Microsoft 365 für kleine Firmen
Diese Seite beschäftigt sich mit den Firmen und Dienstleitern, die sich mit 2-100 Arbeitsplätzen beschäftigen. Wer kennt nicht den "Microsoft Small Business Server", der als DomainController, Datei & Druck-Server auch noch als Exchange und SharePoint Server das komplette Netzwerk mit entsprechenden Clients bedient hat. Es gibt eine Weiterentwicklung mit "Essentials Server", der aber "nur noch" Domain Controller ist und sich mit Microsoft 365 versteht. Allerdings hab ich immer wieder Kontakt mit ebenso kleinen Dienstleistern, die immer noch lokale Exchange Server bei Kunden betreuen und bei Problemen dann bei Net at Work landen.
Ich war lange Zeit auch "skeptisch", was die Microsoft Cloud angeht aber mittlerweile sehe ich keinen Grund, warum Firmen mit z.B. unter 1000 Arbeitsplätzen noch lokale Exchange Server betreiben sollten. Sie sind zu klein, um diese zu effektiven Kosten professionell zu machen. Der Betrieb von Spamfilter, Firewall, Zertifikaten und die regelmäßigen Updates kosten eigene Zeit oder Kosten der Dienstleister. Vergessen Sie nicht das Support-Ende einiger Produkte, z.B. Deadline Oktober 2025. Aber wie kann das aussehen?
Ich schreibe auf der Seite über "kleine" Firmen und "kleine" Dienstleister. Das soll in keinster Weise herabwürdigend missverstanden werden. Es sind gerade die kleinen flexiblen Firmen mit engagierten Mitarbeitern, die Dinge bewegen. Enterprise-Kunden sind nicht automatische "besser". Ich möchte hier gerade auch für diesen Markt mit Informationen helfen.
Verschiedener Quellen behaupten, dass ca. 90% aller Firmen weltweit als SMB zählen, diese ca. 50% aller Mitarbeiter beschäftigen, für 44% des Bruttosozialprodukts verantwortlich sind aber nur 31% der IT-Ausgaben haben. SMBs sind ein großer und wichtiger Bestandteil unserer Gesellschaft.
Anstoß
Diesmal war es ein Supportticket eines Dienstleisters, bei dem die Installation eines Exchange Zertifikats auf dem Exchange OnPremises-Server nicht funktioniert hat. Ich werde hier nicht auf die Details eingehen aber der Dienstleister selbst hat weniger als 10 Mitarbeiter und all seine Kunden sind im Bereich 5-30 Angestellten. Aber keiner dieser Kunden nutzt bislang die Microsoft Cloud und ein Grund ist hier sicherlich auch der Dienstleister, der selbst auch keine Microsoft 365-Dienste genutzt hat. Das ist anscheinend auch gar nicht mal so selten in Deutschland.
Vielleicht liegt es auch daran, dass Microsoft diese "Small Customer"-Dienstleister nicht wirklich informiert und diese natürlich ihrerseits sich auch nicht mehr aufschauen können. Mir sind auf Anhieb auch keine Roadshow oder Events eingefallen, wo ein klassisches "kleines Systemhaus" solche Informationen erhalten kann. Auch die klassischen Computer-Zeitschriften blenden das Thema gerne aus. Hier möchte ich mal Abhilfe schaffen, in dem eine aus meiner Sicht geeignete Vorgehensweise exemplarisch beschreibe. Ich erwarte nicht, dass alle Leser es dann genau so machen und es gibt natürlich an jeder Stelle auch Alternativen.
Sie können diese gerne selbst anpassen oder meine Kollegen oder mich fragen.
