visucius
Goto Top

365, azure AD, Client-Einbindung: best practice?

Hallo in die Runde,

ich habe eine Frage zur "optimalen" Einbindung von Windows10 Pro Clients an einen MS365-Tenant im folgenden Umfeld:

  • MS365 Business-Standard (das OHNE Geräteverwaltung/Intune, entsp. "altes" Business-Premium)
  • Bis 5 Client-Rechner pro Tenant
  • KEIN lokaler AD

Ich habe doch im Prinzip folgende Möglichkeiten:

a) Innerhalb der Win10Pro Installationsroutine melde ich mich als Administrator direkt am azure-AD an. Anschließend die MAs mit ihren jeweiligen MS365-Credentials

b) Innerhalb der Win10Pro Installationsroutine wähle ich einen LOKALEN Administrator. Direkt nach der Installation kann ich diesen Admin (und/oder Rechner?) über Einstellungen > Accounts > Access work/school an den Tenant binden. Die User können sich dann selbstständig anmelden (mit jeweiligen MS365-Credentials)

c) Wieder admin lokal aber anschließend lege ich jeweiligen die MA-Konten über Einstellungen > other user > workplace/school direkt mit ihren azure-AD credentials an

d) Ich lege auch alle MAs lokal an (computer management), binde diese aber anschließend innerhalb ihres lokalen Accounts an den azure-AD (vgl. b) mit dem admin über Einstellung > Accounts > Access work/school > connect

e) Alle Konten lokal - innerhalb des users melde ich mich bei office.com an und installiere ggfs. die MS365-Software lokal

Ich glaube das waren alle Optionen?!

Mir ist natürlich klar, dass eine direkte Einbindung in den AD viele Vorteile bei der Rechnerbereitstellung und Verwaltung hat - ähnlich einem lokalen AD. Aber wie sieht das bei 365-Lizenzen ohne Gerätemanagement/Intune aus?

Content-Key: 4109986434

Url: https://administrator.de/contentid/4109986434

Printed on: December 4, 2022 at 00:12 o'clock

Member: Visucius
Visucius Sep 30, 2022 at 13:45:20 (UTC)
Goto Top
Hm 118 Aufrufe und keiner traut sich?!

Habe ich mich jetzt bin in alle Zeiten blamiert und ihr haltet Euch vornehm zurück oder ist die Frage komplett missverständlich? ­čśĆ
Member: Mr-Gustav
Mr-Gustav Sep 30, 2022 at 13:48:54 (UTC)
Goto Top
Schwierig. Was ist dein Ziel ?

Ich würde, wenn auch Office und co genutzt wird, fast sagen mach den Azure AD Join. So kann sich jeder Benutzer mit seiner E-Mail bzw. AzureAD Account anmelden und du musst nicht auf x Geräten die Benutzer x mal anlegen.
ich würde das ganze gleich bei der Erstinstallation machen.

Darf man fragen welche Office / Microsoft Lizenzen ( Basic / STD / PREM / E3 / E% ) zum Einsatz kommen ?
Member: Visucius
Visucius Sep 30, 2022 at 13:52:26 (UTC)
Goto Top
Natürlich darf man!

Business Standard (nach aktuelle "Benahmung"). Dieses welches ohne Intune
Member: Cloudrakete
Cloudrakete Sep 30, 2022 at 16:24:07 (UTC)
Goto Top
Moin,

Mir fallen keine weiteren Optionen (neben deinen genannten ein)
Die Frage die ich mir stelle ist, ob in deinem Use-Case nicht das Upgrade zu M365 Business Premium (Kann Intune) günstiger wäre.
Jeder deiner genannten Varianten kostet nicht unerheblich Arbeitszeit. Ich stelle mal (ohne nachzurechnen) die Behauptung auf, dass sich die Mehrkosten durch die Lizenz, durch deine Arbeitszeit aufheben.

Das trifft natürlich nur dann zu, wenn hier auch regelmäßig neue Geräte dazukommen. Wenn du einmal deine 5 Devices von Hand durch hast, und dann nichts mehr dazu kommt, werden sich die monatlichen Mehrkosten von ca. 10EUR nie rentieren ... versteht sich von selbst
Member: Visucius
Visucius Sep 30, 2022 updated at 19:16:06 (UTC)
Goto Top
Das trifft natürlich nur dann zu, wenn hier auch regelmäßig neue Geräte dazukommen.

Das ist in diesen Setups eher nicht der Fall. Ich tendiere jetzt mit 2FA eigentlich zu b). Die Leute haben ein PW weniger, können sich selber an einer anderen Maschine anmelden … manuelles Nacharbeiten dann ggf. per Fernwartung. Und ich hab nen lokalen Admin, falls Microsoft mich nicht mehr lieb hat ­čśĆ

Das hier hatte mich allerdings mal ziemlich geärgert. Hoffe mal, das war ein Einzelschicksal ­čśĆ
https://administrator.de/forum/rdp-bei-azure-365-business-konto-21009734 ...
Member: Cloudrakete
Cloudrakete Sep 30, 2022 at 20:39:50 (UTC)
Goto Top
In deinem Use-Case würde ich es auch so machen. So hast du das beste aus beiden Welten für den schmalsten Taler.
Member: Roadmax
Roadmax Oct 01, 2022 at 08:30:17 (UTC)
Goto Top
Wie sieht es eigentlich mit der Performance von Variante b) aus, wenn man z.B. 200+ Clients hat und kein internes AD mehr betreibt? Oder sollte man dann besser auf jeden Fall einen internen betreiben und den mit MS Azure Online synchronisieren?
Member: Cloudrakete
Cloudrakete Oct 01, 2022 at 10:38:54 (UTC)
Goto Top
Das "interne" AD braucht man nur, weil es schon vor der Cloud hatte und da zuviel dranhängt.
Wenn Du auf der Grünen Wiese "cloud only" gestartet hast, solltest Du dir kein lokales AD ans Bein binden.

Lizenzier lieber Intune nach und provisioniere von hier aus alles.
Member: TomTomBon
TomTomBon Oct 06, 2022 at 14:31:58 (UTC)
Goto Top
Zitat von @Visucius:

Hm 118 Aufrufe und keiner traut sich?!


Moin,

wir haben dort nichts bekommen wo wir testen können.
Ich schwimme und fluche was Azure / AAD / AzureExchange und Co betrifft face-sad