Voraussetzungen und Hilfsmittel für eine sichere Migration zu Microsoft 365

Wissenswertes und Tipps vom SySS-Team für Cloud-Security

Cloud-Lösungen werden in weiten Teilen der IT immer beliebter. Der Umzug in die Cloud verspricht mehr Kapazitäten bei geringerem eigenen Wartungsaufwand und hoher Verfügbarkeit. Auch die Skalierbarkeit der Rechenressourcen macht Cloud-Dienste attraktiv.

Mit Microsoft 365 bietet Microsoft eine cloudbasierte Bereitstellung und Verwaltung seiner Office-Anwendungen und Kommunikationstools an.

Damit die Migration auch unter IT-Sicherheitsgesichtspunkten optimal verläuft, ist insbesondere auf die genaue Umfangsbestimmung der Daten, die Wahl eines geeigneten Authentifizierungsverfahrens sowie die korrekte Benutzerwahl zu achten.

Umfangsbestimmung der zu migrierenden Daten

In der Vorbereitungsphase gilt es, den Umfang der zu migrierenden Daten zu bestimmen. Hierbei soll sowohl einerseits gewährleistet werden, dass bei der Migration keine Daten vergessen werden. Andererseits ist darauf zu achten, keine Daten zu migrieren, die nicht migriert werden sollen.

Für die folgenden Dienste muss die Frage "Was genau migrieren?" gestellt werden:

  • E-Mail-Datenhaltung nach Exchange Online
  • Datenhaltung nach SharePoint Online und OneDrive
  • Kommunikations- und Collaborations-Inhalte nach Teams
  • Geräteverwaltung und Endpoint-Schutz nach Intune, Microsoft Defender for Endpoint und Microsoft Enterprise Mobility + Security

Weiterhin ist es möglich, weitere Dienste wie Planner, Microsoft Stream u. v. m. zu nutzen.

Wahl eines geeigneten Authentifizierungsverfahrens

Die Migration oder hybride Nutzung der Authentifizierung findet über die Anbindungstechnologie Azure AD Connect statt. Hierbei wird eine Serverkompomente (AAD Connect) installiert, die den Domain-Controller erreicht und sowohl Berechtigungen auf dem DC als auch dem Azure Active Directory hat.

Eine zentrale Entscheidung im Migrationsprozess ist die Wahl des Endpunkts, der in Zukunft die Authentifizierung übernimmt. Hierbei müssen die Faktoren Datenschutz, Schutzfunktionen und Verfügbarkeit betrachtet werden. Es bestehen drei grundlegende Wahlmöglichkeiten:

  1. Synchronisation der Benutzernamen und Passwörter zwischen AD und Azure AD
  2. Synchronisation der Benutzernamen zwischen AD und Azure AD ohne Passwörter
  3. Anmeldeweiterleitung durch ADFS (Active Directory Federation Services)

Die drei Varianten unterscheiden sich in den Bereichen Datenschutz, Schutzfunktionen und Verfügbarkeit.

Synchronisation der Benutzernamen und Passwörter zwischen AD und Azure AD

  • Datenschutz: Benutzerinformationen und Passwörter werden in die Obhut von Microsoft übergeben
  • Schutzfunktionen: Angriffe auf Benutzer und geleakte Passwörter können über Identity Protection erkannt werden
  • Verfügbarkeit: Durch ein Geo-Duplikat und weltweite Erreichbarkeit ist eine sehr gute SLA von 99,99 % zu erwarten

Synchronisation der Benutzernamen zwischen AD und Azure AD ohne Passwörter

  • Datenschutz: Passwörter bleiben auf den firmeneigenen Servern
  • Schutzfunktionen: Angriffe auf Benutzer können über Identity Protection erkannt werden, geleakte Passwörter dagegen werden nicht erkannt
  • Verfügbarkeit: Die Verfügbarkeit ergibt sich aus der Stabilität der eigenen Infrastruktur

Anmeldeweiterleitung durch ADFS (Active Directory Federation Services)

  • Datenschutz: Benutzerinformationen und Passwörter bleiben auf den firmeneigenen Servern
  • Schutzfunktionen: Die vom On-Premises Active Directory bereitgestellten Funktionen wie die maximale Anzahl an Loginversuchen ist limitiert
  • Verfügbarkeit: Die Verfügbarkeit ergibt sich aus der Stabilität der eigenen Infrastruktur

Benutzerwahl

Bei der Synchronisation sollte aus Sicherheitsgründen darauf geachtet werden, dass keine hohe Konzentration von Berechtigungen an synchronisierten Benutzern haftet. So sollten beispielsweise keine Domain-Administratoren oder Globale Administratoren im Azure Active Directory synchronisiert werden. Andernfalls besteht die Gefahr der plattformübergreifenden Rechteeskalation.

Hilfsmittel für die Durchführung

Zur Durchführung der Migration können in der Regel die von Microsoft bereitgestellten Funktionalitäten genutzt werden. Für einen sicheren Umzug und Cloud-Betrieb ist dabei auf Folgendes zu achten:

  • Exchange Online bietet Bordmittel für die Migration der Postfächer. Diese kann via Migration Endpoint-Funktion oder IMAP durchgeführt werden. Hierbei ist zu beachten, dass die Migration erst abgeschlossen ist, wenn die DNS Records ebenfalls angepasst worden sind.
  • SharePoint Online kann über den Migration Manager mit Daten aus einer anderen Datenquelle versorgt werden. Hierfür muss der Migration Agent auf die entsprechenden lokalen Systeme installiert werden und die entsprechenden Berechtigungen erhalten. Außerdem muss eine Task für die Migration angelegt werden.
  • MS Teams als solches gibt es nicht als On-Premises-Variante und kann daher nicht direkt migriert werden. Es bietet sich jedoch an, Teams zu erstellen, die auf Daten aus dem migrierten SharePoint Online basieren. Außerdem können Daten aus einem On-Premises Skype for Business übernommen werden. Hier wird jedoch der Umweg über Skype for Business Online empfohlen.

Unterstützung durch die SySS

Wünschen Sie sich Unterstützung bei der Migration zu Microsoft 365 oder in einem anderen Cloud-Projekt? Unser Team für Cloud Security ist für Sie da.

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer