Der Microsoft 365 Trainer Microsoft 365 Certified- Enterprise Administrator Expert - Nicole Laue - E-Book

Der Microsoft 365 Trainer Microsoft 365 Certified- Enterprise Administrator Expert E-Book

Nicole Laue`

0,0

Beschreibung

Microsoft aktualisiert seine Zertifizierungslinie. Was früher der "MCSE" war, ist heute der Titel "Microsoft 365 Certified: Enterprise Administrator Expert". Die Inhaber dieser Zertifizierung können eine Basiszertifizierung nachweisen und legen dann noch zwei Prüfungen ab, um ihre erweiterte Fachkompetenz im Bereich Microsoft 365 Cloud Services zu belegen. Dieses Buch bereitet Sie auf die zweite der beiden benötigten Enterprise Administrator Prüfungen vor: MS-101: Microsoft 365 Mobility and Security. Aus dem Inhalt: - Implementierung moderner Gerätedienste - Implementieren des Microsoft 365 Sicherheits-und Bedrohungs-Managements - Verwalten von Microsoft 365 Governance und Compliance

Sie lesen das E-Book in den Legimi-Apps auf:

Android
iOS
von Legimi
zertifizierten E-Readern
Kindle™-E-Readern
(für ausgewählte Pakete)

Seitenzahl: 138

Das E-Book (TTS) können Sie hören im Abo „Legimi Premium” in Legimi-Apps auf:

Android
iOS
Bewertungen
0,0
0
0
0
0
0
Mehr Informationen
Mehr Informationen
Legimi prüft nicht, ob Rezensionen von Nutzern stammen, die den betreffenden Titel tatsächlich gekauft oder gelesen/gehört haben. Wir entfernen aber gefälschte Rezensionen.



Inhaltsverzeichnis

Für wen ist dieses Buch?

Anmerkungen zur Prüfung

Übungsumgebung

Microsoft 365

Einrichten der virtuellen Maschinen

Software

Danksagung

Implementierung moderner Gerätedienste

1.1 Einführung

1.2 Planen des Gerätemanagements

1.3 Azure Active Directory und On-Premise Active Directory

1.4 Co-Management

1.5 Geräte-Compliance verwalten

1.6 Planung für Apps

1.7 Bereitstellen von Windows 10

1.8 Zusammenfassung, Übungen/Aufgaben

Implementieren des Microsoft 365 Sicherheits-und Bedrohungs-Managements

2.1 Einführung

2.2 Sicherheitsberichte und Alarme verwalten

2.3 E-Mail und Zusammenarbeit

2.4 Schutz mit Windows Defender auf den lokalen Maschinen

2.5 Planen der Cloud App Security (CAS)

2.6 Microsoft Defender for Identity

2.7 Azure Active Directory Identity Protection

2.8 Zusammenfassung, Übungen/Aufgaben

Verwalten von Microsoft 365 Governance und Compliance

3.1 Einführung

3.2 Das Compliance Center

3.3 Verwalten der Updates

3.4 Zusammenfassung, Übungen/Aufgaben

Anhang A

Lösungen zu den Aufgaben

Index

Für wen ist dieses Buch?

Dieses Buch ist für alle diejenigen geschrieben, die sich mit dem Themengebiet „Microsoft 365“ auseinandersetzen möchten.

Dieses Themengebiet entspricht der Microsoft 365-Prüfung MS-101 „Microsoft 365 Mobility and Security“ und ist als Vorbereitung zum Bestehen dieser Prüfung zu sehen.

Ein Schulungsbuch kann nur gut sein, wenn das Erlernte sofort in praktischen Übungen ausprobiert werden kann. Aus diesem Grund werden exakte Installationsanleitungen mitgeliefert, die Ihnen die Möglichkeit geben, alle praktischen Übungen absolvieren zu können.

Anmerkungen zur Prüfung

Mit dem Ablegen dieser Prüfung können Sie die Zertifizierung „Microsoft 365 Certified: Enterprise Administrator Expert“ erhalten, wenn Sie zuvor folgende Prüfung abgelegt haben:

• MS-100: Microsoft 365 Identity and Services

Zusätzlich benötigen Sie eine der folgenden Vorzertifizierungen:

• Microsoft 365 Certified: Modern Desktop Administrator Associate

• Microsoft 365 Certified: Security Administrator Associate

• Microsoft 365 Certified: Messaging Administrator Associate

• Microsoft 365 Certified: Teams Administrator Associate

• Microsoft 365 Certified: Identity and Access Administrator Associate

In allen diesen Vorzertifizierungen ist das Thema „Security” bereits enthalten.

