Was ist Azure Active Directory Premium?

Azure Active Directory

Was ist Azure Active Directory Premium genau?

Was ist Azure Active Directory Premium? Wir erklären AAD. Grundsätzlich werden mit Azure Active Directory Benutzeridentitäten und Zugriffsprivilegien verwaltet. Zudem umfasst AAD das Identitäten Verzeichnis, die Zugriffsverwaltung und den Identitätsschutz in der Cloud. Wie der Name schon sagt, ist Azure AD Teil von Azure. Azure Active Directory wird in vier Ausprägungen angeboten. Dies sind Azure Active Directory (kostenlos), AAD als Teil von Microsoft 365 Abos, sowie P1 und P2.

Grundlegende Funktionen von Azure AD, mit gewissen Einschränkungen jedoch, können kostenlos genutzt werden. Kunden mit Microsoft 365 Abos erhalten etwas mehr Funktionalität. Zum Beispiel im Bereich Multi Factor Authentication. Die Azure AD Premium Varianten P1/P2 bieten dann zahlreiche Zusatzfunktionen. Deswegen erfordern sie eine kostenpflichtige Lizenzierung.

Was sind die Premium Funktionen?

Für viele Organisationen ist es ohne Zusatzfunktionen in Azure AD nicht möglich, zum Beispiel Microsoft 365, mit den erforderlichen Sicherheitsrichtlinien und gewünschten Funktionen zu nutzen. Zusätzlich zu Microsoft 365, sind die Azure AD Premium Funktionen auch für SaaS-Anwendungen von Drittanbietern immens nützlich.

Eine gute Übersicht welche Funktionen in den vier Varianten, insbesondere in P1 und P2 enthalten sind, finden Sie direkt bei Microsoft.

Alle Funktionen von P1 sind auch in P2 enthalten. D.h. wenn ich P2 kaufe, bekomme ich auch P1 sowie auch alle Funktionen der kostenlosen Version.

Wie kann ich Azure Active Directory lizenzieren?

Sie können Azure AD Premium P1 als Einzelprodukt lizenzieren. Des Weiteren können Sie es als Teil eines Bundles wie der Enterprise Mobility + Security E3 Suite oder auch als Teil von Microsoft 365 Business Premium einsetzen. Die P2 Lizenzen haben noch mehr Funktionen als die P1 Lizenzen. Diese P2 Lizenz ist ebenfalls einzeln oder als Teil von Enterprise Mobility + Security E5 oder Microsoft 365 E5 erhältlich.

Wichtige Funktionen

Nachfolgend sind drei wichtige Funktionen, welche sich mit Azure AD Premium realisieren lassen, beschrieben.

Self-Service-Kennwortzurücksetzung

Vergessene Passwörter sind ein altbekanntes Thema. Anrufe von Endbenutzern beim Service Desk, um ein Passwort zurückzusetzen, sind teuer. Es entstehen Aufwände beim Service Desk Mitarbeiter und verlorene Zeit beim Benutzer.

Azure AD Premium P1 umfasst die selfservice Kennwortrücksetzung (SSPR). Mit SSPR können Benutzer ihr Passwort zurücksetzen oder ihr Konto entsperren. Dies passiert wohlgemerkt ohne die IT-Abteilung. SSPR ist nicht nur für Cloud Passwörter geeignet. Dank Password Writeback, kann Azure AD auch ins lokale Active Directory schreiben. Zum Beispiel eine Kennwortänderung, ein Zurücksetzen oder die Entsperrung eines Kontos. Dies erfolgt ohne eingehende Ports auf der Firewall zu öffnen. Zudem wird ihre lokale AD-Kennwortrichtlinie auch dann eingehalten, wenn die Kennwortänderung/-zurücksetzung in der Cloud durchgeführt wird.

Conditional Access

Eine der leistungsfähigsten und aufregendsten Funktionen in Azure AD Premium ist zweifelsohne Conditional Access. Mit CA können Sie granulare Richtlinien definieren, die das «Wer», «Was», «Wann» und «Wie» des Zugriffs auf einzelne Anwendungen und Microsoft 365 Workloads steuern. Mithilfe von CA-Richtlinien können Sie von der traditionellen Netzwerkabgrenzung «vor» oder «hinter» der Firewall, zu einer modernen Zero-Trust-Architektur übergehen. Dies erlaubt eine Vielzahl von Eingaben und Signalen des Benutzers, der auf die Anwendung zugreift, zu berücksichtigen.