Ausgangssituation
Ich würde einmal eine klassische "alte", "kleine" Firma beschreiben, ihre Umgebung könnte wie folgt aussehen:
- Windows Server als Domain Controller,
File und Print-Server
Wenn es nicht gerade eine 1-2 Personen-Firma ist, dann gibt es schon einen Server, über den die verschiedenen Endgeräte als Domainmitglieder arbeiten. - Lokaler Mailserver
Erschreckend oft scheinen Firmen mit 10-30 Personen immer noch einen lokalen Exchange Server zu betreiben. Teilweise wohl sogar auf DCs oder als Memberserver oder als VM auf einem HyperV-Host. Sie sind entweder nur intern oder per VPN erreichbar oder über NAT oder einfache Firewalls zum Internet veröffentlicht, damit ActiveSync und OWA funktioniert. Seltener sind sie aktuell gepatched und in der Regel schlecht abgesichert. Nicht umsonst warnt das BSI (BSI CSW-Nr. 2024-223455-1032) vor "unsicheren Servern. Von den Kosten jedes Jahr einen Dienstleister zum Tausch der Zertifikats zu beauftragen, sprechen wir mal besser nicht. Den Spamfilter übernimmt die "AllInOne-Firewall" gleich mit.
Wer lokal keinen Exchange Cluster betreiben kann, sollte die Funktion in Microsoft 365 betreiben.
- Wenig SharePoint o.ä.
Auch wenn der SBS damals noch SharePoint enthielt und auch eine "SharePoint Foundation" auf neueren Servern installiert werden konnte, habe ich diese kaum bei den kleineren Firmen gefunden - Branchensoftware: Verwaltung
Auf jeden Fall gibt es aber die entsprechende Firmen und Branchensoftware. An erster Stelle steht die Buchhaltung, die vielleicht der Steuerberater macht oder schon als Cloud-Service eingekauft wird. Firmen wie DATEV, Lexware, SAP sind hier ja sehr aktiv ihre Kunden in eine "Subscription" zu bringen. Auch eine Zeiterfassung (Stechuhr) könnte es lokal geben und da wäre eine Cloud-Lösung mit Smartphone-App doch interessant - Branchensoftware: Produktspezifisch
Je nach Firma gibt es dann natürlich produktspezifische Software, z.B. zum Planen und Entwerfen der eigenen Produkte, die dazu benötigte Lagerhaltung etc. - Windows und Office Desktop Produkte
Die Clients selbst müssen natürlich auch entsprechend verwaltet und Software versehen werden. Ohne "Office" geht es halt nicht und kaum eine kleine Firma hat eine Softwareverteilung oder Patch-Management.
Es gibt sicher noch eine ganze Menge "Kleinkram" auf den ich nun aber nicht weiter eingehe. In meiner Familie gibt es einige Handwerker, so dass ich deren "Spezialsoftware" kenne aber alle nutzen natürlich Windows, Outlook, Office und dann ihre Branchensoftware. Das ist aber alles nicht mehr sicher und neue Funktionen wie z.B. Teams, OneDrive-Sharing etc. sind gar nicht möglich.
Tenant
Zuerst müssen Sie natürlich einen Tenant beantragen. Vielleicht gibt es sogar schon ein Viraler Tenant, den Sie übernehmen müssen. Kniffliger ist vielleicht die Namensfindung und eine initiale Konfiguration. Wenn Sie noch nie einen Tenant hatten, dann können Sie mit einem "Trial Tenant" starten, der einige Lizenzen für 30 oder mehr Tage bereitstellt. So fallen die Kosten erst nach einigen Monaten an. Aber das ist eigentlich kein Argument, denn die Kosten müssen Sie kennen und bewerten, ehe Sie mit Microsoft 365 anfangen. Über eine Nutzungszeit von vielen Jahren sind ein paar Einsparungen am Anfang nicht maßgeblich. Es könnte eher teurer werden, wenn Sie sich deswegen Zeit lassen und nicht zügig umstellen.
Sie haben ja lokale Server, die entweder alt sind, ein Update benötigen, eine Wartung erfordern oder sonst wie Kosten verursachen.
Verzeichnisabgleich Pro/Kontra
Die Einrichtung eines Verzeichnisabgleich ist ein initialer Aufwand aber führt vor allem beim weiteren Betrieb zu eine Komplexität, die Dienstleister und Kunden vielleicht überfordert. Sobald Identitäten in der Cloud mit einem Verzeichnisabgleich verwaltet werden, müssen Sie das lokale nicht nur mi dem Exchange Schema erweitern, sondern auch eine Exchange Management Shell vorhalten, d.h. ein "Rumpf-Exchange Server" oder die Management Shell per PowerShell (ohne GUI). Leider erlaubt Exchange Online es nicht, dass Sie die Exchange Eigenschaften von Empfänger in der Cloud ändern, wenn diese durch ADSync repliziert werden.
