Veröffentlichung des Originalartikels: 29.11.2011
Das Office Web Apps-Team ist darum bemüht, die Produkte von Microsoft anhand Ihres Feedbacks zu verbessern. Seit der Einführung der Web Apps vor etwa einem Jahr haben wir Ihnen zugehört. Und heute veröffentlichen wir neue Features basierend auf Ihrem Feedback.
All jenen, die uns ihr Feedback mitgeteilt haben, möchten wir ein herzliches DANKE SCHÖN aussprechen!
Die folgenden neuen Features werden aufgrund Ihrer Forderungen verfügbar gemacht:
OneNote Web App-Freihandanzeige. Wir haben von unseren OneNote-Kunden erfahren, dass sie Stifteingabegeräte auf Tablet PCs verwenden möchten, um zu zeichnen und Notizen zu verfassen. Von anderen Kunden haben wir gehört, dass sie gern die Zeichentools in OneNote verwenden, um Freihandeingaben und Hervorhebungen mit der Maus oder über das Touchpad hinzuzufügen, wenn Sie am Computer arbeiten. Ihrem Feedback konnten wir entnehmen, dass Sie in der Lage sein möchten, handschriftliche Notizen und Zeichnungen in der OneNote Web App anzuzeigen. Mit dem ab heute verfügbaren Update unterstützt die OneNote Web App jetzt die Freihandanzeige.
Verbinden und automatisches Anpassen von Zellen in Excel Web App. Viele Excel Web App-Kunden haben sich eine erweiterte Zellenformatierung in der Excel Web App gewünscht, einschließlich der Möglichkeit, Zellen zu verbinden und die Größe der Zellen automatisch an den jeweiligen Zelleninhalt anzupassen (AutoAnpassen). Mit dem heutige Update ist dies jetzt beides in der Excel Web App möglich.
Direktes Drucken über die Excel Web App im Browser. Eine der häufigsten Anforderungen der Excel Web App-Kunden ist das direkte Drucken von Excel-Tabellen über die Excel Web App. Wir denken, dass mit dieser Erweiterung sehr viel Zeit gespart werden kann, wenn Sie beispielsweise nicht an Ihrem Computer sitzen und auf die auf SkyDrive gespeicherten Excel-Dokumente zugreifen müssen, um eine Tabelle zu drucken.
Kontextmenüs in Excel Web App. Zudem haben wir von Excel Web App-Kunden erfahren, dass sie in Excel Web App auch einige der Kontextmenüs verwenden möchten, die in der Excel-Anwendung für den Desktop vorhanden sind. Jetzt können Sie in der Excel Web App mit der rechten Maustaste auf Zellen klicken, um die Funktionen „Ausschneiden“, „Kopieren“ und „Einfügen“ aufzurufen und mit Links zu arbeiten.
Andere Verbesserungen, um Web Apps schneller und zuverlässiger zu machen. Eines der wichtigsten Dinge, die Sie bei uns angefordert haben, sind schnellere und zuverlässigere Web Apps. Das heutige Update enthält viele Verbesserungen hinter den Kulissen, die genau diese Anforderung umsetzen.
In den nächsten Wochen werden wir Sie genauer darüber informieren, wie unser Team sich mit Ihrem Feedback auseinandersetzt und entsprechend handelt, und wir werden Beispiele dafür geben, wie wir das Produkt verbessert haben. Vielen Dank noch mal für all Ihre Vorschläge, Umfrageantworten und wohldurchdachte Kommentare in den Social Medias – machen Sie weiter so, denn wir hören Ihnen zu!
--Jenni FrenchSr Product Manager, Office Web Apps
Es handelt sich hierbei um einen übersetzten Blogbeitrag. Sie finden den Originalartikel unter You asked, we delivered: new Web App features now available
Veröffentlichung des Originalartikels: 20.10.2011
Willkommen bei Teil 4 aus der Blogreihe zum Verwalten Ihrer Office-Objekte in einer Tablet-Umgebung. In Teil 1 habe ich in erster Linie die wichtigsten Methoden für die Verwendung von Office mit Rich-Clients, Remote-Rich-Clients, Office für Mac, Web Apps und Office auf dem Mobiltelefon vorgestellt. In Teil 2 habe ich die Verwendung von E-Mail auf Tablet PCs mithilfe von Exchange ActiveSync behandelt, die Kontrollmöglichkeiten anderer Plattformen mit Gruppenrichtlinien verglichen sowie Optionen zum Konfigurieren von Office beschrieben. In Teil 3 habe ich über die Office Web Apps als Bestandteil des SharePoint 2010- oder Office 365-Diensts geschrieben. Dies führt mich zu den aktuellen und eventuell komplizierteren Themen dieser Blogreihe, nämlich der Differenzierung des Ressourcenzugriffs basierend auf Geräten.
