Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Markus Widl
Microsoft Office 365Das umfassende Handbuch
2277.book Seite 1 Montag, 10. Juni 2013 3:47 15
Auf einen Blick
Auf einen Blick
1 Grundlagen .............................................................................................................. 27
2 Windows PowerShell ........................................................................................... 111
3 Identitäten und Active-Directory-Synchronisierung ................................. 199
4 Office, Project und Visio ...................................................................................... 269
5 Exchange Online .................................................................................................... 329
6 SharePoint Online .................................................................................................. 559
7 Lync Online ............................................................................................................... 763
8 Weitere Dienste ..................................................................................................... 805
2277.book Seite 3 Montag, 10. Juni 2013 3:47 15
Inhalt
5
Inhalt
Vorwort .................................................................................................................................................. 19
Geleitwort des Fachgutachters ...................................................................................................... 25
1 Grundlagen 27
1.1 Was ist Office 365? .................................................................................................. 27
1.1.1 Enthaltene Produkte .................................................................................. 28
1.1.2 Standard vs. Dedicated .............................................................................. 29
1.1.3 Lizenzierung ................................................................................................ 29
1.1.4 Systemvoraussetzungen ........................................................................... 42
1.1.5 Rechenzentren ........................................................................................... 44
1.1.6 Anlegen eines Testkontos ......................................................................... 44
1.2 Exchange Online ...................................................................................................... 45
1.3 SharePoint Online ................................................................................................... 47
1.4 Lync Online ............................................................................................................... 49
1.5 Office .......................................................................................................................... 49
1.6 Project ........................................................................................................................ 50
1.7 Visio ............................................................................................................................ 51
1.8 Office 365-Portal ...................................................................................................... 51
1.8.1 Anwenderansicht ....................................................................................... 53
1.8.2 Administratoransichten ............................................................................ 57
1.9 Abonnements ........................................................................................................... 63
1.10 Domänenverwaltung ............................................................................................. 65
1.10.1 Voraussetzungen an DNS-Anbieter ......................................................... 67
1.10.2 Domäne verifizieren mit Midsize Business- und Enterprise-Konten ... 68
1.10.3 Domäne verifizieren mit Small Business-Konten ................................... 77
1.10.4 Domäne entfernen mit Midsize Business- und Enterprise-Konten ..... 80
1.10.5 Domäne entfernen mit Small Business-Konten ..................................... 83
1.11 Benutzerverwaltung ............................................................................................... 83
1.11.1 Microsoft-Online-ID ................................................................................... 84
1.11.2 Benutzer anlegen ....................................................................................... 85
1.11.3 Benutzer verwalten ................................................................................... 92
1.11.4 Gelöschte Benutzer wiederherstellen ..................................................... 93
2277.book Seite 5 Montag, 10. Juni 2013 3:47 15
Inhalt
6
1.11.5 Kennwortablaufrichtlinie .......................................................................... 94
1.11.6 Sicherheitsgruppen .................................................................................... 95
1.12 Berichte ..................................................................................................................... 97
1.13 Clientkonfiguration ................................................................................................ 99
1.13.1 Office 365-Desktopsetup .......................................................................... 99
1.13.2 Konfiguration von mobilen Endgeräten .................................................. 102
1.14 Problembehebung .................................................................................................. 104
1.14.1 Domänenproblembehandlung ................................................................ 106
1.14.2 Microsoft Online Services Diagnostics and Logging (MOSDAL) ........... 106
1.14.3 Administratorkennwort zurücksetzen .................................................... 108
1.14.4 Weitere Hilfestellungen ............................................................................ 109
1.14.5 Verbindungsprobleme .............................................................................. 109
1.15 So geht es weiter ..................................................................................................... 110
2 Windows PowerShell 111
2.1 Wozu PowerShell? .................................................................................................. 111
2.1.1 Ziele der PowerShell .................................................................................. 112
2.1.2 Systemvoraussetzungen ........................................................................... 113
2.2 Kernkomponenten der PowerShell ..................................................................... 115
2.2.1 Cmdlets ....................................................................................................... 116
2.2.2 Pipeline ........................................................................................................ 118
2.2.3 PowerShell Language ................................................................................ 119
2.2.4 Navigationsparadigma .............................................................................. 119
2.3 64 oder 32 Bit? ......................................................................................................... 120
2.4 v1.0? ........................................................................................................................... 121
2.5 Cmdlets ..................................................................................................................... 122
2.5.1 Namenskonventionen ............................................................................... 122
2.5.2 Parameter und Argumente ....................................................................... 124
2.5.3 Wo gibt es Hilfe? ........................................................................................ 125
2.6 Aliasse ........................................................................................................................ 127
2.7 Klassen und Objekte ............................................................................................... 129
2.7.1 »Get-Member« ........................................................................................... 131
2.7.2 »Select-Object« .......................................................................................... 133
2.7.3 Punktnotation ............................................................................................ 136
2.7.4 Standardausgabe ....................................................................................... 137
2277.book Seite 6 Montag, 10. Juni 2013 3:47 15
Inhalt
7
2.8 Pipeline ...................................................................................................................... 138
2.9 Wichtige Cmdlets .................................................................................................... 141
2.9.1 Filtern mit »Where-Object« ...................................................................... 141
2.9.2 Dateiexport mit »Out-File« und »Export-CSV« ....................................... 144
2.9.3 Grafische Ausgabe mit »Out-GridView« ................................................. 146
2.9.4 Sortieren mit »Sort-Object« ...................................................................... 146
2.9.5 Einfache Statistiken mit »Measure-Object« ........................................... 147
2.9.6 Schleifen mit »ForEach-Object« ............................................................... 147
2.9.7 Protokolle mit »Start-Transcript« ............................................................. 148
2.10 Variablen ................................................................................................................... 150
2.11 Funktionen und Filter ............................................................................................. 150
2.11.1 Funktionen definieren ............................................................................... 150
2.11.2 Filter definieren .......................................................................................... 152
2.12 Skripte ....................................................................................................................... 154
2.12.1 Aufbau ......................................................................................................... 154
2.12.2 Skriptausführung ....................................................................................... 155
2.12.3 Fehlerbehandlung ...................................................................................... 157
2.12.4 Parameterübergabe ................................................................................... 159
2.12.5 Profile .......................................................................................................... 160
2.12.6 Lange Befehlszeilen ................................................................................... 162
2.12.7 Funktionssammlungen ............................................................................. 163
2.13 Snap-ins und Module ............................................................................................. 165
2.14 PowerShell und Office 365 .................................................................................... 166
2.14.1 Windows Azure Active Directory-Modul für Windows PowerShell ..... 167
2.14.2 Domänenverifikation ................................................................................ 171
2.14.3 Benutzer anlegen ....................................................................................... 175
2.14.4 Benutzer verwalten ................................................................................... 188
2.14.5 Benutzer löschen und wiederherstellen ................................................. 190
2.14.6 Sicherheitsgruppen verwalten ................................................................. 191
2.14.7 Rollen verwalten ........................................................................................ 193
2.15 PowerShell und Active Directory ......................................................................... 194
2.15.1 Bezugsquelle .............................................................................................. 194
2.15.2 Voraussetzungen ....................................................................................... 196
2.15.3 Anwendung ................................................................................................ 196
2.16 So geht es weiter ..................................................................................................... 198
2277.book Seite 7 Montag, 10. Juni 2013 3:47 15
Inhalt
8
3 Identitäten und Active-Directory-Synchronisierung 199
3.1 Verschiedene Identitäten ...................................................................................... 200
3.2 Überprüfen der lokalen Umgebung .................................................................... 204
3.2.1 Durchgeführte Tests .................................................................................. 205
3.2.2 Voraussetzungen ....................................................................................... 206
3.2.3 Ausführung ................................................................................................. 206
3.3 Identitätsverbund ................................................................................................... 207
3.3.1 Vorteile ........................................................................................................ 207
3.3.2 Anforderungen ........................................................................................... 208
3.3.3 Topologien .................................................................................................. 210
3.3.4 Anmeldevorgang ........................................................................................ 214
3.3.5 Einrichtung ................................................................................................. 220
3.3.6 Test .............................................................................................................. 235
3.3.7 Zugriffssteuerung ...................................................................................... 237
3.4 Active-Directory-Synchronisierung ..................................................................... 242
3.4.1 Synchronisierungsvorgang ....................................................................... 244
3.4.2 Planung und Vorbereitung ....................................................................... 246
3.4.3 Installation .................................................................................................. 250
3.4.4 Filtern von Active-Directory-Objekten ..................................................... 257
3.4.5 Manueller Start der Synchronisierung .................................................... 261
3.4.6 Synchronisierung von Benutzerkonten ................................................... 262
3.4.7 Fehlerbehandlung ...................................................................................... 265
3.5 So geht es weiter ..................................................................................................... 268
4 Office, Project und Visio 269
4.1 Welches Office-Paket? ........................................................................................... 269
4.2 Systemvoraussetzungen ....................................................................................... 272
4.3 Installation unter Windows .................................................................................. 273
4.3.1 Manuelle Installation ................................................................................ 274
4.3.2 Download der Installationspakete verhindern ....................................... 278
4.3.3 Aktivierungsprozess ................................................................................... 279
4.3.4 Administrative Anpassung der Installation ............................................ 284
4.3.5 Installation über Gruppenrichtlinien ....................................................... 294
4.3.6 Installation über Softwareverteilungsanwendungen ........................... 298
2277.book Seite 8 Montag, 10. Juni 2013 3:47 15
Inhalt
9
4.3.7 Installation über Windows Intune ........................................................... 302
4.3.8 Konfiguration über Gruppenrichtlinien .................................................. 310
4.4 Office on Demand ................................................................................................... 313
4.5 Office Telemetrie ..................................................................................................... 314
4.5.1 Architektur .................................................................................................. 315
4.5.2 Installation .................................................................................................. 316
4.5.3 Auswertung ................................................................................................ 318
4.6 Installation unter Mac OS X .................................................................................. 319
4.7 Project ........................................................................................................................ 320
4.7.1 Systemvoraussetzungen ........................................................................... 321
4.7.2 Installation von Project Professional ....................................................... 322
4.7.3 Project Web App ......................................................................................... 322
4.8 Visio ............................................................................................................................ 327
4.8.1 Systemvoraussetzungen ........................................................................... 327
4.8.2 Installation .................................................................................................. 328
4.9 So geht es weiter ..................................................................................................... 328
5 Exchange Online 329
5.1 Was ist Exchange Online? ..................................................................................... 330
5.1.1 Funktionsüberblick .................................................................................... 330
5.1.2 Einschränkungen ....................................................................................... 333
5.2 Administrationsübersicht ...................................................................................... 334
5.2.1 Administrationswerkzeuge ...................................................................... 334
5.2.2 Exchange-Verwaltungskonsole (EAC) ...................................................... 336
5.3 PowerShell mit Exchange Online ......................................................................... 339
5.3.1 Voraussetzungen ....................................................................................... 339
5.3.2 Abgedeckte Funktionalität ....................................................................... 340
5.3.3 Verbindungsaufbau ................................................................................... 341
5.3.4 Anzahl zurückgegebener Objekte ............................................................ 343
5.4 Clients ........................................................................................................................ 343
5.4.1 Outlook für Windows ................................................................................ 343
5.4.2 Outlook für Mac OS X ................................................................................ 347
5.4.3 Outlook Web App ....................................................................................... 348
5.4.4 Mobile Endgeräte ....................................................................................... 356
5.4.5 Apps in Outlook und in der Outlook Web App ....................................... 360
2277.book Seite 9 Montag, 10. Juni 2013 3:47 15
Inhalt
10
5.5 Allgemeine Verwaltung ......................................................................................... 361
5.5.1 Postfächer ................................................................................................... 361
5.5.2 Gruppen ...................................................................................................... 366
5.5.3 Ressourcenpostfächer ............................................................................... 371
5.5.4 Externe Kontakte ....................................................................................... 374
5.5.5 Freigegebene Postfächer ........................................................................... 376
5.5.6 Öffentliche Ordner ..................................................................................... 379
5.5.7 Verbundene Konten ................................................................................... 384
5.6 Archivierung ............................................................................................................. 389
5.6.1 Lizenzen ...................................................................................................... 390
5.6.2 Szenarien .................................................................................................... 392
5.6.3 Verwaltung ................................................................................................. 392
5.6.4 Aufbewahrungsrichtlinien ........................................................................ 395
5.6.5 Anwenderansicht ....................................................................................... 405
5.7 Nachrichtenfluss ...................................................................................................... 412
5.7.1 Transportregeln ......................................................................................... 412
5.7.2 Zustellungsberichte ................................................................................... 422
5.8 Sicherheit .................................................................................................................. 424
5.8.1 Rollen ........................................................................................................... 424
5.8.2 Postfachberechtigungen ........................................................................... 440
5.8.3 Gelöschte Elemente ................................................................................... 449
5.8.4 Anti-Virus und Anti-Spam ......................................................................... 452
5.8.5 Verwaltung von Informationsrechten ..................................................... 457
5.9 Compliance ............................................................................................................... 463
5.9.1 Beweissicherungsverfahren ..................................................................... 464
5.9.2 Inaktive Postfächer .................................................................................... 466
5.9.3 Überwachungsberichte ............................................................................. 467
5.9.4 Verhinderung von Datenverlust ............................................................... 468
5.9.5 Journalisierung ........................................................................................... 469
5.9.6 Suche in mehreren Postfächern ............................................................... 472
5.10 ActiveSync ................................................................................................................. 478
5.10.1 Zugriff auf mobile Geräte ......................................................................... 478
5.10.2 Postfachrichtlinien für mobile Geräte ..................................................... 480
5.10.3 Postfacheinstellungen ............................................................................... 481
5.11 Unified Messaging .................................................................................................. 483
5.11.1 Funktionen .................................................................................................. 483
5.11.2 Voraussetzungen ....................................................................................... 483
5.11.3 Konfiguration ............................................................................................. 484
2277.book Seite 10 Montag, 10. Juni 2013 3:47 15
Inhalt
11
5.12 Migration .................................................................................................................. 485
5.12.1 Verfahrensübersicht .................................................................................. 486
5.12.2 IMAP-Migration .......................................................................................... 490
5.12.3 Übernahmemigration ............................................................................... 499
5.12.4 Mehrstufige Migration .............................................................................. 509
5.12.5 Migration von PST-Dateiinhalten ............................................................ 520
5.12.6 Migration öffentlicher Ordner .................................................................. 524
5.13 Hybridbereitstellung .............................................................................................. 526
5.13.1 E-Mail-Verkehr ........................................................................................... 528
5.13.2 Voraussetzungen ....................................................................................... 532
5.13.3 Testumgebung einrichten ........................................................................ 535
5.13.4 Einrichtung ................................................................................................. 541
5.13.5 Postfächer verschieben ............................................................................. 546
5.13.6 Outlook Web App-Umleitung ................................................................... 555
5.13.7 Verfügbarkeitsinformationen .................................................................. 556
5.13.8 Exchange Online-Archive .......................................................................... 557
5.13.9 Freigabe von Kalenderinformationen ..................................................... 557
5.14 So geht es weiter ..................................................................................................... 558
6 SharePoint Online 559
6.1 Was ist SharePoint Online? ................................................................................... 559
6.1.1 Einsatzszenarien ........................................................................................ 560
6.1.2 Funktionsüberblick .................................................................................... 563
6.1.3 Voraussetzungen ....................................................................................... 566
6.1.4 Einschränkungen ....................................................................................... 567
6.1.5 SharePoint-Zugriff ..................................................................................... 568
6.2 Administrationsübersicht ...................................................................................... 569
6.3 PowerShell mit SharePoint Online ...................................................................... 572
6.3.1 Voraussetzungen ....................................................................................... 572
6.3.2 Abgedeckte Funktionalität ....................................................................... 573
6.3.3 Verbindungsaufbau ................................................................................... 573
6.4 SharePoint-Architektur .......................................................................................... 574
6.4.1 Websitesammlungen ................................................................................ 575
6.4.2 Websites ..................................................................................................... 584
6.4.3 Listen und Bibliotheken ............................................................................. 591
6.4.4 Ordner ......................................................................................................... 600
2277.book Seite 11 Montag, 10. Juni 2013 3:47 15
Inhalt
12
6.4.5 Listeneinträge und Dateien ...................................................................... 600
6.4.6 Webparts .................................................................................................... 604
6.5 Berechtigungen ....................................................................................................... 606
6.5.1 Single Sign-on ............................................................................................. 606
6.5.2 Berechtigungskonzept .............................................................................. 607
6.5.3 Externe Benutzer verwalten ..................................................................... 621
6.6 Websitepostfächer .................................................................................................. 629
6.6.1 Anlegen eines Websitepostfachs ............................................................. 630
6.6.2 Einbindung in Outlook 2013 ...................................................................... 630
6.6.3 Entfernen eines Websitepostfachs .......................................................... 634
6.7 Suche .......................................................................................................................... 635
6.7.1 Durchführen einer Suche .......................................................................... 635
6.7.2 Administration ........................................................................................... 636
6.7.3 Kombinierte Suche .................................................................................... 636
6.8 Benutzerprofile ........................................................................................................ 637
6.8.1 Administration im SharePoint-Administratorcenter ............................. 638
6.8.2 Newsfeed .................................................................................................... 642
6.8.3 Info ............................................................................................................... 643
6.8.4 Blog .............................................................................................................. 644
6.8.5 Apps ............................................................................................................. 644
6.8.6 Aufgaben .................................................................................................... 645
6.8.7 SkyDrive ...................................................................................................... 646
6.8.8 Websites ..................................................................................................... 646
6.9 Terminologiespeicher ............................................................................................. 647
6.9.1 Erstkonfiguration ....................................................................................... 648
6.9.2 Ausdruckssätze anlegen ............................................................................ 649
6.9.3 Verwaltete Metadatenspalte erstellen ................................................... 650
6.9.4 Metadatennavigation ............................................................................... 652
6.10 Dokumentcenter ..................................................................................................... 653
6.11 Enterprise-Features ................................................................................................. 656
6.11.1 InfoPath Forms Services ............................................................................ 656
6.11.2 Excel Services .............................................................................................. 660
6.11.3 Visio Services .............................................................................................. 661
6.11.4 Access Services ........................................................................................... 663
6.12 Business Connectivity Services (BCS) .................................................................. 664
6.12.1 Datenquellentypen .................................................................................... 665
6.12.2 Anbindung an eine SQL Azure-Datenbank .............................................. 666
6.13 Outlook-Anbindung ................................................................................................ 679
2277.book Seite 12 Montag, 10. Juni 2013 3:47 15
Inhalt
13
6.14 Offlinezugriff und lokale Synchronisation ........................................................ 680
6.14.1 Synchronisierung einrichten ..................................................................... 683
6.14.2 Freigabe von Bibliotheken und Dateien .................................................. 686
6.14.3 Konfliktbearbeitung .................................................................................. 687
6.15 Mobiler Zugriff ......................................................................................................... 688
6.15.1 Microsoft Windows Phone ....................................................................... 688
6.15.2 Google Android .......................................................................................... 692
6.15.3 Apple iOS ..................................................................................................... 693
6.16 Öffentliche Website ................................................................................................ 695
6.16.1 Anlegen einer öffentlichen Website ........................................................ 696
6.16.2 Grundlayout festlegen .............................................................................. 700
6.16.3 Seiten anlegen und bearbeiten ................................................................ 700
6.16.4 Website online stellen ............................................................................... 702
6.17 Datensicherheit ....................................................................................................... 703
6.17.1 Papierkorb ................................................................................................... 703
6.17.2 Virusfilterung ............................................................................................. 705
6.17.3 Dateitypbeschränkungen ......................................................................... 706
6.17.4 Verwendung von Informationsrechten ................................................... 706
6.18 Anpassen von SharePoint Online ......................................................................... 709
6.18.1 Sandboxed Solutions ................................................................................. 713
6.18.2 App Solutions ............................................................................................. 715
6.19 SharePoint Online-Migration und Co-Existence ............................................... 721
6.19.1 Planung ....................................................................................................... 722
6.19.2 Durchführung ............................................................................................. 723
6.19.3 Daten übertragen ...................................................................................... 724
6.20 Hybridumgebungen ............................................................................................... 736
6.20.1 Server-zu-Server-Authentifizierung ......................................................... 737
6.20.2 Kombinierte Suche .................................................................................... 740
6.21 Problembehandlung ............................................................................................... 751
6.22 Yammer ..................................................................................................................... 753
6.22.1 Warum Yammer? ....................................................................................... 754
6.22.2 Administration ........................................................................................... 754
6.22.3 Gruppen ...................................................................................................... 754
6.22.4 Clients ......................................................................................................... 755
6.23 Office Web Apps ...................................................................................................... 755
6.23.1 Anwendungsgebiete ................................................................................. 756
6.23.2 Unterstützte Dateitypen ........................................................................... 760
2277.book Seite 13 Montag, 10. Juni 2013 3:47 15
Inhalt
14
6.23.3 Konfiguration ............................................................................................. 761
6.23.4 Drucken ....................................................................................................... 762
6.23.5 Gemeinsames Bearbeiten ......................................................................... 762
6.24 So geht es weiter ..................................................................................................... 762
7 Lync Online 763
7.1 Was ist Lync Online? ............................................................................................... 763
7.1.1 Einsatzszenarien ........................................................................................ 764
7.1.2 Arbeiten mit Lync ....................................................................................... 768
7.2 Administration ......................................................................................................... 772
7.2.1 Voraussetzungen ....................................................................................... 772
7.2.2 Administrationsübersicht ......................................................................... 776
7.2.3 Benutzerverwaltung .................................................................................. 777
7.2.4 Organisationsverwaltung ......................................................................... 778
7.2.5 Externe Kommunikation ........................................................................... 780
7.2.6 Einwahlkonferenzen .................................................................................. 782
7.2.7 Besprechungseinladungen ....................................................................... 783
7.3 PowerShell mit Lync Online .................................................................................. 784
7.4 Lync-Clients .............................................................................................................. 784
7.4.1 Lync 2013-Client .......................................................................................... 784
7.4.2 Lync Windows Store-App .......................................................................... 788
7.4.3 Lync Basic 2013 und Lync Web App-Client ............................................... 789
7.4.4 Mobile Lync-Clients ................................................................................... 792
7.4.5 Lync-Client für Mac OS X ........................................................................... 796
7.4.6 Telefone ...................................................................................................... 798
7.4.7 Problembehebung ..................................................................................... 798
7.5 Telefonie ................................................................................................................... 799
7.6 Hybridumgebungen ............................................................................................... 800
7.6.1 Geteilte Domäne (»Lync Hybrid«) ............................................................ 800
7.6.2 Geteilte Domäne mit lokalen Sprachfunktionen
(»Lync Hybrid Voice«) ................................................................................ 803
7.7 So geht es weiter ..................................................................................................... 804
2277.book Seite 14 Montag, 10. Juni 2013 3:47 15
Inhalt
15
8 Weitere Dienste 805
8.1 IaaS, PaaS vs. SaaS; Public Cloud vs. Private Cloud .......................................... 805
8.2 Windows Intune ...................................................................................................... 807
8.2.1 Einrichtung ................................................................................................. 811
8.2.2 Lizenzierung ................................................................................................ 811
8.3 Dynamics CRM Online ............................................................................................ 812
8.3.1 Überblick ..................................................................................................... 812
8.3.2 Clients ......................................................................................................... 813
8.3.3 Lizenzierung ................................................................................................ 815
8.3.4 Anwendung ................................................................................................ 816
8.3.5 Integration mit SharePoint Online ........................................................... 817
8.4 Windows Azure ........................................................................................................ 824
8.5 Windows Server 2012 Essentials .......................................................................... 826
8.5.1 Funktionsübersicht .................................................................................... 827
8.5.2 Anbindung an Office 365 .......................................................................... 829
8.5.3 Benutzerverwaltung .................................................................................. 829
8.5.4 Eigene Domäne .......................................................................................... 830
8.6 So geht es weiter ..................................................................................................... 831
Anhang 833
A.1 Windows PowerShell 3 Cheat Sheet ................................................................... 833
A.2 Poster Office 365-Lizenzvergleich ........................................................................ 833
A.3 Vorgeschlagene Testumgebung .......................................................................... 834
A.3.1 Netzwerkumgebung .................................................................................. 834
A.3.2 Testkonto für Office 365 ............................................................................ 836
A.3.3 Domäne ....................................................................................................... 836
A.3.4 SSL-Zertifikate ............................................................................................ 836
A.4 Inhalt des Downloadpakets .................................................................................. 837
A.5 Wo gibt es sonst noch Informationen? .............................................................. 837
Index ........................................................................................................................................................ 839
2277.book Seite 15 Montag, 10. Juni 2013 3:47 15
Vorwort
19
Vorwort
Gleich geht es los. Doch vorher möchte ich Ihnen noch ein paar einleitende Sätze
zum Inhalt dieses Buches mit auf den Weg geben.
Warum ein Buch zu Office 365?
Potenzielle Interessenten von Office 365 erhalten beim Betrachten der offiziellen
Produktwebsite und der Marketingbroschüren leicht den Eindruck, dass die Integra-
tion in bestehende Umgebungen schnell und ohne große Schwierigkeiten zu
bewerkstelligen ist. Beschäftigen sie sich dann näher mit der Thematik, wird schnell
deutlich, dass ein komplexer Clouddienst nicht mal eben schnell integriert ist.
Außerdem ist ein breites Wissen erforderlich, beispielsweise von Active Directory,
DNS, ADFS, Exchange, SharePoint, Lync und Softwareverteilung. Dieses Buch soll
Ihnen auf dem Weg zur Integration von Office 365 ein hilfreicher Begleiter sein. Es
vermittelt das nötige Wissen und hilft, bei der Umsetzung der für Ihr Unternehmen
besten Variante möglichst viele Problemstellen zu umschiffen. Dabei bewegt sich der
Inhalt weitab von der offiziellen Produktwebsite und den Marketingbroschüren.
Im Buch werde ich auf die Besonderheiten von kleinen und großen Unternehmen
und die unterschiedlichen Bedürfnisse gleichermaßen eingehen.
Für welche Ausgabe von Office 365 ist das Buch gedacht?
Office 365 ist heute für unterschiedliche Zielgruppen verfügbar: Neben Geschäfts-
kunden auch für den Bildungsbereich sowie für Behörden und Privatanwender. In
diesem Buch bespreche ich die Editionen für Geschäftskunden, und zwar genauer
diese:
� Office 365 Small Business
� Office 365 Small Business Premium
� Office 365 Midsize Business
� Office 365 Enterprise
Seit Ende Februar 2013 erhalten Neukunden von Office 365 die Dienste auf Basis der
2013er-Plattform der Microsoft-Server Exchange, SharePoint und Lync. Wurde Ihr
Office 365-Konto noch nicht auf diese Plattform umgestellt, greifen Sie lieber zur
1. Auflage dieses Buches:
Microsoft Office 365 – Administration, Konfiguration, Integration
Galileo Computing, 752 S., 2012, geb., mit Poster
49,90 Euro, ISBN 978-3-8362-1800-9
2277.book Seite 19 Montag, 10. Juni 2013 3:47 15
Vorwort
20
Das Gleiche gilt, wenn Sie sich auf die Microsoft Zertifizierungs-Prüfung 74-324,
»Administering Office 365 for Small Businesses« vorbereiten. Solange diese Prüfung
nicht auf das aktuelle Office 365 umgestellt wurde, sollten Sie auch hier zur 1. Auflage
des Buchs greifen.
Bei der Prüfungsvorbereitung kann Ihnen dieses Poster helfen:
http://pruefungsguide.office365buch.de
Sind Sie sich unsicher, ob Ihr Office 365-Konto bereits auf der neuen Plattform auf-
setzt oder noch auf der alten, melden Sie sich als Administrator bei Office 365 an
(https://portal.microsoftonline.com). Das Layout wurde in der aktuellen Ausgabe
deutlich verändert. Abbildung 1 und Abbildung 2 helfen Ihnen bei der Identifizie-
rung.
Welche Vorkenntnisse werden vorausgesetzt?
Um mit dem Buch arbeiten zu können (und um ein entsprechendes Projekt umzu-
setzen), sollten Sie grundlegende Kenntnisse in Administrationsaufgaben mitbrin-
gen. Dazu gehören beispielsweise Active Directory und DNS. Wenn Sie noch nie mit
ADFS gearbeitet haben, ist das kein Beinbruch, die entsprechenden Kenntnisse
bespreche ich im Buch. Bringen Sie darüber hinaus Erfahrungen mit Exchange und/
oder SharePoint mit, kann es direkt losgehen.
Abbildung 1 Office 365-Anwenderportal der 2013er-Server-Plattform
2277.book Seite 20 Montag, 10. Juni 2013 3:47 15
Vorwort
21
Und der Inhalt?
Los geht es mit Kapitel 1, »Grundlagen«. Sie erhalten einen ersten groben Überblick
über Office 365. Dazu gehören die verschiedenen Kontenarten, verfügbare Lizenzen
und die Administration über das Office 365-Portal. Außerdem richten Sie ein Office
365-Konto ein. Weitere Themen sind die Verifikation eigener Domänen, die Benut-
zerverwaltung und die Clientkonfiguration. Außerdem gebe ich Ihnen Tipps, wie Sie
Probleme beheben können.
Weiter geht es mit Kapitel 2, »Windows PowerShell«. Microsofts »neue« Kommando-
zeile benötigen Sie nicht zwangsläufig für die Arbeit mit Office 365. Im Regelfall kön-
nen Sie mit grafischen Oberflächen arbeiten. Doch diese unterstützen nicht alle
Funktionen, und so ist ein Ausflug in die Kommandozeile manchmal zwingend
erforderlich. Kenner der PowerShell werden die Flexibilität schätzen, mit der die
skriptbasierte Administration und Automatisierung durchgeführt werden kann.
Deshalb zieht sich die PowerShell durch das ganze Buch.
