge nützlich, da man nur den Preis eingibt und so eine Verbrauchsstatistik hat.

Die Streckenaufzeichnung (bis auf das Kilometerstände mitnotiert werden) kann Google Maps auch.

Auto wiederfinden und Parkzeitwecker fand ich auch ganz nützlich.
Service-Funktionen wie auslesen des nächsten Assyst kann Mercedes Me nicht leisten, weil die das Fahrzeug mangels OBD-Stecker nicht abfragen können.
Und alle Fahrzeuge, wo es noch kein Hermes-Modul gab, sind noch zahlreich auf der Straße. Für neuere Fahrzeug sind alle interessanten Funktionen nur im Abo erhältlich und erreichen trotzdem nicht den Umfang der Adapter App!

Da alle (kostenlosen Funktions) Daten in der App lokal gespeichert wurden, war es mir von Anfang an ein Rätsel, warum man die App am MMe Portal anmelden muss.

Warum schalten die bei Mercedes nicht einfach die Online-Funktion ab und lassen die lokalen Funktionen in der App, die dann mit dem Adapter verbindet? Die App müsste dazu nicht weiterentwickelt werden.

So wird wieder mal nur Elektronikschrott produziert! Schämt Euch, Mercedes!
Jeder ODB2-Adapter mit E-Nummer also ab rund 35 € braucht keine Online-Funktionen, sondern liefert per BT 4.0 oder sogar 5.0 an die Smartphone App ab. Die Cockpitfunktionen lassen sich so abbilden, die Streckenaufzeichnung macht der Google Maps Verlauf.

Tankvorgänge und Kilometerstände, sowie Assyst-Status lassen sich dann nicht mehr in der App ablesen.

Lösung: Besseren (weil Bluetooth ab Version 4 sparsamer ist) und schlanken (damit es im Fußraum nicht stört) ODB2-Adapter mit E-Nummer beschaffen und eine der zahlreichen Apps installieren, um ein Cockpit zu haben, für die Meßwerte, die man im KI nur über das Geheimmenü mühsam erreichen kann.

Update: Ein Versuch mit einem OBD2-Adapter (ca. 30 €) von EXZA (HHODB2 mini), der zumindest ein CE-Zeichen und einen deutschen Lieferanten hat, ist fehlgeschlagen. Das Gerät erschien bei keinem Android Gerät (8 und 13) in der Bluetooth-Liste. Den Versuch mit einem China-Klon für 8 € mit ELM327 Chipsatz soll zwar bei anderen Mercedes-Fahrern funktionieren, hat aber nicht mal ein CE-Zertifikat und nutzt nur Bluetooth 2.1, das schnell die Autobatterie leersaugt. Zudem sind die Gerätschaften unsicher, da sie mit festem Kennwort 1234 bzw. 0000 daher kommen und ODB2 heißen. Da über die Schnittstelle auch geschrieben werden kann, keine gute Idee, den Adapter im Steckplatz zu lassen.

Leider gibt es für den Mercedes me Connect Adapter keine adäquate Lösung. Mit neuen Fahrzeugen sind einige Funktionen zwar in der Mercedes-Me Oberfläche zu finden, nicht aber das Cockpit mit Batteriespannung, Motoröltemp usw. kostenlos. Und Tankvorgänge und Fahrtenliste mit Kilometerstand ebenfalls nicht. Selbst wer 90 € im Jahr für das Premium Online-Fahrtenbuch über hat, wird bei älteren Fahrzeugen auch scheitern, da ja der notwendige Adapter nicht mehr funktionuiert.

Windows 10 Zukunfts-Strategie

Bekanntlich endet mit dem Patchday am 15. Oktober 2025 die Updateversorgung für die Kauf-Versionen von Windows 10 und Windows 10 Pro. Wer also keine LTSB oder LTSC oder die IoT-Versionen dieses Betriebssystems mit Software-Assurance gemietet hat, muss sich bis zum genannten Zeitpunkt Gedanken machen, was mit den Endgeräten und Betriebssystemsoftware zu tun ist. Hierbei gelten nur Alt-PCs, die mindestens 8 GB Arbeitsspeicher, eine SSD und mindestens einen Core i5-Prozessor haben, als alltagstauglich.

Der entscheidende Vorteil der IGEL OS Lösung (auch auf anderer Thin-Client Hardware z. B. von HP) besteht darin, dass alle Einstellungen über die zentrale IGEL UMS Oberfläche administriert werden können . Dazu zählen als Hardware auch x86 PCs. Man braucht keine lokalen Eingriffe mehr am Endgerät.