Wenn es an das Sichern von Office-Daten geht, kommen mir drei primäre Sicherungstypen in den Sinn:
Der Schutz der lokalen Gerätespeicherung dreht sich tendenziell um Verschlüsselungsmethoden und das Aussperren eines Benutzers vom lokalen Speicher, bis er mit der erforderlichen Anzahl von Authentifizierungsfaktoren nachweisen kann, dass er derjenige ist, der er zu sein vorgibt.
In Windows wird die BitLocker™-Laufwerkverschlüsselung verwendet, und es gibt eine große Anzahl von Drittanbieterlösungen zum Verschlüsseln kompletter Festplattenvolumes. iPads verwenden auch die Laufwerkverschlüsselung für den Schutz lokaler Daten, ebenso wie Android Honeycomb- und neuere Tablet PC-Betriebssysteme. Von Bitlocker werden Benutzerdaten nicht in unverschlüsselten Festplattenpartitionen gespeichert. Andere Lösungen sind dagegen nicht so sicher und kritische Authentifizierungsdaten werden möglicherweise in unverschlüsselten und zugänglichen Bereichen der Festplatte gespeichert. Die gängigen Android-Plattformen der Version 1.6, 2.1 und 2.2 weisen keine systemeigene Laufwerkverschlüsselung auf und wären anfällig, falls ein Angriff auf die Geräte erfolgt. Um es deutlich zu machen, bei Windows müssen Sie nicht sicherstellen, dass Benutzer die Verschlüsselung verwenden und dies als IT-Richtlinie erzwingen. Andernfalls gibt es zahlreiche Möglichkeiten für den Zugriff auf Informationen auf den Festplatten (Ausbauen der Festplatten oder Starten in anderen Betriebssystemumgebungen), das Ändern der lokalen Kontokennwörter (mithilfe der Kennwortzurücksetzung von ERD Commander) usw. Wenn Sie die Laufwerkverschlüsselung benötigen und erzwingen, ist es extrem schwierig, auf Informationen im lokalen Speicher zuzugreifen, ohne über computerspezifische Authentifizierungsfaktoren (Trusted Platform Module, PIN, Smartcard, USB-Dongle oder Kennwort) zu verfügen.
Wenn Sie zulassen möchten, dass nicht verwaltete Geräte innerhalb Ihrer Firewall zugreifen können, gibt es neben den üblichen Zertifikat- und Proxyeinstellungsanforderungen ein paar Optionen. Manche Organisationen richten aus Sicherheitsgründen eine parallele Netzwerkinfrastruktur speziell für den nicht verwalteten Gerätezugriff ein und begrenzen den Datenzugriff auf Objekte, die über Exchange ActiveSync und verwandte Infrastruktur kontrolliert werden. Für viele Umgebungen mag diese Option völlig ausreichend sein, aber auf die IT-Abteilung wird oft Druck ausgeübt, dass diese Geräte innerhalb von Unternehmensfirewalls zugreifen dürfen. Falls Ihnen das vertraut vorkommt, gibt es ein paar Dinge, mit denen Sie den Gerätezugriff basierend auf dem Gerät oder Browser, mit dem auf die SharePoint-Daten zugegriffen wird, differenzieren.
Es gibt gängige Methoden zur Bestimmung der Integrität eines Computerobjekts, das auf Ihre Netzwerkressourcen trifft. Beispielsweise gibt es seit nunmehr einigen Jahren die VPN-Quarantäne und den Netzwerkzugriffsschutz. Bei der Netzwerkzugriffsschutz-Lösung wird im Prinzip ein Gerät beim Zugriff auf ein Netzwerk befragt, und falls es die Standards (Patchstatus, aktuelles AV usw.) nicht erfüllt, erhält es auf null reduzierte Netzwerkzugriffsrechte. Beschreibungen der Funktionsweise des Netzwerkzugriffsschutzes mit IPsec, VPN, 802.11x und DHCP finden Sie auf der TechNet-Website. In der folgenden Abbildung ist der Prozessfluss für das Erkennen und Warten nicht kompatibler Geräte mit IPsec dargestellt.
Der Netzwerkschutz erfordert einen mit dem Netzwerkschutz kompatiblen Computer wie z. B. einen Computer unter Windows Server 2008, Windows Server 2008 R2, Windows 7, Windows Vista oder Windows XP mit SP3. Wenn wir also die Integrität mithilfe des Netzwerkzugriffsschutzes erzwingen möchten, müssen wir Geräte mit einem Windows-Betriebssystem bereitstellen.
Angenommen, ich kann den Netzwerkzugriffsschutz nicht verwenden, da mein Zugriffsgerät ein Mac, iPad oder ein Android-Gerät ist. Was kann ich in diesem Fall tun? Es gibt einige Möglichkeiten mithilfe von Microsoft Forefront Unified Access Gateway (UAG) Standards auf anderen als Windows-Geräten (Mac und Linux) zu erzwingen. Beispielsweise indem ein Antivirenprogramm auf diesen Geräten verlangt wird. In der folgenden Abbildung sind der Richtlinien-Editor in Forefront UAG und die unterstützten Nicht-Windows-Plattformen dargestellt.