Zusätzlich zu den traditionellen Richtlinien Abfragen (wie z. B. welche Benutzer ID, welche IP-Adresse oder welcher Netzwerkstandort verwendet wird) können Sie auch Informationen über das genutzte Gerät, die verwendete Anwendung, einen dynamischen Risiko Score des Benutzers, sowie seine aktive Sitzung, als Faktoren für das Zulassen oder Sperren des Zugriffs verwenden. Sie könnten zum Beispiel eine Anwendung oder eine SharePoint-Site mit sensiblen Daten haben, auf die Sie den Zugriff nur von einem Firmengerät mit MFA erlauben.

Single Sign-on und Anwendungsbereitstellung

Zusätzlich zu den Microsoft 365 Workloads, lässt sich Azure AD mit Tausenden bekannten SaaS-Anwendungen und sogar mit selbst entwickelten Anwendungen, integrieren. Sie können die gleichen Identitätsmanagement- und Sicherheitskontrollen in Azure AD Premium, die mit Microsoft 365 verwendet werden, auf Drittanbieter ausweiten. Für viele Unternehmen führt die Strategie, alle Anwendungen mit Azure AD zu integrieren, zu einer Vereinfachung für Endbenutzer und IT-Abteilung gleichermassen.

Sobald die Integration abgeschlossen ist, können Endbenutzer über Single Sign-On (SSO) mit Azure AD auf die Anwendung zugreifen. Auch wenn Ihre Anwendung nicht in der Azure Galerie enthalten ist, können Sie eine benutzerdefinierte Anwendung hinzufügen, wenn sie standardbasierte Authentifizierungsprotokolle wie SAML, OAuth, Open ID Connect unterstützten.

Die Verwaltung der vielen Identitäten in SaaS-Anwendungen ist ein ständig wachsendes Problem, da die Anzahl der SaaS-Anwendungen zunimmt. Traditionelle Identitätsmanagement-Prozesse wie Account Provisioning und Deprovisioning, Rollenmanagement und Zugriffszertifizierungen, müssen auf SaaS-Anwendungen ausgeweitet werden.

Auch neuere Probleme, wie das Lizenzmanagement, stellen sich, wenn man für jeden aktiven Benutzer bezahlen muss. Glücklicherweise enthält Azure AD Premium Outbound-Provisioning-Funktionen für ausgewählte SaaS-Anwendungen. Sie können Outbound Provisioning verwenden, um herkömmliche Azure AD-Gruppen dem Zugriff und den Rollen von SaaS-Anwendungen zuzuordnen. Wenn Azure AD eine Änderung an einem Benutzer in einer Gruppe oder an der Gruppenmitgliedschaft selbst feststellt, wird das Konto des Benutzers in der SaaS-Anwendung erstellt oder aktualisiert und die Gruppen- oder Rollenmitgliedschaft in der Anwendung verwaltet.

Fazit und Vorgehen Azure Active Directory Premium?

Azure AD Premium bittet einen grossen und manchmal komplexen Satz von Funktionen, die einen enormen Mehrwert bieten können, aber es ist unmöglich, alle Funktionen auf einmal zu implementieren. Stattdessen sollten Sie die Funktionen identifizieren, die in kürzester Zeit den größten Wert für Ihr Unternehmen erbringen, und mit diesen beginnen. SSPR, SSO, Conditional Access, Provisioning und Access Management sowie Identitätsschutz, sind nur einige Beispiele für Funktionen, die meiner Meinung nach, für Unternehmen jeder Grösse, am attraktivsten sind. Sie können in einer überschaubaren Zeitspanne implementiert werden und bilden oft die Grundlage für grössere und komplexere Initiativen in der Zukunft.

Liebe Blogleser/innen, Sie haben den «Was ist Azure Active Directory Premium?» Blog gelesen, herzlichen Dank hierfür. Wie Sie wissen, entwickeln sich die Azure AD Funktionen rasant weiter. Zum Zeitpunkt des Artikels war der Inhalt bestimmt aktuell, es kann aber sein, dass die Infos bald überholt sind. Da wir geschriebene Blogs nur selten anpassen, finden Sie hier den Link zu unserer Azure Active Directory Seite mit allen aktuellen Informationen zum Thema.

Microsoft CSP Lizenzen (Part 2)

Microsoft CSP Lizenzen (Part 2)

CSP Lizenzen (Part 2): Wie bereits im ersten Teil des Beitrages beschrieben, bieten wir nicht nur Dienstleistungen im Bereich Microsoft Cloud, sondern auch diverse Software Produkte respektive Lizenzen für Cloud Lösungen. Dazu gehören beispielsweise Skykick Backup, Printix, Kontakt Synch und natürlich die ganze Microsoft Palette aus der Cloud.

Microsoft Azure Lizenzierung über CSP

Im zweiten Teil dieser Serie gehe ich etwas näher auf Microsoft Azure ein. Im ersten Teil habe ich das Thema Microsoft 365 schon ausführlich erläutert. Microsoft Azure kann man ebenfalls über das CSP Programm lizenzieren. Doch zuerst ein paar Infos was Azure überhaupt ist.

Was ist Microsoft Azure?

Microsoft Azure ist die Cloud Plattform von Microsoft. Azure ist ein Verbund von Rechenzentren (58 Regionen Stand März 2020). Azure ist in 140 Ländern weltweit verfügbar.

In den jeweiligen Regionen bspw. auch in der Schweiz (nämlich Zürich und Genf) gibt es entsprechende Rechenzentren. Pro Region sind es mindestens immer zwei Stück. Diese bilden gemeinsam eine Region. Durch die zwei Standorte, sind die Regionen redundant. Auch die einzelnen Rechenzentren sind üblicherweise so ausgestattet, dass alle Dienste redundant sein können. Die Rechenzentren sind über einen eigenen Backbone miteinander verbunden.

Alle Rechenzentren erfüllen die gängigsten, globalen Compliance Auflagen, was Sicherheit und Datenschutz angeht. Details was Microsoft alles macht in Sachen Compliance, gibt’s hier. Die Azure Plattform bietet, je nach Region, zahlreiche Dienste und Funktionen. Diese Dienste decken verschiedene Themen und IT-Anwendungen ab.

Das Angebot reicht von simplen virtuellen Maschinen, über Entwicklerwerkzeuge, Datenbanken, künstliche Intelligenz, Blockchain, Security Tools, Web Applikationen und vieles mehr. Das Angebot ist gross und wird ständig erweitert, d.h. man kann leicht den Überblick verlieren.

Vorteile von Azure

Der grosse Vorteil von Azure ist die nahtlose Integration in bestehende, lokale Microsoft Landschaften. D.h. es besteht die Möglichkeit, dass lokale Netzwerk mit Azure zu verbinden und so eine hybride Konfiguration zu erreichen. Auf diesem Weg kann schrittweise der Weg in die Cloud gemacht werden. Zudem werden die Dienste nach effektiver Nutzung abgerechnet, d.h. z.B. eine virtuelle Maschine, die nicht läuft, kostet auch nichts.

Abrechnung in Azure

Das Konzept für die Abrechnung in Azure beruht auf sogenannten Azure Subscriptions. Wenn man mit Kreditkarte bezahlt, so landen alle Kosten monatlich auf der Karten-Abrechnung. Bei den CSP Lizenzen ist es so, dass ein sogenannter Azure Plan erstellt wird (einer pro Kunde) und diesem Plan werden dann die verschiedenen Subscriptions angehängt.

Die Abrechnung im CSP erfolgt über diesen «Azure Plan» als Sammelbehälter aller Kosten. Alle Kosten landen dann, wie bei Microsoft 365, direkt auf der monatlichen Rechnung des CSP Anbieters. So ist es möglich, dass ein Microsoft Partner sowohl Microsoft 365 Lizenzen, Azure und auch Dienstleistungen dem Kunden anbieten kann. Dies kann man dann nach Kundenwunsch aufschlüsseln, respektive verrechnen.

Natürlich ist es möglich, alle Dienste und Ressourcen, welche in den verschiedenen Subscriptions genutzt werden, via Azure Cost Management zu analysieren oder die einzelnen Abrechnungsdaten zu exportieren. So ist es auch für grössere Unternehmen möglich, die Kosten für verschiedene Dienste und Lösungen an die jeweiligen Kostenträger intern zu verrechnen.

Dies setzt voraus, dass die Subscriptions, respektive die darin zugeordneten Dienste sinnvoll strukturiert werden (also welche Dienste/Ressourcen kommen in welche Subscription), damit Sie der Kostenträger-Struktur und den gewünschten Kostengefässen eines Unternehmens möglichst einfach entsprechen und die Kosten ohne viele Aufwand zugewiesen werden können.

Dies steht dann jedoch teilweise auch im Zielkonflikt mit der Verteilung der Berechtigungen und Zugriffe auf die Dienste. Schlussendlich gilt es hier von Anfang an beide Ziele in Einklang zu bringen.

Anbei eine Visualisierung der Berechtigungsebenen und dem logischen Aufbau in Azure, wobei das Thema Kosten auf Ebene der Subscriptions aggregiert wird, auch wenn die Verursacher auf der Ressourcen Ebene sind.

Azure Management layers

Visual Studio

Auch wenn man Visual Studio pro Mitarbeiter lizenziert, kann man die Kosten über eine Azure Subscription abrechnen. Beim Kauf von Visual Studio wählt man einfach eine Subscription und die Kosten werden dieser dann belastet.

Wenn du Fragen hast zu Microsoft 365, CSP oder Azure, du gerne deine Lizenzen optimieren oder prüfen möchtest, so stehen wir dir gerne zur Verfügung.

Conditional Access (hybrid Umgebung inkl. Mac)

Ausgangslage Conditional Access

In diesem Blog beschreiben wir Conditional Access mit Microsoft Intune in einer hybriden Umgebung. Als Ausgangslage dient eine Umgebung, die hybrid betrieben wird und noch den einen oder anderen Apple Mac PC beinhaltet. Die bestehenden File-Server wurden durch SharePoint Online abgelöst. Nun muss jedoch sichergestellt werden, dass die Bibliotheken nur auf Firmengeräten synchronisiert werden dürfen. Wie lässt sich dies unter diesen Voraussetzungen sicherstellen?

Was ist die Lösung?

Die Lösung hierfür lautet Conditional Access. Mit der Verwendung von Conditional Access Policies lassen sich entsprechende Zugriffskontrollen erstellen. Dabei lassen sich weit komplexere und umfassendere Policies erstellen, als wir es in diesem Beispiel tun.

Lizenzierung

Um Conditional Access verwenden zu können, müssen die erforderlichen Benutzer mindestens über eine Azure AD Premium P1 Lizenz verfügen. (*Azure AD Premium P1 steht auch mit Microsoft 365 Business Premium zur Verfügung.)

Ziel

Das Ziel ist es, sicherzustellen, dass ein Benutzer der auf eine SharePoint Online Bibliothek zugreift, diese nur mit OneDrive synchronisieren kann, wenn sein Gerät der Firma gehört. Somit soll verhindert werden, dass Firmenbibliotheken auf privaten, unsicheren Computern synchronisiert werden.

Mancher denkt sich jetzt, «ist ja einfach und lässt sich ganz simpel im SharePoint Admin Center einstellen» Sicher ja, dies könnte es sein. Doch eine Umgebung, bei welcher einige Geräte Azure AD joined sind, andere sich in der lokalen Active Directory befinden und zusätzlich noch Apple Macs existieren, wird es dann doch etwas komplizierter. Aus diesem Grund kommt eine Lösung mit Conditional Access zum Zug.

Übersicht Zugriffe

In folgender Tabelle abgebildet ist die Zugriffsübersicht.

  Zugriff
Gerät (Besitzer) Browser OneDrive-Client
Desktop (Firma) Ja Ja
Laptop (Firma) Ja Ja
iMac (Firma) Ja Ja
Desktop (Privat) Ja Nein
Laptop (Privat) Ja Nein
iMac (Privat) Ja Nein
Übrige (Privat) Ja Nein

Conditional Access Policy

Basierend auf vorgehender Tabelle, wird nun eine Conditional Access Policy erstellt, die den Zugriff auf SharePoint Online regelt.

Dafür wird eine neue Policy erstellt, die auf alle Benutzer angewandt wird. Weiters wird die Policy auf die Cloud App Office 365 SharePoint Online angewandt, und zwar für jedes Device von jeder Location. Der Browser wird ausgeschlossen. Was nun wichtig ist: Die Richtlinie wird für alle Device states gesetzt, ausgenommen werden aber Geräte die a) Hybrid Azure AD joined oder b) als «compliant» markiert sind. Dazu im nächsten Abschnitt mehr. Weiters wählen wir Block access und !WICHTIG! erst einmal «Report only». Dadurch sperren wir uns nicht gleich selbst aus und können erst einmal mit What-if ein paar Szenarien prüfen.

Folgend ein paar Szenarien im Test. (Benutzer im Azure AD)

 

  • Zugriff von privatem Windows 10 Gerät via Browser: Erlaubt
What-if private Windows 10 Browser
  • Zugriff von privatem Windows 10 Gerät via OneDrive: Blockiert
What-if private Windows 10 OneDrive
  • Zugriff von Firmengerät, Windows 10 via OneDrive: Erlaubt
What-if company Win 10 OneDrive

Device State compliant oder Hybrid Azure AD joined

Wichtig ist, dass die Firmengeräte einer dieser beiden Status erhalten. Hybrid Azure AD joined erhält ein Gerät, wenn es aus der lokalen AD ins Azure AD synchronisiert wird. Somit wird davon ausgegangen, dass diese Geräte auch der Firma gehörten. Was aber nun mit den Azure AD joined-Geräten und den Macs, die sich nicht in der lokalen AD befinden?

Intune

Da kommt nun Intune zum Einsatz. In Intune wird eine Device Compliance Policy erstellt und anschliessend wird bei allen Azure AD-joined Geräte eine MDM-Registrierung durchgeführt. Für das Enrollment der iMacs und MacBooks muss erst ein Apple MDM Push certificate erstellt werden, worauf sich aber auch die Mac-Geräte im Intune registrieren lassen. Da alle diese Geräte nun compliant sind (sofern sie die Kriterien der Policy erfüllen), können die SharePoint Bibliotheken nun ebenfalls auf diesen Geräten synchronisiert werden.

Device Compliance Intune with iMac

Fazit

Mit dem Einsatz von Conditional Access lässt sich auch in einer gemischten Umgebung der Zugriff auf SharePoint Bibliotheken einschränken. Klar, in dem beschriebenen Szenario könnte der Mitarbeiter den Ordner auch im Browser öffnen und die Datei lokal herunterladen. Es könnte sogar noch weiter gegangen werden und auch den Zugriff via Browser verboten werden, wenn es sich nicht um ein Firmengerät handelt. Wie restriktiv die angewandten Richtlinien sind, hängt immer von der Firma und ihrer Philosophie ab.

User Manager PowerApp mit Power Automate

User Manager PowerApp

Eigenschaften eines Benutzers (Attribute) werden in Azure Active Directory (Azure AD) üblicherweise durch IT-Administratoren bearbeitet. Möchte ein HR-Mitarbeitender eigenständig Benutzer (Attribute) anpassen, also ohne Hilfe der IT und ohne Administratorenrechte, kommt die User Manager PowerAppsins Spiel. Der User Manager ist eine von TwinCap First erstellte App, basierend auf PowerApps. Berechtigte Mitarbeiter können ohne Administrationsrechte, definierte Azure AD Benutzerattribute, selbständig bearbeiten. Das klingt komplizierter als es tatsächlich ist.

User Manager

Mit PowerApps stellen wir ein GUI zur Verfügung, welches dem HR-Mitarbeiter erlaubt die Attribute sämtlicher Azure AD User-Objekte anzupassen. In diesem Beitrag zeigen wir dir, wie die App aufgebaut ist.

Suchfunktion

Die User Manager PowerApp verfügt über eine Suchfunktion, welche in der Azure AD die passenden Objekte (Benutzer) sucht. Diese werden anschliessend, in diesem Fall auf 15 Einträge limitiert, in einer Liste dargestellt.

 

PowerApps User Manager Searchbar

Objekt Attribute

Wird ein Objekt ausgewählt, wird die zugehörige Information geladen und dargestellt. Dies sind in die zwei Kategorien Job Info und Contact Info. Mit einem Klick auf den edit-Button wird die entsprechende Kategorie zur Bearbeitung freigeschaltet.

PowerApps User Manager Attribute Overview

Zu den Attributen, die der Mitarbeitende bearbeiten kann, gehören:

  • Job Titel
  • Department
  • Manager
  • Office
  • Street
  • ZIP
  • City
  • State
  • Country
  • Mobile Phone

 

Wurden die entsprechenden Attribute bearbeitet, wird mit Update Properties der ganze Hintergrundprozess zur Editierung gestartet.

HINTERGRUNDPROZESS

Der Mitarbeiter triggert einen Flow in Power Automate, der die Daten entgegennimmt, verarbeitet und mittels HTTP-Request an einen neuen Flow weitergibt. Dieser prüft erst die Authentifizierung und wenn diese erfolgreich verlaufen ist, werden die Daten weiterverarbeitet. Diese Informationen werden anschliessend mittels Graph API in der Azure AD in das entsprechende User-Objekt geschrieben. Ebenfalls kümmert sich der Flow noch um das Manager-Attribut, falls bei dem etwas geändert werden muss.

PowerApps User Manager Saving

Ist der Prozess erfolgreich durchgelaufen, wird dem Benutzer dies mittels Erfolgsmeldung bestätigt.

PowerApps User Manager Success

Im Anschluss daran kann er auswählen, ob ein weiterer Mitarbeiter bearbeitet werden soll oder er kann die App direkt schliessen.

PowerApps User Manager Optionscreen

SCHLUSSWORT

Mit der User Manager PowerApps kann der Mitarbeitermanagement-Prozess vereinfacht werden. Die IT muss nicht jedes Mal angefragt werden, wenn Attribute geändert werden müssen. Gleichzeitig können HR-Mitarbeitende auch nur ausgewählte Attribute verändern, wodurch keine Gefahr von versehentlichen, kritischen Änderungen entsteht. Mit Graph API wird eine moderne Schnittstelle als Zugang zur Azure AD verwendet und mit der Active Directory OAuth der Zugang geschützt. Die durch den Einsatz dieser Applikation entstandene Vereinfachung des Prozesses lohnt sich für Ihr Unternehmen, um einerseits die IT von administrativen Tasks zu entlasten und andererseits kostbare Zeit einzusparen.

Windows Virtual Desktop – moderner Remote Desktop

Windows Virtual Desktop

Windows Virtual Desktop – Desktop as a service

Im September 2019 hat Microsoft offiziell Windows Virtual Desktop veröffentlicht. Und «Desktop as a Service (Daas)» hat das Potenzial, den Remote Desktop Markt umzukrempeln. Was genau ist «Windows Virtual Desktop» überhaupt? Es ist ein umfassender Azure Cloud-Service zur Virtualisierung von Desktops und Anwendungen. Microsoft bietet damit ein vollständiges Desktop-Virtualisierungserlebnis in der Cloud an.

Vorteile moderner Remote Desktop

Schwerpunkt des Services ist eine vereinfachte Verwaltung, kostengünstige Lizenzierung und das neu Betriebssystem «Windows 10 Enterprise Multi-Session».  Zudem ist der Dienst für die Arbeit mit Microsoft 365 (aka Office 365) ausgelegt. Remote-Desktop kann auf Windows, MacOS, Android, iOS und auf HTML5-Browsern genutzt werden. 100% Cloud durch Unabhängigkeit von der Wahl des Clients.

WVD

Windows 10 Enterprise Multi-Session

Ein grosses Alleinstellungsmerkmal ist das neue Betriebssystem. Es kombiniert zwei altbekannte Virtualisierungsmöglichkeiten von Microsoft in einem neuen Paket: «Windows 10 Enterprise Multi-Session». Auf der einen Seite profitieren Sie so von der Skalierbarkeit von «Windows Terminal Server» und auf der anderen Seite vom bekannten Windows 10-Desktop-Erlebnis. Es bietet eine Multi-Session Funktionalität, die exklusiv auf «Windows Virtual Desktop» verfügbar ist. Mehrere Benutzer können sich dank Windows 10 Multisession, auf derselben virtuellen Maschine einloggen und verfügen über einen eigenen, vollständigen Desktop. Anstatt wie üblich, verschiedene VMs pro Benutzer, haben Sie so eine VM für mehrere Benutzer. Dies ermöglicht eine signifikante Kostenreduktion.

BENUTZERVERWALTUNG

Windows Virtual Desktop Host-Pools ermöglichen Mehrfachsitzungen für verschiedene Benutzergruppen. Host-Pools sind Sammlungen von virtuellen Maschinen mit derselben Konfiguration, die für mehrere Benutzer in diesem Pool bestimmt sind. Da die Profilverwaltung der einzelnen Benutzer in so einer Umgebung von besondere Wichtigkeit ist, hat Microsoft die Firma FSLogix und deren Expertise in der Verwaltung von Roaming-Profilen gekauft. Die Technik von FSLogix ist speziell darauf ausgerichtet, Roaming-Profile in virtualisierten Umgebungen zu verwalten. Benutzerprofile werden in einem Container gespeichert. Sobald sich der Benutzer mit dem virtuellen Desktop verbindet, wird der Container dynamisch mit der virtuellen Maschine verbunden. Dabei werden die nativ unterstützte virtuelle Festplatte (VHD) und die virtuelle Hyper-V-Festplatte (VHDX) verwendet. Somit sind Benutzerprofile sofort verfügbar und erscheinen im System wie ein natives Benutzerprofil. Diese Trennung ermöglicht eine Veränderung an der Windows virtual Desktop Umgebung, ohne die Benutzerprofile zu beschädigen oder zu verlieren.

BROKER FUNKTION

Ein zweiter sehr interessante Aspekt an «Windows Virtual Desktop» ist die Broker-Funktionalität. Broker bestimmen, welche Benutzer mit welcher virtuellen Maschine oder Anwendung verbunden werden. Die Benutzerauthentifizierung basiert auf Azure AD, so dass Sie auch alle Vorteile, bspw. MFA, Conditional Access etc. von Azure AD, nutzen können. Bei der Auswahl der Anwendung oder des Desktops verbindet sich der Benutzer mit dem Gateway, das dann über den Broker eine ausgehende Verbindung mit dem gewählten Desktop / Anwendung herstellt. Es wird nie eine eingehende Verbindung in ihre Azure Umgebung aufgebaut, da die virtuellen Maschinen nur über eine ausgehende verschlüsselte Verbindung mit dem Broker verbunden sind.

LIZENZ-ANFORDERUNGEN

Sie können Windows Virtual Desktop mit Windows 10 Enterprise Multi-Session und FSLogix Profile-Container nutzen, wenn Sie eine der folgenden Lizenzen haben:

  • Microsoft 365 E3/E5
  • Microsoft 365 A3/A5/Sonderangebote für Schüler und Studenten
  • Microsoft 365 F1
  • Microsoft 365 Business
  • Windows 10 Enterprise E3/E5
  • Windows 10 Education A3/A5
  • Windows 10 VDA pro Benutzer

Es fallen keine zusätzlichen Lizenzkosten für die Nutzung von Windows Virtual Desktop an. Virtuelle Maschinen, die für die Nutzung benötigt werden, müssen separat bezahlt werden. Die Kosten variieren je nach Unternehmensgrösse und nach Anzahl Sitzungen.

FAZIT

Windows Virtual Desktop ermöglicht eine moderne, kostengünstige und simple Desktop-Virtualisierung. Diese lohnt sich auch bereits für kleinere Firmen. Das Client Management wird auf ein Minimum beschränkt und Sie können sich auf Ihr Geschäft fokussieren.

AAD Connect Cloud Provisioning

Generelles zu Identitäten

AAD Connect Cloud Provisioning – Die Nutzung von Office 365- oder Azure-Diensten basiert auf Identitäten und Benutzer können sich damit authentifizieren bzw. autorisieren. Der häufigste «Identity Provider» ist Microsoft Active Directory. So kann man sich an lokalen Ressourcen, wie z.B. File- oder Mail-Servern anmelden. Ähnlich verbreitet ist der Synchronisations-Mechanismus vom Active Directory (ADS) ins Azure Active Directory (AAD) mit Azure Active Directory Connect (AADC). Implementation und Nutzung von AADC erfordert keinen Doktortitel und selbst komplexere AD-Strukturen lassen sich mit AADC in einen Azure AD Tennant synchronisieren. Haupt-Voraussetzung dazu sind Netzwerk-Konnektivität:

  • vom AADC-Server ins Internet via Port 443
  • zwischen dem AADC-Server und den jeweiligen Active Directory Forest(s)

Wir leben in einer Welt, in welcher Firmenübernahmen an der Tagesordnung stehen. «Mergers & Acquisitions» beschreiben das bunte Treiben im Fachenglisch. Aus IT-Sicht generieren die Einkaufstouren der Unternehmen stets Integrations- oder Migrations-Projekte und auch hier stehen die Identitäten im Zentrum.

Azure AD Connect Cloud Provisioning

Mit der Einführung des Azure AD Connect Cloud Provisioning wird die Provisionierung von Identitäten aus losgelösten AD-Forests stark vereinfacht. Was heisst «losgelöster» AD-Forest? Ein Beispiel:

  • Firma A übernimmt Firma B
  • Beide Firmen betreiben je ein lokales Active Directory, welches weder über eine Netzwerkverbindung noch über einen AD-Trust verbunden ist (-> losgelöster AD-Forest 😊)
  • Firma A nutzt Office 365-Dienste und möchte diese Dienste der Firma B zur Verfügung stellen
    •  
Azure AD Connect Cloud Provisioning

Aus der Microsoft «Fantasie-Firmen-Terminologie» frei übersetzt

  • Firma A (contoso.com) betreibt eine AD Connect Instanz, welche die Identitäten der lokalen AD ins Azure AD synchronisiert um z.B. Office 365 zu nutzen
  • Firma B (fabrikam.com) kann, ohne ihr Active Directory mit Firma B zu verbinden mit «Azure AD Connect Cloud Provisioning» ihre Identitäten in den Azure AD-Tenant von Firma A synchronisieren. So können die Office 365-Dienste aus demselben Tenant genutzt werden.

Die Integration von «AD Connect Cloud Provisioning» ist denkbar einfach (MS-Guidelines):

  • Auf einem Domain-joined Server von Firma B wird der «Azure AD Connect Provisioning Agent» aus dem Azure AD-Portal von Firma A heruntergeladen, installiert und konfiguriert
  • Im Azure Active Directory-Portal von Firma A, wird der installierte Agent verifiziert und danach wird die Konfiguration von «AD Connect Cloud Provisioning» aus dem Azure AD-Portal abgeschlossen (dieser Schritt beinhaltet auch das Filtering auf bestimme AD-Objekte)
  • Nach erfolgter Konfiguration, werden die Konten im Azure AD-Tennant von Firma A erstellt. Die Benutzer von Firma B können basierend auf der Office 365-Lizenzierung die Dienste nutzen und selbstverständlich innerhalb der Dienste mit den Mitarbeitern von Firma A kollaborieren

Fazit & Limitationen

  • Azure AD Connect Cloud Provisioning eignet sich hervorragend zur Integration eigenständiger AD Forests. Dies ohne eine AD-Verbindung oder eine AD-Migration oder eine AADC-Re-Konfiguration.
  • Bestehende Azure AD Connect-Konfigurationen können parallel genutzt werden und müssen in der Regel nicht angepasst werden
  • Folgendes wird (Stand 12/2019) durch «Azure AD Connect Cloud Provisioning» nicht unterstützt (vollständige Liste)
    • Account- /Resource-Forest-Topologien – konkret / unser obiges Beispiel: besteht zwischen Firma A & Firma B ein AD-Trust und Firma B nutzt z.B. MS Exchange aus Firma A, kann «Azure AD Connect Cloud Provisioning» nicht eingesetzt werden
    • Exchange Hybrid – konkret / unser obiges Beispiel: nutzt Firma B Mailboxen unter MS Exchange, welche mit migriert werden sollen, so ist dies in Kombination mit «Azure AD Connect Cloud Provisioning» vorläufig nicht realisierbar
    • Write-Back-Funktionen (wird im Q1 oder Q2 2020 ins Produkt einfliessen)
    • Passthrough Authentication