Office 365 Small Business - Ganz schnell

Wenn sie bislang Office 365 mit mit Exchange OnPremise als Hybrid-System installiert haben, dann hat man die komplexen Aufgaben von DirSync, Connectoren, Free/Busy-Abfragen etc. schon können gelernt. Das ist bei größeren Umgebungen, die Grenze wird da von Microsoft bei 300 Benutzern gezogen, durchaus nicht immer einfach. Aber auch für kleine Firmen gibt es Angebote, die vielleicht in der E1-E4-Paket-Diskussion etwas untergehen.

Diese schnelle Einrichtung kann durchaus auch für größere Firmen geeignet sein, die mit einem kleinen Piloten oder Testfeld starten sollen. Man kann eigentlich jeden Tenant immer wieder so umbauen, dass er auch produktiv gehen kann.

Ausgangssituation

Bislang war "carius.de" per MX-Record zu meinem Mailprovider (1und1) geleitet, von dem ich die Mails per IMAP4 geladen habe. Soweit nicht kritisches. "Zuhause" in den eigenen vier Wänden habe ich erst mal keinen Mailserver betrieben. Hinter einer "einzelnen dynamischen DSL-IP" mit DSL16.000 macht das auch nur bedingt Sinn. Aber ich wollte mal den Fall nachstellen, den besonders kleinere Firmen vielleicht eher abbilden:

  • Single Domain Controller OnPremise
    Das kann ja ein Small Business Server oder Essential Server sein, der neben der Funktion DC auch noch etwas Datei/Druckerserver mit macht.
  • Exchange nur Online (d.h. nicht OnPremise)
    Ich spare mit den lokalen Server und muss maximal eine Migration per IMAP4 von meinem bisherigen IMAP4-Provider in die Cloud vornehmen
  • Kennwort-Sync statt kein ADFS-Server
    Der Betrieb eines ADFS-Server ist nicht ohne (DNS-Name, Zertifikat) und unsicherer ist der Export der Hashwerte in die Cloud auch nicht wirklich. Auf "Single SignOn" kann ich problemlos verzichten.

Soweit ist alles "Standard".

Lizenzsituation

Microsoft bietet besondere Office 365 Pakete für kleine Firmen an. Klein bedeutet dabei bis zu 300 Benutzer. für diesen Kreis gibt es (Stand Mai 2015) drei interessante Pakete:

Umfang Office 365 Business Essentials Office 365 Business Office 365 Business Premium

Preis (1 Jahr Bindung)
Preis (monatlich kündbar)
zzgl. Umsatzsteuer

3,80€
4,60€

8,80€
10,70€

9,60€
11,50€

Microsoft Office
(Word, Excel, Outlook, etc.)

Nein

Ja

Ja

Services

  • Exchange Postfach (50GB)
  • Skype für Business
    (Ohne Telefonie CAL)
  • Yammer
  • Sharepoint
  • 1 TB OneDrive
  • Office Graph

Ja

Nein

Ja

Die etwas teureren Enterprise Pläne (E1-E4) bieten zusätzlich noch eine App-Verwaltung, Excel BI, Compliance-Funktionen, eDiscovery und andere Funktionen, die aber gerade von kleinen Kunden gar nicht genutzt werden. Wenn Sie aber z.B. schon Microsoft Office lizenziert haben, dann kommen Sie für ab 3,80€/Monat/User an ein vollwertiges Exchange Postfach und Skype für Business. Das ist schon ein sehr attraktiver Preis und für schlanke 5,80€/Monat mehr können sie auch die aktuellste Version von Microsoft Office einsetzen. Office ist damit sogar günstiger als die meisten "Einkommensteuerprogramme", die sie auch jede Jahr neu kaufen aber nur einmal nutzen.

Nehmen wir an, die möchten Office 365 nutzen, dann ist ein Setup schnell erledigt

Schritt 1: Vertrag abschließen

Zuerst müssen Sie natürlich über die Webseite oder einen Partnerlink bei Microsoft ein Office 365 Abonnement bestellen. Das beginnt schon mit einer 1-User Office 365 Business Essentials oder sie starten erst mal mit einer Testversion (30 Tage) von Office 365 Business Premium, die sie später dann weiter betreiben können.

Bei der Bestellung müssen Sie natürlich ihre Rechnungsdaten und Zahlungsweise eingeben. Wichtig ist hier aber auch die Eingabe des ersten "AdminUsers" zur Verwaltung des Tenant. Sie können den Benutzernamen (z.B. Admin) aber auch die Tenant-Domäne angeben. Hier kann es durchaus passieren, dass der von ihnen gewünschte Namen schon jemand anderes hat. Ich habe mir früh genug meine Tenants gesichert, so dass ich carius.onmicrosoft.com und msxfaq.onmicrosoft.com verwenden kann. Wenn "ihr Name" aber nicht mehr frei ist, brauchen Sie sich nicht wirklich zu ärgern. Wählen Sie dann einfach einen anderen Namen. Diese Domäne ist nur eine Verwaltungseigenschaft, die im normalen Betrieb (fast) nicht sichtbar wird. Sie ist z.B. in der URL der Sharepoint-Site sichtbar und der Default UPN, wenn Sie keine andere Domäne definiert haben.

Tipp: Ich selbst habe auch zwei Tenants. Einen zum "Arbeiten" und einen, den ich für Tests z B. mit DirSync, Federation etc. verwende. Die Essentials-Versionen sind abgesehen von den wenigen Enterprise Features im Grunde mit den großen Paketen vergleichbar. Größere Firmen kommen so für ganz wenige Geld einfach an einen zweiten Tenant zum Testen von DirSync oder Evaluieren von anderen Aufgabenstellungen.

Schritt 2: DNS-Domain aktivieren

Natürlich möchte ich nicht als "frank@msxfaq.onmicrosoft.com" von anderen Partnern angesprochen werden. Also muss ich natürlich umgehend dafür sorgen, dass ich eine meiner Domänen für Office 365 aktivieren. Dazu ist es nicht erforderlich, diese Domänen auch zu Office 365 umzuziehen. Das geht sogar nicht mal, da Microsoft keine DNS-Dienste anbietet. Ein Link für die "Bestellung" führt direkt zu GoDaddy als DNS-Registrar.

Sie tragen ihre gewünschte Domäne in Office 365 einfach ein. Damit Sie nun aber keine beliebige Domain hier verwenden können, müssen Sie den Besitz an dieser Domäne durch einen Eintrag im DNS nachweisen. Microsoft gibt dabei vor, dass Sie entweder einen MX-Record auf einen nicht existierenden Server oder einen TXT-Record im DNS als "Proof of Ownership" hinterlegen.

Das ist leider nicht bei jedem DNS-Hoster und Webhoster so einfach. So erlaubt 1und1 z.B. nicht, eigene zusätzliche DNS-Einträge vorzunehmen. So ist es z. B. bei OVH und HostEurope per Webbrowser direkt möglich, die für Office 365 erforderlichen Einträge zu addieren. Nach der erfolgreichen Verifikation können Sie direkt die bestehenden Benutzer entsprechend ändern. Wenn Sie ihr aktuelles Adminkonto ändern, dann müssen Sie sich danach neu anmelden. Es wird sichtbar nur die "Mailadresse" angepasst aber genau genommen betrifft dies auch den UPN und die SIP-Adresse.

Folgende DNS-Einträge sollte ihr bisheriger DNS-Provider unterstützen.

Verwendung Eintrag

Domäne verifizieren

Einen eigenen TXT oder MX-Eintrag

Mailempfang in die Cloud

@ MX 0 msxfaq-com.mail.protection.outlook.com

Absicherung Mailversand per SPF

@ v=spf1 include:spf.protection.outlook.com -all

Outlook

autodiscover CNAME autodiscover.outlook.com

Lync/Skype für Business

sip                    CNAME sipdir.online.lync.com
lyncdiscover           CNAME webdir.online.lync.com
_sip._tls              SRV 1 100 443 sipdir.online.lync.com
_sipfederationtls._tcp SRV 1 100 443 sipdir.online.lync.com

Client Management

msoid CNAME clientconfig.microsoftonline-p.net

Sollte ihr Provider dies nicht erlauben, können Sie Microsoft Office 365 dazu verwenden, als DNS-Server die erforderlichen Einträge zu hosten. Sie müssen bei ihrem aktuellen DNS-Hoster dann einfach nur die primären DNS-Server umstellen, um dann alle Einstellungen im Microsoft-DNS-Service zu machen. In dem Fall wird der bisherige Hoster nur noch dazu genutzt, die Domäne beim entsprechenden NIC zu delegieren.

Achtung:
Sie müssen dann natürlich schon selbst dafür sorgen, dass die bisher vorhanden Einträge (z.B. "www.<domain.tld>") auch in die Zone bei Microsoft übertragen werden und auch wieder aktualisiert werden, wenn ihr Webseiten-Hoster die A-Records für ihre Homepage ändert.

Schritt 3: Verwaltung der Identitäten

Der Assistent beim Einrichten einer neuen Domäne erlaubt ihnen direkt, neue Anwender per Webbrowser anzulegen. Aber vielleicht gibt es einen besseren Weg. Alle Dienste in der Cloud benötigen natürlich einen Benutzer, der zum einen die Berechtigungen zusammen hält als auch die Konfiguration für die Dienste enthält. Hier gibt es für Firmen eigentlich zwei Optionen:

  • Manuelle Identitäten
    Sie können als Office 365 Administrator einfach per Browser entsprechende Konten in der Cloud anlegen. Nach meiner Einschätzung geht das bis zu ca. 20 Personen oder bei wenigen Änderungen pro Tag. Es ist ein manueller Prozess.
  • Verzeichnisabgleich
    Sobald aber häufiger Änderungen erfolgen oder die Benutzeranzahl höher ist, wird die manuelle Verwaltung mühselig. Die Installation eines Verzeichnisabgleichs ist schnell erledigt und kann sogar auf dem Domain Controller mitlaufen.

Hinweis:
Wenn Sie die Benutzer eines lokalen AD in die Cloud synchronisieren, dann sollten sie vorab die Voraussetzungen schaffen, die ich auf Office 365:DirSync Check beschrieben habe.

Ich habe also meinen Windows 2012 (noch nicht R2)-Domaincontroller zuhause als Basis genutzt und die aktuelle Version von Office 365:ADSync installiert. Das geht recht einfach uns ist gut dokumentiert. Ich habe einfach die Standardeinstellungen genutzt, d.h. er kann ruhig alles Felder in die Cloud synchronisieren. Zusätzlich habe ich nur den Kennwort-Sync aktiviert. Exchange Hybrid wurde nicht aktiviert. Und wenige Minuten später hat ich alle Benutzer in der Cloud. Das hat also schon mal funktioniert.

Wenn ich es mir leiste einen DC zu betreiben und ich die manuelle Pflege der user in der Cloud ersparen will, dann tut der DirSync auf einem DC nicht weh. Die vielleicht 200-500MB Ram und etwas CPU alle 3 Stunden fallen nicht auf.

Ob Sie die Benutzer per DirSync oder manuell anlegen ändert nichts daran, dass Sie den Benutzern immer erst eine "Lizenz" zuweisen müssen, damit diese letztlich auch ein Exchange Postfach, ein Skype für Business Konto und all die anderen Funktionen bekommen.

Schritt 4: Authentifizierung

Es reicht nicht, wenn in der Cloud dann eine Identität ist. Der Server in der Cloud erwartet schon noch eine Authentifizierung. Als kleine Firma haben Sie drei Optionen um die Anmeldung zu verwalten.

  • Separate Kennworte
    Wer gar nichts macht, hat in der Cloud die Identitäten und eigene Kennworte. Das ist nicht mal schlecht, da Sie komplett unabhängig sind. Der Anwender muss sich natürlich zwei Kennworte merken, wenn diese nicht gleich sind.
  • Gleiche Kennworte mit DirSync ohne Single SignOn
    Wer schon die Identitäten per Verzeichnisabgleich verwaltet, können Sie sehr einfach den Hashwert in die Cloud übertragen. Das sehe ich nicht kritisch (Siehe Office 365':Password Sync) und erspart dem Anwender die separate Pflege der Kennworte in der Cloud. Allerdings muss der Anwender sich explizit anmelden, d.h. eine echte automatische Anmeldung geht so erst mal nicht.
  • ADFS
    Größere Firmen nutzen die Funktion von ADFS für die Anmeldung an Office 365. Der Client spricht dabei zuerst den Dienst in der Cloud an, der ihn dann aber auf einen lokalen ADFS-Server verweist. Das bedeutet aber auch, dass Sie einen ADFS-Server und einen ADFS-Proxy (mit öffentlichem Namen und Zertifikat) installieren müssen. Wenn der "offline" ist, können Sich die Benutzer aber nicht mehr anmelden und Firewall und DoS-Schutzfunktionen sind quasi auch erforderlich. Aber dafür bekommen Sie natürlich ein "Single SignOn"

Als ganz kleine Firma mit vielleicht weniger also 20 Personen und wenig Fluktuation wird man auf den DirSync verzichten und damit auch die Kennworte in der Cloud getrennt verwalten. Seit Windows 2012R2 rät Microsoft aber auch nicht mehr von der Installation der ADFS-Rolle auf einem Domain Controller ab (Siehe auch ADFS 2012R2. Dann fehlt nur noch ein Reverse Proxy oder ADFS Proxy, ein Zertifikat und ein Name um ADFS auch für kleinere Umgebungen zu nutzen.

