Embed Size (px)
DESCRIPTION
Velkommen. edgemo S ummit Oktober 2014. Hvem er vi?. Jakob Kvistgaard. Søren Egtved Lassen. Konsulent System Center, Automation og identitetsstyring. Konsulent Unified Communication. Agenda. Generelt Introduktion til MS Cloud Identiteter i skyen Office 365 Infrastruktur Services - PowerPoint PPT Presentation
Citation preview
Velkommen
edgemo SummitOktober 2014
Hvem er vi?Jakob Kvistgaard• Konsulent• Unified Communication
Søren Egtved Lassen• Konsulent• System Center, Automation og
identitetsstyring
Agenda
• Generelt• Introduktion til MS Cloud• Identiteter i skyen• Office 365• Infrastruktur Services• Kom i gang med MS Cloud: Processen• Opsummering
GenereltIntroduktion
Mål
• Afmystificere• Demontere myter• Forklare sammenhænge• Perspektivere• Gøre håndgribeligt• Beskrive proces for
implementering• Vise tingene i praksis• Fokus på Office 365 og Azure
Hvad er Cloud?Definition fra NIST: National Institute of Standards and Technology(kilde: The NIST Definition of Cloud Computing, NIST Special Publication 800-145)
Roller
CSP• Cloud Service Provider = udbyder af en Cloud
service
Tenant• Lejer af en service ~ kundens tilstedeværelse hos
CSP
MS CloudIntroduktion
Introduktion til MS Cloud
• Ydelser:• Office 365 (Exchange, Lync, SharePoint, OneDrive,
CRM etc.)• Azure• InTune• Yammer• Xbox Live
• Mange regionale datacentre• Forskellige afregningsmodeller• Administreres via portaler, Web Services eller PowerShell• MS Cloud er inkubator for mange nye teknologier
MS Cloud Services
Office 365 (ifølge MS)
Microsoft Office 365 er en cloud-baseret service, som er designet til at hjælpe dig imødekomme din organisations behov for sikkerhed, stabilitet og produktivitet.
Hvad er Office 365?
Efterfølgeren til BPOS (Business Productivity Online Suite)
Den første større Microsoft Cloud service
BPOS var bygget op omkring Exchange 2007 og MOSS 2007
Office 365 blev bygget på 2010 version (Wave 14) og senest 2013
”Legeplads” for nyeste kodebase
Ny kode skrives til Office 365, dernæst on-premise
Stadig større palette af services
IT udfordringerne
Når tingene ikke virker, hvem er så ansvarlig?
Vores teams har brug for at kunne samarbejde omkring de
samme dokumenter.Vi skal sikre os at alt virker, på alle
mobile enheder.Vi skal kunne arbejde hele tiden,
også når vi er på farten.
Vores mobile medarbejdere skal have adgang til andet end bare
email…..uden brug af VPN.
Kompleks infrastruktur som skal vedligeholdes, gør at vi har
mindre tid til projekter.
Vi skal være omkostningsbevidste, mere end nogensinde.
Mere kontrol over de værktøjer vores brugere skal have adgang til.
Office 365 services
Exchange Online
Exchange Online Archiving
Exchange Online Protection
SharePoint Online
OneDrive for Business
Lync Online
Office Online
Office Online
Office Applications
Project Online
Project Pro for Office 365
Yammer
Power BI for Office 365
Microsoft CRM
Office 365 planer
Office for Home• Office 365 Home• Office 365 Personal• Office Home & Student 2013• Office Home & Business 2013• Office Professional 2013
Education plans• Office 365 Education E1 for Students• Office 365 Education E1 for Faculty• Office 365 Education E3 for Students• Office 365 Education E3 for Faculty
Goverment plans• Exchange Online - Plan 1• Exchange Online - Plan 2• Office 365 E1• Office 265 E3
Non-profit• Office 365 Business Essentials• Office 365 Business Premium• Office 365 E1• Office 365 E3
Business• Office 365 Business Essentials• Office 365 Business• Office 365 Business Premium
Enterprise• Office 365 Enterprise E1• Office 365 ProPlus• Office 365 Enterprise E4
De vigtigste….
Exchange Online• Hosted Exchange• 50 Gb mailbox• Ubegrænset arkiv• Hybrid løsninger• Sikkerhed
SharePoint Online• Tilgængelighed på tværs af enheder• Team og projektorienterede sites• Nemt at administrere• Ingen infrastruktur at vedligeholde
Lync Online• IM• Presence• Møder• Content sharing• Telefoni?• Split-domain
Office Applications• Hele Office pakken• Altid nyeste version• Office på alle enheder, inkl. tablets og mobil• 1 TB plads på Onedrive for Business• Kan installeres på op til 5 PC’ere eller Mac
computere samt mobile enheder
Office 365 vs. Azure
• Det underlæggende directory for Office 365 er Azure AD• Hvilken betydning har det?• Har du en Office 365 account, har du allerede en Azure ”tenant”• Provisionerede brugere findes allerede i Azure• Ingen link fra O365 admin portal til Azure• Kan tilgås ved at logge ind i Azure med din
O365 account• Opret evt. trial account
Azure
• IaaS services• Storage• Compute• Networking
• PaaS services• Platform til afvikling af applikationer og services• Databaser• Web Services• ”Middleware”
• Afregning – forudbetalt eller efter forbrug• Administreres via Web Portal, Powershell eller Web Service
Azure Services
Identiteter…i skyen
Identiteter
• Adgang til systemer og data• Autentifikation• Autorisationer
• Bruger data• Stamdata (navn, adresse, organisation osv.) • Applikations specifikke data• Andre metadata
• Placering• Cloud identiteter bor i Azure Active Directory• MS SaaS bruger Azure Active Directory (ikke Yammer)• On-Premise bor typisk i lokalt Active Directory
Cloud – Identitets udfordringer
• Skabe sammenhæng og transparens• Gøre bruger informationer tilgængelige
for applikationer på tværs af Cloud providere• Konsistens i data• Flere logins = mere besvær
Azure Active Directory
• Bruger databasen i MS Cloud• Autentifikation• Autorisation• Bruger data
• Er ikke det samme AD DS:• Et AAD kan have flere domæner• Computere kan ikke være medlem• Domæner er public DNS
Azure Active Directory
• Administrativ grænseflade:• Azure Portal• Powershell (MSOnline modul)• Via applikation (f.eks. Office 365)
• Tænk AAD som:• Forenklet Active Directory• DNS baseret• Claims/federations• Hyper-skalérbare• Multi tenant
Azure Active Directory - udgaver
• Basic:• Branding• Integration med mange online services• Password self-service• Tilgængelighed på 99,9%
• Premium:• Samme som ovenfor +• Group self-service• Multi Factor Authentication• Rapporter og alarmer• Rettighed til at bruger FIM/MIM on-premise• Hyper-skalérbare• Multi tenant
Azure AD domæner - varianter
Synkronisering
• Basis for en hybrid identitet er synkronisering• Data til login og data til applikationer• Federated login kan give adgang men ikke
(nok) brugerinformationer• Password synkronisering• Flere alternative løsninger
Synkronisering
On Premise
Synkronisering - valgmuligheder
DirSync
Azure Active Directory Sync
Forefront Identity Manager(+ Azure Connector)
• Synkronisering af brugere, kontaktpersoner og grupper
• Mulighed for write-back (Exchange Hybrid)
• Password synkronisering
• AD Forest (1) som autoritativ kilde
• Det nye værktøj
• Mere fleksibelt, scenarie baseret, åben for tilpasning
• Pt. ingen password synkronisering
• Multi AD Forests som autoritativ kilde
• Enterprise løsningen med mulighed for flere aut. kilder
• Flere AD Forests og synkronisering af andre miljøer
• Support af flere Tenants
• Kræver licens, men giver den største fleksibilitet
DEMOAzure Active Directory og Synkronisering
ADFS
• Active Directory Federation Services• Løst-koblet autentifikation på tværs a platforme
og organisationer• Nye services fra Microsoft er udnytter eller er
baseret på ADFS, eks.:• SharePoint• Exchange• Workplace Join
• Forbedret ADFS i Windows Server 2012 R2 (”3.0”) inkl. Web Application Proxy• Federation danner basis for Single-Sign-On (SSO)• Manuel fallback: Federated Synchronized
Login via ADFS (forenklet)
On Premise
1. Bruger tilgår ressource
2. Ressource beder bruger om autentifikation
3. Bruger omstilles til
ressourcens autentifikator
4. Ressource autentifikator omstiller til egen ADFS og
validering foretages
4.
