Martin Pavlis Microsoft MVP
ÚVOD OFFICE 365
Postup aktivace a zprovoznění Office 365 1. Plán Dokumentace 2. Příprava 3. Nastavení ferderace a/nebo koexistence Přidat a ověřit SMTP domény Konfigurovat služby Nastavit federaci identit Zapnutí CCS pro koexistenci Instalace DirSync Konfigurace a proveden DirSync GO DNS administrace Konfigurace Online služeb Microsoft Online Identity Tool Admin Portal Microsoft Online DirSync Tool 4. Licencování uživatelů 5. Instalace software 5. Migrace/koexistence
Správa a registrace DNS v rámci Office 365 Správa DNS OFFICE 365 Správa a registrace DNS v rámci Office 365
Správa DNS Přidání domény Ověření domény Vytvoření záznamů Autodiscover a Sender Policy Framework
Správa DNS – Ověření domény
Správa DNS - Ověření domény
Správa DNS - Ověření domény
Správa DNS - Přidání domény
Správa DNS – další záznamy
Správa DNS - další záznamy
Správa DNS - další záznamy
Správa DNS - Přidání domény
Výběr autentizace pro Office 365
Nové možnosti autentizace Microsoft Online IDs Přihlášení pomocí cloud identity Stejné ID pro denní použití a skrze Commerce/Billing Uživatelé a správci mají dvě identity – jednu pro cloud, jednu pro privátní prostředí (on-premise) Identity uživatelů jsem spravovány jak v cloud, tak v on-premise prostředí Synchronizace uživatelů z on-premise prostředí do cloudu Federated IDs Přihlášení ke cloud službám pomocí firemního ID Single Sign on pro koncové uživatele a správce Identita je spravována pouze v prostředí on premise Možnost i dvoufaktorové autentizace
Možnosti identit: Architektura 1. Microsoft Online IDs 2. Microsoft Online IDs + DirSync Microsoft Online Services 3. Federated IDs + DirSync Identity Services Trust Authentication platform Exchange Online Zákazník Active Directory Federation Server 2.0 IdP SharePoint Online IdP AD MS Online Directory Sync Provisioning platform Directory Store Lync Online Office 365 Desktop Setup Admin Portal
Porovnání možností správy identit 1. MS Online IDs 2. MS Online IDs + Dir Sync 3. Federated IDs + Dir Sync Vhodné pro: Menší společnosti bez Active Directory Přínosy: Nejsou vyžadovány žádné on-premise servery Nevýhody: Žádné SSO Žádná 2FA IDs jsou spravována v cloudu Vhodné pro: Menší/středné velké organizace s vlastní AD Přínosy: Uživatelé a skupiny spravovány on-premise Umožňuje koexistenční scénáře Nevýhody: Žádné SSO Žádná 2FA Nasazení pouze jediného serveru Vhodné pro: Velké společnosti s vlastní AD Přínosy: SSO s firemní autentizací ID jsou spravována on-premise Politika hesel je kontrolována on-premise Možnost 2FA Umožňuje koexistenční scénáře Nevýhody: Vyžadováno nasazení vysoce dostupných serverů
Synchronizace Active Directory do Office 365 DirSync OFFICE 365 Synchronizace Active Directory do Office 365
Správa identit - postup „Vyčištění“ AD DirSync – synchronizace Nasazení AD FS serveru (pokud potřebujete) Nasazení AD FS Proxy serveru (pokud potřebujete) Nutnost upgrade AD schema na Exchange 2010 SP1 v případě při scénářích koexistence (jinak ne)
Správa identit - „Vyčištění“ AD Každý uživatel musí mít UPN UPN přípona se musí shodovat s ověřenou doménou Omezení v rámci UPN znaků: Písmena, čísla, tečka nebo pomlčka Uživatelé musí vědět, že pro Office 365 musí používat UPN logon name (typicky tedy logon@domena.cz) Může být „skryto“ pro uživatele na doménových počítačích
Správa identit – veřejná UPN