Die obige Meldung wird Benutzern angezeigt, wenn ein Gerät die von UAG erzwungenen Integritätsanforderungen nicht erfüllt. Informationen zu den UAG-Clientanforderungen finden Sie auf der TechNet-Website. Für diesen Blog ist die Tatsache wichtig, dass mit Forefront UAG SP1 Update 1 die Unterstützung für Browser in den Plattformen iOS 4 und Android 2.3 und 3.0 hinzugefügt wird.
Eine weitere Möglichkeit, um das Herunterladen von Dateien auf Geräte zu verhindern, ist die Verwendung von Internetinformationsdienste (Internet Information Services, IIS). Dabei werden von Zugriffsgeräten Informationen abgefragt, die an einen IIS-Server übergeben werden, und anhand dieser Informationen wird dann das Herunterladen von Dateien zugelassen bzw. nicht zugelassen. Mithilfe von IIS kann ich Regeln definieren, mit denen Geräte umgeleitet werden, von denen Dateien herunterzuladen versucht werden. In diesem Fall kann ich ein IIS-Protokoll überprüfen und die Bezeichner für das Gerät bestimmen.
Das obige Protokoll enthält den Gerätetyp „iPad“ und den Browser, mit dem auf das Dokument zugegriffen wird. Anschließend kann ich IIS öffnen und eine Regel konfigurieren, mit der Aufrufe von Geräten mit diesen Attributen an eine Seite umgeleitet werden, auf der darauf hingewiesen wird, dass sie einen Vorgang ausführen, der nicht durch den Netzwerkadministrator zulässig ist.
Wie Sie anhand des oben abgebildeten Internetinformationsdienste-Managers erkennen können, habe ich eine Regel erstellt, die für alle DOCX-Dateierweiterungen gültig ist. Wenn das Gerät dem Muster entspricht und „iPad“ im Deskriptor vorhanden ist, wird der Benutzer an die Intranetwebsite download%20denied.aspx umgeleitet. Dies ist nicht für jede einzelne Datei erforderlich, aber ich kann eine einzelne Regel definieren, die für alle Dateien mit der Erweiterung DOCX (oder anderen Erweiterungen) gültig ist. Praktisch dabei ist, dass wir dem Gerät erlauben können, das Dokument mithilfe von Office Web Apps anzuzeigen, da es auf dem SharePoint-Server gerendert wird, und nur eine PNG-Datei an das Gerät zurückzusenden.
Wenn der Benutzer versucht, eine Kopie auf ein nicht von uns verwaltetes Gerät herunterzuladen, wird dem Benutzer der folgende Bildschirm angezeigt:
Dadurch wird im Prinzip verhindert, dass jemand die Datei auf die lokale Festplatte herunterlädt und mit einem anderen Dienst die Datei in einen unerwünschten Speicherort hochlädt oder per E-Mail sendet. Bei einer unverschlüsselten Festplatte oder einem Gerät mit einem Wechselmedium könnte dadurch verhindert werden, dass die Datei auf einem ungeschützten Dateisystem, einer ungeschützten SD-Karte usw. gespeichert wird. Dies ist zwar nicht perfekt, aber unbeabsichtigte Aktivitäten durch Benutzer können dadurch reduziert werden, während die Rechte zum Anzeigen mithilfe von Office Web Apps weiterhin gewährt werden.
Die Datenübertragung war ein weiterer Punkt, den ich ganz am Anfang dieses Blogbeitrags aufgelistet habe, aber die Netzwerkstapel der meisten aktuellen iOS- und Android-Geräte unterstützen die gängigsten Wired Equivalent Privacy (WEP)- und Wi-Fi Protected Access (WPA)-Standards, um für die Sicherheit der Übertragungen zu und von Geräten zu sorgen. Wichtig in diesem Zusammenhang ist die Verwendung dieser Methoden anstelle unsicherer Netzwerke.
