Azure AD Pass-through Authentication

Azure AD Pass-through Authentication – Hintergründe & Funktionsweise

Azure AD Pass-through Authentication nachfolgend «PTA» genannt, war bereits im November/Dezember 2016 als Preview verfügbar und ist inzwischen fester Bestandteil der Azure AD Authentifizierungs-Mechanismen.

PTA ist eine echte Alternative zur Passwort-Hash-Synchronisation oder zum Active Directory Federation Service (ADFS). Es gibt einige triftige Gründe, um PTA einzusetzen:

  • Mit PTA werden keine Passwort-Informationen auf dem Azure AD-Benutzer hinterlegt
  • Der Einsatz von PTA ist kostenlos, es werden keine zusätzlichen Office 365- oder Azure-Lizenzen benötigt
  • PTA kommt mit wenig Infrastruktur, respektive bescheidenen On-Premises Server-Ressourcen aus
  • PTA kommuniziert vom internen LAN ins Azure AD, es muss kein Dienst ins Internet publiziert werden

PTA ist eine Software-Komponente, welche via Azure Active Directory Connect installiert oder via Azure AD-Portal als einzelnes Software-Paket heruntergeladen werden kann. Die Komponente kann auf einem beliebigen Windows Server (Windows Server 2012 R2 oder neuer) installiert werden.

Damit der Dienst ausfallsicher betrieben werden kann, sollten 2 – 3 Instanzen installiert werden (oder gar mehr Instanzen, sofern mehrere 10’000 authentifizierende Benutzer bedient werden müssen). PTA wählt automatisch eine verfügbare Instanz (oder Agent) aus, ein eigentliches LoadBalancing, über die installierten Instanzen, findet nicht statt. Die Konfiguration erfolgt über den Azure Active Directory Connect Konfigurations-Wizard, unter der Option «Sign-In-Options» kann PTA aktiviert werden.

Auf Stufe Office 365 muss sichergestellt werden, dass die Logon-Domains auf «managed» konfiguriert sind, was z.B. bei der Nutzung der Passwort Hash-Synchronisation standard ist.

Im Azure AD-Portal unter «Azure AD-Connect» kann der Status der installierten Azure AD Pass-through Authentication – Instanzen unter «User Sign In» geprüft werden.

Bei der Nutzung von PTA, erfolgt der Authentifizierungs-Prozess wie folgt:

  1. Die Benutzer-Informationen werden in Azure verschlüsselt in eine Queue gestellt
  2. Ein verfügbarer On-Premises-Agent holt die Benutzer-Informationen von derselben Queue ab
  3. Die Benutzer-Informationen werden gegen das lokale Active Directory geprüft
  4. Der PTA-Agent gibt die gewonnen Informationen aus dem lokalen Active Directory zurück ins Azure AD
  5. Sofern implementiert, werden weitere Mechanismen wie MFA oder conditional Access aktiv

Hinweis: De Fakto verlässt das Passwort «ihr Netzwerk»  in denjenigen Fällen, in welchen Sie sich an Office 365 interaktiv authentifizieren (was auch mit PTA  inkl. Seamless SSO in seltenen Fällen vorkommen kann). Bei der Passwort-Eingabe wird das Passwort mit AES256 verschlüsselt und Online zwischengespeichert, so dass der Passwort Server dieses aus dem Netz herunterladen kann und gegen das lokale Active Directory verifizieren kann.

MS-Referenz: Migrating from Federated Authentication to Pass-through Authentication, Seite 8 

 

 

 

Welche Rolle spielt Azure Active Directory Seamless Single Sign-On?

PTA selbst stellt für den Benutzer kein durchgängiges «Single-Sign-On-Experience» zur Verfügung. Dazu muss zusätzlich Azure Active Directory Seamless Single Sign-On – kurz «Seamless SSO» – implementiert werden. Dies erfolgt ebenfalls über den Konfigurations-Wizard von Azure Active Directory Connect.

  • Seamless SSO funktioniert grundsätzlich nur auf Active Directory Domain-Joined Geräten
  • Seamless SSO funktioniert nicht im «private browsing mode» vom Firefox- & Edge-Browser oder im «Enhanced Protected mode» vom Internet Explorer
  • Seamless SSO ermöglicht den Workplace-Join von Legacy Windows Clients (Non-Windows 10 oder Non-Windows Server 2016 Geräte) ohne ADFS einzusetzen

Damit Seamless SSO stets funktioniert, bzw. den Sicherheitsstandards entspricht, müssen zwei Dinge beachtet werden:

  1. Damit die Kerberos-Tickets korrekt verarbeitet werden, müssen zwei Azure Authentifizierungs- Seiten zur lokalen IE Zone hinzugefügt werden – dies kann mittels folgender GPO erfasst werden:
    User Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page / Site to Zone Assignment List / Enabled:
    Value Name: https://autologon.microsoftazuread-sso.com Value: 1
    Value Name: https://aadg.windows.net.nsatc.net Value: 1
  2. Der Kerberos Decryption Key auf dem durch das von Seamless SSO erstellten Computer-Objekt «AZUREADSSOACC» sollte aus sicherheitstechnischen Gründen alle 30 Tag aktualisiert werden ->  «Kerberos decryption key rollover».  Leider muss diese Aktualisierung bis dato von Hand gemacht werden. Im einem Azure AD-Uservoice-Threat werden Lösungsansätze für die Automatisation via PowerShell preis gegeben, zudem stellt ein kürzlicher Post vom Azure AD Team die automatisierte Variante des «Kerberos decryption key rollover» für den Sommer 2019 in Aussicht. Wird der Key nicht aktualisiert, funktioniert Seamless SSO zwar nach wie vor, aber Im Azure AD-Portal unter «Azure AD-Connect» unter «User Sign-In» wird auf dem Feature «Seamless Signle Sign-On» eben nach diesen 30 Tagen eine entsprechende Warnung angezeigt.

