Microsoft 365 CarveOut

Manchmal verkauft oder kauft eine große Firma eine kleine Firma mit wenigen Benutzern. Wie können Sie hier z.B. Daten eines Tenant in einen anderen Tenant überführen, wenn Aufwand und Kosten minimiert werden müssen?

Szenario

Stellen Sie sich vor, dass eine größere Firma ein Startup oder einen kleinen Zulieferer mit vielleicht 5-50 Mitarbeitern schluckt. Ich habe auch schon erlebt, dass in einer größere Firma eine neue Idee entwickelt wurde aber nach einigen Jahren schon absehbar war, dass diese Produkt nicht zum "Mainstream" der Firma passt und am besten als eigenständiges Startup ausgegründet wird.

Natürlich wissen wir alle um die großen Produkte und Projekt zur Migration von Postfächern, OneDrive-Dateien, Teams mit Verzeichnisabgleich, Cross-Tenant-Dirsync etc. SChon vor der Cloud gab es die gleichen Herausforderungen, wenn zwei AD-Forests miteinander verbunden werden sollten und Benutzer, Gruppen und Computer mit ADMT umfangreich migriert wurden.

Wenn es sich aber nur um wenige Personen handelt, dann können Sie hierfür nicht mit einem Projektplan, Projektmanagement, Test und Pilotphasen, Koexistenz etc. aufwarten, denn selbst wenn Sie 10 Personentage einplanen, sind das bei 20 Mitarbeitern schon 0,5 PT/Mitarbeiter. Das sind dann ca. 500€/Benutzer. Wenn Sie 10.000 Benutzer migrieren, dann sind selbst 100 Personentage auf den Benutzer umgerechnet günstig. Also müssen wir überlegen, was wir wie und wie schnell umziehen können.

Grundprinzip

Die folgenden Aussagen klingen wie Allgemeinwissen, aber ich führe sie dennoch immer wieder auf, weil ich dies auch bei Kunden immer wieder vorbringe. Letztlich müssen Kunde und Anwender wissen, auf was sie sich bei einer "beschleunigten Umstellung" einlassen. Sie können ja jederzeit sagen, dass Sie das nicht möchten und eher eine langsame Migration wünschen. Die dauert dann eben länger, ist auch nicht ohne Probleme aber kostet vor allem mehr Geld.

Beispiel: Ich würde nur sehr ungern zwischen Firmen mit weniger als 100 Mitarbeiten eine Koexistenz mit Mailrouting, DirSync und Migration über Wochen einrichten. Wenn die ersten Mitarbeiter migriert sind und andere noch zurück sind, gibt es genug Probleme mit Frei/Belegt-Zeiten, Stellvertreter-Zugriffen, Weiterleitungen etc. Der Aufwand solche Probleme zu lösen kostet nicht nur Zeit und Geld, sondern verzögert auch die weitere Migration.

Manchmal ist es besser, zu einem Stichtag alle Benutzer umzustellen und am Tag drauf, die verbliebenen Probleme zu beseitigen. Das kann auch mal bedeuten, dass ein Service einige Zeit noch nicht erreichbar ist. Hier sollten Sie klar vorab die verschiedenen Dienste und ihre Wichtigkeit klären und schriftlich festhalten, damit später kein Streit entsteht. Der Tag "T+1" ist eh hecktisch.

  • Zeit ist Geld
    Wir sparen uns lange Koexistenzphasen. Bei einer überschaubaren Benutzeranzahl kann auch mal eine Migration am Wochenende oder über Nacht durchgeführt werden. Natürlich wird es dann am Tag daraus etwas knirschen und wir kennen auch alle die Situation, wenn wir nur das Postfach migriert haben, dass dann alle sonstigen Probleme plötzlich damit zusammen hängen, z.B.: das der Drucker plötzlich langsam ist oder die Maus ruckelt. Da müssen Sie dann durch
  • Möglichst keine Information verlieren
    Das Ziel ist natürlich schon, dass alle Informationen übertragen werden. Man muss aber auch hier abwägen, wie perfekt dies erfolgt. Auch Daten haben Inkonsistenzen, die beim Export erst auffallen. Wer kennt nicht den Dateiserver, auf dem von einem früheren Ausfall noch Dateien korrupt sind aber dies niemand gestört hat. Beim XCOPY kommt dann aber der Lesefehler. Glauben Sie mit, es passiert.
  • Nicht alles sofort, priorisieren erforderlich
    Daten werden kopiert und wenn die Menge größer ist, dann dauert das. Sie könnten nun anfangen, alte Daten schon mal vorab zu kopieren oder bei der Umstellung nur die aktuellen Daten zu übertragen und die weniger wichtigen Daten nachzuholen. Vorab kopieren geht natürlich nur, wenn ihre Lösung später noch einmal Differenzen übertragen kann oder die Quelle sich nicht geändert hat.
  • Zugriff unterbrochen
    Es kann also sei, dass Sie schon vor dem Tag X einige Systeme vorab migrieren und daher für die Anwender nicht mehr wie gewohnt erreichbar sind. Aber auch nach der Umstellung könnte es sein, das noch nicht alle Zugriffe möglich sind. Klassischen Beispiel ist der Umzug des Postfachs, nach dem Sie Outlook Profile und Mobilegeräte neu konfigurieren müssen. Nicht immer funktioniert das automatische oder per MDM-Lösung. Was ist so schlimm daran, wenn die Anwender dann ein paar Stunden oder Tage per Browser ihre Mails lesen?
    Übrigens ist eine Anlaufstelle mit einem Statusübersicht nicht nur für die Administratoren sondern auch für die Anwenderkommunikation wichtig. Das kann auch mal eine WhatsApp/Telegram/Signal-Gruppe sein. Denken Sie hier pragmatisch
  • Keine Lockerung des Zugriffsschutzes
    Es darf aber nie passieren, dass Daten ungeschützt erreichbar sind. Kopieren Sie also keine Daten, wenn "Everyone:Fullaccess" auf Quelle oder Ziel hat. Das gilt auch für die Kennworte der Anwender im Ziel. Wenn Sie die Anmeldedaten aus der Quelle nicht mitnehmen können, dann sollten Sie die neuen Startkennworte einfach schon Tage vorher ausgeben oder Sie nutzen einen Wert der letzten Gehaltsabrechnung als Startkennwort.

Die Größe einer Firma ist nicht relevant, wenn es um die Festlegung von Prioritäten geht. Sie sollten möglichst vorab bestimmen, welche Funktionen zuerst, danach und zuletzt oder vielleicht gar nicht mehr oder anders bereitgestellt werden.

Datentöpfe

Jede Firma ist natürlich individuell und hat ihre eigenen Programme und Lösungen, die alle ganz wichtig sind. Bei einem Zusammenschluss prallen da schon einmal unterschiedliche Ansätze aufeinander und es ist zu prüfen, ob an dem Stichtag gleich alles umgedreht wird oder für eine Übergangszeit toleriert wird. Auch beim Herauslösen eines Teils muss sich diese neue Firma überlegen, ob einige Lösungen noch funktionieren, die im Großkonzern selbstverständlich waren. Ein paar Beispiele:

  • Domains als UPN, für SMTP und Teams
    Da Domains eigentlich nicht zwischen Tenants geshared werden können (Siehe Tenant Domain Sharing), bedeutet ein Wechsel eines Tenant auch immer, dass sich die Domain ändert oder bei einer Mitnahme in der Quelle entfällt. Das hat nicht nur Auswirkungen auf Email, sondern auch URLs für OneDrive, Teams Meetings. Die Benutzer sind auch "andere Systembenutzer" und können nicht mehr auf Informationen in anderen Tenants zugreifen. Selbst wenn die Domain übernommen wird, gibt es einen Bruch. Denken sie dabei auch an S/MIME-Zertifikate oder Smartcards zur Anmeldung.
  • Windows Desktops Clients
    Meist ist mit einer M&A-Aktion auch ein Wechsel der Domain-Mitgliedschaft und damit von Gruppenrichtlinien aber auch der Anmeldekonten und damit verbundenen Profile und lokalen Dateien etc. verbunden.
  • Exchange Postfächer
    Es gibt viele Wege, Postfächer zu übertragen und eine Frage der Quelle und des Ziels. Wenn das Ziel ein Exchange Online Tenant ist, dann schauen Sie sich bitte die EXO Bordmittel zur Migration an. Cutover ist genial, wenn die Benutzer noch nicht im Zieltenant vorhanden sind, um schnell von einem lokalen Exchange Server alle Postfächer in die Cloud zu verlagern. Den ADSync-Abgleich dürfen sie dann erst danach einrichten. Zwischen Tenants habe ich gute Erfahrungen mit T2T Exchange Online gemacht. Auch Drittprodukte oder generell nur Mail funktioniert mit IMAP4 Migration mit Exchange Online geht schnell.
    Dennoch sollten Sie sich auch 3rd-Party Migrationstools anschauen. Wenn Sie z.B. für 10€/User über eine GUI migrieren, dann sparen Sie vielleicht viel Zeit. Wenn die Benutzer neue Mailadressen bekommen, sollte der bisherige Inhaber zumindest einige Zeit noch eine Weiterleitung einrichten.
  • OneDrive
    OnPremises haben wir früher oft mit ROBOCOPY, dem "File Server Migration Toolkit" oder anderen Tools (Siehe Synchronisation von Dateien) gearbeitet. Von OneDrive zu OneDrive gibt es von Microsoft selbst eine Lösung aber viele der 3rd-Party Migrationstools, die auch Exchange migrieren, können auch OneDrive-Dateien und SharePoint übertragen. Aber bei 10 Benutzern könnten Sie auch überlegen, dass die Anwender im Ziel neu anfangen, beide Konten per Sync verbinden und einfach selbst die Dateien auf dem Client "verschieben".
    Freigaben zu solchen Dokumenten für externe Personen sind natürlich auch alle erst einmal weg und sind neu zu stellen
  • Teams
    Hier wird es knifflig, denn nun geht es um "gemeinsame Daten" und da wird es zumindest beim Carve Out die Frage geben ,welche Daten an die verkaufte Gruppe abgegeben werden und welche nicht. Aber selbst wenn es abgeschlossene Teams sind, wird man diese nicht ohne Verluste ins Ziel bekommen. URLs ändern sich und auch alle Meetings im Outlook Kalender werden durch die Postfachmigration nicht aktualisiert. Hier müssen die Anwender ihre zukünftigen Termine aktualisieren und neu versenden.
  • Andere Microsoft 365 Dienste
    Für PowerApps, PowerBi, Planner/Tasks u.a. Dienste müssen sie natürlich auch mal hinschauen, wie diese schnell und günstig zu übertragen sind oder ob Sie diese einfach ausschließen und den Mitarbeiten sagen, dass sie dies neu einrichten.
    Es ist dabei natürlich von Vorteil, wenn die Mitarbeiter nach der Migration noch einige Zeit auf die alten Daten z.B. mit einem "onmicrosoft.com"-Konto zugreifen können.

Nun verdienen die wenigsten Firmen ihr Geld mit dem Versand und Empfang von Mails oder Word-Dokumenten sondern mit der der Entwicklung, Herstellung oder Vertrieb von Produkten, für die es spezielle Programme und Lösungen gibt. Zudem vergessen viele Microsoft 365 Consultants, dass eine Firma auch zur Selbstverwaltung weitere Produkte (ERP, CRM, Buchhaltung, Zeiterfassung etc.) nutzen, die vielleicht noch auf Windows Servern laufen aber nicht mit Microsoft 365 zu tun haben. Gerade Personalverwaltung ist ein Punkt, der bei einem Carveout zu beachten ist. Die Mitarbeiter wechseln nicht nur arbeitsrechtlich in eine neue Firma. Auch die Personalakte, Lohnverwaltung, Urlaubsverwaltung etc. muss auf neue Füße gestellt werden. Bei einer Integration in eine neue Firma werden die Mitarbeiter fast immer im Zielsystem zu einem Stichtag weiter gepflegt und die alte Software archiviert. Ob hier etwas zu migrieren ist, hängt vom Einzelfall ab.

Pragmatismus gefragt

Leider steigen die Kosten und der Aufwand für ein Carveout nicht direkt linear mit der Anzahl der Benutzer. Es gibt immer einen Sockelaufwand, um die neue Umgebung erst einmal bereit zustellen. Das Anlegen der Benutzer, die Migration der Inhalte , der Wechsel der Clienteinstellungen ist hingegen direkt zur Anzahl der Benutzer proportional. Die Spezialanwendungen, die eine Firma eigentlich ausmachen, sind individuell zu betrachten. Wenn Sie aber die ein oder anderen Abstriche oder Kompromisse eingehen, dann können mit Bordmittel oder einfachen 3rd Party Lösungen die geläufigen Microsoft 365 Inhalte in einen neuen Tenant umziehen. Das könnte dann wie folgt aussehen:

Phase Tätigkeiten Beschreibung

Vorbereitung
  • DNS-Domain im Ziel-Tenant einrichten. (nur TXT, kein MX-Record)
  • Lokale A-User als DirSync oder CloudOnly anlegen
  • Exchange Postfach (RemoteMailbox oder EXO-Mailbox) aktivieren, Lizenz zuweisen
  • Mail Umleitung zur Quelle konfigurieren
  • Verteiler einrichten

Zuerst sorgen wir dafür, dass im Ziel entsprechende Postfächer angelegt werden aber Mails dorthin immer noch an die Quelle über eine Umleitung übertragen werden

Migration
  • Eirichten eines privilegierten Users in der Quelle
  • Eirichten eines privilegierten Users im Ziel
  • Gemäß der Anleitung der Migrationssoftware
    Migrationssoftware einrichten und konfigurieren
  • Inhalte replizieren lassen

Wenn Sie keine Migration mit IMAP4 oder PST-Datei machen, dann bleiben nur Drittprodukte für den Eigenbetrieb auf einem eigenen System oder aus der Cloud. Diese haben dann die Aufgabe die Mails aus den Quell-Postfächern in die Zielpostfächer zu übertragen und aktuell zu halten. Einige können wirklich synchronisieren und auch "Löschen" und "Verschieben" erkennen. Andere machen einfach einen stumpfen 1:1 Copy.

Fly, CodeTwo, Cloudiway o.ä. 3rd-Party Migrationstools können alle Mails migrieren. Dennoch gibt es natürlich Funktions-, Preis- und Leistungsunterschiede. Wenn es nur um Mails in Richtung Exchange Online geht, dann könnte sogar eine IMAP4 Migration mit Exchange Online reichen.

Wie lange das Kopieren dauert, hängt von der Bandbreite, Quellserver etc. ab. Ich habe schon werden von 1-20 GB/h gesehen.

Umschaltung
  • Weiterleitung im Ziel entfernen
  • MX-Record zu Exchange Online umstellen
  • 3rd Party Dienste umschalten
  • Client umstellen
  • Letzte Änderungen aus der Quelle übertragen + Kontrolle
  • Rückbau der Quelle, z.B. Kündigen der Postfächer in der Quelle

Wenn alle Inhalte im Ziel in der gewünschten Qualität sind, dann kommt der Stichtag, zu dem alles umgestellt wird. Sie müssen sicherstellen, dass in der Quelle nichts mehr passiert und alles in dem Ziel verbleibt. Nachdem die Umleitung entfernt ist, werden alle Systeme auf das Ziel umgestellt.

Ganz wichtig ist dabei die Information der Benutzer, d.h. dass Sie

  • vielleicht einige Stunden keine Mails nutzen können
  • ActiveSync-Profile auf dem Smartphone neu eingerichtet werden
  • ggfls. neue Anmeldedaten zu nutzen sind

Hier sollten sie früh und klar kommunizieren, für Verständnis werben und die Vorteile darstellen.

Fragen sie mich bitte nicht, wie lange das nun genau dauert. Bei kleineren Firmen bewegen wir und sicher im einstelligen Bereich für Dienstleitungstage. Die Dauer hängt natürlich von der Datenmenge und dem Durchsatz ab.

Dies ist eine kurze erste Beschreibung, wie eine Migration aussehen können. Für eine individuelle Betreuung können Sie meine Kollegen und mich gerne ansprechen.
https://www.netatwork.de/kompetenz/m365-migration/

Weitere Links