{"id":277554,"date":"2023-02-06T12:49:08","date_gmt":"2023-02-06T11:49:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=277554"},"modified":"2023-02-07T01:39:24","modified_gmt":"2023-02-07T00:39:24","slug":"microsoft-365-apps-for-business-untersttzt-keine-macro-richtlinien-gpos","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/02\/06\/microsoft-365-apps-for-business-untersttzt-keine-macro-richtlinien-gpos\/","title":{"rendered":"Microsoft 365 Apps for Business unterstützt keine Macro-Richtlinien (GPOs)"},"content":{"rendered":"

[English<\/a>]Unsch\u00f6ne Geschichte, eigentlich ein Skandal, die ich hier im Blog mal zur Diskussion stelle. Wer Microsoft 365 Apps for Business verwendet, erlebt eine unsch\u00f6ne \u00dcberraschung. Microsoft hat das Produkt beschnitten, so diese Produkt keine Richtlinien zur Verwaltung der Makroausf\u00fchrung (GPOs usw.) unterst\u00fctzt. Nur auf die Microsoft 365 Enterprise-Variante bietet diese Funktionalit\u00e4t.<\/p>\n

<\/p>\n

\"\"Das Thema ist mir ein wenig durchgerutscht, Blog-Leser AndiW hat mich auf ein unsch\u00f6nes Thema im Umfeld von Microsoft 365 aufmerksam gemacht.\u00a0 Mitte Januar 2023 erreichte mich nachfolgender Tweet<\/a> von Leser AndiW, der das Ganze aufgreift und auf diesen Tweet<\/a> verweist.<\/p>\n

<\/a><\/p>\n

Die Aussage im Tweet<\/a> lautet: Wenn Sie Microsoft 365 Apps for Business verwenden, ignoriert die Office-Installation Richtlinien (GPOs usw.), einschlie\u00dflich solcher, die Makro-Sicherheitseinstellungen erzwingen. <\/em>Hier mal einige Informationen sortiert.<\/p>\n

Microsoft empfiehlt GPOs f\u00fcr Macro-Ausf\u00fchrung<\/h2>\n

Es ist hinreichend bekannt, dass VBA-Makros ein g\u00e4ngiger Weg f\u00fcr Angreifer sind, sich Zugang zu Systemen zu verschaffen, um Malware und Ransomware einzusetzen. Die L\u00f6sung von Microsoft zur Verbesserung der Sicherheit in Office besteht darin, das Standardverhalten von Office-Anwendungen zu \u00e4ndern. Makros in Dateien aus dem Internet sollen k\u00fcnftig blockiert werden.<\/p>\n

Mit dieser \u00c4nderung wird die folgende Meldung angezeigt, wenn Benutzer eine Datei \u00f6ffnen, die aus dem Internet stammt, z. B. eine E-Mail-Anlage, und diese Datei Makros enth\u00e4lt:<\/p>\n

\"Macro<\/a><\/p>\n

Das kann man in dem am 26. Januar 2023 aktualisierten Support-Beitrag Macros from the internet will be blocked by default in Office<\/a> von Microsoft wunderbar nachlesen.<\/p>\n

Wenn das Microsoft-Marketing zuschl\u00e4gt<\/h2>\n

In Unternehmensumgebungen haben Administratoren aber die M\u00f6glichkeit, die Richtlinien zur Verarbeitung von Macros \u00fcber Richtlinien zu verwalten. Microsoft hat das im Abschnitt Use policies to manage how Office handles macros<\/a> super erkl\u00e4rt. Die Kinnlade d\u00fcrfte den Administratoren aber sp\u00e4testens dann herunterfallen, wenn man sich mal die Details genauer anschaut. Ich habe es mal als Screenshot herausgezogen – vielleicht ist das ja bei Administratoren bereits bestens bekannt.<\/p>\n

<\/p>\n

Microsoft empfiehlt, die betreffenden Gruppenrichtlinien zur Verwaltung der Macro-Ausf\u00fchrung zu verwenden. Dann hat das Marketing aber wohl zugeschlagen. Wer Microsoft 365 Apps for Business einsetzt, hat aber die \"Katze im Sack\" gekauft – dort ist die Verwendung von Richtlinien laut dem \"Important\"-Einschub nicht m\u00f6glich. Wer Macros per Gruppenrichtlinien verwalten m\u00f6chte, ist auf Microsoft 365 Apps for Enterprise angewiesen.<\/p>\n

Ein technischer Grund ist da nicht erkennbar, das ist eine reine Marketing-Entscheidung (\u00e4hnlich wie bei der Kastrierung der GPO-Unterst\u00fctzung bei Windows 10\/11 Pro), die Leute sollen auf Microsoft 365 Apps for Enterprise gezwungen werden. Das ist einer der Gr\u00fcnde, warum Microsoft (nicht nur bei mir) eine saum\u00e4\u00dfige Reputation hat. Der betreffende Benutzer md hat in einer Reihe an Folge-Tweets<\/a> berechtigte Fragen aufgeworfen.<\/p>\n

\"Microsoft<\/a><\/p>\n

Oder wie seht ihr das so? Ist das in der Praxis kein Problem, weil es a) nicht gebraucht wird, oder b) man gleich auf Microsoft 365 Apps for Enterprise setzt, weil alternativlos?<\/p>\n

Erg\u00e4nzungen aus R\u00fcckmeldungen in FB-Gruppen: Die Macros werden seit Sommer 2022 (27.7.2022) in Office generell blockiert (siehe Microsoft: Default-Deaktivierung von Office VBA-Makros wird fortgesetzt<\/a>). Und eine Aussage: Generell sollte man sich vielleicht mal im Kopf verabschieden \u00fcber GPO's in der Cloud nachzudenken. Modernes Cloud Management und Konfiguration hat absolut NICHTS mit traditionellen GPO's aus einem AD zu tun. Da hats andere Wege und Mittel genau das zu erreichen.<\/em><\/p>\n

Die Word-App hat z.B. eine Cloudanbindung. Und das wird in der Zukunft noch viel mehr werden an der stelle wenn man die wachsende KI sieht. Das waren fr\u00fcher mal Standalone Programme ja nat\u00fcrlich, aber das wird doch immer mehr eine Cloudverl\u00e4ngerung. Sinn und Unsinn mag ich an der Stelle echt nicht diskutieren das muss jeder f\u00fcr sich selber entscheiden was ihm taugt und was nicht. Da hat echt jeder seinen eigenen pers\u00f6nlichen Gusto. Die Business Premium zieht nicht auf Ad Umgebungen ab da w\u00e4rs dann eher die Standard +EMS E3 die mir dann wieder die Berechtigung gibt einen lokalen Configuration Manager zu betreiben und schon habe ich meine Management wieder unten im Co Management mit Intune.<\/em><\/p>\n

Mark Heitbrink schrieb auf Facebook: Das ist nichts Neues. GPOs sind bereits seit Office 2013 nur in den VL-Versionen m\u00f6glich. Alle anderen k\u00f6nnen \u00fcber Einstellungen (hkcu – Software -Microsoft – Office) statt \u00fcber Richtlinien (hkcu – Software – Richtlinien …) gesteuert werden.<\/em><\/p>\n

Ein anderer Benutzer schrieb: Microsoft 365 Apps Business kann \u00fcber MDM verwaltet werden. Dort kann man auch die Makros steuern.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Unsch\u00f6ne Geschichte, eigentlich ein Skandal, die ich hier im Blog mal zur Diskussion stelle. Wer Microsoft 365 Apps for Business verwendet, erlebt eine unsch\u00f6ne \u00dcberraschung. Microsoft hat das Produkt beschnitten, so diese Produkt keine Richtlinien zur Verwaltung der Makroausf\u00fchrung (GPOs … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[4322,4328],"class_list":["post-277554","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-office","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277554","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=277554"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277554\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=277554"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=277554"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=277554"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}