So hat ein fiktives, aber repräsentatives

internationales Unternehmen die

Microsoft Cloud implementiert

Contoso in

der Microsoft

Cloud 1 2 3 4 5Dieses Thema ist 1 von 6 in einer Reihe.

Die Contoso Corporation

Weltweite Gliederung von Contoso

Elemente von Contosos Implementierung der Microsoft Cloud

Netzwerkbetrieb

Der Netzwerkbetrieb umfasst die

Konnektivität mit Microsofts

Cloudangeboten und genügend

Bandbreite, damit auch bei Spitzenlast

Arbeitsfähigkeit gegeben ist. Einige Teile

der Konnektivität erfolgen über lokale

Internetverbindungen, und einige erfolgen

über die Infrastruktur des privaten

Contoso-Netzwerks.

Identität (Identity)

Contoso verwendet eine Windows Server

Active Directory-Gesamtstruktur für seine

internen Identitätsanbieter und stellt einen

Verbund mit anderen Anbietern für Kunden

und Partner her. Contoso muss die internen

Konten für Microsofts Cloudangebote

nutzen. Für Zugriff auf cloudbasierte Apps

für Kunden und Partner müssen auch

Identitätsanbieter anderer Hersteller genutzt

werden.

Sicherheit

Sicherheit für cloudbasierte Identitäten und

Daten muss Datenschutz, Verwaltung mit

Administratorrechten, Berücksichtigung

von Bedrohungen und die

Implementierung von Datengovernance

und Sicherheitsrichtlinien enthalten.

Verwaltung

Die Verwaltung für cloudbasierte Apps und

SaaS-Arbeitslasten erfordert, dass

Einstellungen, Daten, Konten, Richtlinien und

Berechtigungen verwaltet sowie der

gegenwärtige Zustand und die

gegenwärtige Leistung überwacht werden

können. Vorhandene Serververwaltungstools

werden dazu verwendet, virtuelle Computer

in Azure IaaS zu verwalten.

Contosos IT-Architekten haben bei der Planung für die Einbindung von Microsofts Cloudangeboten die folgenden Elemente identifiziert.

Microsoft-Cloud-Identität für

Enterprise-Architekten

Microsoft-Cloud-Identität für

Enterprise-Architekten

Microsoft-Cloudnetzwerke für

Enterprise-Architekten

Microsoft-Cloudnetzwerke für

Enterprise-Architekten

Microsoft-Cloud-Sicherheit für

Enterprise-Architekten

Microsoft-Cloud-Sicherheit für

Enterprise-Architekten

Für Contosos Niederlassungen (Büros) auf der Welt gibt es eine dreistufige Hierarchie.

Die Contoso Corporation ist ein globales Unternehmen mit der Zentrale in Paris, Frankreich. Sie ist ein

Mischkonzern aus Herstellungs-, Vertriebs- und Supportunternehmen mit mehr als 100.000 Produkten.

September 2016 © 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.© 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.

ZweigstellenRegionalstellenZentraleZentrale

Die Unternehmenszentrale von

Contoso Corporation ist ein großer

Unternehmenscampus am Stadtrand

von Paris mit Dutzenden von

Verwaltungs-, Technologie- und

Fertigungsgebäuden. Alle

Rechenzentren und der

Internetauftritt von Contoso sind in

der Pariser Zentrale angesiedelt.

Die Zentrale hat 15.000 Mitarbeiter.

Eine Regionalstelle ist für eine

bestimmte Region der Welt mit 60 %

Verkaufs- und Supportmitarbeitern

zuständig. Jede Regionalstelle ist über

eine WAN-Verbindung mit hoher

Bandbreite mit der Pariser Zentrale

verbunden.

Jede Regionalstelle hat im

Durchschnitt 2.000 Arbeitskräfte.

Eine Zweigstelle hat jeweils 80 %

Verkaufs- und Supportmitarbeiter und

fungiert als physische Präsenz für

Contoso-Kunden in einer wichtigen

Stadt oder Unterregion. Jede

Zweigstelle ist über eine WAN-

Verbindung mit hoher Bandbreite mit

einer Regionalstelle verbunden.

