ORIN THOMAS ist Principal Cloud Advocate bei Microsoft. Er hat für Microsoft Press mehr als drei Dutzend Bücher zu Themen wie Windows Server, Windows Client, Azure, Office 365, System Center, Exchange Server, Sicherheit und SQL Server geschrieben. Er ist Autor von Azure Architecture-Kursen bei Pluralsight und hat mehrere Microsoft Official Curriculum- und EdX-Kurse zu einer Vielzahl von IT-Pro-Themen verfasst. Sie können ihm auf Twitter unter http://twitter.com/orinthomas folgen.
Zu diesem Buch – sowie zu vielen weiteren dpunkt.büchern – können Sie auch das entsprechende E-Book im PDF-Format herunterladen. Werden Sie dazu einfach Mitglied bei dpunkt.plus+: www.dpunkt.plus |
Original Microsoft Prüfungstraining MS-100
Orin Thomas
Orin Thomas
Übersetzung: Rainer G. Haselier
Lektorat: Sandra Bollenbacher
Copy-Editing: Petra Heubach-Erdmann, Düsseldorf
Satz: Gerhard Alfes, mediaService, Siegen, www.mediaservice.tv
Herstellung: Stefanie Weidner
Umschlaggestaltung: Helmut Kraus, www.exclam.de
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie;
detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
ISBN:
978-3-86490-898-9 |
|
978-3-96910-751-5 |
|
ePub |
978-3-96910-752-2 |
mobi |
978-3-96910-753-9 |
1. Auflage 2022
Translation Copyright für die deutschsprachige Ausgabe © 2022 dpunkt.verlag GmbH
Wieblinger Weg 17
69123 Heidelberg
Authorized translation from the English language edition, entitled EXAM REF MS-100 MICROSOFT 365 IDENTITY & SERVICES 2nd Edition by Orin Thomas published by Pearson Education, Inc, publishing as Microsoft Press
© 2022 by Pearson Education, Inc.
All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from Pearson Education, Inc.
ISBN of the English language edition: 978-0-13-746905-5
German language edition published by DPUNKT VERLAG GMBH, Copyright © 2022.
Hinweis:
Dieses Buch wurde auf PEFC-zertifiziertem Papier aus nachhaltiger Waldwirtschaft gedruckt. Der Umwelt zuliebe verzichten wir zusätzlich auf die Einschweißfolie.
Schreiben Sie uns:
Falls Sie Anregungen, Wünsche und Kommentare haben, lassen Sie es uns wissen: hallo@dpunkt.de.
Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen. Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen. Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autor noch Verlag noch Übersetzer können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buches stehen.
5 4 3 2 1 0
Einführung
Aufbau des Buches
Wie Sie dieses Buch für die Prüfungsvorbereitung verwenden
Microsoft-Zertifizierungen
Schneller Zugriff auf Onlinematerialien
Errata, Updates und Support
Wir wollen von Ihnen hören
Bleiben Sie am Ball
Kapitel 1
Microsoft 365-Dienste entwerfen und implementieren
Prüfungsziel 1.1: Planen der Architektur
Planen der Integration von Microsoft 365 und von lokalen Umgebungen
Ermitteln des Teams für die Bereitstellung von Workloads
Planen einer Identitäts- und Authentifizierungslösung
Planen der Modernisierung von Unternehmensanwendungen
Prüfungsziel 1.2: Bereitstellen eines Microsoft 365-Mandanten
Verwalten von Domänen
Konfigurieren von Organisationseinstellungen
Vervollständigen des Organisationsprofils
Hinzuziehen eines Microsoft-Partners oder Arbeiten mit Microsoft FastTrack
Vervollständigen des Assistenten zur Einrichtung von Abonnements
Planen und Erstellen eines Mandanten
Bearbeiten des Organisationsprofils
Planen und Erstellen von Abonnements
Konfigurieren von mandantenweiten Workload-Einstellungen
Prüfungsziel 1.3: Verwalten des Microsoft 365-Abonnements und des Mandantenstatus
Verwalten von Warnungen zum Dienststatus
Erstellen eines internen Notfallplans bei Dienstunterbrechungen
Überwachen des Dienststatus
Überwachen der Lizenzzuweisungen
Konfigurieren und Überprüfen von Berichten
Planen und Überprüfen von Sicherheits- und Compliance-Berichten
Planen und Überprüfen von Nutzungsmetriken
Prüfungsziel 1.4: Planen der Migration von Benutzern und Daten
Identifizieren der zu migrierenden Daten und der Migrationsmethoden
Identifizieren der zu migrierenden Benutzer und Postfächer und der Migrationsmethoden
Planen der Migration von lokalen Benutzern und Gruppen
Importieren von PST-Dateien
Gedankenexperiment
Antworten zum Gedankenexperiment
Kapitelzusammenfassung
Kapitel 2
Benutzeridentität und Rollen verwalten
Prüfungsziel 2.1: Entwerfen einer Identitätsstrategie
Anforderungen und Lösungen für die Synchronisierung evaluieren
Anforderungen und Lösungen für das Identitätsmanagement evaluieren
Anforderungen und Lösungen für die Authentifizierung evaluieren
Prüfungsziel 2.2: Planen der Identitätssynchronisierung mit Azure AD Connect
Entwerfen der Verzeichnissynchronisation
Bereinigung bestehender Active Directory-Objekte
Implementieren der Verzeichnissynchronisation mit Verzeichnisdiensten, Verbunddiensten und Azure-Endpunkten unter Verwendung von Azure AD Connect