ADFS vs. PTA

ADFS war (und ist) quasi die «State-of-the-Art Implementation», wenn es darum geht, keine Passwörter in die Cloud zu synchronisieren und einen echten Single Sign-On auf Office 365 & Azure Dienste zu realisieren. Wie eingangs dieses Blogs schon erwähnt, ist PTA in Verbindung mit Seamless SSO eine echte Alternative zu ADFS, da dessen Implementation weniger aufwendig, weniger komplex und billiger ist. Wenn Sie jedoch auf eines der folgenden Features angewiesen sind, raten wir Ihnen bei ADFS zu bleiben:

  • Genutzte Applikationen unterstützen «Modern Authentication» nicht:
    • Legacy Applikationen werden genutzt, z.B. der «alte» Lync-Client
    • Eine Legacy Protokoll Applikation wie z.B. PowerShell Version 1.0 wird genutzt
  • Es kommt eine 3rd Party On-Premises Multifactor Authentication Lösung zum Einsatz
  • Es werden Smart-Cards zur Authentifizierung genutzt
  • Single Sign-On soll so weit gehen, dass keine Anmelde-Dialoge erscheinen und die Anmelde-Informationen zwischen allen Applikationen automatisch übergeben werden, also auch zwischen Office 365-Applikationen und anderen integrierten 3rd Party-Applikationen wie z.B. Salesforce, Box, Dropbox, u.v.a.
  • Password Ablauf-Meldung müssen unter Windows 10 im Office 365 Portal angezeigt werden

 

Fazit

Aufgrund der gemachten Erfahrungen bei Kunden, kommen wir mehr und mehr von den teils aufwendigen und mühseligen ADFS-Implementationen weg und empfehlen PTA mit Seamless SSO. Die vorangehenden aufgelisteten Umstände, welche für ADFS sprechen, entfallen in einer Umgebung, welche auf die Nutzung der modernen und aktuellen Microsoft Dienste und Applikationen setzt.

Letzten Endes soll das bewährte ADFS nicht etwa als «überflüssig» dargestellt werden, sondern es soll bei der Evaluation der «Sign-In-Methode» schlicht sorgfältig analysiert werden, welche Variante die aktuellen Anforderungen am besten abdeckt und verhältnismässig in Sachen Kosten und Komplexität daherkommt. Oder anders formuliert: wer sich den Rolls Royce mit allem Komfort leisten kann, ist mit ADFS nach wie vor am besten bedient.

Autoren: Reto Krebs, Consultant und Marcel Meier, Consultant | Partner

Bist Du unser neuer «Cloud Guru»?

Wir suchen nach Absprache einen „Cloud Guru“, der unsere Kunden in die Microsoft Cloud Welt begleitet oder führt.

Unser Credo: „Der digitale Mindset ist das Wichtigste, digitale Skills lassen sich trainieren…“

Wir bieten Spass an der Arbeit, herausfordernde Projekte und Aufgaben, eine ausgewogene Work-Life-Balance für alle sowie langfristige und erfolgreiche Kundenbeziehungen. Offenheit für neue Vorschläge sind auch Teil der Kultur; nutze diese Chance und sei dabei!

Das bist Du:

  • Ein “Gadget Nerd” und Du stehst dazu
  • Die neuesten technischen Spielereien brauchst Du eigentlich nicht, aber musst sie jeweils einfach haben
  • Als digitaler Nomade bist Du sehr gern solo und bei Kunden unterwegs. Das Office besuchst Du nur, um Deine Erfolgsgeschichten zu teilen und Dich in die Ferien zu verabschieden
  • Du gehörst zu der Sorte Menschen, die die Gebrauchsanleitung links liegen lassen und lieber zuerst selber ausprobieren
  • Microsoft Technologie und Du sind “Best Buddies”. Apple darf manchmal auch mitspielen, ist jedoch mehr geduldet als gemocht
  • Du lebst die Cloud und manövrierst Dich und Deine Kunden sicher durch jede Wolkenfront
  • Bei Dir zählen nicht nur Up- und Downloadraten. Du liebst den Rausch der Geschwindigkeit mit dem sich neue Technologien entwickeln und lässt Dich nicht davon abhängen
  • Du bist vertraut mit virtueller Kommunikation, sei es mit Computern oder Cloudumgebungen, kannst Dich aber genauso geschickt mit realen Menschen austauschen
  • Du bist ein Macher: nimmst an, führst aus, lernst dazu und lieferst!
  • Du liebst die Freiheit, weisst jedoch dass sie grundsätzlich nicht mit Sicherheit zu vereinbaren ist
  • Du möchtest nicht das Risiko eines Einzelunternehmers tragen, aber doch möglichst weitgehend Dein eigener Chef sein
  • Du hast gerne coole und nette Nerds um dich, die dir zur Seite stehen wenn’s mal klemmt