Ich denke dass kleine Firmen aber mit dem Kennwort-Sync wunderbar leben können, wenn Sie in den verschiedenen Applikationen dann einfach ihr Kennwort "speichern" und damit im "Windows Tresor" ablegen.

Schritt 5: Lizenz zuweisen

Wenn Sie nun die Benutzer in der Cloud haben, dann ist es nur noch ein kleiner Schritt, bis die Anwender erstmals mit ihrem Skype für Business Konto oder Exchange Postfach arbeiten. Dazu müssen Sie noch die Lizenz zuweisen. Wenn Sie "manuell" einen Benutzer anlegen, dann unterstützt Sie der Assistent dabei natürlich bzw. belegt die Lizenz schon vor. Hier am Beispiel eines Essential Pakets

Damit is t der Benutzer dann auch gleich mit einem Exchange Postfach und einem Skype für Business Konto versehen und kann sofort loslegen. Wenn Sie aber die Benutzer über den DirSync anlegen, dann müssen Sie die Lizenzen nachträglich per Browser oder PowerShell zuweisen.

Leider gibt es hier keinen Automatismus seitens Office 365:ADSync, um z.B.: anhand von bestimmten Kriterien (AD-Feld, Gruppenzugehörigkeit, o.ä.) die Lizenz in der Cloud zu verwalten.

Schritt 6: Applikationen installieren

Wenn Sie all diese Vorarbeiten geleistet haben, dann fehlt nur noch die Installation der Software (oder der APP) auf dem jeweiligen Client. Die Konfiguration erfolgt per Autodiscover und Lyncdiscover alleine, wenn der Anwender die richtigen Anmeldedaten (Stichwort UPN und Kennwort) eingibt.

Sie müssen nicht unbedingt "Office 365 Professional Plus" lizenzieren und einsetzen. Hier sollten Sie schon schauen, welche Lizenzen Sie vielleicht schon haben und daher nicht zukaufen müssen. Wer z.B. "nur" Skype für Business Konferenzen machen möchte und auf den "Gallery View" verzichten kann, kommt mit dem Basic-Client in der Regel auch aus. Andererseits ist es natürlich schon bequem im Essentials-Paket für weniger als 7€/Monat einfach Office 365 ProPlus mit zu lizenzieren und einfach mit der aktuellsten Version zu arbeiten.

Hilfe und Support

Auch wenn Office 365 "einfach" aussieht und per Browser die Einrichtung und Verwaltung schon sehr einfach ist, kommen natürlich immer wieder Fragen auf, die weder die Verwaltung, die Videos, die Online-Hilfe oder die Community schon beantwortet hat. Auch die Suche nach Lösungen für eine Problemstellung gestaltet sich nicht immer einfach. Insbesondere wenn Sie noch bei einer "Konzeptphase" sind und sie noch gar nicht wissen, wo ein Problem kommen könnte. Ich vergleich dass immer mit dem Einsteigen ins Auto, wo man zwar das Ziel kennt aber noch nicht die Weg und die ganzen unwägbarkeiten (Stau, Tankstelle, Panne). Vielleicht ist dass einem Auto ja auch die Eisenbahn oder das Flugzeug die "richtige Lösung". Office 365 nimmt ihnen aber auf jeden Fall den Betrieb der Plattform ab, die im Eigenbetrieb um so teurer pro Benutzer wird, je weniger Anwender sie betreiben.

Für mich als Dienstleister hingegen sehe ich nur eine geringe Veränderung der Tätigkeiten. Konzepte, Beratung und Unterstützung bei der Einführung sind weiterhin erforderlich und über den Wegfall des Serverbetriebs (Hardware aufbauen und betreiben, Server patchen und überwachen, Zertifikate und Firewalls etc.) bin ich nicht wirklich böse. Vielmehr gibt mir das den Raum für produktive Weiterentwicklungen und Lösungen für Kunden.

Sie erreichen uns unter www.netatwork.de oder 0800-NETATWORK (0800-638 289 67) Sie brauchen Support ?
Einfach https://www.netatwork.de nutzen.

Weitere Links