Prüfungsziel 2.3: Verwalten der Identitätssynchronisierung mit Azure Active Directory
Konfigurieren der Verzeichnissynchronisierung mit Azure AD Connect
Voraussetzungen der lokalen Active Directory-Umgebung
Installieren von Azure AD Connect
Überwachen des Status von Azure AD Connect
Verwalten der Azure AD Connect-Synchronisierung
Konfigurieren von Objektfiltern
Konfigurieren der Kennworthashsynchronisierung
Implementieren von AD Connect-Szenarien mit mehreren Gesamtstrukturen
Prüfungsziel 2.4: Verwalten von Azure AD-Identitäten
Planen von Azure AD-Identitäten
Implementieren und Verwalten der Azure AD-Self-Service-Kennwortzurücksetzung
Verwalten von Zugriffsprotokollen
Verwalten von Gruppen
Verwalten von Kennwörtern
Verwalten von Produktlizenzen
Verwalten von Benutzern
Verwalten von Benutzern per Massenvorgang
Prüfungsziel 2.5: Verwalten von Benutzerrollen
Planen von Benutzerrollen
Verwalten von administrativen Rollen
Rollen für Workloads zuweisen
Verwalten von Rollenzuweisungen mit Azure AD
Gedankenexperiment
Antworten zum Gedankenexperiment
Kapitelzusammenfassung
Kapitel 3
Zugriff und Authentifizierung verwalten
Prüfungsziel 3.1: Verwalten der Authentifizierung
Entwerfen einer Authentifizierungsmethode
Konfigurieren der Authentifizierung
Implementieren einer Authentifizierungsmethode
Verwalten der Authentifizierung
Überwachen der Authentifizierung
Prüfungsziel 3.2: Planen und Implementieren des sicheren Zugriffs
Entwerfen einer Lösung für bedingten Zugriff
Implementieren von Zugriffspaketen
Implementieren von Azure AD Identity Protection
Verwalten des bedingten Zugriffs
Entwerfen einer Lösung für die mehrstufige Authentifizierung
Implementieren und Sichern des Zugriffs für Gastbenutzer und externe Benutzer
Prüfungsziel 3.3: Konfigurieren des Zugriffs auf Anwendungen
Konfigurieren der Anwendungsregistrierung in Azure AD
Konfigurieren des Azure AD-Anwendungsproxys
Veröffentlichen von Unternehmensanwendungen in Azure AD
Gedankenexperiment
Antworten zum Gedankenexperiment
Kapitelzusammenfassung
Kapitel 4
Planen von Office 365-Workloads und -Anwendungen
Prüfungsziel 4.1: Planen der Bereitstellung von Microsoft 365-Apps
Planen der Microsoft-Konnektivität
Verwalten der Microsoft 365-Apps
Planen von Office Online
Bewerten der Kompatibilität mithilfe von Desktop Analytics
Planen der Microsoft 365 App-Kompatibilität
Verwalten von Office 365 Software-Downloads
Planen von Updates für Microsoft-Apps
Planen von Microsoft Telemetrie und Protokollen
Prüfungsziel 4.2: Planen der Bereitstellung von Messaging-Lösungen
Planen der Migrationsstrategie
Planen der Messaging-Bereitstellung
Identifizieren von hybriden Anforderungen
Planen der Konnektivität
Planen des E-Mail-Routings
Planen von E-Mail-Domänen
Prüfungsziel 4.3: Planen von Microsoft SharePoint Online und OneDrive for Business
Planen der Migrationsstrategie
Planen der Einstellungen für externes Teilen
Identifizieren von hybriden Anforderungen
Verwalten von Zugriffskonfigurationen
Verwalten von Microsoft 365-Gruppen
Verwalten von SharePoint-Mandanten- und Websiteeinstellungen
Verwalten von OneDrive for Business
Prüfungsziel 4.4: Planen der Infrastruktur für Microsoft Teams
Planen der Kommunikations- und Gesprächsqualität und -kapazität
Planen des Telefonsystems
Planen der Microsoft Teams-Bereitstellung
Planen der Organisationseinstellungen von Microsoft Teams
Planen des Gast- und externen Zugriffs
Planen der hybriden Konnektivität und Koexistenz von Microsoft Teams
Teams-Cmdlets
Prüfungsziel 4.5: Planen der Integration von Microsoft Power Platform
Implementieren des Microsoft Power Platform Center of Excellence (CoE)-Starterkits
Planen von Power Platform-Workload-Bereitstellungen
Planen der Ressourcenbereitstellung
Planen von Konnektivität (und Datenfluss)
Verwalten von Umgebungen
Verwalten von Ressourcen
Gedankenexperiment
Antworten zum Gedankenexperiment
Kapitelzusammenfassung
Index
Schwerpunkte der Prüfung MS-100 sind fortgeschrittene Themen, die von den Kandidaten ausgezeichnete Kenntnisse der Microsoft 365-Identitäts- und Dienstfunktionen verlangen. Ein Teil der Prüfung bezieht sich auf Themen, mit denen selbst erfahrene Microsoft 365-Administratoren nur selten in Berührung kommen, es sei denn, sie sind Berater, die regelmäßig neue Microsoft 365-Mandanten einrichten. Um diese Prüfung erfolgreich zu bestehen, müssen die Kandidaten nicht nur wissen, wie man Microsoft 365-Identitäten und -Dienste verwaltet, sondern auch, wie man Microsoft 365 in eine lokale Active Directory-Umgebung integriert. Außerdem müssen sie sich über neue Entwicklungen bei Microsoft 365 auf dem Laufenden halten, einschließlich neuer Funktionen und Änderungen an der Benutzeroberfläche.
