Leitfaden zum Bereitstellen von Microsoft 365 Apps for Enterprise in einer GCC High- oder DoD-Umgebung

  • Artikel

Wenn Sie Microsoft 365 Apps for Enterprise in einer GCC High- oder DoD-Umgebung bereitstellen möchten, müssen Sie einige besondere Aspekte beachten, damit Sie Ihre Complianceanforderungen erfüllen können.

Welche Version von Microsoft 365 Apps for Enterprise bereitgestellt werden soll

Wichtig

Um die Complianceanforderungen von GCC High und DoD zu erfüllen, müssen Sie mindestens Version 1803 von Microsoft 365 Apps for Enterprise ausführen.

Version 1803 oder höher ist in Current Channel, Monthly Enterprise Channel, Semi-Annual Enterprise Channel (Vorschau) und Semi-Annual Enterprise Channel verfügbar.

Was ist mit anderen Anwendungen wie Project und Visio?

Sie können die Abonnementversionen der Project- und Visio-Desktop-Apps in einer GCC High- oder DoD-Umgebung bereitstellen, aber sie müssen mindestens Version 1803 aufweisen. Alle für Microsoft 365 Apps for Enterprise genannten Konfigurationen oder Einstellungen gelten auch für die Abonnementversionen der Project- und Visio-Desktop-Apps.

Outlook für iOS und Android ist auch für GCC High- oder DoD-Umgebungen verfügbar. Weitere Informationen finden Sie in diesem Tech Community-Blogbeitrag.

Wichtig

Für Teams müssen Sie derzeit die Installation von Teams ausschließen, wenn Sie Microsoft 365 Apps for Enterprise installieren. Stattdessen müssen Sie Teams mithilfe des separaten MSI-basierten Installers installieren. In Zukunft können Sie Teams zusammen mit Microsoft 365 Apps for Enterprise installieren, ohne das separate MSI-basierte Installationsprogramm verwenden zu müssen.

Welcher Updatekanal von Microsoft 365 Apps for Enterprise verwendet werden soll

Wir empfehlen den aktuellen Kanal, da er Ihren Benutzern die neuesten Office-Features bereitstellt, sobald sie bereit sind. Wenn Sie zusätzliche Vorhersagbarkeit benötigen, wann diese neuen Office-Features jeden Monat veröffentlicht werden, empfehlen wir den monatlichen Enterprise-Kanal. In Fällen, in denen Sie Geräte ausgewählt haben, die vor dem Erhalt neuer Features umfangreiche Tests erfordern, empfehlen wir Semi-Annual Enterprise Channel.

Weitere Informationen finden Sie unter Übersicht über Updatekanäle für Microsoft 365 Apps.

Installieren von Microsoft 365 Apps for Enterprise und Abrufen von Updates

Wenn netzwerkkonnektivität und andere Überlegungen, die auf Den Anforderungen Ihrer Organisation basieren, kein Problem sind, können Sie Microsoft 365 Apps for Enterprise direkt über das Office Content Delivery Network (CDN) im Internet bereitstellen. Sie können auch Microsoft 365 Apps for Enterprise so konfigurieren, dass Updates automatisch vom Office CDN empfangen werden. Diese Konfiguration erfordert den geringsten Verwaltungsaufwand und ist eine einfache Möglichkeit, Microsoft 365 Apps for Enterprise auf dem neuesten Stand zu halten.

Wenn Sie nicht möchten, dass Computer, die mit Microsoft 365 Apps for Enterprise installiert sind, eine Verbindung mit dem Office CDN und dem Geräteverwaltung-Dienst herstellen, um Updates zu erhalten, müssen Sie Microsoft 365 Apps for Enterprise aus einem freigegebenen Ordner in Ihrem internen Netzwerk installiert und aktualisiert werden soll. Sie benötigen weiterhin mindestens einen Computer, um Zugriff auf das Office CDN zu haben, um Microsoft 365 Apps for Enterprise und Updates für Microsoft 365 Apps for Enterprise in den freigegebenen Ordner in Ihrem internen Netzwerk herunterladen zu können. Außerdem benötigen Computer, die mit Microsoft 365 Apps for Enterprise installiert sind, weiterhin Eine Internetverbindung, um aktiviert zu bleiben.

