Microsofts Online-Service Office 365 bietet eine Reihe von Besonderheiten, die ihm im Cloud-Markt ein Alleinstellungsmerkmal verleihen. Die wichtigste Eigenschaft von Office 365 ist, dass Unternehmen die Wahlfreiheit haben, Software bei sich im Rechenzentrum laufen zu lassen oder in der Cloud. Exchange 2010, Sharepoint 2010 oder Lync 2010 können mit dem Start von Office 365 alle oder einzeln in der Wolke oder vor Ort im Unternehmen betrieben werden. Anwender können damit selbst bestimmen, wann und mit welchen IT-Funktionalitäten sie in die Cloud gehen.
Microsoft bezeichnet dieses Changieren zwischen den zwei Ebenen - lokal bzw. On Premise und online in der Cloud - als Koexistenz oder Hybrid-Szenarien. Diese Koexistenz hat beispielsweise für den Exchange-Server den Vorteil, dass man Postfächer in der lokalen und in der Online-Umgebung gemeinsam verwenden kann: Mailboxen können On Premise und Online einheitlich verwaltet und zwischen beiden Ebenen hin- und hergeschoben werden.
Voraussetzung dafür ist lediglich, dass die notwendigen Konnektoren installiert sind. Der Administrator verfügt in diesem Fall über zusätzliche Ressourcen in der Cloud, die er wie seine normalen Exchange-Server verwalten kann Dabei lassen sich die lokalen Mailboxen nicht nur in die Cloud verschieben. Bei Bedarf kann der Administrator ein Postfach auch wieder zurückholen - beispielsweise dann, wenn ein Nutzer plötzlich Anforderungen stellt, die das stark standardisierte Office 365 nicht bereitstellt.
Wichtig ist, dass die Unternehmens-IT immer die Wahl hat, wo sie ihre Mailboxen ablegen kann. Der Endanwender merkt von alldem nichts. Ihm ist es in der Regel auch egal, wo sein Postfach liegt. Ob auf dem hauseigenen Exchange-Server oder in der Cloud - er findet in jedem Fall dieselbe Umgebung und Bedienphilosophie vor und muss sich nicht umstellen.
Userdaten immer aktuell - AD-Synchronisation
Foto: Microsoft
Damit die Koexistenz von On Premise Software und Online-Diensten funktioniert hat Office 365 eine Reihe von Diensten integriert, die das reibungslose Zusammenspiel gewährleisten. Normalerweise verfügen Unternehmen auf ihren On Premise Sharepoint- und Lync-Servern über Nutzerlisten mit Adressbüchern, E-Mail-Kontakten. Mühselig wäre es, jeden einzelnen Benutzer erneut in der Cloud anlegen zu müssen.
Der erste Service gleicht die Nutzerdaten zwischen On Premises- und den Cloud-Systemen ab. Active Directory (AD) Synchronisation sorgt dafür, dass die Kontaktobjekte in die Cloud repliziert werden. Mit der AD-Synchronisation wird erreicht, dass sämtliche Benutzer, Gruppen, Kontakte und dazugehörigen Attribute in der Cloud und auf den On Premises Systemen immer identisch sind. Diese Daten sind die Grundlage, um Benutzer für Office 365 zu aktivieren und Lizenzen zuzuweisen.
Ein eigens für Office 365 angepasstes Tool kopiert die Namen und Kontakte vom lokalen Active Directory eines Unternehmens in den Mandanten von Office 365. Die AD-Synchronisation ist immer geschützt, Benutzerkennwörter werden ausgeschlossen, die Daten liegen in der Cloud sicher in einer eigenen virtualisierten Umgebung und sind für niemanden einsehbar.
Die Übertragung der AD-Daten in die Cloud erfolgt per Voreinstellung alle drei Stunden über eine Delta-Synchronisation: Nach der ersten vollständigen Übertragung werden nur noch die Änderungen gesichert. In welcher Frequenz die Übertragung stattfindet, lässt sich vom Administrator flexibel festlegen.
Einfache Authentifizierung - AD Federation Services
Bei der Authentifizierung der User verfügt der Administrator grundsätzlich über zwei Möglichkeiten. Zum einen kann er für Office 365 ein eigenes Passwort vergeben. In diesem Fall muss der Endanwender mit zwei Passwörtern hantieren - eines für die Authentifizierung im Windows-Umfeld am lokalen PC und eines für die Online-Services in der Cloud. Diese Lösung hat Vor- und Nachteile. Positiv ist beispielsweise, dass zusätzliche Software-Installationen entfallen und die unterschiedlichen Systeme eindeutig durch die Passwörter getrennt sind. Der Nachteil ist, dass der Nutzer sich immer neu anmelden muss, wenn er die Ebene wechselt.
Eine weitaus elegantere Möglichkeit bieten die AD Federation Services (AD FS). Sie fungieren bei Office 365 als Single Sign-On-Dienst, das heißt, sowohl für die lokale Anmeldung an den On Premises Systemen als auch für die Anmeldung bei den Cloud-Diensten genügt ein einziges Passwort. Dabei verbleiben die Benutzerdaten und Kennwörter komplett On Premise.
Foto: Microsoft
Technisch wird AD FS über einen so genannten User Principal Name realisiert, der formal einer E-Mail-Adresse ähnelt. Am DNS-Suffix - dem Teil der, hinter dem @Zeichen kommt - wird erkannt, ob der Cloud-Dienst für die Passwort-Verifikation zuständig ist oder der lokale Anwender. Sobald das DNS-Suffix @kunde.de in der Anmeldemaske erscheint, erledigt nicht Microsoft die Passwort-Verifikation, sondern der Server des Kunden. Der wird als DNS-Name im Hintergrund bei der Konfiguration hinterlegt.
Der Authentifizierungsprozess läuft wie folgt ab: Der Microsoft-Dienst fordert den User auf, sein Passwort beim Kundenserver zu authentifizieren. Im Hintergrund stellt der Webbroser ein XML-basiertes Authentifizierungstoken aus, das digital signiert ist. Dieses wird von dem Authentifizierungsserver mit an den Cloud-Service geschickt, und die digitale Signatur dort überprüft. Ist diese in Ordnung und hat gleichzeitig der Kundenserver den User korrekt authentifiziert, dann gibt Office 365 den Zugriff auf die Dienste frei.
Anforderungen an Federation Services
Die AD Federation Services haben eine ganze Reihe von Vorteilen: Deaktiviert der Administrator einen Anwender, ist dieser automatisch auch für die Online-Services deaktiviert. Ändert ein User sein Passwort an seinem PC, gilt das neue Passwort auch für Office 365. Mit AD FS hat man also echtes Single Sing on - für größere Unternehmen ein unschätzbarer Vorteil. Die Mitarbeiter öffnen einmal ihren Webbrowser, weisen sich einmal bei einem Service aus - und jeder Folgezugriff auf Exchange, Sharepoint oder Lync erfolgt ohne weitere Authentisierung.
Allerdings ist der Betrieb von AD FS mit einem gewissen Aufwand verbunden. So muss ein AD FS Server installiert werden, der aus dem Internet erreichbar sein muss. Dieser Server ist ein Single Point of Failure: Ist er nicht verfügbar, kann sich niemand bei den Online-Services anmelden. Die IT-Abteilung sollte also entsprechende Vorkehrungen treffen, damit der Worst Case nicht eintritt. Da dies etwas aufwändiger und kostspieliger ist, ist AD FS primär für größere Unternehmen ab etwa 200-250 Mitarbeiter interessant.
Um den Dienst hochverfügbar auszulegen, können zum Beispiel mehrere AD FS Server installiert werden, die als Federation Server Farm mit Network Loadbalancing betrieben werden können. Für den Zugriff aus dem Internet auf die Federation Services bietet es sich an, einen oder mehrere AD FS Proxy Server in einer DMZ zu betreiben. Alternativ können die Federation Server auch mit dem Microsoft Threat Management Gateway (TMG) oder Unified Access Gateway (UAG) veröffentlicht werden.
Skripting-Funktionalität - Powershell und Skriptausführung
Grundsätzlich läuft die Administration von Office 365 webbasiert. In größeren Firmen wird die Administration heute allerdings häufig über Skripte gesteuert. Wenn zum Beispiel ein neuer Benutzer angelegt wird, erfolgt das in vielen Fällen über ein kleines, vom Administrator geschriebenes Skript. Dieses legt dann fest, wo der User und seine Mailbox angelegt wird oder welche Rechte er besitzt.
Office 365 bietet komplette Skripting-Funktionalität. Der Cloud-Dienst nutzt dabei die Powershell-Funktionalität von Windows Powershell 2.0. Über diese kann man Domains, User und Gruppen managen oder Berechtigungen erteilen. Hat ein Anwender ein Skript geschrieben und wird ein neuer User im Active Directory angelegt, so wird er nach ein paar Minuten automatisch in die Cloud repliziert. Über Skripte lässt sich dem neuen User dann auch eine Lizenz zuweisen. Auf diese Weise ist eine komplette automatische Provisionierung möglich.
Bereits bestehende Funktionalitäten lassen sich automatisch über Powershell auslesen und in die Cloud übertragen. In Exchange gibt es zum Beispiel den Richtlinien-Wizzard, mit dem man über eine Web-Oberfläche Regeln für die Aufbewahrung von Dokumenten festlegen kann. Liegen diese bereits für ein On Premise-System fest, kann man diese über Powershell auslesen und so die gleichen Richtlinien für Exchange Online in der Cloud setzen.
Microsoft nutzt bei Exchange Online die gleichen Powershell-Befehle wie bei der lokalen Exchange-Server-Version, der Administrator muss sich also nicht umstellen. Ähnliches gilt für die Erteilung von Zugriffsberechtigungen etwa auf Mailboxen. Der Powershell-Befehl, um On Premise Berechtigungen zu setzen ist der gleiche wie der für die Online-Version.
Fazit: Die vorgestellten Enterprise-Funktionalitäten geben Unternehmen die Möglichkeit, sowohl Cloud-Dienste als auch eigene Software flexibel zu nutzen. Die Unternehmen haben die Wahl, wo sie Teile ihrer IT-Infrastruktur betreiben möchten und können zwischen der lokalen On Premise und dem On Demand Cloud Service je nach Bedarf hin und her schalten.