Jede Zweigstelle hat im Durchschnitt

250 Mitarbeiter.

25 % der Belegschaft

von Contoso sind

Mobilmitarbeiter,

wobei der Prozentsatz

der Mobilmitarbeiter

in Regional- und

Zweigstellen höher ist.

Das Bereitstellen von

besserer

Unterstützung für

Mobilmitarbeiter ist

ein wichtiges

Geschäftsziel für

Contoso.

6

So hat ein fiktives, aber repräsentatives

internationales Unternehmen die

Microsoft Cloud implementiert

Contoso in

der Microsoft

Cloud

Contosos IT-Infrastruktur und -Anforderungen

Zuordnung von Contosos Geschäftsanforderungen zu Microsofts Cloudangeboten

Contosos vorhandene IT-Infrastruktur

SaaSSoftware as a Service

Azure PaaSPlatform as a Service

Azure IaaSInfrastructure as a Service

Contoso nutzt eine weitestgehend zentrale lokale IT-Infrastruktur mit Anwendungsrechenzentren in

der Pariser Zentrale.

Contoso ist dabei, von der lokalen zentralen IT-Infrastruktur auf eine cloudeinschließende Infrastruktur umzustellen, die aus cloudbasierten persönlichen Produktivitätsarbeitslasten, Anwendungen und Hybridszenarien besteht.

Contosos Geschäftsanforderungen

Einhalten von regionalen gesetzlichen

Vorschriften

Um Strafen zu verhindern und gute Beziehungen

zu lokalen Behörden beizubehalten, muss Contoso

die Einhaltung von Vorschriften zur

Datenspeicherung- und -verschlüsselung

sicherstellen.

1 Verbessern der Verwaltung von Lieferanten

und Partnern

Das Partnerextranet ist in die Jahre gekommen

und teuer in der Wartung. Contoso möchte es

durch eine cloudbasierte Lösung ersetzen, für die

Verbundauthentifizierung verwendet wird.

2 Verbessern von Produktivität,

Geräteverwaltung und Zugriff für

Mobilmitarbeiter

Contosos Mobilbelegschaft wird größer und

erfordert Geräteverwaltung, damit der Schutz

geistigen Eigentums sowie effizienterer Zugriff auf

Ressourcen gewährleistet sind.

3

Verkleinern der Remotezugriffsinfrastruktur

Durch Verschieben von Ressourcen, auf die

häufig von Remotearbeitskräften zugegriffen

wird, in die Cloud spart Contoso Geld, indem die

Kosten für Wartung und Support der

Remotezugriffslösung verringert werden.

4 Verkleinern von lokalen Rechenzentren

Die Contoso-Rechenzentren umfassen Hunderte

von Servern, von denen einige für ältere oder

Archivierungsfunktionen genutzt werden, was

dazu führt, dass IT-Mitarbeiter davon abgehalten

werden, Arbeitslasten mit hohem Geschäftswert

zu betreuen.

5 Vergrößern der Berechnungs- und

Speicherressourcen für Quartalsabschlüsse

Quartalsabschlüsse und Prognoseverarbeitung

zusammen mit Bestandsverwaltung erfordern

kurzfristig mehr Server und Speicher.

6

September 2016 © 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.© 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.

InternetInternetDMZDMZ

PartnerextranetPartnerextranet

Remotezugriff/

Proxy

Remotezugriff/

Proxy

Öffentliche

Website

Öffentliche

Website

Remote- und

Mobilmitarbeiter

Remote- und

Mobilmitarbeiter

Interne FirewallInterne Firewall Externe FirewallExterne Firewall

In Contosos DMZ bieten verschiedene

Servergruppen Folgendes:

Remotezugriff auf das Contoso-Intranet

und Webproxyfunktion für Mitarbeiter

in der Pariser Zentrale

Hosting der öffentlichen Contoso-

Website, über die Kunden Produkte,

Teile oder Zubehör bestellen können

Hosting für das Contoso-

Partnerextranet für die Kommunikation

und Zusammenarbeit mit Partnern

ZentraleZentrale

Anwendungsrech

enzentren

Anwendungsrech

enzentren

Lokale

Mitarbeiter

Lokale

Mitarbeiter

Office 365: Hauptanwendungen

für persönliche und

Gruppenproduktivität in

der Cloud.