In Kapitel 3, »Identitäten und Active-Directory-Synchronisierung«, geht es dann wei-
ter mit zwei optionalen, aber in vielen Szenarien gewünschten Funktionalitäten. Ich
erkläre den Unterschied zwischen Microsoft-Online-Identitäten und Verbundiden-
titäten und zeige Vor- und Nachteile bei ihrem Einsatz auf. Außerdem werden Sie für
die Einrichtung von Single Sign-on mit ADFS in Berührung kommen und Teile Ihres
Abbildung 2 Office 365-Anwenderportal auf Basis der 2010er-Server-Plattform
2277.book Seite 21 Montag, 10. Juni 2013 3:47 15
Vorwort
22
Active Directorys automatisch mit Office 365 synchronisieren, was nicht nur den
Administrationsaufwand verringert.
Mit Kapitel 4, »Office, Project und Visio«, lernen Sie die Besonderheiten des Office-
Pakets aus Office 365 im Vergleich zur Volumenlizenzvariante kennen. Außerdem
zeige ich Ihnen verschiedene Wege bei der Verteilung des Pakets in Ihrem Unterneh-
men auf. Und auch mit Project und Visio, das in manchen Ausgaben von Office 365
verfügbar ist, kommen Sie in Berührung.
In Kapitel 5, »Exchange Online«, beschreibe ich den komplexen E-Mail-Dienst. Sie ler-
nen die abgedeckten Funktionsbereiche, die Administration über EAC und Power-
Shell kennen. Darunter sind Funktionen wie Postfächer, Transportregeln, Archivie-
rung, Compliance und das Sicherheitskonzept. Außerdem spielt die Migration von
vorhandenen E-Mail-Systemen eine wichtige Rolle. Am Ende des Kapitels beschreibe
ich die Einrichtung einer Hybridbereitstellung, bei der Sie dauerhaft eine lokal vor-
handene Exchange-Organisation mit Exchange Online koppeln.
In Kapitel 6, »SharePoint Online«, wird es nicht weniger komplex. Auch in diesem
Kapitel lernen Sie zunächst die abgedeckten Funktionen kennen. Außerdem erläu-
tere ich viele SharePoint-Grundlagen wie die Architektur, das Berechtigungskonzept,
Benutzerprofile, Terminologiespeicher und auch die Office Web Apps. Ein wichtiger
Teil sind die Besonderheiten von SharePoint Online, beispielsweise das Einladen
externer Benutzer und die Erstellung einer einfachen öffentlichen Website. Wie bei
Exchange Online beschreibe ich verschiedene Strategien bei der Migration bestehen-
der Umgebungen.
Weiter geht es in Kapitel 7, »Lync Online«, mit dem »kleinsten« der Office 365-
Dienste. Sie lernen verschiedene Einsatzbereiche, die Administration und eine breite
Palette verschiedener Clients kennen.
In Kapitel 8, »Weitere Dienste«, wagen wir einen Blick über den Tellerrand. Ich
beschreibe verschiedene weitere Produkte, die wie Office 365 von Microsoft als SaaS-
Cloudanwendungen angeboten werden. Darunter sind Dynamics CRM Online und
Windows Intune. In diesem Kapitel zeige ich Ihnen auch verschiedene Integrations-
möglichkeiten der Produkte untereinander.
Das Buch schließt mit einem Anhang, der Bonusmaterialien für Sie bereithält.
Manche Absätze sind mit diesem Symbol gekennzeichnet. Diese Absätze stellen
Kommentare zu den entsprechenden Schritten dar. Ich möchte Ihnen damit die ein-
zelnen Aktionen näher vorstellen.
Was ist mit neuen Funktionen?
Office 365 ist ein lebendiges Produkt. Im Unterschied zu den klassischen Box-Versio-
nen von Exchange, SharePoint und Lync werden bei Office 365 sehr viel häufiger
2277.book Seite 22 Montag, 10. Juni 2013 3:47 15
Vorwort
23
neue Funktionen bereitgestellt und nicht etwa erst mit einem Service Pack. Das heißt
allerdings auch, dass zu dem Zeitpunkt, zu dem Sie dieses Buch lesen, sicher so man-
che spannende Funktion zusätzlich verfügbar ist oder so manche Einschränkungen
nicht mehr existieren. Damit Sie dennoch auf dem Laufenden bleiben, erhalten Sie
mit dem Buch einen Zugang zu einem geschützten Bereich auf dem Galileo-Press-
Webserver. Dort finden Sie neben aktuelle Updates übrigens auch den Skript- und
Programmcode aus diesem Buch – Abtippen ist nicht nötig!
� Am einfachsten erreichen Sie das Bonusmaterial unter dieser URL:
http://office365buch.de
� Neue Inhalte werden unter dieser URL veröffentlicht:
http://aktuelles.office365buch.de
� Die RSS-Feed-Reader-Fraktion verwendet alternativ diese URL:
http://rss.office365buch.de
Dankeschön!
Das Vorwort ist ein guter Platz, um allen zu danken, die zum Gelingen dieses Buches
beigetragen haben. Da wären zunächst einmal meine Lektoren Sebastian Kestel und
Anne Scheibe, die mich bei meinem Buchprojekt angenehm unterstützt haben.
Dank gebührt auch den vielen anderen Galileos, die im Hintergrund während der
Entstehungsphase, bei der Veröffentlichung und auch später für eine hohe Qualität
des Buches sorgen.
Eine wichtige Rolle spielte auch mein Fachlektor Volker Mössinger von Microsoft.
Ihm habe ich nicht nur viele konstruktiv kritische Anmerkungen zu verdanken, son-
dern auch ein ständig offenes Ohr und zeitnahe Informationen über aktuelle Ent-
wicklungen direkt von der Quelle.
Die Sprachkorrektur wurde von Angelika Glock durchgeführt. Ihr haben wir es zu
verdanken, dass der Text insgesamt viel lesefreundlicher ist, als dies in meinem
ursprünglichen Manuskript der Fall war.
Ein Dankeschön auch an die Setzer von SatzPro und Maxi Beithe von der Herstel-
lung, durch deren Arbeit das relativ trockene Themengebiet ein ansprechendes
Äußeres erhalten hat.
Dank gebührt auch dem AddOn Systemhaus (www.addon.de). AddOn versorgt mich
immer mit spannenden Projekten und unterstützt mich an den unterschiedlichsten
Stellen. Tipp: Für die AddOn halte ich auch mehrtägige Seminare rund um Office 365.
Meine Schwester Angelika Widl hat auch bei diesem Buch wieder die schwere Auf-
gabe gehabt, meine handschriftlichen Skizzen in ansehnliche Schaubilder umzuset-
zen, was ihr wieder sehr gut gelungen ist.
2277.book Seite 23 Montag, 10. Juni 2013 3:47 15
Vorwort
24
Zu guter Letzt sei hier noch meine Familie erwähnt, die, wenn auch nicht direkt,
zumindest indirekt ihren Anteil an diesem Buch hat – sei es durch moralische Unter-
stützung oder die Freiheit, ein solch zeitintensives Projekt neben der »normalen«
Arbeit anzugehen.
Ihnen und euch allen ein herzliches Dankeschön!
Fragen, Wünsche, Anregungen?
Sollten bei Ihnen Fragen zum Inhalt des Buches aufkommen, oder haben Sie Wün-
sche oder Anregungen für eine eventuelle Neuauflage, sind Sie herzlich eingeladen,
sich mit mir in Verbindung zu setzen. Ich bin beruflich zwar sehr eingespannt, und es
kann ein paar Tage dauern, bis Sie eine Antwort von mir bekommen, aber ich werde
mich melden. Meine E-Mail-Adresse finden Sie unten.
Nun aber genug der Vorrede. Ich wünsche Ihnen viele neue Erkenntnisse und Erfolg
mit Ihren Office 365-Projekten!
Schömberg, im April 2013
Markus Widl
2277.book Seite 24 Montag, 10. Juni 2013 3:47 15
199
3
Kapitel 3
Identitäten und Active-Directory-Synchronisierung
50.000: Maximalanzahl der mit dem SQL Server 2008 R2 Express
synchronisierbaren Active-Directory-Objekte
Typischerweise wollen Sie Ihre Endanwender bei der Arbeit unterstützen und alltäg-
liche Schritte vereinfachen. Dazu gehört beispielsweise die Bereitstellung von Single
Sign-on. Bei Office 365 bedeutet dies, dass sich Ihre Anwender etwa an den Exchange-
Online-Postfächern mit dem Benutzerkonto anmelden können, mit dem sie sich
auch am lokalen Active Directory anmelden. Um das zu erreichen, müssen Sie einen
Identitätsverbund konfigurieren. Mit diesem erstellen Sie eine Art Vertrauensver-
hältnis zwischen Ihrem eigenen Active Directory und Office 365, sodass Office 365 die
erfolgreiche Authentifizierung an Ihrem Active Directory übernimmt. Eine solche
Konfiguration ist zwar für Ihre Anwender sehr elegant, erfordert dafür jedoch die Ein-
richtung einer ADFS-Umgebung in Ihrem Netzwerk. Diese ist nicht selten mit zusätz-
lichem Ressourcenaufwand verbunden, sofern Sie noch nicht über eine ADFS-Instal-
lation verfügen. Diesen Aufwand wird nicht jedes Unternehmen akzeptieren.
Voraussetzung für einen Identitätsverbund – und nicht nur da – ist die Aktivierung
der Active-Directory-Synchronisierung. Sie installieren dazu auf einem lokalen Ser-
ver eine Softwarekomponente, die in regelmäßigen Abständen lokal vorhandene
Benutzerkonten, Gruppen und Kontakte automatisch im Verzeichnisdienst von
Office 365, dem Windows Azure Active Directory (WAAD), anlegt und Änderungen an
diesen Objekten übernimmt. Dadurch entfällt zunächst für Sie als Administrator der
doppelte Pflegeaufwand beispielsweise beim Anlegen von Benutzerkonten für Mitar-
beiter. Doch es gibt weitere Vorteile, die ich in diesem Kapitel noch besprechen
werde.
Verwenden Sie ein Small Business-Konto, können Sie dieses Kapitel überspringen –
dort sind weder der Identitätsverbund noch die Active-Directory-Synchronisierung
möglich.
2277.book Seite 199 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
200
3.1 Verschiedene Identitäten
Office 365 verwendet intern mit dem Windows Azure Active Directory (WAAD) einen
eigenen Verzeichnisdienst, so wie Sie selbst höchstwahrscheinlich ein Active Direc-
tory einsetzen. Für jeden Ihrer Office 365-Anwender muss im WAAD ein Benutzer-
konto angelegt sein, das dann für die verschiedenen Dienste autorisiert wird (siehe
Abbildung 3.1). Das ist auch der Fall, wenn Sie Single Sign-on einrichten.
Das WAAD wird übrigens nicht nur von Office 365, sondern auch von Dynamics CRM
Online und Windows Intune eingesetzt. Mehr zu diesen beiden Produkten lesen Sie
in Kapitel 8, »Weitere Dienste«.
Die Frage ist nun, wie Sie in der Praxis mit diesem zusätzlichen Verzeichnisdienst
umgehen, obwohl Sie ja schon selbst einen haben. Dabei gibt es mehrere verschie-
dene Varianten. Um die zu verstehen, müssen wir zunächst drei Begriffe klären:
� Microsoft-Online-Identität
Für jeden Office 365-Anwender wird im Office 365-Verzeichnisdienst ein Benutzer-
konto angelegt. Diesen Benutzerkonten weisen Sie dann eine Office 365-Lizenz zu.
Außerdem bekommen die Konten separate Kennwörter. Ihre Anwender melden
sich dann an Office 365 mit diesen Benutzerkonten und Kennwörtern an – den
Abbildung 3.1 Office 365 verfügt über einen eigenen Verzeichnisdienst.
Eigenes Unternehmen
Verzeichnis-dienst
Active Directory
Identitäts-provider
Office 365-PortalPowershell
Benutzer-bereitstellung
Identitäts-provider
LyncOnline
Authentifizierungs-Plattform
SharePointOnline
ExchangeOnline
2277.book Seite 200 Montag, 10. Juni 2013 3:47 15
3.1 Verschiedene Identitäten
201
3
Microsoft-Online-Identitäten. Diese haben mit den im lokalen Verzeichnisdienst
vorhandenen Benutzerkonten zunächst nichts zu tun. Der Identitätsprovider wird
von Office 365 gestellt. Daneben verwenden Sie mit Ihrem lokalen Active Direc-
tory einen weiteren Identitätsprovider.
� Verbundidentität
Auch bei Verbundidentitäten (Federated Identity) werden im Office 365-Verzeich-
nisdienst Benutzerkonten angelegt und mit einer Lizenz versehen. Allerdings
arbeiten Ihre Anwender in Umgebungen mit einem Identitätsverbund nicht
direkt mit den Benutzerkonten aus Office 365, sondern mit den Benutzerkonten
aus dem lokalen Active Directory. Zwischen Ihrem Active Directory und Office 365
wird dabei eine Art Vertrauensverhältnis konfiguriert, sodass sich Ihre Anwender
letztlich mit den lokalen Benutzerdaten an Office 365 und den darin enthaltenen
Diensten anmelden können. Der Identitätsprovider ist hier Ihr lokales Active
Directory.
� Active-Directory-Synchronisierung
Dabei handelt es sich um eine im lokalen Netzwerk zu installierende Komponente,
die in einem regelmäßigen Intervall im Active Directory vorhandene Objekte im
Office 365-Verzeichnisdienst nachpflegt. Dazu gehören die Benutzerkonten, Grup-
pen und Kontakte. Setzen Sie diese optionale Komponente ein, werden die Active-
Directory-Benutzer in Office 365 automatisch angelegt, und Sie müssen sie nur
noch mit einer Lizenz (und gegebenenfalls einem Kennwort) ausstatten. Die
Active-Directory-Synchronisierung sehen wir uns in Abschnitt 3.4, »Active-Direc-
tory-Synchronisierung«, im Detail an.
Grundsätzlich gibt es in Office 365 drei unterschiedliche Szenarien, wie Sie mit Iden-
titäten umgehen. Sehen wir uns diese genauer an:
� Szenario »Microsoft-Online-Identität«
In diesem Szenario legen Sie im Office 365-Verzeichnisdienst manuell Benutzer-
konten für Ihre Anwender an. Dies können Sie beispielsweise ganz klassisch über
das Office 365-Portal durchführen, wie ich es in Abschnitt 1.11.2, »Benutzer anle-
gen«, beschrieben habe. Eine Alternative zur Automatisierung wäre die Power-
Shell, wie in Abschnitt 2.14.3, »Benutzer anlegen«, beschrieben.
Ihre Anwender melden sich an Office 365 über das Benutzerkonto aus dem Office
365-Verzeichnisdienst an. Die Authentifizierung erfolgt also nicht im lokalen
Active Directory, sondern direkt in Office 365.
Lassen Sie sich dieses Szenario durch den Kopf gehen, erkennen Sie verschiedene
Nachteile, beispielsweise: Die Anwender müssen mit zwei Identitäten umgehen –
einmal mit der lokalen Identität und einmal mit der Identität aus Office 365. Sie
müssen also auch mit zwei unterschiedlichen Kennwörtern und manchmal auch
mit unterschiedlichen Benutzernamen umgehen können und erkennen, wann Sie
2277.book Seite 201 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
202
welches einzugeben haben. Identische Kennwörter sind dabei oft nicht möglich,
da unterschiedliche Kennwortrichtlinien und Ablaufzeiten bestehen (siehe
Abschnitt 1.11.5, »Kennwortablaufrichtlinie«). Vergisst ein Anwender sein Kenn-
wort, muss es potenziell an zwei unterschiedlichen Stellen zurückgesetzt werden.
Dieses Szenario hat aber auch zwei große Vorteile: Es fällt der geringste Konfigura-
tionsaufwand an, und es kann direkt nach dem Anlegen eines Office 365-Kontos
angewandt werden. Abbildung 3.1 zeigt das Szenario in einem Schaubild.
� Szenario »Microsoft-Online-Identität mit Active-Directory-Synchronisierung«
Im Unterschied zum ersten Szenario legen Sie hier die Benutzerkonten im Office
365-Verzeichnisdienst nicht selbst an, sondern lassen das über eine optionale Soft-
warekomponente erledigen. Kennwörter werden dabei nicht synchronisiert.
Ansonsten gibt es aber keinen weiteren Unterschied. Die grundsätzlichen Pro-
bleme durch die unterschiedlichen Identitäten, mit denen der Anwender
umgehen muss, bleiben bestehen (siehe Abbildung 3.2).
Wie eben angemerkt, werden in diesem Szenario Kennwörter nicht synchroni-
siert. In Zukunft soll dies jedoch möglich sein.
Abbildung 3.2 Microsoft-Online-Identitäten mit Active-Directory-Synchronisierung
Eigenes Unternehmen
Active Directory-Synchronisierung
Verzeichnis-dienst
Active Directory
Identitäts-provider
Office 365-PortalPowershell
Benutzer-bereitstellung
Identitäts-provider
LyncOnline
Authentifizierungs-Plattform
SharePointOnline
ExchangeOnline
2277.book Seite 202 Montag, 10. Juni 2013 3:47 15
3.1 Verschiedene Identitäten
203
3
� Szenario »Verbundidentität mit Active-Directory-Synchronisierung«
Die Active-Directory-Synchronisierung ist in diesem Szenario obligatorisch. Im
Vergleich zu den beiden vorangegangenen Szenarien gibt es einen ganz wesent-
lichen Unterschied: Obwohl durch die Synchronisierung auch im Office 365-Ver-
zeichnisdienst für jeden Anwender ein Benutzerkonto angelegt wird, verwenden
die Anwender diese nicht direkt. Über ein Vertrauensverhältnis zwischen Office
365 und dem lokalen Active Directory erkennt Office 365 die lokale Anmeldung an,
mit dem Ziel, ein Single-Sign-on-Verfahren zu erreichen. Die Lizenzierung erfolgt
aber nach wie vor in Office 365, weshalb dort auch die Benutzerkonten über die Ac-
tive-Directory-Synchronisierung angelegt werden müssen (siehe Abbildung 3.3).
Dieses Szenario erfordert eine relativ aufwendige Konfiguration auf Basis der
Active Directory Federation Services (ADFS oder auf Deutsch Active-Directory-
Verbunddienste). Wie das geht, werde ich Ihnen in Abschnitt 3.4, »Active-Direc-
tory-Synchronisierung«, zeigen.
Tabelle 3.1 zeigt einen Vergleich der drei Identitätsvarianten.
Abbildung 3.3 Verbundidentitäten mit Active-Directory-Synchronisierung
Eigenes Unternehmen
Active Directory-Synchronisierung
Active DirectoryFederation Services
Verzeichnis-dienst
Active DirectoryVertrauens-verhältnis
Identitäts-provider
Office 365-PortalPowershell
Benutzer-bereitstellung
Identitäts-provider
LyncOnline
Authentifizierungs-Plattform
SharePointOnline
ExchangeOnline
2277.book Seite 203 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
204
In den folgenden Abschnitten werden wir uns um die Einrichtung dieser Szenarien
kümmern.
3.2 Überprüfen der lokalen Umgebung
Für die Einrichtung eines Identitätsverbunds für Single Sign-on und/oder für die
Active-Directory-Synchronisierung muss Ihre lokale Umgebung einige Vorausset-
zungen erfüllen, beispielsweise müssen geeignete Benutzerprinzipalnamen (auf
Englisch User Principal Name) der Benutzerkonten gesetzt sein. Die genauen Voraus-
setzungen zeige ich in den jeweiligen Abschnitten. Vorab aber bereits ein Tipp:
Kriterium Microsoft-Online-Identität
Microsoft-Online-Identität + Syn-chronisierung
Verbundidentität + Synchronisie-rung
Zielgruppe kleine Unterneh-
men
mittlere und
große Unterneh-
men mit eige-
nem Active
Directory
große Unterneh-
men mit eigenem
Active Directory
Single Sign-on nein nein ja
Identitäten pro
Anwender
2 2 1
Ort der Authentifizie-
rung
lokal + Office 365 lokal + Office 365 nur lokal
Ort der Benutzer-
verwaltung
lokal + Office 365 nur lokal nur lokal
Zusätzliche lokale
Installation erforder-
lich
nein ja, für Synchroni-
sierung
ja, für Synchroni-
sierung + ADFS
In Small Business-
Konten verfügbar
ja nein nein
In Midsize Business-
Konten verfügbar
ja ja ja
In Enterprise-Konten
verfügbar
ja ja ja
Tabelle 3.1 Vergleich der Identitätsalternativen
2277.book Seite 204 Montag, 10. Juni 2013 3:47 15
3.2 Überprüfen der lokalen Umgebung
205
3
Microsoft stellt Ihnen mit dem Office 365 Deployment Readiness Tool ein brauchba-
res Werkzeug zur Verfügung, mit dem Sie ohne großen Aufwand Ihre lokale Umge-
bung schon vor der Konfigurationsänderung auf mögliche Problemstellen hin unter-
suchen können. So erhalten Sie rechtzeitig Hinweise, was Sie zunächst noch ändern
sollten, bevor Sie tatsächlich mit der Einrichtung des Identitätsverbunds und der
Synchronisierung beginnen.
Bei dem Tool handelt es sich um eine Webanwendung, die an Ihrer Umgebung keine
Änderungen vornimmt, sondern nur einen Bericht liefert, der das Ergebnis der Über-
prüfung enthält. Ein Beispiel sehen Sie in Abbildung 3.4.
Das Tool können Sie unter folgender Adresse herunterladen:
http://community.office365.com/en-us/f/183/t/2285.aspx
3.2.1 Durchgeführte Tests
Das Deployment Readiness Tool nimmt eine ganze Palette unterschiedlicher Tests
vor und erzeugt verschiedene Statistiken. Darunter sind die folgenden Punkte:
� Erkennung vorhandener Domänen, Multi-Forest-Umgebungen und Vertrauens-
stellungen
� Anzahl von Active-Directory-Objekten
� Erkennung möglicher Synchronisierungsprobleme
Abbildung 3.4 Bericht des Deployment Readiness Tools
2277.book Seite 205 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
206
� Überprüfung, ob auf die Office 365-Dienste zugegriffen werden kann
� Definition möglicher Probleme beim Einsatz von Exchange Online, SharePoint
Online, Lync Online
� Voraussetzungen für einen Identitätsverbund
� Definition erforderlicher Berechtigungen
3.2.2 Voraussetzungen
Zur Ausführung des Deployment Readiness Tools müssen folgende Voraussetzun-
gen erfüllt sein:
� Betriebssystem:
– Windows XP, Vista 7
– Windows Server 2003 (R2)
– Windows Server 2008 (R2)
Es wird empfohlen, eine englischsprachige Windows-Version zu verwenden.
� Browser:
– Internet Explorer 7 oder neuer
– Firefox 4
– Chrome 10
– Safari 3.5
� Ein Active Directory muss vorhanden sein.
� Der Computer, auf dem Sie das Tool ausführen, muss mit der Domäne verbunden
sein.
� Zur Ausführung ist ein Domänenbenutzer ausreichend, dieser muss nicht über
administrative Berechtigungen verfügen.
3.2.3 Ausführung
Die Ausführung des Deployment Readiness Tools ist recht einfach. Auf einem Com-
puter, der die Voraussetzungen erfüllt, starten Sie die Anwendung und warten dann
geduldig ab (siehe Abbildung 3.5).
Je nach Größe Ihres Active Directorys und der aktuellen Auslastung dauert es eine
ganze Weile, bis alle Tests durchgeführt wurden. Ist das Tool fertig, wird der Ergebnis-
bericht automatisch angezeigt.
Die während der Testausführung erzeugten Dateien finden Sie im Ordner C:\
office365reskit.
2277.book Seite 206 Montag, 10. Juni 2013 3:47 15
3.3 Identitätsverbund
207
3
3.3 Identitätsverbund
In diesem Abschnitt besprechen wir die optionale Konfiguration eines Identitätsver-
bunds.
3.3.1 Vorteile
Der Identitätsverbund mit dem Aufbau einer Vertrauensstellung zwischen Office 365
und Ihrem Active Directory ist mit einigem Aufwand und nicht selten zusätzlichen
Servern verbunden. Dennoch hat der Identitätsverbund einige bedeutsame Vorteile:
� Single Sign-on
Ihre Anwender müssen sich für die Anmeldung an den Office 365-Diensten keine
separaten Zugangsdaten merken.
Abbildung 3.5 Ausführung des Deployment Readiness Tools
2277.book Seite 207 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
208
� Kennwortrichtlinie
Die Konfiguration der Kennwortrichtlinie verbleibt bei Ihrer lokalen Umgebung.
� Zugriffssteuerung
Sie können bestimmen, von wo aus auf Office 365 zugegriffen werden darf, bei-
spielsweise nur dann, wenn der Anwender sich im lokalen Netzwerk und nicht
etwa irgendwo außerhalb im Hotel befindet.
� Zweistufige Authentifizierung
Nur mit einem Identitätsverbund können Sie die Anmeldung an Office 365 zusätz-
lich über eine zweistufige Authentifizierung (Two-Factor Authentication, auch
Strong Authentication genannt) realisieren. Dabei müssen die Anwender sich
nicht nur durch die Angabe eines Benutzernamens samt Kennwort authentifizie-
ren, sondern zusätzlich durch die TAN eines Sicherheitstoken, Smartcards oder
Ähnlichem.
3.3.2 Anforderungen
Damit der Identitätsverbund zwischen Ihrem Active Directory und Office 365 funk-
tioniert, müssen einige Voraussetzungen erfüllt sein:
� Sie verwenden ein Midsize Business- oder Enterprise-Konto. Small Business-Kon-
ten unterstützen weder einen Identitätsverbund noch die Active-Directory-Syn-
chronisierung.
� Die Domänencontroller müssen auf Basis von Windows Server 2003, 2008, 2008
R2 oder 2012 aufgesetzt sein.
� Das Active Directory kann im gemischten oder im einheitlichen Modus konfigu-
riert sein.
� Sie benötigen mindestens eine Installation von ADFS 2.0 auf einem Windows Ser-
ver 2008 oder 2008 R2 bzw. ADFS 2.1 auf einem Windows Server 2012.
Alternativ zu ADFS können Sie auch Shibboleth einsetzen. Sollte das für Sie in
Betracht kommen, finden Sie unter folgender URL weitere Informationen: http://
technet.microsoft.com/de-de/library/jj205456.aspx
� Sind Anwender nicht direkt mit dem Unternehmensnetzwerk verbunden (z. B.
Außendienstmitarbeiter ohne VPN), sollen sich aber trotzdem an Office 365
anmelden können, ist mindestens ein ADFS-Proxy oder alternativ ein Microsoft
Forefront TMG (Threat Management Gateway) oder ein Microsoft Forefront UAG
(Unified Access Gateway) erforderlich.
� Die Active-Directory-Synchronisierung muss eingerichtet sein bzw. werden. Dabei
ist empfohlen, zunächst den Identitätsverbund zu konfigurieren und erst
anschließend die Active-Directory-Synchronisierung zu aktivieren (siehe Ab-
2277.book Seite 208 Montag, 10. Juni 2013 3:47 15
3.3 Identitätsverbund
209
3
schnitt 3.4). Wenn Sie zuerst die Active-Directory-Synchronisierung aktivieren
und danach den Identitätsverbund einrichten, kann es bis zu 24 Stunden dauern,
bis sich Ihre Anwender wieder an den Office 365-Diensten anmelden können.
� Für den Benutzerprinzipalnamen der Benutzerkonten gelten folgende Vorausset-
zungen:
– Der UPN muss vergeben sein.
– Die Domäne muss öffentlich und im Internet routbar sein (also kein .local,
.intranet oder Ähnliches).
– Der UPN muss auf die Domäne gesetzt werden, für die der Identitätsverbund
konfiguriert wird.
� Es sind zwei Zertifikate erforderlich:
– SSL-Zertifikat (Serverauthentifizierungszertifikat): Dieses Zertifikat ist für die
Absicherung der Kommunikation zwischen ADFS-Server, Client und gege-
benenfalls ADFS-Proxy erforderlich. Das Zertifikat muss auf den ADFS-Clients
als vertrauenswürdig eingestuft werden, weshalb ein Zertifikat einer öffentli-
chen vertrauenswürdigen Zertifizierungsstelle eingesetzt werden sollte, bei-
spielsweise von VeriSign oder Thawte. Verwenden Sie Outlook oder andere
ActiveSync-Clients, muss das Zertifikat ebenfalls von einer öffentlichen Zertifi-
zierungsstelle stammen. Für welche Domäne das Zertifikat ausgestellt sein
muss, lesen Sie in Abschnitt 3.3.5, »Einrichtung«.
– Tokensignaturzertifikat: Hier ist ein selbst signiertes Zertifikat ausreichend. Es
empfiehlt sich, das bei der ADFS-Konfiguration automatisch erzeugte Zertifikat
zu verwenden.
Achtung: Zertifikate haben nur einen begrenzten Gültigkeitszeitraum. Das gilt so-
wohl für das SSL-Zertifikat als auch für das automatisch generierte Tokensignaturzer-
tifikat. Letzteres hat eine standardmäßige Gültigkeit von einem Jahr. Notieren Sie
sich diese Daten sorgfältig, und tauschen Sie die Zertifikate aus, bevor (!) sie ab-
gelaufen sind. Ansonsten können sich Ihre Anwender nicht mehr an Office 365
anmelden. Nähere Informationen hierzu finden Sie auf folgender Seite: http://
support.microsoft.com/kb/2383983/de
SSL-Zertifikat
Achten Sie bei der Auswahl eines SSL-Zertifikatsanbieters auf eine möglichst breite
Unterstützung der ausgebenden Zertifizierungsstelle in Browsern und mobilen
Endgeräten. Denken Sie insbesondere auch an ActiveSync-Clients wie Smartphones,
die sich bei der Anmeldung an Exchange Online an einem nicht vertrauenswürdi-
gem Zertifikat stoßen würden. Wird die Zertifizierungsstelle auf den Geräten nicht
als vertrauenswürdig eingestuft, müssten Sie dort erst das Root-Zertifikat der Zer-
tifizierungsstelle installieren.
