Um Office 365 im Unternehmen einsetzen zu können, ist es notwendig, für Office 365 ein Sicherheitskonzept zu etablieren. Es besteht natürlich die Möglichkeit Office 365 als eigenständige Applikation, unabhängig von allen anderen Systemen, zu verwalten. Gehen Sie diesen Weg, so ist keine Kopplung mit dem lokalen Active Directory notwendig. Jedoch müssen Sie jeden Benutzer in Office 365 separat anlegen, Lizenzen zuweisen und Berechtigungen erteilen.
Um die Arbeit zu erleichtern kann Ihr Office 365-Sicherheitskonzept auf Basis Ihres Active Directories aufbauen. Hier ist es nötig, das lokale Active Directory mit dem Azure Active Directory zu koppeln.
Wie wird das Active Directory in die Cloud synchronisiert?
Abhängig vom Aufbau des eigenen Active Directories gab es bisher unterschiedliche Herangehensweisen und Konfigurationen. Seit dem Frühjahr 2016 gibt es dafür ein einziges Tool: Azure Active Directory Connect.
Dieses fasst die bisherigen Komponenten (DirSync, Azure AD Sync, FIM + Azure AD Connector) in einem einzigen Assistenten zusammen. Der Support für DirSync und Azure AD Sync wird daher auch am 13.4.2017 eingestellt.
Der Assistent unterstützt Sie bei der Einrichtung der Synchronisierung zwischen dem lokalen Active Directory und dem Azure Active Directory, sowie auch bei der Konfiguration der Active Directory Federation Services (ADFS). ADFS benötigen Sie, wenn Sie Single-Sign-On verwenden möchten. Also mit dem am PC angemeldeten Benutzer auch automatisch im Office 365 angemeldet werden wollen.
Dabei ist zu beachten, dass nicht alle Versionen des lokalen Domain Controllers mit der Cloud verbunden werden können. Ältere Windows Server Versionen, oder auch der Small Business Server (SBS), werden nicht unterstützt. Kann aufgrund einer veralteten Domain Controller Version keine Verbindung geschaffen werden, heißt das aber nicht, dass Office 365 nicht eingesetzt werden kann. Es bedeutet lediglich, dass eine Verbindung nicht möglich ist und die beiden Umgebungen getrennt verwaltet werden müssen.
Eine Anleitung zur Installation und Konfiguration von Azure AD Connect finden Sie hier.
Sicherheitsgruppen
Wird Azure Active Directory Connect konfiguriert, lassen sich Sicherheitsgruppen aus dem lokalen AD in Office 365 synchronisieren.
Werden die Sicherheitsgruppen in das Azure AD und somit in Office 365 synchronisiert, so können diese, z. B. für die Berechtigung von Benutzern, in Microsoft SharePoint Online verwendet werden. Beim Hinzufügen neuer Benutzer in die AD-Gruppen, werden diese automatisch in SharePoint Online berechtigt.
Die Verwendung von AD-Gruppen zur Berechtigung in SharePoint kann die Administration entscheidend vereinfachen. Weswegen es auch für Office 365 empfehlenswert ist, AD-Gruppen für die Verwaltung von Berechtigungen zu verwenden. Für SharePoint Online funktioniert das identisch zu SharePoint On-premise. Für andere Office 365-Apps, wie Groups, OneDrive oder Planner, können keine Sicherheitsgruppen herangezogen werden.
Office 365-Lizenzen verwalten
Azure Active Directory Connect verteilt nicht automatisch Lizenzen an neue Benutzer und ermöglicht auch nicht die Verwaltung der Office 365-Lizenzen über das lokale Active Directory. Das heißt, auch wenn den Benutzern über Sicherheitsgruppen die richtigen Berechtigungen zugewiesen werden, können diese erst zugreifen, wenn ihnen auch die erforderlichen Lizenzen zugewiesen wurden.
Zur Verwaltung und Zuweisung von Lizenzen muss entweder das Webportal von Office 365, oder ein PowerShell Script verwendet werden. PowerShell bietet auch die Möglichkeit diese Schritte zu automatisieren, so dass bei der Anlage neuer Benutzer automatisch die notwendigen Lizenzen zugwiesen werden. Das kann allerdings nur funktionieren, wenn in Office 365 auch genügend Lizenzen verfügbar sind.