Benötigt ein PC Software, die nur lokal und nicht in Azure Virtual Desktop Windows 10 Umgebungen betrieben werden kann, wird vermutlich die Neuanschaffung eines PCs mit Windows 12 Pro im Herbst 2025 erforderlich sein.

Azure Virtual Desktops erhalten im Rahmen der Miete mindestens bis Herbst 2028 Updates und können vermutlich vorher auch schon auf Windows 12 umgestellt werden, wenn gewünscht.

Deploy und VM-ISOs neu erstellen erforderlich

Mit dem #Patchday Mai 2023 aktualisiert Microsoft mit #Sicherheitsupdates auch den Secure Boot Loader von Windows 10, 11 und Windows Server 2016-2022. Wer also eine ISO-Datei (mit Rufus auf einen USB-Speicher erstellt) verwendet, muss diese ISO-Datei neu erstellen und dabei das Mai-2023 Update integrieren. Die vorhandenen ISOs mit einem älteren Stand werden nicht mehr starten können, da das UEFI die Zertifikate nicht akzeptiert. Das gilt auch dann, wenn man eine solche ISO als externe Reparatur-Hilfe für verunglückte PCs oder Notebooks - oder auch Server verwendet. Zuletzt sollten auch Hyper-V und vmware Vorlagen-Images auf den aktuellen Patch-Stand gebracht oder neu erstellt werden.

Deploy, Boot-ISOs, Installations- und Reparatur-Datenträger und VM Vorlagen für Windows und Windows Server neu erstellen - mit Patchstand von Mai 2023

Microsoft: KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)

Quizdump - die neue Ratesendung

Kurz notiert: Nach der "Gasfaser" für schnelles Internet haben auch die öffentlich rechtlichen Programme einiges im Petto. Quizfragen, die man nicht mehr benötigt, landen nicht mehr im Papierkorb, sondern im "Quizdump". Beweisfoto (Live-Snap von Freitag, 19.05.2023): Aus Datenschutzgründen sind Personen wieder verpixelt.

Microsoft Authenticator App matching numbers

Kurz notiert: Um die Sicherheit zu erhöhen, aktiviert Microsoft neben der MFA Verpflichtung den Mechanismus, eine auf dem Windows-Rechner im Browser angezeigte, zweistellige Zahl in der Authenticator App auf dem Smartphone einzugeben. Bisher musste man Login-Vorgänge nur in der App genehmigen.

Die Änderung gilt für beide Plattformen (IOS und Android) und ist verpflichtend. Wie und ob Microsoft die matching numbers bei den anderen Authentifizierungsverfahren (Telefonanruf und TOTP) realisiert, ist nicht bekannt, bzw. macht bei TOTP auch keinen Sinn, da man dabei meist einen Hardware-Token hat.

Weitere Details zur Zwei-Faktor-Autorisierung haben wir hier für Sie zusammengestellt.

Windows 10 auf 22H2 umstellen, Office 2013 entfernen

Wir weisen nochmals darauf hin, dass bereits am 13. Juni 2023 der Support für ältere Windows 10 Versionen endet. Bitte sorgen Sie dafür, dass Ihre Windows 10 Umgebungen unbedingt Version 22H2 (das entspricht Build 19045) haben. Ältere Build-Zahlen sind dann unsicher und es gibt bereits jetzt einige Software, die dann eingeschränkt lauffähig ist.

[time_until date="13.06.2023"]

Bereits am 11. April 2023 endete der Support und damit die #Sicherheitsupdates für #Office 2013, Visio 2013, Project 2013, Sharepoint 2013 und Skype für Business 2015. Diese Produkte sollten Sie nicht mehr einsetzen. Als Alternative bieten sich die Mietprodukte von Microsoft 365 an, die im Rahmen der Mietlaufzeit immer aktuell und auf dem bestmöglichen Stand der Sicherheit sind.

Öffnen Sie eine Eingabeaufforderung {Windows-R}, cmd, {Enter} und geben das Kommando: Winver {Enter} ein. Die installierte Windows-Version wird Ihnen angezeigt. Dort muss derzeit 19045.2965 stehen. Die Zahl hinter dem Punkt entspricht dabei den Sicherheitsupdates von Mai 2023.
Tipp: Haben Sie bereits Build 19042 oder neuer installiert, ist der Wechsel auf 19045 in wenigen Minuten erledigt. Ist der Build noch eine vierstellige Zahl wie etwa 1802, dauert das Upgrade rund eine Stunde.

In wenigen Wochen wird Microsoft das Update erzwingen. Um die Zeit der Nichtverfügbarkeits der Rechner besser zu planen, sollten Sie vorher handeln und das Update anstoßen - insbesondere, wenn eine vierstellige Version <19041 angezeigt wird.

Edge wird von Microsoft erzwungen

Wenn man aktuell in Outlook oder bald auch in der Teams-App (gilt für Windows, Android und IOS) einen Link anklickt, wird dieser - unabhängig von der Standard-Browser-Wahl mit Edge ausgeführt.

Microsoft möchte so erneut (hoffentlich wieder erfolglos wie in der Vergangenheit) den Edge zum Standard-Browser erzwingen. Angesichts der Tatsache, dass dieser nun auch Adobe Reader Freemium als PDF-Betrachter enthält, ist das aus Sicherheitsaspekten keine gute Idee.

Zumal Google spätestens 2 Stunden nach Schließen von Sicherheitslücken im Chromium-Projekt oder im eigenen Programmcode das Sicherheitsupdate verteilt. Bei Microsoft Edge on Chromium dauert es mindestens 24 Stunden bzw. bis zum nächsten Patchday.

Darüberhinaus gelten in der dann gestarteten Browser-Sitzung nicht die Einstellungen, die sich der Anwender im Browser seiner Wahl gemacht hat. Auch die Drittanbieter-Extensions sind vielfach nicht installiert und aktiviert im Edge (ublock origin), so dass der Anwender wieder mit Werbung zugemüllt wird!

Wer unter android die Edge App nicht installiert hat, wird zwar beim Anklicken eines Links dazu aufgefordert und "Öffnen mit Edge" ist als Standard ausgewählt - bisher kann man aber noch "Standard-Browser öffnen" anklicken und darunter den Schieber auf "als Standard" setzen

Unter Windows habe ich das Verhalten noch nicht nachvollziehen können, Outlook 365 mit aktuellem April-Funktionsupdate fragt mich nicht, Edge zu installieren, es bleibt aber zu befürchten, das das noch kommt. Schauen Sie dann in Teams unter Einstellungen und "Link Behandlung", ob Sie dort eine Einstellung setzen können - bzw. in Outlook bei den Optionen.

Seit einiger Zeit installiert Office die Edge Webview2-Runtime mit. Bisher ist es mir mit den passenden GPOs bzw. Registry-Einträgen gelungen, Edge vom System fernzuhalten (durch die Runtime ist zwar auch der Browser im System, die Registry-Einstellungen verhindern aber bisher, dass er als Browser tätig wird und die werbelastige GUI aufruft.

Microsoft verlangt 2-Faktor in Microsoft 365

In letzter Zeit verschickt Microsoft E-Mails zu sogenannten "Sicherheitsstandards". Man weist Sie darauf hin, zu einem bestimmten Datum diese Sicherheitsstandards für Ihren Microsoft 365 Tenant zu aktivieren. Der Microsoft Tenant wird für alle Online-Anwendungen verwendet. Dazu zählen: Exchange online, Office, Sharepoint, Teams, Power-BI, Microsoft CRM 365 und Weitere.

Siehe hierzu: Bereitstellen eines Standardsicherheitsniveaus in Azure Active Directory - Microsoft Entra | Microsoft Learn

Teil dieser Sicherheitsstandards ist die Aktivierung von #MFA (Multi-Faktor-Authentifizierung) für jeden Benutzer. Aus diesem Anlass gibt es ein paar wichtige Punkte, auf die wir Sie gerne hinweisen möchten.

Während derzeit nur rund 37% der Unternehmenskunden überhaupt MFA verwenden - ein großer Anteil sogar nur für administrative Konten, plant Microsoft so schnell wie möglich, den Faktor auf 100% und alle Benutzer zu steigern.

MFA ist ein Sicherheitsverfahren beim Anmelden, bei dem ein Benutzer neben seinem Benutzername und Kennwort einen weiteren Faktor zur Anmeldung benötigt, damit die Anmeldung genehmigt wird. Dieser Faktor ist im Falle der Sicherheitsstandards die Authenticator App von Microsoft, die auf dem Smartphone des Mitarbeiters installiert wird. Dort muss die Anmeldung bei Microsoft 365 zusätzlich genehmigt werden, was die Sicherheit vor Account Diebstahl deutlich erhöht.

