Live Class Workshop AZURE-MG

Wegweiser zum Aufbau von Azure Hybrid (Office 365, TEAMS, INTUNE) für IT-Entscheider

Dieser Live Class Spezialworkshop ist für Entscheider gedacht, die dabei sind, Azure Hybrid für die Nutzung von Office 365 (Exchange Online, TEAMS, SharePoint,...) zu planen und aufzubauen. Der Workshop zeigt in der Reihefolge die wichtigsten Schritte beim Aufbau einer Azure Hybrid Umgebung auf.

Wir beschreiben nun hier einen kleinen Ausschnitt des Workshop etwas detailliert, wie der erste Tenant korrekterweise entstehen soll:

Der erste Schritt ist mit einem FIRMEN-MICROSOFT-KONTO und einer FIRMEN-CREDIT-CARD, sich in azure.microsoft.com anzumelden, um ein "Standardverzeichnis" (Root Tenant) für die gesamte Firma  z.B. ntsystemsGroup.onMicrosoft.com anzulegen. Das Standardverzeichnis bildet das Top-Level einer Multi-Tenant Struktur. Auch wenn zunächst nur ein Tenant benötigt wird, ist es sehr sinnvoll,  zukunftsorientiert so vorzugehen. Das Standardverzeichnis soll NICHT als Produktionstenant genutzt werden. Nun kann darunter ein oder mehrere Tenants, z.B.ntsystemsDE.onMicrosoft.com, clustercenterDE.onMicrosoft.com angelegt werden.

ntsystemsGroup.onMicrosoft.com
(Root Tenant)

 azurehybridDE.onmicrosoft.com       ntsystemsDE.onMicrosoft.com       clustercenterDE.onMicrosoft.com
(Tenant)                                           (Tenant)                                             (Tenant)

Nachdem ein Azure Tenant für die Produktion existiert, soll ein Global Administrator für diesen Tenant angelegt werden, der als erste Domain Administrator (max. 5) diesen Tenant verwaltet.  Der neue Global Administrator übernimmt die erste wichtige Aufgabe, den Azure Tenant mit seinem On-Premises AD zu einem Hybrid Gebilde zu verbinden. Die zunächst logische Initialkopplung ist eine "Custom Domain" (On-Premises AD), z.B. Cluster-center.de   oder azure-Hybrid.de  zum Tenant hinzuzufügen. Für die Echtheitsverifizierung erzeugt Azure AD einen TXT-Record, der in der DNS-Zone des On-Premises AD eingetragen werden muss.

Der nächste Schritt ist die passende Lizenz für Azure AD (z.B. Azure AD Premium P1 oder P2) und evtl. auch Office 365 (z.B. Office 365 E3 oder E5) zu kaufen. Standardmäßig bekommt man am Anfang einen kostenfreien Azure AD Basic Lizenz, mit dem auch schon gerabeitet werden kann. Sie können aber auch jetzt Lizenzen für Ihren Produktionstenant kaufen. Microsoft kombiniert viele notwendigen Lizenzen zu einem Microsoft 365 E3 oder E5 Paket. Viele Firmen nutzen das E3 Kombipaket, welches Office 365 E3 und auch Azure AD Premium P1 und Intune enthält. Nutzen Sie am besten das Portal.Office.com, um Lizenzen einzukaufen und zuzuweisen.

Nun kommt ein sehr wichtiger Schritt, die notwendige und geeignete Hybrid Authentication Methode durch die Einrichtung der AAD Connect Server (2x) auszuwählen. Mit AAD Connect  kann entweder die Fererated ADFS Authentication oder Cloud Authentication Methoden PTA (Pass-Through Authentication) bzw. PHS (Password-Hash Synchronisation) in Kombination mit Seamless Single Sign-On (sSSO) ausgewählt werden. Mit AAD Connect können AD Objekte (User, Device, Group) in Azure AD repliziert und synchronisiert werden. Write-Back Options erlauben das Zurückschreiben von Password-Änderung, Devices etc. An dieser Stelle sollten Sie auch wissen, dass PHS die in On-Premises AD ziemlich "lasch" gespeicherten Passwörter (unicodePwd) für den Transport zu Azure AD hochgradig verschlüsselt und dort auch hochgradig verschlüsselt speichert. Viele Firmen wählen auch PHS in Kombination mit sSSO (Seamless Signle Signed-On). Welche Authentication Methode Sie wählen sollen, werden wir ausführlich im Kurs diskutieren.

Die Hybrid Moderne Authentication (HMA), die wir in einer Hybrid Umgebung anstreben, erlaubt den Single Signed-On Zugriff auf verteilten Ressourcen wie Termin Kalender, One-Drive aber auch die Zusammenarbeit mit TEAMS.

Weitgehend sollten wir immer "passwordless" authentifizieren, z.B. durch Windows Hello For Business (Gesichtserkennung, PIN). Wo es aber noch nicht möglich ist, sollte MFA (Multi-Factor Authentication) durch Conditional Access erzwungen werden, dass Benutzer nach der Password-Eingabe z.B. eine weitere 6-stellige Phone Sign-In Nummer eingeben muss, die auf seinem Smart-Phone erscheint.

Nach diesen Initial-Konfigurationsschritten sind noch etliche Schritte notwendig bis eine Azure Hybrid Umgebung "sauber" arbeiten kann. Dazu zähllen eine vernünftige Subscriptions-Struktur durch Management Groups, die Resource Berechtigung durch RBAC (Role-Based Access Control), Azure Policies und natürlich auch eine sinnvolle virtuelle Netzwerkstruktur für die Azure VMs.

Hinweis:
Nach diesem eintägigen Workshop haben Sie garantiert den roten Faden in der Hand und können der Reihenfolge nach vorgehen, Ihre Azure Hybrid korrekt aufzubauen.
Der Workshop enthält einige begleitenden A4- und A3-Bilder (personalisiert) als Unterlagen, die Sie nach der Anmeldung herunterladen können.

ZIELGRUPPE
Das Seminar richtet an Entscheider, Administratoren und Systemarchitekten.
Erfahrung mit Azure und AD wird NICHT vorausgesetzt.

DAUER
  1 Tag

TERMINE

07.12.2020 noch Plätze frei

Weitere Temine auf Anfrage!

Zur Anmeldung

PREIS
1.500,- € zzgl. Mwst.
Die Teilnahme ist nur gegen Vorkasse möglich.
Im Preis sind die Unterlagen (Bilder) in PDF (personalisiert) enthalten.

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
von 09:00 - 17:00 Uhr


Azure AD Multi-Tenants Infrastructure - Standardverzeichnis (Root Tenant)
Azure AD Multi-Tenants Infrastructure - Standardverzeichnis (Root Tenant)

Tenant Root Group - Vererbung RBAC Roles & Azure Policy
Tenant Root Group - Vererbung RBAC Roles & Azure Policy

3 Azure Permissions Modelle
3 Azure Permission Modelle

Azure Monitor
Azure Monitor

AAD Connect - Hybrid Modern Authentication - ADFS - PTA - PHS - Seamless Single Sign-On
Microsoft Azure Active Directory Connect

Microsoft 365 Admin Center
Microsoft 365 Admin Center

Agenda

Im Folgenden finden Sie die Themen, die wir im Workshop behandeln.
Die exakte Reihenfolge der Schritte, erfahren Sie im Live Class.

01. Anmelden mit einem „richtigen“ Microsoft Konto
02. Reservieren und Auswahl eines Azure Tenants, Standardverzeichnis
03. Vorbereiten des On-Premises AD für den Hybrid Betrieb – TXT-Eintrag
04. Auswahl der geeigneten Hybrid-Authentifizierungsmethode: ADFS (wird ein Public Zertifikat benötigt), PTA oder PHS mit sSSO
05. Verbindung On-Premises mit Azure Tenant durch Azure AD Connect (Multi-Forest / Provisioning)
06. Übersicht der wichtigsten Portale für das Arbeiten mit Azure und O365
07. Berechtigungsmodelle in Azure: Classic, Azure AD, IAM
08. Management Groups für Subscription anlegen
09. Azure Subscription und Lizenzen
10. Azure Policies
11. Budget Begrenzung, Audit, Report, Tags
12. Netzwerk und VPN
13. VMs / VMSS / Azure App Service / Azure SQL / Storage / File Sync
14. Device Identities
15. MFA: WHfB, FIDO2 Security Key, Multi-Factor Unlock, Trusted Signals
16. Modern Authentication / Hybrid Modern Authentication für Exchange Hybrid
17. Conditional Access
18. Namenkonvention für Resource Gruppen, O365 Groups etc.
19. Einsatz von O365
20. Einsatz von TEAMS
21. Einsatz von MDM und MAM mit INTUNE
22. Azure Monitor, Auditing
23. Security (Identity Protection, Threat Protection, Information Protection AIP/MIP)
24. Azure Automation
25. Azure Backup
26. Ausbildung der Mitarbeiter

- Vertrauen Sie unserer Kompetenz -