2277.book Seite 209 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
210
Für erste Tests ist ein kostenlos erhältliches SSL-Zertifikat der Klasse 1, wie es etwa
von StartCom (www.startssl.com) ausgegeben wird, durchaus ausreichend. Für den
produktiven Einsatz empfiehlt sich aber ein kostenpflichtiges Zertifikat aus der
Klasse, die Ihren Sicherheitsansprüchen gerecht wird.
3.3.3 Topologien
Single Sign-on bietet zwar sowohl für Administratoren als auch für Endanwender
unbestreitbare Vorteile bei der Verwaltung und beim Komfort bei der Anmeldung an
den Office 365-Diensten. Der Aufwand, um das zu erreichen, ist jedoch nicht zu
unterschätzen. Verfügen Sie noch nicht über eine ADFS-Umgebung, heißt das unter
Umständen, dass fünf zusätzliche Server installiert werden müssen. Diese können
zwar gerne virtuell sein, müssen aber dennoch eingerichtet und verwaltet und lizen-
ziert werden. Mit Einschränkungen können Sie die ADFS-Komponenten aber auch
auf vorhandene Server zu bereits vorhandenen Anwendungen installieren. Darauf
werden wir gleich zu sprechen kommen.
Wie ich auf fünf Maschinen komme, sehen wir uns jetzt genauer an.
ADFS-Einzelserver
Um den Identitätsverbund zwischen dem lokalen Active Directory und Office 365
einzurichten, ist die lokale Installation von mindestens einem ADFS-Server erforder-
lich.
Technisch möglich wäre es, ADFS auf einem Domänencontroller zu installieren.
Dabei sollten Sie aber beachten, dass ADFS von den IIS (Internet Information Ser-
vices) abhängt, also dem Webserver aus dem Hause Microsoft. Ob Sie die IIS auf Ihren
Domänencontrollern einsetzen wollen, müssen Sie selbst entscheiden. Wenn das für
Sie nicht infrage kommt, erfolgt die Installation auf einem Mitgliedsserver der
Domäne.
Bei der Auswahl des Servers müssen Sie außerdem beachten, dass ADFS zwingend die
Standardwebsite in den IIS verwendet. Sollte diese also schon belegt sein, ist auf die-
sem Server eine ADFS-Installation nicht möglich. Abbildung 3.6 zeigt den möglichen
Aufbau.
Eine solche Einzelserver-Umgebung ist zwar mit dem geringsten Aufwand zu rea-
lisieren, hat aber auch einige Nachteile. Hier die wichtigsten:
� keine Ausfallsicherheit
Sollte der Server oder ADFS aus irgendeinem Grund ausfallen, kann sich kein
Anwender mehr an Office 365 anmelden. Aus diesem Grund sollte statt eines ein-
2277.book Seite 210 Montag, 10. Juni 2013 3:47 15
3.3 Identitätsverbund
211
3
zelnen ADFS-Servers eine ADFS-Serverfarm mit zwei ADFS-Servern aufgesetzt
werden. Dazu kommt noch ein Network Load Balancer (NLB), der die Anfragen auf
die Server verteilt. Damit erreichen Sie für die Zukunft auch eine bessere Skalier-
barkeit, wenn die Last auf den Servern zunimmt. Als NLB können Sie den Win-
dows-eigenen Dienst Netzwerklastenausgleich einsetzen, sodass keine weitere
Maschine erforderlich ist.
� eingeschränkter Zugriff von außerhalb des Unternehmensnetzwerks
Die ADFS-Server sollten sicherheitsbedingt nicht über das Internet erreichbar sein
und sollten auch nicht in der DMZ (Demilitarized Zone) des Unternehmensnetz-
werks untergebracht werden. Damit sind sie aber nur für Clients erreichbar, die
auch tatsächlich direkt mit dem Unternehmensnetzwerk verbunden sind. Dies
trifft aber beispielsweise auf folgende Situationen nicht zu:
– Außendienstmitarbeiter ohne VPN-Verbindung
– Heimarbeiter ohne VPN-Verbindung
– Smartphones ohne VPN-Verbindung
Damit diese Anwender sich auch an Office 365 anmelden können, ist die Einrich-
tung einer der beiden folgenden Optionen erforderlich:
– ADFS-Proxyserver in der DMZ: Diese fungieren als Kommunikationsschnitt-
stelle zwischen den internen ADFS-Servern und den Clients. Die Kommunika-
tion ins interne Netzwerk und vom Internet erfolgt dabei über HTTPS 443/
TCP. Da ein solcher Proxy auch ausfallen kann, sollten es wieder zwei samt
NLB(-Dienst) sein.
– Alternativ zu den ADFS-Proxys kann auch ein Microsoft Forefront Threat
Management Gateway (TMG) oder ein Microsoft Forefront Unified Access
Gateway (UAG) zum Einsatz kommen. In diesem Buch verwenden wir die
Proxyvariante.
Abbildung 3.6 ADFS in einer Einzelserver-Umgebung
Internes Netzwerk
ADFSServer
Active Directory
2277.book Seite 211 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
212
� keine Outlook- bzw. ActiveSync-Unterstützung
Sollten Ihre Anwender Outlook oder andere ActiveSync-Clients wie Smartphones
verwenden (also in den allermeisten Fällen), benötigen Sie ebenfalls zwingend
ADFS-Proxys oder ein Microsoft Forefront TMG oder ein Forefront UAG. Der
Grund dafür liegt am Anmeldevorgang dieser Clients. Mehr dazu lesen Sie in
Abschnitt 3.3.4, »Anmeldevorgang«.
ADFS-Serverfarm
Mit einer ADFS-Serverfarm lösen Sie einen Teil der Probleme eines ADFS-Einzelser-
vers. Da nicht nur ein einzelner, sondern mehrere ADFS-Server zum Einsatz kom-
men, ist die Ausfallwahrscheinlichkeit geringer. Allerdings benötigen Sie bei mehre-
ren Servern auch einen NLB(-Dienst), der die Anfragen auf die Server verteilt.
Abbildung 3.7 zeigt diese Topologie in einem Schaubild.
Alle Probleme werden jedoch nicht gelöst: Unternehmensexterne Geräte, Outlook
und Activesync-Clients bleiben unberücksichtigt. Hier hilft die nächste Topologie.
ADFS-Serverfarm und ADFS-Proxys
Die letzte hier vorgestellte Topologie verwendet über NLBs angesprochene ADFS-Ser-
ver in einer Farmkonfiguration und mehrere ADFS-Proxys für den externen Zugriff.
Abbildung 3.8 zeigt die Topologie im Schaubild.
Warum werden also oft fünf zusätzliche Server benötigt? Benötigt werden zwei
ADFS-Server, zwei ADFS-Proxys und ein Server für die Active-Directory-Synchroni-
sierung – macht zusammen fünf.
Abbildung 3.7 ADFS in einer Serverfarm-Umgebung
ADFSServer
Load Balancer
ADFSServer
Active Directory
Internes Netzwerk
2277.book Seite 212 Montag, 10. Juni 2013 3:47 15
3.3 Identitätsverbund
213
3
Empfohlene Topologiegrößen
Microsoft empfiehlt abhängig von der Benutzerzahl den Einsatz bestimmter Topolo-
gien, wie Sie in Tabelle 3.2 aufgeführt sind.
Abbildung 3.8 ADFS in einer Serverfarm mit Proxys
ADFSServer
Load Balancer
ADFSServer
Active Directory
Internes Netzwerk
ADFSServer Proxy
ADFSServer Proxy
Load Balancer
DMZ
Internet
Interne Firewall
Externe Firewall
2277.book Seite 213 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
214
3.3.4 Anmeldevorgang
In einer Active Directory-Umgebung läuft die Authentifizierung grundsätzlich über
Kerberos ab. Dabei werden Token ausgestellt, mit denen sich der Anwender auswei-
sen kann. Mit diesen Kerberos-Token kann jedoch eine Anmeldung an Office 365
nicht vorgenommen werden. Die Office 365-Authentifizierung wird im Fall eines
Identitätsverbunds über Sicherheitstoken vorgenommen. Die Sicherheitstoken
müssen dabei von einem von Office 365 als vertrauenswürdig eingestuften Sicher-
heitstokendienst (STS für Security Token Service) ausgestellt werden. Um dieses Prin-
zip zu erläutern, hier zunächst einige Hintergrundinformationen:
Ein Sicherheitstoken enthält verschiedene Angaben zu einer Person (wie in unserem
Fall) oder zu einer Anwendung. Das könnten beispielsweise Daten sein, wie der
Anmeldename, Vor- und Nachname, die Abteilung, die Adresse, das Alter, Identifika-
tionsnummer etc. Je nach Anwendungsfall können unterschiedlichen Daten erfor-
derlich sein. Solch ein Sicherheitstoken wird von einem Sicherheitstokendienst
ausgestellt. Derartige Dienste gibt es viele von unterschiedlichen Anbietern, bei-
spielsweise von Facebook, Google, Yahoo, Twitter etc. In unserem Fall verwenden wir
Microsofts Sicherheitstokendienst für das Active Directory, namens ADFS (Active
Directory Federation Services). Damit die Sicherheitstoken unabhängig von Herstel-
ler und Anwender verarbeitet werden können, sind Sie nach einem Standard namens
SAML (Security Assertion Markup Language) aufgebaut. Und um sicherzustellen,
dass die Token auch nicht gefälscht sind, werden sie vom ausstellenden Sicherheits-
tokendienst digital signiert. Darüber kann man auch auf den Dienst selbst zurück-
schließen.
Ein vereinfachtes Beispiel eines Sicherheitstokens sehen Sie in Abbildung 3.9.
Benutzeranzahl Topologie
bis zu 1000 � Installation der ADFS-Farm auf zwei bestehenden Domänen-
controllern
� Installation der ADFS-Proxys auf zwei bestehenden Webservern
in der DMZ
1000 bis 15000 � Installation von zwei separaten ADFS-Farm-Servern
� Installation von zwei separaten ADFS-Proxys in der DMZ
ab 15000 � Installation von drei bis fünf separaten ADFS-Farm-Servern
� Installation von mindestens zwei separaten ADFS-Proxys in der
DMZ
Tabelle 3.2 Empfohlene Topologien
2277.book Seite 214 Montag, 10. Juni 2013 3:47 15
3.3 Identitätsverbund
215
3
Um nun einen Identitätsverbund bereitzustellen, müssen wir also lokal eine ADFS-
Umgebung aufbauen, die für unsere Anwender Sicherheitstoken ausstellt. Die ADFS-
Umgebung wird bei der Office 365-Authentifizierungsplattform (AP) als vertrauens-
würdig konfiguriert, sodass Office 365 die Sicherheitstoken unserer ADFS-Umgebung
akzeptiert. Die AP fungiert ebenfalls als Sicherheitstokendienst und kann damit
selbst Sicherheitstoken ausstellen. Warum das wichtig ist, werden wir gleich bei den
Anmeldeszenarien sehen.
Der Anmeldevorgang an Office 365 unterscheidet sich dann je nach einem der fol-
genden Szenarien:
� Webanwendungen
� Clientanwendungen
� Outlook/ActiveSync
Sehen wir uns die verschiedenen Szenarien an. Alle basieren auf Kerberos, und es
wird immer vorausgesetzt, dass sich jeder Anwender mit dem Benutzerprinzipalna-
men anmeldet (und nicht etwa mit dem alten Anmeldenamen in der Form Domäne\
Benutzer). Hier müssen also gegebenenfalls Ihre Anwender umlernen.
Webanwendungen
Der Anwender greift hier auf einen Office 365-Dienst über einen Browser zu, also bei-
spielsweise auf OWA, um E-Mails zu verwalten. Der nun folgende Vorgang wird in
Abbildung 3.10 dargestellt.
Abbildung 3.9 Sicherheitstoken
ID
Name
Vorname
Gruppen
Alter
...
Signatur
Abteilung Claims
Sicherheitstoken
2277.book Seite 215 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
216
1. Der Zugriff auf den Office 365-Dienst kann nicht erfolgen, da dazu ein Sicherheits-
token der Office 365-Authentifizierungsplattform (AP) erforderlich ist. Das Sicher-
heitstoken muss von der AP signiert werden.
2. Der Client verbindet sich mit der Office 365-AP und fragt ein Sicherheitstoken an.
Die AP erkennt, dass der Benutzer von einer Verbunddomäne kommt. Entspre-
chend kann die AP den Benutzer nicht authentifizieren, sondern fragt nach einem
Sicherheitstoken, das von ADFS ausgestellt und signiert wurde.
3. Der Client verbindet sich mit dem ADFS-Server und fragt ein Sicherheitstoken an.
ADFS kontaktiert das Active Directory und erhält von dort ein NTLM- oder Ker-
beros-Token für den Benutzer. ADFS wandelt dieses in das erforderliche Sicher-
heitstoken um und signiert es. Das Sicherheitstoken enthält den UPN des
Benutzers und eine User-Source-ID.
Die User-Source-ID wird auch Immutable-ID genannt und stimmt mit der Objekt-
GUID des AD-Objekts überein. Mehr zu dieser ID lesen Sie in Abschnitt 3.4.1, »Syn-
chronisierungsvorgang«.
4. Der Client überträgt das Sicherheitstoken an die Office 365-AP. Die AP überprüft
das Token etwa daraufhin, ob es von der vertrauten ADFS-Umgebung stammt. Die
AP wandelt die User-Source-ID um in eine Net-ID, erstellt daraus ein neues Sicher-
heitstoken und signiert es.
Abbildung 3.10 Anmeldung an einer Webanwendung
Eigenes Unternehmen
ADFSServer
ExchangeOnline
Active Directory
Authentifizierungs-Plattform
2277.book Seite 216 Montag, 10. Juni 2013 3:47 15
3.3 Identitätsverbund
217
3
Die Net-ID wird beim Anlegen des Benutzerkontos im Office 365-Verzeichnis-
dienst automatisch erzeugt. Im Falle des Identitätsverbunds passiert das im Rah-
men der Active-Directory-Synchronisierung.
5. Der Client überträgt das neue Sicherheitstoken an den ursprünglich angefragten
Office 365-Dienst. Dieser überprüft beispielsweise, ob es von der Office 365-AP
stammt. Der Dienst liest die Net-ID aus und sucht im Office 365-Verzeichnisdienst
nach der Net-ID. Ist diese gefunden, kann der Dienst den Benutzer entsprechend
dessen Lizenz arbeiten lassen.
Clientanwendungen
Der Anmeldevorgang sieht bei der Verwendung eines Clients wie den Office 2010-
Anwendungen, der PowerShell-Erweiterung und dem Verzeichnissynchronisie-
rungstool etwas anders aus. Hier kommt der Online Services-Anmelde-Assistent
zum Einsatz.
Die Office 2013-Anwendungen nutzen eine Komponente aus dem Assistenten, die
automatisch mit Office 2013 mit installiert wird. Der Assistent selbst muss bei Office
2013 nicht installiert sein. Abbildung 3.11 stellt den Vorgang dar.
Abbildung 3.11 Anmeldung mit einer Clientanwendung
Eigenes Unternehmen
ADFSServer
LyncOnline
Active Directory
Authentifizierungs-Plattform
2277.book Seite 217 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
218
1. Der Anwender meldet sich mit seinem Computer am Unternehmensnetzwerk an.
2. Der Office 365-Anmelde-Assistent startet und ermittelt die Domäne des Benutzers
über dessen UPN.
3. Der Anmeldeassistent verbindet sich mit der Office 365-AP, um zu ermitteln, ob
die Domäne eine Verbunddomäne ist. Ist sie es nicht, ist der Vorgang zu Ende.
4. Im anderen Fall verbindet sich der Anmeldeassistent mit der lokalen ADFS-
Umgebung und fragt ein Sicherheitstoken an. ADFS kontaktiert das Active Direc-
tory und erhält von dort ein NTLM- oder Kerberos-Token für den Benutzer. ADFS
wandelt dieses in das erforderliche Sicherheitstoken um und signiert es. Das
Sicherheitstoken enthält den UPN des Benutzers und eine User-Source-ID.
5. Der Anmelde-Assistent überträgt das Sicherheitstoken an die Office 365-AP. Die
AP überprüft das Sicherheitstoken daraufhin, ob es etwa von der vertrauten ADFS-
Umgebung stammt. Die AP wandelt die User-Source-ID um in eine Net-ID und
erstellt ein neues Ticket Granting Ticket (TGT). Das TGT wird zum Anmeldeassis-
tent übertragen.
6. Der Anmeldeassistent speichert das TGT in einem lokalen Cache, für den Fall, dass
eine Clientanwendung es benötigt.
Angenommen, der Anwender startet nun den Lync-Client, werden folgende Schritte
durchgeführt:
1. Der Lync-Client versucht sich mit Lync Online zu verbinden. Lync Online fragt
nach einem Sicherheitstoken, das von der Office 365-AP signiert sein muss.
2. Der Lync-Client fragt das TGT beim Anmeldeassistenten an. Dieser überträgt das
TGT an das Federation Gateway und erhält nach Prüfung ein Sicherheitstoken.
3. Das Sicherheitstoken wird an Lync Online übertragen. Lync Online überprüft, ob
es etwa von der Office 365-AP stammt. Dann wird die Net-ID ausgelesen und im
Office 365-Verzeichnisdienst gesucht. Ist sie gefunden, kann Lync Online den
Benutzer entsprechend seiner Lizenz arbeiten lassen.
Outlook/ActiveSync
Der dritte Anmeldevorgang kommt zum Einsatz, wenn der Anwender Outlook oder
ein anderes Gerät mit ActiveSync nutzt, um eine Verbindung zu seinem Postfach auf-
zubauen. Abbildung 3.12 zeigt den Vorgang.
1. Der Anwender meldet sich mit seinem Computer am Unternehmensnetzwerk an
und startet beispielsweise Outlook.
2. Outlook verbindet sich mit Exchange Online und wird nach Basisauthentifizie-
rungsdaten gefragt.
Bei den Basisauthentifizierungsdaten handelt es sich um Benutzername (UPN)
und Kennwort.
2277.book Seite 218 Montag, 10. Juni 2013 3:47 15
3.3 Identitätsverbund
219
3
3. Outlook antwortet mit den Basisauthentifizierungsdaten des Benutzers.
4. Exchange Online verbindet sich mit der Office 365-AP. Dort wird überprüft, ob die
Benutzerdomäne eine Verbunddomäne ist. Wenn ja, antwortet die AP mit der
ADFS-URL.
5. Exchange Online überträgt die Basisauthentifizierungsdaten an den lokalen
ADFS-Server und fragt ein Sicherheitstoken an.
Dies ist der Grund, warum ein ADFS-Proxy oder ein TMG bzw. UAG erforderlich
ist: Exchange Online muss mit der lokalen ADFS-Umgebung kommunizieren
können.
6. Der lokale ADFS-Server authentifiziert den Benutzer mit den Basisauthentifizie-
rungsdaten am Active Directory. ADFS kontaktiert das Active Directory und erhält
von dort ein NTLM- oder Kerberos-Token für den Benutzer. ADFS wandelt dieses in
das erforderliche Sicherheitstoken um und signiert es. Das Login-Token enthält
den UPN des Benutzers und eine User-Source-ID.
7. Das Login-Token wird zurück an Exchange Online übertragen.
Abbildung 3.12 Anmeldung mit Outlook/ActiveSync
Eigenes Unternehmen
ADFSServer
ExchangeOnline
Active Directory
Outlook
Authentifizierungs-Plattform
2277.book Seite 219 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
220
8. Exchange Online überträgt das Sicherheitstoken an die Office 365-AP. Die AP
überprüft, ob das Login-Token etwa von der vertrauten ADFS-Umgebung
stammt. Die AP wandelt die User-Source-ID um in eine Net-ID, erstellt daraus ein
neues Sicherheitstoken und signiert es.
9. Das neue Sicherheitstoken wird zurück an Exchange Online übertragen.
10. Exchange Online überprüft es daraufhin, ob es etwa von der Office 365-AP
stammt. Exchange Online liest die Net-ID aus und sucht im Office 365-Verzeich-
nisdienst nach der Net-ID. Ist diese gefunden, kann der Benutzer entsprechend
seiner Lizenz arbeiten.
3.3.5 Einrichtung
Die Einrichtung eines Identitätsverbunds lässt sich in folgende Schritte aufteilen:
1. Domäne verifizieren
2. Bestimmung der ADFS-URL
3. DNS-Konfiguration (intern und extern)
4. SSL-Zertifikatsplanung
5. ADFS-Installation (Server und Proxy)
6. IIS-Konfiguration
7. ADFS-Serverfarm-Konfiguration
8. ADFS-Proxykonfiguration
9. Identitätsverbund für Domäne aktivieren
10. Active-Directory-Synchronisierung aktivieren
In diesem Abschnitt gehen wir die einzelnen Schritte durch und erstellen damit eine
Konfiguration wie in Abbildung 3.8, beschränken uns aber auf jeweils einen einzel-
nen ADFS-Server und einen einzelnen ADFS-Proxy.
Zu ADFS veröffentlicht Microsoft gelegentlich Update Rollups, die Sie grundsätzlich
installieren sollten. Dies betrifft insbesondere ADFS 2.0 vom Windows Server 2008
(R2). Aktuell gibt es dafür das Update Rollup 2 unter folgender URL: http://
support.microsoft.com/kb/2681584
Die Abbildungen in diesem Abschnitt wurden mit einem Windows Server 2012
gemacht. Auf den älteren Versionen sieht die Oberfläche leicht anders aus, und die
Bezeichner sind nicht exakt gleich. Das grundsätzliche Vorgehen ist aber identisch.
Schritt 1: Domäne verifizieren
Dieser Schritt dient der Vorbereitung und wurde von Ihnen wahrscheinlich bereits
durchgeführt. Falls nicht, fügen Sie die Domäne zu Ihrem Office 365-Konto hinzu
2277.book Seite 220 Montag, 10. Juni 2013 3:47 15
3.3 Identitätsverbund
221
3
(einschließlich Verifizierung), die bei den UPNs verwendet wird. Wie das geht, lesen
Sie in Abschnitt 1.10, »Domänenverwaltung«.
Diese Domäne wird später zur Verbunddomäne (Federated Domain). Beachten Sie
insbesondere die Voraussetzungen für die UPNs.
Schritt 2: Bestimmung der ADFS-URL
Wir benötigen eine URL, über die der Zugriff auf ADFS erfolgt. Dazu nehmen Sie typi-
scherweise Ihre öffentliche Domäne, beispielsweise beispielag.de, und stellen ihr
einen frei wählbaren Hostnamen voran, beispielsweise logon, fs (für »Federation Ser-
vices«) oder sts (für »Security Token Service«).
So ergibt sich die ADFS-URL in der Form von logon.beispielag.de. Diese URL muss
nun DNS-seitig eingerichtet werden.
Schritt 3: DNS-Konfiguration (intern und extern)
Die DNS-Konfiguration müssen wir von der netzwerkinternen und -externen Seite
betrachten (Split DNS). Beginnen wir mit der internen:
Gehen wir von der ADFS-URL logon.beispielag.de aus. Verwenden Sie intern eine
andere Domäne, wie beispielag.local, müssen wir zunächst eine neue Forward-
Lookupzone für beispielag.de anlegen. Auf jeden Fall aber benötigen wir einen
Hosteintrag (A-Record) für logon, der dann auf die ADFS-Serverfarm zeigt. Gehen Sie
dazu wie folgt vor:
1. Öffnen Sie die DNS-Manager-Konsole (siehe Abbildung 3.13).
2. Ist unter Forward-Lookupzone die Domäne beispielag.de noch nicht vorhan-
den, klicken Sie mit der rechten Maustaste auf Forward-Lookupzone und wäh-
len im Kontextmenü den Befehl Neue Zone.
Abbildung 3.13 DNS-Manager
2277.book Seite 221 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
222
3. Legen Sie mit dem erscheinenden Assistenten eine neue Zone mit folgenden
Eigenschaften an:
– Zonentyp: Primäre Zone
– Active Directory-Zonenreplikationsbereich: Auf allen DNS-Servern,
die auf Domänencontrollern in dieser Domäne ausgeführt werden
– Zonenname: beispielag.de
– Dynamisches Update: Nur sichere dynamische Updates zulassen
Die weiteren Optionen belassen Sie in der Standardkonfiguration.
4. Innerhalb der Zone beispielag.de legen Sie nun wieder über das Kontextmenü
einen neuen Host mit folgenden Einstellungen an (siehe Abbildung 3.14):
– Name: logon.beispielag.de
– IP-Adresse: Hier geben Sie die IP-Adresse der zukünftigen ADFS-Serverfarm
an. Besteht diese aus mehr als einem Server, benötigen Sie einen NLB, über den
Sie auf die Serverfarm über eine virtuelle IP-Adresse zugreifen. Geben Sie dann
diese virtuelle IP-Adresse an.
Alle weiteren Optionen bleiben wieder in der Standardkonfiguration.
Jetzt müssen wir noch einen Umstand berücksichtigen, der in der Praxis gerne ver-
gessen wird: Wenn Sie in diesem Schritt eine Forward-Lookupzone für die externe
Domäne eingerichtet haben, beantwortet Ihr interner DNS-Server die Anfragen Ihrer
Clients an die eigentlich externe Domäne. Dies hat nun zur Folge, dass die Clients die
DNS-Einträge für Exchange (beispielsweise für die AutoErmittlung), Lync und Share-
Point nicht mehr erhalten – denn diese Einträge sind ja im externen DNS-System
hinterlegt. Es ist deshalb erforderlich, dass Sie in der neuen Forward-Lookupzone die
DNS-Einträge nachpflegen. Lesen Sie hierzu auch Abschnitt 1.10, »Domänenverwal-
tung«.
Abbildung 3.14 Neuer Hosteintrag
2277.book Seite 222 Montag, 10. Juni 2013 3:47 15
3.3 Identitätsverbund
223
3
Damit ist die interne DNS-Konfiguration abgeschlossen. In der DNS-Konfiguration
unseres DNS-Anbieters für beispielag.de benötigen wir ebenfalls einen A-Record, bei
dem das Ziel auf die IP-Adresse unseres zukünftigen ADFS-Proxys in der DMZ gesetzt
ist bzw. auf die virtuelle IP-Adresse des NLB. Nehmen Sie die entsprechende Konfigu-
ration vor. Eine genaue Beschreibung kann ich Ihnen hier nicht liefern, da sich die
notwendigen Schritte von Anbieter zu Anbieter unterscheiden.
Schritt 4: SSL-Zertifikatsplanung
Wie in Abschnitt 3.3.2, »Anforderungen«, bereits erläutert, sollten wir ein kommerzi-
elles SSL-Zertifikat einer öffentlichen Zertifizierungsstelle verwenden. Dieses muss
dann für logon.beispielag.de ausgestellt sein.
Für Teststellungen ist das nicht unbedingt erforderlich, hier ist auch ein SSL-Zertifi-
kat einer eigenen Zertifizierungsstelle ausreichend. Dazu können Sie etwa die optio-
nale Rolle Active Directory-Zertifikatsdienste der Windows-Server-Betriebssysteme
über den Server Manager installieren (siehe Abbildung 3.15).
Auf einem Windows Server 2012 würden die folgenden Optionen bei der Installation
der Rolle ausreichen:
� Rollendienste: Zertifizierungsstelle
� Installationstyp: Unternehmenszertifizierungsstelle
Abbildung 3.15 Installation der Active Directory-Zertifikatsdienste
2277.book Seite 223 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
224
� Zertifizierungsstellentyp: Stammzertifizierungsstelle
� Privater Schlüssel: Neuen privaten Schlüssel erstellen
� Kryptografie für Zertifizierungsstelle: Standardoptionen
� Name der Zertifizierungsstelle konfigurieren: Standardoptionen
� Gültigkeitsdauer: Standardoptionen
� Zertifizierungsstellendatenbank: Standardoptionen
Diese Optionen passen Sie natürlich an Ihre Umgebung an.
Eine weitere Konfiguration ist zunächst nicht erforderlich. Das SSL-Zertifikat selbst
werden wir bei der IIS-Konfiguration erstellen lassen.
Schritt 5: ADFS-Installation (Server und Proxy)
Bei ADFS handelt es sich um eine optionale Rolle der Windows-Server-Betriebssys-
teme. Für Office 365 benötigen Sie mindestens Version 2.0 und wenigstens einen
Windows Server 2008. Für die Windows Server 2008 und 2008 R2 können Sie ADFS
2.0 unter folgender URL herunterladen:
www.microsoft.com/downloads/de-de/details.aspx?familyid=118c3588-9070-426a-
b655-6cec0a92c10b&displaylang=de
Beim Windows Server 2012 können Sie ADFS 2.1 als optionale Rolle unter dem Namen
Active Directory-Verbunddienste über den Server Manager nachinstallieren.
In Abschnitt 3.3.3, »Topologien«, finden Sie einige Aspekte, die Sie bei der Wahl der
passenden Maschinen berücksichtigen sollten.
Verwenden Sie Windows Server 2008 oder 2008 R2 laden Sie also das richtige Instal-
lationspaket für Ihre Maschinen herunter (32 oder 64 Bit bzw. Windows Server 2008
oder R2), und führen Sie die Installation des Pakets auf allen zukünftigen ADFS-Ser-
vern und -Proxys aus. Der Installationsassistent fragt, ob ein Verbundserver oder ein
Verbundserverproxy installiert werden soll (siehe Abbildung 3.16).
Wählen Sie hier auf den ADFS-Servern die Option Verbundserver und auf den
ADFS-Proxys die Option Verbundserverproxy. Nach der Installation werden Sie
noch gefragt, ob das ADFS 2.0-Verwaltungs-Snap-in zur ADFS-Konfiguration geöffnet
werden soll. Übergehen Sie diese Option, da wir zunächst noch die IIS konfigurieren,
die Konfiguration von ADFS selbst erfolgt dann im übernächsten Schritt.