Beachten Sie, dass das Installieren und Aktualisieren von Microsoft 365 Apps for Enterprise aus einem freigegebenen Ordner in Ihrem lokalen Netzwerk mehr Verwaltungsaufwand und mehr Speicherplatz erfordert. Beispielsweise müssen Sie nachverfolgen, wann neue Builds von Microsoft 365 Apps for Enterprise verfügbar sind, und dann die aktualisierte Version von Microsoft 365 Apps for Enterprise in Ihr Netzwerk herunterladen. Die Kerndateien für Microsoft 365 Apps for Enterprise sind mindestens 1,6 GB und mindestens 250 MB für jede bereitgestellte Sprache.

Wenn Microsoft 365 Apps for Enterprise direkt aus dem Office CDN aktualisiert wird, ist der Netzwerkdatenverkehr zu jedem Computer geringer, da nur die geänderten Dateien heruntergeladen werden müssen. Die Größe dieser Updates kann zwischen 50 MB und 300 MB variieren. Diese Schätzungen basieren auf verlaufsbezogenen Daten aus dem letzten Jahr von Updates.

Welche Tools zum Bereitstellen von Microsoft 365 Apps for Enterprise

Es gibt keinen speziellen Leitfaden zu den Tools, mit denen Sie Microsoft 365 Apps for Enterprise in GCC High- oder DoD-Umgebungen bereitstellen können.

Zum Bereitstellen Microsoft 365 Apps for Enterprise können Sie das Office-Bereitstellungstool zusammen mit einer configuration.xml-Datei verwenden. Das Office-Bereitstellungstool ist ein Befehlszeilentool, sodass es mit Skripts oder Batchdateien verwendet werden kann. Die configuration.xml-Datei enthält die Einstellungen für die Installation. Beispielsweise, wo Microsoft 365 Apps for Enterprise installiert werden soll, ob die 32-Bit- oder 64-Bit-Version installiert werden soll, welche Sprachen installiert werden sollen und wo Microsoft 365 Apps for Enterprise eine Verbindung herstellen sollen, um Updates zu erhalten. Weitere Informationen zum Office-Bereitstellungstool und zur configuration.xml-Datei finden Sie unter Übersicht über das Office-Bereitstellungstool und Konfigurationsoptionen für das Office-Bereitstellungstool.

Sie können auch Tools für die Bereitstellung von Unternehmenssoftware wie Microsoft Configuration Manager verwenden, um Microsoft 365 Apps for Enterprise bereitzustellen. Weitere Informationen zur Verwendung von Configuration Manager finden Sie unter Bereitstellen mit Configuration Manager (Current Branch).

Hinweis

Wenn Sie Antivirensoftware oder andere Endpoint Protection-Software konfiguriert haben, um Installationen oder Datenschreibvorgänge auf Ihren Geräten zu verhindern, empfehlen wir Ihnen, nach Möglichkeit ein Update auf die aktuellste Version dieser Software durchzuführen. In einigen Fällen müssen Sie möglicherweise eine Ausnahme für den OfficeClickToRun.exe Prozess konfigurieren, damit die Installation erfolgreich abgeschlossen wird.

Beispieldateien für configuration.xml

Weitere Informationen zu den Einstellungen, die in der configuration.xml-Datei verfügbar sind, finden Sie unter Konfigurationsoptionen für das Office-Bereitstellungstool.

Installieren und Aktualisieren von Microsoft 365 Apps for Enterprise aus dem Office CDN

Hier sehen Sie ein Beispiel configuration.xml Datei, die Sie mit dem Office-Bereitstellungstool verwenden können, um Microsoft 365 Apps for Enterprise im aktuellen Kanal aus dem Office CDN zu installieren. Microsoft 365 Apps for Enterprise werden auch automatisch direkt über das Office CDN aktualisiert.

<Configuration> 
   <Add OfficeClientEdition="64" Channel="Current">
       <Product ID="O365ProPlusRetail" >
            <Language ID="en-us" />
       </Product>
   </Add>
   <Updates Enabled="TRUE"  Channel="Current" />
  <Display Level="None" AcceptEULA="TRUE" />
</Configuration>

Installieren und Aktualisieren von Microsoft 365 Apps for Enterprise aus einem freigegebenen Ordner im lokalen Netzwerk

Hier sehen Sie ein Beispiel configuration.xml Datei, die Sie mit dem Office-Bereitstellungstool verwenden können, um Microsoft 365 Apps for Enterprise auf Semi-Annual Enterprise Channel aus einem freigegebenen Ordner in Ihrem lokalen Netzwerk zu installieren. Aktualisierungen zu Microsoft 365 Apps for Enterprise stammen auch aus einem freigegebenen Ordner in Ihrem lokalen Netzwerk.

