Nach Hafnium ist vor…??? – Zeit für mehr Sicherheit mit Azure Sentinel

Durch die fortschreitende Digitalisierung und die immer steigende Komplexität der Informationstechnologie müssen auch die Administratoren sich immer wieder neuen Herausforderungen stellen. Die Daten der Unternehmen müssen vor fortschrittlicheren Cyber-Bedrohungen oder Schwachstellen in der eingesetzten Software (z.B. Exchange-Server und der HAFNIUM-Exploit vor kurzer Zeit) weiter fachkundig geschützt werden. Bei Problemen oder Sicherheitsvorfällen müssen in großen Mengen Logdaten gesichert und gesichtet werden. Meist war an dieser Stelle aber schon alles zu spät, die Administratoren im reaktiven Arbeits-Modus. Die Auswertungen nehmen Wochen oder Monate in Anspruch. Daher ist es in der heutigen Zeit noch wichtiger geworden, die Sicherheit der IT-Infrastruktur proaktiv im Blick zu behalten. Aber wie?

Im diesem Blog-Beitrag wollen wir eine Möglichkeit vorstellen, mit der diese reaktive Arbeit auf relativ einfache Art und Weise weitestgehend automatisiert werden kann: Azure Sentinel – der Cloud-basierten SIEM (Security Information Event Management)- und SOAR (Security Orchestration Automated Response)-Lösung von Microsoft.

Azure Sentinel wird von Microsoft seit 2019 angeboten und als Dienst innerhalb der Azure-Plattform betrieben. Auf dieser Basis ist mit einem aktiven Azure-Konto die schnelle Installation und der einfache Betrieb der Lösung möglich. Weitere Investitionen in Hard- und/oder Software sind nicht nötig. Die Abrechnung der genutzten Ressourcen (z.B. Log-Speicherplatz etc.) erfolgt, wie in Azure gewohnt, entweder nutzungsbasiert oder auf Basis von zuvor festgelegten Kontingenten.

Für die grundsätzliche Funktion sammelt und aggregiert die SIEM-Komponente fortwährend Logdaten, die in der gesamten IT-Infrastruktur des Unternehmens generiert werden. Dabei spielt es keine Rolle, ob die Daten von Systemen und Anwendungen aus der Cloud (auch Clouds anderer Anbieter) oder der lokalen Infrastruktur erzeugt und Azure Sentinel zugeführt werden. Mit den dafür genutzten Monitoring-Agenten auf Linux- oder Windows-Servern können auf gleichem Wege die Logdaten von Netzwerk- und Sicherheitsgeräten wie Firewalls oder dem Endpoint-Schutz gesammelt werden. Innerhalb dieser Datenmenge werden über Analyse-Regeln sicherheitskritische Vorfälle und Ereignisse identifiziert, kategorisiert und analysiert. Für die Erkennung werden unter anderem auch die im Mitre ATT&CK-Framework (https://attack.mitre.org/matrices/enterprise/) aufgeführten Angriffs-Taktiken und -Techniken genutzt. Erkannte Bedrohungen, Anomalien oder Angriffe werden automatisch innerhalb von Azure Sentinel als Incidents angelegt und damit zum weiteren Handeln der IT-Administration übergeben. Diese Administratoren können nun über die erstellten Incidents auf umfangreiche Details der Vorfälle zurückgreifen. Hier werden die beteiligten Objekte im Einzelnen aufgeführt und zusätzlich in einer Übersichtgrafik dargestellt, so dass Zusammenhänge schnell erfasst werden können.

In der Praxis bietet Azure Sentinel dafür schon von Haus aus eine Vielzahl von vorkonfigurierten oder individuell anpassbaren Daten-Konnektoren, mit denen auf einfache Weise die nötigen Daten strukturiert gesammelt werden können. Viele Konnektoren haben dieselben Datenquellen, so dass z.B. im Bereich der Server nur ein zu installierender Monitoring-Agent auf Windows- oder Linux-Systemen unterschiedliche Daten sammelt – egal ob sie in der Cloud oder lokal betrieben werden.

Azure Sentinel bietet aber standardmäßig nicht nur die Daten-Konnektoren an, sondern auch weitere Bausteine:

  • Analyseregel-Vorlagen zum Auswerten der Logdaten mit intelligenten KI-Algorithmen und maschinellem Lernen
  • Arbeitsmappen zur Visualisierung der Logdaten
  • Thread-Hunting-Regeln zur aktiven Suche von Sicherheitsbedrohungen
  • Analyse des Benutzer- und Entity-Verhaltens für zuverlässige, handlungsrelevante Informationen zu den Vorfällen

Um dann aber auch automatisiert auf die durch SIEM erkannten Sicherheitsbedrohungen zu reagieren geht die SOAR-Komponente einen weiteren Schritt: Azure Sentinel bietet dafür die sogenannten Playbooks an. Durch die bereits integrierten Konnektoren zu unterschiedlichen externen Systemen könne über Trigger und Aktionen auch komplexere Szenarien abgebildet werden, wenn durch SIEM ein Vorfall gemeldet wird. Hier z.B. eine Reaktion auf einen eventuell kompromittierten Benutzer:

Dieser Beitrag kann nur einen groben Überblick über das breite Leistungsspektrum von Azure Sentinel liefern. Haben wir Ihr Interesse für diesen zusätzlichen, proaktiven Schutz Ihrer IT geweckt? Dann sprechen Sie uns gerne für weitere Informationen oder eine Live-Demo in Azure Sentinel an. Gehört Microsoft 365 / Microsoft Azure bereits zu Ihrer IT-Infrastruktur, dann bieten wir Ihnen gerne auch einen individuellen Proof-of-concept direkt in Ihrer IT-Umgebung an.

Die michael wessel auf der HANNOVER MESSE

Die Wertschöpfungskette immer im Fokus, eine hohe Tech-Affinität und immer innovativ. Eigenschaften, die (mindestens) zwei verbinden: Die HANNOVER MESSE und die michael wessel.
Und so wundert es kaum, dass wir in diesem Jahr auf der ersten digitalen HANNOVER MESSE als Aussteller vertreten sind, spannende Produkte wie unseren „Cloud Migration Check“ präsentieren und uns auf viele neue Kontakte freuen.

Die HANNOVER MESSE ist im Jahr 2021 weiterhin die führende Industriemesse und zieht Jahr für Jahr internationale Großkonzerne und lokale Industrielle gleichermaßen an. Erst 2017 wurde mit 225.000 Besuchern ein neuer Rekord verzeichnet und als rein digitale Veranstaltung ist die Erwartungshaltung selbstverständlich ebenfalls hoch.

Die diesjährige Messe steht ganz im Zeichen der „Industrial Transformation“. Vordenker der Industrie werden spannende neue Technologien u.a. im Bereich AI präsentieren. Stets ein Bestandteil ist der elementar wichtige Baustein „IT“. Doch neben technischen Neuerungen wird die HANNOVER MESSE auch zwei weitere wichtige Themen behandeln: Nachhaltigkeit und „WomanPower“. Für beide Bereiche sind großartige Vorträge geplant!

Auch wenn es an einigen Stellen weiterhin etwas hakt: Die Digitalisierung schreitet kontinuierlich voran. Industrie 4.0, New Work, Cloud und Automatisierung – Begriffe die inzwischen nicht mehr nur auf Messen oder vergleichbaren Veranstaltungen zum allgemeinen Sprachgebrauch gehören. Bei Partnern wie der michael wessel erhält der Mittelstand das notwendige Know-how um Schritt zu halten.

Damit das auch so bleibt, werden wir neben der eigenen Ausstellung selbstverständlich ebenfalls die interessanten Vorträge der ExpertInnen besuchen und die Messe für die eigene Weiterbildung nutzen.

Wenn Sie uns oder weitere Aussteller besuchen möchten, dann können wir Ihnen gerne ein kostenfreies Ticket für die digitale HANNOVER MESSE zur Verfügung stellen. Senden Sie uns hierfür gerne eine kurze Mail an:

vertrieb@michael-wessel.de

und wir lassen Ihnen Ihr Ticket zukommen. Vereinbaren Sie gerne einen Termin mit uns und lernen Sie uns kennen, wir freuen uns auf Sie!

PreLogin VPN über NetScaler

Always On before logon Funktion des Netscaler Gateway

Inzwischen dürfte sich rumgesprochen haben, das über die Netscaler Gateway Funktion des Netscalers nicht nur ein Zugriff auf ein XenDesktop realisiert werden kann, sondern auch Web-Applikationen und ein vollwertiges SSL VPN integriert werden können. 

Weitaus weniger bekannt ist, dass mit der Version 11.1 der Netscaler Firmware zur SSL VPN Funktion eine Always On Funktion bzw. jetzt zusätzlich noch eine „Always on service“ Funktion hinzugekommen ist. 

