Azure für Administratoren

LIVE CLASS
Mit Microsoft TEAMS

Sehr geehrte Kunden!

Mit Microsoft TEAMS bieten wir hochwertige interaktive Online Kurse an, die gesondert als LIVE CLASS (LC) gekennzeichnet werden.
Die interaktiven LIVE CLASS Kurse befreien uns von den CORONA Schutzbestimmungen und können immer stattfinden!
Die sehr gute Erfahrungen mit den ersten LIVE CLASS Kursen verleiten uns dazu beide Arten von Schulungen auch in Zukunft anzubieten:

• LIVE CLASS via Microsoft TEAMS
• PRÄSENT vor Ort in Böblingen

Nach und nach stellen wir weitere Kurse in LIVE CLASS um, besonders alle AZURE Kurse, die per Internet leicht zu erreichen sind.
Besonders Themenorientierte Trainings werden demnächst als kurze LIVE CLASS Trainings (1 oder 2 Tage) angeboten.
Erfahren Sie hier mehr zu LIVE CLASS und Teilnahmebedingungen.

Schliessen  X

LIVE CLASS Inhalt

LIVE CLASS
Mit Microsoft TEAMS
Erläuterungen und Teilnahmebedingungen

Welche Kurse werden als LIVE CLASS (LC) angeboten?
Zuerst bieten wir folgende Kurse, Workshops & Consulting sowohl PRÄSENT Kurse (vor Ort) als auch LIVE CLASS (LC) an:
1. Azure für Administratoren (4 Tage)
2. Azure Hybrid (4 Tage)
3. Azure Monitor (4 Tage)
4. Azure SQL (4 Tage)
5. Aufbau & Management von Windows 2019 Active Directory (5 Tage)
6. ESAE ASAI Competence Center (EAC) - Workshops & Consulting (1 Tag)
7. AD Health & Security Check (2 Tage)
8. Microsoft Endpoint Configuration Manager - Deployment OS & Update Management (2 Tage)

Weitere Azure Kurse werden folgen: Azure Automation, Exchange Hybrid, TEAMS und noch mehr AZURE!

Welche Kurse werden nicht als LIVE CLASS angeboten?
On-Premises Kurse wie ASAI, ASAI-2, Windows Hello for Business können nicht als LC angeboten werden.
Diese Kurse nutzen Smart Card und haben auch sehr umfangreiche Installation.

Hardware Voraussetzungen für LIVE CLASS
Empfehlungen zur Teilnahme als HOK (Home Office Kursteilnehmer)
- Webcam » Pflicht!
- 2x Bildschirme (1x für TEAMS und 1x für Azure Übungen) » Pflicht!
- Dritter Bildschirm oder iPAD für die PDF-Dokumentation » zu empfehlen.
- Kabelanschluss direkt an Router/Switch anstatt WLAN » zu empfehlen.
- Hochwertiges MONO Headset (z.B. Jabra Envolve2 65) » zu empfehlen.

Die Audio und Video Qualität der hoch interaktiven LIVE CLASS Schulung ist stark abhängig von o.g. Komponenten.
Wir nutzen in Böblingen zwei Glasfaser Standleitungen mit je 512 Mbit/s (jeder Zeit erweiterbar auf 1 GB/s bzw. 10 GB/s) für Internet.
Unser LAN ist in der Regel 10 Gbit/s.

Trainer im LIVE CLASS
Zwei Trainer plus ein TEAMS Organisator

Dokumentation für LIVE CLASS und PRÄSENT Kurse
1. LIVE CLASS Teilnehmer bekommen die Kurs-Dokumentation in PDF.
Die personalisierte Doku kann ein paar Tage vorher nach Erhalt der Zugangsdaten heruntergeladen werden.
Gegen einen Aufpreis von 450,- € zzgl. Mwst. erhalten Sie auch die Print-Version (A4-Ordner), die wir Ihnen zuschicken.
2. PRÄSENT Kursteilnehmer bekommen die gedruckte Kurs-Dokumentation in einem A4-Ordner.
Gegen einen Aufpreis von 450,- € zzgl. Mwst. erhalten Sie auch die Digital-Version (in PDF) am ersten Kurstag.

