Richtig umsteigen auf Office 365: Statt mit Big-Bang schrittweise migrieren über Hybrid und ADFS

„Mit der Cloud wird die geschäftliche IT einfacher und effizienter“ – so lautet das Versprechen auch bei Office 365. Doch selbst wenn die Richtungsentscheidung im Unternehmen gefallen ist, steht auf der Reise dorthin meist eine bestehende IT-Infrastruktur „im Weg“. Weder wirtschaftlich noch technisch vernünftig wäre dabei eine Big-Bang-Umstellung. Stattdessen ermöglicht Microsoft verschiedenste Formen des Parallelbetriebs, bei dem neue Cloud-Dienste schrittweise mit der klassischen Vor-Ort-IT zusammenwachsen oder Teile davon ersetzen. Bei der Umsetzung eines solchen „Hybrid-Modells“ sind jedoch einige Hürden zu meistern – wie beispielsweise die Einbindung in das lokale Active Directory, die Umstellung auf Click-to-Run-Verteilung der Office-Clients sowie die Exchange-Migration. Wie eine solcher Umstieg sauber und unterbrechungsfrei gelingt, und welche Tücken und Besonderheiten zu beachten sind, erklärt folgender Beitrag.

1. Aufbau Hybrid für den schrittweisen Cloud-Umstieg

Mit dem Hybrid-Betrieb können Microsoft-Partner auch die vom Hersteller garantierten SLAs erweitern.
Mit dem Hybrid-Betrieb können Microsoft-Partner auch die vom Hersteller garantierten SLAs erweitern.

Grundsätzlich führt in den meisten Fällen der einzig sinnvolle Weg über eine „Hybrid-Architektur“. Gemeint ist damit ein paralleler Betrieb von bereits vorhandenen Servern im Unternehmen mit den neuen Cloud-Services von Office 365. Ein solches Nebeneinander der beiden Welten hilft dabei, um Schritt für Schritt die bestehenden Anwendungen von den existierenden Servern in die Cloud-Rechenzentren umzuziehen. Durch den parallelen Betrieb verringern sich die Migrationsrisiken und der organisatorische Aufwand bleibt in überschaubaren Grenzen.

Doch wer auf Hybrid umsteigt, muss sich über eine einschneidende Änderung im Klaren sein: Da es sich hierbei um zwei voneinander unabhängigen Systeme handelt, ist auch ständig eine doppelte Benutzeranmeldung erforderlich. Mitarbeiter empfinden das als lästig, aber am härtesten trifft es den Support, der mit enorm steigenden Problemfällen bei Anmeldungen zu rechnen hat.

2. Ausfallrisiken vermeiden bei Single-Sign-On und ADFS

Als Lösung bietet sich Single-Sign-On an, um in Hybridumgebungen eine simple Systemanmeldung mit einer einheitlichen Benutzerkennung und einem Passwort zu ermöglichen. Microsoft bietet dafür den Active Directory Federation Service (ADFS) als lokal installierten Verzeichnisdienst an. Dieser leitet Authentifizierungsanfragen über das lokale Active Directory an Cloud-Dienste weiter und nimmt dem Anwender Mehrfachanmeldungen ab.

Wichtig beim Umstieg auf Office 365 ist die Einrichtung von Single Sign On, um die Benutzer-Akzeptanz zu gewährleisten. Eine Schlüsselrolle spielen dabei Active Directory Federation Services (ADFS), die idealerweise von einem Microsoft-Partner betreiben werden sollten.
Wichtig beim Umstieg auf Office 365 ist die Einrichtung von Single Sign On, um die Benutzer-Akzeptanz zu gewährleisten. Eine Schlüsselrolle spielen dabei Active Directory Federation Services (ADFS), die idealerweise von einem Microsoft-Partner betreiben werden sollten.

Die Krux dabei ist allerdings, dass hier eine eigenverwaltete Komponente den Single-Point-of-failure bildet. Fällt ADFS aus, so ist keine Anmeldung an den Cloud-Servern mehr möglich, womit alle Vorteile einer externen, ausfallsicheren Systemumgebung wieder passee wären. Um solche Ausfälle einer Schlüsselkomponente zu verhindern, haben Unternehmen die Wahl zwischen zwei Optionen:

  • Entweder betreiben Sie den ADFS-Dienst intern mit entsprechendem Aufwand und ausreichender Redundanz,
  • oder aber sie beziehen Single-Sign-On als externen Managed Service, wie ihn inzwischen ein paar spezialisierte Microsoft-Partner anbieten.

Bei kleineren Unternehmen, die den Aufwand für Single-Sign-On nicht betreiben wollen, kommt noch ein weiterer, von Microsoft angebotener Lösungsweg in Frage. So lassen sich Passwörter zwischen dem lokalen Active Directory und Office 365 automatisch synchronisieren, geschützt durch einen Hash. Damit entfällt das ständige Eingeben von Kennwörtern, lediglich die Anmeldedialoge bekommen die Benutzer noch zu sehen.

3. Pferdefuß neue Office-Verteilung per ‚Click-to-Run‘

Ein weiterer „Pferdefuß“ beim Office 365-Umstieg lauert im neuen Click-to-run-Verfahren zur Softwareverteilung, das für die Installation von Office-2013-Anwendungen zum Einsatz kommt. Die Tragweite dieser Thematik ist insofern groß, da Microsoft derzeit sehr viele Unternehmen über den Lockvogel „günstigere Office-Client-Lizenzen“ in das Abo-Modell ködert. Der Preisvorteil ist gegenüber den klassischen Lizenzen wie Enterprise Agreement tatsächlich signifikant. Was jedoch viele dabei nicht beachten: Mit der Lizenz ändert sich auch die Technik der Softwareverteilung, anstelle der altbekannten MSI-Installer-Methode kommt die neue, inkrementelle Verteilmethode Click-to-Run zum Einsatz. Dabei müssen folgende Gesichtspunkte beachtet werden:

a) Office 365-Lizenzmodell erzwingt Office-Neuinstallation

[genericon icon=quote size=3x]Was viele übersehen: Mit der Cloud-Lizenz ändert sich auch die Technik der Softwareverteilung. Statt der altbekannten MSI-Installer-Methode kommt das neue Click-to-Run zum Einsatz.

Viele Microsoft-Kunden steigen auf das Office 365-Abomodell um, lassen aber die bereits installierten Office-Anwendungen unangetastet. Damit verstoßen sie gegen die Lizenzbedingungen von Microsoft, die eine Neuinstallation der Anwendungen per Click-to-Run verlangen.

b) Sind Sie über-oder unterlizenziert?

Nach dem alten Lizenzmodell müssen Unternehmen stets selbst dafür Sorge tragen, dass alle Arbeitsplätze korrekt lizenziert sind. Sind zu wenige Lizenzen vorhanden, drohen die berüchtigten Audits. Verfügt man über zu viele Lizenzen, wirft man unnötig Geld für Software raus.

Click-to-Run beendet dieses Dilemma, indem die Software-Verteilung und -verwaltung in ständiger Verbindung mit den Microsoft-Servern steht. So kennt Microsoft jede Lizenz und jeden Arbeitsplatz und rechnet entsprechend ab, Fehllizenzierungen können nicht mehr passieren.

c) Immer mit der neuesten Office-Version

Die Office-Clients als Teil eines Office 365-Vertrags erfordern eine Umstellung der Verteilung auf die Click-to-Run-Technik. Hierbei sind wegen der automatischen Verteilung von Updates neue Test- und Rollout-Verfahren zu beachten.
Die Office-Clients als Teil eines Office 365-Vertrags erfordern eine Umstellung der Verteilung auf die Click-to-Run-Technik. Hierbei sind wegen der automatischen Verteilung von Updates neue Test- und Rollout-Verfahren zu beachten.

Click-to-Run-Anwendungen prüfen beim Start stets, ob Updates verfügbar sind und aktualisieren sich selbständig. Damit bleiben die Kunden auch bei einem Release-Wechsel immer auf dem neuesten Versionsstand.

d) Besser umstellen auf interne Softwareverteilung

Was komfortabel klingt, birgt für Unternehmen allerdings auch einige Risiken. So kann es im Fall nicht getesteter Updates schon mal vorkommen, dass die eigenen Office-Add-Ons oder auf Office basierende Applikationen von einem Tag auf den anderen nicht mehr funktionieren.

Um das zu verhindern und Kunden eine kontrollierte Verteilung zu ermöglichen, lassen sich auch Click-to-Run-Anwendungen in die klassische Softwareverteilung integrieren. So kann ein Administrator beispielsweise mit Systemcenter Pakete erstellen und diese abgekoppelt von Microsoft nach einem internen Test- und Verteilplan ausrollen.

4. Exchange-Migration: Besser Hybrid statt Big Bang

Migration von Exchange Server auf Office 365: Teile der lokalen Infrastruktur sollten weiterhin im Unternehmen bleiben, um die Administration zu vereinfachen.
Migration von Exchange Server auf Office 365: Teile der lokalen Infrastruktur sollten weiterhin im Unternehmen bleiben, um die Administration zu vereinfachen.

Ein separater Themenblock bei der Migration auf Office 365 ist noch die Umstellung des E-Mail-Systems auf Exchange-Server. Zwar wird E-Mail gerne als Commodity bezeichnet, und die E-Mail-Migration als triviale Aufwärmübung für den Cloud-Einstieg dargestellt. Doch von einem „Big-Bang“- Komplettumzug auf Exchange Online ist dringend abzuraten. Denn schließlich bilden E-Mail, Termine, Adressen und Aufgaben eine unternehmenskritische Funktion, ohne die heute viele Betriebe lahm gelegt wären.

Die Herausforderung beim Wechsel vom lokalen Exchange-Server in eine Hybridumgebung liegt dabei in der Komplexität, die im Verbund mit anderen Geschäftsanwendungen entsteht. Wenn beispielsweise das SAP-System Mails verschickt, oder ein Online-Shop Bestellbestätigungen aussendet, und solche Verknüpfungen auch noch schlecht dokumentiert sind, kann eine Migration im Chaos enden. Durch Hybrid-Konstellationen lassen sich solche Szenarien vermeiden.

5. Inkompatibilität bei abweichende Patch-Stände vermeiden

Ein weiterer Stolperstein sind abweichende Release- und Patch-Stände, die sich im Zuge einer Migration durch die Aktualisierung einzelner Exchange-Server ergeben können. Je nach Kombination sind hier Störungen von Schnittstellen möglich, die sich ebenfalls auf Business-Anwendungen auswirken.
Schließlich spricht für die Beibehaltung einer teilweise lokalen Exchange-Infrastruktur in vielen Fällen auch noch die vorhandene Exchange-Konsole. Über sie wird das Gesamtsystem verwaltet, und auch nach einer Umstellung auf eine Hybrid-Umgebung ist es oft sinnvoll, diese Konstellation beizubehalten.