contoso in der microsoft microsoft cloud implementiert cloud · pdf fileso hat ein fiktives,...
Post on 06-Mar-2018
218 Views
Preview:
TRANSCRIPT
So hat ein fiktives, aber repräsentatives
internationales Unternehmen die
Microsoft Cloud implementiert
Contoso in
der Microsoft
Cloud 1 2 3 4 5Dieses Thema ist 1 von 6 in einer Reihe.
Die Contoso Corporation
Weltweite Gliederung von Contoso
Elemente von Contosos Implementierung der Microsoft Cloud
Netzwerkbetrieb
Der Netzwerkbetrieb umfasst die
Konnektivität mit Microsofts
Cloudangeboten und genügend
Bandbreite, damit auch bei Spitzenlast
Arbeitsfähigkeit gegeben ist. Einige Teile
der Konnektivität erfolgen über lokale
Internetverbindungen, und einige erfolgen
über die Infrastruktur des privaten
Contoso-Netzwerks.
Identität (Identity)
Contoso verwendet eine Windows Server
Active Directory-Gesamtstruktur für seine
internen Identitätsanbieter und stellt einen
Verbund mit anderen Anbietern für Kunden
und Partner her. Contoso muss die internen
Konten für Microsofts Cloudangebote
nutzen. Für Zugriff auf cloudbasierte Apps
für Kunden und Partner müssen auch
Identitätsanbieter anderer Hersteller genutzt
werden.
Sicherheit
Sicherheit für cloudbasierte Identitäten und
Daten muss Datenschutz, Verwaltung mit
Administratorrechten, Berücksichtigung
von Bedrohungen und die
Implementierung von Datengovernance
und Sicherheitsrichtlinien enthalten.
Verwaltung
Die Verwaltung für cloudbasierte Apps und
SaaS-Arbeitslasten erfordert, dass
Einstellungen, Daten, Konten, Richtlinien und
Berechtigungen verwaltet sowie der
gegenwärtige Zustand und die
gegenwärtige Leistung überwacht werden
können. Vorhandene Serververwaltungstools
werden dazu verwendet, virtuelle Computer
in Azure IaaS zu verwalten.
Contosos IT-Architekten haben bei der Planung für die Einbindung von Microsofts Cloudangeboten die folgenden Elemente identifiziert.
Microsoft-Cloud-Identität für
Enterprise-Architekten
Microsoft-Cloud-Identität für
Enterprise-Architekten
Microsoft-Cloudnetzwerke für
Enterprise-Architekten
Microsoft-Cloudnetzwerke für
Enterprise-Architekten
Microsoft-Cloud-Sicherheit für
Enterprise-Architekten
Microsoft-Cloud-Sicherheit für
Enterprise-Architekten
Für Contosos Niederlassungen (Büros) auf der Welt gibt es eine dreistufige Hierarchie.
Die Contoso Corporation ist ein globales Unternehmen mit der Zentrale in Paris, Frankreich. Sie ist ein
Mischkonzern aus Herstellungs-, Vertriebs- und Supportunternehmen mit mehr als 100.000 Produkten.
September 2016 © 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.© 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.
ZweigstellenRegionalstellenZentraleZentrale
Die Unternehmenszentrale von
Contoso Corporation ist ein großer
Unternehmenscampus am Stadtrand
von Paris mit Dutzenden von
Verwaltungs-, Technologie- und
Fertigungsgebäuden. Alle
Rechenzentren und der
Internetauftritt von Contoso sind in
der Pariser Zentrale angesiedelt.
Die Zentrale hat 15.000 Mitarbeiter.
Eine Regionalstelle ist für eine
bestimmte Region der Welt mit 60 %
Verkaufs- und Supportmitarbeitern
zuständig. Jede Regionalstelle ist über
eine WAN-Verbindung mit hoher
Bandbreite mit der Pariser Zentrale
verbunden.
Jede Regionalstelle hat im
Durchschnitt 2.000 Arbeitskräfte.
Eine Zweigstelle hat jeweils 80 %
Verkaufs- und Supportmitarbeiter und
fungiert als physische Präsenz für
Contoso-Kunden in einer wichtigen
Stadt oder Unterregion. Jede
Zweigstelle ist über eine WAN-
Verbindung mit hoher Bandbreite mit
einer Regionalstelle verbunden.
Jede Zweigstelle hat im Durchschnitt
250 Mitarbeiter.
25 % der Belegschaft
von Contoso sind
Mobilmitarbeiter,
wobei der Prozentsatz
der Mobilmitarbeiter
in Regional- und
Zweigstellen höher ist.
Das Bereitstellen von
besserer
Unterstützung für
Mobilmitarbeiter ist
ein wichtiges
Geschäftsziel für
Contoso.
6
So hat ein fiktives, aber repräsentatives
internationales Unternehmen die
Microsoft Cloud implementiert
Contoso in
der Microsoft
Cloud
Contosos IT-Infrastruktur und -Anforderungen
Zuordnung von Contosos Geschäftsanforderungen zu Microsofts Cloudangeboten
Contosos vorhandene IT-Infrastruktur
SaaSSoftware as a Service
Azure PaaSPlatform as a Service
Azure IaaSInfrastructure as a Service
Contoso nutzt eine weitestgehend zentrale lokale IT-Infrastruktur mit Anwendungsrechenzentren in
der Pariser Zentrale.
Contoso ist dabei, von der lokalen zentralen IT-Infrastruktur auf eine cloudeinschließende Infrastruktur umzustellen, die aus cloudbasierten persönlichen Produktivitätsarbeitslasten, Anwendungen und Hybridszenarien besteht.
Contosos Geschäftsanforderungen
Einhalten von regionalen gesetzlichen
Vorschriften
Um Strafen zu verhindern und gute Beziehungen
zu lokalen Behörden beizubehalten, muss Contoso
die Einhaltung von Vorschriften zur
Datenspeicherung- und -verschlüsselung
sicherstellen.
1 Verbessern der Verwaltung von Lieferanten
und Partnern
Das Partnerextranet ist in die Jahre gekommen
und teuer in der Wartung. Contoso möchte es
durch eine cloudbasierte Lösung ersetzen, für die
Verbundauthentifizierung verwendet wird.
2 Verbessern von Produktivität,
Geräteverwaltung und Zugriff für
Mobilmitarbeiter
Contosos Mobilbelegschaft wird größer und
erfordert Geräteverwaltung, damit der Schutz
geistigen Eigentums sowie effizienterer Zugriff auf
Ressourcen gewährleistet sind.
3
Verkleinern der Remotezugriffsinfrastruktur
Durch Verschieben von Ressourcen, auf die
häufig von Remotearbeitskräften zugegriffen
wird, in die Cloud spart Contoso Geld, indem die
Kosten für Wartung und Support der
Remotezugriffslösung verringert werden.
4 Verkleinern von lokalen Rechenzentren
Die Contoso-Rechenzentren umfassen Hunderte
von Servern, von denen einige für ältere oder
Archivierungsfunktionen genutzt werden, was
dazu führt, dass IT-Mitarbeiter davon abgehalten
werden, Arbeitslasten mit hohem Geschäftswert
zu betreuen.
5 Vergrößern der Berechnungs- und
Speicherressourcen für Quartalsabschlüsse
Quartalsabschlüsse und Prognoseverarbeitung
zusammen mit Bestandsverwaltung erfordern
kurzfristig mehr Server und Speicher.
6
September 2016 © 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.© 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.
InternetInternetDMZDMZ
PartnerextranetPartnerextranet
Remotezugriff/
Proxy
Remotezugriff/
Proxy
Öffentliche
Website
Öffentliche
Website
Remote- und
Mobilmitarbeiter
Remote- und
Mobilmitarbeiter
Interne FirewallInterne Firewall Externe FirewallExterne Firewall
In Contosos DMZ bieten verschiedene
Servergruppen Folgendes:
Remotezugriff auf das Contoso-Intranet
und Webproxyfunktion für Mitarbeiter
in der Pariser Zentrale
Hosting der öffentlichen Contoso-
Website, über die Kunden Produkte,
Teile oder Zubehör bestellen können
Hosting für das Contoso-
Partnerextranet für die Kommunikation
und Zusammenarbeit mit Partnern
ZentraleZentrale
Anwendungsrech
enzentren
Anwendungsrech
enzentren
Lokale
Mitarbeiter
Lokale
Mitarbeiter
Office 365: Hauptanwendungen
für persönliche und
Gruppenproduktivität in
der Cloud.
Dynamics 365: Verwenden von
cloudbasierter Kunden- und
Lieferantenvewaltung. Entfernen
des Partnerextranets aus der DMZ.
Intune/EMS: Verwalten von iOS-
und Android-Geräten.
Hosten von Verkaufs- und
Supportdokumenten sowie
Informationssystemen mit
cloudbasierten Apps.
Mobile Anwendungen sind
cloudbasiert, statt von Pariser
Datenzentren bereitgestellt zu
werden.
Verschieben von Archivierungs und
Legacysystemen auf cloudbasierte
Server.
Migrieren von wenig verwendeten
Apps und Daten aus lokalen
Rechenzentren.
Hinzufügen von temporären
Servern und temporärem Speicher
für Anforderungen aus einem
Quartalsabschluss.
2
1 3
3
3
3 4
5
5
6
5
1 2 3 4 5Dieses Thema ist 2 von 6 in einer Reihe.
6
Pariser CampusPariser CampusRegionalstelleRegionalstelle
Contoso in
der Microsoft
Cloud
Netzwerkbetrieb
Contosos Netzwerkinfrastruktur
Um eine cloudeinschließende Infrastruktur einzuführen, haben Contosos Netzwerktechniker den grundlegenden
Wechsel hinsichtlich der Art vollzogen, wie Netzwerkdatenverkehr an cloudbasierte Dienste gesendet wird. Statt
nur den Datenverkehr zu lokalen Servern und Rechenzentren zu optimieren, ist die gleiche Aufmerksamkeit für die
Optimierung des Datenverkehrs zur Internet-Schnittstelle und über das Internet erforderlich.
So hat ein fiktives, aber repräsentatives
internationales Unternehmen die
Microsoft Cloud implementiert
Contosos App-Infrastruktur
Contoso hat die folgende Netzwerkinfrastruktur.
Lokales Netzwerk
Über WAN-Verbindungen sind die Pariser Zentrale mit Regionalbüros und Regionalbüros mit Zweigstellenbüros in einer Hub and Spoke-Konfiguration verbunden.
In jedem Büro senden Router Datenverkehr an Hosts oder Funkzugriffspunkte in Subnetzen, für die der private IP-Adressraum verwendet wird.
Internetverbindung
Jedes Filialbüro hat seine eigene Internetverbindung über einen Proxyserver.
Dies ist üblicherweise als WAN-Verbindung mit einem lokalen Internetdienstanbieter implementiert, der auch öffentliche IP-Adressen für den Proxyserver bereitstellt.
Internetpräsenz
Contoso ist im Besitz des öffentlichen Domänennamens contoso.com
Die öffentliche Contoso-Website zum Bestellen von Produkten besteht aus einer Gruppe von Servern in einem mit dem Internet verbundenen Rechenzentrum auf dem Pariser Campus.
Contoso verwendet einen öffentlichen /24-IP-Adressbereich im Internet.
Regionale-
Anwendungsserver
Regionale-
Anwendungsserver
Zentrale
Anwendungsrech
enzentren
Zentrale
Anwendungsrech
enzentren
ZweigstelleZweigstelle
CacheserverCacheserver
Contoso hat seine Anwendungs- und Serverinfrastruktur für
Folgendes konzipiert:
Zweigstellen verwenden lokale Cacheserver, um
Dokumente und interne Websites zu speichern, auf die
häufig zugegriffen wird.
Regionalstellen verwenden regionale Anwendungsserver
für die Regional- und Zweigstellenbüros. Diese Server
werden mit den Servern in der Pariser Zentrale
synchronisiert.
Auf dem Pariser Campus befinden sich die Rechenzentren
mit den zentralen-Anwendungsservern, die das gesamte
Unternehmen bedienen.
Für Benutzer in Zweigstellen- oder Regionalbüros können
60 % der von ihnen benötigten Ressourcen von den
Zweigstellen- oder Regionalbüroservern bereitgestellt werden.
Die weiteren 40 % der Ressourcenanforderungen werden über
die WAN-Verbindung mit dem Pariser Campus abgedeckt.
60 %
100 %
Fortsetzung auf der nächsten Seite
1 2 3 4 5Dieses Thema ist 3 von 6 in
einer Reihe.6
September 2016 © 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.© 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.
Netzwerkressourc
en in der Cloud
Contosos Nutzung von ExpressRouteExpressRoute ist eine dedizierte WAN-Verbindung von Ihrem Standort mit einem Microsoft-Peeringstandort, in dem Ihr Netzwerk mit dem Microsoft-Cloudnetzwerk verbunden wird. ExpressRoute-Verbindungen bieten vorhersehbare Leistung und eine Verfügbarkeit von 99,9 % gemäß SLA (Vereinbarung zum Servicelevel).
Mit einer ExpressRoute-Verbindung sind Sie mit dem Microsoft-Cloudnetzwerk und allen Microsoft-Rechenzentrumsstandorten auf demselben Kontinent verbunden. Der Datenverkehr zwischen dem Cloud-Peeringstandort und dem Microsoft-Zielrechenzentrum wird über das Microsoft-Cloudnetzwerk übertragen.
Mit ExpressRoute Premium können Sie jedes Microsoft-Rechenzentrum auf jedem Kontinent von einem beliebigen Microsoft-Peeringstandort auf jedem Kontinent erreichen. Der Datenverkehr zwischen Kontinenten wird über das Microsoft-Cloudnetzwerk übertragen.
Optimieren von Mitarbeitercomputern für
Internetzugriff
Einzelne Computer werden überprüft werden, um
sicherzustellen, dass Folgendes in neuester Version
installiert ist: TCP/IP-Stapel, Browser, NIC-Treiber
sowie Sicherheits- und Betriebssystemupdates.
1 Analysieren der Internetnutzung in jedem
Büro und ggf. mehr Bandbreite
Jedes Büro wird hinsichtlich seiner aktuellen
Internetnutzung analysiert, und die Bandbreite
der WAN-Verbindung wird erhöht, wenn die
Auslastung bei 70 % oder darüber liegt.
2 Analysieren der DMZ-Systeme in jedem Büro
hinsichtlich optimaler Leistung
Firewalls, Angriffserkennungssysteme und
andere Systeme im Internetpfad werden
hinsichtlich optimaler Leistung analysiert.
Proxyserver werden nach Bedarf aktualisiert
(Update oder Upgrade).
3
Contosos Weg zur Nutzung des Cloudnetzwerks
Es folgen die Ergebnisse von Contosos Analyse der Änderungen, die im eigenen Netzwerk erforderlich
sind, um die unterschiedlichen Kategorien von Microsofts Cloudangeboten zu berücksichtigen.
Die erfolgreiche Akzeptanz von SaaS-Diensten durch
Benutzer ist von einer hochverfügbaren und
leistungsfähigen Konnektivität mit dem Internet oder
direkt mit den Microsoft-Clouddiensten abhängig.
Für mobile Benutzer werden deren aktuelle
Internetzugänge als ausreichend angenommen.
Für Benutzer des Contoso-Intranets muss jedes Büro
hinsichtlich Durchsatz zum Internet und
Roundtripzeiten zu Microsofts europäischem
Rechenzentrum, in dem die Office 365-, EMS- und
Dynamics-365-Mandanten gehostet werden,
analysiert und optimiert werden.
SaaS-CloudangeboteOffice 365, EMS und Dynamics 365
Um mobile Mitarbeiter besser unterstützen zu
können, werden ältere Apps und einige
Dateifreigabestandorte überarbeitet und als Azure
PaaS-Apps bereitgestellt. Für eine optimale
Leistung plant Contoso, die neuen Apps über
mehrere Azure-Rechenzentren auf der ganzen Welt
bereitzustellen. Azure Traffic Manager Azure
sendet Anforderungen von Client-Apps
unabhängig davon, ob sie von einem mobilen
Benutzer oder einem Computer im Büro stammen,
an das nächste Azure-Rechenzentrum, auf dem die
App gehostet wird.
Die IT-Abteilung muss PaaS-Anwendungsleistung
und -Datenverkehrsverteilung zu ihrer Lösung für
die Überwachung der Netzwerkintegrität
hinzufügen.
Azure PaaSMobile Anwendungen
Um einige ältere und Archivierungsserver aus den
Rechenzentren auf dem Pariser Campus zu
entfernen und Server für einen Quartalsabschluss
nach Bedarf hinzuzufügen, plant Contoso die
Verwendung von virtuellen Computern, die in
Azure-Infrastrukturdiensten ausgeführt werden.
Die virtuellen Azure-Netzwerke, zu denen diese
Server gehören, müssen für nicht überlappende
Adressbereiche, Routing und integriertes DNS
ausgelegt werden.
Die IT-Abteilung muss diese neuen Server in ihr
Netzwerkverwaltungs- und -überwachungssystem
einbeziehen.
Azure IaaSServerbasierte Arbeitslasten
Contosos Netzwerkanalyse
Anhand der Analyse des aktuellen und zukünftigen Datenverkehrs zu Microsofts Cloudangeboten und den Anforderungen an qualitativ hochwertige Skype-Kommunikation hat Contoso eine Netzwerkbewertung vorgenommen und eine ExpressRoute Premium-Verbindung (von jedem zu jedem Knoten, MPLS-basiert) von der Pariser Zentrale zum Microsoft-Peeringstandort in Europa implementiert.
Gleichbleibende Leistung für
Pariser Campus-Mitarbeiter für
SaaS-Anwendungen
Mit 15.000 Mitarbeitern auf dem Pariser
Campus, die alle gleichzeitig auf
Office 365, Intune und Dynamics 365
zugreifen, möchte Contoso sicherstellen,
dass dieser Zugriff gleichbleibend
leistungsfähig ist und nicht mit regionalem
Internetdatenverkehr konkurriert.
Gleichbleibende Leistung für die
Verwaltung von verteilten Azure
PaaS-Apps
Alle Anwendungsentwickler und alle
Administratoren der IT-Kerninfrastruktur von
Contoso arbeiten auf dem Pariser Campus.
Mit Azure PaaS-Apps, die auf verschiedene
Azure-Rechenzentren auf der ganzen Welt verteilt
sind, benötigt Contoso gleichbleibende Leistung
aus dem Pariser Campus, um die Apps und deren
Speicherressourcen zu verwalten, die aus TB von
Dokumenten bestehen.
Gleichbleibende Leistung für die
Verwaltung von Servern in Azure
IaaS
Contosos Rechenzentrumsadministratoren sind
auf dem Pariser Campus, und die Server, die in
Azure bereitgestellt werden sollen, sind eine
Erweiterung des Pariser Rechenzentrums.
Contoso benötigt gleichbleibende Leistung für
diese neuen Server für Zugriff auf ältere Apps
und Archivierungsspeicher und für
Quartalsabschlüsse.
Hinzufügen von ExpressRoute Premium für
den Pariser Campus
Bietet gleichbleibenden Zugriff auf SaaS-
Cloudangebote für Mitarbeiter des Pariser
Campus und Verwaltung von Azure PaaS- und
IaaS-Arbeitslasten in der ganzen Welt.
4 Erstellen und Testen eines Azure Traffic
Manager-Profils für Azure PaaS-Apps
Es wird ein Azure Traffic Manager-Profil getestet,
in dem die Leistungsroutingmethode verwendet
wird, um Kenntnisse zur Verteilung von
Internetdatenverkehr an regionale Standorte zu
erlangen.
5 Reservieren von privatem Adressraum für
virtuelle Azure-Netzwerke
Reservieren Sie entsprechend der Anzahl von
prognostizierten kurz- und langfristigen Servern
in Azure IaaS privaten Adressraum für virtuelle
Azure-Netzwerke und deren Subnetze.
6
http://aka.ms/tune
Netzwerkplanung und
Leistungsoptimierung für Office 365
http://aka.ms/tune
Netzwerkplanung und
Leistungsoptimierung für Office 365ExpressRoute für Office 365
http://aka.ms/expressrouteoffice365
ExpressRoute für Office 365
http://aka.ms/expressrouteoffice365
Microsoft-Cloudnetzwerke für
Enterprise-Architekten
Microsoft-Cloudnetzwerke für
Enterprise-Architekten
http://aka.ms/cloudarchnetworking
Microsoft-Cloudnetzwerke für
Enterprise-Architekten
http://aka.ms/cloudarchnetworking
Contoso in
der Microsoft
Cloud
Identität (Identity)
Contosos Windows Server Active Directory-Gesamtstruktur
Microsoft bietet eine IDaaS (Identity as a Service, Identität als Dienst) in seinen Cloudangeboten. Um eine
cloudeinschließende Infrastruktur einzuführen, muss für die IDaaS-Lösung von Contoso dessen lokaler
Identitätsanbieter genutzt und Verbundauthentifizierung mit den vorhandenen vertrauenswürdigen
Drittanbieter-Identitätsanbietern einbezogen werden.