Während der Installation werden alle Voraussetzungen überprüft und möglicher-
weise fehlende Komponenten nachinstalliert, wie beispielsweise die IIS.
Denken Sie an dieser Stelle daran, nach verfügbaren Update Rollups für ADFS zu
suchen und diese gegebenenfalls zu installieren.
2277.book Seite 224 Montag, 10. Juni 2013 3:47 15
3.3 Identitätsverbund
225
3
Beim Windows Server 2012 werden Sie beim Installieren der Rolle über den Server
Manager nach den Rollendiensten gefragt (siehe Abbildung 3.17). Wählen Sie hier
Verbunddienst oder Verbunddienstproxy.
Schritt 6: IIS-Konfiguration
In den IIS der ADFS-Server und Proxys müssen wir zwei Punkte konfigurieren:
� Hinzufügen des SSL-Zertifikats zu den Serverzertifikaten
� Hinzufügen des HTTPS-Bindings zur Standardwebsite
Abbildung 3.16 ADFS-Installation auf Windows Server 2008 R2
Abbildung 3.17 ADFS-Installation auf Windows Server 2012
2277.book Seite 225 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
226
Beginnen wir mit dem SSL-Zertifikat:
1. Öffnen Sie den Internetinformationsdienste (IIS)-Manager (siehe Abbil-
dung 3.18).
2. Klicken Sie in der linken Spalte auf den lokalen Server.
Erscheint bei Ihnen die Frage nach der Verwendung der Microsoft-Webplattform,
können Sie diese abbrechen.
3. Doppelklicken Sie in der mittleren Auswahl im Abschnitt IIS den Punkt Server-
zertifikate (siehe Abbildung 3.19).
4. An dieser Stelle muss nun ein SSL-Zertifikat hinterlegt werden. Dabei können Sie
verschiedene Wege gehen. Der Kasten zeigt drei Wege auf.
Abbildung 3.18 IIS-Manager
Abbildung 3.19 Server-Zertifikatsverwaltung
2277.book Seite 226 Montag, 10. Juni 2013 3:47 15
3.3 Identitätsverbund
227
3
SSL-Zertifikat
� Variante 1: bestehendes Zertifikat importieren
Haben Sie bereits ein kommerzielles SSL-Zertifikat eingekauft und in Dateiform
vorliegen, können Sie dieses nun in der Aktionsleiste am rechten Rand über
Importieren hinzufügen.
� Variante 2: neues Zertifikat mit eigener Zertifizierungsstelle erzeugen
Wollen Sie ein SSL-Zertifikat über die Windows-eigene Zertifizierungsstelle erzeu-
gen, wählen Sie stattdessen den Befehl Domänenzertifikat erstellen. Geben Sie
dann im Assistenten folgende Optionen an (siehe Abbildung 3.20):
– Gemeinsamer Name: die ADFS-URL, also beispielsweise logon.beispielag.de
– Organisation, Organisationseinheit, Ort, Bundesland/Kanton,
Land/Region: beliebig
– Online-Zertifizierungsstelle: Ihre Windows-Zertifizierungsstelle
– Anzeigename: wieder die ADFS-URL, also beispielsweise logon.beispielag.de
Das so erstellte SSL-Zertifikat können Sie dann über die Aktionsleiste exportieren,
um es bei den anderen ADFS-Servern zu importieren.
Abbildung 3.20 Erstellen eines Zertifikats
� Variante 3: neues Zertifikat von kommerzieller Zertifizierungsstelle beantragen
(empfohlen)
Verfügen Sie noch nicht über ein passendes SSL-Zertifikat für die ADFS-URL, kön-
nen Sie direkt im IIS-Manager eine Anforderung erstellen. Dabei handelt es sich
um eine Zeichenfolge, mit der Sie bei einer kommerziellen Zertifizierungsstelle
ein SSL-Zertifikat anfordern können. Die Zertifizierungsstelle antwortet wie-
derum mit einer Zeichenfolge, die Sie dann im IIS-Manager angeben. Gehen Sie
dazu wie folgt vor:
2277.book Seite 227 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
228
Wählen Sie den Befehl Zertifikatanforderung erstellen, und geben Sie im
erscheinenden Assistenten folgende Optionen an:
– Gemeinsamer Name: die ADFS-URL, also beispielsweise logon.beispielag.de
– Organisation, Organisationseinheit, Ort, Bundesland/Kanton,
Land/Region: beliebig
Im nächsten Assistentenschritt wählen Sie einen Kryptografiedienstanbieter
und eine Bitlänge aus. Was Sie hier angeben, hängt von Ihrem SSL-Zertifikatsan-
bieter ab. Im Zweifelsfall wählen Sie als Kryptografiedienstanbieter Microsoft
RSA Channel Cryptographic Provider und als Bitlänge 2048.
Im letzten Schritt geben Sie einen Dateinamen an, in dem die Anforderungszei-
chenfolge abgelegt wird.
Nachdem Sie von der Zertifizierungsstelle die Antwort bekommen haben, wählen
Sie den Befehl Zertifikatsanforderung abschließen; geben Sie die Datei und als
Anzeigename Ihre ADFS-URL an (siehe Abbildung 3.21).
Abbildung 3.21 Antwort der Zertifizierungsstelle angeben
Das so hinzugefügte SSL-Zertifikat können Sie dann über die Aktionsleiste expor-
tieren, um es bei den anderen ADFS-Servern zu importieren.
5. Markieren Sie in der linken Spalte die Default Web Site unter Server • Sites.
6. In der Aktionsleiste am rechten Rand wählen Sie den Befehl Bindungen.
7. Fügen Sie eine neue Bindung mit diesen Optionen hinzu (siehe Abbildung 3.22):
– Typ: https
– IP-Adresse: Keine zugewiesen
– Port: 443
– SSL-Zertifikat: das für ADFS bereitgestellte Zertifikat
2277.book Seite 228 Montag, 10. Juni 2013 3:47 15
3.3 Identitätsverbund
229
3
Das Importieren des SSL-Zertifikats und das Erstellen der Bindung für die Standard-
website führen Sie dann auf allen anderen ADFS-Servern (und Proxys) aus. Achten Sie
darauf, überall dasselbe Zertifikat zu verwenden.
Damit haben wir jetzt die Voraussetzungen geschaffen, um die ADFS-Konfiguration
durchzuführen.
Schritt 7: ADFS-Serverfarm-Konfiguration
In Abschnitt 3.3.3, »Topologien«, haben wir uns mit den Unterschieden zwischen
einem ADFS-Einzelserver und einer ADFS-Serverfarm befasst. Bei der ADFS-Konfigu-
ration können wir zwischen diesen beiden Topologien wählen. Dabei ist grundsätz-
lich das Anlegen einer ADFS-Serverfarm die bessere Wahl, auch wenn die Farm nur
aus einem einzigen Server besteht (ein NLB wäre dann auch nicht erforderlich). Die
ADFS-Serverfarm ist im weiteren Betrieb flexibler, da wir bei Bedarf zur Farm einfach
einen weiteren ADFS-Server hinzufügen können.
Der Unterschied bei der Konfiguration zwischen Einzelserver und Farm liegt bei Letz-
terem in der Angabe eines Active-Directory-Benutzerkontos, das als Dienstkonto ver-
wendet wird. Dieses ist bei einem Einzelserver nicht erforderlich.
Mit den folgenden Schritten erstellen wir eine ADFS-Serverfarm mit nur einem ein-
zelnen Server:
1. Starten Sie die AD FS-Verwaltung über die Startseite (siehe Abbildung 3.23).
2. Klicken Sie im mittleren Teil des Fensters auf Konfigurations-Assistent für
den AD FS-Verbundserver.
3. Im Schritt Willkommen wählen Sie die Option Neuen Verbunddienst er-
stellen.
Hier könnten Sie auch einen Server zu einer bestehenden Serverfarm hinzufügen.
Abbildung 3.22 Anlegen einer Bindung
2277.book Seite 229 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
230
4. Im Schritt Bereitstellungstyp auswählen markieren Sie die Option Neue
Verbundserverfarm (siehe Abbildung 3.24).
Hier könnten Sie mit der Option Eigenständiger Verbundserver auch einen
ADFS-Einzelserver anlegen.
5. Im Schritt Verbunddienstname sollte jetzt das zuvor in den IIS angegebene SSL-
Zertifikat zu sehen sein. Änderungen sind hier nicht erforderlich.
6. Im Schritt Dienstkonto angeben geben Sie ein zuvor angelegtes Active-Direc-
tory-Benutzerkonto samt Kennwort an, das für ADFS verwendet werden soll.
Achten Sie darauf, dass das Kennwort dieses Benutzerkontos nicht abläuft.
Abbildung 3.23 AD FS-Verwaltung
Abbildung 3.24 Bereitstellungstyp
2277.book Seite 230 Montag, 10. Juni 2013 3:47 15
3.3 Identitätsverbund
231
3
Die Installation selbst dauert dann einige Minuten. Der Assistent hält Sie während-
dessen auf dem Laufenden (siehe Abbildung 3.25).
Nachdem die Installation und der Assistent abgeschlossen wurden, erhalten Sie eine
Informationsmeldung, die Konfiguration wäre unvollständig (siehe Abbildung 3.26).
Abbildung 3.25 Konfigurationsfortschritt
Abbildung 3.26 Konfiguration unvollständig
2277.book Seite 231 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
232
Dies ist korrekt, da wir noch keine Vertrauensstellung zwischen ADFS und Office 365
hergestellt haben. Das holen wir aber in Kürze nach.
Falls Sie zu Ihrer ADFS-Serverfarm weitere Server hinzufügen, denken Sie daran, dass
dann ein NLB erforderlich ist. Sie könnten dazu das optionale Windows-Server-
Feature Netzwerklastausgleich verwenden.
Schritt 8: ADFS-Proxykonfiguration
Nach der Erstellung unserer ADFS-Serverfarm folgt das Konfigurieren des ADFS-Pro-
xys in der DMZ. Stellen Sie bitte vorab in der Firewallkonfiguration sicher, dass der
ADFS-Proxy die ADFS-Serverfarm über den Standard-HTTPS-Port 443 erreichen kann.
Ebenso sollte dieser Port samt Protokoll in Richtung Internet freigegeben werden.
Danach konfigurieren Sie den Proxy:
1. Starten Sie den AD FS-Verbundserverproxy-Konfigurations-Assistent aus
dem Startmenü (siehe Abbildung 3.27).
2. Im Schritt Verbunddienstnamen angeben sollte der Name der ADFS-Server-
farm automatisch aufgeführt sein.
Mit einem Klick auf Verbindung testen können Sie sicherstellen, dass die ADFS-
Serverfarm erreicht werden kann. Sollte es hier Probleme geben, überprüfen Sie
die Firewallkonfiguration.
3. Geben Sie in das Anmeldefenster die Benutzerkontodaten des ADFS-Dienstkontos
an.
Die Installation selbst ist dann in wenigen Augenblicken abgeschlossen.
Auch hier können Sie wieder weitere ADFS-Proxyserver einrichten und diese über
einen vorangestellten NLB koppeln.
Abbildung 3.27 AD FS-Verbundserverproxy-Konfigurations-Assistent
2277.book Seite 232 Montag, 10. Juni 2013 3:47 15
3.3 Identitätsverbund
233
3
Schritt 9: Identitätsverbund für Domäne aktivieren
Zur Aktivierung Ihrer Domäne für den Identitätsverbund ist die Office 365-Power-
Shell-Erweiterung namens »Windows Azure Active Directory-Modul für Windows
PowerShell« erforderlich. Laden Sie diese unter folgender URL herunter, und instal-
lieren Sie sie auf einem geeigneten Computer, von dem aus Sie die weitere Konfigu-
ration vornehmen wollen:
http://technet.microsoft.com/de-de/library/jj151805.aspx
Geeignet heißt, dass der Microsoft Online Services-Anmelde-Assistent vorhanden
sein muss. Ist er es nicht, müssen Sie ihn vorher noch installieren. Das Installations-
paket finden Sie unter derselben URL.
Weitere Voraussetzungen finden Sie in Abschnitt 2.14.1, »Windows Azure Active
Directory-Modul für Windows PowerShell«.
Starten Sie dann die PowerShell.
Nehmen Sie die Aktivierung von einem ADFS-Server aus vor, sind folgende Befehle
erforderlich:
Import-Module MSOnline
#Anmeldung am Office 365-KontoConnect-MsolService
#Konvertierung der DomäneConvert-MsolDomainToFederated -DomainName beispielag.de
Listing 3.1 Domäne umwandeln vom ADFS-Server aus
Wollen Sie die Aktivierung stattdessen auf einem Nicht-ADFS-Server vornehmen, ist
ein zusätzlicher Befehl notwendig:
Import-Module MSOnline
#Anmeldung am Office 365-KontoConnect-MsolService
#Anmeldung an ADFSSet-MsolADFSContext -Computer ADFSSERVER -ADFSUserCredentials (Get-Credential)
#Konvertierung der DomäneConvert-MsolDomainToFederated -DomainName beispielag.de
Listing 3.2 Domäne umwandeln von beliebigen Computern aus
2277.book Seite 233 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
234
Mit dem Set-MsolADFSContext melden Sie sich an Ihrer ADFS-Umgebung mit dem
ADFS-Dienstkonto an. Damit dies funktioniert, müssen folgende Voraussetzungen
erfüllt sein:
� PowerShell Remoting muss auf dem ADFS-Server aktiviert sein. Dazu führen Sie
auf dem ADFS-Server einmalig das Cmdlet Enable-PSRemoting aus.
� Das ADFS-Dienstkonto muss auf dem ADFS-Server über lokale Administrator-
berechtigungen verfügen. Nach der erfolgten Konfiguration sollten Sie diese wie-
der entziehen.
Im Office 365-Portal sollte die Änderung dann in der Domänenverwaltung ersicht-
lich sein:
1. Öffnen Sie die Office 365-Verwaltungskonsole.
(https://portal.microsoftonline.com)
2. Öffnen Sie den Bereich Domänen.
3. Klicken Sie auf den Status der entsprechenden Domäne.
Es werden dann die Domäneneigenschaften angezeigt (siehe Abbildung 3.28). Unter
DNS-Verwaltung sollte nun Einmaliges Anmelden stehen.
Schritt 10: Active-Directory-Synchronisierung aktivieren
Falls noch nicht geschehen, aktivieren Sie die Active-Directory-Synchronisierung mit
Office 365. Wie das geht, lesen Sie in Abschnitt 3.4, »Active-Directory-Synchronisie-
rung«. Achten Sie darauf, dass die Domäne der Benutzer-UPNs auf die Verbunddo-
mäne gesetzt ist.
Noch ein Tipp: Belassen Sie auch bei aktiviertem Identitätsverbund von wenigstens
einem im Office 365-Portal angelegten Administrator den UPN auf der Kontodomäne
Abbildung 3.28 Die Domäne wurde konvertiert.
2277.book Seite 234 Montag, 10. Juni 2013 3:47 15
3.3 Identitätsverbund
235
3
(also auf der, die auf onmicrosoft.com endet) – nur für den Fall, dass der Identitätsver-
bund einmal nicht so funktioniert, wie gedacht. Dann können Sie sich wenigstens
noch am Portal als Administrator anmelden.
3.3.6 Test
Nachdem die Active-Directory-Synchronisierung durchgelaufen ist, können wir
einen ersten Test wagen. Für den Test benötigen wir einen AD-Benutzer. Im Office
365-Portal (https://portal.microsoftonline.com) sollten Sie ihn in der Benutzerver-
waltung finden. Verpassen Sie ihm dort eine Office 365-Lizenz.
Zum Test gehen Sie wie folgt vor:
1. Starten Sie eine neue Browsersitzung.
2. Rufen Sie das Office 365-Portal auf.
3. Im Anmeldefenster geben Sie den UPN des Testbenutzers ein.
4. Verlassen Sie das Feld, indem Sie etwa ins Kennwort-Feld klicken. Daraufhin
sollte der Hinweis zur Anmeldung bei logon.beispielag.de erscheinen (siehe Abbil-
dung 3.29).
Abbildung 3.29 Anmeldung im Browser
2277.book Seite 235 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
236
5. Erscheint das Anmeldefenster, geben Sie den Benutzernamen und das Kennwort
des Testbenutzers ein.
Wenn Sie diese zusätzliche Anmeldung am Active Directory automatisch vorneh-
men lassen wollen, fügen Sie die ADFS-Domäne im Internet Explorer zur Sicher-
heitszone »Lokales Intranet« hinzu.
Danach sollte das Office 365-Portal für den Testbenutzer angezeigt werden – der Iden-
titätsverbund hat funktioniert.
Konfiguration überprüfen mit dem Remote Connectivity Analyzer
Der aus dem Exchange-Umfeld bekannte Microsoft Remote Connectivity Analyzer
(RCA), auch bekannt als Microsoft Exchange Remote Connectivity Analyzer (ExRCA),
wurde um verschiedene Tests speziell für Office 365 erweitert. Darunter befindet
sich auch ein Test des Identitätsverbunds. Dieser kann Ihnen helfen, die Ursache für
Anmeldeprobleme zu finden. Sie erreichen den Analyzer unter folgender URL (siehe
Abbildung 3.30):
https://testconnectivity.microsoft.com
Abbildung 3.30 Microsoft Remote Connectivity Analyzer
Wechseln Sie dort zur Registerkarte Office 365, können Sie den Office 365-Test für
einmaliges Anmelden durchführen. Ein Beispiel für die Ausgabe sehen Sie in Abbil-
dung 3.31.
2277.book Seite 236 Montag, 10. Juni 2013 3:47 15
3.3 Identitätsverbund
237
3
Abbildung 3.31 Ergebnis des Single-Sign-on-Tests
3.3.7 Zugriffssteuerung
Ein Vorteil des Identitätsverbunds ist die Möglichkeit, den Zugriff auf Office 365 aus
bestimmten IP-Adressbereichen zu beschränken. Beispielsweise soll der Zugriff nicht
von Rechnern außerhalb des Unternehmensnetzwerks erlaubt werden, oder der
Zugriff von außerhalb soll auf ActiveSync für den Zugriff auf das Exchange-Online-
Postfach beschränkt werden. Dabei werden folgende Szenarien unterstützt:
1. externen Zugriff auf Office 365 blockieren
2. externen Zugriff auf Office 365 blockieren mit Ausnahme von ActiveSync
3. externen Zugriff auf Office 365 blockieren, mit Ausnahme von browserbasierten
Anwendungen wie Outlook Web Access (OWA) und SharePoint Online
4. externen Zugriff auf Office 365 für Mitglieder bestimmter Active-Directory-Orga-
nisationseinheiten blockieren
Um eines dieser Szenarien zu erreichen, müssen Sie einige vorbereitende Schritte
durchführen:
1. Installation des aktuellsten ADFS Update Rollups auf allen ADFS-Servern und
ADFS-Proxys
2. Öffnen Sie die ADFS-Verwaltung über die Startseite.
3. Wechseln Sie in der Baumansicht links zum Pfad ADFS • Vertrauensstellun-
gen • Anspruchsanbieter-Vertrauensstellungen (siehe Abbildung 3.32).
2277.book Seite 237 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
238
4. Klicken Sie mit der rechten Maustaste auf Active Directory, und wählen Sie im
Kontextmenü den Befehl Anspruchsregeln bearbeiten.
5. Klicken Sie auf die Schaltfläche Regel hinzufügen.
6. Im Assistentenschritt Regeltyp auswählen wählen Sie die Anspruchsregel-
vorlage Eingehenden Anspruch filtern oder zulassen.
7. Im Schritt Anspruchsregel konfigurieren machen Sie folgende Angaben:
– Anspruchsregelname: Office 365 IP
– Eingehender Anspruchstyp:
http://schemas.microsoft.com/2012/01/requestcontext/claims/
x-ms-forwarded-client-ip
– Alle Anspruchswerte zulassen
Abbildung 3.32 Anspruchsanbieter-Vertrauensstellungen
Abbildung 3.33 Regel-Assistent
2277.book Seite 238 Montag, 10. Juni 2013 3:47 15
3.3 Identitätsverbund
239
3
8. Wiederholen Sie die Schritte 5 bis 7 zum Anlegen weiterer Regeln, wie in Tabelle 3.3
angegeben.
9. Schließen Sie den Assistenten mit OK ab.
Abhängig vom gewünschten Zugriffsszenario sind dann weitere Konfigurations-
schritte erforderlich.
Szenario 1: externen Zugriff auf Office 365 blockieren
Abhängig von der IP-Adresse des Clients wird der Zugriff auf Office 365 blockiert.
1. Öffnen Sie die ADFS-Verwaltung über die Startseite.
2. Wechseln Sie in der Baumansicht links zum Pfad AD FS • Vertrauensstellun-
gen • Vertrauensstellungen der vertrauenden Seite.
3. Klicken Sie mit der rechten Maustaste auf Microsoft Office 365 Identity
Platform, und wählen Sie im Kontextmenü den Befehl Anspruchsregeln
bearbeiten.
4. Wechseln Sie zur Registerkarte Ausstellungsautorisierungsregeln, und
klicken Sie auf die Schaltfläche Regel hinzufügen.
5. Im Assistentenschritt Regeltyp auswählen wählen Sie die Anspruchsregelvor-
lage Ansprüche mithilfe einer benutzerdefinierten Regel senden.
6. Im Schritt Anspruchsregel konfigurieren geben Sie folgende Werte ein:
– Anspruchsregelname: Office 365 Externen Zugriff blockieren
– Benutzerdefinierte Regel:
exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/
claims/x-ms-proxy"]) && NOT exists([Type == "http://schemas.micro-
soft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value=
Anspruchs-regelname
Eingehender Anspruchstyp
Office 365
Application
http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application
Office 365
User Agent
http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent
Office 365
Proxy
http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy
Office 365
EndPoint
http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path
Tabelle 3.3 Anspruchsregeln
2277.book Seite 239 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
240
~"ÖFFENTLICHEIPADRESSEN"]) => issue(Type = "http://schemas.microsoft.com/
authorization/claims/deny", Value = "true");
Sie müssen dabei ÖFFENTLICHEIPADRESSEN ersetzen durch einen regulären Aus-
druck, mit dem öffentliche IP-Adressen erkannt werden. Lesen Sie dazu den Kas-
ten »Reguläre Ausdrücke für öffentliche IP-Adressen«.
7. Schließen Sie den Assistenten mit Fertigstellen ab (siehe Abbildung 3.34).
Szenario 2: externen Zugriff auf Office 365 blockieren mit
Ausnahme von ActiveSync
Mit Ausnahme von ActiveSync (beispielsweise beim Zugriff auf das Exchange-
Online-Postfach über Smartphones) soll der externe Zugriff auf Office 365 blockiert
werden.
Die dazu erforderlichen Schritte sind identisch mit Szenario 1, jedoch mit einer ande-
ren Regel in Schritt 6:
� Anspruchsregelname: Office 365 Externen Zugriff blockieren Ausnahme
ActiveSync
� Benutzerdefinierte REGEL:
exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/
claims/x-ms-proxy"]) && NOT exists([Type == "http://schemas.microsoft.com/
2012/01/requestcontext/claims/x-ms-client-application", Value=="Micro-
soft.Exchange.ActiveSync"]) && NOT exists([Type == "http://schemas.micro-
soft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value=
~"ÖFFENTLICHEIPADRESSEN"]) => issue(Type = "http://schemas.microsoft.com/
authorization/claims/deny", Value = "true");
Abbildung 3.34 Eine neue Anspruchsregel wurde angelegt.
2277.book Seite 240 Montag, 10. Juni 2013 3:47 15
3.3 Identitätsverbund
241
3
Auch hier müssen Sie ÖFFENTLICHEIPADRESSEN ersetzen durch einen regulären Aus-
druck, mit dem öffentliche IP-Adressen erkannt werden (siehe Kasten »Reguläre Aus-
drücke für öffentliche IP-Adressen«).
Szenario 3: externen Zugriff auf Office 365 blockieren, mit Ausnahme von browser-
basierten Anwendungen wie Outlook Web Access (OWA) und SharePoint Online
Zur Umsetzung dieses Szenarios halten Sie sich wieder an die Schritte von Szenario 1,
mit der folgenden Regel in Schritt 6:
� Anspruchsregelname: Office 365 Externen Zugriff blockieren Ausnahme
Browser-Anwendungen
� Benutzerdefinierte REGEL:
exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/
claims/x-ms-proxy"]) && NOT exists([Type == "http://schemas.microsoft.com/
2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value=~"ÖFFENT-
LICHEIPADRESSEN"]) && NOT exists([Type == "http://schemas.microsoft.com/
2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/
adfs/ls/"]) => issue(Type = "http://schemas.microsoft.com/authorization/
claims/deny", Value = "true");
ÖFFENTLICHEIPADRESSEN muss wieder ersetzt werden (siehe Kasten »Reguläre Ausdrü-
cke für öffentliche IP-Adressen«).
Szenario 4: externen Zugriff auf Office 365 für Mitglieder bestimmter
Active-Directory-Organisationseinheiten blockieren
Auch hier halten Sie sich zur Umsetzung des Szenarios wieder an die Schritte von
Szenario 1, mit der folgenden Regel in Schritt 6:
� Anspruchsregelname: Office 365 Externen Zugriff Für Organisations-
einheitenmitglieder blockieren
� Benutzerdefinierte Regel:
exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/
claims/x-ms-proxy"]) && exists([Type == "http://schemas.microsoft.com/ws/
2008/06/identity/claims/groupsid", Value =~ "GRUPPENSID"]) && NOT exists
([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-
ms-forwarded-client-ip", Value=~"ÖFFENTLICHEIPADRESSEN"]) => issue(Type =
"http://schemas.microsoft.com/authorization/claims/deny", Value = "true");
ÖFFENTLICHEIPADRESSEN muss wieder ersetzt werden (siehe Kasten »Reguläre Ausdrü-
cke für öffentliche IP-Adressen«). Außerdem müssen Sie GRUPPENSID ersetzen durch
den SID (Security Identifier) der Active-Directory-Organisationseinheit, deren Mit-
glieder der externe Zugriff auf Office 365 verwehrt werden soll.
2277.book Seite 241 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
242
Reguläre Ausdrücke für öffentliche IP-Adressen
Einen IP-Adressenbereich geben Sie über einen regulären Ausdruck an, wobei der-
zeit nur IPv4-Adressen unterstützt werden.
Das Erstellen von regulären Ausdrücken ist für Neulinge aufgrund der komplexen
Notation schon fast am Rand der schwarzen Magie einzuordnen. Beispielsweise
steht dieser Ausdruck für den Adressbereich von 192.168.1.1 bis 192.168.1.254:
^192\.168\.1\.([1-9]|[1-9][0-9]|1([0-9][0-9])|2([0-4][0-9]|5[0-4]))$
Da ist es oft einfacher, ein Tool zu verwenden, das diese Ausdrücke generiert. Ein
solches finden Sie beispielsweise unter folgender URL:
http://support.google.com/bin/answer.py?hl=de&answer=1034771&rd=1
3.4 Active-Directory-Synchronisierung
Bei der Active-Directory-Synchronisierung handelt es sich um eine optionale Konfi-
guration. Ein Vorteil dabei ist, dass Sie bei der Verwaltung Ihres Office 365-Kontos
entlastet werden. Die Synchronisierung wird über ein Verzeichnissynchronisierungs-
tool durchgeführt, das Sie auf einem Mitgliedsserver Ihrer Domäne installieren
(siehe Abbildung 3.35).
Das Tool läuft im Hintergrund und gleicht in einem regelmäßigen Intervall automa-
tisch Elemente Ihres Active Directorys mit dem Verzeichnisdienst von Office 365 ab.
Betroffen sind dabei folgende Objekte:
� Benutzerkonten
� E-Mail-aktivierte Gruppen
� Sicherheitsgruppen
� Kontakte
Eine Auflistung der synchronisierten Attribute finden Sie unter der folgenden URL:
http://support.microsoft.com/kb/2256198/
Neu angelegte Objekte im lokalen Active Directory werden automatisch beim nächs-
ten Synchronisationslauf im Office 365-Verzeichnisdienst angelegt, beispielsweise
die Benutzerkonten neuer Mitarbeiter. Löschen oder ändern Sie lokal ein Objekt,
wird es auch in Office 365 gelöscht oder geändert.
Dabei handelt es sich grundsätzlich um eine Pushsynchronisierung ausgehend von
Ihrem Active Directory hin zu Office 365. Nur bei einem Szenario, einer Exchange-
Hybridbereitstellung, werden manche Active-Directory-Eigenschaften von Office 365
2277.book Seite 242 Montag, 10. Juni 2013 3:47 15
3.4 Active-Directory-Synchronisierung
243
3
zurück in Ihr Active Directory synchronisiert (mehr dazu in Abschnitt 5.13.2, »Voraus-
setzungen«).
Nach der Aktivierung der Active-Directory-Synchronisierung verwalten Sie Ihre
Benutzer, Gruppen und Kontakte primär mit den Verwaltungstools des lokalen
Active Directorys. Die Benutzerverwaltung von Office 365 verwenden Sie dagegen
primär für die Lizenzierung der synchronisierten Benutzerkonten.
Die Synchronisierung ist in folgenden Szenarien eine Voraussetzung:
� für die Einrichtung eines Identitätsverbunds (siehe Abschnitt 3.3, »Identitäts-
verbund«)
� für die Einrichtung einer Exchange-Hybridbereitstellung (siehe Abschnitt 5.13,
»Hybridbereitstellung«)
� für die mehrstufige Exchange-Migration (siehe Abschnitt 5.12.4, »Mehrstufige
Migration«)
� für die Einrichtung einer Lync-Hybridbereitstellung (siehe Abschnitt 7.6, »Hybrid-
umgebungen«)
Abbildung 3.35 Active-Directory-Synchronisierung
Eigenes Unternehmen
Active Directory-Synchronisierung
Verzeichnis-dienst
Active Directory
Identitäts-provider
Office 365-PortalPowershell
Benutzer-bereitstellung
Identitäts-provider
LyncOnline
Authentifizierungs-Plattform
SharePointOnline
ExchangeOnline
2277.book Seite 243 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
244
Das Tool zur Active-Directory-Synchronisierung wurde nicht speziell für Office 365
entwickelt, sondern es setzt im Hintergrund den Microsoft Forefront Identity Mana-
ger (FIM) ein. Mit dessen Administrationskonsole kommen Sie in manchen Fällen in
Berührung, beispielsweise bei der Fehlersuche oder bei der Konfiguration von Fil-
tern, mit deren Hilfe Objekte synchronisiert werden sollen.
