AAD Connect Cloud Provisioning

Generelles zu Identitäten

AAD Connect Cloud Provisioning – Die Nutzung von Office 365- oder Azure-Diensten basiert auf Identitäten und Benutzer können sich damit authentifizieren bzw. autorisieren. Der häufigste «Identity Provider» ist Microsoft Active Directory. So kann man sich an lokalen Ressourcen, wie z.B. File- oder Mail-Servern anmelden. Ähnlich verbreitet ist der Synchronisations-Mechanismus vom Active Directory (ADS) ins Azure Active Directory (AAD) mit Azure Active Directory Connect (AADC). Implementation und Nutzung von AADC erfordert keinen Doktortitel und selbst komplexere AD-Strukturen lassen sich mit AADC in einen Azure AD Tennant synchronisieren. Haupt-Voraussetzung dazu sind Netzwerk-Konnektivität:

  • vom AADC-Server ins Internet via Port 443
  • zwischen dem AADC-Server und den jeweiligen Active Directory Forest(s)

Wir leben in einer Welt, in welcher Firmenübernahmen an der Tagesordnung stehen. «Mergers & Acquisitions» beschreiben das bunte Treiben im Fachenglisch. Aus IT-Sicht generieren die Einkaufstouren der Unternehmen stets Integrations- oder Migrations-Projekte und auch hier stehen die Identitäten im Zentrum.

Azure AD Connect Cloud Provisioning

Mit der Einführung des Azure AD Connect Cloud Provisioning wird die Provisionierung von Identitäten aus losgelösten AD-Forests stark vereinfacht. Was heisst «losgelöster» AD-Forest? Ein Beispiel:

  • Firma A übernimmt Firma B
  • Beide Firmen betreiben je ein lokales Active Directory, welches weder über eine Netzwerkverbindung noch über einen AD-Trust verbunden ist (-> losgelöster AD-Forest 😊)
  • Firma A nutzt Office 365-Dienste und möchte diese Dienste der Firma B zur Verfügung stellen
    •  
Azure AD Connect Cloud Provisioning

Aus der Microsoft «Fantasie-Firmen-Terminologie» frei übersetzt

  • Firma A (contoso.com) betreibt eine AD Connect Instanz, welche die Identitäten der lokalen AD ins Azure AD synchronisiert um z.B. Office 365 zu nutzen
  • Firma B (fabrikam.com) kann, ohne ihr Active Directory mit Firma B zu verbinden mit «Azure AD Connect Cloud Provisioning» ihre Identitäten in den Azure AD-Tenant von Firma A synchronisieren. So können die Office 365-Dienste aus demselben Tenant genutzt werden.

Die Integration von «AD Connect Cloud Provisioning» ist denkbar einfach (MS-Guidelines):

  • Auf einem Domain-joined Server von Firma B wird der «Azure AD Connect Provisioning Agent» aus dem Azure AD-Portal von Firma A heruntergeladen, installiert und konfiguriert
  • Im Azure Active Directory-Portal von Firma A, wird der installierte Agent verifiziert und danach wird die Konfiguration von «AD Connect Cloud Provisioning» aus dem Azure AD-Portal abgeschlossen (dieser Schritt beinhaltet auch das Filtering auf bestimme AD-Objekte)
  • Nach erfolgter Konfiguration, werden die Konten im Azure AD-Tennant von Firma A erstellt. Die Benutzer von Firma B können basierend auf der Office 365-Lizenzierung die Dienste nutzen und selbstverständlich innerhalb der Dienste mit den Mitarbeitern von Firma A kollaborieren

Fazit & Limitationen

  • Azure AD Connect Cloud Provisioning eignet sich hervorragend zur Integration eigenständiger AD Forests. Dies ohne eine AD-Verbindung oder eine AD-Migration oder eine AADC-Re-Konfiguration.
  • Bestehende Azure AD Connect-Konfigurationen können parallel genutzt werden und müssen in der Regel nicht angepasst werden
  • Folgendes wird (Stand 12/2019) durch «Azure AD Connect Cloud Provisioning» nicht unterstützt (vollständige Liste)
    • Account- /Resource-Forest-Topologien – konkret / unser obiges Beispiel: besteht zwischen Firma A & Firma B ein AD-Trust und Firma B nutzt z.B. MS Exchange aus Firma A, kann «Azure AD Connect Cloud Provisioning» nicht eingesetzt werden
    • Exchange Hybrid – konkret / unser obiges Beispiel: nutzt Firma B Mailboxen unter MS Exchange, welche mit migriert werden sollen, so ist dies in Kombination mit «Azure AD Connect Cloud Provisioning» vorläufig nicht realisierbar
    • Write-Back-Funktionen (wird im Q1 oder Q2 2020 ins Produkt einfliessen)
    • Passthrough Authentication

Neue Kooperation mit Centerboard

Neue Kooperation mit Centerboard​: Wir freuen uns bekannt zu geben, dass wir per März 2019 eine Kooperation mit der Firma Centerboard AG aus Basel geschlossen haben. Centerboard ist ein führender Schweizer Software-Anbieter, der seit 2006 Lösungen für die Schuladministration sowie für die Kindertagesbetreuung und für Kirchgemeinden anbietet.

Das Hauptprodukt von Centerboard, die Schuladministrationssoftware «schulNetz» bezieht alle Beteiligten in die wichtigen Abläufe einer Schule mit ein. Neben der Schulleitung und dem Sekretariat können auch Lehrpersonen und SchülerInnen ihre administrativen Arbeiten in schulNetz auf einer modernen, webbasierten Oberfläche erledigen. Mit der Integration in Office 365 bietet Schulnetz nun auch eine passende Schnittstelle zur IT Infrastruktur. Dies ermöglicht eine vereinfachte Benutzeradministration in Office 365. Das Schulnetz kann Office 365 Dienste direkt provisionieren.

Neue Kooperation mit Centerboard

Mit mehr als 100 Schulen und über 60’000 Anwendern gehört Centerboard zu den grössten Anbietern für Schulverwaltungslösungen in der deutschsprachigen Schweiz. Die Office 365 und Cloud Lösungen von Microsoft finden auch im Schweizer Bildungsmarkt starken Zuspruch. Hier ergänzen sich die Leistungen von Centerboard und TwinCap First AG sehr gut, da Schnittstellen zwischen den Produkten von Centerboard und der Microsoft Cloud zahlreiche Vorteile bieten. Unsere Kunden können so von einer vollumfänglichen Leistungsabdeckung im Bereich der Schuladministration aber auch im Bereich der Cloud-Integration mit Microsoft Office 365 profitieren.