So hat ein fiktives, aber repräsentatives
internationales Unternehmen die
Microsoft Cloud implementiert
InternetInternetDMZDMZ
PartnerextranetPartnerextranetÖffentliche
Website
Öffentliche
Website
Kunden und
Partner
Kunden und
Partner
Externe FirewallExterne Firewall
Contosos Infrastruktur der Verbundauthentifizierung
AD FSAD FS
Contoso verwendet eine einzige Windows Server Active Directory-Gesamtstruktur für contoso.com mit sieben Domänen (eine für jede Region der Erde). Die
Zentrale, Regionalstellen und Zweigstellen enthalten Domänencontroller für die lokale Authentifizierung und Autorisierung.
Contoso möchte die Konten und Gruppen in der contoso.com -Gesamtstruktur zur Authentifizierung und Autorisierung seiner cloudbasierten Apps und
Arbeitslasten verwenden.
Contoso lässt Folgendes zu:
Kunden können ihre Microsoft-, Facebook- oder Google
Mail-Konten verwenden, um sich bei ihren öffentlichen
Websites anzumelden.
Lieferanten und Partner können ihre LinkedIn-,
Salesforce- oder Google Mail-Konten verwenden, um
sich beim Partnerextranet anzumelden.
Active Directory Federation Services-Server (AD FS) in der
DMZ authentifizieren Kundenanmeldeinformationen für
Zugriff auf die öffentliche Website und
Partneranmeldeinformationen für Zugriff auf das
Partnerextranet.
Wenn Contoso seine öffentliche Website in eine Azure-Web-
App und sein Partnerextranet in Dynamics 365 überführt hat,
sollen diese Drittanbieter-Identitätsanbieter weiterhin für die
Kunden und Partner verwendet werden.
Dies wird erreicht, indem ein Verbund zwischen Contoso
Azure AD-Mandanten und diesen Drittanbieter-
Identitätsanbieter konfiguriert wird.Fortsetzung auf der nächsten Seite
1 2 3 4 5Dieses Thema ist 4 von 6 in
einer Reihe.6
September 2016 © 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.© 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.
Ressourcen für
Cloudidentität
Verzeichnissynchronisierung für Contosos Windows Server AD-Gesamtstruktur
Contoso hat das Azure AD Connect-Tool auf einem Cluster von Servern in seinem Pariser Rechenzentrum bereitgestellt. Azure AD Connect synchronisiert Änderungen an der Windows Server Active Directory-Gesamtstruktur von contoso.com mit dem Azure AD-Mandanten, der für Contosos Office 365-, EMS-, Dynamics 365- und Azure-Abonnements gemeinsam genutzt wird. Weitere Informationen zu Abonnements, Lizenzen, Benutzerkonten und Mandanten finden Sie im Thema 5.
Contoso hat Verbundauthentifizierung konfiguriert, die einmaliges Anmelden für die Mitarbeiter von Contoso bereitstellt. Wenn ein Benutzer, der sich bereits bei der Windows Server AD-Gesamtstruktur von contoso.com angemeldet hat, auf eine Microsoft SaaS- oder PaaS-Cloudressource zugreift, wird er nicht zur Eingabe eines Kennworts aufgefordert.
Der Datenverkehr für die Verzeichnissynchronisierung wird über die ExpressRoute Premium-Verbindung aus der Unternehmenszentrale an das Microsoft-Cloudnetzwerk übertragen.
Regionalstelle 1 Regionalstelle 2 Regionalstelle 3
Office 365-
Mandant in
Europa
Auth.-Server
ZentraleZentrale
Azure AD
Connect-Server
Azure AD
Connect-Server
Microsoft Cloud
ExpressRoute
Premium
ExpressRoute
Premium
Azure AD-Mandant
Azure AD-Mandant
Azure AD-Mandant
Geografische Verteilung des Contoso-AuthentifizierungsdatenverkehrsDamit Contoso seine Mobil- und Remotemitarbeiter besser unterstützen kann, werden in Contosos Regionalstellen Gruppen von Authentifizierungsservern bereitgestellt. Bei dieser Infrastruktur wird die Last verteilt und werden Redundanz und höhere Leistung geboten, wenn Benutzeranmeldeinformationen für den Zugriff auf Microsoft-Cloudangebote authentifiziert werden, für die der gemeinsame Azure AD-Mandant verwendet wird.
Damit die Last von Authentifizierungsanfragen verteilt wird, hat Contoso Traffic Manager mit einem Profil konfiguriert, in dem die Leistungsroutingmethode verwendet wird, wodurch authentifizierende Clients an die regional nächstgelegene Gruppe von Authentifizierungsservern verwiesen wird.
Redundanz für die Authentifizierungsinfrastruktur der Zentrale in Azure IaaS
Traffic ManagerTraffic Manager
5. Der Clientcomputer sendet eine Authentifizierungsanforderung an einenWebanwendungs-Proxyserver, der die Anforderung an einen AD FS-Server weiterleitet.
6. Der AD FS-Server fordert die Anmeldeinformationen des Benutzers vomClientcomputer an.
7. Der Clientcomputer sendet die Anmeldeinformationen des Benutzers, ohnedass der Benutzer zu einer Eingabe aufgefordert wird.
8. Der AD FS-Server überprüft die Anmeldeinformationen mit einem WindowsServer AD-Domänencontroller in der Regionalstelle und gibt ein Sicherheitstoken an den Clientcomputer zurück.
9. Der Clientcomputer sendet das Sicherheitstoken an Office 365.
10. Nach der erfolgreichen Überprüfung speichert Office 365 dasSicherheitstoken zwischen und sendet die Webseitenanforderung aus Schritt 1 an den Clientcomputer.
1. Der Clientcomputer initiiert eine Kommunikation mit einer Webseite in derOffice 365-Mandantschaft in Europa (z. B. sharepoint.contoso.com
2. Office 365 sendet eine Anforderung zum Senden einesAuthentifizierungsnachweises. Die Anforderung enthält die URL, über die die Authentifizierung erfolgen soll.
3. Der Clientcomputer versucht, den DNS-Namen in der URL zu einer IP-Adresse aufzulösen.
4. Azure Traffic Manager empfängt die DNS-Abfrage und antwortet demClientcomputer mit der IP-Adresse eines Webanwendungs-Proxyservers in der Regionalstelle, die am nächsten zum Clientcomputer liegt.
Beispiel zum Authentifizierungsprozess:
DMZ
Web-App-
Proxys
Web-App-
Proxys
AD FS-ServerAD FS-Server
Regionalstelle
Interne FirewallInterne Firewall
Windows Server
Active Directory-
Domänencontrol
ler
Windows Server
Active Directory-
Domänencontrol
ler
Auth.-
Anford.
DMZ
Web-App-
Proxys
Web-App-
ProxysAD FS-ServerAD FS-Server
ZentraleZentrale
Zentrale
Anwendungsrech
enzentren
Zentrale
Anwendungsrech
enzentren
Interne
Firewall
Interne
Firewall
Virtuelles Netzwerk
ExpressRoute
Premium
ExpressRoute
Premium
Web-App-
Proxys
Web-App-
Proxys
AD FS-ServerAD FS-Server
Auth.-Server
Auth.-Server
Um Redundanz für die Remote- und Mobilmitarbeiter der Pariser Zentrale bereitzustellen, in
der 15.000 Mitarbeiter beschäftigt sind, hat Contoso eine zweite Gruppe von
Anwendungsproxys und AD FS-Servern in Azure IaaS bereitgestellt.
Wenn die primären Authentifizierungsserver in der DMZ der Zentrale nicht mehr verfügbar
sind, schalten die IT-Mitarbeiter zu der redundanten Gruppe, die in Azure IaaS bereitgestellt
ist. Für nachfolgende Authentifizierungsanforderungen von Computern aus Pariser Büros wird
diese Gruppe in Azure IaaS verwendet, bis das Verfügbarkeitsproblem behoben ist.
Damit das Hin- und Zurückschalten funktioniert,
aktualisiert Contoso das Azure Traffic Manager-
Profil so, dass für die Webanwendungsproxys
unterschiedliche Gruppen von IP-Adressen
verwendet werden:
Wenn die DMZ-Authentifizierungsserver
verfügbar sind, werden die IP-Adressen der
Server in der DMZ verwendet.
Wenn die DMZ-Authentifizierungsserver
nicht verfügbar sind, werden die IP-Adressen
der Server in Azure IaaS verwendet.
http://go.microsoft.com/fwlink/p/?LinkId=524282http://go.microsoft.com/fwlink/p/?LinkId=524282
Infografik: Cloud-Identitäts- und
Zugriffsverwaltung
http://go.microsoft.com/fwlink/p/?LinkId=524281http://go.microsoft.com/fwlink/p/?LinkId=524281
Synchronizing your directory with
Office 365 is easy
Clientcomputer
GatewayGateway
Microsoft-Cloud-Identität für
Enterprise-Architekten
http://aka.ms/cloudarchidentity
Microsoft-Cloud-Identität für
Enterprise-Architekten
http://aka.ms/cloudarchidentity
Contoso in
der Microsoft
Cloud
Abonnements, Lizenzen und Benutzerkonten
September 2016 © 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.© 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.
Contosos Struktur
Um eine durchgängige Verwendung von Identitäten und Abrechnung für alle Cloudangebote anzubieten, stellt Microsoft eine
Hierarchie aus Organisation/Abonnements/Lizenzen/Benutzerkonten bereit.
So hat ein fiktives, aber repräsentatives
internationales Unternehmen die
Microsoft Cloud implementiert
Intune/EMS500 LizenzenIntune/EMS500 Lizenzen
Dynamics 365100 LizenzenDynamics 365100 Lizenzen
Regionale Azure-Abonnements
Regionale Azure-Abonnements
Contoso Corporation
Azure AD-Mandant
Azure AD-Mandant
Office 365Office 365
Enterprise E3500 Lizenzen
Benutzerkonten, die aus der Windows Server
Active Directory-Gesamtstruktur contoso.com
synchronisiert werden
Enterprise E5200 Lizenzen
Contosos Azure-Abonnements Contoso hat die folgende Hierarchie für seine Azure-
Abonnements entwickelt:
Contoso nimmt die oberste Position ein, basierend auf
seinem Enterprise Agreement mit Microsoft.
Es gibt eine Reihe von Konten, die den verschiedenen
Regionen der Contoso Corporation auf der ganzen Welt
entsprechen, basierend auf den Domänen von Contosos
Windows Server Active Directory-Gesamtstruktur.
In jeder Region gibt es mindestens ein Abonnement, das sich
nach den Entwicklungs-, Test- und
Produktionsbereitstellungsanforderungen der Region richtet.
Jedes Azure-Abonnement kann einem einzelnen Azure AD-
Mandanten zugeordnet werden, der Benutzerkonten und
Gruppen für die Authentifizierung und Autorisierung bei Azure-
Diensten enthält. Für Produktionsabonnements wird der
allgemeine Contoso Azure AD-Mandant verwendet.
Organisation (Unternehmen)
Die Geschäftseinheit, die Microsoft-
Cloudangebote verwendet und
üblicherweise durch einen öffentlichen
DNS-Domänennamen identifiziert wird, z.
B. contoso.com
Abonnements
Für Microsoft SaaS-Cloudangebote
(Office 365, Intune/EMS und Dynamics
365) ist ein Abonnement ein bestimmtes
Produkt und eine gekaufte Menge von
Benutzerlizenzen.
Für Azure ermöglicht ein Abonnement die
Abrechnung von genutzten
Clouddiensten für die Organisation.
Lizenzen
Für Microsoft SaaS-Cloudangebote
ermöglicht eine Lizenz einem bestimmten
Benutzerkonto, Clouddienste zu nutzen.
Für Azure werden Softwarelizenzen in
einer Dienstpreisgestaltung abgebildet, in
einigen Fällen müssen Sie aber zusätzliche
Softwarelizenzen erwerben.
Benutzerkonten
Benutzerkonten werden in einem Azure
AD-Mandanten gespeichert und können
aus einem lokalen Identitätsanbieter, z. B.
Windows Server Active Directory,
synchronisiert werden.
Organisation Die Contoso Corporation wird durch ihren öffentlichen Domänennamen contoso.com gekennzeichnet.
Abonnements und Lizenzen In der Contoso Corporation wird Folgendes verwendet:
Das Produkt Office 365 Enterprise E3 mit 500 Lizenzen Das Produkt Office 365 Enterprise E5 mit 200 Lizenzen Das Produkt EMS mit 500 Lizenzen Das Produkt Dynamics 365 mit 100 Lizenzen Mehrere Azure-Abonnements auf Basis von Regionen
Benutzerkonten Ein üblicher Azure AD-Mandant enthält die Liste der Benutzerkonten und Gruppen, die von allen Contoso Abonnements verwendet werden, mit Ausnahme von Azure-Abonnements für Entwickler/Tests.
Für SaaS-Cloudangebote ist der Mandant der regionale Standort, an dem sich die
Server befinden, von denen Clouddienste bereitgestellt werden. Contoso hat
entschieden, dass seine Office 365-, EMS- und Dynamics-365-Mandanten in der
Region Europa gehostet werden sollen.
Azure PaaS-Dienste und -Apps sowie IaaS-IT-Arbeitslasten können Mandanten in
einem beliebigen Azure-Rechenzentrum auf der ganzen Welt haben.
Bei einem Azure AD-Mandanten handelt es sich um eine bestimmte Instanz von
Azure AD, die Konten und Gruppen enthält. Der übliche Azure AD-Mandant, der die
synchronisierten Konten für die Contoso Windows Server AD-Gesamtstruktur enthält,
stellt IDaaS über Microsofts Cloudangebote bereit.
Abonnements, Lizenzen, Konten und Mandanten für Microsofts CloudangeboteAbonnements, Lizenzen, Konten und Mandanten für Microsofts Cloudangebote
Mandanten:
1 2 3 4 5Dieses Thema ist 5 von 6 in einer Reihe.
6
contoso.com
Azure-Abonnements und Richtlinien für KontenAzure-Abonnements und Richtlinien für Konten
Contoso in
der Microsoft
Cloud
SicherheitContoso nimmt die Sicherheit und den Schutz seiner Daten sehr ernst. Für die Umwandlung seiner IT-
Infrastruktur in eine cloudeinschließende Infrastruktur hat sich Contoso vergewissert, dass seine lokalen
Sicherheitsanforderungen in Microsofts Cloudangeboten unterstützt werden und implementiert sind.
So hat ein fiktives, aber repräsentatives
internationales Unternehmen die
Microsoft Cloud implementiert
Zugriffssteuerungslisten für
Zugriff mit geringsten
Rechten
Kontoberechtigungen für Zugriff auf Ressourcen in der Cloud und die zugehörigen Ausführungsrechte müssen den
Richtlinien der geringsten Rechte entsprechen.
Verschlüsselung für Daten,
die in der Cloud gespeichert
sind
Alle Daten, die auf Datenträgern oder an anderer Stelle in der Cloud gespeichert sind, müssen in verschlüsselter Form
vorliegen.
Verschlüsselung für
Datenverkehr über das
Internet
Daten, die über das Internet gesendet werden, dürfen nicht im Nur-Text-Format vorliegen. Es müssen immer HTTPS
Verbindungen, IPsec oder andere End-to-End-Datenverschlüsselungsmethoden verwendet werden.
Strenge Authentifizierung
bei Cloudressourcen
Zugriff auf Cloudressourcen muss authentifiziert werden, und dafür sollte nach Möglichkeit mehrstufige Authentifizierung
verwendet werden.
Contosos Sicherheitsanforderungen in der Cloud
Contosos Klassifizierung der Vertraulichkeit von Daten
Stufe 1: Geringer Geschäftswert
Daten sind verschlüsselt und nur für
authentifizierte Benutzer verfügbar
Erfolgt für alle Daten, die lokal und in cloudbasiertem
Speicher gespeichert sind, und Arbeitslasten, z. B.