Mobile Geräte haben eine rasante Entwicklung hinter sich und werden kontinuierlich optimiert. Sie sind jedoch nicht so leicht zu verwalten wie ausgereiftere Plattformen, die für die Verteidigung gewappnet sind. Dies gilt für die Daten auf dem Gerät und den Zugriff auf Remotedaten. Die IT-Abteilung ist jedoch verständnisvoll angesichts des aktuellen Klimas, dass bestimmte Zugeständnisse für den Zugriff auf Geräte gemacht werden, die andernfalls die Sicherheitskriterien nicht erfüllen würden. Ich hoffe, dass Sie mithilfe einiger der in diesem Blog beschriebenen Methoden Lösungen finden, um begrenzten und dennoch ausreichenden Zugriff auf nicht verwaltete Geräte zu ermöglichen, Ihre Bedenken zu zerstreuen und für die Zufriedenheit Ihrer Benutzer zu sorgen. Natürlich gibt es andere Mechanismen wie etwa die Verwaltung von Informationsrechten (Information Rights Management, IRM), um den Zugriff auf sensible Dateien auf nicht verwalteten Windows-Geräten über die Exchange ActiveSync-Unterstützung in Windows Phone 7.5 und Windows Mobile und Outlook Web Access zu ermöglichen. Dies hilft bei der Diskussion von iPad oder Android jedoch nicht wirklich weiter und bietet keine Vergleichsgrundlage wie etwa beim Vergleich von Netzwerkzugriffschutz mit UAG- und IIS-Richtlinien. Deshalb habe ich mich bei der Verwaltung von Informationsrechten nicht mit den Details befasst.
Ich wollte eine Diskussion anstoßen über die Aktivierung des Remotezugriffs mithilfe von Citrix XenApp und Remotedesktopdiensten in Windows Server, die Anpassung der Office-Benutzeroberfläche und der Windows-Shell für den Zugriff von einem iPad oder Android-Gerät aus, aber das werde ich mir für meinen nächsten und höchstwahrscheinlich abschließenden Blogbeitrag in dieser Blogreihe aufbewahren.
Vielen Dank, dass Sie diesen Beitrag gelesen haben.
Jeremy Chapman
Senior Product Manager
Office IT Pro Team
Es handelt sich hierbei um einen übersetzten Blogbeitrag. Sie finden den Originalartikel unter Windows, iPad and Android – Managing and Using Your Office Assets in a Tablet World (Part 4) – Device-based Access Management
Veröffentlichung des Originalartikels: 19.10.2011
Willkommen bei Teil 3 aus der Blogreihe zum Verwalten Ihrer Office-Objekte in einer Tablet-Umgebung. In Teil 1 habe ich in erster Linie die wichtigsten Methoden für die Verwendung von Office mit Rich-Clients, Remote-Rich-Clients, Office für Mac, Web Apps und Office auf dem Mobiltelefon vorgestellt. In Teil 2 habe ich die Verwendung von E-Mail auf Tablet PCs mithilfe von Exchange ActiveSync behandelt, die Kontrollmöglichkeiten anderer Plattformen mit Gruppenrichtlinien verglichen sowie Optionen zum Konfigurieren von Office beschrieben. In diesem Blogbeitrag werde ich die Office Web Apps als Bestandteil des SharePoint 2010- oder Office 365-Diensts behandeln.
Viele Benutzer meinen, Office 365 sei lediglich eine andere Bezeichnung für Office Web Apps. Auf die Office Web Apps wird in Wirklichkeit wahrscheinlich häufiger über Windows Live oder verwaltete Umgebungen mit SharePoint 2010 Infrastruktur zugegriffen. Office 365 bezieht sich auf das gesamte Angebot an E-Mail (über Exchange Online), Zusammenarbeit (über SharePoint Online), Instant Messaging/Besprechungsdienste/Sprache (über Lync Online) und Office-Clientanwendungen (über vollständige Office Professional Plus-Clients mit Abonnement- und benutzerpivotierter Aktivierung oder Office Web Apps). Nun, da wir wissen, wie wir auf Office Web Apps zugreifen, werden wir uns kurz mit den Office Web Apps befassen. Zu diesem Zweck werde ich zitieren, was mein Kollege im Office-Team in der TechNet-Dokumentation geschrieben hat:
„Microsoft Office Web Apps sind die Onlinebegleitprodukte zu Office Word-, Excel-, PowerPoint- und OneNote-Anwendungen, mit denen Benutzer von überall aus auf Dokumente zugreifen und diese bearbeiten können. Benutzer können Dokumente mit anderen Benutzern online auf PCs, Mobiltelefonen und im Internet anzeigen, freigeben und gemeinsam bearbeiten. Office Web Apps stehen Benutzern über Windows Live bzw. Unternehmenskunden mit Microsoft Office 2010-Volumenlizenzierung und Dokumentverwaltungslösungen basierend auf Microsoft SharePoint 2010-Produkte zur Verfügung.“
Interessant in diesem Zusammenhang ist Folgendes: A. Office 365 wird nicht einmal erwähnt (zu meinem vorherigen Punkt), und B., sie werden für Office-Vollanwendungen als „Begleitprodukte“ bezeichnet. Der Hauptgrund für die Bezeichnung „Begleitprodukte“ ist im selben Artikel erwähnt:
„Die Funktionen von Office Web Apps, Office Mobile 2010 und Office 2010 unterscheiden sich in einigen Punkten.“
Das Schlüsselwort hier ist „einige“. Wenn Sie den Office Web Apps-Featuresatz mit Office Mobile 2010 vergleichen, würde ich „einige“ als richtig und als ein Hinweis auf ähnliche Funktionalität interpretieren. Wenn Sie allerdings Office Web Apps mit einer Vollversion von Office Professional Plus 2010 oder sogar gleichwertigen Anwendungen in Version 2007 oder 2003 vergleichen, klingt „einige“ so, als ob diese beiden Dinge vergleichbar wären. Meiner Meinung nach ermöglichen die Office Web Apps die High-Fidelity-Darstellung und weisen ein paar zentrale Funktionen der vollständigen Clients auf. Ich würde aber niemandem empfehlen, Office-Vollanwendungen auf einem PC oder Mac (einschließlich einer derzeit unterstützten Office-Version) durch Office Web Apps zu ersetzen. Deshalb die Argumentation, sie als Begleitprodukte zu bezeichnen.