3.4.1 Synchronisierungsvorgang
Nachdem Sie das Verzeichnissynchronisierungstool installiert und konfiguriert
haben, erfolgt eine vollständige Synchronisierung der unterstützten Objekte. Diese
initiale Synchronisierung (Full Sync) dauert am längsten. Bei den weiteren Synchro-
nisierungsverläufen werden nur die Änderungen berücksichtigt (Delta Sync).
Während der Synchronisierung werden zwei Strategien angewandt, die Objekte aus
dem lokalen Active Directory mit dem Verzeichnisdienst von Office 365 abzuglei-
chen:
1. GUID-Vergleich
Wird ein Objekt durch das Synchronisierungstool im Office 365-Verzeichnisdienst
angelegt, erhält es dort eine Markierung mit der Object-GUID des entsprechenden
Objekts aus dem lokalen Active Directory (Net-ID genannt). Daran wird es bei
zukünftigen Synchronisierungsverläufen erkannt.
2. SMTP-Vergleich
Wird im Office 365-Verzeichnisdienst kein Objekt mit passender GUID gefunden,
werden (sofern vorhanden) die primären SMTP-Adressen verglichen. Dieser Fall
tritt beispielsweise dann auf, wenn Sie schon vor der Aktivierung der Synchroni-
sierung im Office 365-Konto Benutzerkonten mit entsprechenden SMTP-Adressen
anlegen. Während der Synchronisierung werden diese Office 365-Benutzer dann
mit den lokalen Active-Directory-Benutzern verbunden.
Active Directory-GUID und die Net-ID
Die GUID von lokalen Active-Directory-Benutzerkonten und die zugehörige Net-ID
können Sie selbst über die PowerShell auslesen. Die Objekt-GUID steht in der Eigen-
schaft ObjectGUID des Active-Directory-Benutzerkonto-Objekts. Die Net-ID in der
Eigenschaft ImmutableId des Office 365-Benutzerkonto-Objekts. Die ObjectGUID ist
vom Typ GUID, die ImmutableId vom Typ Base 64 String.
Ist die ImmutableId leer, wurde das Benutzerkonto nicht über die Active-Directory-
Synchronisierung angelegt.
Hier ein Beispiel, um die IDs auszulesen:
$upn = "[email protected]"
2277.book Seite 244 Montag, 10. Juni 2013 3:47 15
3.4 Active-Directory-Synchronisierung
245
3
Import-Module ActiveDirectoryImport-Module MSOnline
#Office 365-AnmeldungConnect-MsolService
#Ermittlung der lokalen Objekt-GUID$ObjectGUID = (Get-ADUser-Filter { UserPrincipalName -eq $upn }).ObjectGUID
#Ermittlung der ImmutableId$ImmutableIdBase64 = (Get-MsolUser -UserPrincipalName $upn).ImmutableId
#Umwandlung von Base 64 String zu GUID$ImmutableId = [GUID]([System.Convert]::FromBase64String($ImmutableIdBase64))
#Ausgabe"Objekt-GUID: " + $ObjectGUID.Guid"Net-ID (Base 64): " + $ImmutableIdBase64"Net-ID (GUID): " + $ImmutableId.Guid
Listing 3.3 Auslesen von Objekt-GUID und Net-ID
Voraussetzung für diesen Code ist jedoch, dass Sie über das ActiveDirectory-
Modul (siehe Abschnitt 2.15, »PowerShell und Active Directory«) und über das Win-
dows Azure Active Directory-Modul für Windows PowerShell (siehe Abschnitt 2.14.1)
verfügen und dass die Active-Directory-Synchronisierung bereits eingerichtet
wurde. Ein Beispiel für die Ausgabe sehen Sie in Abbildung 3.36.
Abbildung 3.36 Auslesen von Objekt-GUID und Net-ID
Das Intervall zwischen den Synchronisierungsverläufen beträgt fest vorgegeben drei
Stunden. Allerdings können Sie die Synchronisierung bei Bedarf manuell starten,
beispielsweise wenn das Benutzerkonto des neuen Mitarbeiters sofort in Office 365
verfügbar sein soll und nicht erst nach bis zu drei Stunden (siehe Abschnitt 3.4.5,
»Manueller Start der Synchronisierung«).
2277.book Seite 245 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
246
Wenn Sie nach der Installation des Verzeichnissynchronisierungstools im Installa-
tionsordner nachsehen, finden Sie dort diverse Konfigurationsdateien. Mit diesen
könnten Sie diverse Änderungen am Verhalten der Synchronisierung vornehmen –
inklusive einer Anpassung des Intervalls von standardmäßig drei Stunden. Aller-
dings werden derartige Änderungen von Microsoft derzeit nicht unterstützt. Außer-
dem werden bei einem Update des Verzeichnissynchronisierungstools mög-
licherweise die Änderungen rückgängig gemacht, und – noch viel schlimmer – es
könnte den Verlust von Benutzerkonten und/oder Postfächern zur Folge haben. Des-
halb sollten Sie von einer Anpassung der Konfigurationsdateien absehen, und ich
werde diese hier auch nicht weiter besprechen.
3.4.2 Planung und Vorbereitung
Die Einrichtung der Synchronisierung ist ein wichtiger Schritt bei der Anbindung
Ihres Office 365-Kontos an das lokale Active Directory. Dabei müssen Sie aber einige
Punkte berücksichtigen, die wir in diesem Abschnitt besprechen.
Einschränkungen
� keine Unterstützung von Small Business-Konten
Die Active-Directory-Synchronisierung wird bei Small Business-Konten nicht
unterstützt.
� Anzahl Active-Directory-Objekte
Beim Verzeichnissynchronisierungstool gibt es zwei Grenzwerte bei der Anzahl
von Active-Directory-Objekten. Keine Probleme treten auf bei bis zu 50.000
Objekten (Benutzer, Gruppen, Kontakte).
Werden mehr als 50.000 Objekte synchronisiert, kontaktieren Sie den Office 365-
Kundendienst für eine entsprechende Freischaltung Ihres Office 365-Kontos
(siehe Abschnitt 1.14, »Problembehebung«).
Werden weniger als 50.000 Objekte synchronisiert, kann das Verzeichnissynchro-
nisierungstool den automatisch mit installierten Microsoft SQL Server 2008 R2
Express verwenden. Bei mehr Objekten ist eine Instanz der »großen« SQL Server
erforderlich, die dann gesondert konfiguriert werden muss (siehe Kasten in
Abschnitt 3.4.3, »Installation«).
Die Anzahl der zu synchronisierenden Objekte können Sie mit dem Microsoft
Office 365 Deployment Readiness Tool ermitteln (siehe Abschnitt 3.2, »Überprüfen
der lokalen Umgebung«).
� eingeschränkte Unterstützung von Multi-Forest-Umgebungen
Multi-Forest-Umgebungen werden vom Verzeichnissynchronisierungstool nicht
direkt unterstützt. Microsoft bietet aber den Windows Azure AD Connector an, der
2277.book Seite 246 Montag, 10. Juni 2013 3:47 15
3.4 Active-Directory-Synchronisierung
247
3
zusammen mit einem separat zu installierenden (und lizensierenden) Forefront
Identity Manager 2010 (R2) eingesetzt werden kann, um die Multi-Forest-Unter-
stützung nachzurüsten. Solche Szenarien werden nur über den Microsoft Support
und darauf spezialisierte Microsoft-Partner angeboten.
� Administration von Benutzerkonten
Es ist zwar nicht wirklich eine Einschränkung, aber Sie sollten es dennoch beach-
ten: Sobald die Synchronisierung aktiviert ist, können Sie viele Eigenschaften der
Benutzerkonten nur noch über die Active-Directory-Tools und nicht mehr im
Office 365-Portal bearbeiten (siehe Abbildung 3.37).
Es dürfte aber eher eine Erleichterung sein, mit den gewohnten Werkzeugen ein-
fach weiterarbeiten zu können.
Neue Benutzerkonten legen Sie nach der Aktivierung der Synchronisierung auch
nur noch lokal im Active Directory an und nicht mehr im Office 365-Portal. Benut-
zerkonten, die Sie dennoch direkt in Office 365 erstellen, werden nicht auch auto-
matisch in Ihrem Active Directory angelegt.
Dennoch kann es Sinn machen, einzelne Benutzer direkt im Office 365-Portal
anzulegen, beispielsweise für administrative Benutzer, externe Anwender, die nur
Zugriff auf Office 365, aber nicht auf das lokale Netzwerk bekommen sollen etc.
Abbildung 3.37 Eingeschränkte Bearbeitung von Benutzerkonten im Office 365-Portal
2277.book Seite 247 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
248
Vorbereitungen
Bevor Sie die Active-Directory-Synchronisierung einrichten, sollten Sie einige Dinge
überprüfen:
� Active-Directory-Attribute lokaler Benutzerkonten
Vor der Aktivierung der Synchronisierung sollten Sie sicherstellen, dass die Benut-
zerprinzipalnamen der lokalen Benutzerkonten geeignet gesetzt sind, das heißt,
sie erfüllen folgende Voraussetzungen:
– Der UPN muss vergeben sein.
– Die Domäne muss öffentlich und im Internet routbar sein (also kein .local,
.intranet oder Ähnliches).
Daneben gelten die Voraussetzungen aus Tabelle 3.4.
Wie Sie die Benutzerprinzipalnamen mithilfe der PowerShell automatisiert ver-
geben, lesen Sie in Abschnitt 2.15.3, »Anwendung«.
Die in den UPNs verwendete Domäne sollte vor der Aktivierung der Active-Direc-
tory-Synchronisierung zu Ihrem Office 365-Konto hinzugefügt werden. Ist das
nicht der Fall, wird die Domäne ersetzt durch die onmicrosoft.com-Domäne des
Office 365-Kontos.
Benötigen Sie ein alternatives Benutzerprinzipalnamen-Suffix (beispielsweise,
weil Ihre Domäne beispielag.local heißt und Sie jetzt bei den Benutzerprinzipal-
namen beispielag.de verwenden wollen), gehen Sie wie folgt vor:
1. Öffnen Sie die Managementkonsole Active Directory-Domänen und -Ver-
trauensstellungen (siehe Abbildung 3.38). Diese finden Sie im Zweifelsfall
auf einem Domänencontroller.
Abbildung 3.38 Active Directory-Domänen und -Vertrauensstellungen
2277.book Seite 248 Montag, 10. Juni 2013 3:47 15
3.4 Active-Directory-Synchronisierung
249
3
2. Klicken Sie mit der rechten Maustaste in der linken Navigation auf Active
Directory-Domänen und -Vertrauensstellungen, und wählen Sie im
Kontextmenü die Eigenschaften (siehe Abbildung 3.39).
3. Fügen Sie im erscheinenden Fenster ein alternatives Benutzerprinzipalnamen-
Suffix hinzu. Dieses können Sie dann bei den Benutzerkonten auswählen.
Abbildung 3.39 Hinzufügen eines neuen Benutzerprinzipalnamen-Suffixes
Attribut Voraussetzungen
displayname � Ist nicht länger als 256 Zeichen.
� Enthält keines der folgenden Zeichen: ? @ +
givenName � Ist nicht länger als 64 Zeichen.
� Enthält keines der folgenden Zeichen: ? @ +
mail � Ist nicht länger als 256 Zeichen.
� Enthält keines der folgenden Zeichen: [ ! # $ % & * + / = ? ^ ` { } ]
� Muss eindeutig sein.
mailNickname � Ist nicht länger als 64 Zeichen.
� Enthält weder das Leerzeichen noch eines der folgenden
Zeichen: " \ [ ] : > < ;
proxyAddresses � Ist nicht länger als 256 Zeichen.
� Enthält keines der folgenden Zeichen: ) ( ; > < ] [ \ ,
Tabelle 3.4 Voraussetzungen Active-Directory-Attribute
2277.book Seite 249 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
250
� Domänen
Stellen Sie sicher, dass Sie die bei den UPNs verwendeten Domänen zu Ihrem
Office 365-Konto hinzugefügt und verifiziert haben (siehe Abschnitt 1.10, »Domä-
nenverwaltung«).
3.4.3 Installation
Bevor Sie mit der Installation des Verzeichnissynchronisierungstools loslegen, müs-
sen Sie sich über die Voraussetzungen im Klaren sein.
Voraussetzungen
Das Verzeichnissynchronisierungstool muss auf einem Server installiert werden, der
folgende Voraussetzungen erfüllt:
sAMAccountName � Ist nicht länger als 20 Zeichen.
� Enthält keines der folgenden Zeichen: ! # $ % ^ & { } ` ~ " , \ / [ ] : @ < > + = ; ? *
� Ist der sAMAccountName ungültig, der userPrincipalName
jedoch gültig, wird das Benutzerkonto in Office 365 angelegt.
sn � Ist nicht länger als 64 Zeichen.
� Enthält keines der folgenden Zeichen: ? @ +
targetAddress � Ist erforderlich für E-Mail-aktivierte Objekte.
� Ist nicht länger als 256 Zeichen.
� Enthält keines der folgenden Zeichen: [ ! # $ % & * + / = ? ^ ` { } ]
userPrincipalName � Benutzername ist nicht länger als 64 Zeichen.
� Domänenname ist nicht länger als 256 Zeichen.
� Enthält keines der folgenden Zeichen: }{ # ‘ * + ) ( > < / \ =
? `
� @ muss vorhanden sein, darf aber nicht erstes Zeichen sein.
� Benutzername endet nicht mit einem der folgenden
Zeichen: . & @
� Benutzername hat kein Leerzeichen.
� Muss eindeutig sein.
Attribut Voraussetzungen
Tabelle 3.4 Voraussetzungen Active-Directory-Attribute (Forts.)
2277.book Seite 250 Montag, 10. Juni 2013 3:47 15
3.4 Active-Directory-Synchronisierung
251
3
� Hardware
Tabelle 3.5 gibt eine Hilfestellung bei der Auswahl geeigneter Hardware. Der Ein-
satz einer entsprechenden virtuellen Maschine ist auch möglich.
� Windows-Version
Das Verzeichnissynchronisierungstool ist eine 64-Bit-Anwendung und setzt ent-
sprechend einen 64-Bit-Windows-Server (ab Windows Server 2008) voraus.
� Mitgliedsserver
Der Server, auf dem Sie das Verzeichnissynchronisierungstool installieren wollen,
muss Mitglied der zu synchronisierenden Active Directory-Domäne sein. Die
Installation auf einem Domänencontroller ist nicht möglich.
� Nicht auf einem ADFS-Server
Die Installation des Verzeichnissynchronisierungstools dürfen Sie nicht auf
einem ADFS-Server vornehmen.
� .NET Framework 3.5 SP1
Vor der Installation des Verzeichnissynchronisierungstools muss das .NET Frame-
work 3.5 SP1 installiert sein, was Sie auf Windows Server 2008 R2 und 2012 über
den Server Manager erledigen können. Für die älteren Versionen verwenden Sie
folgenden Download:
http://download.microsoft.com/download/2/0/e/
20e90413-712f-438c-988e-fdaa79a8ac3d/dotnetfx35.exe
� PowerShell
Vor der Installation des Verzeichnissynchronisierungstools muss die PowerShell
ab Version 2 installiert werden (beim Windows Server 2008 R2 und 2012 ist sie be-
reits standardmäßig vorhanden). Informationen dazu finden Sie in Abschnitt 2.1.2,
»Systemvoraussetzungen«.
Anzahl Active-Directory-Objekte CPU RAM Freie Festplattenkapazität
< 10.000 1,6 GHz 4 GB 70 GB
10.000–50.000 1,6 GHz 4 GB 70 GB
50.000–100.000 1,6 GHz 16 GB 100 GB
100.000–300.000 1,6 GHz 32 GB 300 GB
300.000–600.000 1,6 GHz 32 GB 450 GB
> 600.000 1,6 GHz 32 GB 500 GB
Tabelle 3.5 Hardwarevoraussetzungen
2277.book Seite 251 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
252
� Microsoft Online Services-Anmelde-Assistant
Der Anmelde-Assistent muss zwar vorhanden sein, Sie müssen sich aber nicht
selbst darum kümmern. Mit der Installation des Verzeichnissynchronisierungs-
tools wird der Anmelde-Assistent automatisch mit installiert.
Es gibt übrigens keine Hochverfügbarkeitskonfiguration für das Verzeichnissynchro-
nisierungstool. Sie installieren das Tool genau einmal für jeden Active Directory
Forest.
Aktivieren der Active-Directory-Synchronisierung
Standardmäßig ist die Active-Directory-Synchronisierung in Office 365-Konten deak-
tiviert. Sie sollten Sie aktivieren, bevor Sie das Verzeichnissynchronisierungstool
installieren und konfigurieren. Dafür gibt es zwei Möglichkeiten: die Office 365-Ver-
waltungskonsole und die PowerShell.
In der Office 365-Verwaltungskonsole wechseln Sie zum Bereich Benutzer und
Gruppen. Klicken Sie dann auf Active Directory-Synchronisierung einrich-
ten und verwalten (siehe Abbildung 3.40).
Dort klicken Sie auf die Schaltfläche Aktivieren. Die direkte URL lautet:
https://portal.microsoftonline.com/DirSync/DirectorySynchronization.aspx
Abbildung 3.40 Einrichtung der Active-Directory-Synchronisierung
2277.book Seite 252 Montag, 10. Juni 2013 3:47 15
3.4 Active-Directory-Synchronisierung
253
3
Über die PowerShell erledigen Sie mithilfe des Cmdlets Set-MsolDirSyncEnabled die-
sen Schritt. Melden Sie sich zunächst in der PowerShell an Ihrem Office 365-Konto an
(siehe Abschnitt 2.14.1, »Windows Azure Active Directory-Modul für Windows Power-
Shell«), und geben Sie dann folgenden Befehl:
Set-MsolDirSyncEnabled -EnableDirSync $true
Listing 3.4 Aktivierung der Active-Directory-Synchronisierung
An denselben Stellen bzw. mit demselben Cmdlet können Sie die Synchronisierung
auch wieder deaktivieren. Bei einer guten Planung im Vorfeld der Aktivierung sollte
dies aber nicht nötig sein und kann zu unerwünschten Nebeneffekten führen. Bei-
spiel: Sie setzen bisher die Synchronisierung ein, deaktivieren Sie dann aber.
Dadurch bleiben die Benutzerkonten im Office 365-Verzeichnisdienst erhalten. Nach
der Deaktivierung nehmen Sie Änderungen sowohl an den lokalen Benutzerkonten
als auch an den Office 365-Benutzerkonten vor. Anschließend aktivieren Sie die Syn-
chronisierung wieder. Da die GUIDs der Objekte erhalten geblieben sind, werden die
Office 365-Benutzerkonten mit den Angaben aus den Active-Directory-Benutzer-
konten überschrieben. Die Änderungen an den Office 365-Benutzerkonten gehen
verloren.
Installation und Konfiguration
Das Installationspaket des Verzeichnissynchronisierungstools finden Sie im Office
365-Portal auf derselben Seite, auf der Sie auch die Active-Directory-Synchronisie-
rung aktivieren können. Die Installation selbst dauert rund zehn Minuten, da der SQL
Server 2008 R2 Express ungefragt mit installiert wird. Nach der Installation können
Sie gleich den Konfigurations-Assistenten starten. Den Assistenten können Sie aber
auch später über das Startmenü aufrufen. Der Konfigurations-Assistent besteht im
Wesentlichen aus folgenden Schritten:
1. Windows Azure Active Directory-Administratoranmeldeinformationen
Geben Sie hier die Anmeldedaten eines Benutzerkontos mit Administratorrech-
ten eines Office 365-Kontos an (siehe Abbildung 3.41).
Sie sollten hier kein Benutzerkonto angeben, das einem Anwender zugeordnet ist.
Erstellen Sie lieber ein zusätzliches Konto und weisen ihm die Rolle »Globaler
Administrator« zu. Eine Lizenz benötigt das neue Konto nicht, sodass auch keine
Kosten verursacht werden. Denken Sie in Zukunft aber daran, das Kennwort, wenn
es sich einmal ändern sollte, auch hier im Konfigurationstool zu aktualisieren.
Dieser Umstand ist besonders problematisch, wenn das Kennwort nach einer
gewissen Zeitspanne abläuft. Denn dann kann auch die Synchronisierung nicht
mehr durchgeführt werden. Wie Sie das Ablaufen des Kennworts verhindern kön-
nen, lesen Sie in Abschnitt 2.14.3, »Benutzer anlegen«.
2277.book Seite 253 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
254
2. Active-Directory-Anmeldeinfos
Geben Sie hier die Anmeldedaten eines Benutzerkontos an, das über Enterprise-
Administratorberechtigungen in Ihrem Active Directory verfügt. Die Anmeldeda-
ten dieses Benutzerkontos werden nicht gespeichert, sondern dienen lediglich
dazu, dass der Konfigurations-Assistent im lokalen Active Directory ein Benutzer-
konto anlegen kann, das Synchronisierungsrechte hat (siehe Abbildung 3.42).
Dabei handelt es sich um das Konto MSOL_AD_SYNC. Es erhält ein zufälliges
Kennwort, das nicht abläuft.
Abbildung 3.41 Konfiguration des Verzeichnissynchronisierungstools
Abbildung 3.42 Konfiguration der Active-Directory-Anmeldeinformationen
2277.book Seite 254 Montag, 10. Juni 2013 3:47 15
3.4 Active-Directory-Synchronisierung
255
3
3. hybride Exchange-Bereitstellung
Grundsätzlich nimmt das Verzeichnissynchronisierungstool nur eine Pushsyn-
chronisierung Ihres Active Directorys hin zu Office 365 vor. Eine Synchronisierung
in der umgekehrten Richtung ist nur bei einer Exchange-Hybridbereitstellung
erforderlich. Bei einer solchen werden einige Active-Directory-Attribute Ihrer
Benutzerkonten vom Synchronisierungstool beschrieben (siehe Abschnitt 5.13.2,
»Voraussetzungen«). Wollen Sie eine hybride Exchange-Umgebung einrichten,
müssen Sie die Option aktivieren. In Abbildung 3.43 ist die Auswahl nicht möglich,
da kein geeigneter Exchange Server vorhanden ist.
Nachdem die Konfiguration durchgeführt wurde, können Sie Ihr Active Directory
mit dem Office 365-Verzeichnis synchronisieren lassen und den Verlauf über die
Windows-Ereignisanzeige verfolgen (mehr dazu in Abschnitt 3.4.7, »Fehlerbehand-
lung«).
Verzeichnissynchronisierungstool mit einem SQL Server 2012
Müssen Sie mehr als 50.000 Active-Directory-Objekte synchronisieren, ist statt des
standardmäßig eingesetzten SQL Servers 2008 R2 Express ein SQL Server ab der Ver-
sion 2008 Standard erforderlich. Die Installation des Verzeichnissynchronisierungs-
tools unterscheidet sich dann in manchen Punkten vom Standard. Hier die
erforderlichen Schritte:
Abbildung 3.43 Vorbereitung der hybriden Exchange-Bereitstellung
2277.book Seite 255 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
256
1. Nach dem Download der Installationsdatei führen Sie diese über die Kommando-
zeile und den Parameter /fullsql aus:
dirsync-de.exe /fullsql
2. Akzeptieren Sie die Lizenzbedingungen, und geben Sie einen Installationsordner
an.
3. Warten Sie auf die Beendigung der Installation.
4. Doppelklicken Sie auf die Datei DirsyncInstallShell.psc1 im Installationsordner des
Verzeichnissynchronisierungstools (standardmäßig in C:\Program Files\Micro-
soft Online Directory Sync).
5. Führen Sie folgendes Kommando aus:
$cred = Get-CredentialInstall-OnlineCoexistenceTool -UseSQLServer `
-SqlServer <SQLSERVERNAME> `-ServiceCredential $cred `-SqlServerInstance <SQLINSTANZ>
Listing 3.5 Installation mit einem SQL Server
Im Anmeldefenster geben Sie ein Domänenbenutzerkonto an, unter dem die
Dienste des Forefront Identity Managers und des Verzeichnissynchronisierungs-
tools laufen sollen.
6. Starten Sie den Konfigurations-Assistenten des Verzeichnissynchronisierungs-
tools über die Startseite oder das Symbol auf dem Desktop, und machen Sie die
erforderlichen Angaben.
Nach der Installation
Nach der Installation des Verzeichnissynchronisierungstools finden Sie eine Reihe
neuer Komponenten auf dem System vor:
� SQL Server 2008 R2 Express
Der Datenbankserver wird zur Verwaltung der synchronisierten Objekte vom Ver-
zeichnissynchronisierungstool eingesetzt.
� Forefront Identity Manager Synchronization Service
Dies ist der eigentliche Dienst hinter dem Verzeichnissynchronisierungstool.
� Windows-Dienst
In der Windows-Dienstverwaltung finden Sie den Dienst Windows Azure Active
Directory Sync Service. Dieser wird unter dem lokalen Konto MIIS_Service aus-
geführt, das bei der Konfiguration des Tools automatisch angelegt wurde (siehe
Abbildung 3.44). Das Konto ist wiederum Mitglied der lokalen Sicherheitsgruppe
MIISAdmins.
2277.book Seite 256 Montag, 10. Juni 2013 3:47 15
3.4 Active-Directory-Synchronisierung
257
3
3.4.4 Filtern von Active-Directory-Objekten
Standardmäßig synchronisiert das Verzeichnissynchronisierungstool alle vorhande-
nen Benutzerkonten, E-Mail-aktivierte Gruppen, Sicherheitsgruppen und Kontakte.
Der Konfigurations-Assistent zur Einrichtung dieser Synchronisierung erlaubt dabei
keine Auswahl, welche Objekte synchronisiert werden sollen und welche nicht. Es
werden einfach grundsätzlich alle Objekte der drei beschriebenen Typen synchroni-
siert. Wie bereits erwähnt, wird die eigentliche Synchronisierung über FIM vor-
genommen. Über dessen Verwaltungskonsole können Sie eine Filterung einrichten,
mit der bestimmt wird, welche Objekte synchronisiert werden sollen.
Achtung: Es ist davon auszugehen, dass diese Konfigurationen ein Update auf eine
neuere Version des Verzeichnissynchronisierungstools nicht überstehen. Sollten Sie
einmal eine neuere Version des Tools installieren, sollten sie noch vor (!) dem nächs-
ten Synchronisierungsvorgang überprüfen, ob die Filterkonfiguration Ihren Vorstel-
lungen entspricht. Grundsätzlich werden dabei drei unterschiedliche Verfahren zur
Filterkonfiguration unterstützt:
� Organisationseinheiten filtern
� Domänen filtern
� eigenschaftsbasierte Filterung
Organisationseinheiten filtern
Ein einfaches Vorgehen beim Ausschluss von Objekten aus der Synchronisierung ist
die Abwahl von Organisationseinheiten, die bei weiteren Synchronisationsläufen
nicht mehr berücksichtigt werden sollen.
Abbildung 3.44 Dienst-Benutzerkonto für die Synchronisierung
2277.book Seite 257 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
258
Achtung: Schließen Sie eine Organisationseinheit von der Synchronisierung aus,
nachdem diese bereits früher einmal synchronisiert wurde, werden die darin enthal-
tenen Objekte aus dem Office 365-Verzeichnisdienst gelöscht. Das ist besonders bei
Benutzerkonten problematisch.
Zur Konfiguration, welche Organisationseinheiten bei der Synchronisierung berück-
sichtigt werden sollen, gehen Sie wie folgt vor:
1. Melden Sie sich an dem Server an, auf dem das Verzeichnissynchronisierungstool
ausgeführt wird. Verwenden Sie dabei ein Benutzerkonto, das Mitglied der lokalen
Sicherheitsgruppe MIISAdmins ist, beispielsweise der lokale Benutzer, den Sie bei
der Konfiguration der Verzeichnissynchronisierung angegeben haben.
2. Führen Sie aus dem Pfad Program Files\Microsoft Online Directory Sync\SYNC-
BUS\Synchronization Service\UIShell die Datei miisclient.exe aus. Dabei handelt
es sich um die Verwaltungskonsole des Forefront Identity Managers (siehe Abbil-
dung 3.45).
3. Wechseln Sie zum Bereich Management Agents.
4. Klicken Sie doppelt auf die Zeile SourceAD.
5. Wählen Sie den Bereich Configure Directory Partitions (siehe Abbildung
3.46), und klicken Sie dann auf die Schaltfläche Containers.
Abbildung 3.45 Verwaltungskonsole des Forefront Identity Managers
2277.book Seite 258 Montag, 10. Juni 2013 3:47 15
3.4 Active-Directory-Synchronisierung
259
3
6. Geben Sie die Benutzerdaten an, mit denen Sie sich am Server angemeldet haben.
7. Deaktivieren Sie alle Organisationseinheiten, deren Elemente während des
Synchronisierungsvorgangs nicht berücksichtigt werden sollen (siehe Abbil-
dung 3.47).
8. Schließen Sie alle Fenster mit OK.
9. Öffnen Sie das Kontextmenü der Zeile SourceAD, und wählen Sie den Befehl
Run.
Abbildung 3.46 SourceAD-Eigenschaften
Abbildung 3.47 Containerauswahl
2277.book Seite 259 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
260
10. Markieren Sie das Run profile mit dem Namen Full Import Full Sync, und
klicken Sie auf OK.
11. Warten Sie, bis der State der Zeile SourceAD auf Idle steht.
Die Änderungen werden dann beim nächsten Synchronisierungsintervall berück-
sichtigt. Benutzerkonten, die nun nicht mehr synchronisiert werden, markiert das
Verzeichnissynchronisierungstool automatisch als gelöscht. Damit sind sie und die
Daten, beispielsweise das Postfach, aber noch nicht endgültig verloren. Innerhalb
von 30 Tagen können Sie diese Konten wiederherstellen. Lesen Sie hierzu Abschnitt
1.11.4, »Gelöschte Benutzer wiederherstellen«.
Domänen filtern
Der Vorgang zur Auswahl der zu synchronisierenden Domänen ist sehr ähnlich wie
bei der Auswahl von Organisationseinheiten. Wählen Sie lediglich wie in Abbildung
3.47 gezeigt die gewünschten Domänen aus. Domänen, die dort nicht mit einem Häk-
chen markiert sind, werden auch nicht synchronisiert.
Eigenschaftsbasierte Filterung
Den Ausschluss von Objekten aus der Synchronisierung können Sie auch über eine
eigenschaftsbasierte Filterung konfigurieren, um damit beispielsweise alle Benutzer-
konten mit bestimmten Eigenschaften von der Synchronisierung auszuschließen.
Gehen Sie dazu wie folgt vor:
1. Starten Sie wie in Abschnitt »Organisationseinheiten filtern« beschrieben die
Verwaltungskonsole des Forefront Identity Managers.
2. Wechseln Sie zum Bereich Management Agents.
3. Klicken Sie doppelt auf die Zeile SourceAD.
4. Wählen Sie den Bereich Configure Connector Filter (siehe Abbildung 3.48).
5. Markieren Sie in der Liste die Objektart, für Benutzerkonten beispielsweise user.
6. Klicken Sie auf die Schaltfläche New, um einen Filter anzulegen. In Abbildung
3.49 werden beispielsweise alle Benutzerkonten nicht synchronisiert, die als
Wohnort Berlin eingetragen haben.
7. Schließen Sie alle Fenster mit OK.
8. Öffnen Sie das Kontextmenü der Zeile SourceAD, und wählen Sie den Befehl
Run.
9. Markieren Sie das Run profile mit dem Namen Full Import Full Sync, und
klicken Sie auf OK.
10. Warten Sie, bis der State der Zeile SourceAD auf Idle steht.
11. Starten Sie gegebenenfalls wie in Abschnitt »Organisationseinheiten filtern«
beschrieben direkt einen Synchronisierungsvorgang mithilfe der PowerShell.
2277.book Seite 260 Montag, 10. Juni 2013 3:47 15
3.4 Active-Directory-Synchronisierung
261
3
3.4.5 Manueller Start der Synchronisierung
Bei Bedarf starten Sie die Synchronisierung des Active Directorys mit Office 365
manuell über die PowerShell. Dadurch müssen Sie nicht auf den Ablauf des standard-
mäßigen Synchronisierungsintervalls von drei Stunden warten, wenn Sie im Active
Directory neu angelegte Objekte auch in Office 365 benötigen.
Abbildung 3.48 Filtereigenschaften
Abbildung 3.49 Anlegen eines neuen Filters
2277.book Seite 261 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
262
Gehen Sie dazu wie folgt vor:
1. Öffnen Sie den Installationsordner des Verzeichnissynchronisierungstools (stan-
dardmäßig C:\Program Files\ Microsoft Online Directory Sync).
2. Doppelklicken Sie auf das Skript DirSyncConfigShell.psc1.
3. Führen Sie folgendes Cmdlet aus, um die Synchronisierung zu starten:
Start-OnlineCoexistenceSync
Listing 3.6 Start der Verzeichnissynchronisierung
Über die Windows-Ereignisanzeige können Sie den Verlauf der Synchronisierung
verfolgen (siehe Abschnitt 3.4.7, »Fehlerbehandlung«).
3.4.6 Synchronisierung von Benutzerkonten
Bei der Synchronisierung von Benutzerkonten sind einige Besonderheiten zu be-
achten:
� Vergabe von Net-IDs
Jedes über das Verzeichnissynchronisierungstool neu angelegte Benutzerkonto in
Office 365 erhält eine Net-ID. Diese spielt beim Anmeldevorgang eines Identitäts-
verbunds eine wichtige Rolle (siehe Abschnitt 3.3.4, »Anmeldevorgang«).
� bereits vorhandene Benutzerkonten in Office 365
Sollten Sie vor der Aktivierung der Active-Directory-Synchronisierung bereits in
Office 365 Benutzer angelegt haben, versucht das Verzeichnissynchronisierungs-
tool eine Zuordnung vorzunehmen. Als Grundlage verwendet das Tool dabei
GUIDs und die primäre SMTP-Adresse, mit der ein Abgleich zwischen lokalen
Active-Directory-Benutzerkonten und den im Office 365-Verzeichnisdienst vor-
handenen Benutzerkonten erfolgt (siehe Abschnitt 3.4.1, »Synchronisierungsvor-
gang«).
� Deaktivieren von lokalen Benutzerkonten
Deaktivieren Sie ein Benutzerkonto in Ihrem Active Directory, wird das zugehö-
rige Office 365-Benutzerkonto ebenfalls deaktiviert. Der Anwender kann sich also
nicht mehr an den Office 365-Diensten anmelden.
� Löschen von lokalen Benutzerkonten
Löschen Sie ein Benutzerkonto in Ihrem Active Directory, wird das zugehörige
Office 365-Benutzerkonto ebenfalls gelöscht.
� Kennwörter der lokalen Benutzerkonten
Kennwörter werden über das Verzeichnissynchronisierungstool nicht von Ihrem
lokalen Active Directory nach Office 365 übertragen. Es handelt sich beim
Verzeichnissynchronisierungstool also nicht um eine Single-Sign-on-Lösung,
2277.book Seite 262 Montag, 10. Juni 2013 3:47 15
3.4 Active-Directory-Synchronisierung
263
3
sondern um eine Identitätsverwaltungslösung. Single Sign-on müssen Sie im Be-
darfsfall über einen Identitätsverbund realisieren (siehe Abschnitt 3.3, »Identitäts-
verbund«).
Haben Sie keinen Identitätsverbund konfiguriert, müssen Sie die Benutzerkonten
aktivieren und ihnen eine Lizenz zuweisen. Außerdem erhalten Sie damit ein
Kennwort. Lesen Sie dazu den nächsten Punkt.
� Lizenzierung
Durch das automatische Anlegen von Office 365-Benutzerkonten durch die
Active-Directory-Synchronisierung wird nicht auch automatisch eine Office 365-
Lizenz vergeben. Bei der Lizenzierung der neuen Benutzerkonten handelt es sich
um einen separaten Prozess, den Sie entweder über die Office 365-Verwaltungs-
konsole oder die PowerShell erledigen können.
Benutzerlizenzierung über das Office 365-Portal
Die Benutzerverwaltung im Office 365-Portal bietet einen speziellen Filter, mit der Sie
nicht lizenzierte Benutzerkonten anzeigen lassen können, um sie dann zu lizenzie-
ren. Gehen Sie dazu wie folgt vor:
1. Öffnen Sie in der Office 365-Verwaltungskonsole den Bereich Benutzer und
Gruppen.
2. Als Filter (Trichter-Symbol) wählen Sie Nicht lizenzierte Benutzer (siehe
Abbildung 3.50).
3. Markieren Sie dann den oder die zu lizenzierenden Benutzer, und geben Sie den
Befehl Synchronisierte Benutzer aktivieren.
Abbildung 3.50 Filter für nicht lizenzierte Benutzer
2277.book Seite 263 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
264
Office 365 verlangt dann von Ihnen die Angabe des Benutzerstandorts sowie der
gewünschten Lizenz (siehe Abbildung 3.51). Haben Sie keinen Domänenverbund kon-
figuriert, wird für die Benutzer automatisch ein Kennwort generiert. Bei einem
Domänenverbund verbleibt die Kennwortverwaltung bei Ihrem lokalen Active
Directory.
Benutzerlizenzierung über die PowerShell
In Abschnitt 2.14.1, »Windows Azure Active Directory-Modul für Windows Power-
Shell«, habe ich bereits gezeigt, wie Sie mit der PowerShell eine Verbindung zu Ihrem
Office 365-Konto herstellen. Nachdem Sie sich mit Connect-MsolService angemeldet
haben, können Sie mit folgendem Kommando alle nicht lizenzierten Benutzer aus-
findig machen:
Get-MsolUser -UnlicensedUsersOnly
Listing 3.7 Nicht lizenzierte Benutzer auflisten
Diese Benutzer können Sie nun beispielsweise mit einer E3-Lizenz und einem tempo-
rären Kennwort versorgen, indem Sie die Objekte an ein Set-MsolUserLicense weiter-
leiten:
Get-MsolUser -UnlicensedUsersOnly |Set-MsolUserLicense -AddLicenses "BEISPIELAG:ENTERPRISEPACK" `
-NewPassword 'Pa$$w0rd'
Listing 3.8 Benutzer lizenzieren
Abbildung 3.51 Synchronisierte Benutzer aktivieren
2277.book Seite 264 Montag, 10. Juni 2013 3:47 15
3.4 Active-Directory-Synchronisierung
265
3
Hierbei sollten Sie aber beachten, dass der Code sämtliche nicht lizenzierten Benut-
zer eine Lizenz verpasst. Doch nicht alle Benutzer benötigen auch tatsächlich eine.
Beispielsweise wird beim Anlegen eines Websitepostfachs (siehe Abschnitt 6.6,
»Websitepostfächer«) automatisch auch ein Benutzer angelegt. Dieser benötigt aber
keine Lizenz.
Achten Sie beim Kennwort darauf, nur einfache gerade Anführungszeichen zu ver-
wenden und keine doppelten. Ansonsten kann es Ihnen passieren, dass das Kenn-
wort zwar gesetzt wird, aber nicht auf den Wert, den Sie erwarten würden. Bei Zei-
chenketten mit doppelten Anführungszeichen werden gegebenenfalls Variablen
(erkennbar am führenden Dollarzeichen) durch den Inhalt ersetzt. Bei einfachen
Anführungszeichen geschieht das nicht. Beispiel:
$vorname = "Lucy"$nachname = "Walker""$vorname $nachname"'$vorname $nachname'
Listing 3.9 Doppelte und einfache Anführungszeichen
Bei "$vorname $nachname" wird Lucy Walker ausgegeben und bei '$vorname $nach-
name' stattdessen $vorname $nachname. Verschärfend kommt hinzu, dass $$ für eine
Systemvariable steht, die den letzten Ausdruck enthält.
Weitere Vorgehensweisen bei der Lizenzierung bespreche ich in Abschnitt 2.14.3,
»Benutzer anlegen«.
3.4.7 Fehlerbehandlung
Haben Sie die Verzeichnissynchronisierung aktiviert, sollten Sie sie auch überwa-
chen, um frühzeitig auf Probleme aufmerksam zu werden. Office 365 unterstützt Sie
dabei mit Fehlermeldungen, die per E-Mail versandt werden, und das Verzeichnis-
synchronisierungstool mit Einträgen in der Windows-Ereignisanzeige.
Fehlermeldungen per E-Mail
Office 365 sendet bei Problemen automatisch eine E-Mail an den als technischen
Ansprechpartner hinterlegten Kontakt Ihres Kontos. So werden Sie frühzeitig darauf
hingewiesen, dass die Synchronisierung nicht wie gewünscht durchgeführt werden
konnte. Den technischen Kontakt können Sie anpassen, indem Sie in der Office 365-
Verwaltungskonsole im Bereich Dashboard rechts oben auf Ihren Unternehmens-
namen klicken (siehe Abbildung 3.52).
Es bietet sich an, als E-Mail-Adresse für den technischen Kontakt eine Verteilerliste
anzugeben, die nicht nur eine einzelne Person enthält.
2277.book Seite 265 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
266
Statusinformationen in der Windows-Ereignisanzeige
Das Verzeichnissynchronisierungstool schreibt im Ereignisprotokoll »Anwendung«
der Windows-Ereignisanzeige Statusinformationen über den Verlauf der Synchroni-
sierung (siehe Abbildung 3.53).
Die Einträge werden mit der Quelle Directory Synchronization angelegt. Tabelle 3.6
listet einige wichtige Ereignisse auf.
Die Ereignisanzeige können Sie auch wieder mit der PowerShell auswerten. Sehen
wir uns einige Beispiele an.
Abbildung 3.52 Anpassung des technischen Kontakts
Ereignis-ID Bedeutung
3 Export wurde gestartet.
4 Export wurde abgeschlossen.
5 Anzahl exportierter Objekte
Tabelle 3.6 Synchronisierungsereignisse
2277.book Seite 266 Montag, 10. Juni 2013 3:47 15
3.4 Active-Directory-Synchronisierung
267
3
Zunächst sollen alle Ereignisse bezüglich der Synchronisierung aufgelistet werden:
Get-EventLog -LogName Application `-Source "Directory Synchronization"
Listing 3.10 Anzeige von Synchronisierungsereignissen
Wollen Sie die Ereignisse von einem anderen Computer aus aufrufen als von dem,
auf dem das Synchronisierungstool läuft, hängen Sie den Computernamen an:
Get-EventLog -LogName Application `-Source "Directory Synchronization" `-ComputerName "DIRSYNC"
Listing 3.11 Anzeige von Synchronisierungsereignissen auf einem bestimmten Computer
Möchten Sie nur die Fehler haben, filtern Sie die Objekte auf den Typ des Eintrags:
Get-EventLog -LogName Application `-Source "Directory Synchronization" `-EntryType Error
Listing 3.12 Anzeige von Synchronisierungsereignissen vom Typ Fehler
Abbildung 3.53 Windows-Ereignisanzeige
2277.book Seite 267 Montag, 10. Juni 2013 3:47 15
3 Identitäten und Active-Directory-Synchronisierung
268
Und zu guter Letzt sollen nur die Fehler der vergangenen sieben Tage ausgegeben
werden:
Get-EventLog -LogName Application `-Source "Directory Synchronization" `-EntryType Error `-After (Get-Date).AddDays(-7)
Listing 3.13 Anzeige von Synchronisierungsereignissen vom Typ Fehler aus den
vergangenen sieben Tagen
3.5 So geht es weiter
In diesem Kapitel haben Sie die zwar optionalen, aber in vielen Szenarien erforder-
lichen Techniken kennengelernt, um einen Identitätsverbund und die Active-Direc-
tory-Synchronisierung einzurichten.
Es geht im nächsten Kapitel weiter mit den ersten Office 365-Diensten, nämlich dem
Office-Paket, Project und Visio.
2277.book Seite 268 Montag, 10. Juni 2013 3:47 15
Index
839
Index
# (PowerShell).......................................................... 155
$$ ................................................................................... 171
$? ................................................................................... 157
$_................................................................................... 153
$ErrorActionPreference....................................... 158
$Input .......................................................................... 153
% (PowerShell-Alias).............................................. 148
& (PowerShell) ......................................................... 164
. (PowerShell)............................................................ 164
.admx........................................................................... 310
.app ............................................................................... 719
.cer ................................................................................ 743
.dmg ............................................................................. 319
.js ................................................................................... 294
.NET (Datenquellentyp) ....................................... 665
.NET Framework...................................................... 114
.ost ................................................................................ 488
.pdf...................................................................... 707, 762
.pfx................................................................................ 743
.ps1 ............................................................................... 121
.pst ............................................................. 389, 476, 520
.vbs ..................................................................... 112, 294
.wsp .............................................................................. 713
.xml .............................................................................. 657
.zip ................................................................................ 564
? (PowerShell-Alias) ............................................... 142
| (PowerShell) ........................................................... 138
´ (PowerShell) ........................................................... 162
A
A (DNS)........................................................................... 66
AADRM ....................................................................... 706
Exchange Online ................................................ 457
SharePoint Online ............................................. 708
Abonnement ........................................................ 34, 63
Ablaufdatum .......................................................... 39
Enterprise ................................................................. 40
Kündigung............................................................... 40
Laufzeit ..................................................................... 38
Midsize Business ................................................... 39
Opend End Date Calculator.............................. 40
Small Business ....................................................... 38
Accent-Grave � ´ (PowerShell)
Access Services ................................................. 48, 663
AccountSkuId........................................................... 178
ACS ............................................................................... 737
Active Directory Benutzer und Computer ..... 81
Active Directory Federation Services � ADFS
Active Directory Management Gateway
Service � ADMGS
Active Directory Rights Management Services
� Informationsrechte (Exchange Online)
Active Directory Web Services � ADWS
Active Directory-Domänen und
-Vertrauensstellungen .................................... 248
Active Directory-Rechteverwaltungsdienste �
Informationsrechte (Exchange Online)
Active Directory-Verbunddienste................... 224
Active Directory-Zertifikatsdienste................ 223
Active-Directory-Domänendienste................ 194
Active-Directory-
Synchronisierung .......................... 199, 201, 242
aktivieren.............................................................. 252
Benutzerkonten ................................................. 262
Einschränkungen .............................................. 246
Fehlerbehandlung ............................................. 265
filtern...................................................................... 257
installieren ........................................................... 250
Lizenzierung ........................................................ 262
manueller Start .................................................. 261
Planung ................................................................. 246
überprüfen ........................................................... 204
Voraussetzungen .............................................. 250
vorbereiten........................................................... 248
Vorgang ................................................................ 244
Active-Directory-Verbunddienste � ADFS
ActiveSync ................................................................ 478
Gerätefamilie ...................................................... 480
Gerätezurücksetzung ...................................... 482
mobile Geräte ..................................................... 478
Postfacheinstellungen..................................... 481
Postfachrichtlinien ........................................... 480
PowerShell............................................................ 482
Quarantäne ......................................................... 478
Address Record � A (DNS)
ADFS ............................................................................ 203
Einzelserver.......................................................... 210
Proxy ...................................................................... 212
Proxyserver .......................................................... 211
Serverfarm ........................................................... 212
Topologiegrößen ............................................... 213
ADMGS ....................................................................... 196
Administratorrolle ................................................... 86
2277.book Seite 839 Montag, 10. Juni 2013 3:47 15
Index
840
Adressliste, globale ...................................... 366, 374
Advanced Functions (PowerShell)................... 160
ADWS........................................................................... 196
AIM ............................................................................... 781
Alias....................................................................... 66, 127
AllSigned (PowerShell) ......................................... 155
Amazon Web Services .......................................... 806
Amsterdam .................................................................. 44
Android ...................................................................... 796
SharePoint Online ............................................. 692
Ansicht (Administratoren) .................................... 57
Midsize Business/Enterprise ............................ 60
Small Business ....................................................... 57
Ansicht (Benutzer) .................................................... 93
Ansicht (SharePoint Online) .............................. 594
Standardansicht ................................................ 598
Anti-Spam
Exchange Online ................................................... 46
Quarantäne ......................................................... 455
Anti-Spam (Exchange Online)........................... 452
Anti-Virus
Exchange Online ......................................... 46, 452
Intune ..................................................................... 809
SharePoint Online ............................................. 705
Anwenderansicht ...................................................... 53
Anwendungsfreigabe ........................................... 765
Anwendungsprinzipal (SharePoint
Online) ................................................................... 745
Anwesenheitsstatus .............................................. 764
Anzeigende Benutzer (Gruppe) ........................ 612
AOL Instant Messenger � AIM
App Solutions .......................................................... 564
Apps
Anforderungen ......................................... 717, 721
Bereitstellungsmodelle.................................... 715
Katalog .................................................................. 719
Konfiguration ..................................................... 718
Office....................................................................... 720
SharePoint Online ................................... 715, 719
Apps (SharePoint Online) ................................... 644
App-V........................................................................... 284
Archiv (Exchange Online) ...................................... 46
Archivierung (Exchange Online) ..................... 389
aktivieren .............................................................. 392
Anwenderansicht............................................... 405
Archivpostfach ................................................... 389
Archivrichtlinie ................................................... 409
Aufbewahrungslimit ........................................ 395
Aufbewahrungsrichtlinie ............ 395, 399, 409
Aufbewahrungsrichtlinie, Standard .......... 400
Archivierung (Exchange Online)............... (Forts.)
Aufbewahrungsrichtlinientag ..................... 396
Aufbewahrungstags......................................... 409
Default MRM Policy ......................................... 399
Hybridbereitstellung........................................ 557
ins Archiv verschieben (Aktion) ................... 409
Lizenzen ................................................................ 390
löschen (Aktion) ................................................. 409
Outlook, 2007 ..................................................... 407
Outlook, unterstützte Ausgaben ................ 406
persönlicher Tag ................................................ 396
Standardrichtlinientag .......................... 396, 407
Szenarien .............................................................. 392
verwalten.............................................................. 392
verwalten (PowerShell) ................................... 394
Array............................................................................ 127
Assistent für verwaltete Ordner ...................... 404
Asynchron (PowerShell)...................................... 153
Aufbewahrungsrichtlinien (Exchange
Online)................................................................... 395
Aufbewahrungstags (Exchange Online) ....... 395
Aufgabenplanung .................................................. 112
Auschecken (SharePoint Online)..................... 594
Authentifizierungsbereich (SharePoint
Online)................................................................... 746
Authentifizierungsplattform ............................ 215
Authentium AV ...................................................... 453
Autodiscover � AutoErmittlung
AutoErmittlung ...................................................... 343
Azure ........................................................ 565, 806, 824
CDN ......................................................................... 826
Mediendienste .................................................... 826
mobile Dienste.................................................... 826
SharePoint Online ............................................. 666
SQL .......................................................................... 666
Verwaltungskonsole ........................................ 666
virtuelle Maschinen.......................................... 825
Web Role ............................................................... 824
Websites ................................................................ 826
Worker Role ......................................................... 824
B
Bandbreite ................................................................... 43
Batch............................................................................ 294
BCS ............................................................... 48, 664, 737
Datenquellentypen ........................................... 665
SQL Azure ............................................................. 666
BDC .............................................................................. 670
Behörden ...................................................................... 30
2277.book Seite 840 Montag, 10. Juni 2013 3:47 15
Index
841
Benutzer
anlegen ..................................................................... 85
anlegen, CSV ........................................................... 91
anlegen, einzeln .................................................... 86
anlegen, mehrere .................................................. 91
anlegen, PowerShell.......................................... 175
Ansicht ...................................................................... 93
Filter ........................................................................... 93
Kennwort ändern (PowerShell) .................... 189
lizenzieren ............................................................... 41
lizenzieren (PowerShell) .................................. 178
löschen (PowerShell)......................................... 190
Massenhinzufügen (PowerShell) ................. 181
Maximalanzahl ..................................................... 32
ohne Lizenz .......................................................... 362
verwalten .......................................................... 83, 92
verwalten, PowerShell ..................................... 188
wiederherstellen .................................................... 93
wiederherstellen (PowerShell) ...................... 190
Benutzerprinzipalname � UPN
Benutzerprofile (SharePoint Online) ... 637, 640
Apps ........................................................................ 644
Aufgaben............................................................... 645
Blog ......................................................................... 644
Info .......................................................................... 643
Newsfeed ............................................................... 642
SkyDrive................................................................. 646
verwalten .............................................................. 638
Websites ................................................................ 646
Benutzerstandort ...................................................... 86
Benutzerverwaltungsadministrator ................. 88
Berechtigung (SharePoint Online) .................. 606
ändern .................................................................... 616
anfragen, Anwender ......................................... 610
anzeigen ................................................................ 616
Authentifizierung, mit ..................................... 626
Authentifizierung, ohne.................................. 627
Benutzer, extern ................................................. 621
Benutzer, extern (PowerShell) ...................... 628
Berechtigungsstufen ........................................ 609
Bibliothek .............................................................. 616
Datei ....................................................................... 617
Eintrag ................................................................... 617
freigeben, Datei .................................................. 625
freigeben, Website ............................................. 623
Gruppe ................................................................... 612
Konzept.................................................................. 607
Liste ......................................................................... 616
Ordner .................................................................... 617
PowerShell ............................................................ 618
Single Sign-on ..................................................... 606
Berechtigung (SharePoint Online)............ (Forts.)
Vererbung............................................................. 615
Website .................................................................. 608
Berechtigungen (Postfach)................................. 440
senden als ............................................................. 440
senden als (PowerShell) .................................. 443
senden im Auftrag ............................................ 440
senden im Auftrag (PowerShell).................. 443
verwalten (EAC).................................................. 441
verwalten (PowerShell) ................................... 444
verwalten, Anwender....................................... 446
Bereitstellungshandbuch ................................... 838
Berichte ......................................................................... 97
Besitzer von (Gruppe) .......................................... 612
Besucher von (Gruppe) ........................................ 613
Beweissicherungsverfahren ....................... 46, 464
Bibliothek ......................................................... 574, 591
anlegen .................................................................. 595
Berechtigung ....................................................... 616
Dateien .................................................................. 600
Formularbibliothek .......................................... 657
löschen................................................................... 599
Ordner.................................................................... 600
Spalte, anlegen ................................................... 596
Vorlage, eigene................................................... 599
Bildungsbereich......................................................... 30
Bindungen ................................................................ 228
Bing Maps......................................................... 360, 702
Bitlocker..................................................................... 354
Blog .............................................................................. 644
BT Conferencing ..................................................... 782
Bulk-Operationen .................................................. 113
Business Connectivity Features � BCS
Business Intelligence............................................ 565
C
C2R � Klick-und-Los
Canonical Name Record � CNAME
Chat....................................................................... 49, 764
Chatdienste .............................................................. 781
Chrome ...................................................................... 756
Cisco-Router............................................................. 739
Citrix ........................................................................... 112
Click-to-run � Klick-und-Los
Client konfigurieren ................................................ 99
Client Side Object Model � CSOM
cmd.exe...................................................................... 112
Cmdlet
Add-DistributionGroupMember ........ 370, 378
Add-MailboxFolderPermission.................... 444
2277.book Seite 841 Montag, 10. Juni 2013 3:47 15
Index
842
Cmdlet (Forts.)
Add-MailboxPermission ....................... 378, 444
Add-MsolGroupMember................................. 192
Add-MsolRoleMember..................................... 193
Add-PSSnapIn ..................................................... 165
Add-RecipientPermission ..................... 378, 443
Add-SPOUser ....................................................... 620
Argumente ........................................................... 124
Confirm-MsolDomain ..................................... 171
Connect-AadrmService.................................... 459
Connect-MsolService .............................. 169, 170
Connect-SPOService................................ 573, 574
Convert-MsolDomainToFederated ............ 233
ConvertTo-SecureString .................................. 366
Create-OfficeDeployment .............................. 292
Disable-Mailbox................................................. 394
Disable-TransportRule .................................... 422
Disconnect-AadrmService.............................. 459
Enable-Aadrm ..................................................... 459
Enable-Mailbox .................................................. 394
Enable-OrganizationCustomi-
zation....................................................... 399, 459
Enable-TransportRule ...................................... 422
Export-CSV ........................................................... 144
ForEach-Object ................................................... 147
Format-Table....................................................... 137
Get-ADUser .......................................................... 197
Get-Alias ................................................................ 128
Get-CASMailbox................................................. 482
Get-Command .................................................... 124
Get-Credential..................................................... 341
Get-CsUser ............................................................ 802
Get-DistributionGroupMember................... 370
Get-DynamicDistributionGroup ................. 370
Get-EcpVirtualDirectory ................................. 539
Get-EventLog .................................... 140, 267, 268
Get-ExecutionPolicy ......................................... 155
Get-Help ................................................................ 126
Get-Host ................................................................ 121
Get-ImapSubscription ..................................... 388
Get-JournalRule .................................................. 472
Get-Mailbox ............................ 343, 366, 394, 395
Get-MailboxSearch ........................................... 478
Get-MailboxStatistics ...................................... 395
Get-Member ............................................... 131, 132
Get-MigrationBatch ...................... 497, 509, 520
Get-MigrationEndpoint ........................ 553, 555
Get-MsolAccountSku ....................................... 178
Get-MsolCompanyInformation................... 746
Get-MsolDomain ..................................... 177, 178
Get-MsolDomainVerificationDns ............... 171
Cmdlet (Forts.)
Get-MsolGroup................................................... 192
Get-MsolGroupMember ................................. 192
Get-MsolPasswordPolicy ...................... 176, 177
Get-MsolRole....................................................... 193
Get-MsolRoleMember ..................................... 193
Get-MsolUser ..... 176, 181, 184, 185, 190, 191,
192, 264, 363
Get-MsolUserRole ............................................. 193
Get-OabVirtualDirectory ............................... 539
Get-OrganizationRelationship .................... 556
Get-OutlookAnywhere .................................... 540
Get-OwaVirtualDirectory .............................. 539
Get-PopSubscription ........................................ 388
Get-Recipient....................................................... 370
Get-RecipientPermission................................ 443
Get-RetentionPolicy ................................ 402, 403
Get-RetentionPolicyTag ................................. 397
Get-RMSTemplate ............................................. 463
Get-SPOAppErrors............................................. 752
Get-SPOAppInfo................................................. 752
Get-SPOExternalUser....................................... 628
Get-SPOSiteGroup............................................. 619
Get-SPOTenantLogEntry ................................ 752
Get-SPOTenantLogLastAvailable-
TimeInUtc........................................................ 752
Get-SPOUser ............................................... 619, 620
Get-SPOWebTemplate ..................................... 583
Get-Subscription ....................................... 388, 389
Get-TransportRule ............................................ 422
Get-WebServicesVirtualDirectory ..... 539, 541
Hilfe ........................................................................ 125
Import-CSV .......................................................... 181
Import-Module................................................... 165
Import-PSSession ..................................... 341, 343
Import-RMSTrustedPublishing-
Domain.................................................... 459, 463
Install-OnlineCoexistenceTool .................... 256
Measure-Object .................................................. 147
Move-CsUser ....................................................... 802
Namenskonventionen..................................... 122
New-CsHostingProvider ................................. 802
New-DistributionGroup......................... 370, 378
New-DynamicDistributionGroup ............... 370
New-ImapSubscription ................................... 388
New-JournalRule ............................................... 472
New-Mailbox................. 362, 366, 374, 378, 384
New-MailboxSearch ......................................... 478
New-MailContact ..................................... 375, 376
New-MigrationBatch ................... 497, 509, 520,
553, 555
2277.book Seite 842 Montag, 10. Juni 2013 3:47 15
Index
843
Cmdlet (Forts.)
New-MigrationEndpoint ... 497, 509, 520, 549
New-MsolDomain ............................................. 171
New-MsolGroup ................................................. 191
New-MsolLicenseOptions ............................... 182
New-MsolServicePrincipalCredential ........ 745
New-MsolUser .................................. 175, 180, 181
New-Object ........................................................... 745
New-PopSubscription ...................................... 388
New-PSSession .................................................... 341
New-PublicFolder............................................... 384
New-RetentionPolicyTag ................................ 398
New-SPAzureAccessControlService-
ApplicationProxy.......................................... 746
New-SPOSite ........................................................ 583
New-SPOSiteGroup ........................................... 619
New-SPTrustedSecurityTokenIssuer .......... 746
New-Subscription .............................................. 388
New-TransportRule........................................... 422
Out-File .................................................................. 144
Out-GridView ...................................................... 146
Parameter ............................................................. 124
Präfix ...................................................................... 342
Remove-MigrationBatch ............. 497, 509, 520
Remove-MsolGroup.......................................... 192
Remove-MsolGroupMember ........................ 192
Remove-MsolUser ................................... 190, 191
Remove-RecipientPermission ....................... 443
Remove-SPOExternalUser.............................. 628
Remove-SPOSiteGroup .................................... 619
Remove-SPOUser ............................................... 621
Remove-Subscription ............................. 388, 389
Remove-TransportRule ................................... 422
Restore-MsolUser .............................................. 190
Search-Mailbox .................................................. 451
Search-MessageTrackingReport.................. 424
Select-Object .............................................. 133, 137
Send-MailMessage ............................................ 158
Set-AdminAuditLogConfig ............................ 468
Set-ADUser ........................................................... 197
Set-Alias ................................................................. 128
Set-CalendarProcessing .................................. 374
Set-CASMailbox........................................ 439, 483
Set-CsAccessEdgeConfiguration.................. 801
Set-EcpVirtualDirectory .................................. 539
Set-ExecutionPolicy .......................................... 156
Set-ImapSubscription ...................................... 388
Set-IRMConfiguration ........................... 459, 463
Set-Mailbox .......... 366, 394, 404, 444, 468, 775
Set-MailContact ................................................. 376
Set-MsolADFSContext...................................... 233
Cmdlet (Forts.)
Set-MsolDirSyncEnabled ................................ 253
Set-MsolPasswordPolicy ....................... 177, 178
Set-MsolUser .................................... 176, 178, 189
Set-MsolUserLicense .. 180, 181, 182, 183, 264
Set-MsolUserPassword ................................... 189
Set-MsolUserPrincipalName ........................ 190
Set-OabVirtualDirectory ................................ 539
Set-OrganizationRelationship ..................... 556
Set-OutlookAnywhere ..................................... 540
Set-OwaMailboxPolicy ................................... 356
Set-OwaVirtualDirectory ............................... 539
Set-PopSubscription ......................................... 388
Set-RetentionPolicy .......................................... 403
Set-RMSTemplate .............................................. 463
Set-SPAuthenticationRealm ......................... 746
Set-SPOSiteGroup.............................................. 619
Set-SPOUser ......................................................... 620
Set-SPSecurityTokenServiceConfig ............ 745
Set-TransportRule ............................................. 422
Set-WebServicesVirtualDirectory ...... 539, 541
Sort-Object ........................................................... 146
Split-Path .............................................................. 403
Start-MailboxSearch ........................................ 478
Start-ManagedFolderAssistant .......... 404, 405
Start-MigrationBatch ................... 497, 509, 520
Start-OnlineCoexistenceSync ....................... 262
Start-Transcript ................................................. 148
Stop-MigrationBatch.................... 497, 509, 520
Test-MigrationServerAvailability ..... 497, 505,
509, 516, 520
Where-Object ...................................................... 141
wichtige ................................................................. 141
Write-EventLog .................................................. 158
CMS .............................................................................. 695
CNAME .......................................................................... 66
Co-Existence (SharePoint Online)................... 721
Communitys ............................................................ 563
Company Administrator ........................... 583, 608
Compliance (Exchange Online)........................ 463
eCompliance-Archiv................................ 466, 475
Officer .................................................................... 470
Composites............................................................... 564
Content Management.......................................... 563
Continous Crawling � Suche (SharePoint
Online)
CRM � Dynamics CRM Online
crmlistcomponent.wsp ....................................... 819
CRMSTANDARD...................................................... 179
CSOM ................................................................. 565, 715
Cumulative Update ............................................... 533
2277.book Seite 843 Montag, 10. Juni 2013 3:47 15
Index
844
D
Dashboard ................................................................. 565
Data Loss Prevention � DLP
Datei (SharePoint Online) ................................... 574
Dateiübertragung................................................... 766
Datensicherheit (SharePoint Online)............. 703
Anti-Virus.............................................................. 705
Dateitypbeschränkungen............................... 706
Papierkorb ............................................................ 703
Default Policy Tag � Archivierung
(Exchange Online)
Delta Sync (Active-Directory-
Synchronisierung) ............................................ 244
Demilitarized Zone � DMZ
Deployment Center............................................... 837
Deployment Readiness Tool.............................. 205
DESKLESSPACK ....................................................... 179
Desktopfreigabe...................................................... 765
Desktopsetup .............................................................. 99
Developer Training Kit......................................... 714
Dienstadministrator ................................................ 88
Dienstbeschreibung ................................................. 41
Dienstkonto.............................................................. 229
Dienststatus ............................................... 61, 63, 104
RSS-Feed ................................................................ 105
Dienstübersicht ......................................................... 61
DirSync � Active-Directory-Synchronisierung
DirSyncConfigShell.psc1 ..................................... 262
dirsync-de.exe ......................................................... 256
DirsyncInstallShell.psc1 ...................................... 256
DLP ........................................................................ 46, 468
DMZ ............................................................................. 211
DNS.................................................................................. 66
MX ................................................................. 490, 499
Nameserver ...................................................... 78, 79
Priorität .................................................................... 66
Redelegation........................................................... 78
Split DNS ........................................................ 75, 221
TTL ................................................................. 490, 499
Voraussetzungen .................................................. 67
Dokumentbibliothek � Bibliothek
Dokumentcenter .................................................... 653
Dokumente standardmäßig in Client-
anwendungen öffnen (Feature)................... 762
Domäne
entfernen, Midsize Business/Enterprise ...... 80
entfernen, Small Business ................................. 83
Problembehandlung ........................................ 106
Registrierungsstelle ............................................. 66
Standarddomäne.................................................. 81
Domäne (Forts.)
Status ........................................................................ 68
Subdomäne...................................................... 67, 78
verifizieren ....................................................... 66, 69
verifizieren (PowerShell)................................. 171
verifizieren, Midsize Business/Enterprise ... 68
verifizieren, Small Business .............................. 77
Verwaltung ............................................................. 65
Verwendung ermitteln (PowerShell) ......... 173
Zweck ........................................................................ 74
Domänenverbund, Lync Online ...................... 780
Downgrade (Office) ............................................... 272
Downloadpaket ...................................................... 837
Drag & Drop ............................................................. 602
Dublin ............................................................................ 44
Dumpster .................................................................. 449
Dynamics CRM Online ........................ 64, 807, 812
anwenden ............................................................. 816
Clients .................................................................... 813
Dokumentenverwaltungs-
einstellungen.................................................. 821
Entitäten ............................................................... 816
Kundenservice .................................................... 812
Listenkomponente (SharePoint Online)... 819
lizenzieren ............................................................ 815
Marketingunterstützung ............................... 812
SharePoint Online ............................................. 817
Überblick............................................................... 812
Vertriebsverwaltung ........................................ 812
E
EC2 ............................................................................... 806
eDiscovery (SharePoint Online) ......................... 48
Eigene Dateien (Bibliothek) ............................... 646
Eigenschaften (PowerShell)
benuterdefinierte............................................... 134
Einchecken (SharePoint Online)...................... 594
eingeschränkten Funktionsmodus � RFM
Einwahlkonferenz........................................... 49, 782
Elastic Compute Cloud � EC2
E-Mail, maximale Größe ........................................ 47
E-Mail-Info ............................................. 331, 368, 375
Enterprise-Familie .................................................... 31
Enterprise-Features............................................... 656
Access Services ................................................... 663
Excel Services ...................................................... 660
InfoPath Forms Services ................................. 656
Visio Services....................................................... 661
ENTERPRISEPACK .................................................. 179
ENTERPRISEWITHSCAL........................................ 179
2277.book Seite 844 Montag, 10. Juni 2013 3:47 15
Index
845
Entwicklerwebsite (Vorlage) .............................. 711
Entwicklungsumgebung (SharePoint
Online) ................................................................... 711
-eq ................................................................................. 142
Ereignisanzeige ....................................................... 266
Ereignisprotokoll.................................................... 266
Events � PowerShell
Excel Calculation Service Proxy ....................... 660
Excel Calculation Services .................................. 660
Excel Plugin for Exchange Online
Reporting ................................................................. 98
Excel Services .................................................... 48, 660
Excel Web Access .................................................... 660
Excel Web Access Webpart ................................. 660
Excel Web App ......................................................... 755
Excel Webservice .................................................... 660
Exchange Control Panel � Exchange Online
Exchange Management Shell � Exchange
Online
Exchange Online .................................................... 329
ActiveSync ............................................................ 478
Administrationsübersicht .............................. 334
Administrationswerkzeuge ........................... 334
Aktivierungszeitraum...................................... 362
allgemeine Verwaltung................................... 361
Anti-Spam...................................................... 46, 452
Anti-Virus....................................................... 46, 452
Apple iOS ............................................................... 356
Apps ........................................................................ 360
Archiv ........................................................................ 46
Archivierung ........................................................ 389
Assistent für verwaltete Ordner................... 404
AutoErmittlung .................................................. 343
Berechtigungen (Postfach) ............................ 440
Bereitstellungs-Assistent ................................ 485
Beweissicherungsverfahren ................... 46, 464
Clients..................................................................... 343
Compliance .......................................................... 463
Dienstbeschreibung .......................................... 333
DLP ............................................................................. 46
Dumpster .............................................................. 449
EAC ................................................................ 334, 336
EAC, Small Business .......................................... 335
ECP ........................................................................... 334
Einschränkungen ........................................ 46, 333
E-Mail-Info ........................................................... 331
EMS.......................................................................... 528
endgültige Löschvorgänge ............................ 450
EOP ............................................................................. 46
EWS............................................................................. 46
Exchange Online.............................................. (Forts.)
Excel Plugin for Exchange Online
Reporting ............................................................ 98
Funktionsüberblick........................................... 330
Funktionsvergleich .............................................. 46
gelöschte Elemente........................................... 449
Google Android .................................................. 357
Gruppen ................................................................ 366
Hybridbereitstellung................................. 47, 526
IMAP .......................................................................... 46
Informationsrechte .......................................... 457
Inhaltsfilter .......................................................... 454
IRM ............................................................................. 46
Journal ...................................................................... 46
Journalisierung .................................................. 469
Kontakte (extern) .............................................. 374
Lizenztypen............................................................. 45
maximale E-Mail-Größe .................................... 47
maximale Empfänger ........................................ 47
maximale Nachrichtenanzahl ........................ 47
Migration ............................................................. 485
mobile Endgeräte .............................................. 356
Nachrichtenfluss................................................ 412
öffentliche Ordner...................................... 46, 379
Office Web Apps ................................................. 755
Outlook (Mac OS) .............................................. 347
Outlook (Windows)........................................... 343
OWA........................................................................ 348
POP3 .......................................................................... 46
Posteingangsregeln............................................. 46
Postfach ................................................................ 361
Postfach, freigegebenes .................................. 376
PowerShell............................................................ 339
PowerShell, Anzahl zurückgegebener
Objekte.............................................................. 343
PowerShell, Funktionalität............................ 340
PowerShell, Verbindungsaufbau ................ 341
PowerShell, Voraussetzungen...................... 339
Quarantäne ......................................................... 455
RBAC .............................................................. 340, 424
RCA, Client............................................................ 346
Ressourcenpostfach ......................................... 371
Rollen ..................................................................... 424
Schadsoftwarefilter .......................................... 453
Sicherheit .............................................................. 424
Suche ................................................... 451, 464, 472
Transportregeln .......................................... 46, 412
Überwachungsberichte................................... 467
UM ........................................................................... 483
Verbindungsfilter .............................................. 454
2277.book Seite 845 Montag, 10. Juni 2013 3:47 15
Index
846
Exchange Online.............................................. (Forts.)
verbundenes Konto........................................... 384
was ist Exchange Online................................. 330
Websitepostfach................................................. 629
wiederherstellbare Elemente ........................ 449
Windows Phone.................................................. 356
Zustellungsberichte .......................................... 422
Exchange Online Protection � EOP
Exchange Web Services � EWS
EXCHANGE_L_STANDARD ................................ 180
EXCHANGE_S_DESKLESS.................................... 179
EXCHANGE_S_ENTERPRISE ............................... 179
EXCHANGE_S_STANDARD ................................ 179
EXCHANGE_S_STANDARD_MIDMARKET... 180
Exchange-Verwaltungskonsole �
Exchange Online
Execution Policy � Skript
ExRCA � RCA
EXTENDED_GRACE (Office)................................ 281
F
-f � Formatierungsoperator
F5 Big IP ...................................................................... 739
Facebook .......................................................... 642, 753
Farm Solution .......................................................... 564
Fast Search................................................................. 635
Federated Domain � Verbunddomäne
Filter (Benutzer) ......................................................... 93
Filter (PowerShell) .................................................. 152
FIM............................................................. 244, 247, 256
Firefox......................................................................... 756
Firewall ....................................................................... 109
Lync Online .......................................................... 773
foreach (PowerShell-Alias).................................. 148
Forefront Identity Manager � FIM
Forefront TMG...................................... 208, 211, 739
Forefront UAG ............................................... 208, 211
Formatierungsoperator ....................................... 135
Formulare .................................................................. 656
Forward-Lookupzone ........................................... 221
Foxit Reader.............................................................. 707
FPP ................................................................................... 33
FQDN ........................................................................... 492
Full Packaged Product � FPP
Full Qualified Domain Name � FQDN
Full Sync (Active-Directory-
Synchronisierung) ............................................ 244
Full-Trust-Code........................................................ 564
Funktion
Funktionssammlungen .................................. 163
Funktion (PowerShell) ......................................... 150
Aufruf ..................................................................... 151
G
GAL � Adressliste, globale
Gastlink (SharePoint Online) ............................ 627
-ge ................................................................................. 142
Global Address List � Adressliste, globale
Globaler Administrator .......................................... 88
Google Mail ..................................................... 384, 498
Grace Period � Exchange Online
Gruppen (Exchange Online).............................. 366
anlegen (EAC)...................................................... 367
anlegen (PowerShell) ....................................... 369
dynamische Verteilergruppen ..................... 366
E-Mail aktivierte Sicherheitsgruppen ....... 366
statische Verteilergruppen ............................ 366
verwalten, Anwender....................................... 370
Gruppenrichtlinien ............................................... 567
Gruppenrichtlinienverwaltung ....................... 311
-gt.................................................................................. 142
H
Haftungsausschluss .............................................. 418
Hash-Tabelle ............................................................ 134
Host Europe................................................................. 70
Hoster ............................................................................ 66
Hostname .................................................................... 66
Hybridbereitstellung (Exchange
Online)............................................................ 47, 526
akzeptierte Domäne ........................................ 535
Archive................................................................... 557
Clientzugriffs-Server ........................................ 543
Edge-Transport-Server .................................... 543
einrichten ............................................................. 541
E-Mail-Adressrichtlinie ................................... 537
E-Mail-Verkehr ................................................... 528
freigeben, Kalenderinformationen ............ 557
geteilter Namensraum .................................... 528
HybridConfiguration ....................................... 541
Hybriddomäne ................................................... 528
Microsoft Federation Gateway.................... 541
Migrationsendpunkt........................................ 546
Offboarding ......................................................... 546
Onboarding ......................................................... 546
2277.book Seite 846 Montag, 10. Juni 2013 3:47 15
Index
847
Hybridbereitstellung (Exchange Online) (Forts.)
Outlook Anywhere ............................................ 540
OWA-Umleitung................................................. 555
Postfachreplikationsdienst............................ 540
Postfachserver .................................................... 543
Protokoll................................................................ 546
Proxydomäne...................................................... 528
Sendeconnector .................................................. 536
SSL-Zertifikat ....................................................... 537
Testumgebung .................................................... 535
URL .......................................................................... 538
Verbindungstest................................................. 540
Verfügbarkeitsinformationen ...................... 556
verschieben, Postfach ...................................... 546
Voraussetzungen ............................................... 532
zentraler E-Mail-Transport ............................ 529
Hybridbereitstellung (Lync Online)
geteilte Domäne................................................. 800
Lync Hybrid .......................................................... 800
Lync Hybrid Voice ............................................. 803
Hybridbereitstellung (SharePoint
Online) ................................................................... 736
Problembehandlung ........................................ 751
Server-zu-Server-Authenzifizierung ........... 737
Suche, kombiniert.............................................. 740
I
IaaS ............................................................................... 805
Identitäten ................................................................ 199
Microsoft-Online-Identität ............................ 200
Verbundidentität ............................................... 201
Identitätsprovider.................................................. 201
Identitätsverbund ........................................ 199, 207
ActiveSync ............................................................ 218
Anforderungen ................................................... 208
Anmeldevorgang ............................................... 214
Clientanwendungen ......................................... 217
einrichten .............................................................. 220
Outlook .................................................................. 218
testen ...................................................................... 235
Topologien ........................................................... 210
überprüfen............................................................ 204
Vorteile .................................................................. 207
Webanwendungen ............................................ 215
Zugriffssteuerung .............................................. 237
If-Abfrage ......................................................... 141, 157
IFilter ........................................................................... 564
IIS .................................................................................. 210
IMAP ........................................................... 46, 344, 384
IMAP-Migration...................................................... 490
CSV-Datei, Aufbau ............................................ 490
PowerShell............................................................ 497
Vorgang ................................................................ 491
Immutable-ID.......................................................... 216
InfoPath Designer.................................................. 657
InfoPath Filler.......................................................... 657
InfoPath Forms Services .............................. 48, 656
Information Rights Management �
Informationsrechte (Exchange Online)
Information Rights Management � IRM
Informationsrechte (Exchange Online)........ 457
AADRM .................................................................. 457
AD RMS.................................................................. 460
einrichten .................................................... 458, 461
Outlook.................................................................. 460
vertrauenswürdige Veröffentlichungs-
domäne ............................................................ 461
Informationstyp (SharePoint Online) ........... 597
Infrastructure as a Service � IaaS
Inhaltsfilter............................................................... 454
Inhaltsorganisation (Feature) ........................... 654
Inhaltstypen (SharePoint Online) ................... 593
extern ..................................................................... 664
Insights....................................................................... 564
Instant Messaging � Chat
Integrated Scripting Environment � ISE
Intercall ...................................................................... 782
Internet Information Services � IIS
Internetsites............................................................. 563
Intranetwebsite ...................................................... 560
Intune ................................................................ 302, 807
Agent ............................................................. 308, 810
Anti-Virus ............................................................. 809
einrichten ............................................................. 811
Endpoint Protection ................................ 809, 811
Inventarisierung ................................................ 810
lizenzieren ............................................................ 811
Mobilgeräte ......................................................... 810
Remoteunterstützung ..................................... 809
Sicherheitsrichtlinien....................................... 810
Softwareverteilung ........................................... 809
Überwachung ..................................................... 809
Updates ................................................................. 807
Verwaltungskonsole ........................................ 807
INTUNE_A ................................................................. 179
IP-Adressbereiche .................................................. 109
IRM (Exchange Online)........................................... 46
IRM (SharePoint Online) .............................. 48, 706
Dateitypen, unterstützte ................................ 707
2277.book Seite 847 Montag, 10. Juni 2013 3:47 15
Index
848
ISE ................................................................................. 114
iTunes Store.................................................... 716, 795
J
JavaScript ......................................................... 565, 715
Journal ........................................................................... 46
Journalisierung ....................................................... 469
Journalbericht ..................................................... 469
Journalpostfach.................................................. 469
Unzustellbarkeitsbericht ................................ 470
verwalten (EAC) .................................................. 470
verwalten (PowerShell).................................... 471
JScript .......................................................................... 112
K
Kalkulator (Bandbreite) .......................................... 43
Kaspersky .................................................................. 453
Kennwort
Administrator, zurücksetzen ........................ 108
Kennwortablaufrichtlinie ...................................... 94
Kennwortadministrator ......................................... 88
Kennwortrichtlinie ................................................ 175
ändern .................................................................... 176
Kerberos ..................................................................... 214
Key Management Service � KMS
Klick-und-Los ................................................. 275, 284
KMS .............................................................................. 271
Konferenz ........................................................... 49, 765
aufzeichnen.......................................................... 788
Einwahl .................................................................. 783
Telefonkommandos ......................................... 783
Kontakte (extern) ................................................... 374
anlegen (EAC) ...................................................... 374
anlegen (PowerShell)........................................ 375
Kontenarten ................................................................ 30
Kontodomäne............................................................. 44
Kopfnavigation .......................................................... 53
Kundensegmente...................................................... 30
L
-le .................................................................................. 142
Legal Hold � Beweissicherungsverfahren
LICENSED (Office) ................................................... 281
-like............................................................................... 142
Liste .............................................................................. 574
anlegen .................................................................. 595
Liste ....................................................................... (Forts.)
Ansicht, anlegen ................................................ 597
Berechtigung ....................................................... 616
Bibliothek, anlegen ........................................... 597
Einträge ........................................................ 574, 600
extern ..................................................................... 664
löschen................................................................... 599
Ordner.................................................................... 600
Spalte, anlegen ................................................... 596
Vorlage, eigene................................................... 599
LITEPACK ................................................................... 180
LITEPACK_P2 ........................................................... 180
Litigation Hold � Beweissicherungsverfahren
Lizenzbericht (PowerShell) ................................ 183
Lizenzierung ............................................................... 29
Lizenzpool.................................................................... 34
Lizenztypen ................................................................. 35
Azure Active Directory-Rechte-
verwaltung......................................................... 38
E1 ................................................................................. 36
E3................................................................................. 37
E4 ................................................................................ 37
E4 (Lync Online) ................................................. 800
Enterprise ................................................................ 36
Enterprise (PowerShell) ................................... 179
Exchange Online................................................... 45
Exchange Online (Archivierung) ................. 390
Exchange Online Archivierung ....................... 37
Exchange Online Kiosk ............................ 37, 390
Exchange Online Plan 1 .................................. 390
Exchange Online Plan 2 .................................. 390
Exchange Online Protection ..................... 37, 75
Exchange Plan 1 .................................................... 36
Exchange Plan 2.................................................... 37
K1................................................................................. 37
Lync Online ............................................................. 49
Lync Online Plan 1 ................................................ 37
Lync Plan 2 .............................................................. 36
Lync Plus CAL ......................................................... 37
M ................................................................................. 36
Midsize (PowerShell) ........................................ 179
Midsize Business ................................................... 36
Office ......................................................................... 49
Office 365 ProPlus ......................................... 35, 37
Office Professional Plus ..................................... 37
Office Web Apps .................................................... 36
Office Web Apps mit SharePoint Plan 1 ....... 38
Office Web Apps mit SharePoint Plan 2 ...... 38
P1 ................................................................................. 35
P2 ................................................................................ 35
2277.book Seite 848 Montag, 10. Juni 2013 3:47 15
Index
849
Lizenztypen........................................................ (Forts.)
Poster...................................................................... 833
Project ....................................................................... 50
Project Online.................................................. 38, 51
Project Online mit Project Pro für
Office 365...................................................... 38, 51
Project Pro für Office 365 ................................... 50
SharePoint Online ................................................ 47
SharePoint Online Kiosk .................................... 37
SharePoint Plan 1 .................................................. 36
SharePoint Plan 2 ................................................. 37
Small Business ....................................................... 35
Small Business (PowerShell) .......................... 180
Small Business Premium ................................... 35
Visio ........................................................................... 51
Visio Pro für Office 365 ................................ 38, 51
zusätzlicher SharePoint Online-Speicher.... 37
-lt ................................................................................... 142
Lync Online............................................................... 763
Administrationsübersicht .............................. 776
administrieren .................................................... 772
Android .................................................................. 792
Anwendungsfreigabe ....................................... 765
Anwesenheitsstatus.......................................... 764
Benutzerverwaltung......................................... 777
Chat .................................................................. 49, 764
Chatdienste .......................................................... 781
Clients..................................................................... 784
Clients, mobil....................................................... 792
Dateiübertragung ............................................. 766
Desktopfreigabe ................................................. 765
Dienstbeschreibung .......................................... 767
Domäneneinstellungen .................................. 772
Domänenverbund ............................................. 780
einladen ................................................................. 783
Einsatzszenarien ................................................ 764
Einwahlkonferenz....................................... 49, 782
externe Kommunikation ................................ 780
externer Zugriff .................................................. 780
Firewall .................................................................. 773
Freigabe .................................................................... 49
Funktionsvergleich .............................................. 49
geteilte Domäne....................................... 800, 803
Hybrid Voice ........................................................ 803
Hybridbereitstellung ........................................ 800
iOS............................................................................ 792
Konferenz....................................................... 49, 765
Konferenzeinwahl ............................................. 783
Lizenztypen ............................................................. 49
Lync 2013-Client ................................................. 784
Lync Admin Center............................................ 776
Lync Basic 2013-Client ..................................... 789
Lync Online ........................................................ (Forts.)
Lync for Mac-Client .......................................... 796
Lync Hybrid ......................................................... 800
Lync Server ........................................................... 800
Lync Web App-Client........................................ 789
Lync Windows Store-App ............................... 788
Mac OS................................................................... 796
Marketplace ........................................................ 794
Office-Anwendungen ....................................... 770
Organisationsverwaltung ............................. 778
OWA........................................................................ 769
PowerShell............................................................ 784
Präsentation........................................................ 765
Präsenzinformationen ....................................... 49
Problembehebung............................................. 798
RCA.......................................................................... 798
Richtlinien ............................................................ 803
SharePoint Online ............................................. 771
SIP-Adresse.................................................. 775, 785
Telefonanlage ............................................ 767, 799
Telefone .......................................................... 49, 798
Telefonie....................................................... 767, 799
Telefonkommandos ......................................... 783
Transport Reliability IP Probe ...................... 773
Umfrage ................................................................ 786
Vertraulicher Anwesenheitsmodus ........... 778
Voraussetzungen .............................................. 772
Wählpläne ............................................................ 803
Wartebereich ....................................................... 769
Was ist Lync Online? ........................................ 763
Web Scheduler .................................................... 771
Whiteboard .......................................................... 766
Windows Phone ................................................. 792
Lync Server-Systemsteuerung ......................... 803
Lync Server-Verwaltungsshell .......................... 801
M
Mail Exchange Record � MX
mail.onmicrosoft.com ................................ 528, 549
Mailbox Replication Service � Hybrid-
bereitstellung (Exchange Online)
Mailtips � E-Mail-Info
MAK ............................................................................. 271
-match ........................................................................ 142
MCOIMP .................................................................... 179
MCOLITE .................................................................... 180
MCOSTANDARD ..................................................... 179
MCOSTANDARD_MIDMARKET ....................... 180
MDOP.......................................................................... 811
2277.book Seite 849 Montag, 10. Juni 2013 3:47 15
Index
850
mehrstufige Migration ........................................ 509
CSV, Aufbau ......................................................... 512
PowerShell ............................................................ 519
Vorgang................................................................. 512
Mehrwertsteuer ...................................................... 150
Meine Website ......................................................... 561
Kapazität .............................................................. 638
Konfigurationsbereiche .................................. 641
Metadaten (SharePoint Online) ....................... 593
Metadatennavigation und Filtern
(Feature) ................................................................ 652
Metadatenspeicher................................................ 670
Metalogix................................................................... 728
MetaVis....................................................................... 728
Microsoft Desktop Optimization Pack �
MDOP
Microsoft Online Services Diagnostics and
Logging � MOSDAL
Microsoft-Konto ..................................................... 621
Microsoft-Online-ID................................................. 84
Midsize Business-Familie....................................... 31
MIDSIZEPACK .......................................................... 180
Migration (Exchange Online) ............................ 485
Batch ............................................................. 491, 510
Bereitstellungs-Assistent ................................ 485
Delta-Synchronisierung ........................ 492, 502
IMAP ....................................................................... 486
IMAP-Migration ................................................. 490
Initial-Synchronisierung....................... 492, 502
mehrstufige Migration .......................... 486, 509
Migrationsendpunkt ........... 489, 494, 504, 516
Migrationszeitraum ......................................... 488
öffentliche Ordner ............................................. 524
PST-Dateiinhalte ................................................ 520
Übernahmemigration ........................... 486, 499
Übersicht ............................................................... 486
Vergleich Verfahren.......................................... 487
Migration (SharePoint Online) ......................... 721
durchführen ......................................................... 723
planen .................................................................... 722
übertragen, Daten ............................................. 724
Windows Explorer ............................................. 725
Migration Manager for SharePoint................. 728
Migrator for SharePoint Online ....................... 728
MIIS_Service ............................................................. 256
MIISAdmins .............................................................. 256
miisclient.exe .......................................................... 258
Mikrofon .................................................................... 765
Mitglieder von (Gruppe)...................................... 613
Mitgliedsserver ....................................................... 251
Mobile Endgeräte
Andorid (SharePoint Online) ........................ 692
iOS (SharePoint Online) .................................. 693
Konfiguration ..................................................... 102
Lync Online .......................................................... 792
SharePoint Online ............................................. 688
Windows Phone (SharePoint Online) ........ 688
Modern UI................................................................. 788
MOSDAL..................................................................... 106
MSDN .......................................................................... 711
MSOL_AD_SYNC .................................................... 254
Multi-Forest.............................................................. 246
Multiple Activation Key � MAK
MX ................................................................................... 66
N
Nachrichtenfluss (Exchange Online) ............. 412
Named Service Provider Interface � NSPI
Nameserver .......................................................... 78, 79
Napa............................................................................. 712
-ne................................................................................. 142
Net-ID.................................... 216, 218, 220, 244, 262
Network Load Balancer � NLB
Newsfeed ................................................................... 642
NLB...................................................................... 211, 222
notepad.exe.............................................................. 155
NOTIFICATIONS (Office)...................................... 281
nslookup....................................................................... 72
NSPI ............................................................................. 510
O
Objekt-GUID............................................................. 216
OCT .............................................................................. 285
OData ................................................................. 565, 715
ODT .............................................................................. 273
öffentliche Ordner.......................................... 46, 379
anlegen (EAC)...................................................... 380
anlegen (PowerShell) ....................................... 384
Berechtigungsstufen ........................................ 382
Hierarchie, primär ............................................ 380
Hierarchie, sekundär ....................................... 380
Migration ............................................................. 524
Postfach ................................................................ 380
Vergleich ............................................................... 379
Office ........................................................................... 269
32/64 Bit ................................................................ 274
Add-ins................................................................... 310
administrative Anpassung (Windows) ..... 284
Aktivierungsprozess (Windows) .................. 279
2277.book Seite 850 Montag, 10. Juni 2013 3:47 15
Index
851
Office .................................................................... (Forts.)
Aktivierungsstatus ............................................ 281
Aktivierungsstatus (PowerShell) ................. 282
Aktivierungsstatus (Windows) ..................... 280
Anwendungen (Mac OS) .................................... 50
Anwendungen (Windows) ................................. 50
Apps .............................................................. 310, 720
configuration.xml ............................................. 286
configuration.xml (PowerShell)................... 290
Deployment Tool ............................................... 273
Downgrade........................................................... 272
enthaltene Anwendungen ............................. 269
fünf Installationen ............................................ 284
Installation (Mac OS) ....................................... 319
Installation, Gruppenrichtlinien
(Windows) ........................................................ 294
Installation, Intune (Windows) .................... 302
Installation, manuell ............................. 271, 274
Installation, Softwareverteilungs-
anwendungen (Windows) ......................... 298
Installation, Windows ..................................... 273
Installationspakete (Windows) .................... 278
Konfiguration, Gruppenrichtlinien
(Windows) ........................................................ 310
Lizenztypen ............................................................. 49
MSI-Installation ................................................. 285
Netzwerkfreigabe .............................................. 294
OCT ................................................................ 285, 310
Office on Demand ............................................. 313
Pull-Installation ................................................. 274
Push-Installation ............................................... 274
Resource Kit ......................................................... 275
RFM ............................................................... 271, 279
Store ........................................................................ 360
Streaming ............................................................. 284
Systemvoraussetzungen................................. 272
Telemetrie ............................................................. 314
Office 365
Dedicated ................................................................. 29
Enthaltene Produkte ........................................... 28
Grundlagen ............................................................. 27
Neue Funktionen .................................................. 41
Portal ......................................................................... 51
Standard................................................................... 29
Was ist Office 365 .................................................. 27
Office 365 Suite ....................................................... 728
Office 365-Desktopsetup..................................... 566
Office Customization Tool � OCT
Office Deployment Tool � ODT
Office für Mac Home & Business 2011.......... 270
Office Licensing Service � OLS
Office on Demand......................................... 270, 313
Anwendungen .................................................... 313
Voraussetzungen .............................................. 313
Office Professional Plus 2013 ........................... 269
Office Software Protection Platform � OSPP
Office Upload Center ................................... 632, 687
Überarbeiten ....................................................... 687
Office Web Apps .............................................. 48, 755
Anwendungsgebiete ........................................ 756
Dateitypen ........................................................... 760
drucken.................................................................. 762
Exchange Online................................................ 758
gemeinsames Bearbeiten ............................... 762
iPad ......................................................................... 759
konfigurieren ...................................................... 761
Lync Online .......................................................... 758
SharePoint Online ............................................. 756
OFFICE_PRO_PLUS_SUBSCRIPTION_
SMBIZ ..................................................................... 180
Office-Hub ................................................................ 688
OFFICESUBSCRIPTION ......................................... 179
Offlinezugriff (SharePoint Online) ................. 680
freigeben ............................................................... 686
Konfliktbearbeitung......................................... 687
OLS ............................................................................... 279
OneNote Web App ................................................. 756
Online Services-Anmelde-Assistent ................. 99
onmicrosoft.com ...................................................... 44
On-Ramp Tool ......................................................... 837
OOB_GRACE (Office)............................................. 281
Open Data Protocol � OData
Open End Date Calculator ..................................... 40
Open-Programm ................................................ 33, 36
Ordner (SharePoint Online)............................... 574
Organisationsdiagramm .................................... 575
Organisationseinstellungen
Enterprise ................................................................ 60
Midsize Business ................................................... 60
Small Business ....................................................... 59
Organisationsprofile ............................................ 640
OSPP ................................................................... 279, 280
ospp.vbs ..................................................................... 280
Outlook
2003 ........................................................................ 344
Add-in (Lync) ....................................................... 768
IMAP ....................................................................... 344
Onlinebesprechung .......................................... 768
POP3 ....................................................................... 344
SharePoint Online ............................................. 679
Outlook (Mac OS) ................................................... 347
2277.book Seite 851 Montag, 10. Juni 2013 3:47 15
Index
852
Outlook (Windows)................................................ 343
Apps ........................................................................ 360
Outlook Anywhere ................................................ 500
Outlook Web App � OWA
Outlook.com............................................................. 384
OWA ............................................................................. 348
Apps ........................................................................ 360
aufrufen................................................................. 351
Betriebssystem.................................................... 350
Browser .................................................................. 350
Dateianhänge, anzeigen ................................ 353
Light ........................................................................ 349
Lync Online .......................................................... 769
mobile Geräte...................................................... 351
Offlinezugriff ............................................. 350, 353
Richtlinie ............................................................... 355
Umleitung............................................................. 555
verbundenes Konto........................................... 384
Webdatenbank ................................................... 354
P
PaaS .............................................................................. 805
Paging ......................................................................... 628
Papierkorb (SharePoint Online) ....................... 703
PBX � UM
PerformancePoint Services......................... 48, 565
PGi ................................................................................ 782
Pipeline Processor � PowerShell
Pipe-Symbol � | (PowerShell)
Platform as a Service � PaaS
POP3 ........................................................... 46, 344, 384
Posteingangsregeln .................................................. 46
Poster
Lizenzvergleich ................................................... 833
PowerShell ............................................................ 833
Postfach...................................................................... 361
ActiveSync ............................................................... 46
Archiv ........................................................................ 46
Aufbewahrungslimit, gelöschte
Postfachelemente ......................................... 333
Beweissicherungsverfahren ............................. 46
Discovery Search Mailbox ................... 451, 476
DLP ............................................................................. 46
Einschränkungen .................................................. 46
endgültige Löschvorgänge ............................ 450
englische Ordnernamen ................................. 366
freigegeben........................................................... 376
freigegeben, anlegen (PowerShell).............. 377
gelöschte Elemente ........................................... 449
IMAP .......................................................................... 46
Postfach ............................................................... (Forts.)
inaktiv ............................................................. 46, 466
Mac OS...................................................................... 46
maximale E-Mail-Größe .................................... 47
maximale Empfänger ........................................ 47
maximale Größe................................................... 46
maximale Nachrichtenanzahl ........................ 47
öffnen, anderes (Outlook) .............................. 447
öffnen, anderes (OWA) .................................... 448
Optionen ............................................................... 364
Outlook..................................................................... 46
Outlook (Mac OS) .............................................. 347
Outlook (Windows)........................................... 344
POP3 .......................................................................... 46
Posteingangsregeln............................................. 46
Quota ..................................................................... 391
Suche ................................................... 451, 464, 472
Transportregeln .................................................... 46
verschieben .......................................................... 546
verwalten (EAC).................................................. 363
verwalten (PowerShell) ................................... 365
wiederherstellbare Elemente ........................ 449
PowerPoint Web App ........................................... 755
PowerShell ................................................................ 111
64/32 Bit ................................................................ 120
Active Directory ................................................. 194
Advanced Functions......................................... 160
Array....................................................................... 127
Ausführungsrichtlinie ..................................... 340
Ausgabe, formatiert ......................................... 135
Ausgabe, grafisch .............................................. 146
Ausgabe, Standard ........................................... 137
Cheat Sheet .......................................................... 833
Cmdlets......................................................... 116, 122
Eigenschaften ..................................................... 130
Ereignisse.............................................................. 130
Exchange Online................................................ 339
Export .................................................................... 144
Fehlerausgabe .................................................... 158
Filter............................................................... 141, 150
Formatierungsoperator.................................. 135
Funktionen........................................................... 150
Funktionsbereiche............................................. 167
Hash-Tabelle ....................................................... 134
Installationsordner .......................................... 121
ISE ............................................................................ 114
Kennwortablaufen verhindern .................... 181
Klammern ............................................................ 127
Klassen................................................................... 129
Kommentar ......................................................... 155
Komponenten ..................................................... 115
2277.book Seite 852 Montag, 10. Juni 2013 3:47 15
Index
853
PowerShell.......................................................... (Forts.)
lange Befehlszeilen............................................ 162
Lync Online .......................................................... 784
Methoden.............................................................. 130
Modul ..................................................................... 165
Navigationsparadigma .................................. 119
Objekte ................................................................... 129
Office 365............................................................... 166
Pipeline ........................................................ 118, 138
Poster...................................................................... 833
PowerShell Language....................................... 119
Profile (PowerShell)........................ 128, 160, 341
Protokolle ............................................................. 148
Punktnotation .................................................... 136
Remoting .................................................... 234, 340
Schleifen ................................................................ 147
Schreibweise (3.0) .............................................. 143
SharePoint Online ...................................... 48, 572
Skripte .................................................................... 154
Snap-in ................................................ 117, 138, 165
sortieren ................................................................ 146
Standardreihenfolge ........................................ 125
Statistik.................................................................. 147
Systemregistrierung ......................................... 121
Systemvoraussetzungen................................. 113
Tab-Vervollständigung ................................... 125
v1.0........................................................ 112, 121, 154
Variablen .............................................................. 150
Variablenexpansion ......................................... 171
Vergleichsoperatoren ...................................... 142
Windows Azure Active Directory-
Modul ................................................................ 167
Ziele ......................................................................... 111
powershell.exe ........................................................ 156
powershell_ise.exe ................................................ 155
Präsenzinformationen............................................ 49
Priorität (DNS) ............................................................ 66
Privatanwender.......................................................... 30
Private Cloud............................................................ 807
Problembehebung ................................................. 104
Dienststatus......................................................... 104
Serviceanfragen ................................................. 104
Supportcenter ..................................................... 109
Verbindungsprobleme ..................................... 109
Wartungsarbeiten ............................................. 105
Profil (PowerShell) ................................................. 128
Project ............................................................... 269, 320
Installation........................................................... 322
Lizenztypen ............................................................. 50
Project Online...................................................... 321
Project .................................................................. (Forts.)
Project Online mit Project Pro für
Office 365 ......................................................... 321
Project Pro für Office 365................................ 321
Project Web App ................................................ 322
PWA ........................................................................ 322
Systemvoraussetzungen ................................ 321
Project Web App � Project
PROJECT_CLIENT_SUBSCRIPTION .................. 179
Public Cloud ............................................................. 807
Pushsynchronisierung ........................................ 242
Q
Quest ........................................................................... 728
Quickinfo � E-Mail-Info
R
RBAC ............................................................................ 340
RCA............................................................................... 236
Client ...................................................................... 346
RDS............................................................................... 272
Rechenzentren ........................................................... 44
Rechnungsadministrator ...................................... 88
Redelegation ............................................................... 78
Remote Connectivity Analyzer � RCA
Remote Desktop Services � RDS
Remoteserver-Verwaltungstools .................... 194
RemoteSigned (PowerShell) .............................. 155
Ressourcenkontingent (SharePoint
Online)...................................................................... 47
Ressourcenpostfach.............................................. 371
anlegen (EAC)...................................................... 372
anlegen (PowerShell) ....................................... 373
REST .................................................................... 565, 715
Restricted (PowerShell)........................................ 155
Retention Policy Tag � Archivierung
(Exchange Online)
return .......................................................................... 151
Reverse Proxy.......................................................... 739
RFM ..................................................................... 271, 279
RMS_S_ENTERPRISE ............................................. 179
Role Based Access Control � RBAC
Rolle � Administratorrolle
Rolle verwalten (PowerShell) ............................ 193
Rollen (Exchange Online) ................................... 424
Administratorrollen ......................................... 424
Benutzerrollen .................................................... 436
Default Role Assignment Policy .................. 436
Discovery Management ................................. 472
2277.book Seite 853 Montag, 10. Juni 2013 3:47 15
Index
854
Rollen (Exchange Online)............................. (Forts.)
My (Präfix)............................................................ 436
Organization Management .......................... 522
OwaMailboxPolicy-Default........................... 438
OWA-Richtlinien ................................................ 438
Richtlinie ............................................................... 436
Rolleneinträge .................................................... 424
Schreibbereich..................................................... 425
Verwaltungsrolle ............................................... 424
Verwaltungsrollengruppe .............................. 425
RSAT � Remoteserver-Verwaltungstools
RSS-Feed (Dienststatus) ....................................... 105
S
S2S � Hybridbereitstellung (SharePoint
Online)
Safari .................................................................. 693, 756
SAML............................................................................ 214
SAN ............................................................................... 534
Sandboxed Solutions.................................. 564, 713
SCCM ........................................................................... 298
SCE ................................................................................ 298
Schadsoftwarefilter ............................................... 453
Schnellstartleiste (SharePoint Online) .......... 591
SCL ...................................................................... 412, 456
Scorecard ................................................................... 565
Search Engine Optimization � SEO
Secure Store Service .............................................. 672
Security Assertion Markup Language � SAML
Senden-an-Verbindungen (SharePoint
Online) ................................................................... 653
SEO ............................................................................... 701
Server Manager .................................... 114, 223, 224
Serverauthentifizierungszertifikat ................. 209
Serverressourcenkontingent (SharePoint
Online) ......................................................... 581, 714
Service Description � Dienstbeschreibung
Serviceanfragen ............................................... 61, 104
SharePoint Designer ................................... 664, 709
SharePoint Foundation ....................................... 559
SharePoint Online.................................................. 559
AADRM .................................................................. 708
Access Services ............................................. 48, 663
Administrationsübersicht .............................. 569
Android .................................................................. 692
anpassen ............................................................... 709
Anti-Virus.............................................................. 705
App Solutions ............................................ 564, 715
Apps .............................................................. 644, 719
Architektur ........................................................... 574
SharePoint Online ........................................... (Forts.)
BCS ................................................................... 48, 664
Benutzer, extern................................................. 621
Benutzerprofile................................................... 637
Berechtigung ....................................................... 606
Berechtigungsstufen ........................................ 609
Blog ......................................................................... 644
Co-Existence ........................................................ 721
Dateitypbeschränkungen ..................... 568, 706
Datensicherheit.................................................. 703
Developer Guide ................................................ 723
Dienstbeschreibung ......................................... 566
Dokumentcenter................................................ 653
Dynamics CRM Online .................................... 817
eDiscovery ............................................................... 48
Einsatzszenarien................................................ 560
Einschränkungen ........................... 567, 706, 723
Enterprise-Features .......................................... 656
Entwicklungsumgebung ................................ 711
Excel Services ............................................... 48, 660
Farm Solution ..................................................... 564
Full-Trust-Code................................................... 564
Funktionsüberblick........................................... 563
Funktionsvergleich .............................................. 48
Hybridbereitstellung........................................ 736
InfoPath Forms Services .......................... 48, 656
iOS ........................................................................... 693
IRM ................................................................... 48, 706
Liste ......................................................................... 591
Lizenztypen............................................................. 47
Lync Online .......................................................... 771
Management Shell............................................ 573
Maximalanzahl externe Benutzer ............. 568
Maximalanzahl Listenelemente ................. 568
Maximalanzahl Websitesammlungen ..... 568
Maximalgröße.................................................... 568
Maximalgröße Dateien .................................. 568
Maximalgröße öffentliche Website ........... 568
Maximalgröße Websitesammlungen ....... 568
Meine Website .................................................... 561
Metadatenspeicher........................................... 670
Migration ............................................................. 721
mobile Endgeräte .............................................. 688
Napa ....................................................................... 712
Newsfeed............................................................... 642
öffentliche Website ........................................... 562
Office Web Apps .......................................... 48, 755
Offlinezugriff....................................................... 680
Outlook.................................................................. 679
PerformancePoint Services .................... 48, 565
PowerShell..................................................... 48, 572
2277.book Seite 854 Montag, 10. Juni 2013 3:47 15
Index
855
SharePoint Online........................................... (Forts.)
PowerShell, Funktionalität ............................ 573
Ressourcenkontingent........................................ 47
Sandboxed Solutions ............................. 564, 713
Secure Store Service .......................................... 672
SharePoint Workspace .................................... 683
Single Sign-on ..................................................... 606
SkyDrive................................................................. 646
SkyDrive Pro ........................................................ 682
Solution Package ............................................... 713
Speicherkontingent.............................................. 47
Speicherpool ........................................................... 48
SQL Azure.............................................................. 666
Store ........................................................................ 716
Suche............................................................. 564, 635
Suche, hybrid .......................................................... 48
synchronisieren .................................................. 680
Terminologiespeicher ...................................... 647
Visio Services ................................................ 48, 661
Voraussetzungen ............................................... 566
Was ist SharePoint Online? ........................... 559
Webpart ................................................................. 604
Website .................................................................. 584
Website, öffentlich...................................... 47, 695
Websitearten ....................................................... 560
Websitepostfach.......................................... 48, 629
Websitesammlung ............................................ 575
Websitesammlung, öffentlich ...................... 695
Websitesammlungen, maximale Anzahl.... 47
Windows Phone.................................................. 688
Yammer ................................................................. 753
Zugriff..................................................................... 568
Zugriffsanforderungen.................................... 610
SharePoint Online Bibliothek ........................... 591
SharePoint Server................................................... 559
SharePoint Workspace ......................................... 683
SHAREPOINT_PROJECT ....................................... 179
SHAREPOINTDESKLESS ....................................... 179
SHAREPOINTENTERPRISE................................... 179
SHAREPOINTENTERPRISE_MIDMAKET........ 179
SHAREPOINTLITE ................................................... 180
SHAREPOINTSTANDARD .................................... 179
SHAREPOINTWAC ........................................ 179, 180
Shibboleth ................................................................. 208
Sicherheitsgruppe ..................................................... 95
verwalten (PowerShell).................................... 191
Sicherheitstoken........................................... 208, 214
Sicherheitstokendienst � STS
Single Sign-on .......................................................... 203
Single Sign-on (SharePoint Online) ................ 606
SIP-Adresse ..................................................... 775, 785
Skript
Aufbau ................................................................... 154
Ausführung .......................................................... 155
Fehlerbehandlung ............................................. 157
Parameter ............................................................ 159
Richtlinie ............................................................... 155
signieren ............................................................... 157
starten.................................................................... 156
SkyDrive.................................................. 313, 646, 680
Office Web Apps ................................................. 681
SkyDrive Pro ................................................... 646, 682
Windows Explorer ............................................. 684
Skype ........................................................... 30, 781, 785
Small Business-Familie........................................... 31
Smartcard.................................................................. 208
Sofortnachrichten � Chat
Software Protection Platform � SPP
Solution Package .................................................... 713
Spam Confidence Level � SCL
Speicherkontingent .............................................. 581
Speicherkontingent (SharePoint Online) ....... 47
Speicherpool (SharePoint Online) ..................... 48
SPF � SharePoint Foundation
Split DNS....................................................................... 75
SPP................................................................................ 279
SPS � SharePoint Server
SPTimerV4 ................................................................ 745
SQL Azure .................................................................. 663
SQL Server (Datenquellentyp) .......................... 665
SQL Server 2008 R2 Express ..................... 246, 256
SQL Server 2012 ...................................................... 255
SSL-Zertifikat................................ 209, 223, 227, 742
Standarddomäne ...................................................... 81
STANDARDPACK .................................................... 179
Standardwebsite..................................................... 210
Standort � Benutzerstandort
StartCom........................................................... 210, 742
Streaming (Office).................................................. 284
Strong Authentication � Zweistufige
Authentifizierung
Strukturansicht (SharePoint Online) ............. 587
STS ....................................................................... 214, 738
Subdomäne .......................................................... 67, 78
Subject Alternative Name � SAN
Suche (SharePoint Online) ........................ 564, 635
Abfrage-Generator ........................................... 750
durchführen......................................................... 635
Fast Search ........................................................... 635
IFilter ...................................................................... 564
kombiniert (Hybrid) ......................................... 740
kontinuierliche Durchforstung.................... 635
2277.book Seite 855 Montag, 10. Juni 2013 3:47 15
Index
856
Suche (SharePoint Online)........................... (Forts.)
Office Web Apps ................................................. 636
Suchabfrageregel............................................... 748
Suchergebnisquelle ........................................... 748
verwalten .............................................................. 636
Supportcenter.......................................................... 109
Symantec ................................................................... 453
Synchron (PowerShell)......................................... 153
Synchronisieren (SharePoint Online)............ 680
System Center Configuration Manager � SCCM
System Center Essentials � SCE
System.IO.File ................................................ 498, 520
Systemvoraussetzungen ........................................ 42
Betriebssystem....................................................... 42
Browser ..................................................................... 42
Office.......................................................................... 43
T
Tab-Vervollständigung ........................................ 125
TAN............................................................................... 208
TargetAddress .......................................................... 512
Task Scheduler � Aufgabenplanung
Teamwebsite ............................................................ 560
Telefon ........................................................................ 798
Telefonanlage .......................................................... 767
Telefonie .......................................................... 767, 799
Telemetrie ................................................................. 314
Agent ...................................................................... 315
Architektur ........................................................... 315
Auswertung.......................................................... 318
Dashboard .................................................. 316, 318
Datenbank............................................................ 316
Installation........................................................... 316
Protokoll...................................................... 316, 318
Prozessor ............................................................... 316
Tenants � Kontenarten
Terminal Services ................................................... 272
Terminologiespeicher .......................................... 647
Administrator ..................................................... 648
Arbeitssprachen ................................................. 649
Ausdruckssatz ..................................................... 649
Erstkonfiguration .............................................. 648
Gruppenleiter ...................................................... 649
Mitwirkende......................................................... 649
Navigation ........................................................... 652
verwaltete Metadatenspalte......................... 650
Testkonto............................................................ 44, 836
Testumgebung ........................................................ 834
Domäne ................................................................. 836
Netzwerkumgebung ......................................... 834
Testumgebung.................................................. (Forts.)
SSL ........................................................................... 836
Testkonto.............................................................. 836
Zertifikat ............................................................... 836
TGT............................................................................... 218
Thawte ........................................................................ 209
Threat Management Gateway �
Forefront TMG
Ticket Granting Ticket � TGT
Tokensignaturzertifikat ...................................... 209
TPD � Informationsrechte (Exchange Online)
Transport Reliability IP Probe........................... 773
Transportregeln............................................... 46, 412
Aktionen ............................................................... 414
Ausnahmen ......................................................... 415
Bedingungen ....................................................... 412
Eigenschaften ..................................................... 420
Haftungsausschluss ......................................... 418
verwalten (EAC).................................................. 418
verwalten (PowerShell) ................................... 421
Trust ................................................................... 738, 746
Trust Broker ............................................................. 738
try ... catch ................................................................. 159
Twitter ..................................................... 109, 642, 753
Two-Factor-Authentication � zweistufige
Authentifizierung
TypeName................................................................. 132
U
Übernahmemigration.......................................... 499
PowerShell............................................................ 508
Vorgang ................................................................ 502
Überwachungsberichte ....................................... 467
UM....................................................................... 483, 500
Funktionen........................................................... 483
Konfiguration ..................................................... 484
Sprachzugriff....................................................... 483
Telefonanlage ..................................................... 484
Voice-Gateway ................................................... 484
Voicemail.............................................................. 483
Voraussetzungen .............................................. 483
Umfrage ..................................................................... 786
Unified Access Gateway � Forefront UAG
Unified Messaging � UM
Unrestricted (PowerShell) .................................. 155
Unternehmen............................................................. 30
Unternehmenssuchcenter (Vorlage) ............. 748
Update Rollup.......................................................... 533
UPN .................................................. 189, 196, 215, 248
Voraussetzungen .............................................. 249
2277.book Seite 856 Montag, 10. Juni 2013 3:47 15
Index
857
User Principal Name � UPN
User-Source-ID ..................................... 216, 218, 219
V
VBScript...................................................................... 112
Verbindungsfilter................................................... 454
-Verbose ..................................................................... 149
Verbunddomäne .................................................... 221
Verbundenes Konto
einrichten .............................................................. 385
Posteingangsregeln .......................................... 387
PowerShell ............................................................ 388
versenden.............................................................. 386
weiterleiten .......................................................... 387
Vergleichsoperatoren ........................................... 142
Verhinderung von Datenverlust � DLP
Verifikation (Domäne) ..................................... 66, 69
VeriSign ...................................................................... 209
Versionierung (SharePoint Online) ................ 594
Vertrauenswürdige Sites ........................... 566, 606
Vertraulicher Anwesenheitsmodus ............... 778
Verzeichnissynchronisierungstool ................ 242
VI ................................................................................... 112
Visio ................................................................... 269, 327
Installation........................................................... 328
Lizenztypen ............................................................. 51
Systemvoraussetzungen................................. 327
Visio Pro für Office 365 .................................... 327
Visio Services .................................................... 48, 661
VISIO_CLIENT_SUBSCRIPTION......................... 179
Visual Studio ............................................................ 664
VMware ...................................................................... 112
Volltextsuche (PowerShell) ................................ 169
Volumenlizenz ........................................................ 269
VPN .................................................................... 208, 211
W
WAAD ......................................................... 84, 167, 200
Wartebereich ............................................................ 769
Wartungsarbeiten .................................................. 105
Wartungsmaßnahmen ........................................... 63
WCF (Datenquellentyp) ....................................... 665
WCM ............................................................................ 563
Web Content Management System � WCM
Webcam...................................................................... 765
Webpart ...................................................................... 604
App-Webpart ....................................................... 604
Webplattform .......................................................... 226
Website.............................................................. 574, 584
anlegen, Endanwender ................................... 589
löschen................................................................... 589
Navigation ........................................................... 586
öffentlich...................................................... 562, 695
öffentlich, anlegen ............................................ 696
öffentlich, Grundlayout .................................. 700
öffentlich, publizieren ..................................... 702
öffentlich, Seiten ................................................ 700
Root ........................................................................ 575
Vorlagen ............................................................... 578
Vorlagen, eigene ................................................ 588
Websitearten............................................................ 560
Internetsites......................................................... 563
Intranetwebsite.................................................. 560
Meine Website .................................................... 561
öffentliche Website ........................................... 562
Teamwebsite ....................................................... 560
Websitepostfach .............................................. 48, 629
anlegen .................................................................. 630
entfernen .............................................................. 634
Outlook.................................................................. 630
Synchronisierungsstatus................................ 632
Vergleich ............................................................... 379
Websitesammlung ....................................... 574, 575
Administrator ..................................................... 583
anlegen .................................................................. 576
anlegen (PowerShell) ....................................... 583
öffentlich............................................................... 695
Serverressourcenkontingent......................... 581
Speicherkontingent .......................................... 581
Standard ............................................................... 583
Zeitzone................................................................. 581
Websitesammlungen
maximale Anzahl................................................. 47
Ressourcenkontingent ....................................... 47
Speicherkontingent ............................................. 47
-WhatIf........................................................................ 149
Where (PowerShell-Alias) ................................... 142
Whiteboard............................................................... 766
WHS .................................................................... 280, 294
Windows Azure Access Control Service � ACS
Windows Azure Active Directory � WAAD
Windows Azure Active Directory
Rights Management � Informationsrechte
(Exchange Online)
Windows Azure Active Directory
Sync Service......................................................... 256
Windows Azure AD Connector......................... 246
Windows Azure Content Delivery
Network � Azure
2277.book Seite 857 Montag, 10. Juni 2013 3:47 15
Index
858
Windows Azure � Azure
Windows Intune � Intune
Windows Management Framework � WMF
Windows Management Instrumentation �
WMI
Windows Phone
konfigurieren....................................................... 102
SharePoint Online ............................................. 688
Windows PowerShell � PowerShell
Windows Script Host � WSH
Windows Server 2012 Essentials...................... 826
Benutzerverwaltung......................................... 829
Dashboard ............................................................ 826
Domäne ................................................................. 830
Funktionsübersicht ........................................... 827
Office 365............................................................... 829
Zugriff überall ..................................................... 830
Windows Software Update Services � WSUS
Windows Update Dienst...................................... 136
WinRM ........................................................................ 114
WMF............................................................................. 113
WMI.............................................................................. 280
Word Web App......................................................... 755
Workflow (SharePoint Online).......................... 594
WSH ............................................................................. 112
WSUS ........................................................................... 807
X
XenApp....................................................................... 112
Y
Yahoo! Messenger ................................................. 781
Yammer ..................................................................... 753
administrieren.................................................... 754
Clients .................................................................... 755
Gruppen ................................................................ 754
Warum Yammer? .............................................. 754
Z
Zentraladministration ......................................... 570
Zielanwendung (SharePoint Online) ............. 672
Zielgruppen ................................................................. 30
Zugriffsanforderungen (SharePoint
Online)................................................................... 610
Zugriffssteuerung (ADFS) ................................... 208
Zustellungsberichte .............................................. 422
zweistufige Authentifizierung ......................... 208
2277.book Seite 858 Montag, 10. Juni 2013 3:47 15