5. Bruger omstilles til ressource m.
token
6. Bruger tilgår ressource m. token
MS Azure
ADFS og Single-Sign-On
• SSO genbruger eksisterende login i sammenhæng med Web browser.• ADFS forespørger lokalt AD ud fra
brugerens login.• Login foretages automatisk hvis:• Hvis bruger allerede er logget på domænet (hvis ”domain joined”)• Bruger har allerede logget ind i Web browser• Applikation forstår Claims (eks. Lync)
• Andre anvendelser kan give en SSO lignende oplevelse, eks. Password caching, profiler med credentials mv.
Azure og Office 365 login oplevelse
Cloud Identity Federated Identity
(domain joined computer)Federated Identity
(non-domain joined computer)
Outlook (PC and Mac) Sign in each session Sign in each session Sign in each session
Exchange ActiveSync Sign in each session Sign in each session Sign in each session
POP, IMAP Sign in each session Sign in each session Sign in each session
Web Experiences: Office 365 Portal / Outlook Web App / SharePoint Online / Office Web Apps / Azure Portal / Azure Apps
Sign in each browser session No Prompt Sign in each browser session
Office using SharePoint Online Sign in each SharePoint Online session Sign in each SharePoint Online Session Sign in each SharePoint Online Session
Lync Client Sign in each session No prompt Sign in each session
ADFSEksempel på netværkstopologi med høj tilgængelighed
Firewall
Internet
Internal ADdomain
company.net
DMZ
Internal network
ADFS Server 1(member of company.net)
SSL certificate adfs.company.com
ADFS Server 2(member of company.net)
SSL certificate adfs.company.com
SSL certificate adfs.company.com
SSL certificate adfs.company.com
TCP 443 Port forwarding orpublishing
Web ApplicationProxy 1
(non-domain member)
Web Application Proxy 2
(non-domain member)
HW Load Balanceror NLB
HW Load Balanceror NLB
SSL certificate adfs.company.com
ADFSConfig.
DB
DEMOLogin og Single-Sign-On
Office 365Co-eksistens og hybride løsninger
Exchange hybrid
IMAP migration
Cutover migration
Staged
migratio
n
2010
Hybrid
2013
Hybrid
Exchange 5.5
Exchange 2000
Exchange 2003
Exchange 2007
Exchange 2010
Exchange 2013
Notes/Domino
GroupWise
Other
Migrerings mulighederS
imp
le M
igra
tion
sH
yb
rid
IMAP MigrationSupports wide range of email platformsEmail only (no calendar, contacts, or tasks)
Cutover Exchange Migration (CEM)Good for fast, cutover migrationsNo migration tool or computer required on-premises
Staged Exchange Migration (SEM)No migration tool or computer required on-premisesRequires Directory Synchronization with on-premises AD
Hybrid DeploymentManage users on-premises and onlineEnables cross-premises calendaring, smooth migration, and easy off-boarding
Binder on-premise organisationen og cloud organisationen sammen, og gør at de fremstår som een enhed
Problemfri interaktion imellem on-premise og cloud postkasser
Migrering ind og ud ad skyen, transparent for brugerne
Mulighed for arkiv i skyen
Fordele ved hybrid løsning
Hybrid Key Features• Delegated authentication for on-premises/cloud web services• Enables Free/Busy, calendar sharing, message tracking, online
archive, and moreFederation Trust
• Manage all of your Exchange functions, whether cloud or on-premises from the same place - Exchange Administration Center (EAC)
Integrated Admin Experience
• Online mailbox moves• Preserve the Outlook profile and offline file (OST)• Leverages the Mailbox Replication Service (MRS)
Native Mailbox Move
• Authenticated and encrypted mail flow• Preserves the internal Exchange messages headers• Support for compliance mail flow scenarios (central transport)
Secure Mail Flow
Hybrid vs. Simple coexistenceFeature Simple HybridMail routing between on-premises and cloud (recipients on either side)
Mail routing with shared namespace (if desired) on both sides
Unified GAL
Free/Busy and calendar sharing cross-premises
Out of Office understands that cross-premises is “internal” to the organization
Mailtips, messaging tracking, and mailbox search work cross-premises
OWA redirection cross-premise (single OWA URL for both on-premises and cloud)
Single tool to manage cross-premises Exchange functions (including migrations)
Mailbox moves support both onboarding and offboarding
No outlook reconfiguration or OST resync required after mailbox migration
Preserve auth header (ensure internal email is not spam, resolve against GAL, etc.)
Centralized mail flow , ensures that all email routes inbound/outbound via on-prem
Hybrid Coexistence free/busy
Optaget/ledig til og deling af kalender på tværs af platforme
Vises som een samlet organisation når der bookes møder og deles kalendre
Virker med alle supporterede Outlook klienter og OWA
Hybrid Coexistence Mailtips
MailTips på tværs af platforme
Korrekt visning af “Intern” vs. “Ekstern” ved brug af mailtips
Hybrid Coexistence MailflowMail Flow på tværs af platforme
Bibeholder interne mail headers(auth header)
Emails er “trusted” og oversætter afsender til “rich recipient information” i Global Address List (ikke SMTP adresse)
Evt. begrænsninger for modtagere efterkommes
2013 hybrid requirements
On-premises Exchange
organization
Office 365 plan (home
og small business
undtaget)
WADSync Autodicover
Office 365 organization
in the Exchange
admin center (EAC)
Certificate from trusted CA (Public)
EdgeSync hvis Edge Transport
server haves on-premise
• Exchange 2003 er ikke supporteret• Rettigheder på tværs af platform (stedfortræder rettigheder migreres når
brugerne er I same migrerings batch)• Migrering af Send As/Full Access rettigheder
Begrænsninger ved hybrid
Hybrid bruger oplevelse
• Såfremt der findes SSO løsning, skal brugeren logge på med sine AD credentials, kan være WADSync eller ADFS. Ellers skal nyt password oplyses.
• Brugerens Outlook profil bliver opdateret automatisk vha. autodicover funktionen.
• OST filen genbruges så postkassens indhold skal ikke hentes igen.• Såfremt Outlook bruges når postkassen flyttes, vil brugeren blive bedt
om at lukke og åbne Outlook.
Hybrid – Deployment Process
Sign up for Office
365
Register your
domains with
Office 365
Deploy Office 365 Directory
Sync
Install Exchange 2013 CAS
& MBX Servers
(Edge opt)
Publish the CAS Server(Assign
SSL certificate, firewall
rules)
Run the Hybrid Wizard
Exchange specific deployment tasks
General Office 365 deployment tasks
DEMOExchange hybrid
Lync hybrid
Hvad er Lync hybrid
• I den “gamle” tenant version, separate SIP domains• I 2013 tenant, split-domain• Fælles adressebog• Decentral bruger håndtering
Lync 2013 hybrid requirements
On-premises Lync 2010/2013
Lync 2013 administrative
tools
Office 365 plan with Lync
Online 2013WADSync
Active Directory Federation
Services (AD FS)
Enabling Split-domain
1. Enable Federation within your Office 365 tenancy (allow
external access)
2. Configure your Lync 2013 Edge
Server for Federation
3. Federate with Office 365
4. Enable your Office 365 tenancy for split-
domain (tech support)
5. Move your “chosen” Lync users
into Lync Online
Office 365 Voice
Ingen Hybrid Voice
Telefoni brugere skal være på on-premise Lync
Mulighed for fx Lync on-prem og Exchange i skyen
Forskellene
Infrastruktur ServicesMed Azure
Azure Networking
• Azure IaaS services indeholder kunde (Tenant) netværksdefinitioner• Fleksibel konfiguration af Tenant netværk mht. valg af subnets mv.• Tildeling af IP adresser er altid
dynamisk• Reservationer kan laves for statiske
IP adresser (PowerShell: Set-AzureStaticVNetIP)
Elastisk datacenter med Azure via VPN• IaaS adgang til Azure igennem:• Point-To-Site VPN: F.eks. hjemmearbejdspladser• Site-To-Site VPN: Transparent infrastruktur
• Automatiseret opsætning af VPN tunneller
Alternativ til VPN: ExpressRoute
• MPLS forbindelse direkte til MS Cloud• Ingen internet forbindelse• Bedre båndbredde, lavere latency (< 2ms), højere sikkerhed• Voksende antal netværksudbydere
Virtuelle maskiner
• Azure IaaS kan bruges som et alternativt datacenter• Typiske scenarier i starten:• Test / Udvikling• Recovery
• Senere egentlig produktionsafvikling• Kører på en Hyper-V platform, med visse
begrænsninger:• Kun VHD understøttelse• Ingen statiske IP adresser
• Beregn udgifter til VM afvikling via Pricing Calculator
Flyt VM workloads i skyen
• Forudsætning er at netværk er på plads• Manuel proces:
• Klargør maskine (kun VHD)• Upload• Opret VM• Start VM
• Bemærk:• NIC opsætning ændrer sig• Kør evt. SysPrep efter upload
• Automatiseret:• System Center App Controller og Virtual Machine Manager• Migration Accelerator (InMage)• Microsoft Virtual Machine Converter 3.0 (VMware migrering)
DEMOAzure VM og netværk
Kom i gang med MS CloudProcessen
…ud i skyen
• Vejen ud i skyen afhænger af hvor man står i dag.• Forvent at målet flytter sig med at service
krav ændrer sig og teknologier modnes.• Tænk i topologier og snitflader.• Der er få blindgyder men mange omveje.• Kom godt fra start.
De fire overordnede faser
Forberedelse Opret og Forbind Test og Pilot Udrulning og
migrering
Fase 1: Forberedelse
Analyse og planlægning• AD readiness (f.eks. IDFIX)• Datastørrelser• Azure / Office 365 funktioner• Planlæg oprettelse og evt. migrering af VM’er• Planlæg test og migrering• Økonomi
Tilpas• AD justeringer ud fra AD analyse• UPN navngivning (Myte: AD/DNS navn skal være ens internt/eksternt)• Evt. justeringer til netværks infrastruktur
Bestil• Evt. ekstern DNS ændringer• Azure Subscription• Office 365 Plan
Fase 2: Opret og forbind
Opret• Azure/Office 365 Tenant m. plans og subscriptions• Eksterne DNS zoner• Domæner i Azure/Office 365 inkl. validering
Identitetsplatform• Implementer synkronisering (DirSync, AADSync eller FIM) med testbrugere (husk UPN)• Implementer ADFS/WAP og test basal funktionalitet• Opret federeret login for test eller produktionsdomæne (evt. senere)
Office 365• Publicer Exchange mod Internettet med gyldigt certifikat• Opret SMTP domain i tenant• Kør Hybrid Configuration Wizard• Aktiver Lync federation i tenant og on-premise• Aktiver split-domain
Azure• Netværk• VPN gateway
Fase 3: Test og Pilot
Identitetsplatform• Tilføj test/pilot brugere (OU’er) til synkronisering• Opret federeret/SSO login hvis ikke allerede gjort• Opret federeret login for test eller produktionsdomæne (evt. senere)• Validér synkronisering og ADFS logs
Office 365• Migrering af valgte testbrugere til Exchange Online• Test af mailflow, optaget/ledig tid, Outlook forbindelse mv.• Migrering af valgte Lync brugere til Lync Online• Test af Adressebog, IM, Presence, Meeting mv.
Azure• Opret test/pilot VMs• Test migreringsmekanisme for on-premise Cloud VM migrering (mange muligheder, flere tilkommer)• Opret test/pilot ressourcer• Validér tilgængelighed og transparens
Fase 4: Udrulning og migrering
Identitetsplatform• Tilføj organisations brugere (OU’er) til synkronisering• Flyt evt. federeret login fra test/pilot domæne til produktionsdomæne• Validér synkronisering og ADFS logs
Office 365• Migrering af postkasser i batches• Der tages højde for fællespostkasser mv.• Lync brugere som skal i skyen migreres
Azure• Opret VM’er med workloads og/eller:• Migrér VM’er fra on-premise til Azure
Opsummering
• Cloud er mange ting – tag de ting der er behov for• Fokus på at adgang skal være sikker og transparent• Samspil on-premise <–> Cloud er essentiel• Edgemo tilbyder naturligvis vores hjælp til at komme i skyen,
herunder Fast Tracks på at komme hurtigt igang
Spørgsmål