Kandidaten für diese Prüfung sind IT-Fachleute, die ihre fortgeschrittenen Fähigkeiten in der Verwaltung von Microsoft 365-Identitäten und -Diensten sowie ihre Konfigurationsfähigkeiten und Kenntnisse nachweisen möchten. Um diese Prüfung zu bestehen, benötigen die Kandidaten ein umfassendes Verständnis für den Entwurf und die Implementierung von Microsoft 365-Diensten, die Verwaltung von Benutzeridentitäten und -rollen, die Verwaltung des Zugriffs und der Authentifizierung sowie für die Schritte, die mit der Planung von Office 365-Workloads und -Anwendungen verbunden sind. Um die Prüfung zu bestehen, benötigen sie ein gründliches theoretisches Verständnis sowie sinnvolle praktische Erfahrungen bei der Implementierung der betreffenden Technologien.
Diese Ausgabe des Buches deckt Microsoft 365 und die Ziele der MS-100-Prüfung Mitte 2021 ab. Mit der Weiterentwicklung der Microsoft 365-Suite ändern sich auch die Microsoft 365-Prüfungsziele. Sie sollten daher sorgfältig prüfen, ob sich seit der Erstellung dieser Ausgabe des Buches Änderungen ergeben haben, und entsprechend lernen.
Dieses Buch behandelt alle Themen, die in der Prüfung vorkommen können, jedoch wird nicht jede Prüfungsfrage behandelt. Nur das Microsoft-Team hat Zugang zu den Prüfungsfragen. Außerdem ändert Microsoft regelmäßig die Prüfungsfragen, was es unmöglich macht, spezifische Fragen zu behandeln. Sie sollten dieses Buches daher als Ergänzung Ihrer wichtigen Erfahrungen aus dem echten Leben und zu weiteren Studienmaterialien betrachten. Falls Sie in diesem Buch einem Thema begegnen, in dem Sie sich noch nicht zu Hause fühlen, können Sie die Links in den Abschnitten Weitere Informationen verwenden, um weiterführende Informationen zu finden. Nehmen Sie sich dann die Zeit, das Thema weiter zu untersuchen und zu studieren. Ausgezeichnete Informationen finden Sie im Microsoft Developer Network (MSDN), auf Microsoft TechNet sowie in Blogs und Foren.
Dieses Buch ist anhand der Prüfungsziele und Fähigkeiten organisiert, die für diese Prüfung veröffentlicht wurde. Sie finden die Übersichten der Prüfungsziele/Fähigkeiten für alle Prüfungen auf der Microsoft Learning-Website unter https://www.microsoft.com/de-de/learning/exam-list.aspx. Jedes Kapitel dieses Buches entspricht einem der aufgeführten Haupthemen und jede technische Aufgabe innerhalb eines Themas findet sich im Aufbau des betreffenden Kapitels wieder. Da die Prüfung MS-100 vier Hauptthemen abdeckt, enthält dieses Buch vier Kapitel.
Die Prüfungen und Zertifizierungen bestätigen Ihre Berufserfahrungen und Ihre Produktkennnisse. Verwenden Sie dieses Microsoft-Prüfungstraining, um Ihr Verständnis der in der Prüfung abgefragten Fähigkeiten zu überprüfen und um zu beurteilen, ob Sie die Prüfung erfolgreich absolvieren können. Ermitteln Sie die Themen, in denen Sie sich gut auskennen, sowie die Bereiche, in denen Sie weitere Erfahrungen und zusätzliches Wissen benötigen. Um Ihr Wissen in bestimmten Bereichen aufzufrischen, finden Sie im Buch zahlreiche »Weitere-Informationen-Abschnitte«, die Links enthalten, die Sie zu ausführlicheren Informationen außerhalb dieses Buches bringen.
Das Microsoft-Prüfungstraining ist kein Ersatz für praktische Erfahrungen. Das Buch wurde nicht mit dem Ziel entwickelt, Ihnen neue Fähigkeiten beizubringen.
Wir empfehlen Ihnen, zur Vorbereitung auf die Zertifizierungsprüfung eine Kombination aus den verfügbaren Studienmaterialen und Kursen vorzubereiten. Weitere Informationen über herkömmliche Präsenztrainings oder einen der neuen offiziellen Microsoft On-Demand-Kurse finden Sie auf https://www.microsoft.com/learning. Für zahlreiche Prüfungen stehen auch englischsprachige offizielle Microsoft-Praxistests zur Verfügung: https://aka.ms/practicetests.
Beachten Sie, dass dieses Prüfungstraining auf den öffentlich zugänglichen Informationen und den Erfahrungen des Autors basiert. Um die Integrität der Prüfung zu gewährleisten, haben die Autoren keinen Zugang zu den Prüfungsfragen.
Mit Microsoft-Zertifizierungen können Sie sich von anderen unterscheiden und belegen, dass Sie eine breite Palette an Kenntnissen und Erfahrungen mit den aktuellen Microsoft-Produkten und -Technologien besitzen. Die Prüfungen und die zugehörigen Zertifizierungen wurden entwickelt, um zu bestätigen, dass Sie die entscheidenden Kompetenzen beherrschen, um in der Infrastruktur sowohl vor Ort als auch in der Cloud Lösungen mit Microsoft-Produkten und -Technologien zu planen, zu entwickeln, zu implementieren und zu unterstützen. Die Zertifizierung bringt sowohl dem Einzelnen als auch Mitarbeitern und Unternehmen zahlreiche Vorteile.
WEITERE INFORMATIONEN |
Alle Microsoft-Zertifizierungen |
Weiterführende Informationen über Microsoft-Zertifizierungen, einschließlich einer Liste der verfügbaren Zertifizierungen, finden Sie unter https://www.microsoft.com/de-de/learning.
Im Verlauf dieses Buches finden Sie an zahlreichen Stellen Links zu Webseiten, die der Autor empfiehlt und auf denen Sie weiterführende Informationen finden. Ein Teil dieser Adressen (URLs) ist recht lang; daher ist es etwas mühselig, sie in Ihren Browser einzugeben. Daher haben wir alle Adressen in einer Liste zusammengetragen, die Sie als Leser der gedruckten Edition des Buches verwenden können, während Sie das Buch lesen.
Sie können diese Linkliste hier herunterladen: https://dpunkt.de/ms-100.
Diese Linkliste ist nach Kapiteln und Überschriften organisiert. Immer dann, wenn Sie beim Lesen auf eine URL stoßen, suchen Sie in der Liste nach dem Hyperlink, klicken Sie ihn an und gehen Sie so direkt zu der betreffenden Webseite.
Wir haben uns sehr um die Richtigkeit der in diesem Buch enthaltenen Informationen bemüht. Fehler, die seit der Veröffentlichung der englischen Originalausgabe des Buches bekannt geworden sind, werden auf der Microsoft Press-Website aufgelistet:
https://microsoftpressstore.com/ExamRefMS1002e/errata
Sollten Sie einen Fehler finden, der noch nicht aufgeführt ist, würden wir uns freuen, wenn Sie uns auf dieser Seite darüber informieren (in englischer Sprache).
Falls Sie zusätzlichen Support benötigen, können Sie sich an den englischsprachigen Buchsupport von Microsoft Press wenden. Sie erreichen ihn unter dieser E-Mail-Adresse: mspinput@microsoft.com.
Mit Anmerkungen, Fragen oder Verbesserungsvorschlägen zu diesem Buch können Sie sich aber auch an den dpunkt.verlag wenden: hallo@dpunkt.de.
Bitte beachten Sie, dass über diese E-Mail-Adressen kein Software- oder Hardware-Support angeboten wird. Für Supportinformationen bezüglich der Software- und Hardwareprodukte von Microsoft besuchen Sie bitte die Microsoft-Website http://support.microsoft.com.
Bei Microsoft Press steht Ihre Zufriedenheit an oberster Stelle. Daher ist Ihr Feedback für uns sehr wichtig, Lassen Sie uns auf dieser englischsprachigen Website wissen, wie Sie dieses Buch finden;
https://aka.ms/tellpress
Wir wissen, dass Sie viel zu tun haben. Darum finden Sie auf der Webseite nur wenige Fragen. Ihre Antworten gehen direkt an das Team von Microsoft Press. (Es werden keine persönlichen Informationen abgefragt.) Im Voraus vielen Dank für Ihre Unterstützung.
Über Ihr Feedback per E-Mail freut sich außerdem der dpunkt.verlag über hallo@dpunkt.de.
Falls Sie News, Updates usw. zu Microsoft Press-Büchern erhalten möchten, wir sind auf Twitter (https://twitter.com/dpunkt_verlag), Facebook (https://www.facebook.com/dpunkt.verlag) und Instagram (https://www.instagram.com/dpunkt.verlag).
Auch wenn es möglich ist, einfach mit der Bereitstellung von Microsoft 365 zu beginnen, nachdem Ihr Unternehmen die Entscheidung getroffen hat, diese Technologie einzusetzen, können Sie mehr aus einer Microsoft 365-Bereitstellung herausholen, wenn Sie einige Planungs- und Entwurfsarbeiten durchführen, bevor Sie Microsoft 365-Dienste konfigurieren. In diesem Kapitel erfahren Sie mehr über die Planung einer Microsoft 365-Architektur, über die Bereitstellung eines Microsoft 365-Mandanten und über die Konfiguration dieses Mandanten und der Abonnements. Außerdem lernen Sie die Schritte kennen, die Sie unternehmen müssen, um die Migration von Benutzern und Daten aus einer herkömmlichen lokalen Umgebung in eine Microsoft 365-Umgebung zu planen.
In diesem Kapitel abgedeckte Prüfungsziele:
Dieser Abschnitt befasst sich mit der Planung Ihrer Microsoft 365-Architektur. Um diese Qualifikation zu beherrschen, müssen Sie verstehen, wie Sie die Integration Ihrer bestehenden lokalen Umgebung mit Microsoft 365 planen, Ihr Bereitstellungsteam identifizieren, die zu verwendende Identitäts- und Authentifizierungslösung bestimmen und die Modernisierung Ihrer Unternehmensanwendung planen.
Dieser Abschnitt behandelt die folgenden Themen:
Wenn Sie eine Migration zu Microsoft 365 planen oder von Grund auf neu mit einer Bereitstellung beginnen, müssen Sie sicherstellen, dass bestimmte Voraussetzungen für die lokale Infrastruktur erfüllt sind. Diese Anforderungen an die lokale Infrastruktur beziehen sich auf die Netzwerkkonfiguration, Identitätsabhängigkeiten, Clientbetriebssysteme und die Bereitstellung von Microsoft 365 Apps for Enterprise. Außerdem müssen Sie Entscheidungen bezüglich der Strategie für die Verwaltung mobiler Geräte und den Datenschutz treffen.
Herkömmliche Netzwerke bieten Benutzern Zugriff auf Daten und Anwendungen, die in Rechenzentren gehostet werden, die sich im Besitz des Unternehmens befinden und von diesem betrieben werden und die durch starke Schutzmechanismen wie Firewalls geschützt sind. In diesem traditionellen Modell greifen die Benutzer in erster Linie über geschützte interne Netzwerke von Zweigstellen aus über WAN-Verbindungen oder aus der Ferne über VPN-Verbindungen auf Ressourcen zu.
Die Modelle Microsoft 365 und Office 365 verlagern einige (wenn nicht sogar alle) Anwendungen und Daten von geschützten internen Netzwerken an Standorte, die außerhalb des Umkreisnetzwerkes in der öffentlichen Cloud gehostet werden. Beim Wechsel von einer Umgebung, in der alle Ressourcen vor Ort gehostet werden, zu einer Umgebung, in der sich ein erheblicher Teil der Infrastruktur in der Cloud befindet, muss die Netzwerkumgebung vor Ort so konfiguriert sein, dass Microsoft 365 effektiv und effizient arbeiten kann. Wenn keine Schritte unternommen werden, um den Datenverkehr zwischen Benutzern und den Microsoft 365- oder Office 365-Diensten zu optimieren, wird dieser Datenverkehr erhöhten Latenzzeiten ausgesetzt sein, die durch Paketprüfung, Netzwerk-Hairpinning und mögliche unbeabsichtigte Verbindungen zu geografisch weit entfernten Microsoft 365- und Office 365-Dienst-Endpunkten verursacht werden.
Wenn Sie die Netzwerkanforderungen für Microsoft 365 verstehen, können Sie auch beurteilen, ob Microsoft 365 für eine bestimmte Organisation geeignet ist. So wäre es beispielsweise eine Herausforderung, Microsoft 365 in einer wissenschaftlichen Basis in der Antarktis bereitzustellen, wo nur eine begrenzte Internetverbindung mit geringer Bandbreite zur Verfügung steht.
Um Microsoft 365 nutzen zu können, müssen die Clients in der Lage sein, über die Ports 80 und 443 nicht authentifizierte Verbindungen zu den Office 365- und Microsoft 365-Servern im Internet herzustellen. Bei manchen Netzwerken, insbesondere denen kleinerer Unternehmen, können die folgenden Nerzwerkverbindungsprobleme auftreten:
Ein Microsoft 365- oder Office 365-Endpunkt ist eine URL oder IP-Adresse, die einen bestimmten Microsoft 365- oder Office 365-Dienst hostet. Beispiele sind die Adressen, die verwendet werden, wenn ein Outlook-Client mit Exchange Online oder ein mobiles Gerät mit einem Endpunkt zur Geräteregistrierung verbunden wird. Organisationen mit einem oder mehreren Bürostandorten muss ihr Netzwerk so konfiguriert sein, dass der Zugriff auf diese Endpunkte möglich ist.
Microsoft empfiehlt, dass Unternehmen den Datenverkehr für Microsoft 365- und Office 365-Endpunkte optimieren, indem sie den gesamten Datenverkehr direkt durch die Perimeter-Firewall leiten und diesen Datenverkehr von der Prüfung und Verarbeitung auf Paketebene ausnehmen. Auf diese Weise wird die Latenz bei der Verbindung mit Microsoft 365- und Office 365-Ressourcenendpunkten reduziert. Außerdem werden die Auswirkungen auf diese Perimeter-Geräte reduziert, die den Datenverkehr zu bekannten vertrauenswürdigen Standorten ignorieren.
Microsoft teilt jeden Microsoft 365- und Office 365-Endpunkt in eine von drei Kategorien ein. Anhand dieser Kategorien können Sie bestimmen, wie Sie den Datenverkehr zu Microsoft 365- und Office 365-Endpunkten am besten behandeln. Die Endpunkte der Kategorien sind wie folgt:
Microsoft gibt Empfehlungen für die Konfiguration des Verkehrsflusses zu Endpunkten. Diese Empfehlungen sind in Tabelle 1–1 aufgeführt.
Endpunktkategorie(n) |
Empfehlung |
Optimieren |
Umgehung von Optimieren-Endpunkten auf Netzwerkgeräten und Diensten, die Abfangen von Datenverkehr, SSL-Entschlüsselung, umfassende Paketüberprüfung (Deep Packet Inspection) und Inhaltsfilterung ausführen. |
Optimieren |
Umgehen Sie firmeninterne und cloudbasierte Proxy-Geräte oder -Dienste, die für das allgemeine Surfen im Internet verwendet werden. |
Optimieren |
Priorisieren Sie die Auswertung dieser Endpunkte als vollständig vertrauenswürdig durch Ihre Netzwerkinfrastruktur und Perimetersysteme. |
Optimieren |
Reduzieren oder eliminieren Sie das WAN-Backhauling. Erleichterung des direkten verteilten Internetzugangs für Endpunkte von Zweigstellen aus. |
Optimieren |
Konfigurieren Sie getrennte Tunnel für VPN-Benutzer, um direkte Konnektivität zu diesen Cloud-Endpunkten zu ermöglichen. |
Optimieren |
Konfigurieren Sie die Priorisierung für Endpunkte bei der Konfiguration von softwaredefinierten Wide Area (SD-WAN), um Latenzzeiten und Routing zu minimieren. |
Optimieren |
Stellen Sie sicher, dass die durch die DNS-Namensauflösung (Domain Name System) zurückgegebenen IP-Adressen dem Routing-Ausgangspfad für diese Endpunkte entsprechen. |
HINWEIS
In der Vergangenheit hat Microsoft andere Endpunktkategorien als die hier aufgeführten verwendet, und zwar erforderlich und optional. Einige Dokumentationen beziehen sich immer noch auf diese früher verwendeten Endpunktkategorien.
WEITERE INFORMATIONEN |
Endpunktkategorien |
Weitere Informationen über die verschiedenen Microsoft 365- und Office 365-Endpunktkategorien finden Sie unter folgender Adresse: https://docs.microsoft.com/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide.
Clients, wie beispielsweise Computer, auf denen Windows 10 ausgeführt wird, müssen in der Lage sein, über bestimmte Protokolle und Ports Verbindungen zu Office 365-Servern im Internet herzustellen. Falls bestimmte Ports und Protokolle durch eine Perimeter-Firewall blockiert werden, können die Clients bestimmte Microsoft 365- und Office 365-Dienste nicht nutzen. Tabelle 1–2 führt die Protokolle und Ports auf, die für Clients in einem internen Netzwerk geöffnet sein müssen, damit sie Verbindungen zu den Hosts im Internet herstellen können.
Protokoll |
Port |
Verwendet von |
TCP |
443 |
Microsoft 365 Admin Portal Outlook Outlook Web App SharePoint Online Skype for Business-Client ADFS-Verbund ADFS-Proxy |
TCP |
25 |
Mail-Routing |
TCP |
587 |
SMTP-Relay |
TCP |
143/993 |
IMAP Simple Migration Tool |
TCP |
80/443 |
Microsoft Azure Active Directory Synchronisierungstool Exchange Verwaltungskonsole Exchange Verwaltungsshell |
TCP |
995 |
Sicheres POP3 |
PSOM/TLS |
443 |
Skype for Business Online: Ausgehende Datenfreigabe |
STUN/TCP |
443 |
Skype for Business Online: Ausgehende Video-, Audio- und Anwendungsfreigabesitzungen |
STUN/UDP |
3478 |
Skype for Business Online: Ausgehende Video- und Audiositzungen |
UDP |
3478–3481 |
Teams |
TCP |
5223 |
Skype for Business Online: Push-Benachrichtigungen für mobile Clients |
UDP |
20000–45000 |
Skype for Business Online: Ausgehende Telefonate |
RTC/UDP |
50000–59000 |
Skype for Business Online: Ausgehende Video- und Audiositzungen |
Die Anzahl der IP-Adressen und URLs, die Sie für den Ausschluss konfigurieren müssen, ist erheblich, und eine vollständige Liste würde den Rahmen dieses Buches sprengen. Die URLs und IP-Adressbereiche, die mit Microsoft 365 und Office 365 verbunden sind, ändern sich ständig. Sie können einen REST-basierten Webdienst abonnieren, der eine Liste der Endpunkte bereitstellt, einschließlich der aktuellen Version der Liste und der Änderungen, die an der Liste vorgenommen wurden, um sie für die Konfiguration von Netzwerk-Perimeter-Geräten, einschließlich Firewalls und Proxyservern, zu verwenden.
WEITERE INFORMATIONEN |
Microsoft 365-Endpunkte verwalten |
Weitere Informationen über die Verwaltung von Microsoft 365-Endpunkten finden Sie unter folgender Adresse: https://docs.microsoft.com/de-de/microsoft-365/enterprise/managing-office-365-endpoints?view=o365-worldwide.
Eine Möglichkeit, die Verbindungslatenz zu verringern, besteht darin, die Netzwerke der Zweigstellen für lokale DNS- und ausgehende Internetverbindungen zu konfigurieren, anstatt den gesamten DNS- und ausgehenden Internetverkehr über eine WAN-Verbindung zur Hauptniederlassung zu leiten, bevor er in das Internet geleitet wird. Das Routing des internetgebundenen Datenverkehrs von Zweigstellen über ein WAN, bevor er wieder ins Internet gelangt, wird als WAN-Backhauling bezeichnet. Es ist besonders wichtig, dies beim Microsoft 365- und Office 365-Datenverkehr in der Kategorie Optimieren zu vermeiden.
Microsoft 365- und Office 365-Dienste werden im globalen Microsoft-Netzwerk ausgeführt. Dieses Netzwerk ist mit Servern auf der ganzen Welt konfiguriert. Daher gibt es höchstwahrscheinlich in der Nähe jeder Zweigstelle einen Front-End-Server. Wird der Datenverkehr über ein WAN geleitet, anstatt ihn direkt von der Zweigstelle ausgehen zu lassen, führt dies zu unnötigen Latenzzeiten.
Der DNS-Verkehr zu Microsoft 365- und Office 365-Endpunkten sollte ebenfalls in der Zweigstelle abgewickelt werden. Dadurch wird sichergestellt, dass DNS-Server mit dem nächstgelegenen lokalen Front-End-Server antworten. Wenn DNS-Anfragen über WAN-Verbindungen weitergeleitet werden und nur über einen einzigen Standort der Hauptniederlassung laufen, werden die Clients zu den Front-End-Servern geleitet, die dem Standort der Hauptniederlassung am nächsten sind, und nicht zu der Niederlassung, von der die DNS-Anfrage stammt.
Netzwerk-Hairpins treten auf, wenn VPN- oder WAN-Verkehr, der für einen bestimmten Endpunkt bestimmt ist, zunächst einen Zwischenstandort passieren muss, z. B. ein Sicherheitsgerät, ein cloudbasiertes Web-Gateway oder einen Cloud-Access-Broker, was zu einer Umleitung an einen geografisch entfernten Standort führen kann. Nehmen wir zum Beispiel an, ein Unternehmen namens Tailwind Traders hat eine australische Niederlassung, der gesamte Datenverkehr zu Microsoft 365- und Office 365-Endpunkten muss jedoch über ein cloudbasiertes Sicherheitsgerät in einem Rechenzentrum in Kanada laufen. Diese Konfiguration wird höchstwahrscheinlich zu unnötigen Latenzen führen. Selbst wenn der Datenverkehr der Zweigstelle lokal abgewickelt wird, wirkt sich dies negativ auf die Leistung aus, wenn er über einen geografisch weit entfernten Zwischenstandort geleitet wird.
Zu den Möglichkeiten, das Risiko von Netzwerk-Hairpins zu minimieren, gehören die folgenden:
SD-WAN-Geräte (Software-defined Wide Area Network) sind Netzwerkgeräte, die automatisch so konfiguriert werden können, dass der Datenverkehr am effizientesten an Microsoft 365- und Office 365-Endpunkte in den Kategorien Optimieren und Zulassen weitergeleitet wird. Wenn sie konfiguriert sind, kann der übrige Netzwerkverkehr – einschließlich des Datenverkehrs zu lokalen Workloads, des allgemeinen Internetverkehrs und des Datenverkehrs zu Microsoft 365- und Office 365-Standardendpunkten – an geeignete Stellen weitergeleitet werden, einschließlich Netzwerksicherheitsgeräten. Microsoft hat ein Partnerprogramm für SD-WAN-Anbieter, um die automatische Konfiguration von Geräten zu ermöglichen.
WEITERE INFORMATIONEN |
Prinzipien von Microsoft 365-Netzwerkverbindungen |
Weitere Informationen über die Prinzipien von Microsoft 365-Netzwerkverbindungen finden Sie unter folgender Adresse: https://docs.microsoft.com/microsoft-365/enterprise/microsoft-365-network-connectivity-principles.
Zahlreiche Faktoren beeinflussen die Netzwerkbandbreite, die ein Unternehmen für den erfolgreichen Einsatz von Microsoft 365 benötigt. Zu diesen Faktoren gehören:
WEITERE INFORMATIONEN |
Ermitteln der Bandbreitenanforderungen |
Weitere Informationen über die Bandbreitenplanung für Microsoft 365 finden Sie unter folgender Adresse: https://docs.microsoft.com/microsoft-365/enterprise/network-and-migration-planning.
