Angesichts des enormen Anstiegs von Home-Office-Arbeitsplätzen in den letzten zwei Jahren ist eine automatisierte MS-Office-Bereitstellung mit kostenlosen Bordmitteln, wie wir sie im Folgenden betrachten, ideal. Denn nicht überall steht Software zur Verfügung, mit der sich Office-Anwendungen schnell aufspielen lassen, und auch nicht jedes Unternehmen hat ein Abonnement von Microsoft Endpoint Manager.

Nach der automatisierten Bereitstellung zeigen wir den Einsatz von Gruppenrichtlinien für die Verteilung von Office 2021 und die Konfiguration der Umgebung. Die Gruppenrichtlinien lassen sich auf Basis der neuen ADMX-Dateien [1] für Office 2021 umsetzen. Die Vorlagen müssen Sie auf den Domänencontrollern oder dem entsprechenden Speicherplatz zur Verfügung stellen, genauso wie andere ADMX-Dateien auch. Umsetzen lassen sich die Richtlinien auf allen Rechnern mit Windows 10/11 Pro und Enterprise oder Windows Server 2016/2019/2022, wenn Sie mit den Remotedesktopdiensten arbeiten. Doch dazu später mehr.

Office 2021 wird ausschließlich mit dem Click-To-Run-Installer installiert, MSI-Dateien sind nicht mehr vorhanden. Das erschwert die generelle Anpassung der Installation etwas. In Deutschland wird diese Installationsvariante auch als "Klick-und-Los" bezeichnet.

Die automatisierte Bereitstellung von Office 2021 setzen Sie mit dem kostenlosen "Office Deployment Tool" (ODT) [2] um. Im Archiv des ODT finden Sie verschiedene XML-Dateien, die die Bereitstellung von Office 2021 steuern, sowie die Set-up.exe-Datei. Diese sind das zentrale Mittel, um Office 2021 automatisiert und damit auch mit der optimalen Sicherheit auf die Rechner zu bringen. Die anschließende Absicherung erfolgt dann mit Gruppenrichtlinien, die wiederum über die kostenlosen Vorlagen zur Verfügung stehen.

Mit den verschiedenen XML-Dateien steuern Sie, welche Programme aus dem Office-Paket Sie installieren wollen. Auch andere Einstellungen lassen sich hier vorgeben, die bereits während der Installation eine Rolle spielen. Generell sollten auf den PCs nur die Programme installiert werden, die der Benutzer auch benötigt. Dadurch lässt sich die Sicherheit schon deutlich verbessern.

Ein wichtiger Schritt beim Betrieb von Office 2021 und auch seinen Vorgängern besteht darin, die Installation so optimal und sicher wie möglich durchzuführen. Da die Automatisierungstools bei allen drei Versionen weitgehend identisch funktionieren, können Sie mit den Hinweisen in diesem Beitrag auch Vorversionen installieren und konfigurieren. Allerdings müssen Sie bei der automatisierten Bereitstellung von Office 2021 darauf achten, die aktuellen Versionen der Bereitstellungstools einzusetzen, da nur diese alle für Office 2021 notwendigen Funktionen unterstützen.

Die Installation starten Sie mit einem Doppelklick. Während des Setups erscheinen keine weiteren Fenster, sondern das Installationsprogramm spielt automatisch alle Programme in einem vorgegebenen Pfad auf Basis der Optionen ein, die Sie im Vorfeld festlegen.

Anpassen lässt sich die Installation zum Beispiel über die XML-basierten Konfigurationsdateien aus dem ODT. Dazu gehört auch eine Datei speziell für die Bereitstellung der LTSC-Variante von Office 2021. Über die XML-Datei steuern Sie, welche Programme aus dem Installationspaket das Office-Programm auf dem Rechner installieren soll. Auch Einstellungen, wie die Aktivierung oder die Angabe des Produktschlüssels, können Sie hier vorgeben. Das Installationsprogramm kann auch die Setupdateien herunterladen und automatisiert ausführen. Dazu nutzen Sie zum Beispiel folgende Befehle aus dem Deployment Tool:

Nach dem Download wird Office 2021 so installiert, wie in der Konfigurationsdatei aufgelistet (setup /configure configuration.xml). Eine Beispielkonfiguration finden Sie im Listing. Die automatische Bereitstellung von Office 2021 erfolgt also weitgehend mit dem Office Deployment Tool und der Anpassung der XML-Datei. Microsoft beschreibt den Vorgang auf der Seite "Deploy Office LTSC 2021" [3].

In der Zeile "Add SourcePath=…" legen Sie den Pfad fest, in den das Installationsprogramm die Setupdateien für Office speichern soll. Außerdem steuern Sie hier, ob Sie die 32-Bit- oder die 64-Bit-Version nutzen. Unter "Product ID=…" geben Sie an, welche Edition von Office 2021 Sie installieren wollen.

Wichtig ist noch die Spalte "Language ID="de-de" /". Die Option definiert, in welcher Sprache die neue Office-Version daherkommt. Nutzen Unternehmen mehrere Sprachen, lassen sich diese in eigene Zeilen integrieren, etwa "Language ID="de-de" /" und "Language ID="en-us" /". Im Bereich "ExcludeApp ID="Access" /" sind die Office-Programme zu finden, die von der Installation ausgeschlossen sind. Jede Anwendung, die der Installationsassistent nicht installieren soll, erhält eine eigene Spalte.

Zusätzlich können Sie in der XML-Datei auch den Produktschlüssel angeben:

Die automatische Aktivierung von Office 2021 lässt sich über die Steuerdatei ebenfalls festlegen:

Sobald Office 2021 installiert ist, spielt die Aktualisierung der einzelnen Produkte eine wichtige Rolle. Microsoft stellt über Windows-Updates Aktualisierungen zur Verfügung. Diese sollten Sie möglichst schnell installieren, damit Sicherheitslücken zügig geschlossen sind. Manuell lassen sich Office-Programme über die Registerkarte "Datei" bei "Konto" auf Updates überprüfen.

Die automatische Konfiguration der Updates können Sie über Gruppenrichtlinien steuern [4]. Natürlich ist es wichtig, dass auch die Setupdateien aktuell sind, mit denen Sie Office 2021 installieren. Dazu können Sie mit dem Office Deployment Tool die Installationsdateien über setup. exe /download meineConfig.xml auf dem neuesten Stand halten.

Für macOS bietet Microsoft automatische Updates für seine Office-Programme an, doch leider laufen die Updates noch immer nicht über den App-Store und interne Funktionen in Microsoft Office, sondern über ein eigenes Tool. Dieses startet automatisch, wenn Sie ein Office-Programm unter macOS aufrufen, manuell erreichen Sie es über den Menüpunkt "Hilfe / Auf Updates überprüfen". Vor allem auf Macbooks ist es sinnvoll, Updates im Netzwerk zu starten, bevor unterwegs die Updatemeldung erscheint.

Die eingangs erwähnten Gruppenrichtlinienvorlagen müssen in der aktuellen Version zum Einsatz kommen, da nur diese auch die Neuerungen für Office 2021 enthalten. Zwar tragen die Dateien die Versionsnummer 16, die schon für Office 2016 galt, sind aber für Office 2021 ebenfalls nutzbar. Der Download erfolgt dabei in englischer Sprache, die Beschreibungen der Gruppenrichtlinien liegen aber wie immer auch in Deutsch vor.

Die Einstellungen werden für Office 2016/ 2019 und 2021 in den gleichen Pfaden der Registry gespeichert. Das sind "HKCU \ SOFTWARE \ Policies \ Microsoft \ Office \ 16.0" für Benutzereinstellungen und "HKLM \ SOFTWARE \ Policies \ Microsoft \ Office\16.0" für Computereinstellungen. In den Beschreibungen ist meistens noch Office 2016 enthalten, aber wie erwähnt gelten die entsprechenden Einstellungen auch für Office 2021. Dadurch kann Office 2021 auch Pfade, Vorlagen und alle anderen Standardeinstellungen aus vorhergehenden Richtlinien übernehmen.

In den Menüs für einzelne Office-Programme, zum Beispiel Outlook, setzen Sie Parameter, die wiederum nur für das entsprechende Programm gelten. So etwa unter "Sicherheit / Einstellungen für den automatischen Download von Bildern einschränken", wo Sie definieren, wie sich Outlook beim Herunterladen von Bildern verhalten soll. Über "Verschiedenes" können Sie unterhalb von Outlook auch Konfigurationen von PST-Dateien auf den Clientrechnern anpassen. Sie legen hier zum Beispiel fest, dass gelöschte Daten in PST-Dateien genullt werden.

Nach dem Download entpacken Sie das Archiv und kopieren die ADMX-Dateien in das Verzeichnis "C:\PolicyDefinitions" auf den Domänencontrollern im Netzwerk, genauso wie andere Vorlagen, die Sie nachträglich integrieren. Die ADML-Dateien speichern Sie in das entsprechende Sprachverzeichnis in "C:\PolicyDefinitions", zum Beispiel in "de-de". Auf den DCs befinden sich danach also alle ADMX-Dateien zum Erstellen von Gruppenrichtlinien und alle notwendigen ADML-Dateien für die jeweilige Sprache. Arbeiten Sie mit einem zentralen Speicher für Gruppenrichtlinien, legen Sie die Dateien natürlich dort ab, wo sich Ihre ADMX- und ADML-Dateien üblicherweise befinden.

Grundsätzlich ist es empfehlenswert, für die Steuerung von Office eine neue Gruppenrichtlinie zu erstellen, über die Sie ausschließlich Einstellungen für Office und die enthaltenen Programme konfigurieren. Innerhalb der Richtlinie finden Sie die Einstellungen von Office über "Computerkonfiguration / Richtlinien / Administrative Vorlagen" und "Benutzerkonfiguration / Richtlinien / Administrative Vorlagen".