Eigentlich will ich nur den lokalen Exchange Server loswerden. Dazu brauchen wir aber einen Microsoft 365 Tenant und eine Migration. Aber das ist gar nicht so einfach, denn welche der mehreren Migrationsverfahren ist die richtige und welche Abhängigkeiten gibt es hier zum Verzeichnisabgleich, bei dem wir auch quasi vier Optionen haben:
-
AzureADConnect
Ein lokaler Dienst mit kleiner SQL-Datenbank liest zyklisch das lokale AD und repliziert die Daten in die Cloud. So funktioniert der Abgleich seit vielen Jahren aber benötigt die meisten Ressourcen (CPU, RAM, DISK und Dienstleistung -
EntraID Cloud Sync
Seit einigen Jahren können Sie einen kleinen lokalen Agenten installieren, der mit EntraID ausgehend Kontakt aufnimmt während der eigentliche Abgleich aus der Cloud gesteuert werden. Das ist sicher die Zukunft für kleine Firmen aber hat noch ein paar Einschränkungen für große Firmen (Device Join, Exchange Hybrid) - Essentials Sync
Das ist kein richtiger Sync aber mit Windows Essentials Server können Sie im lokalen Essentials Admin-Portal Benutzer verwalten und direkt die Objekte in Microsoft 365 mit verwalten - KeinSync
Hier obliegt es ihnen, die Benutzer in beiden Welten zu verwalten. Das kann durchaus ein Vorteil sein, wenn sie nur wenige Personen im Innendienst mit AD-Zugriff benötigen und viele Personen eh nur "online "sind.
Wir können hier zwei Gruppen unterscheiden:
Firmen ohne Verzeichnisabgleich (vielleicht <10 Benutzer)
Die Nachteile eines Verzeichnisabgleichs sind umso schwerwiegender, je kleiner die Firma ist. Ich habe daher einfach mal 10 Benutzer als Grenze angenommen aber weiß natürlich, dass es auch kleinere Firmen gibt, die einen DirSync wollen und auch größere Firmen ohne DirSync auskommen könnten. Mit Windows Server Essentials gibt es sogar einen Connector, so dass Sie im vereinfachten lokalen Adminportal die Benutzer verwalten und gleichzeitig die Objekte in Microsoft 365 mit verwalten:
- Essentials Provisioning
- Erste Schritte in Windows Server
Essentials
https://learn.microsoft.com/de-de/windows-server-essentials/get-started/get-started - Manage Microsoft 365 in Windows Server
Essentials
https://learn.microsoft.com/en-us/windows-server-essentials/manage/manage-office-365-in-windows-server-essentials - Manage Online Accounts for Windows
Server Essentials Users
https://learn.microsoft.com/en-us/windows-server-essentials/manage/manage-online-accounts-for-users
Es geht also auch mit einem lokalen AD ohne den großen Verzeichnisabgleich. Aber vielleicht brauchen Sie gar kein lokales AD mehr. Statt des lokalen Dateiservers können Sie SharePoint und OneDrive nutzen. Ausdrucke vom Client funktionieren auch dank UPNP und IPP ganz ohne lokale Druckerserver. Exchange und Teams kommen eh in der Cloud. Dann wäre Teams mit Telefonie z.B. über Microsoft Rufnummern oder Operator Connect der Anschluss.
Wenn Sie dann noch ihre Buchhaltung bei DATEV, SAP oder einem anderen Anbieter über die Cloud nutzen, dann bleibt nur noch die Frage nach ihrer Branchensoftware. Die "Kreativ-Büros" mit Adobe-Produkten nutzen quasi erzwungenermaßen die Adobe-Cloud. Sie müssten aber schon selbst ihre Hersteller befragen, wie deren Cloud-Strategie aussieht und ob sie diese mitgehen wollen.