Single Forest AD a pozor na… Struktura Popis Požadavky Stejné domény Interní a externí doména sdílí jedno jméno, např. kpcs.cz Žádné speciální požadavky Sub doména Interní doména je sub doménou externí domény, např. firma.kpcs.cz Vyžaduje registraci domény v pořadí root, potom sub domény .local doména Interní doména není vedřejně „registrována“, např. kpcs.local Vlastnictví domény nemůže být ověřeno a proto musí uživatelé získat a používat nové UPN Více odlišných UPN přípon Mix různých UPN jmen v různých doménách, např. pavlis.net, knotek.net Vyžaduje speciální nastavení pro podporu více UPN domén na jednom ADFS serveru
Správa identit – DirSync / požadavky Podporované operační systémy (zatím není x64 verze!) Microsoft Windows Server® 2003 SP2 x86 Microsoft Windows Server 2008 x86 Požadavky Microsoft .NET Framework 3.5 (restart) a Microsoft Windows PowerShell® v1.0 Nesmí být doménový řadič Server musí být členem domény Umí synchronizovat data ze zdrojového forestu, který běží na: Microsoft Windows Server 2000 Microsoft Windows Server 2003 Microsoft Windows Server 2008 Microsoft Windows Server 2008 R2 V jednom souboru pro stažení: Microsoft SQL Server® Express Microsoft Identity Lifecycle Manager 2007 – “Special Microsoft Online version”
Správa identit – DirSync / co dělá? Identity jsou spravovány on premise Synchronizuje uživatele, skupiny a kontakty Umožňuje snadnou federaci identit Single sign-on Umožňuje koexistenci “identity” a “aplikací” Koexistence Lync Online (v budoucnu) Rozsáhlá Exchange koexistence, která obsahuje: Sdílený GAL mezi on-premise Exchange a Exchange Online Možnost částečné migrace Exchange schránek do Office 365 Možnost migrace uživatele z a do Office 365 Replikace Safe a Block sender listů Delegace / Send on behalf Synchronizace obrázků, konferenčních místností, security skupiny (práva v SharePoint Online)
Správa identit – DirSync synchronizace První synchronizace vyžaduje plnou synchronizace “Full Sync” všech objektů (uživatelé, kontakty a mail-enabled skupiny) v on premise Active Directory Synchronizuje čas Delta synchronizace probíhá každé 3 hodiny a synchronizuje všechny změny, které od poslední synchronizace proběhly (možné kdykoli vynutit také „ručně“, pomocí SyncConfigShell.psc1, nebo Start-OnlineCoexistenceSync)
Správa identit – DirSync
Správa identit – DirSync
Správa identit – DirSync
Správa identit – DirSync
Správa identit – DirSync
Správa identit – DirSync
Správa identit – DirSync
Správa identit – DirSync
Správa identit – DirSync
Správa identit – Report / email
Správa identit – upgrade schema
Předávání autentizace Office 365 na on-premise Active Directory ADFS OFFICE 365 Předávání autentizace Office 365 na on-premise Active Directory
Active Directory Federation Services Scénář s jedním serverem Serverová farma AD FS 2.0 a load-balancer AD FS 2.0 proxy server, nebo UAG/TMG (externí uživatelé, Active Sync, klient Outlook na starších systémech) Active Directory AD FS 2.0 Server Proxy AD FS 2.0 Server AD FS 2.0 Server AD FS 2.0 Server Proxy External user Enterprise DMZ Interní uživatel
Federace - požadavky Windows Server 2008/R2 s rolí AD FS a proxy server Windows Server 2008/R2 s rolí AD FS Proxy server (pro externí uživatele) DNS záznamy (A, PTR v LAN, A v internetu) Certifikáty pro AD FS a AD FS Proxy
Federace – instalace AD FS serveru Instalace OS (může být AD DC) Vstup do domény Vytvoření DNS záznamu (např. fs.kpcs.local) Vytvořte v doméně ADFS účet (např. svc_adfs) Instalace AD FS serveru po stažení instalačních souborů
Federace – instalace AD FS serveru
Federace – instalace AD FS serveru
Federace – instalace AD FS serveru
Federace – instalace AD FS serveru
Federace – instalace AD FS serveru
Federace – instalace AD FS serveru
Federace – instalace AD FS serveru
Federace – instalace AD FS serveru
Federace – instalace AD FS serveru
Federace – instalace AD FS serveru
Federace – instalace Sign-in Assistant
Federace – instalace Nástroje pro správy federace identit