Hinweis

Um den verwaltungstechnischen Aufwand für die Verwaltung freigegebener Ordner für Updates zu beseitigen, empfiehlt es sich, Microsoft 365 Apps for Enterprise so zu konfigurieren, dass Updates nach Möglichkeit direkt aus dem Office CDN im Internet abgerufen werden. Wenn die Verwendung des Office CDN keine Option ist, empfiehlt es sich als Nächstes, Configuration Manager zum Verwalten von Updates zu verwenden.

<Configuration> 
   <Add SourcePath="\\Server\Share\Installs"  OfficeClientEdition="64" Channel="SemiAnnual">
       <Product ID="O365ProPlusRetail" >
            <Language ID="en-us" />
       </Product>
   </Add>
   <Updates Enabled="TRUE" UpdatePath="\\Server\Share\Updates" Channel="SemiAnnual" />
  <Display Level="None" AcceptEULA="TRUE" />
</Configuration>

Konfigurieren, ob Telemetriedaten an Microsoft gesendet werden sollen

Office-Apps senden regelmäßig Telemetriedaten an Microsoft, damit Microsoft verstehen kann, wie das Produkt verbessert werden kann. In stark regulierten Umgebungen können Sie verhindern, dass Telemetriedaten an Microsoft gesendet werden.

Es ist keine andere Konfiguration erforderlich, um zu verhindern, dass Microsoft 365 Apps for Enterprise- oder Office-Apps unter Android Telemetriedaten an Microsoft senden. In beiden Fällen können die Apps erkennen, dass sie sich in einer GCC High- oder DoD-Umgebung befinden und verhindern automatisch, dass Telemetriedaten an Microsoft gesendet werden.

Für andere Office-Apps wie Office für Mac und Office-Apps unter iOS ist eine zusätzliche Konfiguration erforderlich, um zu verhindern, dass Telemetriedaten an Microsoft gesendet werden. Weitere Informationen finden Sie in den folgenden Abschnitten.

Deaktivieren des Sendens von Telemetriedaten an Microsoft von Skype for Business Client

Um zu verhindern, dass Skype for Business Client Telemetriedaten an Microsoft sendet, bearbeiten Sie die Registrierung, und fügen Sie den TelemetryTier-Wert zum HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync-Schlüssel hinzu. Der Typ für TelemetryTier ist REG_DWORD, und der Wert sollte auf 0 festgelegt werden.

Weitere Informationen finden Sie unter Skype for Business- und Microsoft Teams-Datensammlungsmethoden.

Deaktivieren Des Sendens von Telemetriedaten an Microsoft von Office für Mac

Office für Mac sendet in regelmäßigen Abständen Telemetrieinformationen zurück an Microsoft. Daten werden in den Nexus-Endpunkt hochgeladen. Die Telemetriedaten helfen dem Entwicklungsteam, die Integrität und unerwartete Verhaltensweisen jeder Office-App zu bewerten. Es gibt zwei Kategorien von Telemetriedaten:

  • Heartbeat enthält Versions- und Lizenzinformationen. Diese Daten werden sofort nach dem Start der App gesendet.
  • Die Verwendung enthält Informationen zur Verwendung von Apps und zu nicht schwerwiegenden Fehlern. Diese Daten werden alle 60 Minuten gesendet.

Um zu verhindern, dass Office für Mac Telemetriedaten an Microsoft senden, können Sie die Einstellungen SendAllTelemetryEnabled und SendCriticalTelemetryEnabled auf "FALSE" festlegen.

Wichtig

Sie müssen mindestens Version 16.11 von Office für Mac verwenden.

Die Einstellungen sind anwendungsbezogen und können über macOS-Konfigurationsprofile oder manuell über das Terminal festgelegt werden, wie im folgenden Beispiel gezeigt.

defaults write com.microsoft.Word SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Word SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Excel SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Powerpoint SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Outlook SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.onenote.mac SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.autoupdate2 SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Office365ServiceV2 SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Word SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.Word SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.Excel SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.Powerpoint SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.Outlook SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.onenote.mac SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.autoupdate2 SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.Office365ServiceV2 SendCriticalTelemetryEnabled  -bool FALSE

Deaktivieren des Sendens von Telemetriedaten an Microsoft aus Office-Apps unter iOS

Um zu verhindern, dass Office-Apps unter iOS Telemetriedaten an Microsoft senden, legen Sie die Einstellungen SendAllTelemetryEnabled und SendCriticalTelemetryEnabled auf "false" fest. Die Einstellungen sind anwendungsbezogen und können mithilfe von Microsoft Intune festgelegt werden. Weitere Informationen finden Sie unter App-Konfigurationsrichtlinien für verwaltete iOS-Geräte hinzufügen.

Wichtig

Sie müssen mindestens Version 2.11 von Office unter iOS verwenden.

Legen Sie Für jeden Schlüssel und Wert in der Konfiguration Folgendes fest:

  • Konfigurationsschlüssel = SendAllTelemetryEnabled
  • Werttyp = Boolean
  • Konfigurationswert = false

und

  • Konfigurationsschlüssel = SendCriticalTelemetryEnabled
  • Werttyp = Boolean
  • Konfigurationswert = false

Zusätzliche Zu konfigurierende Einstellungen

Zusätzlich zu den Telemetriedateneinstellungen gibt es weitere Einstellungen, die Sie je nach Ihren Complianceanforderungen konfigurieren können. Viele dieser Einstellungen werden konfiguriert, indem Änderungen an der Registrierung vorgenommen werden. Um Registrierungsänderungen für mehrere Computer oder Benutzer bereitzustellen, können Sie Batchdateien, Anmeldeskripts, Gruppenrichtlinie, Configuration Manager, PowerShell oder andere Skript- und Bereitstellungstools verwenden.

Sicherstellen, dass die moderne Authentifizierung aktiviert ist

Die moderne Authentifizierung muss aktiviert sein, um konform zu sein. Die moderne Authentifizierung ist standardmäßig für Office 365-Dienste und in Microsoft 365 Apps for Enterprise aktiviert. Sofern Sie die moderne Authentifizierung nicht absichtlich deaktiviert haben, ist keine Aktion erforderlich. Weitere Informationen finden Sie unter Funktionsweise der modernen Authentifizierung für Office 2013-, Office 2016- und Office 2019-Client-Apps.

Deaktivieren von Windows-Fehlerberichterstattung

Um Windows-Fehlerberichterstattung (Watson) zu deaktivieren, bearbeiten Sie die Registrierung, und legen Sie unter dem schlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows\Windows Error Reporting den Wert Disabled auf 1 fest. Der Typ für den Wert Disabled ist REG_DWORD.

Konfigurieren des Outlook-Verhaltens auf Microsoft 365 Apps for Enterprise

Die folgenden Registrierungswerte müssen festgelegt werden, um das Outlook-Verhalten in Microsoft 365 Apps for Enterprise ordnungsgemäß zu konfigurieren. Der Typ für diese Registrierungswerte ist REG_DWORD, und die Werte sollten auf 1 festgelegt werden.

Registrierungsspeicherort: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\AutoDiscover\EnableOffice365ConfigService
Beschreibung: Diese Registrierungseinstellung ist erforderlich, damit die richtigen Postfacheinstellungen in dieser spezifischen Umgebung abgerufen werden können, ohne einen weltweiten Dienst zum Abrufen von Postfacheinstellungen aufzurufen. Wenn Sie Version 1805 oder höher von Microsoft 365 Apps for Enterprise verwenden, müssen Sie diese Registrierungseinstellung nicht festlegen.

Registrierungsspeicherort: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Setup\DisableAccountSettingsDetectionService
Beschreibung: Diese Registrierungseinstellung deaktiviert den Aufruf eines weltweiten Diensts, der das Abrufen von Kontoinformationen für POP, IMAP und andere Protokolle basierend auf der E-Mail-Adresse unterstützt. Da dieser Dienst durch diesen Schlüssel deaktiviert wird, müssen persönliche Konten manuell eingerichtet werden.

Registrierungsspeicherort: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\General\DisablePreviewPlace
Beschreibung: Diese Registrierungseinstellung deaktiviert das Feature In Kürze verfügbar, das Benutzern Informationen zu bevorstehenden Features bereitstellt und Benutzern die Möglichkeit gibt, diese Features auszuprobieren und Feedback zu geben. In Kürze verfügbar in Version 1806 oder höher von Microsoft 365 Apps for Enterprise.

Die folgenden Registrierungswerte sind optional. Der Typ für diese Registrierungswerte ist REG_DWORD, und die Werte sollten auf 1 festgelegt werden.

Registrierungsspeicherort: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Setup\DisableGuessSmart
Beschreibung: Diese Registrierungseinstellung deaktiviert Versuche zum Einrichten von IMAP- und POP-Konten über verschiedene bekannte Ports.

Registrierungsspeicherort: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\General\DisableOutlookMobileHyperlink
Beschreibung: Diese Registrierungseinstellung unterdrückt die Option zum Konfigurieren von Outlook auf einem mobilen Gerät nach einem erfolgreich konfigurierten Konto in Outlook Desktop.