Da wir in diesem Blog im Prinzip über Begleitgeräte reden, gibt es eine gewisse Analogie. So wie Sie wahrscheinlich im Allgemeinen einen PC nicht vollständig durch ein reines Touchscreen-Slate-Gerät ersetzen würden, wenn Sie komplexe Aufgaben ausführen möchten (Erstellen von Dokumenten, statistische Analyse in einer Kalkulationstabelle, Erstellen einer Präsentation usw.), gilt dieselbe Regel auch für das Nichtersetzen von vollständigen Office-Clientanwendungen durch ihre Office Web Apps-Entsprechungen. Es gibt einige Benutzerrollen, bei denen die Benutzer keine komplexen Erstellungs- und Bearbeitungsaufgaben ausführen und möglicherweise mit einem reinen Touchscreen-Gerät oder den Office Web Apps zurechtkommen. Ich glaube aber, dass dies eher die Ausnahme als die Regel ist. Ich erinnere mich jedoch auch noch an die Zeit Ende der 1990er Jahre, als meine ehemaligen Vorgesetzten (bevor ich bei Microsoft angefangen habe) alle E-Mails ihren Sekretärinnen diktierten.
Office Web Apps bestehen im Allgemeinen aus einer Viewerkomponente (z. B. WordViewer.aspx), mit der das Dokument auf dem Server gerendert wird und eine Bilddatei (PNG oder XAML) per Push an den Browser übertragen wird, um die High-Fidelity-Darstellung sicherzustellen.
Da das Dokument auf dem Server remote gerendert wird und dieser Server unter Windows ausgeführt wird, kann das Dokument so gerendert werden, als ob es auf einem Computer unter Windows mit einer lokal installierten Office-Version geöffnet würde. Solange die Bilddatei auf dem Gerät angezeigt werden kann und die Informationen im Header verarbeitet werden können, kann das Dokument wie auf dem Computer unter Windows erstellt angezeigt werden. Etwas anders ist die Sache, wenn es um die Schaltfläche In Browser bearbeiten (Edit in Browser) geht, die in der obigen Abbildung dargestellt ist. Wenn ich auf diese Schaltfläche klicke, wird ein Bildschirm angezeigt, der so oder ähnlich aussieht:
Beachten Sie, dass im Bearbeitungsmodus SmartArt nicht gerendert wird und einige Formatierungen verlorengehen. Ich kann jedoch den Text mit einer eingeschränkten Anzahl von Steuerelementen bearbeiten. Vergrößern wir einmal diese Steuerelemente, um die Unterschiede im Vergleich zu einer vollständigen Office-Clientanwendung aufzuzeigen:
Hier das Menüband des vollständigen Microsoft Word-Clients:
Während die Registerkarte Start (Home) von Word ziemlich ähnlich aussieht, werden Sie bemerken, dass einige andere Registerkarten fehlen. Außerdem gibt es die benutzerdefinierte Registerkarte Berührung (Touch). Im nächsten Blogbeitrag werde ich diese Registerkarte und die Optimierung der Clientregisterkarten für die Touchscreen-Verwendung behandeln. Die Moral der Geschichte ist, dass wenn Sie Dinge schätzen, wie z. B. das Einrichten von Seiten und Drucklayouts, das Einfügen von Fußnoten oder Inhaltsverzeichnissen, den Seriendruck und die Nachverfolgung von Änderungen, Kommentare und eine Menge anderer Features, ist die Office Web Apps-Version von Word kein Ersatz für den vollständigen Client und wird deshalb zurückgestuft und als Begleitprodukt bezeichnet.