Microsoft behält sich vor, alle Themen, die in den Vorzertifizierungen und auch in der Prüfung MS-100 Bestandteile sind, unter Umständen auch in dieser Prüfung abzufragen.

Aus diesem Grund sollten Sie sich vor dem Ablegen der Prüfung auch noch mit den Themen der bereits abgelegten Prüfungen beschäftigen.

Übungsumgebung

Die Hardwarevoraussetzungen für eine Übungsumgebung sind hoch. Sie benötigen einen Computer, der folgende Mindestvoraussetzungen erfüllt:

• 32 GB Arbeitsspeicher

• 500 GB freien Festplattenspeicher

Für die Übungen installieren Sie eine Virtualisierungssoftware, hier können Sie beispielsweise Microsoft Hyper-V benutzen.

In einer Klassenumgebung sollte jeder Teilnehmer einen eigenen PC mit Hyper-V zur Verfügung haben.

Microsoft 365

Natürlich benötigen Sie für das Nachstellen der Aufgaben eine Microsoft 365 Umgebung. Sie können ein kostenloses Test-Abo abschließen.

Achten Sie aber darauf, dass Sie einen E5-Plan haben, im Idealfall auch mit dem Zusatz „Security“.

Einrichten der virtuellen Maschinen

Wenn Sie auch die Übungen einer On-Premise-Domäne nachstellen möchten, benötigen Sie hierfür ebenfalls eine Übungsumgebung.

Virtuelle Maschine „DC“

Erstellen Sie eine virtuelle Maschine mit Namen DC. Achten Sie darauf, dass der virtuelle Switch „Extern“ konfiguriert ist, denn alle virtuellen Maschinen benötigen Internetzugang.

Installieren Sie Windows Server 2016 oder 2019 und konfigurieren Sie diese Maschine als Domänencontroller.

Virtuelle Maschine „Server1“

Erstellen Sie eine virtuelle Maschine mit Namen „Server1“ mit Internetzugang.

Installieren Sie auf diesem Server ebenfalls Windows Server 2016 oder 2019 und treten Sie der Domäne bei.

Virtuelle Maschine „W10“

Erstellen Sie die virtuelle Maschine mit Namen „W10“ mit Internetzugang. Treten Sie der Domäne bei.

Software

Für die Übungen benötigen Sie folgende Evaluierungskopien:

• Windows Server 2016 oder 2019

• Windows 10 ab Version Enterprise

Die meisten dieser Evaluierungskopien können Sie bei Microsoft erhalten. Natürlich können Sie auch Vollversionen verwenden, die dann nicht aktiviert werden müssen.

Danksagung

An dieser Stelle möchte ich mich bei den vielen hilfreichen Freunden und Mitarbeitern bedanken, die erst ermöglicht haben, dass dieses Buch entstehen kann.

Sie waren mir als Betaleser eine große Hilfe und haben freiwillig ihre Freizeit geopfert. Mit ihrem großen Fachwissen waren sie ein wichtiger Bestandteil der Entstehung dieses Buches.

1 Implementierung moderner Gerätedienste

Prüfungsanforderungen von Microsoft:

• Planen des Gerätemanagements

• Geräte-Compliance verwalten

• Planung für Apps

• Planen der Windows 10 Masseninstallation

• Ausrollen von Geräten

Quelle: Microsoft

1.1 Einführung

In einem Unternehmen ist es absolute Voraussetzung, dass alle benutzten Geräte sicher sind und nicht kompromittiert werden können.

Aus diesem Grund sollten Sie alle Möglichkeiten kennen, eine sichere Basis für Ihr Unternehmen zu schaffen.

1.2 Planen des Gerätemanagements

Wichtige Bestandteile von Microsoft 365 sind MDM, Mobile Device Management und MAM, Mobile Application Management.

Bleiben wir zunächst bei MDM.

Mit MDM können Sie bestimmen, wie die Geräte Ihres Unternehmens, einschließlich Mobiltelefone, Tablets und Laptops, genutzt werden.

Hierbei ist das Registrieren der zu verwaltenden Geräte in Microsoft 365 die Grundvoraussetzung.

Auch die Planung der zentralen Verwaltung von Anwendungen ist wichtig und kann ebenfalls mithilfe von Microsoft 365 erledigt werden.