Federace – instalace Nástroje pro správy federace identit
Federace – konfigurace Nástroje pro správy federace identit
Federace – konfigurace Nástroje pro správy federace identit
Federace – konfigurace Nástroje pro správy federace identit
Federace – ověření správnosti AD FS
Zkušenost s přihlašováním napříč aplikacemi a operačními systémy Federované vs. ne-nederované Office 2010 nebo Office 2007 SP2 SharePoint Online/Lync Online ActiveSync, POP, IMAP, Entourage Outlook 2010 Outlook 2007* Outlook 2007 nebo 2010 Outlook Web Application Win 7 Win 7 Vista/XP Win 7/Vista/XP Jednou při startu Každá session Každá session Každá session Každá session Každá session MS Online IDs Online ID Online ID Online ID Online ID Online ID Online ID Federated IDs, (v doméně) Nevyžaduje* Nevyžaduje** Jednou při startu*** Jednou při startu*** Nevyžaduje Nevyžaduje AD oprávnění *** schopnost uložit heslo – uživatelé nejsou dotazováni do momentu vypršení/změny hesla
Federace – instalace AD FS Proxy
Federace – instalace AD FS Proxy
Federace – instalace AD FS Proxy
Aktivace uživatelů synchronizovaných uživatelů OFFICE 365 Aktivace uživatelů synchronizovaných uživatelů
Aktivace uživatelů / licencí Přiřazení typu licence Výběr země
Aktivace uživatelů / licencí
Aktivace uživatelských licencí
Aktivace uživatelských licencí
Aktivace uživatelských licencí
Závěr OFFICE 365
Otázky kolem plánování Zaregistrovali jste dopředu vaši doménu? Plánujete zapnout federaci s cloud službami? Pokud vaše společnost plánuje využívat federaci identit (SSO) s sloud službami pomocí Active Directory Federation Services (ADFS), doporučujeme tak nastavit před zahájením synchronizace adresářových služeb Neobsahuje vaše Active Directory poškozené/nechtěné objekty (např. duplikované, nebo chybné objekty, atd.)? V nástroji Microsoft Online DirSync budete řešit mnoho problémů s problematickými, nebo poškozenými objekty Pro zjištění zdali je vaše lokální Active Directory v pořádku před spuštěním MSO DirSync, doporučuji přečíst odpovídající část v Microsoft Online Deployment Guide a použít nástroj Office 365 BPA for Directory Sync (anglický nástroj na vyhledání chybných objektů před spuštěním synchronizace) http://community.office365.com http://www.microsoft.com/online/deploy.aspx
Zajímavé odkazy Služby Microsoft Online poskytované na internetu http://www.microsoft.com/cze/office2010/sluzby/online-services.aspx Informace o licencování: http://www.microsoft.com/cze/office2010/sluzby/office-365.aspx Migrace emailových služeb do Exchange Online (BPOS) http://www.zive.cz/clanky/migrace-emailovych-sluzeb-do-exchange-online-bpos/sc-3-a-154907/default.aspx Český TechNet Blog (prezentace, záznam, Q&A) http://www.technetblog.cz Office 365 na českém TechNetu http://blogs.technet.com/b/technetczsk/p/office-365.aspx Office 365 české TechNet fórum http://social.technet.microsoft.com/Forums/cs-CZ/bposoffice365cz/threads Seriál pro TechnetBlogCZ/SK Office 365 – Díl I, Úvod Office 365 – Díl II, praktické zprovoznění služby Office 365 – Díl III, aktivace uživatelů, správa licencí Office 365 – Díl IV, správa online aplikací
KPCS CZ: Váš Office 365 partner KPCS CZ ID: 1784141 Možnosti spolupráce: Můžeme pomáhat s migrací, případně zajišťovat technickou podporu nejen při migracích Cena služeb Office 365 se zapojením partnera nemění – je pro zákazníka zcela zdarma, proto neváhejte a při objednávce nás uveďte jako Vašeho partnera KPCS CZ vás může požádat o předání oprávnění a my můžeme skrze partnerský portál spravovat vaše Office 365 služby Více informací o KPCS CZ naleznete na stránkách: http://www.kpcs.cz
Martin Pavlis Microsoft MVP