Da ich über die Verwendung von Office auf iPad- und Android-Slates sowie unter Windows schreibe, folgen ein paar Screenshots der Office Web Apps auf diesen Geräten:
Excel Office Web App im Bearbeitungsmodus auf einem iPad mit Safari
Word Office Web App im Viewermodus in einem Android-Browser
Während die Office Web Apps für die meisten Benutzer kein Ersatz für vollständige Office-Anwendungen sind, ermöglichen sie dennoch das Anzeigen und Bearbeiten von Dokumenten auf vielen Geräten sowie in vielen Formfaktoren und Browsern. Office Web Apps werden in verschiedenen PC-, Mac-, Linux- und mobilen Betriebssystembrowsern unterstützt (z. B. aktuelle Versionen von Internet Explorer, Chrome, Firefox, Safari und Opera).
Für manche Benutzer ist die wichtigste Frage, wie auf die Office Web Apps zugegriffen werden soll, da in der Regel eine Verbindung mit den internen SharePoint-Websites erforderlich ist, was wiederum lokal eine Art der Authentifizierung oder die Konnektivität innerhalb des Umkreisnetzwerks bedeutet. Für einen Sicherheitsverwalter mag dies beunruhigend klingen. Und während ich die Sicherheitssteuerelemente in Windows nicht replizieren kann, kann ich ein paar Maßnahmen ergreifen, um bösartige Aktivitäten zu erschweren. Im nächsten Blogbeitrag werde ich mich mit dem Konzept der Differenzierung des Zugriffs basierend auf der Geräte- oder Browservertrauensstellung und deren Umsetzung in einer Windows-Umgebung befassen. Lesen Sie unbedingt die Teile 1 und 2 dieser Blogreihe – Teil 3 wird demnächst veröffentlicht.
Es handelt sich hierbei um einen übersetzten Blogbeitrag. Sie finden den Originalartikel unter Windows, iPad and Android – Managing and Using Your Office Assets in a Tablet World (Part 3) – Accessing Office from the Browser
Veröffentlichung des Originalartikels: 13.10.2011
Willkommen bei Teil 2 aus der Blogreihe zum Verwalten Ihrer Office-Objekte in einer Tablet-Umgebung. In Teil 1 habe ich in erster Linie die wichtigsten Methoden für die Verwendung von Office mit Rich-Clients, Remote-Rich-Clients, Office für Mac, Web Apps und Office auf dem Mobiltelefon vorgestellt. Nun möchte ich mich mit den Technologien befassen, um sicherzustellen, dass E-Mail, Kalender und sonstige Office-Inhalte auf mehreren Gerätetypen verwendet werden können. Ich stelle mir „Office“ neben den Apps selbst als Arbeitsauslastung in Form von Kommunikation, E-Mail und Zusammenarbeit vor, weshalb diese Arbeitsauslastungen in diesem Beitrag unbedingt behandelt werden müssen. Bevor ich mich mit Themen wie der Anpassung der Office-Benutzeroberfläche für Touchscreen-Geräte oder dem Remotezugriff auf Desktops befasse, beginnen wir mit der von mir verwendeten Buildumgebung. Anschließend geht es um die Grundlagen der Konnektivität von mobilen Geräten bei Office-Arbeitsauslastungen.
Ich bin ein Pedant und möchte immer sicherstellen, dass alles ordnungsgemäß ausgeführt wird, bevor ich etwas zu beschreiben versuche. Ich habe zwar nicht die komplette Windows Server System Reference Architecture (WSSRA)-Umgebung (die wir liebevoll als „Minicore“ bezeichneten) für die Tests verwendet, aber eine relativ leistungsfähige (und portable) Umgebung. Minicore in WSSRA bestand aus 32 virtuellen Computern. Ich verfüge jedoch über sechs virtuelle Computer und verwende den Host, ein iPad und Samsung Galaxy Tab als Clients.
Das waren meine Mitbringsel zur TechEd und zur SharePoint-Konferenz dieses Jahr, weshalb Sie sich beim Sicherheitscheck am Flughafen nicht unbedingt hinter mir in der Warteschlange befinden sollten. Mit dieser Umgebung werde ich auch die Screenshots für die restlichen Beiträge in dieser Reihe erstellen. Beginnen wir also mit den Grundlagen.
Im Jahr 2002 erstellten wir AirSync als Bestandteil von Microsoft Information Server (MIS) 2002, und etwa ein Jahr später wurde dieses Feature erweitert und in Exchange Server 2003 integriert und in Exchange ActiveSync umbenannt. Ich erinnere mich noch an die Möglichkeit, zu Beginn meiner Zeit bei Microsoft E-Mail und Kalender auf meinem Mobiltelefon zu nutzen, was für mich ein Lebensretter war. Im Laufe der Jahre wurde Exchange ActiveSync (EAS) weiterentwickelt und durch die Verfügbarkeit für andere als Windows-Plattformen eine zentrale Komponente und ein Sicherheitspfeiler für viele Gerätetypen, einschließlich Windows Mobile und Windows Phone, iPad und iPhone von Apple sowie Android-basierter Geräte. Für mich ist dies im Rahmen dieser Blogreihe auch der kleinste gemeinsame Nenner für den Zugriff auf Office auf einer Reihe von Geräten.
Exchange ActiveSync bietet eine Reihe wichtiger administrativer IT-Features, wie beispielsweise die Möglichkeit, eine PIN zum Entsperren eines Geräts anzufordern und zu erzwingen. Dadurch wird ein zusätzlicher Authentifizierungsfaktor erzwungen, sodass man beim Verlust eines Geräts die PIN für den Zugriff entweder auf das komplette Gerät – bei Geräten mit systemeigener Exchange ActiveSync-Unterstützung – oder auf die Softwareumgebung, mit der eine Verbindung mit EAS hergestellt wird, wie z. B. TouchDown von NitroDesk oder RoadSync von DataViz, kennen muss.
Im obigen Screenshot ist die Eigenschaftenansicht von Exchange Server 2010 abgebildet, und neben Kennwortrichtlinien können wir Richtlinien für Synchronisierungseinstellungen und sonstige Geräteattribute, wie z. B. die Möglichkeit der Deaktivierung von Gerätekameras und Browsern, festlegen. In Hochsicherheitsumgebungen bieten diese Steuerelemente zusätzlichen Schutz vor Datenlecks sowie Schutz vor dem Einschleusen von bösartigem Code über Webbrowser. Apple stellt darüber hinaus das iPhone-Konfigurationsprogramm bereit, das für die Verwendung mit Infrastruktur für die mobile Geräteverwaltung von Drittanbietern vorgesehen ist, um Richtlinien an iPhone- und iPad-Geräte zu übertragen.
Ein wesentlicher Bestandteil der Unternehmenssicherheit für diese Geräte ergibt sich aus den Exchange ActiveSync-Funktionen und dem erforderlichen Arbeitsaufwand, damit sie von diesen Geräten unterstützt werden. Dies gilt auch für Geräte mit Android 2.0 und neuere Geräte mit systemeigener EAS-Unterstützung.
Die Konfigurierbarkeit von Geräten mithilfe der Steuerelemente in Exchange ActiveSync ist für die meisten Geräte ein Schritt in die richtige Richtung, und durch die Beschränkung der Anzahl von Tagen, die E-Mail auf einem Gerät gespeichert wird, wird das Risiko im Zusammenhang mit der Datensicherheit reduziert. Die Implementierung von EAS auf Geräten, einschließlich iOS, Android, Symbian und Windows Phone, variiert zwischen den Plattformen jedoch erheblich. Dies gilt insbesondere für die Verwaltung von Informationsrechten (Information Rights Management, IRM) unter Verwendung von Exchange ActiveSync. Zu dem Zeitpunkt, als ich diesen Beitrag verfasst habe, war die Verwaltung von Informationsrechten unter Verwendung von EAS auf Windows Phone- und Windows Mobile-Plattformen beschränkt. Für Organisationen, die eine höhere Sicherheit für bestimmten E-Mail-Datenverkehr benötigen, bietet die Verwaltung von Informationsrechten kontinuierlichen Schutz für Messaginginhalte. EAS-Clients werden verstärkt für den Zugriff auf E-Mail verwendet, weshalb die Benutzer von Mobilgeräten unbedingt in der Lage sein müssen, durch die Verwaltung von Informationsrechten geschützte Inhalte auf sichere Weise zu erstellen und zu verwenden. Mit meiner Aussage, dass die EAS-Unterstützung auf diesen Geräten ein Schritt in die richtige Richtung ist, meine ich, dass dies nicht mit Active Directory-Gruppenrichtlinien-Steuerelementen vergleichbar ist, die den meisten IT-Abteilungen vertraut sind. Dies sollte berücksichtigt werden, falls Sie sich mit dem Gedanken tragen, die Benutzer auf nicht so weit entwickelte Plattformen umzustellen.
Office kann auf eine lange Entwicklung der granularen Konfigurationsverwaltung auf der Windows-Plattform zurückblicken. Ausgehend von den Richtlinienverwaltungsfunktionen in der Version Office 97 wurden die Funktionen so etwa in den letzten 15 Jahren drastisch erweitert. Damals gab es kaum mehr als 50 erzwingbare Einstellungen. In Office 2010 gibt es dagegen über 2.000 erzwingbare Einstellungen. Office für Mac 2011 (ebenso wie bei vorherigen Mac-Versionen) enthält übrigens keine erzwingbaren Einstellungen und verwendet nur optionale Einstellungen zum Installationszeitpunkt, wobei dieses Verhalten von den Benutzern auf Wunsch geändert werden kann (siehe Teil 1). Die Einstellungen zum Installationszeitpunkt bringen mich auf die Möglichkeiten, wie Office zum Installationszeitpunkt unter Windows konfiguriert werden kann. Diese spielen eine wichtige Rolle für die Sicherheit und Verwaltbarkeit von Office, da Sie nicht nur die Konfiguration von Office festlegen können, sondern auch Dinge wie Vertraulichkeitseinstellungen (Regeln für die Verschlüsselung und die Verwaltung von Informationsrechten), Integritätseinstellungen (Regeln für vertrauenswürdige Herausgeber und Speicherorte sowie digitale Signaturen) und Verfügbarkeitseinstellungen (VBA-Makro-, Add-In-, ActiveX-, Internet Explorer- und Dateiblockierungsregeln) konfigurieren können. Diese Kontrollmöglichkeiten gibt es nur für eine Windows-Umgebung mit Office.