Auch die Steuerung von Updates spielt hier eine wichtige Rolle. Diese konfigurieren Sie über "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Aktualisierungen". Auf der rechten Seite starten Sie die generelle Aktualisierung von Office über Windows-Update mit "Automatische Updates aktivieren". Zusätzlich können Sie die Optionen "Option zum Aktivieren oder Deaktivieren von Updates ausblenden" sowie "Updatebenachrichtigungen ausblenden" aktivieren. Weitere Einstellungen wie das Konfigurieren von Update-Zweigen sind optional. Sobald die Gruppenrichtlinien auf Clientrechnern wirken, sind die Einstellungen zu erkennen. Sie finden diese auf der Registerkarte "Datei" über den Menüpunkt "Konto".

Neben den Aktualisierungen für Office können Sie auch die Sicherheit von Office über "Computerkonfiguration / Richtlinien / Administrative Vorlagen" und "Benutzerkonfiguration / Richtlinien / Administrative Vorlagen / Microsoft Office 2016 / Sicherheitseinstellungen" konfigurieren. Weitere Punkte in Sachen Sicherheit liefert "Benutzerkonfiguration / Richtlinien / Administrative Vorlagen und Benutzerkonfiguration / Richtlinien / Administrative Vorlagen / Microsoft Office 2016 / Datenschutz / Trust Center". Über das Dialogfeld "Datei öffnen/speichern" definieren Sie sichere Speicherorte, in denen Anwender Dokumente aus den Office-Programmen speichern dürfen. Die Einstellungen an dieser Stelle gelten auch für Office 2021. Achten Sie in diesem Fall darauf, dass Sie wie erwähnt die aktuellen Versionen der ADMX-Dateien nutzen.

Unterhalb von "Benutzerkonfiguration / Richtlinien / Administrative Vorlagen / Microsoft Outlook 2016 / Sicherheit / Trust Center" konfigurieren Sie den Umgang mit Makros. Diese stellen in Netzwerken natürlich eine gewisse Gefahr dar, weil Office-Programme über externen Code Aktionen ausführen. Dabei kann es sich durchaus um gefährliche Skripte handeln.

Es ist also sinnvoll, mit Gruppenrichtlinien die Makros entsprechend zu steuern. Denn Virenscanner bieten auch nicht immer Schutz vor Makroviren, sodass Sie auch über interne Office-Mechanismen für mehr Sicherheit sorgen sollten. Im Trustcenter legen Sie fest, wie sich die Office-Programme in Bezug auf Makros verhalten sollen. Dazu findet sich hier der Menüpunkt "Makroeinstellungen". Makros ohne Signatur blockiert Office ohne eine Meldung. Über "Trust Center", wie bereits zuvor beschrieben, besteht die Möglichkeit festzulegen, dass Nutzer auch bei nicht signierten Makros Informationen erhalten oder dass Office auch signierte Makros ohne Meldung blockiert.

Um dies per Gruppenrichtlinien zu steuern, navigieren Sie zu "Benutzerkonfiguration / Richtlinien / Administrative Vorlagen / Microsoft Office 2016 / Sicherheitseinstellungen". Hier blockieren Sie mit "VBA für Office-Anwendungen deaktivieren" die Ausführung von VBA. Benötigen einige Anwender Makros auf Basis von VBA, lässt sich dies für jede Office-Anwendung festlegen. Am Beispiel von Word wird das über "Benutzerkonfiguration / Richtlinien / Administrative Vorlagen / Microsoft Word 2016 / Word-Optionen / Sicherheit / Trust Center" gesteuert. Hier können Sie die gleichen Einstellungen vornehmen wie bei der manuellen Konfiguration für Makros im Trust Center. Wenn ein Office-Programm ein Makro blockiert, erhalten Anwender einen Hinweis und können das Makro generell ausführen lassen. Erlauben Sie nur signierte Makros, können Anwender nicht signierte Makros nicht ausführen.

Über Gruppenrichtlinien legen Sie auch fest, ob die Office-Programme Makros in externen Dokumenten anders behandeln sollen als Makros in internen Dokumenten. Dazu gibt es die Option "Ausführung von Makros in Office-Dateien aus dem Internet blockieren". Bei "Benutzerkonfiguration / Richtlinien / Administrative Vorlagen / Microsoft Word 2016 / Word-Optionen / Sicherheit" finden Sie noch die Option "Automatisierungssicherheit". Diese sorgt dafür, dass Makros vor der Ausführung immer erst von einem Virenscanner überprüft werden müssen.

Unternehmen, die Office 2021 einsetzen, sollten die Installation möglichst standardisieren. Das geht mit Bordmitteln und außerdem können Sie mit Gruppenrichtlinien sicherstellen, dass alle Office-Programme einheitlich und sicher laufen. Es lohnt sich, die einzelnen GPO-Optionen durchzuarbeiten, um diese optimal an das eigene Unternehmen anzupassen.