Wenn Office-Add-Ins erstellt und in Nicht-Outlook-Apps verwendet werden, müssen diese Anwendungen außerdem wissen, wo das Postfach des Benutzers konfiguriert ist. Microsoft führt nur Schritt 6 und Schritt 7 des AutoErmittlungsprozesses aus. Dies bedeutet, dass Sie über eine URL verfügen müssen, die an einem der folgenden Speicherorte vorhanden ist: https://<contoso.com>.autodiscover/autodiscover.xml oder https://autodiscover.<contoso.com>/autodiscover/autodiscover.xml. Dies sollte dann zu umgeleitet werden https://autodiscover-s-dod.office365.us/autodiscover/autodiscover.xml. Dieser Prozess wird in zukünftigen Versionen automatisch ausgeführt.

Besondere Aspekte

Die Sorgfältige Prüfung von Clouddiensten, die mit Features in Microsoft 365 Apps for Enterprise verbunden sind, wurde sorgfältig durchgeführt. Wir haben festgestellt, dass solche Prozesse nicht fehlersicher sind, und haben die folgende Tabelle erstellt, um Edgefälle zu erfassen, die vor der ersten Veröffentlichung nicht erfasst wurden. Wir verwenden diese Tabelle, damit wir den Befund, jedes potenzielle Risiko und die Entschärfung dieser Erhöhung des Umfangs kommunizieren können. Dienste in dieser Tabelle werden innerhalb von 30 Tagen entsprechend deaktiviert.

Anwendung Feature Empfehlung
Excel Karten Dieses Feature wurde ab den folgenden Versionen deaktiviert:

– Version 1804 (Build 9226.2126) des aktuellen Kanals
– Version 1803 (Build 9126.2191) von Semi-Annual Enterprise Channel (Vorschau)
– Version 1803 (Build 9126.2259) von Semi-Annual Enterprise Channel

Wenn Sie eine frühere Version von Excel verwenden, verwenden Sie dieses Feature nicht.

Referenzinformationen

Office-Netzwerk für die Inhaltsübermittlung (CDN)

Die Software zum Installieren und Aktualisieren Microsoft 365 Apps for Enterprise ist im Office Content Delivery Network (CDN) im Internet verfügbar. Der Klick-und-Run-Dienst, der Installationen und Updates von Microsoft 365 Apps for Enterprise verwaltet, ruft das office CDN auf, das von Akamai gehostet wird.

Office 365 hat ein Memorandum of Understanding mit Akamai im Rahmen des Office 365 Akkreditierungspakets und Akami hat eine FedRAMP Moderate-Akkreditierung. Aus Gründen der Verfügbarkeit kann der Klick-und-Run-Dienst ein Failover auf eine weltweite Instanz von Azure Front Door durchführen, die auch über eine FedRAMP Moderate-Akkreditierung verfügt.

Geräteverwaltung Service

Für Installationen von Microsoft 365 Apps for Enterprise, die so konfiguriert sind, dass Updates automatisch vom Office CDN abgerufen werden, verwendet Microsoft den Geräteverwaltung Service (DMS), um die Releasekonfiguration auf einzelne Geräte basierend auf ihrer spezifischen Konfiguration anzuwenden. Beispielsweise die Betriebssystemversion, unter der Office installiert ist, ob die 32-Bit- oder 64-Bit-Version von Office installiert ist und welche Sprache von Office installiert ist.

Der Klick-und-Los-Dienst kontaktiert DMS, um nach Updates zu suchen, und erhält eine JSON-Antwort, die ihn informiert, ob ein neuer Build zum Herunterladen verfügbar ist. Keine der vom Klick-und-Run-Dienst übergebenen Daten wird vom DMS-Dienst gespeichert. Die Daten werden lediglich als Filterkriterien verwendet, um zu bestimmen, welche Buildinformationen für klick-und-run zum Aktualisieren Microsoft 365 Apps for Enterprise bereitgestellt werden sollen.

Der DMS-Dienst verarbeitet, speichert oder überträgt keine personenbezogenen Informationen oder Kundeninhalte.

Weitere Informationen zu den von Microsoft bereitgestellten GCC High- und DoD-Umgebungen finden Sie in den folgenden Dienstbeschreibungen:

Allgemeine Anleitungen zur Bereitstellung von Microsoft 365 Apps for Enterprise finden Sie in den folgenden Artikeln:

Netzwerkinformationen finden Sie in den folgenden Artikeln: