Microsoft 365 Verwaltung

Nur weil sich ihre Exchange Postfächer und SharePoint Site nun in der Microsoft 365 Cloud befinden, sollten sie nicht dem Irrglauben unterliegen, sie haben nun weniger zu tun. Sicher fällt die Pflege von Servern, Installation von Patches und Konfiguration und natürlich die Updates nach einigen Jahren weg. Aber Microsoft nimmt ihnen weder die Verwaltung der Einstellungen noch den Endbenutzer-Support und vor allem die Begleitung und Unterstützung der Benutzer bei der Verwendung der neuen Möglichkeiten ab; landläufig auch als "Change Management" bezeichne.

Portal, Powershell, Automatisierung

Sie kennen sicher die unterschiedlichen Portale zur Verwaltung der unterschiedlichen Cloud-Dienste. Als Microsoft 365 nur aus Exchange Postfach und AzureAD bestand, reichte das Office 365 Admin Center unter https://portal.office365.com in den meisten Fällen aus. Das ist sowas wie "Active Directory Benutzer und Computer. Aber schon da mussten Sie manchmal auch das Azure Portal (https://portal.azure.com) oder das Microsoft Admin Center unter https://outlook.office365.com/ecp nutzen. Mit dem Funktionsumfang von Microsoft 365 mit Teams, Intune, Defender, und vielen anderen Tools, gibt es noch viel mehr Portale.

Spätestens wenn Sie Einstellungen machen müssen, für die es keine "Checkbox" in einem Portal gibt, oder Sie für viele Personen Änderungen vornehmen müssen, dann schlägt die Stunde der PowerShell. Aber auch hier gibt es nicht nur die eine PowerShell sondern mehrere Module, die eigene Anmeldeprozesse und Abhängigkeiten haben.

Ich glaube, so haben sie sich Microsoft 365 als Administrator dann wieder nicht vorgestellt. Ein Geschäftsführer, der für Kosten aber auch Datenschutz verantwortlich ist, wird früher oder später die Frage stellen, ob es nicht einfacher geht. Das Thema einer Automatisierung und es "Wie" habe ich auf sehr vielen Seiten schon für die unterschiedlichen Produkte beschrieben:

Wenn Sie also nicht gerade eine Firma sind, in der nur ein paar Mal pro Monat eine Änderung erforderlich ist, die dann natürlich von Hand erfolgen kann, dann sollten Sie sich Gedanken über eine Automatisierung machen. Zumal Microsoft vermutlich aus Vereinfachungsgründen einige Funktionen in der Cloud nicht bereitstellt, die wir aus dem lokalen Active Directory schon lange kennen, z.B. Organisationseinheiten zur Gliederung von Objekten. Im AzureAD sind alle Objekte immer als Liste zu sehen, quasi wie die frühe NT4-Domain. Der mittlerweile mögliche Admin Scope ist nicht immer ausreichend.

Automatisierung

Allerdings gibt es auch hier nicht nur eine Lösung sondern einige Fragen zu stellen.

  • Umfang
    Geht es erst einmal nur um die Cloud oder soll ihre geplante Lösung auch die On-Premises Plattform mit verwalten? Für "Cloud Only" gibt es eine Vielzahl von "Cloud-Produkten", die Sie nicht mal installieren müssen. Der Entwickler betreibt auch die Plattform für Sie.
  • Integration
    Es gibt mehrere Weg zu verwalten. Sie könnten einfach einen Benutzer im lokalen AD oder der Cloud anlegen und in entsprechende Gruppen addieren, anhand dieser dann eine Automatisierung startet und den Rest macht. Bei anderen Ansätzen geben Sie die Daten in einem Portal ihrer Lösung ein und die Software führt die Aktionen aus. Einen Schritt weiter geht der Weg, dass die Personalabteilung die Daten liefert und entweder selbst schon die Konfiguration übernimmt oder eine Software diese Änderungen abholt.
  • Make or Buy
    Mit Azure Automation und RunBooks PowerFlows können Sie schon viele Dinge selbst automatisieren. Aber sehr schnell merken Sie, dass es auch keinen Sinn macht, alles selbst zu machen. Das ist dann der Moment, an dem Sie doch nach Drittprodukten schauen, die ihnen die ein oder andere Aufgabe abnehmen.

Der Betrieb eines Metadirectory wird umso interessanter, je eher Sie die entsprechenden Prozesse definiert, die Anzahl der Änderungen hoch bzw. die Zuverlässigkeit gesichert sein muss. In der Regel gibt es bei Firmen mit 10.000 und mehr PC-Anwendern oder hoher Fluktuation entsprechend ausgearbeitete Prozesse. Aber auch mit weniger Änderungen pro Zeiteinheit gibt es interessante Ansätze zur Automatisierung. Denn oft sind es nur wenige Prozesse, die den Großteil der Änderungen ausmachen, z.B. Mitarbeiter kommt oder geht (Join/Leave/Exit-Prozesse) oder Teams/Gruppen werden gegründet, geändert oder zurückgebaut und vielleicht noch Systeme, die installiert und deprovisioniert werden. Überlegen Sie, welche bis zu 10 Aktionen die meisten Routinetätigkeiten sind und optimiert werden könnten.

Daa Thema der Identitätsverwaltung und Provisioning wird gerade bei Hosting-Firmen optimiert. Denken Sie einmal an IONOS, Strato, Host Europe, Hetzner u.a. bei denen sehr viele Kunden immer wieder die gleichen Aktionen ausführen, z.B. Webseite oder Hosting bestellen, Domain bestellen und kündigen, Postfächer einrichten und ändern etc. Bis Exchange 2007 hat Microsoft sogar Firmen erlaubt, selbst Exchange zu hosten. Daher finden Sie auch auf der Seite Hosting Provisioning weitergehende Informationen zu den unterschiedlichen Hosting-Ansätzen.

Eigenbau

Abhängig von ihren Anforderungen und ihren eigenen Kenntnissen können Sie natürlich sie sich den "Maßanzug" für ihre Umgebung schneidern lassen. Denn der Einsatzbereich klar umrissen ist, können Sie aber schon mit Microsoft 365 Bordmitteln oder eigenen Skripten viel erreichen.

Vielleicht haben Sie ja schon On-Premises entsprechende Skripte oder Automatisierungen, die Sie für Office 365 einfache erweitern können. Einige Funktionen wie z.B. die Office 365 Lizenzverwaltung können Sie heute schon über Gruppen steuern, d.h. Sie definieren im lokalen AD eine Windows Gruppe, lassen diese von ADSync ins AzureAD replizieren und weisen dann die Gruppen zu.

Auch für die Anlage und Verwaltung Teams in Microsoft Teams können Sie mit Microsoft Forms ein "Antragsformular" erstellen und im Hintergrund dann mit Flow den Prozess durchführen

Produkte aus der Cloud

Mit Microsoft 365 und der Verwaltung in der Cloud ist es natürlich auch für Drittanbieter sehr einfach, sich die Berechtigungen zur Verwaltung einräumen zu lassen und ihren Kunden ein Portal zur Verwaltung anzubieten. Interessanterweise ist Microsoft hier selbst noch nicht anbietet, sondern stellt nur die Plattform und APIs bereit. Aber diverse anderen Anbieter bieten Lösungen mit unterschiedlichen Zielen an. Einige fokussieren den Administrator, um seine Arbeit zu erleichtern, andere zielen auf die Selbstverwaltung der Anwender oder Abteilungsleiter, damit Tätigkeiten delegiert werden können, um die Abhängigkeit von einem Administrator zu reduzieren.

Die meisten Lösungen sind selbst Cloud-Produkte und daher schnell auch als Testversion integriert. Allerdings müssen Sie sich schon etwas Zeit zur Bewertung nehmen. Die Produkte haben auch durchaus unterschiedliche Zielgruppen. Einige vereinfachen die Verwaltung von Identitäten und z.B. Lizenzen in der Cloud während andere Produkte sich primäre um die Verwaltung von Microsoft Teams oder SharePoint kümmern. Gerade bei Teams kommen ja immer mehr und neue Funktionen hinzu. Oft sind Produkten mit Auswertungen gepaart, damit Sie einen besseren Blick auf die Verwendung bekommen wenn die Microsoft Bordmittel zu "Usage Reports" nicht genug aussagen.

Wenn Produkte in Microsoft 365 integriert sind, dann koppeln Sie sich zwecks Authentifizierung an ihr AzureAD und können oft auch über den Microsoft Marketplace gekauft werden.

Die Liste entsteht gerade und ich versucht erst gar nicht, eine Gegenüberstellung oder Auflistung des Funktionsumfangs. Bitte machen Sie sich einfach selbst ein Bild der Produkte und der Tauglichkeit in ihrem Unternehmen.

Wenn Sie Produkte kennen, die hier ebenfalls erscheinen sollten oder meine Angaben zum Funktionsumfang nicht mehr stimmen, dann können Sie mir gerne ein eine Nachrichten schreiben (Siehe Kontakt) Selbst ein "Ja" in einer Spalte kann nicht den Leistungsumfang jeder Software auch nur im Ansatz deutlich machen.

Produktname und Link LokalAD
Management
AzureAD
Management
AzureAD Gäste Exchange
Online
M3656 Gruppen Teams SharePoint
Easylife 365
https://www.easylife365.cloud/
Schwerpunkt "Teams Management"

 

 

Ja

 

Ja

Ja

Ja

Delegate 365
https://delegate365.com/de/
Schwerpunkt: "Delegierte Administration des AzureAD"

 

Ja

Ja

Ja

 

 

 

AvePoint
https://www.avepoint.com/de/products/cloud/office-365-governance
Schwerpunkt: Governance

 

 

 

 

Ja

Ja

Ja

Powell Teams
https://powell-software.com/de/losungen/microsoft-teams-governance/
Schwerpunkt: Teams Lifecycle

 

 

 

 

 

Ja

 

Adaxes: Active Directory Management
https://www.adaxes.com/
Umfangreiches Management aber teils erst nach eigenen Anpassungen

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Syskit Office 365 Provisioning
https://www.syskit.com/products/point/features/office-365-provisioning/

 

 

 

 

Ja

Ja

Ja

...

 

 

 

 

 

 

 

Und dann gibt es natürlich noch all die "Identity Management Systeme" (IDM), die Identitäten zwischen verschiedenen Systemen, z.B. HR-Daten, AD-Daten, Azure-Daten etc., abgleichen. Auf der Seite Hosting Provisioning habe ich am Ende einige Produkte aufgeführt, ohne dass die Liste je vollständig sein könnte.

Es gibt sicher noch viele andere Produkte und regelmäßig kommen neue Hersteller dazu oder verändern ihren Produktumfang. Wenn ihnen die Bordmittel der Microsoft 365 Portale nicht ausreichend sind, dann sollten Sie sich aber klar machen, welche Funktion sie heute brauchen. Oft ist der ersten Bedarf bei genauerem Nachdenken gar nicht die primäre Anforderung und vielleicht nutzen Sie sogar mehrere Werkzeug für unterschiedliche Einsatzzwecke. Daher kann ich hier keine Empfehlung oder Wertung abgeben.

Weitere Links