Ein Leitfaden für Entscheider

So gelingt die Migration auf Office 365

30. September 2015
Peter Haupt zählt zu den führenden Office 365-Experten in Deutschland. Als Geschäftsführer der utilitas GmbH berät er CIOs und CFOs großer Unternehmen bei der Wirtschaftlichkeitsbewertung und der Einführung von Office 365. Die Aufgabenschwerpunkte seines Teams in großen Office 365 Projekten liegen dabei insbesondere bei der Einhaltung von Kosteneinsparungszielen.
Soll von einer bestehenden Infrastruktur auf Office 365 umgestiegen werden, gilt es einige Punkte zu beachten. Wer bei der Planung und Umsetzung die Tücken kennt, erreicht ausfallfrei die ersten Etappen.

Kaum ein Unternehmen startet mit Office 365Office 365 auf der grünen Wiese, der Standardeinstieg erfolgt in der Regel über einen Parallelbetrieb per Hybrid-Architektur. Bei der Umsetzung sind wichtige Hürden zu meistern - wie Einbindung in das lokale Active Directory, Umstellung auf Click-to-Run-Technik der Office-Suite und Exchange-Migration. Wer bei der Planung und Umsetzung die Tücken kennt, erreicht ausfallfrei die ersten Etappen. Alles zu Office 365 auf CIO.de

Das Leitmotiv bei Cloud-Diensten heißt "Anmelden und Loslegen", und auch Microsoft verspricht bei Office 365 einen Einstieg ohne übliche IT-Hürden. Doch in der Praxis ist dieses Idealszenario nur selten anzutreffen, beispielsweise bei neu gegründeten Unternehmen ohne IT-Altlasten. Sobald bereits IT-Infrastruktur vorhanden ist, sind für den Start in Office 365 eine Reihe von konzeptionellen Vorüberlegungen hinsichtlich der Architektur und der Projektplanung zu treffen, um einen Umstieg sauber und unterbrechungsfrei hinzubekommen.

Schrittweise in die Cloud mit Hybrid-Architektur

Grundsätzlich führt in den meisten Fällen der einzig sinnvolle Weg über eine "Hybrid-Architektur". Gemeint ist damit ein paralleler Betrieb von bereits vorhandenen Servern im Unternehmen mit den neuen Cloud-Services von Office 365. Ein solches Nebeneinander der beiden Welten hilft dabei, um Schritt für Schritt die bestehenden Anwendungen von den existierenden Servern in die Cloud-Rechenzentren umzuziehen. Durch den parallelen Betrieb verringern sich die Migrationsrisiken und der organisatorische Aufwand bleibt in überschaubaren Grenzen.

Doch wer auf Hybrid umsteigt, muss sich über eine einschneidende Änderung im Klaren sein: Da es sich hierbei um zwei voneinander unabhängigen Systeme handelt, ist auch ständig eine doppelte Benutzeranmeldung erforderlich. Mitarbeiter empfinden das als lästig, aber am härtesten trifft es den Support, der mit enorm steigenden Problemfällen bei Anmeldungen zu rechnen hat.

Risiken bei Single-Sign-On und ADFS vermeiden

Als Lösung bietet sich Single-Sign-On an, um in Hybridumgebungen eine simple Systemanmeldung mit einer einheitlichen Benutzerkennung und einem Passwort zu ermöglichen. Microsoft bietet dafür den Active Directory Federation Service (ADFS) als lokal installierten Verzeichnisdienst an. Dieser leitet Authentifizierungsanfragen über das lokale Active Directory an Cloud-Dienste weiter und nimmt dem Anwender Mehrfachanmeldungen ab.

Die Krux dabei ist allerdings, dass hier eine eigenverwaltete Komponente den Single-Point-of-failure bildet. Fällt ADFS aus, so ist keine Anmeldung an den Cloud-Servern mehr möglich, womit alle Vorteile einer externen, ausfallsicheren Systemumgebung wieder passee wären. Um solche Ausfälle einer Schlüsselkomponente zu verhindern, haben Unternehmen die Wahl zwischen zwei Optionen:

  • Entweder betreiben Sie den ADFS-Dienst intern mit entsprechendem Aufwand und ausreichender Redundanz,

  • oder aber sie beziehen Single-Sign-On als externen Managed Service, wie ihn inzwischen ein paar spezialisierte Microsoft-Partner anbieten.

Bei kleineren Unternehmen, die den Aufwand für Single-Sign-On nicht betreiben wollen, kommt noch ein weiterer, von Microsoft angebotener Lösungsweg in Frage. So lassen sich Passwörter zwischen dem lokalen Active Directory und Office 365 automatisch synchronisieren, geschützt durch einen Hash. Damit entfällt das ständige Eingeben von Kennwörtern, lediglich die Anmeldedialoge bekommen die Benutzer noch zu sehen.

Zur Startseite