Office 365 Planner–Gelöschte Gruppen wiederherstellen

Administratoren von Office 365 Planner kennen sicher das Problem. Irgendjemand löscht einen Plan und nun? Administratoren können nun aufatmen, denn es gibt seit einiger Zeit die Möglichkeit einen Plan über die PowerShell wiederherzustellen. Öffnen Sie hierzu die Microsoft Azure Directory PowerShell Preview. Ich habe im Vorfeld den Planner-Plan „Dortmund“ gelöscht. Diesen will ich nun wiederherstellen.

Laden Sie als erstes das Modul AzureADPreview. Geben Sie hierzu den Befehl „Import-Module AzureADPreview“ ein.

clip_image002

Melden Sie sich nun mit der PowerShell an Ihrem Tenant an. Geben Sie hierzu den Befehl „Connect-AzureAD“ ein, melden Sie sich dann in dem Anmeldefenster mit Ihren Zugangsdaten an.

clip_image004

Prüfen Sie nun, welche Gruppen (Pläne) gelöscht wurden. Geben Sie hierzu den Befehl „Get-AzureADMSDeletedGroup“ ein.

clip_image006

Kopieren Sie sich die ID in den Zwischenspeicher. Lesen Sie diese nun in die Variable „$RestoreID“ ein. Geben Sie hierzu den folgenden Befehl ein „$RestoreID = „852382a4-94ef-43c1-b933-188786572ff4„.

clip_image008

Stellen Sie nun den Plan wieder her. Geben Sie hierzu den Befehl: “Restore-AzureADMSDeletedDirectoryObject –Id $RestoreID“ ein. Je nach Größe des Plans kann die komplette Wiederherstellung einen Moment dauern.

clip_image010

Advertisements
Veröffentlicht unter Cloud, Office 365, Planner, Uncategorized | Verschlagwortet mit , , , | Kommentar hinterlassen

Project Online – Neue Möglichkeiten mit der PowerShell

Eigentlich wollte ich den Artikel „Langsam ernährt sich das Eichhörnchen“ nennen, denn viele Project Online Administratoren wird bekannt sein, dass die Befehle innerhalb der SharePoint Online für die Verwaltung von Project Online sehr dürftig waren. Nun hat sich etwas getan. Project Online Administratoren haben nun die Möglichkeit die Bereitstellung von PWA über die PowerShell durchzuführen. In diesem Blogbeitrag möchte ich Ihnen zeigen, wie Sie eine PWA-Seite (Project Web App) über die PowerShell bereitstellen können.

Hinweis: Natürlich müssen Sie hierzu die SharePoint Online Management Shell installiert haben. Dies können Sie hier herunterladen. Sollten Sie die PowerShell schon installiert haben, kontrollieren Sie, dass die aktuelle Version mindestens die Version 16.0.73.. besitzt.

clip_image002

Melden Sie sich nun an der PWA an. Geben Sie hierzu den folgenden Befehl ein.

Connect-SPOService -URL https://%5BTENANT%5D-admin.sharepoint.com -credential username@portal.onmicrosoft.com

clip_image004

Filter auf Project Online Seiten

Seit der Einführung von Planner in Office 365 stellt sich nun eine kleine Herausforderung der. Interessant ist zunächst, welche PWA habe ich überhaupt im Einsatz? Sollten Sie nun den Befehl Get-SPOSite eingeben, werden Ihnen allerdings nicht nur die SharePoint und Project Online Seiten angezeigt sondern auch die Planner Seiten, die Ihre Organisation erstellt hat. Hierzu können Sie die Option -Template benutzen. Für Project Online Seiten nutzen Sie „PWA#0“. Geben Sie als erstes den Befehl ein:

Get-SPOSite -Template PWA#0

Ihnen werden nun nur die PWA Seiten innerhalb des Tenants angezeigt.

clip_image006

Um nun eine weitere PWA (Project Web App) breitzustellen, geben Sie den folgenden Befehl ein.

New-SPOSite -Url https://[tenant].sharepoint.com/sites/NAME -Owner admin@[tenant].onmicrosoft.com -StorageQuota 20 -Title „NAME“ -Template PWA#0

image

Danach wird die PWA Seite angelegt. Dies können Sie auch in der SharePoint „SharePoint Admin Center“ erkennen.

clip_image008

Hinweis: Wundern Sie sich nicht, die Bereitstellung dauert genauso lange wie im Browser .

Veröffentlicht unter Project Online, Project Online Premium, Project Online Professional | Verschlagwortet mit , , , | Kommentar hinterlassen

Office 365 Planner – Neue Filterfunktion und Zeitplan

Einige Planner-User wird es vielleicht schon aufgefallen sein, es gibt nun eine neue Möglichkeit Aufgaben zu Filtern und sowie eine neune Ansicht Zeitplan. In diesem Blog-Beitrag möchte ich kurz auf die neuen Funktionen eingehen. 

Filterfunktion

Ab sofort können Aufgaben nach mehreren Kriterien gefiltert werden. Dadurch lassen sich gewünschte Aufgaben schneller auffinden. Hierzu muss der User innerhalb des Ribbon-Menüs einfach nur die gewünschten Filter aktivieren. Hierzu klickt der auf „Filter“ und geben hier einfach die gewünschten Kriterien für die Filterung an. Danach wird die Ansicht sofort an Ihrer Auswahl angepasst.

SNAGHTML5de5ec0

Hinweis: Diese Filterfunktionalität stehen Ihnen selbstverständlich in allen weiteren Planner-Ansichten zur Verfügung.

Zeitplan

Ebenfalls neu ist der Zeitplan in Office 365 Planner. In dieser Ansicht kein ein “Plan” in der Kalenderansicht eigesehen werden. Als Ansicht können Sie eine Wochen– oder Monatsansicht wählen. 

SNAGHTML5e6d725

Das schöne an der neue Ansicht ist, dass Sie den Bearbeitungszustand der jeweiligen Aufgaben direkt angezeigt bekommen. Aufgaben die sich in Bearbeitung befinden erhalten die bekannte Kennzeichnung des Halbkreises. Nicht gestartete Aufgaben erhalten keine Kennzeichnung. Sollten Sie die gewünschte Aufgabe öffnen wollen, So können Sie dies einfach mit einem Doppelklick auf die gewünschte Aufgabe durchführen und schon erhalten Sie das Bearbeitungsmenü. 

SNAGHTML5eddea5

Hinweis: Aufgaben die fertiggestellt wurden, werden automatisch aus der Ansicht entfernt.  

Natürlich können Sie nicht nur Aufgaben einsehen und editieren, sondern auch neue Aufgaben in der Zeitplan-Ansicht hinzufügen. Hier steht Ihnen genau wie in der Board-Ansicht die Möglichkeit zur Verfügung, alle Grundinformationen über das Quick-Edit-Menü einzugeben. Hierzu klicken Sie innerhalb des gewünschten Datums auf das dargestellte Kreuz. Danach öffnet sich das Quick-Editmenü  in dem Sie dann, den Namen des Arbeitspaketes, den gewünschten Bucket – unter dem das Arbeitspaket eingebunden werden soll sowie ein entsprechendes Fälligkeitsdatum ein,  sollten Sie diese Aufgabe schon einer Person zuordnen wollen, können Sie dies ebenfalls abschließend durchführen. über den Quick-Edit durchführen. Alle weitere Informationen zu der Aufgabe, können Sie dann wie gewohnt nachträglich einpflegen.

SNAGHTML5f49ff4

Veröffentlicht unter Office 365, Planner | Verschlagwortet mit , , , | 1 Kommentar

HoloLens – die neue Generation der Kommunikation für die Zukunft?

Seit November 2017 ist die Bechtle AG in Neckarsulm der bisher erste Reseller für die „Augmented Reality Brille“ (AR) HoloLens der Firma Microsoft. Das Schöne daran ist, dass ich nun auch in den Genuss komme, die Brille ausschließlich zu testen. Ziel meiner Blog-Reihe soll es sein, Ihnen meine Einschätzung von Partnerunternehmen oder Werbeseiten zu liefern, die eventuell auch einmal einen kritischen Blick auf die neue Technologie geben. Wie heißt es so schön: „Most Valuable Professional – Independent experts. Real world answer“. Sollten Sie Fragen bzgl. der Einführung oder Szenarien so wie der Technik – Rund um das Thema HoloLens haben, so stehe ich Ihnen natürlich gerne zur Verfügung.

image

HoloLens die etwas andere Brille

Wollen wir uns als Erstes einmal anschauen, wo der Unterschied zwischen einer AR (Augemented Reality) Brille und einer VR (Virtual Reality) Brille ist. Hierzu müssen wir uns die Begriffsbestimmungen der unterschiedlichen „Realitäten“, wie sie im Umgang mit Virtual-Realitys oft benutzt werden, einmal genauer anschauen. Gehen wir davon aus, dass Sie einen Gegenstand in einem Museum betrachten, dann redet man von der einen Realität, da diese nicht von einer Technologie zusätzliche Informationen erhalten. Gehen wir nun davon aus, dass Sie eine Brille tragen, in der ihnen weitere Informationen zum Kunstwerk im Sichtfeld eingeblendet werden, so spricht man von einer erweiterten Realität. Die Darstellung der erweiterten Realität. Dann haben wir noch die virtuelle Realität. Hierbei taucht der Nutzer in eine modellierte digitale Welt ab. Ein gutes Beispiel hierfür ist die Ocolus Rift der Firma (Facebook). Der Nachteil der Brille ist, dass der Anwender „nur“ die digitale Welt. Bei der HoloLens handelt es sich um eine „Mixed Reality“ Brille. Hierbei werden alle Realitäten abgebildet, da dem User in seine Reale Welt die modellierte Welt dargestellt wird und somit die Sinneswahrnehmung erweitert werden kann.

HoloLens unter der Haube

In meinem Lieferumfang war einmal die HoloLens, Transport-Case zzgl. eines Clicker’s. In der HoloLens sind mehrere Kamerasysteme und Sensoren eingebaut. Dadurch kann das Sichtfeld aus unterschieldichen Positionen aufgenommen werden. Die Brille die Umgebung aufnehmen und das virtuelle Objekt entsprechend positionieren. Ein weiterer Vorteil der HoloLens ist, dass keine zusätzliche Hardware benötigt wird. Als Prozessor wird ein Intel auf Basis 32 BIT verwendet. Als Co-Prozessor dient der HPU 1.0 (Holographic Proccessing Unit). Der HPU verarbeitet die gesamten Informationen der Umgebungsdaten und die Benutzereingaben. Hierzu zählen auch die Verarbeitung von Gesten und Sprachdaten. Die HoloLens hat 2 GB RAM und 64 GB Flashspeicher. Eine Netzwerkverbindung kann über WLAN hergestellt werden (Wi-FI 802.11ac). Ebenfalls befinden sich an der Brille zwei Lautsprecher, die genau am Ohr positioniert sind. Aufgrund dessen, dass in der Brille fast ein kompletter Rechner verbaut wurde, schlägt das Gewicht mit 579g etwas zu Buche – aber aufgrund des Erlebnisses nimmt man dies gerne in Kauf. Die Akkulaufzeit beträgt ca. 2-3 Stunden bei aktiver Nutzung, im Standby hält es die Brille gut 2 Wochen aus. Das sind zum einen die Werte, die auf der Webseite zu finden sind, die ich aber auch bei der Nutzung bestätigen kann. Der Klicker stellt sich als sehr praktisch heraus. Dadurch kann die Interaktion mit der Brille verbessert werden. Cortana ist zwar nach der Installation mit an Bord, sollte man die Sprachsteuerung allerdings nutzen wollen, so kann man dies zum jetzigen Zeitpunkt nur auf Englisch. Grundlegend wird die Steuerung der Anwendungen durch schnippen des Zeigefingers und dem Daumen durchgeführt. Bei längerer Verwendung, kann da der Arm allerding ein wenig schwer werden, darum stellt der Clicker eine gute Alternative dar.

Was man allerdings benötigt, ist einmal ein Office 365 Account – wen wundertes. Leider noch immer ein Account mit Live-ID. Grundlegend ist die Verbindung mit Office 365 ausreichend, wer allerdings Bilder oder Videos aufzeichnen möchte, kommt an einem Live-ID-Account noch nicht vorbei.

Applikationen

Sicherlich kennen viele schon die schönen Spiele, wo irgendwelche Raumschiffe aus der Wand geflogen kommen oder aber das Universum berichtet werden kann. Allerdings möchte ich die HoloLens im Fokus auf einem Business Case bewerten. Hier können über den Store, Power Point, Outlook und PowerBI, angeboten. Wie auch zahlreiche andere Applikationen. Natürlich ist die HoloLens nicht dafür gedacht, Microsoft Standardapplikationen zu nutzen, sondern einen Mehrwert für Ihr Unternehmen darzustellen. Hier kann die HoloLens zum Beispiel folgende Branchen unterstützen:

Medizin: Die HoloLens kann einen Arzt während der OP dabei unterstützen, nicht sichtbare Elemente anzuzeigen, indem Livebilder von Röntgen, Ultraschall oder Tomographie dargestellt werden. Ebenfalls kann die HoloLens für die Ärzteausbildung genutzt werden, Befunde oder Erkrankungen zu simulieren.

Armee: Hier können Feldoffensiven geplant und durchgeführt werden, sowie entsprechende Simulationen Was-Wäre-Wenn. Entsprechende Feindbewegungen können im Bataillonsgefechtsstand in Echtzeit dargestellt werden.

Bildung: Einen ganz großen Mehrwert wird diese Technologie allerdings in der Bildung bringen, da hier an virtuellen Objekten geschult werden kann. Ob Biologie, Erdkunde, Physik und Chemie alle Bereiche – und vieles mehr können mit der HoloLens geschult werden.

Maschinenbau: Ist eigentlich der Klassiker, der bei vielen HoloLens Videos oder Berichten genutzt wird. Ingenieure entwerfen etwas und das dazugehörige Modell wird durch die HoloLens virtuell dargestellt. Aber auch zur Fernwartung kann Sie genutzt werden. So erzählte mir ein Kunde, dass Sie in der Entwicklung einer Virtualisierung sind, durch deren Einsatz die HoloLens einem Techniker überall auf der Welt eine Reparaturanleitung darstellen kann. Das interessante dabei ist, dass hier sogar eine Hybrid-Lösung erstellt wird, da der Techniker der die Reparatur ausführt, eine Google-Glasses nutzt um das Problem dem Ingenieur in Deutschland anzuzeigen.

Marketing & Werbung: Werbung spielt in unserer heutigen Zeit eine immer größere Rolle. Hier kann AR genutzt werden, um Möbel die Sie eventuell kaufen wollen in Ihrem Haus zu virtualisieren oder aber Kleidungsstücke anzuprobieren sowie eventuell ein gewünschtes Tattoo zu simulieren.

Wie Sie sehen, gibt es reichlich Szenarien um unterschiedlichste Branchen mit der VR-Technologie zu unterstützen und sicherlich gibt es eine Vielzahl mehr Szenarien als hier beschrieben. Leider gibt es aber auch eine Kehrseite der Medaille, Microsoft liefert die Brille nur mit den Standardapplikationen mit vielen Standard-Apps und Spielen (Beispiele) aus. Die Entwicklung der wunderschönen Welt für Ihr Business müssen Sie selber in die Hand nehmen. Die hieraus resultierenden Entwicklungskosten werden nicht unerheblich sein. Im Laufe der Zeit werden sicherlich einige Hersteller mit einer Standardsoftware für die HoloLens auf den Markt kommen – bis dies so weit ist, wird wohl noch einige Zeit vergehen.

Veröffentlicht unter HoloLens | Verschlagwortet mit , , , | 2 Kommentare

Urlaubszeiten in Gantt-Diagramm anzeigen – Teil 1

Innerhalb von Microsoft Project können Sie die Urlaubstage einer Ressource direkt in den Ressourcenkalender eintragen. Prinzipiell eine gute Sache. Allerdings gibt es bei der Nutzung ein Problem, sollte ein Projektleiter einer Ressource einen Urlaub innerhalb des Ressourcenkalender zuteilen und ist diese Ressource gleichzeitig einem Arbeitspaket zugeteilt, verschiebt sich das Arbeitspaket um die Dauer des Urlaubes. So soll es auch sein – aber schnell vergisst man den Grund für die Verschiebung oder aber der Urlaub wurde durch eine andere Ressource hinzugefügt, genau dann weiß ich eventuell gar nicht, warum es zu einer Verschiebung kommt. Leider gibt es keine Möglichkeit sich die Urlaubstage zu einer Ressource anzuzeigen. Genau hierzu habe ich mir lange überlegt, wie man dieses Problem lösen kann. Ich habe eine Lösung erarbeitet, die ich gerne in dieser Blog-Reihe vorstellen möchte. Leider ist dieses Beispiel nicht ganz einfach, denn wir müssen hier zu VBA greifen und uns selber eine Lösung erstellen. Genau aus dem Grund gibt es eine Blog-Reihe. In diesem Teil werden wir die Test-Datei erstellen und anlegen. In zweiten Teil werden die benötigten User-Forms erstellen und im dritten Teil werden wir den benötigten Code erstellen, um dann diesen mit den erstellten User-Forms zu nutzen.

Lab-Umgebung

Um dieses Beispiel in meiner Blog-Reihe nachzustellen, benötigen Sie eine Project 2016, Project Online Professional 2016 oder kleiner. Getestet habe ich dieses Szenario in Project 2016 sollte aber auch bei älteren Versionen funktionieren. Des Weiteren benötigen Sie die Aktivierung der „Entwicklertools“. Die Aktivierung können Sie unter „Datei -> Optionen -> Entwicklertools“ durchführen.

SNAGHTML1589ca46

Ebenfalls benötigen Sie eine Test-Datei mit den folgenden Inhalten. Öffnen Sie Microsoft Project und geben Sie 3 Arbeitspakete (automatisch geplant) mit einer Dauer von 5 Arbeitstagen ein. Setzen Sie dann die Arbeitspakete in eine Abhängigkeit (Task 1 – Nachfolger 0, Task 2 – Nachfolger 1, Task 3 – Nachfolger 2). Achten Sie darauf, dass der Task 1 an einem Monat beginnt, so das Sie eine Projektlaufzeit von 3 Wochen erhalten. Ihre Ansicht sollte nun wie folgt aussehen.

clip_image002

Als nächstes benötigen wie noch Ressourcen. Wechseln Sie hierzu auf die Ressourcen-Tabelle. Klicken Sie hierzu auf die Registerkarte „Vorgang“ und wählen Sie dann den Button „Gantt-Diagramm“. Wählen Sie im Kontextmenü die Option „Ressource: Tabelle“ aus. Tragen Sie hier nun drei Ressourcen ein. In meinem Beispiel nenne ich diese Bob, Heppo und Buddel. Natürlich können Sie die Namengebung frei wählen. Ansonsten brauchen wir keine weiteren Einstellungen vorzunehmen.

Hinweis: In meinem Beispiel arbeite ich mit dem Standard-Ressourcenkalender. Sollten Sie mit benutzerdefinierten Ressourcenkalendern arbeiten, so wird dieses Beispiel nicht funktionieren. Sollten Sie weitere Fragen bzgl. Anpassungen haben, so stehe ich Ihnen gerne zur Verfügung.

Ihre Ressourcen Tabelle sollte nun wie folgt aussehen:

clip_image004

Teilen Sie nun im letzten Schritt die Ressourcen den entsprechenden Arbeitspaketen hinzu. Wechseln Sie hierzu auf die Ansicht „Gantt Diagramm“. Klicken Sie in der Ribbon auf Gantt-Diagramm und wählen Sie dort im Kontextmenü die Ansicht Gantt-Diagramm. Teilen Sie nun dem Task 1 die Ressource Bob, dem Task 2 die Ressource Buddel und dem Arbeitspaket Task 3 die Ressourcen Bob und Heppo zu. Ich habe dem Task 3 extra zwei Ressourcen zugeteilt, weil dies in unserem weiteren Beispiel eine Besonderheit darstellt. Ihre Ansicht müsste nun wie folgt aussehen.

clip_image006

Speichern Sie nun die Datei ab. In unserem nächsten Teil, werden wir nun die User-Forms (Masken) anlegen.

Veröffentlicht unter MS-Project, Project 2013, Project 2016, Project Online Premium, Project Online Professional | Verschlagwortet mit , , | Kommentar hinterlassen

Installation Azure AD Connect – Installation für Project Online

Nachdem wir in meinem ersten Blogbeitrag das Active Directory für den Einsatz von Azure-AD-Connect eingerichtet haben, können wir nun Azure AD Connect auf den Server installieren. Grundsätzlich gilt, Sie können zwischen zwei Installationsmöglichkeiten wählen. Einmal können Sie die Expressinstallation wählen, wo Sie bei der Bereitstellung nur wenig Einflussmöglichkeiten für die Konfiguration erhalten. Zum anderen können Sie die Option „Benutzerdefinierte Bereitstellung“ wählen, wo Sie die Konfiguration von Azure AD Connect beeinflussen können. In diesem Beispiel werde ich die benutzerdefiniete Bereitstellung wählen, da wir einige Abweichungen von der Standardbereitstellung haben werden.

Hinweis: Bitte beachten Sie, dass Sie in Ihrer Firewall für die Bereitstellung die folgenden Ports freigeben müssen. Vom Azure-AD-Connect zum AD DS Server in der eigenen Infrastruktur: DNS 53 (TCP/UDP), Kerberos 88 (TCP/UDP), MSRPC 135 (TCP/UDP), LDAP 389 (TCP/UDP), RPC 445(TCP/UDP), LDAP/SSL 636 (TCP/UDP) und RPC 49152 – 65535 (TCP/UDP): Vom Azure-AD-Connect Server in Richtung Office 365/Azure http 80 (TCP/UDP) und HTTPS (TCP/UDP).

Papierkorb im Active Directory Activieren

Microsoft empfiehlt für die Bereitstellung von Azure AD Connect die Aktivierung des Active Directory (AD-DS) Papierkorbs. Im Gegensatz zu den Vorgänger Server-Versionen bis 2008, können Sie diese Einstellung nun über das Active Directory Verwaltungscenter vornehmen und brauchen hierzu keine PowerShell mehr. Öffnen Sie das Modul Active Directory Verwaltungscenter. Öffnen Sie hierzu den Servermanager. Klicken Sie im Server-Manager auf „Tools“ in der oberen rechten Ecke und wählen Sie im Kontextmenü den Eintrag „Active-Directory-Verwaltungscenter“. Klicken Sie dann mit der rechten Maustaste auf Ihre Domäne und wählen Sie im Kontextmenü die Option „Papierkorb aktivieren“. Bestätigen Sie die daraufkommende Abfrage mit „OK“. Danach werden Sie noch einmal darauf hingewiesen, dass Sie das Verwaltungscenter noch einmal aktualisieren sollten. Bestätigen Sie dies auch mit „OK“.

clip_image002

Dienst Accounts

Als nächstes legen wir zwei neue Service Accounts im Active Directory an. Einen Service Account benötigen wir um den Dienst des Azure AD Connect zu betreiben. Das andere Konto benötigen wir, um den AD-DS zu durchsuchen. Das Konto für den Azure-AD-Connect nenne ich in meiner Demo-Umgebung (AzureADConnect), das Zugriffkonto für den AD erhält den Namen „AzureADSearch“.

Melden Sie sich hierzu am AD-DS an. Öffnen Sie „Active Directory und -Computer“ und legen Sie die Service Accounts “AzureADConnect” und “AzureADSearch” an. Sollten Sie Azure AD Connect in einer Produktivumgebung anlegen, so empfiehlt es sich, einen gMSA-Account (Group Managed Service Account) zu nutzen.

AzureADConnect: Achten Sie darauf, dass beide ServiceAccounts unter den lokalen Sicherheitseinstellungen die Berechtigungen erhalten, als Dienst ausgeführt zu werden.

clip_image004

Ich habe schon bei vielen Installationen erlebt, dass der Service Account für den AzureADSearch im Kontext des Domänen-Administrator ausgeführt wird. Dies ist natürlich aus Sicherheitsgründen nicht zu empfehlen. Damit ein normaler Service Account die Berechtigung für die Synchronisation von Azure-AD-Connect erhält, müssen folgende Berechtigungen vorgenommen werden.

Öffne Sie Ihre AD-DS und öffnen Sie das Modul „Active-Directory und – Computer“. Aktivieren Sie die Option „Erweitert“ über „Ansichten“. Klicken Sie nun mit der rechten Maustaste auf Ihre Domäne und klicken Sie im Kontextmenü auf die Option „Eigenschaften“. Klicken Sie nun im oberen Bereich auf „Sicherheit“. Fügen Sie hier das Konto „AzureADSearch“ hinzu. Wählen Sie dann im unteren Bereich die Optionen:

  • Verzeichnisänderungen replizieren
  • Alle Verzeichnisreplikationen“ replizieren

clip_image006

aus. Klicken Sie dann im unteren Bereich auf „Erweitert“. Geben Sie ebenfalls dem Service Account die folgenden Berechtigungen.

Prinzipal

Zugriff

Anwenden auf

AzureADSearch

Kennwortzurücksetzen

Untergeordnete „Benutzer“-Objekte

AzureADSearch

Alle Eigenschaften lesen/schreiben

Untergeordnete „InetOrgPerson“-Objekte

AzureADSearch

Alle Eigenschaften lesen/schreiben

Untergeordnete „Gruppe“-Objekte

AzureADSearch

Alle Eigenschaften lesen/schreiben

Untergeordnete „Benutzer“-Objekte

AzureADSearch

Alle Eigenschaften lesen/schreiben

Untergeordnete „Kontakte“-Objekte

AzureADSearch

Alle Eigenschaften lesen/schreiben

Untergeordnete „msDS-Device“-Objekte

clip_image008

Installation Azure-AD-Connect

Laden Sie als erstes Azure-AD-Connect aus dem Internet hier (https://www.microsoft.com/en-us/download/details.aspx?id=47594) herunter. Bitte beachten Sie, dass die Version nur in Englisch existiert. Starte Sie nach dem Download die Setup.

clip_image010

Im nächsten Fenster können Sie nun auf „Anpassungen“ klicken. Dies wird uns auch vorgeschlagen, da die Domäne „motu.erk“ keine routingfähige Domäne ist. Aus dem Grund klicken wir auf „Anpassen“ und führen die Installation weiter aus.

clip_image012

Nachdem wir auf den Button „Anpassen“ geklickt haben, können wir schon einmal die folgenden Informationen eintragen. „Benutzerdefinierten Installationsspeicherort, ich denke die Beschreibung ist selbsterklärend. Vorhandenen SQL Server-Computer verwenden. Hierzu folgendes, sollte Sie die Standardinstallation verwenden, wird zu Azure-AD-Connect die SQL Server Version Express mit bereitgestellt. Hier gilt ein 10 GB Limit. Dadurch könne Sie ungefähr 100.000 Objekte verwalten. Sollten Sie mehr Objekte benötigen, so müssen Sie einen SQL Server (Instanz) nutzen.

Hinweis: Sollte Sie Azure-AD-Connect auf einem SQL Server bereitstellen, so müssen Sie darauf achten, dass die Sortierung von Groß- und Kleinbuchstaben nicht unterstützt wird. Dies können Sie durch die Namenssortierung _CI_ erkennen. Ein _CS_ wird nicht unterstützt.

Vorhandenes Dienstkonto: Markieren Sie die Option und tragen Sie hier den oben angelegten Service Account „AzureADConnect“ ein. Sollten Sie hier keine Änderung vornehmen, wird ein lokaler Service Account eingerichtet.

clip_image014

Da ich in meinem Fall keine benutzerdefinierte Synchronisation durchführen möchte, können wir nun auf „Installieren“ klicken. Nachdem die Installation abgeschlossen wurde, können wir nun die Konfiguration vornehmen. Als erstes müssen wir die Benutzeranmeldung einrichten. Hier haben wir die folgenden Möglichkeiten:

Kennwortsynchronisation: Diese Option ermöglicht Benutzern die Anmeldung in der Cloud mit Hilfe der gleichen Kennwörter, die Sie lokal verwenden. Die Kennwortsynchronisierung speichert oder sendet keine Klartextkennwörter.

Passthrough-Authentifizierung: Durch die Passthrough-Authentifizierung kann Azure Active Directory die lokale Identitätsinfrastruktur zum Authentifizieren von Benutzern verwenden.

Verbund mit AD FS: Diese Option ermöglicht Ihren Benutzern die Verbundanmeldung mit Hilfe von AD FS. Während Sie in Ihrem Unternehmensnetzwerk angemeldet sind, können Ihre Benutzer auf Cloudressourcen zugreifen, ohne Ihre Kennwörter erneut eingeben zu müssen.

Nicht Konfigurieren. Diese Option ermöglicht Ihren Benutzern die Verbundanmeldung mit Hilfe einer Lösung, die nicht von diesem Assistenten verwaltet wird. Während Sie in Ihrem Unternehmensnetzwerk angemeldet sind, können Ihre Benutzer auf Cloudressourcen zugreifen, ohne Ihre Kennwörter erneut eingeben zu müssen.

Belassen Sie hier den Standard und klicken Sie auf weiter.

clip_image016

Geben Sie nun den Globalen Administrator für die Konfiguration ein. Bitte beachten Sie, dass dieser nicht für die spätere Synchronisation dient, sondern wirklich nur für die Einrichtung genutzt wird. Optimalerweise sollte hier in Office 365 ebenfalls ein neues Konto erstellt werden und nicht Standard „Globale-Administrator“ Account genutzt werden.

clip_image018

Nun bauen wir die Verbindung zu unserem AD-DS auf. Hier benutze wir den Service Account „AzureADSearch“ mit den oben genannten Berechtigungen. Um die Domäne hinzuzufügen, klicken Sie bitte auf „Verzeichnis hinzufügen“.

clip_image020

Wie Sie erkennen können, wird das Fenster nicht ganz optimal angezeigt. Für mich war es nicht möglich, weder mit der Maus, noch durch die Änderung der Auflösung das Fenster für die Passworteingabe sichtbar zu bekommen. Hierzu folgende Workaround. Klicken Sie die TAB-Taste nach der Eingabe des Service-Account. Geben Sie dann das Kennwort ein. Die Kennworteingabe muss nicht wiederholt werden. Klicken Sie dann auf „OK“.

clip_image022

Die erfolgreiche Integration wird Ihnen nun wie folgt angezeigt. Klicken Sie auf „Weiter“.

clip_image024

Nun wird von Azure-AD-Connect überprüft, welche Domänen alle zur Verfügung stehen und welche der Domänen zu implementieren sind. In unserem Fall genau richtig. Bei der „motu.erk“ Domäne handelt es sich um eine routebare Domäne, bei der office365-project.de um die richtige. Klicken Sie auf „Weiter“.

clip_image026

Nun können wir die OU’s auswählen, die mit dem Azure-AD (Office 365) synchronisiert werden sollen. In meinem Fall nur die MOTU-OU. Wählen Sie hier Ihre OU’s aus und klicken Sie auf „Weiter“

clip_image028

Nun müssen Sie eingeben, wie Sie die Benutzer auswählen wollen. Sollte ein Benutzer immer nur einmal identifiziert werden, so belassen Sie die Standardeinstellungen. Andernfalls geben Sie den Filter an, der für die Synchronisation verwendet werden soll. Klicken Sie anschließend auf „Weiter“.

clip_image030

Für eine Pilot-Bereitstellung kann es oft nötig sein, die erste Synchronisation über eine Gruppe zur realisieren. Diese kann hier eigetragen werden. Geben Sie bei Bedarf den Namen der Gruppe ein und klicken Sie anschließend auf „Auflösen“. Klicken Sie dann auf „Weiter“.

clip_image032

Abschließend geben Sie noch die Features an, die mit bereitgestellt werden sollen. In meinem Beispiel nur die Passwortsynchronisation.

clip_image034

Nun können Sie Azure-AD-Connect konfigurieren lassen.

Intervall

In der Standardkonfiguration ist es so, dass Azure-AD-Connect alle 30 Minuten eine Synchronisation durchführt. Um sich die Einstellungen anzusehen, öffnen Sie die PowerShell auf dem Azure-AD-Connect Server. Geben Sie anschließend den Befehl Get-“ADSyncScheduler” ein.

clip_image036

Wenn Sie den Intervall auf 15 Minuten ändern wollen, dann geben Sie den Befehl: „Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:15:00“ ein. Kontrollieren Sie danach Ihre Einstellung mit „Get-ADSyncScheduler“

Known-Error

Bei der Installation hatte ich das Problem, dass die Benutzer zwar synchronisert wurden, nicht aber die Kennwörter. Ein Blick in das Event-Log von Azure-AD-Connect war immer ein Permission-Fehler mit der Nummer: 8344 zu lesen. Überprüfen Sie in dem Fall noch einmal die Berechtigungen des „AzureADSearch“ Accounts.

Veröffentlicht unter Azure, Project Online, Project Online Premium, Project Online Professional | Verschlagwortet mit , , , | Kommentar hinterlassen

Installation Azure AD Connect – Prerequisite für Project Online

Wer Project Online im Unternehmen nutzen möchte, kommt auch an dem Thema Infratruktur nicht vorbei. Hier stellt sich oft die Frage, welche Authentifizierungsmöglichkeiten habe ich eigentlich bei Project Online? Nun – Project Online ist ein Bestandteil von Office 365 und somit von Azure. Microsoft bietet Ihnen hier drei Optionen an. Die erste Möglichkeit ist Cloud-Only. Hierbei werden die Benutzer einmal in Ihrem AD-DS gepflegt und autark hierzu in Office 365. Nachteil, Sie müssen immer die ganze Organisation im Auge behalten. Verlässt ein User das Unternehmen, müssen Sie nicht nur den AD-DS Account sperren, sondern auch den Office 365 Account. Etwas vorteilhafter ist da die Verwendung von Azure AD Connect. Hierzu wird ein Programm auf einen Server installiert, welches die Benutzer Synchronisation in Hinsicht der kompletten Identität des Users und die Synchronisation automatisch durchführt. Die letzte Ausbaustufe ist der Verbundsdienst mit AD-FS, welche Reihe ich hier auch schon auf meinem Blog angefangen habe. Aber – Azure AD Connect benötigen Sie auch im Verbund mit AD-FS aus diesem Grund dient der Artikel auch als Erweiterung meiner AD-FS Reihe. In diesem Beitrag werden wir nun die Domäne für den Einsatz von Azure AD Connect vorbereiten.

Hinweis: Um dieses Szenario nachzustellen, benötigen Sie ein Office 365 Tenant (Demo). In diesem Tenant muss schon Ihre Domäne hinterlegt sein. In meinem Beispiel office365-project.de Bitte beachten Sie, dass in der Standardkonfiguration der Azure AD maximal 50.000 Objekte unterstützt werden. Sollten Sie in Ihrem Tenant schon Ihre Top-Level-Domäne integriert haben, wird der Wert auf 300.000 Objekte erhöht. Sollten Sie mehr Objekte besitzen, benötigen Sie Azure AD Basic, Azure AD Premium oder die Enterprise Mobility Security Lizenz.

Als erstes werden wir den AD-DS auf Kompatibilität überprüfen, ob die AD-Struktur eine Verwendung von Azure AD Connect zulässt. Hierzu gib es ein Tool von Microsoft (IdFix). Dieses Tool können Sie hier (https://www.microsoft.com/en-us/download/details.aspx?id=36832) herunterladen. IdFix kann auf einen beliebigen Computer in Ihrer Domäne installiert werden. Als Mindestvoraussetzung zählt; 4 GB RAM (Minimum) und 2 GB freier Festplattenspeicher. Sollten Sie das Programm auf einem Windows Server2008 oder 2012 installieren wollen, so ist das .NET Framework 4.0 wahrscheinlich installiert. Sollte dem nicht so sein, so können Sie dies hier (https://www.microsoft.com/de-de/download/details.aspx?id=17851) herunterladen. Installieren Sie das .Net -Framework auf Ihrem Server. Bitte achten Sie darauf, sollte Ihr Account kein Administratoren Account sein, so muss der User mit dem Sie IdFix ausführen Lese/ bzw. Schreibzugriffe im AD besitzen.

In meinem Beispiel werde ich IdFix auf meinem Azure AD Connect Server ausführen. Bei IdFix handelt es sich um ein Programm welches ohne Installation ausgeführt werden kann. Entpacken Sie die Zip-Datei und starten Sie die EXE. Datei. Drücken Sie auf den Button „Qurey“.

clip_image002

Wie wir schon erkennen können, haben wir ein Problem mit der Toplevel-Domäne. Das ist auch richtig, schließlich haben wir den Fall, dass ich in meinem AD-DS nur meine lokale Domäne habe (routbaren Domäne) nicht aber meine Top-Level Domäne (office365-project.de) somit ist auch noch der UPN (User Pricipal Name auf meine lokale Domäne gesetzt. Hier muss jeder User aber, die Top-Level Domäne (office365-project.net) besitzen, bevor wir die Accounts synchronisieren können.

clip_image004

Vorbereitung des AD-DS

Im nächsten Schritt werden wir die Top-Level-Domäne (Nicht-Routbar) unserm AD-DS hinzufügen. Melden Sie sich hierfür am AD-DS an. Klicken auf Start. Öffnen Sie das Programm “Active Directory Vertrauensstellungen und Domänen”. Klicken Sie im oberen Bereich auf „Aktionen“ und wählen Sie dort im Kontextmenü die Option „Eigenschaften“

clip_image005

Fügen Sie jetzt Ihre Domäne hinzu. In meinem Fall „office365-project.de“. Klicken Sie anschließend auf „Hinzufügen“. Schließen Sie das Fenster mit „OK“ und schließen Sie danach ebenfalls das Fenster „Active Directory Domänen und Vertrauensstellungen.

clip_image007

Hinzufügen des richtigen User-Principal Name

Nun haben wir die Top-Level-Domäne hinzugefügt, müssen aber ebenfalls den UPN bei den Usern ändern. Dieser steht im Moment noch auf der lokalen Domäne (motu.erk) . Hierzu können Sie einmal die PowerShell oder die GUI nutzen. Öffnen Sie auf dem Domänen-Controller „Active Directory Benutzer und Computer“. Öffnen Sie die Eigenschaften eines Benutzers. In meinem Beispiel „adm.torbla“. Klicken Sie auf die Registerkarte „Konto“. Ändern Sie dort den UPN auf die Top-Level Domäne (office365-project.net). Speichern Sie dann die Einstellungen ab.

clip_image009

Wechseln Sie wieder auf den AD-FS-Server und führen Sie die Query erneut aus. Sie sollten nun keine Anzeige mehr erhalten.

clip_image011

Hinweis: In meinem Demo-Lab gab es nur einen User, was in einer Produktiv-Umgebung meistens nicht der Fall ist. Um ein Update auf alle User durchzuführen, können Sie in der PowerShell die CMDlets Get-ADUser und Set-ADUser verwenden. Dadurch können Sie allen Usern relativ einfach den entsprechenden UPN zuweisen. Um sich betroffene User anzusehen, führen Sie bitte den folgenden Befehl aus (ändern Sie den lokalen Domänennamen auf ihren).

Get-ADUser -Filter {UserPrincipalName -like ‚*motul.erk} -Properties userPrincipalName -ResultSetSize $null

clip_image013

Um den UPN zu ändern, geben Sie bitte die folgenden Befehle ein. Passen Sie dabei bitte wieder die Domänen an Ihre Gegebenheiten an.

$LocalUsers = Get-ADUser -Filter {UserPrincipalName -like ‚*domäne.local‘} -Properties userPrincipalName -ResultSetSize $null

$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace(„domäne.local“,“office365-project.de“); $_ | Set-ADUser -UserPrincipalName $newUpn}

Das war’s, sollten Sie noch einmal den obigen Befehl ausführen, werden keine Accounts mehr angezeigt. Alternativ können Sie die Überprüfung aber noch einmal über IDFix durchführen.

Veröffentlicht unter AD-CS, AD-DS, AD-FS, Azure, Cloud | Verschlagwortet mit , , , , | Kommentar hinterlassen