Und so sieht die Arbeit bei uns aus:

  • Du hast keine Arbeit, sondern eine Mission
  • Deine Techie-Seele hat bei uns ein Zuhause und Du darfst Dich voll und ganz entfalten
  • Du machst das, worin Du am besten bist und wirst dazu noch dafür bezahlt
  • Es gibt keine unnötige Aufwärmphase, bei uns übernimmst du sofort Verantwortung
  • Unser kleines Team aus Gleichgesinnten, bietet dir technische Sparring Partner mit denen Du Wortschlachten auf Augenhöhe austragen kannst

Klingt das cool für dich?
Dann melde dich bei Christoph.

E-Mail: christoph.schoch@twincapfirst.ch
Telefon: +41 44 520 36 10

PowerApps Series Vol.1 – Reparatur-App

blank

PowerApps Series Vol.1 – Reparatur-App: Eine eigene Business-App um papierbasierte Informationen und die mehrfache Erfassung von Daten endlich abzulösen, war bisher schlichtweg sehr teuer und aufwändig. Mit PowerApps hat uns Microsoft ein Tool zur Verfügung gestellt, mit dem es sich endlich lohnt, sich Gedanken über eine eigene Business-Apps zu machen.

In diesem Teil der PowerApps-Serie (PowerApps Series Vol.1 – Reparatur-App) stelle ich Ihnen die von uns entwickelte Reparatur-App vor. Doch erst erkläre ich Ihnen ganz kurz, was denn PowerApps eigentlich ist und wer darauf zugreifen kann.

1. Was ist eigentlich PowerApps?

PowerApps ist ein Teil des Office365 Pakets und bereits ab der Business-Lizenz als PowerApps Plan 1 verfügbar. Falls Sie Office 365 nicht besitzen, kann PowerApps Plan 1 auch separat erworben werden. Für weitere Funktionen, mehrere Custom Connectors, etc. steht der PowerApps Plan 2 zur Verfügung.

Mehr zur Lizenzierung finden Sie auf PowerApps.

Mit PowerApps können einerseits «modellgesteuerte Apps» oder sogenannte «Canvas-Apps» erstellt werden. Was eine Canvas-App genau ist, werde ich Euch gleich erklären. Auf die «modellgesteuerte App» werde ich dann in einem späteren Beitrag eingehen.

Was ist eine Canvas App?

Ohne dass Sie Code in einer traditionellen Programmiersprache wie C# schreiben müssen, ist es nun möglich eine branchenspezifische Canvas-App zu erstellen.
(Nun ja, sobald es eine etwas komplexere App werden soll, ist es von grossem Vorteil, wenn man über Programmierkenntnisse verfügt.)

Die Canvas-App dient vor allem als Graphical User Interface (GUI), um Daten auf SharePoint, in einer Excel-Tabelle, SQL Datenbank, etc. zu erfassen, bearbeiten oder darzustellen. Diese Aufzählung ist natürlich nicht abschliessend, denn es können Cases wie Meetings erstellen, Personen verwalten, Bestellungen erfassen, Ferienanfragen erfassen, Belege erfassen und noch sehr viel mehr abgedeckt werden.

Eine Canvas-App lässt sich für Mobile Devices oder für Desktop Geräte erstellen. Zudem kann sie den Benutzern auch direkt in SharePoint, Power BI oder in Microsoft Teams zur Verfügung gestellt werden.

Wer kann auf PowerApps zugreifen?

Eine mit PowerApps erstellte App kann von jeder Person verwendet werden, die sich im Azure Active Directory Ihres Unternehmens befindet und für die die App freigegeben wurde.

2. Die Reparatur-App

So, nun kommen wir zum praktischen Teil. Vor kurzer Zeit durfte ich für einen Kunden aus der Immobilien-Branche eine App zur Reparaturverwaltung für die von Ihnen verwalteten Immobilien entwickeln.

Ausgangslage

Bisher erfassten die Hauswarte die Mängel jeweils auf Papier. Anschliessend kümmerten sie sich um die Reparatur oder sie boten die entsprechende Servicestelle auf. Sobald das defekte Objekt wieder repariert war, war der Fall abgeschlossen. Dadurch war es vor allem der Geschäftsstelle weder möglich einen Überblick über die aktuellen und die vergangenen Reparaturen zu behalten (z.b. Zuweisung von Rechnungen aus solchen Aufträgen) noch Statistiken zu erstellen oder eine praktikable Stellevertretungslösung zu haben.

Aus diesem Grund erhielten wir den Auftrag mit PowerApps eine App zu entwickeln, um das Handling in Zukunft zu verbessern und die Daten digital zu erfassen.

Lösung

Um das Bedürfnis des Kunden abzudecken, wurde eine Lösung mit PowerApps und SharePoint Online entwickelt. Dabei können die Hauswarte den Schadenfall mittels App auf das entsprechende Immobilien Objekt erfassen (Text, Photos etc.), die offenen Fälle dann tracken, den Status updaten, das Serviceunternehmen zuweisen, den Reparaturtermin hinzufügen, etc.

