Einrichten von Windows AZURE Active Directory

In meinem vorherigen Blogeintrag habe ich einen ersten Einblick auf Windows AZURE Active Directory (WAAD) gegeben.

Nach der Einrichtung der Benutzer oder eine Anbindung an ein bestehendes Active Directory, können diese Nutzer auf alle lizenzierten Microsoft Online Dienste einheitlich zugreifen. Diese wären zum Beispiel Office 365, CRM Online, Windows Intune und natürlich auch die Windows AZURE Dienste.

Im Rahmen einer Softwareentwicklung ist das WAAD aber auch fähig, als Endkunden AD mit der angebotenen Software zu interagieren. Dies ist sehr nützlich, wenn man auf in der Regel relativ unsichere lokale Benutzerdatenbanken in Softwareapplikationen verzichten will oder sogar muss. Hier meine ich die Vorbeugung der Übernahme einer Applikation durch einen Hacker aufgrund eines Sicherheitsfehlers. In diesem Fall könnte nicht nur die Softwareapplikation übernommen werden, sondern auch die Benutzerdatenbank gestohlen werden. Bei einer Trennung zwischen Applikation und der Benutzer in ein externes Active Directory, müsste der vermeintliche Hacker noch mehr Zeit und Kosten investieren, dies schreckt viele teilweise ab. Auch automatisierte Programme zum Ausspähen von Benutzerinformationen hätten eine wesentlich schwierigere Aufgabe zu bewältigen. Die Nutzung des WAAD Dienstes steigert also enorm die Sicherheit einer eigenen Softwareapplikation in Bezug auf die Verwaltung von Benutzerkonten und sensiblen Benutzerinformationen.

Die angedachten Kapitel der Übersicht sind:

  • Was ist Windows AZURE Active Directory (Link zu Teil 1)
  • Einrichten von Windows AZURE Active Directory (dieser Beitrag)
  • Bestellen eines IRM fähigen Office 365 Plans
  • Aktivieren der IRM Funktion
  • Einrichten von SharePoint 2013 für Windows AZURE Active Directory IRM
  • Konfigurieren und Nutzen von SharePoint 2013 für Windows AZURE Active Directory IRM
  • Einrichten von Exchange 2013 für Windows AZURE Active Directory IRM
  • Konfigurieren und Nutzen von Exchange 2013 für Windows AZURE Active Directory IRM
  • tbd

 

Nun möchte ich zeigen, wie die Einrichtung funktioniert.

Kosten von WAAD

Der seit dem 01.12.2012 freigegebene Dienst soll laut der Preisliste mit folgenden Kosten berechnet werden:

Access Control-Transaktionen Preis
100.000 Transaktionen* €1,4114

Im Rahmen einer aktuellen Werbeaktion entfallen allerdings diese Gebühren bis zum 01.12.2013.

Die Berechnung erfolgt nach den tatsächlich verwendeten Transaktionen zzgl. dem ein- und ausgehendem Datenverkehr.

Registration eines WAAD Accounts

Zur Registrierung eines WAAD Accounts kann die Registration über die folgende Seite geschehen:

Windows Azure AD-Mandanten beschaffen

Die Registrierung geschieht dann sehr intuitiv:


Nachdem alle erforderlichen Daten eingegeben und verifiziert wurden, kann die Registrierung abgeschlossen werden. Die Angabe der Handy Nummer ist optional, aber aus Erfahrung weiß ich, das es im Supportfall sehr nützlich sein kann, wenn die Nummer bekannt ist.


Auch die Angabe einer alternativen eMail Adresse sollte bedacht werden. Denn wenn doch mal der Dienst, insbesondere Exchange Online, ausfallen sollte, können wichtige Nachrichten auch an ausserhalb gesendet werden.

Tipp: Die Domainnamen Registration bei der ANK Business Services beinhaltet auch immer bis zu 2 eMail Postfächer. So wäre es durchaus denkbar, das man für ca. 2,90 EURO pro Jahr eine zusätzliche Domain bestellt und diese ausschließlich für Suppportzwecke einsetzt, also als “Fall-Back” für wichtige Fälle. Ebenfalls denkbar ist es, in einigen Szenarien durchaus eine Weiterleitung bestimmter zukünftiger eMail Adressen aus Excange Online durchzuführen oder eine DNS Umkonfiguration wegen Umzug oder sonstigen Aktionen durchzuführen.


Nach der erfolgreichen Anmeldung werden Sie “Willkommen” geheissen. Sie haben die Anmeldung zu Ihrem Windows AZURE Active Directory Account geschafft.

Konfiguration der WAAD Optionen

Nachfolgend ein kurzer Blick auf die Konfigurationsmöglichkeiten

Benutzer und Gruppen können sehr einfach hier zugefügt werden.


Sollten Sie schon eine Anzahl an Benutzern verwalten, zum Beispiel in einem Migrationsszenario, aber keine Anbindung an ein lokales Active Directory herstellen können, so haben Sie auch die Option “Massenhinzufügen” (Bulk-Upload). Dies wäre eine option, wenn Sie zum Beispiel ein bestehendes eMail System bei einem anderen Provider haben und nur selektiv oder alle Benutzer migrieren möchten. Zur eMail Migration über IMAP müssen die Benutzerkonten im Exchange Online bzw. im WAAD schon vorhanden sein.


Die Domänenkonfiguration ist wie bei der “normalen” Office 365 Konfiguration zu bedienen. Auch hier fügen Sie Ihre eigene Domäne hinzu und müssen diese durch spezifische DNS Einträge bestätigen. Die Bestätigung des DNS Eintrages ist vor allem zu Ihrem Schutz gedacht, damit niemand ohne ausreichende Berechtigung Ihre Domäne “stehlen” kann und somit eventuell eMail Umleitungen verursacht. In den Office 365 Paketen zu den “P” Tarifen ist es etwas einfacher gelöst, doch zur späteren vollumfänglichen Nutzung der Informationsrichtlinien (IRM) ist mindesten ein E3 Tarif (oder Exchange Online 2 bzw. SharePoint Online 2) notwendig.


 

Selbstverständlich haben Sie die volle Kontrolle, welcher Benutzer welche Lizenzierung zugewiesen wird. Durchaus kann es vorkommen, das nicht alle Benutzer die “volle” Lizenzierung benötigen. Daher ist es möglich, diverse Lizenzmixe durchzuführen.

Der erste Benutzer im übriegen, besitzt die vollen Administrationsrechte. Dieser kann, wie bei einem lokalen Active Directory auch zur Seite gelegt werden und die inzwischen importierten oder manuell angelegten Benutzer werden spezifiche Rollen zugewiesen.


 

Wenn Sie einem Microsoft Partner Ihres Vertrauens oder einem anderen Dienstleister nun Rechte zur Verwaltung des Dienstes zuweisen möchten, haben Sie die Möglichkeit, diesen explizit einzuschränken.

Tipp: Diese Tabelle bzw. das Wissen über die Rollen ist Bestandteil der Office 365 Administrationsprüfung!

Administratorrolle

Zuweisen einer Lizenz

Entfernen einer Lizenz

Erwerben zusätzlicher Lizenzen

Löschen von Benutzern

Globaler Administrator Ja Ja Ja Ja
Rechnungsadministrator Nein Nein Ja Nein
Benutzerverwaltungsadministrator Ja Ja Nein Ja
Dienstadministrator Nein Nein Nein Nein
Kennwortadministrator Nein Nein Nein Nein

Weitere Informationen zur Lizenzierung von Diensten und der Überwachung von Lizenzen

Sollten Sie ein lokales AD im Einsatz haben, so können Sie nun die Anbindung konfigurieren. In jedem Fall ist eine Verzeichnissynchronisation notwendig, auch wenn Sie SSO später einsetzen möchten. Über die Links werden Sie in entsprechende Schritt-für-Schritt Anleitungen verwiesen.


 

Fertig…..

 

Zusätzliche Optionen:

Benutzer einrichten

Die Einrichtung eines neuen Benutzers ist schnell erfolgt. Zur Vorbereitung sollte mann aber eine zusätzliche eMailadresse des Benutzers kennen, damit dieser später das Passwort erhalten kann. Ebenfalls sollte man sich vorher Gedanken gemacht haben, ob dem Benutzer eine spezifische Benutzerrolle (wie oben beschrieben) zugewiesen werden soll. Alle weiteren Informationen sind selbstredend. Übriegends, die Abfrage “Dienststandort” ist für Lync wichtig, da nicht in jedem Land alle Funktionen zur Telefonie Verfügung gestellt werden dürfen.


 


 


 


 


 


 


 

 


 

Tagged with:

Filed under: AzureCloudOffice 365 GridOffice 365 PreviewSharePoint 2013

Like this post? Subscribe to my RSS feed and get loads more!