Siehe hierzu: Azure AD Multi-Factor Authentication – Übersicht - Microsoft Entra | Microsoft Learn

Neben der App werden auch weitere Faktormethoden unterstützt wie Telefonanruf oder Hardwaretoken.

Nach der Aktvierung der Sicherheitsstandards von Microsoft, hat jeder Benutzer 14 Tage Zeit die App einzurichten. Nach Ablauf funktioniert die Anmeldung, ohne die App eingerichtet zu haben, nicht mehr. Eine nachträgliche Einrichtung ist aber weiterhin möglich. Falls Sie aktuell nicht über die nötigen Mittel verfügen, die Authenticator App bei jedem Benutzer zu installieren, empfehlen wir Ihnen folgende Möglichkeiten:

Einrichtung von Conditional Access

Die Authenticator App von Microsoft, dürfen Sie bereits bei Erstellung des Tenants sofort nutzen. Sie ist kostenlos als zusätzlicher Faktor und kann lizenzunabhängig eingerichtet werden. Neben der Authenticator App bietet Microsoft aber auch andere Möglichkeiten an, die Sicherheit durch einen weiteren Faktor zu erhöhen. Hier kommt Conditional Access zum Einsatz. Conditional Access kann andere Faktoren wie Standort, Betriebssystem, Geräte oder Gruppen nutzen, um den Zugriff für einen Benutzer zu gewähren. So kann sich der Mitarbeiter beispielsweise nur Anmelden, wenn er sich an einem der von Ihnen vorher definierten Standort befindet.

 Siehe hierzu: Was ist der bedingte Zugriff in Azure Active Directory? - Microsoft Entra | Microsoft Learn

Conditional Access ist lizenzpflichtig und wird nur bei einem EntraID Plan1 freigeschaltet, der alle Mitarbeitenden, die Conditonal Access nutzen sollen, lizenziert werden muss. Die EntraID Plan1 Lizenz ist bereits in dem Abonnement Microsoft 365 Business Premium enthalten.

Wenn MFA für die Benutzer aktiviert wurde, muss MFA auch für die Benutzer eingerichtet werden. Das gilt auch, wenn Conditional Access so eingerichtet ist, dass keine MFA-Anmeldung erforderlich ist.

Sicherheitsstandards wieder deaktivieren?

Update 12.12.2023 - Mittlerweile lassen sich die Richtlinien auch nicht mehr deaktivieren. Die Sicherheitsstandards können nach der Aktivierung von Microsoft auch wieder über Azure Active Directory #EntraID deaktiviert werden. Wir weisen an dieser Stelle klar darauf hin, dass wir das nicht empfehlen.

Die Deaktivierung sollte nur erfolgen, falls noch mehr Zeit für die Organisation benötigt wird, MFA Unternehmensweit einzuführen. Eine langfristige Deaktivierung kann der Sicherheit Ihrer Microsoft 365 Umgebung schaden.

Siehe hierzu: https://learn.microsoft.com/de-de/azure/active-directory/fundamentals/concept-fundamentals-security-defaults#disabling-security-defaults

Falls Sie noch Rückfragen zu dem Thema der Microsoft Sicherheitsstandards haben, können Sie jederzeit einen Vorgang eröffnen und wir beraten Sie gerne.

Fazit - AVD mit Office ist günstiger als ohne

MFA kann nur mandantenweit (ganzer Tenant) aktiviert werden. Wenn Sie vermeiden möchten, dass auch an Theken und Kassen-Arbeitsplätzen das Handy mit der Authenticator-App gezückt werden muss, benötigen Sie entweder einen Microsoft 365 Business Premium Plan oder bei anderen Plänen wie Windows E3 (für Azure virtual Desktop (AVD) ohne Office und ohne E-Mail) den Microsoft EntraID Plan 1. Diese beiden Zusammenstellungen erlauben auch Geräte-ID oder IP-Adresse des Geräts als zweiten Faktur zuzulassen. Die Nutzung der Authenticator App kann damit vermieden werden.

#Wichtig - Nutzer, die bisher einen Exchange online Plan 1 nebst Mailvirenschutz, Endpunkt-Virenschutz und AVD Zugriff nutzten, sollten auf den Microsoft 365 Business Premium Plan umstellen, sobald möglich, da die Summe der Einzel-Pläne den Preis des Premium-Plans überschreitet. Oder anders gesagt: Das Gesamtpaket mit Office ist günstiger als AVD mit Postfach und Schutz und MFA.

Microsoft Preisliste - nachgerechnet