Active Directory on-premise und Teams in der Cloud?

von | Jul 30, 2020 | Artikel | 0 Kommentare

Herausforderung

Infrastruktur: „Anbindung“ eines Active Directorys bzw. einer on-premise Exchange-Organisation an Teams (für die einfache Anmeldung, die Kalenderintegration und Delegationen)

Microsoft Teams ist ein cloudbasierter Service von Microsoft. Um ihn zu nutzen sind Benutzerkonten in der Microsoft-Cloud sowie die entsprechenden Lizenzen notwendig. Werden die Benutzerkonten und Postfächer in der Microsoft Cloud geführt, integriert sich Teams automatisch in diese weiteren Clouddienste, d.h. der Kalender des Postfachs ist integriert und Stellvertretungen (Delegationen) sind möglich.

Was aber, wenn sich die Benutzerkonten und Postfächer on-premise, also „vor Ort“ und zum Beispiel im eigenen Rechenzentrum, befinden, wie noch bei vielen Firmen und Organisationen? Welche Einschränkungen ziehen on-premise Benutzerkonten und Postfächer im Hinblick auf Teams nach sich und ist es möglich, Teams in on-premise Ressourcen einzubinden? Da diese und ähnliche Fragen unsere Kunden beschäftigen, wollen wir sie in diesem Blogbeitrag erläutern.

Der nachfolgende Beitrag bezieht sich nur auf die Anwender, deren Postfächer noch nicht in der Cloud geführt werden, sondern sich (noch) on-premise befinden.

Office 365 Tenant (Mandant)

Wie anfangen? Nachdem ein Microsoft- bzw. Office-Plan bereitsteht und der Office 365 Tenant eingerichtet wurde, stellt sich die Frage: ist es möglich, dass sich ein Benutzer mit seinem on-premise Benutzerkonto und Passwort in Teams anmelden kann und dass Passwortänderungen auch in der Cloud „wirken“? Dies würde die Benutzbarkeit und die Akzeptanz verbessern. Und die Administration müsste nicht für jeden Teams-Nutzer einen Cloud-Benutzeraccount anlegen und pflegen (neben dem on-premise Active Directory Benutzerkonto), sondern es wäre nur ein Konto zu pflegen, das auch in der Cloud „funktioniert“.

Azure AD Connect

Bevor in der Cloud in größerem Stil neue Benutzerkonten erstellt werden, ist es sinnvoll, zu überlegen, ob es keine anderen Möglichkeiten der Benutzerkontenerstellung gibt. Hier kommt die Synchronisation von on-premise Benutzerkonten nach Office 365 ins Spiel. Darüber werden Kopien der on-premise Benutzerkonten im Office 365 Tenant erstellt und synchron gehalten. Die weitere Pflege des Benutzerkontos erfolgt wie bisher on-premise, Änderungen werden automatisch nach Office 365 synchronisiert. Optional können auch Benutzerpasswörter (bzw. deren Hashs) nach Office 365 synchronisiert werden. Dadurch können sich Anwender mit ihrem bekannten Passwort am Teams-Cloudservice anmelden.

Auch ohne das Synchronisieren der Passwörter ist eine Authentifizierung per eigenem on-premise AD-Passwort möglich (Stichwörter: Passwort-Through-Authentifizierung bzw. die Active Directory Federation Service Authentifizierung). Bei einem bestehenden AD ist es günstig, erst gar nicht mit neuen in Office 365 neu erstellten Cloud-only Benutzerkonten zu starten, sondern gleich eine Synchronisierungslösung aufzubauen. Dies erspart das Entfernen der bereits angelegten nur-Cloud-Benutzerkonten bzw. das aufwendige und fehleranfällige Zusammenführen von on-premise Benutzerkonten mit bereits erstellten Office 365 Benutzerkonten.

Azure AD Connnect (AADConnect) nennt sich das Microsoft-Tool, das die genannte Synchronisation übernimmt; AADConnect bietet vielfältigste Einstellmöglichkeiten, beispielsweise können Sie definieren, dass nur Benutzerkonten bestimmter Organisationseinheiten synchronisiert werden. Details zu den vielfältigen Möglichkeiten können Sie gerne mit unseren erfahrenen Beratern besprechen, die sie bei diesem Schritt begleiten und die Einrichtung dieser Synchronisation beispielsweise in Rahmen eines Praxisworkshops durchführen.

Nun können sich die Anwender ganz einfach (mit ihrem Benutzerkonto & Passwort oder per Single-Sign-on) an Teams anmelden. Beim Untersuchen des Teams-Clients wird vermutlich auffallen, dass im Menüfeld (linke Spalte) „Termine“ bzw. „Calendar“ fehlt, d.h. der Kalender des angemeldeten Benutzers bzw. seines on-premise Exchange-Postfachs ist nicht sichtbar. Über diesen Kalender könnten Termine eingesehen, Teams-Besprechungen geplant oder aktuellen Teams-Besprechungen beigetreten werden – deshalb ist diese Kalenderintegration sinnvoll.

Teams-Kalender & Exchange-Hybrid

Welche Schritte sind nötig, um den on-premise Outlook-Kalender in Teams „freizuschalten“?

Dazu bedarf es mehrerer Schritte: als erstes eine Exchange-Hybridanbindung an Office 365. Diese Hybridanbindung richtet Verbindungen zwischen der on-premise Exchange-Organisation und dem Office 365 Tenant (und damit auch MS Teams) ein, weiterhin wird dabei die sogenannte OAuth-Authentifizierung aktiviert. Basis der Hybridanbindung ist eine Veröffentlichung von on-premise Exchange-Diensten (zumindest Autodiscover und EWS) im Internet – was vielerorts bereits eingerichtet ist.

Was i.d.R. noch einzurichten ist, ist eine Art SMTP-Direktverbindung von Office 365 zur on-premise Exchange-Organisation, dies ist eine von Microsoft genannte Voraussetzung für die Hybridanbindung. Nachdem diese Hybridanbindung erfolgreich erstellt wurde, sollte der Kalender in Teams erscheinen. In diesem Kalender werden die Termine des eigenen on-premise Exchange-Postfachs angezeigt. Nun sind beispielsweise Teams-Besprechungen aus Teams heraus planbar. Sofern die Anwender ihre Teams-Besprechungen selbst planen und pflegen ist alles in Ordnung, was aber ist mit Teams-Besprechungen, die beispielsweise ein berechtigter Organisator erstellen und verwalten soll? Funktionieren die per on-premise vergebene (Exchange-Postfach-/Kalender-)Berechtigungen bzw. Delegationen auch in Teams?

Fehlermeldung beim Versuch, im Kalender des Rechtegebers eine Teams-Besprechung zu organisieren:

Teams und Delegationen

On-premise Exchange-Postfachberechtigungen (Kalenderzugriffsrechte, Senden als, etc.) wirken in Teams nicht ohne weiteres Zutun. Oben sehen Sie eine Outlook-Fehlermeldung beim Versuch, im Kalender des Rechtegebers eine Teams-Besprechung zu organisieren – wenn die Voraussetzungen dafür nicht eingerichtet wurden. Für diese Delegationen ist on-premise eine sogenannte Business Online Partner Application einzurichten (https://docs.microsoft.com/en-us/skypeforbusiness/deploy/integrate-with-exchange-server/oauth-with-online-and-on-premises – Schritt 2 und 3) und der rechtegebende Anwender muss dem Berechtigten (Organisator) das Delegation-Recht geben – ohne diese beiden Schritte (und die weiteren zuvor genannten Punkte wie AADConnect-Sync, Exchange-Hybridanbindung, OAuth, Internet-Veröffentlichung etc.) können Delegationen nicht wirken.

Screenshot: Setzen einer Delegation in Outlook

Beachtenswertes und Fehlerquellen

Fehlerquellen der vorgenannten Schritte sind oftmals nicht korrekt eingerichtete Internet-Veröffentlichungen der on-premise Exchange-Services, die Office 365 bzw. Teams daran hindern, die gewünschten Daten on-premise abzurufen (Überprüfen per Microsoft-Remoteverbindungsuntersuchung: https://testconnectivity.microsoft.com/tests/exchange). Aber auch Probleme mit den beteiligten Zertifikaten oder der OAuth-Authentifizierung können die angestrebten Ziele vereiteln (OAuth am besten per Test-OAuthConnectivity Cmdlet überprüfen, für Details siehe https://docs.microsoft.com/en-us/exchange/configure-oauth-authentication-between-exchange-and-exchange-online-organizations-exchange-2013-help Abschnitt „How do you know this worked“). Und achten Sie auch darauf, dass beim Ausführen des Exchange-Hybridassistenten (HCW) keine alten Exchange-Server (Exchange 2010 und Vorgänger) mehr in der on-premise Exchange-Organisation vorhanden sind und Ihr Exchange-Server einen aktuellen Patchlevel aufweist. Starten Sie den HCW nicht von der on-premise EAC-Konsole aus, sondern von der Office 365 Exchange EAC Konsole, achten Sie auf die korrekten Berechtigungen des on-premise und des Office 365 Kontos beim Anmelden im HCW und prüfen sie nach dem Ausführen des HCW’s dessen Logdateien auf etwaige Probleme oder Fehler. Und verifizieren Sie, dass die WSSecurity-Authentifizierung am virtuellen EWS-Verzeichnis aktiviert ist.

Unterstützung

Dies ist nur ein kleiner Auszug aus den Hürden und Fallstricken einer on-premise AD- bzw. Exchange-Integration in MS Teams. Profitieren Sie von unseren Erfahrungen, gerne können Sie sich bei Fragen oder Problemen oder dem Wunsch nach Unterstützung an die CAIRO AG wenden.

Applikationsspezifischer Teams-Support, wenn die Infrastruktur funktioniert

Sollte Ihre „Infrastruktur“ bereits laufen, Sie aber Anwender-Schulungsbedarf oder Beratungswünsche bzgl. der Teams-Handhabung oder speziellen Teams-Anpassungsbedarf haben, dann stehen Ihnen gerne die Spezialisten unserer Tochtergesellschaft acoris (www.acoris.de) mit Rat und Tat zur Seite.