Bisher konnten sich Benutzer an einem Notebook anmelden um dann eine Netscaler Gateway Verbindung aufzubauen und dann gesteuert über ein Session Profile ein Full VPN aufbauen.  

Die bisherige Funktion konnte prinzipbedingt einige Situationen nicht abdecken: 

  • Benutzer startet das Notebook außerhalb des Unternehmensnetzes und benötigt Support bei der VPN/ Gateway Anmeldung. 
  • Ein Benutzer wechselt mit einem eingeschalteten Gerät aus dem VPN (z.B. Internet Cafe/ Homeoffice etc.) in das Unternehmensnetz oder will mit einem Gerät transparent weiterarbeiten welches vorher im Unternehmensnetz war. 
  • Das Unternehmen möchte den Netzwerkzugriff bei abgebautem VPN kontrollieren. 
  • Neue Benutzer ohne Cached Credentials müssen sich am mobilen Gerät anmelden. 
  • Das Notebook soll bereits vor dem Windows Logon im Netz sein um es mit Policies oder Softwareverteilung zu versorgen. 

Wie funktioniert der Always on Service bzw. die neue Funktion „Always on before logon“? 

Die Always On Funktion verbindet ein mobiles Endgerät mit einem VPN Endpunkt, mit dem es zuvor manuell verbunden wurde. 

Abhängig davon ob sich das mobile Endgerät im Unternehmensnetz oder „on the road“ befindet, wird die VPN Verbindung automatisch auf und abgebaut. 

Die Funktion „always on before logon“ wird über den „Always on service“ realisiert (Ablauf im Modus „Always on sErvcie with a user persona“): 

  • Nach dem Einschalten des Geräts wird eine Verbindung, der „Machine level tunnel“ zum Netscaler Gateway mit einem Device Zertifikat aufgebaut 
Alwayson with user personal flow

(Bild von Citrix) 

  • Der  Benutzer meldet sich mit seinem AD Benutzer an das Gerät an 
  • Nach der Anmeldung wird der Benutzer ggf. nach seinem zweiten Faktor befragt und nach erfolgreicher Verifizierung der „Machine Level tunnel“ durch einen „User level Tunnel ersetzt“ 
  • Wenn der Benuter sich abmeldet wird der „User Level Tunnel“ wieder durch den „Machine level tunnel“ ersetzt 

Ob und welcher Tunnel aufgebaut ist, lässt sich bei einem gesperrten Gerät über die Sign-In Options sehen (service mode= Machne level tunnel): 

Windows credential manager screen

(Bild von Citrix) 

Wie funktioniert die normale „Always on“ Funktion ? 

Sollte keine primäre Netzwerkverbindung vorhanden sein, wartet der Always on Service im Hintergrund auf den Verbindungsaufbau. 

Nach der neuen „always on before logon“ Funktionalität greift die bereits länger vorhandene „always on“ Funktion. 

Durch ein Always On Profile auf dem Netscaler kann kontrolliert werden, ob die VPN Verbindung aufgebaut bleiben soll, wenn das Gerät sich im Unternehmensnetzwerk („Location based VPN“) befindet oder was passieren soll wenn kein VPN Tunnel aufgebaut werden kann („Network Access on VPN Failure)“. Über das Setting „Full Access“ kann normaler Netzwerkzugriff und logon an jedem anderen Netscakler Gateway als Backup freigeschaltet werden. 

Citrix ADC vpx 
Configuration X 
@ https:// 
10.20.lO.lOO 
/menu/n 
Citrix ADC vpx (3000) 
Reporting 
HA Status 
Primary 
Documentation 
Ill \ 
Partition v 
default 
Downloads 
nsroot 
Dashboard 
Configuration 
O Configure AlwaysON Profile 
Name 
aonprof_mwde 
Location Based VPN* 
Remote 
Client Control* 
ALLOW 
Network Access On VPN Failure* 
Full Access 
OK 
Close

(Bild von br/ MWDE) 

Systemanforderungen 

AlwaysOn service Windows version Citrix ADC and Windows VPN plug-in version 
Always on service without a user persona Windows 7 and later No recommendation on specific Citrix ADC version. VPN plug-in must be version 13.0.36.xx and later or 12.1.53.xx and later. 
Always on service with a user persona Windows 8 and later Citrix ADC and VPN plug-in must be version 13.0.41.xx and later. 
   

Aus https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows.html  

„The expression is_aoservice is valid from Citrix Gateway version 13.0 build 41.20 and later.“ 

Aus https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows/alwayson-before-logon-with-a-user-persona.html 

Welche Schritte sind zur Konfiguration von „Always on service with a user persona“ notwendig? 

