Vergangene Woche haben wir zwei neue Apps ins App Center eingestellt: Neben einem Konnektor zu Google Apps for Work gibt es dort nun auch einen Konnektor zu Microsoft Office 365. Im Folgenden möchte ich Ihnen kurz beschreiben, welche Vorteile er Ihnen bietet und wie Sie ihn am einfachsten konfigurieren und einsetzen.
Die korrespondierenden Informationen zum Konnektor zu Google Apps for Work finden Sie in diesem Blogartikel.
Microsoft, Google, Open-Xchange – die Liste der Anbieter von browsergestützten Office Lösungen wird immer länger. Office Produkte, die nicht auf dem Rechner installiert werden, sondern in „der Cloud“ laufen, haben vor allem zwei Vorteile: Sie erlauben besonders mobiles Arbeiten und sie Ersparen einer Firma eine Menge administrativen Aufwand.
Das lästige Pflegen von Lizenzlisten, das pünktliche Updaten der Software auf den Computern, Inkompatibilitäten zwischen Produkten verschiedener Versionen und das Kaufen von Lizenzen in zu großen oder zu kleinen Paketen gehört mit dem Online Office der Vergangenheit an.
Mit der Integration von Office 365 in UCS sparen sich Administratoren von nun an das zeitaufwändige Anlegen von Benutzerkonten in der Administrationsoberfläche von Microsoft: Dank des Konnektors können sie in der UMC beim betreffenden Nutzer oder der Nutzergruppe einfach einen Haken setzen und ein Microsoft Konto wird automatisch angelegt. Für die Benutzer bringt der Konnektor ebenfalls mehr Komfort, da sie sich dank Single Sign-On (SSO) lokal mit ihrem gewohnten Passwort bei UCS anmelden und anschließend sofort online in der Cloud arbeiten arbeiten können – ihr Passwort bleibt dabei im Unternehmensnetzwerk und wird nicht zum Cloud Dienst übertragen.
Damit UCS ohne Administratoreingriff Microsoft Benutzerkonten im Hintergrund bereitstellen kann, muss zuvor eine sichere Verbindung zu Microsofts Cloud konfiguriert werden, genauer gesagt zum Azure Active Directory (AAD). Dafür haben wir einen eigenen Wizard gebaut, der Sie bei der Einrichtung Schritt für Schritt durch den kompletten Vorgang begleitet.
Ist die Konfiguration abgeschlossen, kann der Administrator in der Univention Management Console (UMC) Benutzer auswählen und für sie Office 365 Konten anlegen, die diese anschließend ohne weitere Aufwände nutzen können.
Dafür werden ausgewählte Kontoattribute von den UCS Konten zu den Konten in Microsofts Cloud synchronisiert. Welche Attribute (Vorname, Nachname, Telefonnummer, etc.) synchronisiert werden, kann der Administrator über die UCR konfigurieren. Dabei kann er nicht nur bestimmen, welche Attribute synchronisiert werden, sondern auch, ob die Werte anonymisiert, statisch auf einen bestimmten Wert gesetzt oder korrekt kopiert werden sollen.
Installation
Für den Einsatz des Office 365 Konnektors wird ein Microsoft Office 365 Administratorkonto, ein entsprechendes Konto im AAD sowie eine von Microsoft verifizierte Domäne benötigt.
Die ersten beiden werden zu Testzwecken kostenlos von Microsoft bereitgestellt. Für das Konfigurieren des SSO wird jedoch eine eigene Internet-Domäne benötigt, in der TXT‑Records erstellt werden können.
Falls Sie noch keine Office 365 Subskription haben, gehen Sie zu www.office.com und wählen Sie den Bereich „kostenlos testen für Unternehmen“. Mit einem privaten Microsoft Konto kann keine Verbindung zu UCS hergestellt werden.
Loggen Sie sich mit Ihrem Office 365 Administratorkonto im Office 365 Admin Center ein und wählen Sie in der linken Navigationsleiste ganz unten „Azure AD“ aus. Dies wird ein neues Fenster mit dem Azure Management Portal öffnen. Möglicherweise müssen Sie hier weitere Registrierungsformulare ausfüllen.
Sie sollten nun ein eigenes Active Directory in Azure haben. Wählen Sie es aus und navigieren Sie zu „Domänen“. Hier können Sie Ihre eigene Domäne hinzufügen und verifizieren lassen. Dafür wird es nötig sein, einen TXT‑Record im DNS für Ihre Domäne zu erzeugen. Dieser Vorgang kann einige Minuten in Anspruch nehmen.
Nach erfolgreicher Erstellung wird für Ihre Domäne der „Status“ als „überprüft“ angezeigt. Nun können Sie die App im App Center installieren und den Wizard starten.
Benutzung
Nach Abschluss der Konfiguration ist der Konnektor sofort einsatzbereit. Aktivieren Sie nun für ein UCS Benutzerkonto Office 365, wird automatisch für diesen Nutzer ein eigenes Microsoft Konto angelegt und mit einer Lizenz versehen. Den Verbrauch und die Zuweisung von Lizenzen können Sie im Office 365 Admin Center einsehen.
Die Nutzer profitieren nun von den Single Sign-On Mechanismen in UCS. Der am Office Portal einzugebende Benutzername ist für aktivierte UCS Benutzer auf dem Reiter „Office 365“ ersichtlich. Hat man den Benutzernamen eingegeben, wird auf die UCS Single Sign-On Seite umgeleitet. Dort melden sich die Benutzer mit ihren UCS Zugangsdaten an und landen automatisch in der Office Umgebung und können direkt losarbeiten. Das Benutzerpasswort wird dabei nicht zu Microsoft übertragen. Noch schneller, sicherer und einfacher ist es, wenn Ihre User direkt auf der Überblicksseite Ihres UCS Servers starten.
Von dort landen sie nach einem Mausklick direkt auf der UCS Single Sign-On Seite und sparen sich so das doppelte Eingeben ihres Benutzernamens.
Einbahnstraße
Der Konnektor arbeitet nur in eine Richtung: Benutzer werden von UCS zum Microsoft Verzeichnis synchronisiert. Änderungen an Usern, die im Azure AD oder Office Portal vorgenommen werden, können durch Änderungen an den gleichen Attributen in UCS daher unter Umständen vom Konnektor überschrieben werden.
Leider kann der Konnektor aufgrund neuer Sicherheitsrichtlinien bei Microsoft keine Benutzer oder Gruppen im Azure AD löschen. Sie werden bei Deaktivierung der Office Option in UCS daher nur deaktiviert und umbenannt. Es werden ihnen alle Lizenzen entzogen, sodass diese für andere Benutzer zur Verfügung stehen und keine Kosten verursachen. Benutzer und Gruppen, deren Namen mit ZZZ_deleted_ anfangen, können Sie einfach im Office 365 Admin Center löschen.
Konfiguration
Microsoft verlangt zu wissen, in welchem Land die Benutzer des Office 365 Dienstes arbeiten. Der Konnektor nutzt dafür die Angabe des „Landes“ aus den Kontaktdaten des Benutzers oder, wenn nicht gesetzt, die Einstellungen des Servers. Ein 2-Zeichen-Kürzel wie DE kann aber fest mithilfe der UCR Variablen office365/attributes/usageLocation vorgegeben werden. Aus rechtlichen Gründen wird empfohlen, diese Variable zu setzen.
Für die UCS Benutzerkonten, bei denen Office 365 aktiviert wurde, werden entsprechende Konten im Microsoft Verzeichnis angelegt und ausgewählte Kontoattribute zu diesem synchronisiert. Über diverse UCR Variablen kann konfiguriert werden, was synchronisiert werden soll.
Über die UCR Variable office365/attributes/sync wird konfiguriert, welche LDAP Attribute (z. B. Vorname, Nachname, etc.) eines Benutzerkontos synchronisiert werden. Es handelt sich um eine kommaseparierte Liste von LDAP Attributen. Entfernen Sie die Attribute aus der Liste, die Sie nicht synchronisieren wollen oder leeren Sie sie komplett, um keine Daten außer dem Benutzernamen zu synchronisieren.
Änderungen an UCR Variablen werden erst nach dem Neustart des Listeners umgesetzt:
invoke-rc.d univention-directory-listener restart
Fortgeschrittene Konfiguration
Mit der UCR Variablen office365/attributes/anonymize können kommasepariert LDAP Attribute angegeben werden, die zwar bei Microsoft angelegt, jedoch mit Zufallswerten gefüllt werden. Die UCR Variablen office365/attributes/static/.* erlauben das Füllen von Attributen auf Microsoft Seite mit einem vordefinierten Wert.
Mit der UCR Variablen office365/attributes/never können kommasepariert LDAP Attribute angegeben werden, die nicht synchronisiert werden sollen, selbst wenn sie in office365/attributes/sync oder office365/attributes/anonymize auftauchen.
Die UCR Variablen office365/attributes/mapping/.* definieren eine Abbildung der UCS LDAP Attribute zu Azure Attributen. Diese Variablen müssen normalerweise nicht verändert werden.
Sie können die UCR Variable office365/groups/sync aktivieren, um die Gruppen der für Office 365 aktivierten Benutzer zu synchronisieren.
Wenn es Schwierigkeiten gibt, kann das Logfile helfen. Durch Aktivieren der UCR Variablen office365/debug/werror werden Debug-Ausgaben auf die „Error“-Stufe gehoben und erscheinen in /var/log/univention/listener.log.
Kommentare
Gerhard Prade
Muss der Master auf dem der Konnektor für Microsoft Office 365 installiert ist „von aussen“ erreichbar sein? Das wäre eine sicherheitstechnische Katastrophe.
Daniel Tröder
Hallo Herr Prade,
Sie können einen reverse-proxy für den Zugriff auf den Master konfigurieren: https://www.univention.com/2017/08/cool-solution-squid-as-reverse-ssl-proxy/
Am reverse-proxy können Sie feingranular den Zugriff einstellen.
Wenn Sie einen UCS-Slave als Reverse-Proxy verwenden, so kann dieser auch gleich für das Self-Service-Modul verwendet werden, um den Anwendern ein Passwort-Reset-via-Email/SMS anzubieten.
Das nicht-übertragen des Passworts an Microsoft ist zum einen Teil des Konzepts und zum anderen technisch nicht anders umzusetzen, da UCS selbst nur Hashes speichert und keine Klartextpasswörter.
Ihr Windows-Server könnte in die UCS-Domäne gejoint werden. Dann würden die UCS-Benutzer zu diesem synchronisiert und eine doppelte Pflege wäre nicht nötig.
Tatsächlich ist das Gewöhnen Ihrer Nutzer an das UCS-Portal (als Startseite? portal.schule.de) von Vorteil: wenn Sie dort neue Apps hinzufügen oder zu anderen migrieren, so finden Ihre Nutzer diese sofort von allein. Von dort werden Sie nach dem SSO-Login direkt zu Office365 weitergeleitet.
Bzgl. Office 365 und Schule ist evtl. dieser Blogbeitrag insteressant: https://www.univention.de/2017/09/datenschutzkonforme-einfuehrung-von-office-365-fuer-die-fuldaer-schulen/
Beste Grüße
Daniel Tröder