Office 365. Daten sind verschlüsselt, während sie sich
im Dienst befinden oder zwischen dem Dienst und
Clientgeräten übertragen werden.
Beispiele für die Daten der Stufe 1 sind normale
Geschäftskommunikation (E-Mail) und Dateien für
Mitarbeiter in der Verwaltung, im Vertrieb oder im
Kundendienst.
Stufe 2: Mittlerer Geschäftswert
Stufe 1 plus strenger Authentifizierung und
Schutz vor Datenverlust
Strenge Authentifizierung umfasst mehrstufige
Authentifizierung mit SMS-Validierung. Mit Schutz vor
Datenverlust wird sichergestellt, dass sensible oder
kritische Daten nicht das lokale Netzwerk verlassen.
Beispiele für Daten der Stufe 2 sind Finanz- und
rechtliche Informationen sowie Forschungs- und
Entwicklungsdaten für neue Produkte.
Stufe 3: Hoher Geschäftswert
Stufe 2 plus höchstmöglicher Verschlüsselung,
Authentifizierung und Überwachung
Die höchstmögliche, den regionalen Regelungen
entsprechende Verschlüsselung für gespeicherte
Daten oder Daten in der Cloud kombiniert mit
mehrstufiger Authentifizierung über Smartcards und
präzise Überwachung und Benachrichtigung.
Beispiele für Daten der Stufe 3 sind
personenbezogene Kunden- und Partnerdaten sowie
technische Produktspezifikationen und proprietäre
Fertigungsverfahren.
Data Classification ToolkitData Classification Toolkit
Anhand der Informationen aus Microsofts Data Classification Toolkit (Toolkit zur Datenklassifizierung) hat Contoso seine Daten
analysiert und die folgenden Stufen festgelegt.
Zuordnung von Microsoft-Cloudangeboten und -Features zu
Contosos Datenstufen
HTTPS für alle Verbindungen Verschlüsselung im
gespeicherten Zustand
Mehrstufige Azure AD-Authentifizierung (MFA) mit SMS
Azure RMS (Rights ManagementService)
Azure AD-MFA mit Smartcards Bedingter Intune-Zugriff
Stufe 1: Geringer Geschäftswert
Stufe 2: Mittlerer Geschäftswert
Stufe 3: Hoher Geschäftswert
Nur HTTPS-Verbindungenzulässig
Dateien verschlüsseln, die inAzure gespeichert sind
Azure Key Vault fürVerschlüsselungsschlüssel verwenden
Azure AD-MFA mit SMS
Azure RMS Azure AD-MFA mit Smartcards
HTTPS oder IPsec fürServerzugriff erfordern
Azure Disk Encryption
MFA (Multi-FactorAuthentication) mit SMS
MFA mit Smartcards
1 2 3 4 5Dieses Thema ist 6 von 6 in
einer Reihe.6
Fortsetzung auf der nächsten Seite
Azure IaaSAzure PaaSSaaS
September 2016 © 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.© 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.
Ressourcen für
Cloudsicherheit
Contosos Datenrichtlinien
Optimieren der Administratorkonten für die
Cloud
Bei Contoso wurde eine umfassende Überprüfung
der vorhandenen Windows Server AD-
Administratorkonten vorgenommen und eine
Reihe von Cloud-Administratorkonten und -
gruppen eingerichtet.
1 Ausführen der Analyse für
Datenklassifizierung in drei Stufen
Contoso hat eine sorgfältige Überprüfung
vorgenommen und die drei Stufen bestimmt,
anhand denen die Microsoft-Features für
Cloudangebote festgelegt wurden, mit denen
Contosos wertvollste Daten zu schützen sind.
2 Bestimmen von Zugriffs-, Aufbewahrungs-
und Datensicherungsrichtlinien für
Datenstufen
Auf Basis der Datenstufen hat Contoso
ausführliche Anforderungen festgelegt, die
dazu verwendet werden, zukünftige IT-
Arbeitslasten zu qualifizieren, die in die Cloud
verschoben werden.
3
Contosos Weg zur Cloudsicherheit
Zugriff auf alles zulassen
Zugriff für Mitarbeiter,Subunternehmer und Partner von Contoso zulassen
MFA, TLS und MAM verwenden
Zugriff für Manager undFührungskräfte in Technik und Fertigung zulassen
RMS nur mit verwaltetenNetzwerkgeräten
Stufe 1: Geringer Geschäftswert
Stufe 2: Mittlerer Geschäftswert
Stufe 3: Hoher Geschäftswert
6 Monate
2 Jahre
7 Jahre
Verschlüsselung verwenden
Hashwerte für Datenintegrität verwenden
Digitale Signaturen für Nachweisbarkeit (Unleugbarkeit)
verwenden
Zugriff Datenaufbewahrung Schutz von Daten
Security in a Cloud-Enabled World
Microsoft Virtual Academy Course
http://aka.ms/securecustomermva
Security in a Cloud-Enabled World
Microsoft Virtual Academy Course
http://aka.ms/securecustomermvahttp://aka.ms/o365infoprotect
Schutz von Informationen für
Office 365
http://aka.ms/o365infoprotect
Schutz von Informationen für
Office 365Microsoft-Cloud-Sicherheit für
Enterprise-Architekten
http://aka.ms/cloudarchsecurity
Microsoft-Cloud-Sicherheit für
Enterprise-Architekten
http://aka.ms/cloudarchsecurity
top related