Reparatur-App Auftragsübersicht

Zusätzlich können auch sämtliche Unternehmen, die als Servicestellen dienen, erfasst und die Kontaktdaten hinterlegt werden. Durch die neue Lösung mit der Reparatur-App hat auch die Verwaltung einen Überblick über alle Reparaturfälle, ob offen oder schon geschlossen. Da sich die Daten in einer SharePoint-Liste befinden, lassen sie sich einfach nach Excel exportieren und Statistiken erstellen.

Sehen Sie im Video wie die App funktioniert.

Filter(Table, Formula1 [, Formula2, … ]) – Was bedeutet das denn?

Dies bedeutet in Bezug auf die Reparatur-App, dass wenn die Siedlung ausgewählt wird, nur die Liegenschaften der ausgewählten Siedlung zur Auswahl stehen – ein sogenanntes Cascading Dropdown.

PowerApps Cascading Dropdown

Wie Cascading Dropdowns erstellt und was für Funktionen benötigt werden, stelle ich Ihnen im nächsten Teil der PowerApps Serie vor.

Schlussworte

Meiner Meinung nach erlangt PowerApps in Zukunft eine immer grössere Bedeutung. Die Erstellung einer Business-Anwendung wurde durch die PowerApps-Plattform erheblich vereinfacht. Wenn man unter anderem sieht, wie intensiv Microsoft aktuell an der Plattform arbeitet und stetig Neuerungen rausbringt, stehen wir erst am Anfang.

Bis zum nächsten Mal,
Sascha

IBM Lotus Notes-to-O365 Migration

blank

IBM Lotus Notes-to-O365: E-Mail-Migration von einer beliebigen Plattform (n) nach Office 365, respektive Exchange Online – Fallbeispiel mit IBM Lotus Notes

IBM Lotus Notes-to-O365: Während Migrationen von Exchange On-Premises nach Exchange Online durch die Bordmittel, welche Microsoft zur Verfügung stellt, einen hohen Standardisierung-Grad erreicht haben, stellen Migrationen von non-MS-Plattformen nach wie vor eine grosse Herausforderung dar.

Dieser Blog-Artikel beschreibt anhand einer Migration von Lotus Notes nach Exchange Online, welche wir kürzlich bei einem unserer Kunden durchgeführt haben, welches Vorgehen zum gewünschten Erfolg führte.

Ausgangslage

Folgende Ausgangslage ist für ein solches Vorhaben nicht untypisch und das Quell-System muss nicht unbedingt Lotus Notes heissen:

  • Der Kunde verfügt über ein oder mehrere lokale Active Directory-Forests, worin Benutzer und Ressourcen abgebildet sind
  • Es werden schon Office 365-Dienste, wie z.B. Office 365ProPlus, OneDrive for Business, Teams, u.v.a. produktiv genutzt
  • Die Identitäten werden bereits mittels Azure Active Directory Connect ins Azure Active Directory synchronisiert
  • Für ein benutzerfreundliches Single-Sign-On wird schon ADFS bzw. ein äquivalentes System eingesetzt (in aktuellen Fall wird PING genutzt)
  • Die Mail-Archivierung wird seit Jahren über eine 3rd-Pary-Lösung betrieben (im aktuellen Fall wurde Symantec Enterprise Vault eingesetzt)
  • Diverse, teils eigens gestrickte Schnittstellen zum On-Premises Mail-System sind im Betrieb, deren Funktionalitäten die Migration nach Exchange Online «überleben» sollen
  • Das verantwortliche IT Personal ist mit einer Vielzahl von anderen IT-Projekten beschäftigt und sollte zum einen möglichst ins Vorhaben integriert werden, zum anderen können die IT-Mitarbeiter sich nicht zu 100% mit der Migration befassen

Fragen, Entscheidungen, Vorgehen

Es gibt einen weit verbreiteten Mythos hinsichtlich solcher Projekte: Hey ihr von TwinCap First AG, ihr könnt ja auf langjährige Erfahrung mit solchen komplexen Migrations-Vorhaben zurückgreifen, sprich Schublade auf, Konzept von Kunde A herausnehmen, search «Kunde A», replace «Kunde B» und los geht’s!

Gerade Migrations-Projekte lassen sich nur schwer schubladisieren, denn jede Kunden-Umgebung hat ihre Eigenheiten und manchmal auch Leichen im Keller. Durch den Umstand, dass Migrations-Projekte oft sehr viele Bereiche einer IT-Umgebung betreffen, wird auch so ziemlich alles an die Oberfläche gespült, was ein hoch standardisiertes, schon mehrfach angewandtes Vorgehen weitgehend verunmöglicht.

Die Erfahrung hilft dann unter anderem bei der Herangehensweise, beim Bewältigen von unvorhergesehenen Ereignissen und vor allem beim Stellen der richtigen Fragen. Diese Fragen bzw. die entsprechenden Antworten, haben direkten Einfluss auf Entscheidungen hinsichtlich der Vorgehenswiese, Migrations-Methoden, Migrations- & Rollout-Planung und vieles mehr.

Zurück zu unserem Lotus Notes zu Office 365-Projekt: folgende Bereiche wurden in initialen Workshops beleuchtet, respektive waren von zentraler Bedeutung:

  • Detaillierte IST-Aufnahme der Notes-Umgebung und allen involvierten Umsystemen (sprich Mengengerüste, Versionen, Hersteller, Schnittstellen, etc.)
  • Notes-Skills: wie gut sind vorhandenen Notes-Skills? Gibt es einen Notes-Support durch einen Partner? Ist jemand in der Lage Notes-Scripts zur Vereinfachung/Automatisation der Migration zu erstellen?
  • Scope & Verzeichnissysteme: was/wer muss migriert werden, welche Identitäten sind involviert, sind diese Identitäten in den tangierten Verzeichnissystemen vorhanden (Domino-, Active- & Azure Active-Directory)?
  • Wie stellt sich der Kunde die Migration vor? Eine möglichst kurze Zeitdauer oder gar ein Big-Bang?
    Bemerkung: die Migrations-Dauer oder der Parallel-Betrieb wird nicht primär durch die Migrations-Werkzeuge oder den Daten-Durchsatz nach Exchange Online bestimmt, sondern durch die Leistungsfähigkeit der Support-Organisation
  • Über 90% aller Migration-Vorhaben ziehen einen Parallel-Betrieb mit sich, was im aktuellen Beispiel automatisch eine Koexistenz zwischen Notes und Exchange Online bedeutete – was muss während der Koexistenz technisch möglich sein? Wo werden Joiners & Leavers während der Migrations-Phase verwaltet? Kann während der Koexistenz auf gewisse Funktionalitäten verzichtet werden?
  • Migrations-Werkzeuge: eine Migration von Notes nach Exchange Online lässt sich NICHT ohne 3rd Party-Software umsetzen. Neben den etablierten Namen wie BinaryTree oder QUEST hat die Cloud diverse neue Anbieter auf den Markt gespült (z.B. BitTitan). Wie viel Budget kann der Kunde für solche Werkzeuge bereitstellen? Welche Funktionalitäten muss eine Migrations-Software abdecken?
  • Brauchen wir Exchange Hybrid zur Unterstützung der Notes Migration bzw. der Migrations-Werkzeuge?

Durch das minutiöse Auswerten der gegebenen Antworten, bzw. dem Fällen der richtigen Entscheidungen, entsteht in der Regel ein für den Kunden angepasstes und realistisches Vorgehen – für den vorliegenden Fall setzte sich die Eckpunkte wie folgt zusammen:

  • Zur Migration der Daten von Notes nach Exchange Online sowie zum Herstellen einer Koexistenz zwischen den beiden Plattformen setzen wir die Produkte von QUEST ein (Migrator for Notes to Exchange & Coexistence Manager for Notes).
  • Anmerkung zu Quest: Wir sind Partner von Quest und kennen die Produkte aus der Praxis, daher war es auch naheliegend keine Experimente zu machen, denn die andere Hersteller Tools haben teilweise eine lange Liste von «Ausnahmen», daher nicht immer dem Marketing-Prospekt glauben, sondern immer das Kleingedruckte unbedingt auf den Case bezogen lesen
    • Die Produkte von QUEST beinhalten jahrelange Erfahrung rund um Notes nach Exchange bzw. nach Notes nach O365-Migrationen und bieten eine Fülle von Parametrisierungen, damit die Migration & Koexistenz aus Benutzer-Sicht mit einem minimalen Impact von statten geht
    • Wir verfügen über die notwendigen Zertifizierungen und sind damit autorisiert die Produkte bei Kunden einzusetzen
  • Der Kunde stellt die benötigten Server-Systeme, Anpassungen an Firewalls sicher und bestellt die notwendigen Software-Lizenzen v.a. jene der Migrations-Tools
  • Die Migration fand über einen Zeitraum von rund 5 Monaten (inkl. Pilot-Betrieb) statt:
    • Dieser Umstand machte eine Koexistenz zwischen den beiden Plattformen unabdingbar: aktualisierte Adressbücher zwischen dem Domino Directory und dem Exchange Online GAL, Mail-Austausch zwischen migrierten & unmigrierten Benutzern inkl. «on-the-fly-Korrekturen» inkompatibler Mail-Formate, sowie die gegenseitige Abfrage der Frei/Gebucht-Informationen
    • Das Gros der Benutzer wurde vom Kunden selbst migriert
    • Aufgrund der hohen Komfort-Anforderungen der Benutzer (teils Einzelbetreuung während der Migration), wurde in relativ kleinen Benutzer-Batches migriert
    • Da die archivierten Notes-Daten (Gros der Daten) durch ein separates Tool/separaten Provider migriert wurden und aufgrund der relativ kleinen, täglichen Batches, entschlossen wir uns direkt nach Exchange Online zu migrieren, ohne den Umweg über eine Exchange Hybrid-Infrastruktur in Kauf nehmen zu müssen
  • Die Re-Integration der Mobilen Geräte, welche der Kunde intensiv nutzt, teilten wir wie folgt auf:
    • Ein weiterer Partner stellte die neue MDM-Infrastruktur bereit, welche sich in Office 365 integriert
    • Wir kümmerten uns um die Exchange Online-Konfiguration sowie um das Abbilden einer Kontakt-Synchronisations-Schnittstelle (lesen Sie dazu diesen Blog-Beitrag), welche unter Notes zum Einsatz kam

Stolpersteine, Lesson(s) Learned

Die Umsetzung deckt sich im Idealfall mit der Planung und den Ideen bzw. der Vorgehensweise, die man sich ausgedacht hat. Migrations-Vorhaben bergen in jedem Falle Unvorhergesehenes. Aus unserer Sicht ist es wichtiger mit dem Unvorhergesehenen umgehen zu können, als endlos Zeit in die Planung zu investieren, in der Hoffnung die hinterletzte Eventualität berücksichtigt zu haben. Zum aktuellen Fallbeispiel ist folgendes erwähnenswert:

  • Identity, Identity, Identity: im vorliegenden Fall hatten wir es gleich mit vier genutzten Verzeichnisdienst-Quellen zu tun: zwei User AD-Forests, ein Domino Directory, ein Azure AD. Hierbei gilt es in einem frühen Stadium festzulegen, wer der Master ist und vom Master aus gilt es aufgrund des Migrations-Scopes sicherzustellen, dass alle Verzeichnis-Dienste die Identitäten inkl. der notwendigen Attribute gleichermassen zur Verfügung stellen. Im aktuellen Beispiel hatten wir es mit gegen 700 zu migrierenden Mailboxen zu tun – nur um die Identitäten in Einklang zu bringen, musste mehr als eine Woche investiert mussten. Faustregel: Je mehr involvierte Verzeichnisdienste, Stakeholders und Objekte, je mehr Zeit muss für diese Aufgabe eingeplant werden
  • Exchange Hybrid – JA/NEIN: eine Migration von Notes nach Exchange Online kann entweder direkt erfolgen oder Sie können zuerst nach Exchange On-Premises migrieren und von dort die Mailboxen via den üblichen Move-Mailbox-Requests in die Cloud verschieben
    • Exchange Hybrid Pros:
      • Der Datendurchsatz ist mit den Move-Mailbox-Requests in der Regel besser (beziffern lässt sich das nicht, da es zu viele Parameter gibt, welche bei den jeweiligen Kundenumgebung unterschiedlich sein können)
      • Die Stabilität der Move-Mailbox-Requests ist gegenüber den direkten MAPI-Verbindungen, welche der QUEST Migrator for Notes to Exchange herstellt, besser u.v.a. weniger fehleranfällig
      • Das Verwalten der Cloud-Objekte via dem On-Premsies AD respektive via der Exchange Management Schnittstelle gestaltet sich als sehr einfach – ohne Exchange Hybrid muss oft über das Active Directory PowerShell Modul «getrickst» werden
    • Exchange Hybrid Cons:
      • Die Koexistenz (SMTP & Free/Busy) ist umständlicher umzusetzen da schlicht mehr Schnittstellen im Spiel sind
      • Notes-Umgebungen haben in der Regel weder einen vorhandene Exchange Hybrid-Umgebung, noch verfügen sie über installierte Exchange Server, d.h. all diese Komponenten müssten geplant, installiert & konfiguriert werden
      • Die Daten-Migration erfolgt zwei Mal, was den Migrations-Prozess komplizierter und langsamer macht
    • Im vorliegenden Falle haben wir aufgrund des überschaubaren, zu migrierenden Datenvolumen und aufgrund der einfacheren Handhabung, Exchange Hybrid nicht genutzt
  • Unpersönlich Notes Mailboxen: Notes hat ein Pendant zu den Shared Mailboxen, welche sich
  • «Mail-In-Datenbanken» nennen
    • Mail-In-Datenbanken enthalten oft «Intelligenz» z.B. in Form von Regelwerken, welche unter Exchange Online entsprechend abgebildet werden müssen
    • Die Berechtigungen auf Mail-In-Datenbanken werden durch den QUEST Migrator for Notes to Exchange zwar 1:1 migriert, jedoch werden die Berechtigungen weitgehend als MAPI-Rechte abgebildet. Wollen Sie zum Beispiel, dass Shared Mailboxen mit Full Access-Rechten inkl. dem Automapping-Feature für Outlook-Profile konfiguriert werden, dann muss dies zumindest heute noch mit Scripts nachkonfiguriert werden
  • Exchange Online Throttling: Damit ein besserer Datendurchsatz während den Migrations-Jobs erzielt werden kann, passt Microsoft in der Regel das Throttling ab 1000 Mailboxen an. Im aktuellen Fall bekamen wir diese Anpassungen auch für die knapp 700 Mailboxen. Ein Ticket im Office 365-Tennant mit einer entsprechenden Erklärung genügte, um eine Throttling-Anpassung, welche für 90 Tage gilt, zu bekommen
  • Versions Kompatibilitäten: Im Cloud-Zeitalter werden Anpassungen an Software-Versionen in einem ungemein hohen Tempo vorgenommen. Ich aktuellen Fall waren wir ebenfalls von einer Inkompatibilität eines Windows Server 2016-Update mit dem QUEST Migrator for Notes to Exchange betroffen. Es hat gut zwei Monate gedauert, bis QUEST ihre Software angepasst hatte. Während dieser Zeit ist es ungemein wichtig a) einen Workaround zu finden und b) einen guten Draht zum QUEST-Support zu haben – mit dem entsprechenden Status wird Ihnen dort dann eben auch geholfen
  • Industrialisierung: sofern der Kunde nicht explizit wünscht, dass alles durch den Anbieter migriert wird, schlagen wir dem Kunden stets vor, dass er das Gros der Migrations-Jobs autonom organisieren und durchführen kann. Dies bedingt, dass eine adäquate Automatisation des Migrations-Prozesses implementiert wird und dies auch ausführlich dokumentiert ist. Last but not least muss vom Kunden auch die Bereitschaft vorhanden sein, sich mit den Tools und ihren Eigenheiten auseinander zu setzen. Im beschriebenen Projekt konnten wir diesen Ansatz erfolgreich umsetzen – der Kunde migrierte die meisten Mailboxen selbst und wir unterstützten lediglich noch mit einem minimalen Support-Aufwand
  • Daten-Vormigration: bei grossen zu migrierenden Datenvolumen steht schnell einmal das Thema Daten-Vormigration zur Diskussion – hierbei ist jedoch Vorsicht geboten:
    • Sofern Sie direkt und ohne Exchange Hybrid nach Exchange Online migrieren, brauchen Sie in der Cloud mit der ersten (Vor)Migration eine vollwertige Mailbox. Eine vollwertige Mailbox in Exchange Online bedeutet, dass die Free/Busy-Anfragen nach Notes den Tennant nicht mehr verlassen! Nehmen wir einmal an, Sie beginnen 2 Wochen vor der eigentlichen Migration mit der Daten-Vormigration, dann müssen Sie auch 2 Wochen lang unvollständige Free/Busy-Antworten in Kauf nehmen!
    • Die meisten Migrations-Tools sind nicht in der Lage Löschungen, welche noch in der Quellen-Mailbox vorgenommen werden, mit einer finalen Delta-Migration in der Ziel-Mailbox zu wiederspiegeln. Konkret heisst das: Sie migrieren einen Teil der Daten vor, der Benutzer räumt ein, zwei Tage vor der seiner effektiven Migration dieselben Daten in seiner Mailbox auf und schon ist es passiert: v.a. das Aufräumen in Form vom Löschen wird nicht berücksichtigt, sprich die Benutzer finden die gelöschten Daten in seiner migrierten Mailbox wieder vor
    • Im beschriebenen Vorhaben, hatten wir initial ebenfalls die «Daten-Vormigration» geplant und sind dann während der Pilot-Phase klar davon abgekommen: da das zu migrierende Mailbox-Volumen in den meisten Fällen innerhalb von 12h migrierbar war, hatten wir uns entschlossen, den Benutzern einen «Freeze» ab 17:00h des Vortages des effektiven Migrations-Tages zu kommunizieren. Am Migrations-Tag haben über 95% der Benutzer ihre Daten migriert und was fehlte, wurde im Verlaufe desselben Tages kontinuierlich in seine Ziel-Mailbox migriert
  • Archiv-Daten: die meisten Mailumgebungen haben im Zeitalter der grossen Datenaufkommen das Gros der Mailbox-Daten nicht mehr in den primären Mailboxen gespeichert, die Daten sind ausgelagert oder archiviert. Notes hat eine eigene Archiv-Funktion – diese Daten können problemlos mit dem QUEST Migrator for Notes to Exchange migriert werden. Im aktuellen Beispiel war eine 3rd-Party-Archiv-System im Spiel, dessen Daten nicht vom QUEST Migrator for Notes to Exchange migriert werden konnten:
    • Stellen Sie sicher, dass solche Archiv-Daten durch entsprechende Werkzeuge ebenfalls nach Exchange Online verschoben werden (im aktuellen Falle wurden die Daten durch ein separates Tool nachgelagert nach Exchange Online migriert)
    • Die Koordination der primären Mailbox-Daten-Migration und Archiv-Daten-Migration ist ungemein wichtig: wohin sollen die Archiv-Daten migrieret werden, welche Migrations-Accounts werden verwendet, wann erfolgt welche Migration?

 

Merger/Acquisition – oder schlicht eine Migration geplant?

Sofern wir Ihr Interesse geweckt haben und Sie planen Verzeichnis- Mail- oder andere Dienste «neu aufzustellen», sind sie bei uns genau richtig. Dank der langjährigen Erfahrung unserer Mitarbeiter und der engen Zusammenarbeit mit QUEST, können wir Ihnen beim Planen und Umsetzen jeglicher Migrations-Vorhaben einen echten Mehrwert bieten.

Office 365 Germany

Microsoft Teams

Office 365 Germany – Notes from the Field: Microsoft baut seine Cloud-Datacenter-Standorte rund um den Globus stets aus. So ist seit Januar 2017 auch ein Datacenter in Deutschland verfügbar (Frankfurt). Dieses wird durch die T-Systems Deutschland betrieben. Für Unternehmen, welche spezifische Anforderungen an den Speicherort der Daten von Office 365 oder Azure haben, ist dieser Umstand eine weiteres Argument die Cloud-Dienste von Microsoft zu nutzen. Zum Beispiel Schweizer Finanz- und Versicherungs-Institute legen Wert auf eine entsprechende «Daten-Verwaltung». TwinCap First hatte vor kurzem die Gelegenheit, eine Migration nach Office 365 Germany zu begleiten. Dieser Blog-Beitrag befasst sich mit den Erfahrungs-Werten – Schwergewicht Migration nach Exchange Online.

Im Umgang mit Office 365 Germany sind folgende, vermeidlich simple Dinge zu beachten:

  • Das Office 365 Portal wird sowohl für den Endbenutzer als auch für den Administrator über https://portal.office.de aufgerufen
  • Die Remote-PowerShell für Exchange Online wird über den » ConnectionUri» https://outlook.office.de/powershell-liveid  konfiguriert
  • Der Zugriff via PowerShell aufs Azure Active Directory erfolgt sowohl mit Azure AD PowerShell 1.0, also auch mit der Version 2.0 mit dem Parameter «AzureEnvironemnt», ohne welchen die Anmeldung am Azure AD nicht funktioniert:
    • $AzureAdCred = Get-Credential
    • PS 1.0: Connect-MsolService -Credential $AzureAdCred -AzureEnvironment «AzureGermanyCloud»
    • PS 2.0: Connect-AzureAD -Credential $AzureAdCred -AzureEnvironment «AzureGermanyCloud»
  • Azure AD PS 1.0 wird z.B. zum Deaktivieren der Verzeichnis Synchronisation benötigt, da gerade dieser Befehl unter Azure AD PS 2.0 noch nicht zur Verfügung steht
  • Der Autodiscover-DNS-Eintrag zeigt nach «autodiscover-outlook.office.de»
  • Der MX-DNS-Eintrag für Exchange Online Protection zeigt nach «[Kundendomain].mail.protection.outlook.de»
  • Beim Hybrid Configuration Wizard-Dialog «Hosted by» muss «Office 365 Germany» gewählt werden

Mit Office 365 Germany kann eine Hybrid Konfiguration zwischen Exchange On-Premises und Exchange Online konfiguriert werden, jedoch steht die Variante «Express Migration» noch nicht zur Verfügung. Um eine Migration nach Exchange Online durchzuführen, ohne den Hybrid Configuration Wizard (HCW) komplett aus zu konfigurieren, gehen man wie folgt vor:

  • Starten des HCW mit Hybrid Features «Minimal»
  • Durchführen einer standalone Installation & Konfiguration von Azure Active Directory Connect (AADC). Details dazu in diesem Blog-Beitrag
  • Eine AADC-Installation auf einem dedizierten Server macht aus meiner Sicht nur dann Sinn, wenn man die Directory-Synchronisation über eine längere Zeitdauer aufrecht erhalten muss. Ansonsten kann AADC problemlos auf einem bestehenden Exchange-Server installiert werden
  • Synchronisation der gewünschten AD-Objekte ins Azure Active Directory der Azure Germany Cloud
  • Den Office 365-Benutzern KEINE Exchange-Lizenzen zuweisen (wie dies die Express Migration voraussetzen würde)
  • Via Office 365 Admin-Portal-> Admin Center-> Exchange->  Recipients-> Migration-> «Migrate to Exchange Online» können die Mailboxen analog der Variante «Full Hybrid» nach Exchange Online vor-synchronisiert, bzw. migriert werden

Des Weitern sind folgende Features erwähnenswert, welche aktuell in der Deutschen Variante von Office 365 noch nicht verfügbar sind, respektive bei welchen wir teilweise auch den «Kopf angeschlagen» haben (Stand: 11/2017):

  • Microsoft Intune – aktueller Workaround: separater Azure AD Tenant in der EU-Cloud erstellen und das Windows 10-Management von dort aus bewerkstelligen – der Azure AD-Join der Geräte funktioniert inzwischen mit der Azure DE-Trustee Cloud, aber das Management derselben Geräte hat vorderhand über einen «Worldwide-Tenant» zu erfolgen
  • Microsoft Teams
  • AADC-Sign-In-Option «Passthrough Authentication»
  • Office 365 Import Service (sofern man Maildaten via «Export-PST/Import-PST nach Exchange Online Migrieren möchte)

Microsoft hat eine Übersicht publiziert, welche die verfügbaren oder bald verfügbaren Features in Office 365 Germany dokumentiert. Diese Übersicht ist etwas verwirrend und teilweise auch nicht 100% aktuell. Um einen aktuellen Stand der verfügbaren Feature zu erhalten, empfiehlt es sich, direkt bei Microsoft nachzufragen. Sofern man schon einen Office 365 Germany-Tenant besitzt, kann man dies sehr gut über ein Support Ticket abwickeln.

Die Gerüchteküche besagt, dass Office 365 Germany ca. 3 – 6 Monate hinter den Office 365 Worldwide-Angebot hinterherhinkt, aber es können sehr wohl schon heute Workloads (gerade Exchange Online und/oder SharePoint Online) in die Datacenters von Frankfurt migriert werden. Dabei konnte ich feststellen, dass das Eröffnen eines Support Tickets innerhalb des Office 365 German-Tenant einen Rückruf eines kompetenten, deutschsprachigen Support-Engineers innerhalb von 5 – 10 Minuten auslöst. Hoffen wir, dass das so bleibt!

Kontakt
close slider

Standort Schweiz

TwinCap First AG
Favreweg 1
CH-8304 Wallisellen
+41 44 666 50 50
info@twincapfirst.ch

Standort Deutschland

IT Boosting
Cloud Systemhaus
Bahnhofstraße 32
DE-72458 Albstadt
+49 7431 9493 440
info@it-boosting.de

Support: Hier klicken!