Es gibt drei primäre Kontrollmechanismen, um die Verwendung von Office auf einem Computer unter Windows anzupassen:
Diese Mechanismen sind in der Reihenfolge aufgeführt, in der sie im Falle von Konflikten gewinnen. Erwartungsgemäß haben Gruppenrichtlinieneinstellungen die meiste Kontrolle und haben Vorrang vor Definitionen in der Datei config.xml, die wiederum Vorrang vor den Definitionen in einer mit dem Office-Anpassungstool (OAT) generierten benutzerdefinierten MSP-Datei haben. Beim Konfigurieren von Office 2010 sind Tausende möglicher Gruppenrichtlinieneinstellungen verfügbar. Das Problem besteht darin, wo man beginnen sollte. Es gibt den Microsoft-Manager für Sicherheitskonformität zur Unterstützung beim Einrichten von Basiseinstellungen, da es einfacher ist mit einer bekannten verwendbaren Konfiguration zu beginnen und diese anzupassen, anstatt ganz von vorne zu beginnen.
Die nächste Priorität gehört der Datei config.xml, die zusammen mit Office verwendet wird. Da es sich um eine XML-Datei handelt und nicht allzu viel vordefiniert ist, werden Sie diese Datei wahrscheinlich nicht für eine lange Liste von Einstellungen verwenden möchten, sondern beispielsweise zum Konfigurieren einfacher Aufrufe eines Aktivierungsdiensts oder zum Anpassen von Sprachkorrekturtools. In diesen Fällen ist die Datei config.xml die optimale und manchmal einzige Option. Eine relativ standardmäßige Datei config.xml sieht wie folgt aus:
Die letzte Option ist die Verwendung des Office-Anpassungstools (OAT). Mit diesem Tool wird im Prinzip festgelegt, wie Office installiert und konfiguriert wird. Diese Einstellungen werden – wie bei der Datei config.xml – nur zum Installationszeitpunkt festgelegt und werden nicht erzwungen. Wenn Sie dann keine Gruppenrichtlinien erzwingen, ist die Verwaltbarkeit und Sicherheit dessen, wofür in der Umgebung Richtlinien erzwungen werden müssen, ernsthaft gefährdet, ähnlich wie dies bei Office für Mac der Fall ist. Das OAT weist die gleichen Einstellungen wie die Gruppenrichtlinien auf und ermöglicht das Schreiben der Registrierung sowie das Ausführen benutzerdefinierter Befehle während des Office-Setupprozesses. Die in einer verwalteten Bereitstellung von Office 2010 häufigste Kontrollmöglichkeit ist wahrscheinlich die Einstellung Dialogfeld "Empfohlene Einstellungen" unterdrücken (Suppress recommended settings dialog). Denn dadurch wird den Benutzern eine Meldung angezeigt, ob Windows Update verwendet werden soll, was die meisten IT-Administratoren von verwalteten Umgebungen im Namen des Benutzers mit Tools wie Windows Server Update Services (WSUS) oder System Center Configuration Manager ausführen würden.
Dies sind die wichtigsten Methoden, um eine Office-Installation unter Windows anzupassen. Ich wollte dieses Thema unbedingt behandeln. Denn selbst wenn Sie diesen Blog nur wegen Hinweisen zur Bereitstellung von Office auf einem iPad lesen, spielen diese Methoden eine Rolle, wenn wir uns mit den Methoden zum Hosten von Office auf einem Remotedesktop oder einem Server und dem Zugriff darauf per iPad, Android- oder Windows-Gerät beschäftigen. Unabhängig davon, ob ich auf einem Computer unter Windows Server 2008 R2 mit installierter Remotedesktopdienste-Rolle oder auf einem Remotecomputer unter Windows 7 bereitstelle, möchte ich dennoch die Möglichkeit haben, diese Installation dynamisch anzupassen – insbesondere bei der Bereitstellung dieses Diensts für Tausende von Benutzern.
Und damit beende ich Teil 2 dieser Blogreihe. Lesen Sie unbedingt auch Teil 1. Und ich hoffe, Teil 3 in den nächsten Tagen zu veröffentlichen.
Es handelt sich hierbei um einen übersetzten Blogbeitrag. Sie finden den Originalartikel unter Windows, iPad and Android – Managing and Using Your Office Assets in a Tablet World (Part 2)