Synchronisationslogik bei der Postfachmigration

Bei einer Migration von einem anderen E-Mail-System (Exchange On-Prem, IMAP, etc.) zu Exchange Online ist es für Administratoren sehr einfach, bestehende Postfach-Daten (Mail, Kontakte, Kalender) zu migrieren. Der Wunsch nach einem „Neuanfang“ ist relativ selten. Bei der Datenübernahme gibt es natürlich den klassischen „Turnschuh“-Ansatz (Export in PST-Datei und Einbindung der PST-Datei im neuen Postfach), aber komfortabel ist das natürlich nicht.

Im Exchange Admin Center von Office 365 gibt es die Möglichkeit sogenannte Migrations-Batches anzulegen. Dabei unterscheidet sich die Art des Batches immer je nach Migrationsszenario. Bei Exchange Hybrid geht man über den MRS (Mailbox Replication Service) an den lokalen Exchange ran — aber auch die Migration von einem IMAP-Server ist möglich. Oft entsteht dabei die Frage, wie die Synchronisierung arbeitet und die Logik dahinter funktioniert.

Management von Office ProPlus (Office-Paket)

In einem kleinen Büro stellt sich die Frage vielleicht nicht: wenn einige wenige Arbeitsplätze mit Office ProPlus versorgt werden müssen, dann können die Benutzer sich im Office365-Portal anmelden, den Click2Run-Installer herunterladen und sich die Office-Programme installieren. Eine Lizensierung (eigenständig oder über Pakete wie E3) sowie lokale Administratorrechte vorausgesetzt.

In einem Unternehmen mit mehreren Arbeitsplätzen oder mit bestehender Softwareverteilungs-Lösung wie z.B. SCCM ist das nicht praktikabel. Also muss der Administrator/Software Manager sich darum kümmern, dass das Office-Paket auf die Arbeitsplätze wandert.

AD Connect oder ADFS? Eine Designüberlegung

Spätestens in der erweiterten Testphase und allerspätestens dann, wenn man seinen Endbenutzern nicht zumuten möchte, sich zwei verschiedene Logins merken zu müssen, steht eine Entscheidung an. Technisch ist die Benutzerverwaltung im Office 365 über das Azure AD gelöst, welches grundsätzlich nichts mit dem normal On-Prem Active Directory zu tun hat.

Der Administrator steht nun also vor der Wahl: Synchronisierung der Benutzeraccount mittels AD Connect — oder Bereitstellung einer eigenen Anmelde-Infrastruktur via ADFS. Beide Varianten haben sicher Vor- und Nachteile. Ich möchte in diesem Artikel beide Seiten aufzeigen und hoffe, dass somit die eigene Entscheidung leichter fällt. Es gibt nämlich keine allgemeingültige Aussage für oder gegen eine der beiden Lösungen.

Warum Firewall-Design so wichtig ist

Die klassische Internetverbindung im Unternehmen sieht so aus: sämtliche Ports, die nicht gebraucht werden, sind dicht. Raus darf (fast) alles, aber wenig rein. Im Extremfall findet in der Firewall noch eine Auftrennung des SSL-Streams statt, verbunden mit dem Austausch des Zertifikats. Bisher hat alles so funktioniert — aber sobald man erste Office 365-Services einsetzt muss sich auch der härteste Sicherheits-Admin die Frage stellen, ob das weiterhin praktikabel ist.

PowerShell vs. Admin Portal

Ewig lange Diskussionen, was denn nun besser oder sinnvoller ist? Darauf gibt es meiner Meinung nach keine klare Aussage. Beide Varianten haben ihre Daseinsberechtigung. Aber: das Admin Portal ist durchaus mit Vorsicht zu genießen — diese Erfahrung habe ich schon selber machen müssen.

Oberflächlich lässt sich über das Admin Portal alles bewerkstelligen, was der typische O365-Admin jeden Tag macht. Er kann die Userverwaltung vornehmen, Lizenzen prüfen, Statistiken auswerten. Soweit so gut. Wer jedoch schon mal 50 Benutzer anlegen musste, der weiß, wie lange das mit dem Admin Portal dauert…

Mobile Menu