Po dostatečném zamyšlení se nad vhodnou variantou nákupu služeb Office 365 v prvním díle, se tentokrát zaměříme na praktické nasazení a zprovoznění služeb Office 365.
Díl II – Postup aktivace a zprovoznění Office 365
Jako každé nasazení, či zavedení nové služby do prostředí vaší společnosti, i nasazení Office 365 se nechá rozdělit na několik částí – doporučuji si projít všechny z nich, zamyslet se nad výhodami a nevýhodami konkrétního rozhodnutí a potom znovu začít od prvního bodu a postupovat už s vizí a znalostí toho co, jak a jakým způsobem konkrétně nasazovat. Některá rozhodnutí jsou velmi důležitá a mohou mít jak zásadní vliv na funkcionalitu celé služby, tak sebou mohou přinášet určitá rizika, nebo zvýšené nároky na implementaci.
Jednotlivé fáze nasazení Office 365 bychom si mohli shrnout zhruba do následujících kroků:
- Plán – v tomto kroku doporučuji nastudovat dokumentaci Office 365, případně detailně prostudovat dokumentace jednotlivých služeb a získat tak technickou znalost nezbytnou pro další klíčová rozhodnutí
- Příprava – zde se k vašemu Office 365 účtu budou registrovat vámi vlastněné DNS zóny a následně provádět konfigurace jednotlivých služeb (Exchange, Sharepoint a Lync)
- Autentizace – výběr možností autentizace a vytváření, nebo synchronizace uživatelských identit z vašeho prostředí lokální Active Directory
- Licencování uživatelů – aktivace uživatelských identit, přiřazení konkrétní Office 365 licence na uživatele, volba geografického umístění a případně nastavení uživatelova hesla
- Instalace klientského software – instalace nezbytného programového vybavení na vaše klienty (včetně nezbytných oprav a service packů), přizpůsobení klienta pro služby Office 365
- Migrace, nebo koexistence – přenesení dat ze stávajících systémů do služeb Office 365 (např. migrace poštovních schránek; migrace dat do Sharepoint)
Plán
V tomto kroku doporučuji nastudovat dokumentaci Office 365, případně detailně prostudovat dokumentace jednotlivých služeb a získat tak technickou znalost nezbytnou pro další klíčová rozhodnutí. Jako dobrý start pro vaše studium bych vám doporučil následující zdroje:
Příprava
V tomto kroku je potřeba k vašemu Office 365 účtu zaregistrovat DNS zónu, nebo DNS zóny, které vlastníte. V rámci administrátorské konzole Office 365 vyvoláte průvodce přidáním nové domény – ten pro vás vygeneruje jedinečný CNAME alias, který musíte do vaší zóny vložit a tím tak potvrdit, že jste vlastníkem dané domény. Po ověření vlastnictví je následně tento alias možné smazat.
Zde si dovolím upozornit na nepříjemné zpoždění, které může nastat. Záleží na konkrétním serveru, kde jsou vaše zóny hostovány, ale než DNS servery začnou vámi vytvořený nový záznam korektně překládat, může to trvat i několik hodin až dnů!
Jakmile ověříte vlastnictví vámi uvedené DNS zóny, zobrazí se souhrnná tabulka s DNS záznamy, které by ve vaší DNS zóně měly být tak, aby všechny služby Office 365 mohly korektně fungovat. Tyto záznamy jsou samozřejmě nezbytné a do DNS zóny je musíte vložit, nicméně se prosím zamyslete nad tím, zdali hned v tomto momentě, nebo raději až později. Toto je velmi klíčové např. u migračního scénáře kde potřebuji, aby až do finálního přepnutí směřovaly DNS záznamy na staré servery a teprve po dokončení migrace je změníme na nové adresy.
Jakmile mám zaregistrovány všechny vlastněné DNS zóny, mohu tato jména následně přiřazovat v konfiguraci jednotlivých služeb (např. SMTP aliasy u poštovních schránek).
Autentizace - výběr nejvhodnějšího typu autentizace
Aby vaši uživatelé mohli přistupovat k jednotlivým službám Office 365, budou se muset při přístupu autentizovat. V rámci cloud služeb tedy musí vzniknout účet/identita, která je následně navázána na jednotlivé služby Office 365. Tato identita může vzniknout několika způsoby a každá z nich má své výhody a nevýhody. Bude záležet na konkrétním prostředí a požadavcích na službu, podle které si zvolíte pro vás nejvhodnější variantu.
- Microsoft Online Identita – při této variantě zakládáte uživatelské účty pomocí správcovských nástrojů přímo v rámci Office 365. Účty můžete založit jednotlivě, případně importovat a založit větší množství uživatelů najednou pomocí CSV souboru (šablona CSV souboru je k dispozici). Tyto účty jsou zcela nové, není zde žádné propojení s čímkoli jiným než Office 365 a proto se jedná o optimální řešení pro malé firmy bez vlastního IT prostředí, případně pro ty, kdo chtějí cloud identity striktně oddělit od všeho ostatního. Výhodou určitě je, že pro tento scénář nepotřebujete žádné on-premise servery, naopak za nevýhodu by mohla být považována např. absence Single Sign On (SSO) – při každém přístupu k jakékoli ze služeb Office 365 tak bude uživatel vždy dotazován na heslo
- Microsoft Online Identita pomocí DirSync – při této variantě účty v rámci Office 365 nezakládáte, ale necháváte si je pomocí nástroje Directiry Synchronization Tool (DirSync) nareplikovat z lokální Active Directory. Tento nástroj synchronizuje všechny objekty z vaší on-premise AD opakovaně každé 3h a pokud potřebujete např. založit nového uživatele, stačí jej založit v rámci on-premise AD, vyčkat nebo ručně vyvolat replikační proces a nareplikovaného uživatele finálně v rámci Office 365 přiřadit k jednotlivým službám. Nástroj DirSync je v aktuální verzi jen 32bitový a nemůže jej tak nainstalovat např. na Windows Server 2008 R2. Nicméně po instalaci na jakýkoli server, který je členem domény umí jako zdroj replikovat objekty z prostředí od Windows 2000 až po dnešní 2008 R2. Zde je ale potřeba upozornit na to, že takto vytvořeným objektům se nereplikují hesla. Při aktivaci uživatele v Office 365 je tak nutné nastavit heslo nové, které se bude řídit a splňovat požadavky na politiku hesel Office 365 (politika hesel v rámci Office 365 je dána a nedá se měnit: http://community.office365.com/en-us/b/office_365_technical_blog/archive/2010/12/13/office-365-password-policy.aspx). To může být pro některé uživatele matoucí – jedna identita, nicméně dvě hesla – jedno do on-premise Active Directory, druhé pak ke službám Office 365.
- Federované identity pomocí DirSync – třetí možnost autentizace je sice nejsložitější, má v sobě hodně věcí které je důležité pečlivě promyslet, na druhou stranu ale přináší uživatelům největší komfort a některé scénáře jinak, než s pomocí této autentizace, nejsou možné. První krok je stejný jako v předchozí variantě – pomocí nástroje DirSync opakovaně synchronizujeme uživatele z on-premise Active Directory do Office 365. Následně ale vytvoříme mezi prostředím Office 365 a on-premise Active Directory pomocí Active Directory Federation Service (ADFS) trust. Služba ADFS musí běžet na minimálně jednom serveru, který je členem vaší Active Directory a tento server musí být vypublikován do internetu tak, aby se na něj dostaly HTTPS autentizační požadavky. V praxi tedy při přístupu uživatele k některé ze služeb Office 365 dojde ke spuštění procesu, ve kterém se cloud skrze založený ADFS trust zeptá přímo vašeho ADFS serveru na to, zdali je autentizace v pořádku, či nikoli. Díky tomu zůstává autentizace stále na vaší on-premise Active Directory a uživatel tak má stále jen jedno heslo (!), které se navíc řídí politikami hesel vaší AD. Je tedy možné např. i vynutit vícefázovou autentizaci (např. pomocí čipové karty), což v jiném scénáři není možné. Při tomto typu autentizace plně funguje SSO a uživatel tak při přístupu k jednotlivým službám na novějších systémech není dotazován na heslo. Bohužel každá mince má dvě strany a v tomto případě je potřeba si uvědomit, že v případě nedostupnosti vašeho ADFS serveru (výpadek serveru, internetové linky, atd.) se stávají služby Office 365 pro všechny vaše uživatele nedostupné. Proto je samozřejmě možné provozovat ADFS serverů víc v rámci web farmy, případně před servery samotné z důvodu zabezpečení ještě umístit mezislužbu v podobě ADFS proxy, případe Forefront UAG. Tím pádem se bavíme v ideálním případě o nasazení 4 serverů, zajištění dvojí internetové konektivity, atd. Pokud tedy spravujeme společnost o 50ti uživatelích, je velmi pravděpodobné, že tento scénář pro nás nebude příliš výhodný. Pokud bychom ale spravovali ve firmě stovky, nebo dokonce tisíce účtů, jedná se o akceptovatelné náklady, které sebou přinesou další zajímavé možnosti používání Office 365 ve spojitosti s on-premise Active Directory.
Díl II – Závěr a co bude v dalším díle
Dnes jsme si popsali několik z prvních a nezbytných kroků k zavedení a spuštění služeb Office 365. Jak je jasné z prvního odstavce, příště budeme pokračovat dalšími postupy tak, abychom se nakonec dostali k úspěšnému dokončení nasazení Office 365 ve vaší společnosti.
Martin Pavlis – KPCS CZ, s.r.o., pavlis@kpcs.cz
Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.