visucius
Goto Top

MS365 Windows-Setup

Hallo in die erlauchte Runde,

mal wieder eine eher "allgemeine" Setup-Frage. Man soll sein handeln ja laufend hinterfragen face-wink

Gegeben sei eine (kleine) MS365 Business Premium Umgebung mit 3-5 Rechnern. Bisher ohne lokale Domäne. Aber mit teilw. wechselnden Nutzern pro Rechner.

Jetzt hätte ich ja grundsätzlich folgende Möglichkeiten:

a) Windows Rechner lokal aufsetzen alle Nutzer lokal anlegen und sie dazu verdonnern auf dem Server zu arbeiten. So wie bisher in etwa mit den üblichen Problemen bei Passwort-Wechsel, lokalen Einstellungen usw. Innerhalb der lokalen User melden die sich dann bei MS365 an (eMails, Lizenzen, OneDrive, ...)

b) Einen lokalen AD (Samba) anlegen, die Rechner direkt darüber anmelden und dann über den AD zu steuern. Der lokale AD könnte sich dann über unterschiedliche Setups mit dem AzureAD abgleichen. Je nach Setup ist dann einer von beiden "bevorrechtigt".

c) Sich gleich beim Setup der Rechner (nur) mit dem (jeweiligen) MS365-Account anzumelden (AzureAD?) und sich den lokalen AD sparen.

Mit c) habe ich "geliebäugelt", weil das nach "aus einem Guss" klingt. Mir ist klar, dass die Freiheiten hier deutlich kleiner als beim lokalen (Samba)-AD sind. Aber für das Mini-Setup lohnt das lokale doch auch gar nicht?! Auf der anderen Seite habe ich bei diesem Setup auf der Maschine keine "lokalen User" im "Computer-Management" und fühle mich dann doch etwas ausgeliefert face-wink

Macht c) überhaupt Sinn?! Wäre es evtl. nicht sinnvoller den Rechner bei der Installation mit nem lokalen Admin "grundzukonfigurieren" und die User melden sich dann erst mit MS365 an?! Oder hat das bei der Verwaltung der Geräte später Nachteile?!

Ich habe zwar versucht mir das auch etwas anzulesen und auch selber auszuprobieren - aber so ein bisschen Feedback aus der Praxis wäre wohl hilfreich, damit ich mich nachher nicht "in den Hintern beiß" face-wink

VG

Content-ID: 914720504

Url: https://administrator.de/contentid/914720504

Ausgedruckt am: 25.11.2024 um 03:11 Uhr

Bodennebel
Lösung Bodennebel 05.07.2021 um 22:43:20 Uhr
Goto Top
So lange alle Anwender einen MS365-Account haben, spricht bei der von Dir angegeben Umgebung meiner Meinung nach nichts gegen c). Eine Hybrid-Umgebung bei 3-5 PCs kommt mir etwas Overkill vor.
Ich habe das so ähnlich: auf meinem Desktop melde ich mich ganz klassisch mit einem lokalen Benutzer an und von dort aus greife ich dann mit meinen MS365-Domänenbenutzern (MS365 Business Standard und Essentials, verschiedene Domänen) auf die MS365-Anwendungen zu (Outlook-Konten, OneDrive, etc.). Könnte ich zwar umstellen, aber funktioniert ja.
Meinen Laptop (Surface Laptop 3 for Business) habe ich auch erst mit einem lokalen Admin-Konto versehen, das dann aber nicht mehr genutzt, weil ich das Ausprobieren wollte, ob die Anmeldung mit meinem MS365 Business Standard Konto am AzureAD funktioniert (tut es) und wie die Unterschiede zu meinem Desktop-Setup sind. Ich habe mich aber noch nicht weiter mit AzureAD beschäftigt, da ich außer meinen eigenen Geräten nichts zu verwalten habe. Funktioniert auch problemlos.
Kann mich aber nicht mehr erinnern, ob ich die MS365 Apps mit dem lokalen Admin installiert habe oder mit dem MS365-Account. Ich kann gerade nicht nachschauen, ob man aus dem MS365-Konto heraus lokale User/Admins anlegen kann, ansonsten musst Du das halt beim Setup der Rechner machen, bevor Du dich das erste Mal mit einem MS365-Konto anmeldest.
Visucius
Visucius 06.07.2021 aktualisiert um 11:40:32 Uhr
Goto Top
Danke Dir fürs Feedback. Die meisten hier haben ja nen lokalen AD laufen und können sich in meine Minimal-Setups eher nicht reindenken face-wink

Einen Unterschied macht es – wenn man so drüber nachdenkt – im PW-Handling.

Bisher sind die täglich genutzten lokalen PW eher "schwach" und das Cloud-PW – die habe ich selber gesetzt – sehr umfangreich, weil dieses ja eh nur 1-2 mal im Jahr von den MAs abgefragt wird.

Mit dem AzureAD müssen sie die MAs jeden Morgen mit dem umfangreichen Cloud-PW am lokalen Rechner anmelden.

Am Ende bleibt immer das Problem der PW-Synchronisierung zwischen intern und Cloud face-wink
NixVerstehen
Lösung NixVerstehen 06.07.2021 aktualisiert um 22:23:15 Uhr
Goto Top
Zitat von @Visucius:

Danke Dir fürs Feedback. Die meisten hier haben ja nen lokalen AD laufen und können sich in meine Minimal-Setups eher nicht reindenken face-wink

Einen Unterschied macht es – wenn man so drüber nachdenkt – im PW-Handling.

Bisher sind die täglich genutzten lokalen PW eher "schwach" und das Cloud-PW – die habe ich selber gesetzt – sehr umfangreich, weil dieses ja eh nur 1-2 mal im Jahr von den MAs abgefragt wird.

Mit dem AzureAD müssen sie die MAs jeden Morgen mit dem umfangreichen Cloud-PW am lokalen Rechner anmelden.

Am Ende bleibt immer das Problem der PW-Synchronisierung zwischen intern und Cloud face-wink

Hmm...Minimal-Setup und doch schwierig zufriedenstellend zu beantworten. Das Cloud-PW einfacher zu gestalten ist sicher keine gute Idee. Mit einem lokalen Windows-DC ist es auch nicht getan, da Azure AD Connect ja nicht auf einem DC installiert werden sollte, obwohl sich die Nutzung von AAD anbieten würde. Bei M365 Business Premium funktioniert ja "Passwort zurückschreiben ins lokale AD" und Rücksetzung durch den Benutzer über die Cloud. Also braucht man zwei Server...das ist dann wirklich oversized face-smile Aber schau dir mal das Doc von MS an: Authentifizierungsmethoden am Azure AD

Die Methode mit FIDO2-Stick finde ich geschmeidig. Aber auch mit dem MS-Authenticator funktioniert das gut. Hab ich als 2FA für mein M365-Adminkonto. Vielleicht kannst du dich mit einer anderen Auth-Methode anfreunden.

Gruß NV
Visucius
Visucius 07.07.2021 aktualisiert um 18:04:07 Uhr
Goto Top
@NixVerstehen:

Stimmt, Danke Dir. Das wäre ne Möglichkeit die PW-Problematik zu entschärfen. Die MS-Authenticator-App habe ich selber für meinen Account im Einsatz. Bei den MAs allerdings noch nicht. Das müsste ja dann - bei denen(?) - auf das (private) Smartphone?!

Das sehe ich mir aber mal trotzdem genauer an. Gäbe ja auch recht günstige Fido2-Sticks (z.B. Neowave). Und wenn man sich damit "automatisch" einloggen könnte, das kann man glaube ich schon "verkaufen". Alternativ dann "Hello" bei nem Laptop. Wenn ich das richtig sehe, gehen aber die Fingerabdrucksensoren nicht?! face-wink

Aber dann ist die generelle Richtung schon mal klar und ich spare mir nen lokalen Samba-AD, der mich vermutlich ncoh ein paar graue Haare kosten würde, bis sich der mit Azure abgleicht face-wink

VG
NixVerstehen
NixVerstehen 07.07.2021 um 18:33:11 Uhr
Goto Top
Zitat von @Visucius:

@NixVerstehen:

Stimmt, Danke Dir. Das wäre ne Möglichkeit die PW-Problematik zu entschärfen. Die MS-Authenticator-App habe ich selber für meinen Account im Einsatz. Bei den MAs allerdings noch nicht. Das müsste ja dann - bei denen(?) - auf das (private) Smartphone?!

Das sehe ich mir aber mal trotzdem genauer an. Gäbe ja auch recht günstige Fido2-Sticks (z.B. Neowave). Und wenn man sich damit "automatisch" einloggen könnte, das kann man glaube ich schon "verkaufen". Alternativ dann "Hello" bei nem Laptop. Wenn ich das richtig sehe, gehen aber die Fingerabdrucksensoren nicht?! face-wink

Aber dann ist die generelle Richtung schon mal klar und ich spare mir nen lokalen Samba-AD, der mich vermutlich ncoh ein paar graue Haare kosten würde, bis sich der mit Azure abgleicht face-wink

VG

Hi,
ich hab die Auth-App nur für meinen M365-Admin-Account, also komplexes Passwort und die App. Wo immer möglich, setze ich auch privat, MFA ein. Die privaten Handys der User zur Authentifizierung ist so eine Sache. Vom Bauchgefühl eher nicht. Aber Fido2 mit PIN ist sicher eine prima Sache, werde ich auch mal testen. Bei "Hello" und Fingerabdruck musst du schon wieder aufpassen wegen Datenschutz. Meine paar Nutzer hier loggen sich an der Windows-Domäne ein und sind dann automatisch in M365 angemeldet.

Wir hatten hier eine Zeit lang die Netzwerkanmeldung per Datev SmardCard, weil die eh im Einsatz ist. Aber wenn jeder die Smartcard abends aus Faulheit am Rechner stecken lässt ist das auch sinnfrei. Da gilt Jogi Löw's Spruch: Höggschte Disziplin, Männer!

Passwort-Sync geht mit einem Windows-Server problemlos über Azure AD Connect, aber bei M365 Business Standard nur Richtung Cloud. Für's Zurückschreiben ins lokale AD braucht man M365 Business Premium. Mit einem Samba-DC "only" gehts vermutlich gar nicht, siehe hier: MSXFAQ - ADSync mit Samba

Gruß NV