ExpressRoute für Office 365 bietet eine private Hochgeschwindigkeitsverbindung zwischen dem lokalen Netzwerk eines Unternehmens und den Rechenzentren von Microsoft. Clients, die das lokale Netzwerk einer Organisation nutzen, in dem ExpressRoute für Office 365 vorhanden ist, werden automatisch über die ExpressRoute geleitet; dieser Datenverkehr läuft dann nicht über das Internet. Wenn eine Organisation bereits über eine Azure ExpressRoute-Schaltung verfügt, kann sie den Zugriff auf Office 365 aktivieren, indem sie Routenfilter konfiguriert, um sicherzustellen, dass Microsoft 365-Dienste verfügbar sind.
WEITERE INFORMATIONEN |
ExpressRoute für Office 365 |
Weitere Informationen über ExpressRoute für Office 365 finden Sie unter folgender Adresse: https://docs.microsoft.com/microsoft-365/enterprise/network-planning-with-expressroute.
Eine Microsoft 365 Enterprise-Lizenz umfasst eine Lizenz für das Betriebssystem Windows 10 Enterprise Edition. Im Rahmen der Einführung von Microsoft 365 muss sichergestellt werden, dass auf allen Windows-Client-Computern diese Edition des Windows 10-Betriebssystems ausgeführt wird.
Organisationen, die über eine bestehende Windows-Client-Bereitstellung verfügen, sollten ein In-Place-Upgrade mit Microsoft Endpoint Configuration Manager (früher System Center Configuration Manager) oder Microsoft Deployment Toolkit durchführen. Configuration Manager (Current Branch) bietet Organisationen die am besten automatisierte Methode für das Upgrade und die Migration bestehender Computer von früheren Versionen des Windows-Client-Betriebssystems auf Windows 10.
Organisationen, die neue Computer mit Windows 10 Enterprise Edition Version 1703 oder höher bereitstellen, können Windows Autopilot verwenden, um den Bereitstellungs- und Konfigurationsprozess auszulösen, indem sie sich mit ihren Schul- oder Arbeitskonto anmelden. Organisationen, die die Pro-Edition verwenden, können Windows Autopilot auch dazu nutzen, um diese Computer automatisch auf die Enterprise-Edition zu aktualisieren.
WEITERE INFORMATIONEN |
Microsoft 365 und Windows 10 Enterprise |
Weitere Informationen über den Zusammenhang zwischen Microsoft 365 und Windows 10 Enterprise Edition finden Sie unter folgender Adresse: https://docs.microsoft.com/windows/deployment/deploy-m365.
Bei der Planung der Datenschutzstrategie Ihres Unternehmens für Microsoft 365 ist der erste und vielleicht wichtigste Schritt, sich mit den Rechts- und Compliance-Teams Ihres Unternehmens in Verbindung zu setzen, um festzustellen, welchen Compliance-Standards das Unternehmen unterliegt, z. B. der General Data Protection Regulation (GDPR) oder dem Health Insurance Portability and Accountability Act (HIPAA). Nachdem Sie die spezifischen Compliance-Standards oder -Vorschriften ermittelt haben, an die sich Ihr Unternehmen halten muss, müssen Sie die folgenden Fragen beantworten:
Microsoft 365 ermöglicht es Unternehmen, ihre eigenen Sicherheits- und Schutzstufen zu entwickeln. Auch wenn es möglich ist, eine verwirrende Anzahl von Sicherheitsstufen für den Informationsschutz zu erstellen, erhöht dies die Komplexität für Endbenutzer, die versuchen zu verstehen, welche Stufe angemessen ist, und für Compliance-Mitarbeiter, die feststellen müssen, ob die angemessene Stufe ausgewählt wurde.
Microsoft empfiehlt, dass Unternehmen mindestens drei verschiedene Sicherheitsstufen für den Informationsschutz vorsehen. Je höher die Sicherheitsstufen für den Informationsschutz, desto besser sind die Daten geschützt, aber desto schwieriger wird es für die Benutzer, mit diesen Daten zu interagieren. Nur für den Zugriff auf die vertraulichsten Daten sollte ein Benutzer bei jedem Öffnen eines Dokuments eine mehrstufige Authentifizierung (MFA) durchlaufen müssen. Microsoft schlägt die folgenden Stufen vor:
Klassifizierungsschemata ermöglichen es Ihnen, bestimmten Informationen, wie z. B. einem Dokument oder einer E-Mail-Nachricht, eine Informationsschutzstufe zuzuweisen. Microsoft 365 enthält die folgenden Klassifizierungsschemata:
Bei der Planung Ihrer Microsoft 365-Informationsschutzstrategie müssen Sie über die Informationsklassifizierung, die Aufbewahrungsrichtlinien und den Informationsschutz hinausgehen. Sie müssen außerdem zusätzliche Microsoft 365-Sicherheitstechnologien aktivieren. Zu diesen Technologien gehören die folgenden: