Kennen Sie eigentlich schon unseren Microsoft Office 365 Connector? Wenn Sie Microsoft Office 365 benutzen und gleichzeitig höchsten Wert auf den Schutz Ihrer Daten legen, sollten Sie unsere App unbedingt ausprobieren.
Ortsunabhängiges Arbeiten ist überhaupt erst durch die Cloud möglich und effektiv geworden, aber der administrative Aufwand, was die Einbindung und Pflege aller Nutzer betrifft, kann horrend sein. Obendrein ist das Thema Datenschutz bei Clouddiensten eine heikle Angelegenheit. Lernen Sie deshalb in diesem Beitrag, welche konkreten Vorteile Ihnen unser Connector bietet und wie Sie ihn einfach installieren können.
Für die Visuellen unter Ihnen haben wir außerdem unsere kurze Einführung zum Microsoft Office 365 Connector frisch aktualisiert auf YouTube bereitgestellt.
Zentrale Kontrolle über alle Identitäten
Durch den Connector und das in UCS integrierte Identitäts- und Zugriffsmanagement können Sie ganz einfach sämtliche Nutzer, die u. a. Office 365 benutzen, zentral in UCS, ohne doppelten Aufwand verwalten. Das heißt, Sie müssen nicht mehr Benutzerkonten innerhalb von Microsoft Azure/Office-Admin erstellen. Setzen Sie in der UMC einfach einen Haken beim betreffenden Nutzer oder der Nutzergruppe und das System legt Ihnen automatisch ein Microsoft Konto an.
Single Sign-On mit Authentifizierung via UCS
Diese App erspart nicht nur den Administratoren wertvolle Zeit, sondern vereinfacht auch Ihren Mitarbeitern das Leben, indem sie sich dank Single Sign-On bequem mit ihrem üblichen UCS Passwort anmelden. Anschließend können sie sofort Office 365 nutzen.
Der große Vorteil für Sie ist wiederum, dass alle Passwörter im Unternehmen bleiben und die Authentifizierung des Benutzers gegenüber dem Clouddienst am eigenen UCS-System vorgenommen wird. Nichts, dass Sie nicht wollen, gelangt also in die Microsoft Cloud. Dies ist u. a. auch von herausragender Wichtigkeit für Schulen. Lesen Sie hierzu einen spannenden Erfahrungsbericht aus Fulda:
Automatisierter Verbindungsaufbau zu Microsoft Azure
Selbstverständlich ist es UCS erst möglich, Microsoft Benutzerkonten ohne Administratoreneingriff im Hintergrund bereitzustellen, nachdem in UCS eine sichere Verbindung zur Microsofts Cloud konfiguriert wurde, genauer gesagt zum Azure Active Directory (AAD). Um das zu erleichtern, haben wir für Sie einen Wizard gebaut, der Sie am Anfang der Connector-Installation Schritt für Schritt durch den gesamten Vorgang begleitet.
Ist die Konfiguration abgeschlossen, können Sie als Administrator Benutzer in der Univention Management Console (UMC) auswählen und für sie Office 365 Konten anlegen, die diejenigen dann anschließend per Single Sign-on nutzen können.
Nur ausgewählte Attribute der UCS Benutzerkonten, also Vorname, Nachname, Telefonnumer, etc. werden von den UCS Konten in die Microsoft Cloud synchronisiert. Über die Univention Configuration Registry (UCR) entscheiden Sie selbst, welche das sind. Ebenfalls bestimmen Sie dort auch, ob die Werte anonymisiert, statisch auf einen bestimmten Wert gesetzt oder korrekt kopiert werden sollen.
Voraussetzungen für die Installation
Für den Einsatz des Office 365 Connectors benötigen Sie ein Microsoft Office 365 Administratorkonto, ein entsprechendes Konto im AAD sowie eine von Microsoft verifizierte Domäne. Microsoft stellt hierbei die ersten beiden kostenlos für Testzwecke zur Verfügung. Für das Konfigurieren des SSO brauchen Sie jedoch eine eigene Internet-Domäne, in der Sie TXT-Records erstellen können.
Sollten Sie noch keine Office 365 Subskription haben, gehen Sie zu https://www.office.com/ und wählen ganz unten „Kostenlos testen“ aus. Mit einem privaten Microsoft Konto kann keine Verbindung zu UCS hergestellt werden.
Sobald Sie diese haben, loggen Sie sich mit Ihrem Office 365 Administratorkonto im Office 365 Admin Center ein und wählen Sie in der linken Navigationsleiste ganz unten „Azure AD“ aus. Sie gelangen dann über ein neues Fenster ins Azure Management Portal. Möglicherweise müssen Sie hier weitere Registrierungsformulare ausfüllen.
Am Ende sollten Sie nun ein eigenes Active Directory in Azure haben. Wählen Sie es aus und navigieren Sie zu „Domänen“. Ihre eigene Domäne können Sie hier hinzufügen und verifizieren lassen. Dafür müssen Sie einen TXT-Record im DNS für Ihre Domäne erzeugen, was einige Minuten dauern wird.
Ist alles erfolgreich verlaufen, wird für Ihre Domäne der Status „überprüft“ angezeigt. Jetzt können Sie den Microsoft Office 365 Connector im App Center installieren und den Wizard starten. Sie können ihn dabei auf einem DC Master oder Backup installieren.
Benutzung des Connectors
Nach der Konfiguration können Sie den Connector sofort einsetzen. Sobald Sie Office 365 für ein UCS Benutzerkonto freischalten, wird für diesen Nutzer automatisch ein eigenes Microsoft Konto angelegt und mit einer Lizenz versehen.
Sämtliche Informationen über den Verbrauch und die Zuweisung aller Lizenzen können Sie im Office 365 Admin Center einsehen.
Ihre Nutzer erhalten den schnellsten Zugang direkt über ihre eigene UCS Portalseite. Dort klicken sie einfach auf das Office 365 Symbol und landen dann direkt auf der UCS Single Sign-On Seite. So sparen sie sich das doppelte Eingeben ihres Benutzernamens. Das Benutzerpasswort wird dabei, wie gesagt, nicht zu Microsoft übertragen.
One Way Sync
Der Connector arbeitet nur von UCS in Richtung Office. Das heißt, Benutzer werden nur von UCS zum Microsoft Verzeichnis synchronisiert und nicht andersherum.
Achtung: Änderungen an Usern, die Sie im Azure AD oder Office Portal vornehmen, können unter Umständen durch Änderungen an denselben Attributen in UCS vom Connector überschrieben werden.
Leider kann der Connector aufgrund neuer Sicherheitsrichtlinien bei Microsoft keine Benutzer oder Gruppen im Azure AD löschen. Sie werden bei Deaktivierung der Office Option in UCS daher in Azure nur deaktiviert und umbenannt. Es werden ihnen alle Lizenzen entzogen, sodass diese für andere Benutzer zur Verfügung stehen und keine Kosten verursachen. Benutzer und Gruppen, deren Namen mit ZZZ_deleted_ anfangen, können Sie einfach im Office 365 Admin Center löschen.
Wichtiges für die Konfiguration
Microsoft verlangt zu wissen, in welchem Land die Benutzer des Office 365 Dienstes arbeiten. Der Connector nutzt dafür die Angabe des „Landes“ aus den Kontaktdaten des Benutzers oder, wenn nicht gesetzt, die Einstellungen des Servers. Ein 2-Zeichen-Kürzel wie DE kann aber fest mithilfe der UCR Variablen office365/attributes/usageLocation vorgegeben werden. Aus rechtlichen Gründen empfehlen wir diese Variable zu setzen.
Für die UCS Benutzerkonten, bei denen Office 365 aktiviert wurdeFür die UCS Benutzerkonten, bei denen Office 365 aktiviert wurde, werden entsprechende Konten im Microsoft Verzeichnis angelegt und ausgewählte Kontoattribute zu diesem synchronisiert. Über diverse UCR Variablen können Sie konfigurieren, was synchronisiert werden soll.
Über die UCR Variable office365/attributes/sync wird konfiguriert, welche LDAP Attribute (z. B. Vorname, Nachname, etc.) eines Benutzerkontos synchronisiert werden. Es handelt sich um eine kommaseparierte Liste von LDAP Attributen. Entfernen Sie die Attribute aus der Liste, die Sie nicht synchronisieren wollen oder leeren Sie sie komplett, um keine Daten außer dem Benutzernamen zu synchronisieren.
Änderungen an UCR Variablen werden erst nach dem Neustart des Listeners umgesetzt:
service univention-directory-listener restart
Konfiguration für Fortgeschrittene
Mit der UCR Variablen office365/attributes/anonymize können kommasepariert LDAP Attribute angegeben werden, die zwar bei Microsoft angelegt, jedoch mit Zufallswerten gefüllt werden. Die UCR Variablen office365/attributes/static/.* erlauben Ihnen das Füllen von Attributen auf Microsoft Seite mit einem festen, vordefinierten Wert.
Mit der UCR Variablen office365/attributes/never können Sie kommasepariert LDAP Attribute angeben, die nicht synchronisiert werden sollen, selbst wenn sie in office365/attributes/sync oder office365/attributes/anonymize auftauchen.
Die UCR Variablen office365/attributes/mapping/.* definieren eine Abbildung der UCS LDAP Attribute zu Azure Attributen. Diese Variablen müssen Sie normalerweise nicht verändern.
Sie können die UCR Variable office365/groups/sync aktivieren, um die Gruppen der für Office 365 aktivierten Benutzer zu synchronisieren.
Wenn es Schwierigkeiten geben sollte, kann Ihnen das Logfile helfen. Durch Aktivieren der UCR Variablen office365/debug/werror werden Debug-Ausgaben auf die „Error“-Stufe gehoben und erscheinen in /var/log/univention/listener.log.
Weitere Artikel, die Sie interessieren könnten:
Einmalige Anmeldung für alle Dienste und Netzwerke per Single Sign-on
Kommentare
Ettore Atalan
„Microsoft Office 365 benutzen“ und „höchsten Wert auf den Schutz Ihrer Daten legen“ schließt sich gegenseitig aus. Daran ändert auch ein Wundertool von Univention nichts.
Daniel Tröder
Datenschutzbedenken sind bei der Nutzung aller Online-Angebote immer berechtigt. Darum geht es aber hier nicht.
Die Aussage hier ist, dass wenn Office 365 eingesetzt wird, dass die Verwendung des UCS-Konnektors die Situation verbessern kann.
Er erlaubt es die Daten die über den Anwender selbst übertragen werden (Real name, Username, Adresse etc) zu anonymisieren oder zumindest zu pseudonymisieren. Das Passwort der Anwender wird sogar gar nicht übertragen.
Dies stellt – unabhängig davon was die User später hochladen – einen faktischen und sehr erheblichen Gewinn an Datenschutz dar.