Voraussetzung ist Vorkasse
- Erst nach Zahlungseingang können die Zugangsdaten für TEAMS übermittelt werden.
- Ohne Vorkasse ist ein Besuch eines LIVE CLASS Kurses nicht möglich!
- Ohne Vorkasse ist ein Besuch eines anderen Kurses bei uns ab Mai 2020 nicht möglich!
- Dokumentation für LIVE CLASS kann nach der Authentifizierung in TEAMS heruntergeladen werden.

Schliessen  X

Mit diesem 4-Tage Intensivkurs wollen wir erreichen, dass Teilnehmer danach in der Lage sind, eine funktionierende Azure Hybrid Umgebung aufzubauen. Ausgehend von einem bestehenden On-Premises AD (1) wird ein Azure AD (2) Tenant per Azure Portal angelegt, Management Groups und Subscriptions konfiguriert. Die Objekte Users, Groups und Computer von (1) werden per AAD Connect zu Azure AD (2) synchronisiert, damit Azure Anwendungen (Intune, Office 365, Exchange Online, TEAMS etc.) und Azure AD Features (Conditional-Access etc.) genutzt werden können. Die Authentifizierung (User Sign-In) in dieser Hybrid Umgebung erfolgt via ADFS (Federated) oder PTA (Pass-Through Authentication), wobei die Option PHS (Password-Hash Sync), abhängig von Szenarien aktiviert oder nicht aktiviert wird.

Es geht in diesem projektorientierten Kurs nicht nur darum in Azure AD einige VMs und VNet anzulegen, sondern auch dafür zu sorgen, dass u.a. der SMB-Zugriff auf die On-Premises und Azure Files Ressourcen weiterhin transparent funktioniert. Denn nur dann ist eine fliessende Migration von Daten möglich. Der Zugriff auf eine Azure File Share erfolgt entweder über SMB (445) oder HTTPS (443), wobei das für den Filezugriff mächtigere SMB-Protokoll die Kerberos bzw. NTLM-Authentifizierung erfordert, damit per Benutzeridentität auf eine NTFS-geschützte Datei zugegriffen werden kann. Azure AD unterstützt aber keine Kerberos und NTLM, sondern nur OAuth2 und OpenID.
1) Damit es dennoch mit Kerberos für SMB möglich ist, muss man bis Ende Februar 2020 das kostenpflichtige Azure AD Directory Service (3) bedienen
In diesem Kurs "Azure für Administratoren" werden wir in unserem AAD Verzeichnis AzureHybridDE.OnMicrosoft.com eine Instanz aadds nutzen. Im Kurs "Azure Hybrid" gehen wir noch tiefer in dieses Thema hinein. Neben den NTFS-Berechtigung wird die Share-Berechtigung für eine Azure File Share benötigt, die über die Azure RBAC Roles konfiguriert werden.

2) Seit Ende Februar 2020 ist es nun endlich möglich auch ohne AAD DS den SMB-Zugriff auf eine Azure File Share von einer On-Premises AD (1) Joined Windows Maschine oder von einer Azure AD (2) Joined VM aus mit der AD/AAD Benutzeridentität zuzugreifen. Der kostenpflichtige AAD DS wird dann nicht mehr benötigt.

Nach der Einrichtung von VPN-Site-To-Site Gateway können sowohl von einer Azure VM als auch On-Premises VM via SMB per Benutzeridentität auf eine Azure File Share zugegriffen werden.

Der HTTPS Zugriff auf eine Azure File Share und somit auf eine Azure File Storage setzt auf die REST API und erfordert den Azure Storage Access Token (Full Access) oder einen delegierten SAS (Share Access Signature).

Letzendlich müssen die On-Premises Daten irgendwie in die Azure File Shares gelangen. Eine Methode davon ist Azure File Sync. Azure File Sync sorgt dafür, dass On-Premises Daten "hoch" zu einer Azure File Share und auch zu anderen File Servern synchronisiert werden:

        File Server 1 (On-Premises)   > Server Endpoint 1 > Sync Group A >
        File Server 2 (On-Premises)   > Server Endpoint 2 > Sync Group A > Cloud Endpoint (A) > Azure File Share (A)
        File Server 3 (Azure VM)        > Server Endpoint 3 > Sync Group A >

Azure Storage bietet neben dem Typ FILE weitere Datentypen BLOB, QUEUE und TABLE, die wir im Kurs Azure Hybrid näher eingehen.
Natürlich müssen wir vor den SMB-Übungen schon mit dem ARM (Azure Resource Manager), mit der RBAC Roles etc.. bereits VNET und VMs anlegen. Wir werden am Anfang graphisch mit dem Azure Portal  arbeiten, später aber immer mehr uns mehr mit Azure AZ-PowerShell arbeiten. Das Anlegen von VM  werden wir mit ARM Resource Template automatisieren. Dabei lernen wir wie ARM Resource wie eine VM in JSON Template exportiert, nach Änderung wieder importiert werden kann.

Nach dem Kurs sind die Teilnehmer in der Lage, selbst ein Tenant in Azure zu erstellen, Struktur für Management Groups aufzubauen und Subscriptions zu tätigen. Sie sind in der Lage VNET (Virtual Network) mit Subnetzen und VMs aufzubauen, zu verwalten und mit Azure Monitor zu überwachen. Im Kurs setzen wir nicht nur VPN Site-To-Site, sondern auch Azure Bastion (optional) und NSG (Network Security Group) ein, um die Azure VMs durch Private IPs und RDP Tunneling zu schützen, denn VMs mit Public IPs werden direkt per RDP over SSL verwaltet, sie sind nicht sicher genug.

Die Verwaltung des Tenants, der Subscriptions, der Azure Resourcen und Resource Groups werden mit Azure Portal und PowerShell AZ durchgeführt. Auch wird Azure RBAC oft genutzt, um die passende Rollen für die unterschiedliche Aufgaben zu konfigurieren. Beispielsweise muss ein On-Premises AD User , der in Azure AD repliziert ist, mindestens die RBA Role "Virtual Machine User Login" bekommen um überhaupt an einer Azure AD Vm anmelden zu können. RBAC vergibt nicht nur solche Privilegien, entspricht "Lokal Anmelden zulassen" (Allow Localy Logon), sondern u.a. auch  Berechtigung  wie z.b. die SMB Share Berechtigung.

Ein sehr wichtiges Thema ist die Azure Cost, welches die höchste Priorität bekommen sollte, wenn man mit Azure arbeitet. Es sind viele versteckte Kosten. Man kann z.B. eine VM nach der Nutzung herunter fahren um Kosten zu minimieren, bleibt dennoch die Azure Storage Kosten aufrecht, da die VHDX weiterhin die Blob Storage belegt.

Optional: Die HTTPS-Verbindung zum Azure Portal und die SSO-Authentifizierung (Signl-Sign On) ist zusätzlich geschützt durch MFA (Multi-Factor Authentication) mit Windows Hello for Business (Gesichtserkennung und TPM 2.0).
---

Hier sind sind wichtigsten Komponenten dieses Kurses:

- Azure Tenant und Subscriptions - MS365 E3 vs. E5
- Azure AD
- Azure Portal
- Azure PowerShell AZ
- Azure Resource Manager (ARM), Managed Group, Resource Group, Resources
- Azure Resource Manager Templates (JSON)
- Azure RBAC
- Azure AD DS Joined VM
- Azure VNET (Virtual Network), Subnet, VNET-Peering
- VM Extensions
- Load Balancer
- Azure VMs, High-Performance Features RDMA, SR-IOV
- Azure Storage: Container (Blob), Files, Queue, Table
- Azure Files, File Shares & Azure File Sync
- Zugriffe auf Azure Files und On-Premises Files via SMB (445) und HTTPS (443)
- Azure Monitor Logs (Logs Analytics)

Weitere detailliertere Beschreibungen folgen.
Im Kurs arbeitet jeder Teilnehmer "live" mit einem unserer Tenants in Azure via Gbit-Glasfaserleitungen.
Empfehlung: besuchen Sie unseren 4-Tage Azure Hybrid Kurs um noch mehr Wissen für eine Enterprise Umgebung anzueignen.

Azure Multi-Tenants Infrastructure

Azure Hybrid – Azure File Sync - Identity-Based SMB Zugriff auf Azure File Share

Azure Resource Scope Levels

Azure Storage - Authorizing Access