  1. Für ein bestehendes Netscaler Gateway  muss ein Authentication Profile mit einem neuen AAA Authenticationserver 
    erzeugt werden (sofern noch kein Netscaler N-Factor im Einsatz ist) 
  2. Es muss eine EPA Policy hinzugefügt werden welche auf „is_aoservice“ prüft und die Action „sys.client_expr(“device-cert_0_0”)“ triggert (Binden mit Prio 100).  
  3. Es muss eine EPA Policy hinzugefügt werden welche auf „is_aoservice.not“ prüft den Actiontyp „No_AUTHN“ hat (Binden mit Prio 110)  
    als „Next Factor“ wird eine LDAP Authentication Policy hinterlegt. 

Weiterführende Links: 

Grundlegende Always On Funktion: 

https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson.html

Neue Always On Servcie / before Logon Funktion: 

https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows.html

Konfiguration der „before Logon Funktion“: 

https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows/alwayson-before-logon-with-a-user-persona.html

EPA mit Device Zertifikation: 

https://docs.citrix.com/en-us/citrix-gateway/13/device-certificate-in-nfactor-as-an-epa-component.html

Christmas Playbook für Teams

Die Microsoft Deutschland GmbH hat vor ein paar Tagen ein „Christmas Playbook“ mit Ideen für virtuelle (Weihnachts-)Events veröffentlicht. Für den Weihnachtsmarkt in Microsoft Teams bleibt nicht mehr viel Zeit. Die Ideen lassen sich aber auch wunderbar verwenden für andere Anlässe.

Damit allen Leserinnen und Lesern eine besinnliche Weihnachtszeit und einen guten Start in 2021 – bleiben Sie gesund!

10 von 10 Punkten auf der Gefährdungsskala: Windows Server bedroht

Ein Patch steht seit August bereit, Exploit Code ist seit September im Umlauf. Was ist passiert und wie groß ist die Bedrohung wirklich?

Szenario

Ein Angreifer muss netzwerktechnisch einen Windows Domain Controller (Versionen von 2008 R2 bis zur aktuellen 2004 sind betroffen) erreichen, um das Netlogon Remote Protocol (MS-NRPC) ansprechen zu können. In der Regel wird er also im internen Netz sein oder eine verbockte Firewall Policy vorfinden müssen. Dann aber kann er sich ohne Anmeldung hochstufen (Elevation of Privilege, CVE-2020-1472 bei Microsoft).

Panik?

Sorge scheint vor allem die US amerikanische CISA (Cybersecurity and Infrastructure Security Agency) zu haben. Sie hat die Admins der US-Regierung verpflichtet, innerhalb von vier Tagen alle ihre Server zu patchen. Da wir bereits Ende September haben, sollten gründlich betriebene Systeme den Patch bereits sowieso erhalten haben, aber wir wissen ja, wie das ist…

Laut heise online erwartet die CISA für heute einen Report der Admins über die Windows-Server-Situation. Den bekommen wir vermutlich nicht zu sehen, wäre aber interessant.

Microsoft SharePoint. Ein Einblick in Site Designs und Site Scripts.

Mit Microsoft Office 365 und SharePoint-Online hat Microsoft eine neue Möglichkeit zur Anpassung von neuen und bestehenden Seiten eingeführt: Site-Designs und Site Scripts.

Zunächst stellt sich die Frage, was genau sind Site Designs und was sind Site Scripts?

Site Designs und Site Scripts dienen zur Bereitstellung und Anpassung von neuen oder bestehenden modern Sites im SharePoint Online. Mit ihnen können Sie gewährleisten, dass Seiten, die Sie oder Ihre User erstellen, einem einheitlichen Schema entsprechen.

Site Scripts lassen sich als definierter Satz von Aktionen beschreiben, die bei Zuordnung zu einer Seite ausgeführt werden. Sie sind damit Microsofts Ansatz, die Templates aus den On-Premises-Zeiten abzulösen. Mit diesen Aktionen kann man beispielsweise Listen und Bibliotheken zu Seiten hinzufügen oder eine Theme sowie ein Seitenlogo setzen.

Continue reading „Microsoft SharePoint. Ein Einblick in Site Designs und Site Scripts.“

Erneut möglicher SSD-Ausfall bei HPE-Systemen

Hewlett Packard hat in den letzten Tagen eine Kundenmitteilung (Document id a00097382en_us) herausgegeben, in der vor Ausfall von bestimmten SSD-Typen gewarnt wird, wenn kein Firmwareupdate eingespielt wird. Dies betrifft vier SSD-Modelle, die in Servern verbaut sind. Die betroffenen Speichermedien mit einer Firmware kleiner als HPD7 stellen demnach ihren Dienst nach exakt 40.000 Stunden ein und werden vom System nicht mehr erkannt. Eine Reaktivierung und nachträgliches Einspielen der Firmware ist dann nicht mehr möglich.

HPE weist in dem Dokument ausdrücklich darauf hin, dass das Fehlerbild zwar ähnlich zu dem Vorfall vom November letzten Jahres ist, aber dennoch kein Zusammenhang besteht. Continue reading „Erneut möglicher SSD-Ausfall bei HPE-Systemen“

Home Office für Alle?

Das Thema ist aktuell in aller Munde. Die IT scheint sich auch mit nichts anderem zu beschäftigen, als Home Office. Ressourcen sind überlastet, die eigene Infrastruktur im Rechenzentrum bietet nicht genügend Freiraum, alle Arbeitsplätze von heute auf morgen virtuell abzubilden. Muss sie auch nicht!

Das ist die Stunde für eine Technologie, die Citrix schon lange im Portfolio, aber bisher immer ein Schattendasein geführt hat. Citrix Remote-PC.

In diesem Video wird anschaulich erklärt, was diese Technologie leisten kann.

Citrix Remote PC

Machen Sie ihre PC Arbeitsplätze Home Office-Ready und ermöglichen Sie damit ihren Mitarbeiter*innen, sicher über das Web von zu Hause aus mit ihren gewohnten Desktops zu verbinden. Wenn schon Citrix im Einsatz ist, kann eine Einbindung sehr einfach in die bestehende Infrastruktur erfolgen. Für Newbies kann ein schneller Einstieg über Cloud-Dienste von Citrix eine Option sein.

Für die Techies gibt es auch noch mal eine wunderbare Übersicht, wie das funktioniert.

Sprechen Sie uns an, wir unterstützen Sie gerne bei der Einführung, Beratung und Support.

Quelle: https://www.citrix.com/de-de/glossary/what-is-remote-access.html

Die ganze* Cloud mit Heimvorteil

Bildquelle: www.microsoft.com

Lange ersehnt, ist sie nun da. DIE Cloud in Deutschland! Nein, damit ist nicht eine wieder aufgewärmte Liaison Microsofts mit der T-Systems gemeint, sondern eine neue Region der globalen Microsoft Cloud in Deutschland. Genauer gesagt, in Frankfurt und Berlin.

Neben Azure können nun auch geschäftliche Office 365 und Dynamics 365 Kunden ihre Daten auf deutschem Boden ablegen. Dies erleichtert allen Unentschlossenen die Entscheidung, die mit der EU-Region bisher noch haderten.

Quelle: https://www.microsoft.com/de-de/cloud/deutsche-rechenzentren.aspx?wt.mc_id=2421505_QSG_558853&cr_cc=MRP

Aber mit *Sternchen*

Allerdings muss man beachten, dass nicht jeder kleinteilige Dienst auch aus good old Germany bereitgestellt wird. Das war auch schon in der EU Region so. Beispielsweise kommen die SMS für die Zweifaktor-Authentifizierung aus den USA. Das wird sich wohl auch nicht mit den deutschen Rechenzentren ändern.

Es werden also auch weiterhin nicht alle Dienste, in allen Regionen vorgehalten. Ist das schlimm? Unsere Antwort darauf ist: eher nicht, denn es geht um Risikoabschätzung. Die eigentlichen Nutzdaten, wie Emails, etc. liegen in Frankfurt und Berlin. Wie hoch ist also das Risiko, des Datenverlusts der Verbindungs- und Inhaltsdaten bei dem Dienst aus den USA? Eine SMS mit Tokencode ist wohl geringer einzuschätzen als die Email mit Bewerbungsunterlagen an die Personalabteilung.

Quelle: https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-data-storage-eu

Zum aktuellen Zeitpunkt fehlen leider auch noch die Dienste Dynamics 365 Finance und Dynamics 365 Supply Chain Management, sowie Power BI, Power Automate und Power Apps. Microsoft gibt aber an, dass diese in diesem Jahr noch folgen sollen.

Daten aus der EU nach DE verschieben

Kunden, die bereits einen Tenant in der EU haben und sich fragen, ob und wie eine Migration auf die deutsche Region stattfinden kann, können dazu einen Antrag stellen. Wichtig zu wissen ist hier, dass diese Migration im Hintergrund von Microsoft durchgeführt wird und bis zu 24 Monate dauern kann. Also ist das nicht für einen kurzen Sprint, während der Sommerferien gedacht.

Quelle: https://docs.microsoft.com/en-us/Office365/Enterprise/moving-data-to-new-datacenter-geos

Aus der Microsoft Cloud Deutschland heraus migrieren

Nachdem Microsoft schon vor einiger Zeit die Microsoft Cloud Deutschland (MCD) im Treuhändermodell abgekündigt hat, fragten uns viele Kunden nach einer Migrationsmöglichkeit. Insbesondere, da Bestandskunden der MCD keine neuen Services mehr buchen können.

Bisher gab es nur direkte Migrationsmöglichkeiten von einigen Azure-Diensten, die möglich waren. Immer wieder mussten wir Office 365 Kunden leider mitteilen, dass eine Migration nicht ohne weiteres möglich ist. Besonders ärgerlich für Kunden, die vor nicht all zu langer Zeit erst von lokal in die Deutschlandcloud migriert sind. Es kamen also erneut Kosten und Ausfallzeiten hinzu. Ganz davon abgesehen, dass der technische Migrationspfad von Cloud zu Cloud nur über Umwege und nicht weniger aufwändig ist wie von lokaler Infrastruktur in die Cloud.

So waren wir überrascht, vor kurzem in den Microsoft Tech-Docs auf einen Artikel vom 09.12.2019 zu stoßen, der eine „geleitete“ Migration von Office 365-MCD zu den neuen deutschen Rechenzentrumsregionen verspricht.

Quelle:
https://docs.microsoft.com/de-de/office365/enterprise/ms-cloud-germany-transition

Zitat: „Die bestehenden Kunden von Microsoft Cloud Germany (Microsoft Cloud Deutschland) können nun mit der Migration ihrer Office 365, Dynamics 365 Customer Engagement und Power Platform BI beginnen. Der erste Schritt besteht darin, sich für die von Microsoft geleiteten Migration in unsere neuen deutschen Rechenzentrumsregionen anzumelden.“

Was muss man dafür tun?

Nun… diesen Knopf im Admincenter drücken.
Liebe MCD-Kunden, bitte lesen Sie erst weiter, bevor Sie das wild entschlossen tun.

Wo ist der Haken bei der Sache?

Wir können zum jetzigen Zeitpunkt leider noch nichts zu dem Ablauf sagen, da das auch für uns Partner aktuell noch eine Blackbox ist. Bisher konnten wir diese Migration auch noch nicht mit einem Kunden begleiten.

Wer in der Dokumentation weiter liest, wird folgende Passagen finden:

„Die Migrationen für Organisationen, die sich für den von Microsoft geleiteten Ansatz anmelden, werden voraussichtlich in 2020 durchgeführt. Als Ergebnis der Migration werden die wichtigsten Kundendaten und -abonnements in die neuen deutschen Regionen verschoben.“

Quelle:
https://docs.microsoft.com/de-de/office365/enterprise/ms-cloud-germany-migration-opt-in

Für uns stellen sich die Fragen:

  • Wie lange dauert denn tatsächlich so eine Migration, wenn sie „voraussichtlich“ in 2020 durchgeführt wird?
  • Welche Auswirkungen sind währenddessen zu spüren?
    • Microsoft verspricht zwar: „Mandantenmigrationen sind so angelegt, dass sie nur minimale Auswirkungen auf Endkunden und Administratoren haben“ aber was bedeutet denn „minimal“?
  • Auch ist die Aussage, dass die „wichtigsten“ Kundendaten migriert werden, recht schwammig. Was sind denn die wichtigsten Daten und welche fehlen?

Es ist auch noch hinzuzufügen, dass die ganze Migration nicht vollautomatisch abläuft, sondern auch noch einige Tätigkeiten für die Office-Administrationen oder uns als Partner anfallen. Zum Beispiel die DNS Updates und Records, die geändert werden müssen. Die lokalen Security-Systeme, wie Proxy, Firewall etc. müssen angepasst werden, da sich die Adressen der Cloud-Dienste ändern. Wer noch hybrid unterwegs ist, muss auch noch einiges dafür tun, damit das funktioniert.

Unser Fazit

Man muss also noch allerhand beachten, wenn man die geleitete Migration durchführen möchte. Viele Fragen bleiben offen, die auch wir im Moment nicht beantworten können.