Selbst wenn diese Spezialanwendungen nicht aus der Cloud beziehen, könnten diese auf dem Einzelplatz-System auf dem lokalen PC oder mit einem kleinen Dateiserver genutzt werden. Entsprechende NAS-Boxen (QNAP Synology u.a.) sind durchaus eine Alternative. Das ist aber im Einzelfall zu prüfen.
Mit der passenden Lizenz erhalten sie auch Intune, um z.B. ihre Endgeräte und Mobilgeräte zu verwalten. So können Sie Einstellungen auch ohne Gruppenrichtlinien vornehmen und Postfach-Profile auf Windows Clients und mobile Geräte verteilen. Damit unterstützen sie dann die ausstehende Exchange Migration.
In so einer Umgebung ohne Verzeichnisabgleich kann Microsoft 365 natürlich nicht wissen, dass es lokal einen Exchange Server mit Postfächern gibt. Auch die Bordmittel der Migration, insbesondere der Remote Move Request funktioniert so nicht und Staging/CutOver sind auch nur eingeschränkt nutzbar. Bei so kleinen Firmen würde ich gar keine "serverseitige Migration" durchführen, sondern die Daten entweder durch die Anwender selbst oder eine 3rd-Party-Software durchführen lassen, die sie auf einem Computer in der Firma installieren. Diese kann dann vom lokalen Exchange Server alle Mails per EWS oder MAPI extrahieren und in die vorbereiteten Cloud-Postfächer übertragen. So müssen wir den lokalen Server auch nicht aus dem Internet oder zumindest von Exchange Online erreichbar machen und ersparen uns den Migration Endpoint.
Wir weisen den Benutzern in Microsoft 365 einfach einen Exchange Online Plan zu und damit bekommen Sie "draußen" schon ein Postfach. Wir sollten natürlich sicherstellen, dass alle bisher lokal vorhandenen Empfänger auch in Exchange Online mit all ihren Mails vorhanden sind. Dann kann das Kopieren der Postfächer mittels 3rd-Party-Tool oder PST-Export/Import oder durch den Anwender per Drag and Drop erfolgen. Wenn die Daten ohne Fehler im Ziel sind, können wir einfach den MX-Record auf Exchange Online umstellen und danach die letzten Änderungen in der alten Welt umziehen.
Natürlich müssen wir dabei Sonderfälle wie "Scan2Mail" oder andere Dienste gesondert betrachten, die den lokalen Exchange Server nutzen. Das sollte aber bei kleinen Firmen kein Problem sein.
Firmen mit Verzeichnisabgleich
Wenn die Firma mehr Anwender hat, dann wird jemand das lokale Active Directory verwalten und es wird mit steigender Anwenderzahl natürlich immer aufwändiger, die Identitäten in Microsoft 365 ebenfalls zu pflegen. Schon die Änderung des Kennworts müsste der Anwender dann sowohl im lokalen AD als auch in Microsoft 365 durchführen. EntraID Connect (AzureADConnect) und insbesondere "EntraID Cloud Sync" sind dann die Wahl zum Verwalten der Microsoft 365 Identitäten anhand des lokalen Active Directory.
Damit eröffnen sich dann auch die Möglichkeiten einer Migration mit Exchange Bordmitteln. Ich würde bei kleinen Firmen keine lange Koexistenz von beiden Systemen vorsehen, sondern mit einem Remote Move Request einfach alle Postfächer zu Exchange Online synchronisieren lassen und dann zu einem Stichtag umstellen. Die Schritte dazu sind entsprechend einfach:
- Verzeichnisabgleich einrichten
Zuerst müssen wir die Identitäten zu Microsoft 365 bringen. Es spricht bei kleinen Firmen nichts gegen EntraID Cloud Sync. Damit werden die OnPremises "Mailboxen" automatisch zu Exchange Online MailUser mit einem Verweis auf die lokale Mailbox. - HCW: Minimum Modern Hybrid
Ohne Koexistenz reicht es mir, wenn HCW einen "Hybrid Agent" auf dem Exchange Server installiert, der zur Cloud per HTTPS spricht und als "Migration-Endpoint" für Exchange Online dient. Ich kann gerne noch das SMTP-Routing optimieren aber auch das kann ich eigentlich einsparen, wenn keine oder wenige Mails zwischen dem lokalen Exchange Server und dem eigenen Tenant gesendet werden. - Stichtags-Migration vorbereiten
Dann würde ich alle User über einen Migration-Batch zu Exchange Online bis 99% migrieren (SuspendWhenReadyToComplete"). So kann ich schauen, wie fehlerfrei die Datenübertragung ist und je nach Datenmenge kann das auch ein paar Tage dauern. Das ist aber unkritisch, da Exchange am Ende in einen "Sync Mode" wechselt, in dem er alle 24h die Änderungen nachholt. Die noch unsichtbaren Cloud Postfcher haben den Inhalt der lokalen Postfächer als Kopie. Bis dahin kann ich z.B. den TTL des MX-Record schon mal reduzieren, Exchange Online als SPF-Eintrag addieren und andere Nutzungen (Scan2Mail, Öffentliche Ordner, als Archiv missbrauchte XXL-Postfächer ) bereinigen. - Umschalten
Zu einem Zeitpunkt stellen wir dann den MX-Record und alle Clients zu Exchange Online um. Der lokale Server sollte nun keine Last mehr haben und ein letzter Synchronisationslauf des Migration-Batch holt alle letzten Änderungen zu Exchange Online. - Rückbau Exchange OnPremises
Der lokale Exchange Server sollte nun keine Aktivitäten und auch keine Postfächer mehr halten, da durch die Migration mit Bordmitteln über den Migration Endpoint am ende alle lokalen Postfächer zu "Remote Mailboxen" konvertiert wurden. Wir installieren eine Exchange Management Rolle auf einem Server, der für die Verwaltung der AD-Konten zuständig ist und beenden die Exchange Dienste. Eine richtige "Deinstallation" sollten sie nicht machen, damit die Einstellungen im Active Directory bestehen bleiben. Aber die zukünftig Verwaltung beschränkt sich auf die Anlage von AD-Benutzern und einem "Enable-RemoteMailbox" in einer Powershell.
Leider kommen Sie an einer lokalen Verwaltung der Exchange Eigenschaften von Empfängern nicht vorbei, solange Microsoft 365 einen Verzeichnisabgleich erkennt. Die Objekte habe in EntraID und in Exchange Online auf den durch das lokale AD gelieferten Felder einen "Schreibschutz". Sie können natürlich überlegen, ob sie auch nachträglich noch den Verzeichnisabgleich zurückbauen. Nach einiges Stunden gibt Microsoft 365 dann die Objekte zur direkten Verwaltung in Exchange Online frei.
- Exchange Management Rolle
- ADSync mit Exchange Online Only
- Exchange Online Provisioning
- LES - Last Exchange Server
- Remote Move Request - Kurzfassung
Weitere Dienste
Exchange ist natürlich nur ein Dienst aber sicher der wichtigste Dienst, welche bei kleinen Firmen zu Exchange Online migriert werden kann und sollte. Die Kommunikation mittels E-Mails ist bei vielen Firmen "kritisch", da es ein anerkanntes Mittel der Kommunikation mit Kunden und Lieferanten ist. Es ist deutlich einfacher und günstiger, diese Funktion nicht selbst zu betreiben. Abe was ist mit all den anderen Diensten, die ein lokales Netzwerk noch so bereitstellt.
- Drucken
Die Zeit der Druckserver ist vorbei. In großen Firmen gibt es natürlich den Bedarf an zentralen Druckdiensten mit "OnDemand"-Ausdruck mittels RFID-Karte am Drucker, Abrechnung von Seiten und unterschiedlichen Netzwerkzonen. Bei kleinen Firmen sind alte Drucker oft noch am PC angeschlossen oder als Netzwerkdrucker sowieso am gleichen Switch und Subnetz. Windows findet dies fast immer alleine und auch die Treiberinstallation erfolgt überwiegend problemlos. - Dateiserver
Wenn Sie noch ein AD haben, dann kann in kleinen Firmen der Server auch als Dateiserver dienen. Spendieren sie ihm eine vom Betriebssystem getrennte Partition oder arbeiten sie mit Disk-Quotas. Denkbar ist auch ein NAS-System. - Branchen Apps
Hier kann ich leider keine pauschale Empfehlung geben. Prüfen Sie, wie die Roadmap der Produkt aussieht. Vielleicht hat der Hersteller selbst schon eine Cloud-Strategie. Das würde mich nicht verwundern, denn es gibt schon sehr viele 3rd-Party Apps, die sich direkt an EntraID als Authentifizierungsdienst und Identity-Dienst anbinden lassen.
Da aber jeder Kunde individuell ist uns sie als Microsoft Partner oder Fachhändler ihre Kunden vermutlich seit mehreren Jahren kennen, sollten Sie eine Lösung ausarbeiten können
Microsoft 365 für Fachhändler
Sie können das am besten verkaufen und unterstützen, was sie selbst kennen. Daher sind nicht nur ihre kleine Kunden mit Microsoft 365 gut bedient. Auch für ihre eigene Firma ist Microsoft 365 eine gute Basis, wenn Sie in die gleiche "Größe" fallen. Für Fachhändler hatte Microsoft früher das "Action Pack" im Angebot. Für ca. 400€ bekam man 10 Microsoft 365 Lizenzen und CALs und lokale Serverlizenzen. Das Modell ist im Jan 2025 ausgelaufen und wurde durch die "Partner Success Core Benefits" ersetzt. Der Preis ist mit ca. 900€ einen Sprung nach oben gegangen. Aber dafür sind es nun 15 Microsoft365 Premium-Lizenzen mit Copilot, 2400 US$ in Azure Credits und viele weitere Produkte. Rechnen Sie für einen Dienstleister mit 4 Personen einfach den regulären Preis für Microsoft 365 Premium (20,60€ * 4 Personen *12 Monate = 988,80€. Die Antwort geben Sie sich hier schon selbst.
Dem das zu viel ist kann auch "Partner Launch Benefits" für ca. 354US$ kaufen und hat 5 Lizenzen von Microsoft 365 Business Premium, 700 US$ Azure etc. aber keine OnPremises Server CALs
- Partner Benefits
Launch https://partner.microsoft.com/id-id/partnership/partner-benefits-packages-benefits#tab-1
Success Core https://partner.microsoft.com/id-id/partnership/partner-benefits-packages-benefits#tab-2
Success Expanded https://partner.microsoft.com/id-id/partnership/partner-benefits-packages-benefits#tab-3 - Success Core
https://learn.microsoft.com/en-us/partner-center/membership/partner-success-core-benefits - Microsoft 365 Business
https://www.microsoft.com/de-de/microsoft-365/business - Partner sollen in die Cloud: Microsoft stellt Action Pack ein
https://www.heise.de/news/Das-Aus-fuer-guenstige-On-Prem-Lizenzen-Microsoft-stellt-Action-Pack-ein-9851164.html
Weitere Links
- BSI CSW-Nr. 2024-223455-1032
- Deadline Oktober 2025
- Exchange Management Rolle
- ADSync mit Exchange Online Only
- Exchange Management Rolle
- ADSync mit Exchange
- AzureADConnect
- EntraID Cloud Sync
- Checkliste Tenant Einrichtung
- SBS Systemhäuser
- Office 365 - Verkaufen
- Essentials Provisioning
- Erste Schritte in Windows Server
Essentials
https://learn.microsoft.com/de-de/windows-server-essentials/get-started/get-started - Manage Microsoft 365 in Windows Server
Essentials
https://learn.microsoft.com/en-us/windows-server-essentials/manage/manage-office-365-in-windows-server-essentials - Manage Online Accounts for Windows
Server Essentials Users
https://learn.microsoft.com/en-us/windows-server-essentials/manage/manage-online-accounts-for-users