Dieser Live Class Spezialworkshop ist für Entscheider gedacht, die dabei sind, Azure Hybrid für die Nutzung von Office 365 (Exchange Online, TEAMS, SharePoint,…) zu planen und aufzubauen. Der Workshop zeigt in der Reihefolge die wichtigsten Schritte beim Aufbau einer Azure Hybrid Umgebung auf.

Wir beschreiben nun hier einen kleinen Ausschnitt des Workshop etwas detailliert, wie der erste Tenant korrekterweise entstehen soll:

Der erste Schritt ist mit einem FIRMEN-MICROSOFT-KONTO und einer FIRMEN-CREDIT-CARD, sich in azure.microsoft.com anzumelden, um ein „Standardverzeichnis“ (Root Tenant) für die gesamte Firma  z.B. ntsystemsGroup.onMicrosoft.com anzulegen. Das Standardverzeichnis bildet das Top-Level einer Multi-Tenant Struktur. Auch wenn zunächst nur ein Tenant benötigt wird, ist es sehr sinnvoll,  zukunftsorientiert so vorzugehen. Das Standardverzeichnis soll NICHT als Produktionstenant genutzt werden. Nun kann darunter ein oder mehrere Tenants.

Nachdem ein Azure Tenant für die Produktion existiert, soll ein Global Administrator für diesen Tenant angelegt werden, der als erste Domain Administrator (max. 5) diesen Tenant verwaltet.  Der neue Global Administrator übernimmt die erste wichtige Aufgabe, den Azure Tenant mit seinem On-Premises AD zu einem Hybrid Gebilde zu verbinden. Die zunächst logische Initialkopplung ist eine „Custom Domain“ (On-Premises AD), z.B. Cluster-center.de   oder azure-Hybrid.de  zum Tenant hinzuzufügen. Für die Echtheitsverifizierung erzeugt Azure AD einen TXT-Record, der in der DNS-Zone des On-Premises AD eingetragen werden muss.

Der nächste Schritt ist die passende Lizenz für Azure AD (z.B. Azure AD Premium P1 oder P2) und evtl. auch Office 365 (z.B. Office 365 E3 oder E5) zu kaufen. Standardmäßig bekommt man am Anfang einen kostenfreien Azure AD Basic Lizenz, mit dem auch schon gerabeitet werden kann. Sie können aber auch jetzt Lizenzen für Ihren Produktionstenant kaufen. Microsoft kombiniert viele notwendigen Lizenzen zu einem Microsoft 365 E3 oder E5 Paket. Viele Firmen nutzen das E3 Kombipaket, welches Office 365 E3 und auch Azure AD Premium P1 und Intune enthält. Nutzen Sie am besten das Portal.Office.com, um Lizenzen einzukaufen und zuzuweisen.

Nun kommt ein sehr wichtiger Schritt, die notwendige und geeignete Hybrid Authentication Methode durch die Einrichtung der AAD Connect Server (2x) auszuwählen. Mit AAD Connect  kann entweder die Fererated ADFS Authentication oder Cloud Authentication Methoden PTA (Pass-Through Authentication) bzw. PHS (Password-Hash Synchronisation) in Kombination mit Seamless Single Sign-On (sSSO) ausgewählt werden. Mit AAD Connect können AD Objekte (User, Device, Group) in Azure AD repliziert und synchronisiert werden. Write-Back Options erlauben das Zurückschreiben von Password-Änderung, Devices etc. An dieser Stelle sollten Sie auch wissen, dass PHS die in On-Premises AD ziemlich „lasch“ gespeicherten Passwörter (unicodePwd) für den Transport zu Azure AD hochgradig verschlüsselt und dort auch hochgradig verschlüsselt speichert. Viele Firmen wählen auch PHS in Kombination mit sSSO (Seamless Signle Signed-On). Welche Authentication Methode Sie wählen sollen, werden wir ausführlich im Kurs diskutieren.

Die Hybrid Moderne Authentication (HMA), die wir in einer Hybrid Umgebung anstreben, erlaubt den Single Signed-On Zugriff auf verteilten Ressourcen wie Termin Kalender, One-Drive aber auch die Zusammenarbeit mit TEAMS.

Weitgehend sollten wir immer „passwordless“ authentifizieren, z.B. durch Windows Hello For Business (Gesichtserkennung, PIN). Wo es aber noch nicht möglich ist, sollte MFA (Multi-Factor Authentication) durch Conditional Access erzwungen werden, dass Benutzer nach der Password-Eingabe z.B. eine weitere 6-stellige Phone Sign-In Nummer eingeben muss, die auf seinem Smart-Phone erscheint.

Nach diesen Initial-Konfigurationsschritten sind noch etliche Schritte notwendig bis eine Azure Hybrid Umgebung „sauber“ arbeiten kann. Dazu zähllen eine vernünftige Subscriptions-Struktur durch Management Groups, die Resource Berechtigung durch RBAC (Role-Based Access Control), Azure Policies und natürlich auch eine sinnvolle virtuelle Netzwerkstruktur für die Azure VMs.