1.2.1 MDM Planung

Die Vielfalt an benutzten Geräten ist enorm, angefangen bei den verschiedenen Betriebssystemen, wie

• Windows

• iOS

• Android

• macOS

bis hin zur Unterscheidung, ob ein Gerät

• Eigentum der Firma oder

• persönliches Eigentum des Benutzers

ist.

Das hat den Vorteil, dass Sie den Benutzern auch mit ihren eigenen Geräten eine bestimmte Zugriffstiefe auf die Firmenressourcen gewähren können, ohne diese Geräte zu sehr einzuschränken.

1.2.2 Automatisches Registrieren von Windowsgeräten

Innerhalb von Microsoft 365 steht Ihnen ein Tool für die Geräteverwaltung zur Verfügung: Microsoft Intune, auch „Endpoint Management“ genannt.

Microsoft Intune können Sie sehr leicht über das Microsoft 365 Admin Center erreichen, wenn Sie Azure Active Directory in der Premium-Variante benutzen.

Wählen Sie dafür „Endpoint Management“.

Abbildung 1.1: Intune

Die Konsole für die Geräteverwaltung öffnet sich.

Im Idealfall muss der Benutzer nicht viel tun, um seine Geräte bei Microsoft Intune zu registrieren.

Um den Benutzern zu gestatten, Geräte zu registrieren, müssen Sie in folgende Konsole wechseln:

• Geräte

• Geräte registrieren

• Windows-Registrierung

• Automatische Registrierung

Der obere Bereich ist der MDM Bereich (Mobile Device Management).

Sie können festlegen, dass „Keine Geräte“, „Einige“ oder „Alle Geräte“ von Microsoft Intune verwaltet werden.

Wenn Sie „Einige“ wählen, müssen Sie noch Gruppen angeben.

Abbildung 1.2: MAM Konfiguration

Sie sollten wissen, dass dieser Bereich für unternehmenseigene Geräte Vorrang hat, falls sowohl MDM als auch MAM konfiguriert ist.

Für BYOD-Geräte (Bring your own Device) dagegen haben die MAM-Einstellungen Vorrang, wenn sowohl MDM als auch MAM konfiguriert ist.

Diese Einstellungen gelten allerdings nur für Windows 10 Geräte.

1.2.3 Berechtigungen für die Geräteregistrierung (Geräteregistrierungsmanager)

Um Geräte bei Microsoft 365 registrieren zu können, müssen die Benutzer noch zusätzlich die entsprechenden Berechtigungen erhalten.

Wenn eine oder mehrere Personen sehr viele Geräte in Microsoft 365 registrieren sollen, besteht die Möglichkeit, diesen Personen die Berechtigung „Device Enrollment Manager, DEM, Geräteregistrierungsmanager“ zuzuweisen.

Mit dieser Berechtigung können Sie bis zu 1.000 Geräte registrieren.

Dies wird dann der Fall sein, wenn jemand mehrere Geräte registrieren muss, bevor sie den zukünftigen Benutzern übergeben werden.

Bevor Sie einem Konto die Berechtigung „DEM“ zuweisen können, muss dieses Konto natürlich eine Microsoft 365-Lizenz haben.

Dafür öffnen Sie das Microsoft 365 Admin Center, navigieren zu „Benutzer“ und wählen den entsprechenden Benutzer aus.

Abbildung 1.3: Lizenzen

Klicken Sie auf „Lizenzen“ und überprüfen Sie, ob der Benutzer eine Lizenz für Microsoft 365 hat. Sollte das nicht der Fall sein, klicken Sie auf „Zuweisen“ und geben Sie ihm eine Lizenz.

Nun können Sie einen DEM hinzufügen.

Dazu öffnen Sie die Microsoft Intune-Konsole (Endpoint-Management), wählen

• Geräte

• Geräte registrieren

• Geräteregistrierungs-Manager

• Hinzufügen

Hier fügen Sie nun den gewünschten Benutzer hinzu.

Abbildung 1.4: Benutzer wird hinzugefügt

1.2.4 Einschränkungen für die Benutzer

Auch wenn ein Benutzer kein Device Enrollment Manager ist, kann er natürlich trotzdem Geräte registrieren.

Wie es auch in einer On-Premise Domäne geregelt ist, so ist es auch in Microsoft Intune, auch der normale Benutzer hat das Recht, eine bestimmte Anzahl an Geräten zu registrieren. Bei einer Domäne ist dies der Beitritt zur Domäne, in Microsoft Intune ist es im Endeffekt genauso.

Wichtig ist, dass Sie als Microsoft Intune Administrator die Möglichkeit haben, Registrierungsbeschränkungen zu definieren, also die Möglichkeit der Benutzer einzuschränken, Geräte zu registrieren.

Sie können folgende Einschränkungen definieren:

• Maximale Anzahl der registrierten Geräte

• Geräteplattformen (Windows, iOS etc.)

• Einschränken von privaten Geräten

Um diese Einschränkungen zu definieren, erstellen Sie eine Registrierungsbeschränkungsrichtlinie, die Sie dann einer Gruppe zuweisen können.

Öffnen Sie dafür

• Geräte

• Geräte registrieren

•Registrierungsbeschränkungen

Abbildung 1.5: Registrierungsbeschränkungen

Sie sehen, es existiert bereits eine Standardrichtlinie für die Gerätetypbeschränkung und eine Standardrichtlinie für das Gerätelimit.

Diese Richtlinien sind bereits an „alle Benutzer“ zugewiesen und erlauben allen Benutzern alle Geräte zu registrieren, mit dem Limit von 5 Geräten.

Wenn Sie neue Beschränkungen erstellen möchten, klicken Sie auf „Einschränkung erstellen“.

Wählen Sie, ob Sie eine „Gerätelimiteinschränkung“ oder eine „Gerätetypeinschränkung“ definieren wollen und geben Sie der Richtlinie einen Namen.

Wenn Sie „Gerätelimiteinschränkung“ wählen, definieren Sie die maximale Anzahl der Geräte, die hinzugefügt werden dürfen.

Wenn Sie dagegen „Gerätetypeinschränkung“ wählen, können Sie zunächst die Plattformen wählen.

Abbildung 1.6: Plattformen

Alle gebräuchlichen Plattformen sind hier aufgelistet.

Sie sehen, hier wird zwischen „Android“ und „Android Arbeitsprofil“ unterschieden.

Ein „Android Arbeitsprofil“ ist eine vom Administrator eingerichtete Teilung auf einem Android Gerät.

Mit ihm werden geschäftliche Daten verwaltet, ohne die privaten Daten zu betreffen.

Im letzten Schritt weisen Sie die Richtlinie noch einer Gruppe zu.

Prioritäten

Nachdem die Richtlinie zugewiesen ist, sehen Sie, dass ihr eine Priorität zugewiesen wurde.

Abbildung 1.7: Priorität

Diese Prioritäten kommen dann zum Tragen, wenn ein Benutzer in mehreren Gruppen ist.

Für ihn gilt dann immer die Einschränkung mit der höchsten Priorität.

Wenn Sie mehrere Richtlinien haben, können Sie die Priorität ändern, indem Sie mit der Maus in der Liste auf die Beschränkung zeigen. Es erscheint dann vor der Zahl ein Symbol mit drei Punkten.

An diesem Symbol können Sie die Richtlinien „greifen“ und an eine andere Stelle ziehen. Damit können Sie die Prioritäten nach Ihren Wünschen anpassen.

1.2.5 Anmelden von Android-Geräten

Android ist bekanntlich das Betriebssystem von Google.

Um die automatische Registrierung von Android-Geräten zu aktivieren, bleiben Sie in der gleichen Konsole und wählen „Android-Registrierung“.

Abbildung 1.8: Android-Registrierung

Hier ist selbstverständlich, dass Sie zunächst ein Google-Play Konto benötigen, das Sie mit Microsoft Intune verknüpfen müssen.

Klicken Sie auf „Starten Sie Google, um jetzt eine Verbindung herzustellen“.

Abbildung 1.9: Herstellen einer Verbindung

Es öffnet sich ein Browserfenster, und Sie können sich mit Ihrem Google-Play Konto anmelden.

Abbildung 1.10: Anmeldung

Nun können Sie sich anmelden.

Abbildung 1.11: Unternehmensdaten

Hier geben Sie den Namen Ihres Unternehmens ein. Für den Enterprise Mobility Verwaltungsanbieter (EMM) sollte Microsoft Intune angezeigt werden.

Das Konto wird nun verknüpft. Dies sehen Sie in der Konsole.

Abbildung 1.12: Konto ist verknüpft

Danach beginnt die weitere Einrichtung, die stark von den Google-Einstellungen abhängig ist.

Abbildung 1.13: Weitere Einrichtung

Natürlich können Sie das Konto auch jederzeit wieder trennen.

Abbildung 1.14: Trennen

1.2.6 Anmelden von iOS-Geräten

Mit Microsoft Intune können Sie natürlich auch iOS-Geräte automatisch registrieren.

Die Vorgehensweise umfasst mehrere Schritte.

Anfordern eines Apple-DEP-Tokens

Der erste Schritt bei der Registrierung von Apple-Geräten ist das Anfordern eines DEP (Device Enrollment Program) Tokens.

Es hat das Format .p7m. Mithilfe dieses Tokens können Informationen von Microsoft Intune mit Apple-Geräten interagieren.

Erstellen des Apple-MDM-Push-Zertifikats

In diesem ersten Schritt öffnen Sie die Microsoft Intune-Konsole und gehen zu

• Geräteregistrierung

• Apple-Registrierung

• Apple-MDM-Push-Zertifikat

Abbildung 1.15: Anfordern des Zertifikats

Sie bestätigen die Berechtigung, Benutzer- und Geräteinformationen an Apple zu senden.

Dann laden Sie die Zertifikatssignierungsanforderung herunter und speichern sie auf dem Rechner.

Diese Datei hat die Endung csr.

Abbildung 1.16: Zertifikatssignierungsanforderung

Nun klicken Sie auf „Eigenes MDM-Push-Zertifikat erstellen“.

Abbildung 1.17: MDM-Push-Zertifikat

Während der Erstellung des Zertifikats werden Sie nach der Zertifikatssignierungsanforderung gefragt, die Sie zuvor heruntergeladen haben.

Wählen Sie diese aus und laden Sie sie zur Erstellung des Zertifikats hoch.

Abbildung 1.18: Hochladen der Zertifikatssignierungsanforderung

Nun ist das Push-Zertifikat erstellt und Sie können es herunterladen.

Abbildung 1.19: Push-Zertifikat ist erstellt

Es hat die Endung .pem.

Nun geben Sie nur noch Ihre Apple-ID an und laden das Push-Zertifikat zu Apple hoch.

Abbildung 1.20: Hochladen des Zertifikats

Erstellen des DEP-Tokens

Nachdem das Push-Zertifikat zu Apple hochgeladen wurde, können Sie nun das DEP-Token erstellen.

Wählen Sie dafür „Token für das Registrierungsprogramm“.

Abbildung 1.21: Token erstellen

Erteilen Sie wieder die Erlaubnis, Daten zu senden und laden Sie den öffentlichen Schlüssel herunter.

Abbildung 1.22: Herunterladen des öffentlichen Schlüssels

Er hat die Endung .pem.

Die weitere Konfiguration erfolgt auf der Apple-Seite und ist relativ komplex. Sie ist nicht Bestandteil dieses Kurses.

Nachdem Sie alle Schritte abgeschlossen haben, können Sie ein Apple-Token herunterladen.

Erstellen eines Apple-Registrierungsprofils

Nachdem Sie alle Schritte ausgeführt haben, und das DEP-Token auf dem Rechner installiert ist, können Sie ein Apple-Registrierungsprofil erstellen.

Dazu öffnen Sie im Microsoft Intune-Portal

• Geräteregistrierung

•Apple-Registrierung

• Token für Registrierungsprogramm

Abbildung 1.23: Token

Sie sehen nun alle verfügbaren Token. Wählen Sie das Token aus, das Sie benutzen wollen und klicken Sie auf „Profile-Profil erstellen“.

Abbildung 1.24: Profil

Hier wählen Sie „macOS“ aus.

Abbildung 1.25: macOS

Nun geben Sie dem Profil einen Namen.

Danach wechseln Sie auf „Geräteverwaltungseinstellungen“.

Abbildung 1.26: Geräteverwaltungseinstellungen

Hier können Sie wählen, ob Sie mit oder ohne Benutzeraffinität registrieren möchten.

Abbildung 1.27: Benutzeraffinität

Mit Benutzeraffinität registrieren:

Das bedeutet, dass diese Einstellungen für Geräte gelten, die bestimmten Benutzern zugeordnet sind.

Ohne Benutzeraffinität registrieren:

Dies gilt für Geräte, die keinem Benutzer zugewiesen sind.

Sie können noch wählen, ob die Registrierung gesperrt sein soll.

Dies verhindert, dass ein Benutzer dieses Profil entfernen kann.

Im letzten Schritt legen Sie noch die Anpassungen für den Setup-Assistenten fest.

Abbildung 1.28: Anpassungen

Dies sind die Einstellungen, die der Benutzer sehen wird, wenn er sein Gerät anmeldet.

Klicken Sie nun auf „Überprüfen und erstellen“, damit das Profil erstellt wird.

Zuweisen des Registrierungsprofils an Geräte

Dies ist der letzte Schritt, den Sie ausführen müssen, Sie müssen das erstellte Profil an die gewünschten Geräte zuweisen.

Abbildung 1.29: Zuweisen des Profils

Im Endeffekt gibt es drei wichtige Punkte, die Sie bearbeiten müssen, wenn Sie ein Apple-Gerät registrieren möchten:

• Erstellen eines Device Enrollment Program (DEP)-Token

• Erstellen eines Apple-Registrierungsprofils

• Zuweisen des Apple-Registrierungsprofils

Eine letzte Frage stellt sich:

Wie können sich die Geräte registrieren?

Ganz einfach, dafür laden Sie auf die Geräte aus den jeweiligen App-Stores die „Microsoft Intune-Unternehmensportal-App“ herunter.

Abbildung 1.30: App

Diese können Sie auf den Geräten starten und Sie werden mit einem Assistenten durch die Registrierung geleitet.

1.2.7 Automatisches Registrieren von Geräten ohne Azure Active Directory Premium

Sollten Sie nicht die Premium Version von Azure Active Directory benutzen, also beispielsweise das Azure AD von Office 365, steht Ihnen die automatische MDM-Registrierung nicht zur Verfügung.

In diesem Fall müssen die Benutzer, die eine Verbindung mit Intune herstellen möchten, während der Registrierung den Intune-Servernamen eingeben.

Das ist nicht sehr benutzerfreundlich, deswegen sollten Sie hier einige Konfigurationsschritte vornehmen, um eine Registrierung trotzdem auf einfache Art und Weise und ohne Eingabe des Servernamens zu ermöglichen.

Die automatische Registrierung der Premium-Variante ist im Prinzip nichts anderes, als eine Weiterleitung der Anfragen an

•EnterpriseEnrollment-s.manage.microsoft.com

•EnterpriseRegistration.windows.net

Diese URL können anhand des E-Mail-Domänennamens die Registrierungsanfragen an den richtigen Intune-Dienst weiterleiten.

Die Lösung für die nicht vorhandene automatische Registrierung ist das Erstellen von CNAME DNS-Einträgen, die an die oben genannten Microsoft-Domänen weiterleiten.

Es werden zwei CNAMEs benötigt:

CNAME Eintrag

Verweist auf

EnterpriseEnrollment.company_domain.com

EnterpriseEnrollments.manage.microsoft.com

EnterpriseRegistration.company_domain.com

EnterpriseRegistration.windows.net

1.3 Azure Active Directory und On-Premise Active Directory

Microsoft 365 bietet eine vollständige Verwaltung aller Identitäten, also aller Benutzerkonten.

Die Konten werden in Azure AD angelegt und können dort verwaltet und bearbeitet werden.

Abbildung 1.31: Kontenverwaltung in Azure AD

Der Vorteil hierbei ist es, dass Sie alle Konten an einer zentralen Stelle verwalten können, die von jedem Standort aus zugänglich ist, da sie in der Cloud gespeichert ist.

Dieses Szenario eignet sich besonders, wenn Sie bisher keine lokale Kontenverwaltung hatten und somit eine Verwaltung neu erstellen möchten.

Abbildung 1.32: Kontenverwaltung in Active Directory

Allerdings wird es häufig eher so sein, dass Sie bereits einen lokalen Verzeichnisdienst betreiben und alle Benutzerkonten dort verwalten.

Dies ist die bisher gängige Benutzerverwaltung, nämlich mithilfe des Active Directorys in einer On-Premise Domäne.

Zum Glück ist es nicht so, dass Sie sich entscheiden müssen, welche Art der Kontenverwaltung Sie benutzen möchten, denn das würde ja unter Umständen bedeuten, dass Sie eine bestehende Active Directory Domäne auflösen, alle Konten zu Azure AD umziehen und neu konfigurieren müssen.

Dieser Aufwand wäre unendlich groß, unter Umständen würde sogar ein kompletter Stillstand des Unternehmens nötig werden. Das wäre keine gute Strategie.

Microsoft bietet Ihnen die Möglichkeit, beide Arten der Kontenverwaltung parallel zu nutzen, indem Sie die On-Premise Active Directory Domäne mithilfe eines Tools mit Namen „AD-Connect“ an Azure AD anschließen.

Durch eine solche Verbindung können Sie die Identitäten aus der On-Premise Domäne in die Cloud zu Azure AD replizieren lassen.

Abbildung 1.33: Replikation der Konten