Dynamics 365: Verwenden von

cloudbasierter Kunden- und

Lieferantenvewaltung. Entfernen

des Partnerextranets aus der DMZ.

Intune/EMS: Verwalten von iOS-

und Android-Geräten.

Hosten von Verkaufs- und

Supportdokumenten sowie

Informationssystemen mit

cloudbasierten Apps.

Mobile Anwendungen sind

cloudbasiert, statt von Pariser

Datenzentren bereitgestellt zu

werden.

Verschieben von Archivierungs und

Legacysystemen auf cloudbasierte

Server.

Migrieren von wenig verwendeten

Apps und Daten aus lokalen

Rechenzentren.

Hinzufügen von temporären

Servern und temporärem Speicher

für Anforderungen aus einem

Quartalsabschluss.

2

1 3

3

3

3 4

5

5

6

5

1 2 3 4 5Dieses Thema ist 2 von 6 in einer Reihe.

6

Pariser CampusPariser CampusRegionalstelleRegionalstelle

Contoso in

der Microsoft

Cloud

Netzwerkbetrieb

Contosos Netzwerkinfrastruktur

Um eine cloudeinschließende Infrastruktur einzuführen, haben Contosos Netzwerktechniker den grundlegenden

Wechsel hinsichtlich der Art vollzogen, wie Netzwerkdatenverkehr an cloudbasierte Dienste gesendet wird. Statt

nur den Datenverkehr zu lokalen Servern und Rechenzentren zu optimieren, ist die gleiche Aufmerksamkeit für die

Optimierung des Datenverkehrs zur Internet-Schnittstelle und über das Internet erforderlich.

So hat ein fiktives, aber repräsentatives

internationales Unternehmen die

Microsoft Cloud implementiert

Contosos App-Infrastruktur

Contoso hat die folgende Netzwerkinfrastruktur.

Lokales Netzwerk

Über WAN-Verbindungen sind die Pariser Zentrale mit Regionalbüros und Regionalbüros mit Zweigstellenbüros in einer Hub and Spoke-Konfiguration verbunden.

In jedem Büro senden Router Datenverkehr an Hosts oder Funkzugriffspunkte in Subnetzen, für die der private IP-Adressraum verwendet wird.

Internetverbindung

Jedes Filialbüro hat seine eigene Internetverbindung über einen Proxyserver.

Dies ist üblicherweise als WAN-Verbindung mit einem lokalen Internetdienstanbieter implementiert, der auch öffentliche IP-Adressen für den Proxyserver bereitstellt.

Internetpräsenz

Contoso ist im Besitz des öffentlichen Domänennamens contoso.com

Die öffentliche Contoso-Website zum Bestellen von Produkten besteht aus einer Gruppe von Servern in einem mit dem Internet verbundenen Rechenzentrum auf dem Pariser Campus.

Contoso verwendet einen öffentlichen /24-IP-Adressbereich im Internet.

Regionale-

Anwendungsserver

Regionale-

Anwendungsserver

Zentrale

Anwendungsrech

enzentren

Zentrale

Anwendungsrech

enzentren

ZweigstelleZweigstelle

CacheserverCacheserver

Contoso hat seine Anwendungs- und Serverinfrastruktur für

Folgendes konzipiert:

Zweigstellen verwenden lokale Cacheserver, um

Dokumente und interne Websites zu speichern, auf die

häufig zugegriffen wird.

Regionalstellen verwenden regionale Anwendungsserver

für die Regional- und Zweigstellenbüros. Diese Server

werden mit den Servern in der Pariser Zentrale

synchronisiert.

Auf dem Pariser Campus befinden sich die Rechenzentren

mit den zentralen-Anwendungsservern, die das gesamte

Unternehmen bedienen.

Für Benutzer in Zweigstellen- oder Regionalbüros können

60 % der von ihnen benötigten Ressourcen von den

Zweigstellen- oder Regionalbüroservern bereitgestellt werden.

Die weiteren 40 % der Ressourcenanforderungen werden über

die WAN-Verbindung mit dem Pariser Campus abgedeckt.

60 %

100 %

Fortsetzung auf der nächsten Seite

1 2 3 4 5Dieses Thema ist 3 von 6 in

einer Reihe.6

September 2016 © 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.© 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.

Netzwerkressourc

en in der Cloud

Contosos Nutzung von ExpressRouteExpressRoute ist eine dedizierte WAN-Verbindung von Ihrem Standort mit einem Microsoft-Peeringstandort, in dem Ihr Netzwerk mit dem Microsoft-Cloudnetzwerk verbunden wird. ExpressRoute-Verbindungen bieten vorhersehbare Leistung und eine Verfügbarkeit von 99,9 % gemäß SLA (Vereinbarung zum Servicelevel).

Mit einer ExpressRoute-Verbindung sind Sie mit dem Microsoft-Cloudnetzwerk und allen Microsoft-Rechenzentrumsstandorten auf demselben Kontinent verbunden. Der Datenverkehr zwischen dem Cloud-Peeringstandort und dem Microsoft-Zielrechenzentrum wird über das Microsoft-Cloudnetzwerk übertragen.

Mit ExpressRoute Premium können Sie jedes Microsoft-Rechenzentrum auf jedem Kontinent von einem beliebigen Microsoft-Peeringstandort auf jedem Kontinent erreichen. Der Datenverkehr zwischen Kontinenten wird über das Microsoft-Cloudnetzwerk übertragen.

Optimieren von Mitarbeitercomputern für

Internetzugriff

Einzelne Computer werden überprüft werden, um

sicherzustellen, dass Folgendes in neuester Version

installiert ist: TCP/IP-Stapel, Browser, NIC-Treiber

sowie Sicherheits- und Betriebssystemupdates.

1 Analysieren der Internetnutzung in jedem

Büro und ggf. mehr Bandbreite

Jedes Büro wird hinsichtlich seiner aktuellen

Internetnutzung analysiert, und die Bandbreite

der WAN-Verbindung wird erhöht, wenn die

Auslastung bei 70 % oder darüber liegt.

2 Analysieren der DMZ-Systeme in jedem Büro

hinsichtlich optimaler Leistung

Firewalls, Angriffserkennungssysteme und

andere Systeme im Internetpfad werden

hinsichtlich optimaler Leistung analysiert.

Proxyserver werden nach Bedarf aktualisiert

(Update oder Upgrade).

3

Contosos Weg zur Nutzung des Cloudnetzwerks

Es folgen die Ergebnisse von Contosos Analyse der Änderungen, die im eigenen Netzwerk erforderlich

sind, um die unterschiedlichen Kategorien von Microsofts Cloudangeboten zu berücksichtigen.

Die erfolgreiche Akzeptanz von SaaS-Diensten durch

Benutzer ist von einer hochverfügbaren und

leistungsfähigen Konnektivität mit dem Internet oder

direkt mit den Microsoft-Clouddiensten abhängig.

Für mobile Benutzer werden deren aktuelle

Internetzugänge als ausreichend angenommen.

Für Benutzer des Contoso-Intranets muss jedes Büro

hinsichtlich Durchsatz zum Internet und

Roundtripzeiten zu Microsofts europäischem

Rechenzentrum, in dem die Office 365-, EMS- und

Dynamics-365-Mandanten gehostet werden,

analysiert und optimiert werden.

SaaS-CloudangeboteOffice 365, EMS und Dynamics 365

Um mobile Mitarbeiter besser unterstützen zu

können, werden ältere Apps und einige

Dateifreigabestandorte überarbeitet und als Azure

PaaS-Apps bereitgestellt. Für eine optimale

Leistung plant Contoso, die neuen Apps über

mehrere Azure-Rechenzentren auf der ganzen Welt

bereitzustellen. Azure Traffic Manager Azure

sendet Anforderungen von Client-Apps

unabhängig davon, ob sie von einem mobilen

Benutzer oder einem Computer im Büro stammen,

an das nächste Azure-Rechenzentrum, auf dem die

App gehostet wird.

Die IT-Abteilung muss PaaS-Anwendungsleistung

und -Datenverkehrsverteilung zu ihrer Lösung für

die Überwachung der Netzwerkintegrität

hinzufügen.

Azure PaaSMobile Anwendungen

Um einige ältere und Archivierungsserver aus den

Rechenzentren auf dem Pariser Campus zu

entfernen und Server für einen Quartalsabschluss

nach Bedarf hinzuzufügen, plant Contoso die

Verwendung von virtuellen Computern, die in

Azure-Infrastrukturdiensten ausgeführt werden.

Die virtuellen Azure-Netzwerke, zu denen diese

Server gehören, müssen für nicht überlappende

Adressbereiche, Routing und integriertes DNS

ausgelegt werden.

Die IT-Abteilung muss diese neuen Server in ihr

Netzwerkverwaltungs- und -überwachungssystem

einbeziehen.

Azure IaaSServerbasierte Arbeitslasten

Contosos Netzwerkanalyse

Anhand der Analyse des aktuellen und zukünftigen Datenverkehrs zu Microsofts Cloudangeboten und den Anforderungen an qualitativ hochwertige Skype-Kommunikation hat Contoso eine Netzwerkbewertung vorgenommen und eine ExpressRoute Premium-Verbindung (von jedem zu jedem Knoten, MPLS-basiert) von der Pariser Zentrale zum Microsoft-Peeringstandort in Europa implementiert.

Gleichbleibende Leistung für

Pariser Campus-Mitarbeiter für

SaaS-Anwendungen

Mit 15.000 Mitarbeitern auf dem Pariser

Campus, die alle gleichzeitig auf

Office 365, Intune und Dynamics 365

zugreifen, möchte Contoso sicherstellen,

dass dieser Zugriff gleichbleibend

leistungsfähig ist und nicht mit regionalem

Internetdatenverkehr konkurriert.

Gleichbleibende Leistung für die

Verwaltung von verteilten Azure

PaaS-Apps

Alle Anwendungsentwickler und alle

Administratoren der IT-Kerninfrastruktur von

Contoso arbeiten auf dem Pariser Campus.

Mit Azure PaaS-Apps, die auf verschiedene

Azure-Rechenzentren auf der ganzen Welt verteilt

sind, benötigt Contoso gleichbleibende Leistung

aus dem Pariser Campus, um die Apps und deren

Speicherressourcen zu verwalten, die aus TB von

Dokumenten bestehen.

Gleichbleibende Leistung für die

Verwaltung von Servern in Azure

IaaS

Contosos Rechenzentrumsadministratoren sind

auf dem Pariser Campus, und die Server, die in

Azure bereitgestellt werden sollen, sind eine

Erweiterung des Pariser Rechenzentrums.

Contoso benötigt gleichbleibende Leistung für

diese neuen Server für Zugriff auf ältere Apps

und Archivierungsspeicher und für

Quartalsabschlüsse.

Hinzufügen von ExpressRoute Premium für

den Pariser Campus

Bietet gleichbleibenden Zugriff auf SaaS-

Cloudangebote für Mitarbeiter des Pariser

Campus und Verwaltung von Azure PaaS- und

IaaS-Arbeitslasten in der ganzen Welt.

4 Erstellen und Testen eines Azure Traffic

Manager-Profils für Azure PaaS-Apps

Es wird ein Azure Traffic Manager-Profil getestet,

in dem die Leistungsroutingmethode verwendet

wird, um Kenntnisse zur Verteilung von

Internetdatenverkehr an regionale Standorte zu

erlangen.

5 Reservieren von privatem Adressraum für

virtuelle Azure-Netzwerke

Reservieren Sie entsprechend der Anzahl von

prognostizierten kurz- und langfristigen Servern

in Azure IaaS privaten Adressraum für virtuelle

Azure-Netzwerke und deren Subnetze.

6

http://aka.ms/tune

Netzwerkplanung und

Leistungsoptimierung für Office 365

http://aka.ms/tune

Netzwerkplanung und

Leistungsoptimierung für Office 365ExpressRoute für Office 365

http://aka.ms/expressrouteoffice365

ExpressRoute für Office 365

http://aka.ms/expressrouteoffice365

Microsoft-Cloudnetzwerke für

Enterprise-Architekten

Microsoft-Cloudnetzwerke für

Enterprise-Architekten

http://aka.ms/cloudarchnetworking

Microsoft-Cloudnetzwerke für

Enterprise-Architekten

http://aka.ms/cloudarchnetworking

Contoso in

der Microsoft

Cloud

Identität (Identity)

Contosos Windows Server Active Directory-Gesamtstruktur

Microsoft bietet eine IDaaS (Identity as a Service, Identität als Dienst) in seinen Cloudangeboten. Um eine

cloudeinschließende Infrastruktur einzuführen, muss für die IDaaS-Lösung von Contoso dessen lokaler

Identitätsanbieter genutzt und Verbundauthentifizierung mit den vorhandenen vertrauenswürdigen

Drittanbieter-Identitätsanbietern einbezogen werden.

So hat ein fiktives, aber repräsentatives

internationales Unternehmen die

Microsoft Cloud implementiert

InternetInternetDMZDMZ

PartnerextranetPartnerextranetÖffentliche

Website

Öffentliche

Website

Kunden und

Partner

Kunden und

Partner

Externe FirewallExterne Firewall

Contosos Infrastruktur der Verbundauthentifizierung

AD FSAD FS

Contoso verwendet eine einzige Windows Server Active Directory-Gesamtstruktur für contoso.com mit sieben Domänen (eine für jede Region der Erde). Die

Zentrale, Regionalstellen und Zweigstellen enthalten Domänencontroller für die lokale Authentifizierung und Autorisierung.

Contoso möchte die Konten und Gruppen in der contoso.com -Gesamtstruktur zur Authentifizierung und Autorisierung seiner cloudbasierten Apps und

Arbeitslasten verwenden.

Contoso lässt Folgendes zu:

Kunden können ihre Microsoft-, Facebook- oder Google

Mail-Konten verwenden, um sich bei ihren öffentlichen

Websites anzumelden.

Lieferanten und Partner können ihre LinkedIn-,

Salesforce- oder Google Mail-Konten verwenden, um

sich beim Partnerextranet anzumelden.

Active Directory Federation Services-Server (AD FS) in der

DMZ authentifizieren Kundenanmeldeinformationen für

Zugriff auf die öffentliche Website und

Partneranmeldeinformationen für Zugriff auf das

Partnerextranet.

Wenn Contoso seine öffentliche Website in eine Azure-Web-

App und sein Partnerextranet in Dynamics 365 überführt hat,

sollen diese Drittanbieter-Identitätsanbieter weiterhin für die

Kunden und Partner verwendet werden.

Dies wird erreicht, indem ein Verbund zwischen Contoso

Azure AD-Mandanten und diesen Drittanbieter-

Identitätsanbieter konfiguriert wird.Fortsetzung auf der nächsten Seite

1 2 3 4 5Dieses Thema ist 4 von 6 in

einer Reihe.6

September 2016 © 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.© 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.

Ressourcen für

Cloudidentität

Verzeichnissynchronisierung für Contosos Windows Server AD-Gesamtstruktur

Contoso hat das Azure AD Connect-Tool auf einem Cluster von Servern in seinem Pariser Rechenzentrum bereitgestellt. Azure AD Connect synchronisiert Änderungen an der Windows Server Active Directory-Gesamtstruktur von contoso.com mit dem Azure AD-Mandanten, der für Contosos Office 365-, EMS-, Dynamics 365- und Azure-Abonnements gemeinsam genutzt wird. Weitere Informationen zu Abonnements, Lizenzen, Benutzerkonten und Mandanten finden Sie im Thema 5.

Contoso hat Verbundauthentifizierung konfiguriert, die einmaliges Anmelden für die Mitarbeiter von Contoso bereitstellt. Wenn ein Benutzer, der sich bereits bei der Windows Server AD-Gesamtstruktur von contoso.com angemeldet hat, auf eine Microsoft SaaS- oder PaaS-Cloudressource zugreift, wird er nicht zur Eingabe eines Kennworts aufgefordert.

Der Datenverkehr für die Verzeichnissynchronisierung wird über die ExpressRoute Premium-Verbindung aus der Unternehmenszentrale an das Microsoft-Cloudnetzwerk übertragen.

Regionalstelle 1 Regionalstelle 2 Regionalstelle 3

Office 365-

Mandant in

Europa

Auth.-Server

ZentraleZentrale

Azure AD

Connect-Server

Azure AD

Connect-Server

Microsoft Cloud

ExpressRoute

Premium

ExpressRoute

Premium

Azure AD-Mandant

Azure AD-Mandant

Azure AD-Mandant

Geografische Verteilung des Contoso-AuthentifizierungsdatenverkehrsDamit Contoso seine Mobil- und Remotemitarbeiter besser unterstützen kann, werden in Contosos Regionalstellen Gruppen von Authentifizierungsservern bereitgestellt. Bei dieser Infrastruktur wird die Last verteilt und werden Redundanz und höhere Leistung geboten, wenn Benutzeranmeldeinformationen für den Zugriff auf Microsoft-Cloudangebote authentifiziert werden, für die der gemeinsame Azure AD-Mandant verwendet wird.

Damit die Last von Authentifizierungsanfragen verteilt wird, hat Contoso Traffic Manager mit einem Profil konfiguriert, in dem die Leistungsroutingmethode verwendet wird, wodurch authentifizierende Clients an die regional nächstgelegene Gruppe von Authentifizierungsservern verwiesen wird.

Redundanz für die Authentifizierungsinfrastruktur der Zentrale in Azure IaaS

Traffic ManagerTraffic Manager

5. Der Clientcomputer sendet eine Authentifizierungsanforderung an einenWebanwendungs-Proxyserver, der die Anforderung an einen AD FS-Server weiterleitet.

6. Der AD FS-Server fordert die Anmeldeinformationen des Benutzers vomClientcomputer an.

7. Der Clientcomputer sendet die Anmeldeinformationen des Benutzers, ohnedass der Benutzer zu einer Eingabe aufgefordert wird.

8. Der AD FS-Server überprüft die Anmeldeinformationen mit einem WindowsServer AD-Domänencontroller in der Regionalstelle und gibt ein Sicherheitstoken an den Clientcomputer zurück.

9. Der Clientcomputer sendet das Sicherheitstoken an Office 365.

10. Nach der erfolgreichen Überprüfung speichert Office 365 dasSicherheitstoken zwischen und sendet die Webseitenanforderung aus Schritt 1 an den Clientcomputer.

1. Der Clientcomputer initiiert eine Kommunikation mit einer Webseite in derOffice 365-Mandantschaft in Europa (z. B. sharepoint.contoso.com

2. Office 365 sendet eine Anforderung zum Senden einesAuthentifizierungsnachweises. Die Anforderung enthält die URL, über die die Authentifizierung erfolgen soll.

3. Der Clientcomputer versucht, den DNS-Namen in der URL zu einer IP-Adresse aufzulösen.

4. Azure Traffic Manager empfängt die DNS-Abfrage und antwortet demClientcomputer mit der IP-Adresse eines Webanwendungs-Proxyservers in der Regionalstelle, die am nächsten zum Clientcomputer liegt.

Beispiel zum Authentifizierungsprozess:

DMZ

Web-App-

Proxys

Web-App-

Proxys

AD FS-ServerAD FS-Server

Regionalstelle

Interne FirewallInterne Firewall

Windows Server

Active Directory-

Domänencontrol

ler

Windows Server

Active Directory-

Domänencontrol

ler

Auth.-

Anford.

DMZ

Web-App-

Proxys

Web-App-

ProxysAD FS-ServerAD FS-Server

ZentraleZentrale

Zentrale

Anwendungsrech

enzentren

Zentrale

Anwendungsrech

enzentren

Interne

Firewall

Interne

Firewall

Virtuelles Netzwerk

ExpressRoute

Premium

ExpressRoute

Premium

Web-App-

Proxys

Web-App-

Proxys

AD FS-ServerAD FS-Server

Auth.-Server

Auth.-Server

Um Redundanz für die Remote- und Mobilmitarbeiter der Pariser Zentrale bereitzustellen, in

der 15.000 Mitarbeiter beschäftigt sind, hat Contoso eine zweite Gruppe von

Anwendungsproxys und AD FS-Servern in Azure IaaS bereitgestellt.

Wenn die primären Authentifizierungsserver in der DMZ der Zentrale nicht mehr verfügbar

sind, schalten die IT-Mitarbeiter zu der redundanten Gruppe, die in Azure IaaS bereitgestellt

ist. Für nachfolgende Authentifizierungsanforderungen von Computern aus Pariser Büros wird

diese Gruppe in Azure IaaS verwendet, bis das Verfügbarkeitsproblem behoben ist.

Damit das Hin- und Zurückschalten funktioniert,

aktualisiert Contoso das Azure Traffic Manager-

Profil so, dass für die Webanwendungsproxys

unterschiedliche Gruppen von IP-Adressen

verwendet werden:

Wenn die DMZ-Authentifizierungsserver

verfügbar sind, werden die IP-Adressen der

Server in der DMZ verwendet.

Wenn die DMZ-Authentifizierungsserver

nicht verfügbar sind, werden die IP-Adressen

der Server in Azure IaaS verwendet.

http://go.microsoft.com/fwlink/p/?LinkId=524282http://go.microsoft.com/fwlink/p/?LinkId=524282

Infografik: Cloud-Identitäts- und

Zugriffsverwaltung

http://go.microsoft.com/fwlink/p/?LinkId=524281http://go.microsoft.com/fwlink/p/?LinkId=524281

Synchronizing your directory with

Office 365 is easy

Clientcomputer

GatewayGateway

Microsoft-Cloud-Identität für

Enterprise-Architekten

http://aka.ms/cloudarchidentity

Microsoft-Cloud-Identität für

Enterprise-Architekten

http://aka.ms/cloudarchidentity

Contoso in

der Microsoft

Cloud

Abonnements, Lizenzen und Benutzerkonten

September 2016 © 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.© 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.

Contosos Struktur

Um eine durchgängige Verwendung von Identitäten und Abrechnung für alle Cloudangebote anzubieten, stellt Microsoft eine

Hierarchie aus Organisation/Abonnements/Lizenzen/Benutzerkonten bereit.

So hat ein fiktives, aber repräsentatives

internationales Unternehmen die

Microsoft Cloud implementiert

Intune/EMS500 LizenzenIntune/EMS500 Lizenzen

Dynamics 365100 LizenzenDynamics 365100 Lizenzen

Regionale Azure-Abonnements

Regionale Azure-Abonnements

Contoso Corporation

Azure AD-Mandant

Azure AD-Mandant

Office 365Office 365

Enterprise E3500 Lizenzen

Benutzerkonten, die aus der Windows Server

Active Directory-Gesamtstruktur contoso.com

synchronisiert werden

Enterprise E5200 Lizenzen

Contosos Azure-Abonnements Contoso hat die folgende Hierarchie für seine Azure-

Abonnements entwickelt:

Contoso nimmt die oberste Position ein, basierend auf

seinem Enterprise Agreement mit Microsoft.

Es gibt eine Reihe von Konten, die den verschiedenen

Regionen der Contoso Corporation auf der ganzen Welt

entsprechen, basierend auf den Domänen von Contosos

Windows Server Active Directory-Gesamtstruktur.

In jeder Region gibt es mindestens ein Abonnement, das sich

nach den Entwicklungs-, Test- und

Produktionsbereitstellungsanforderungen der Region richtet.

Jedes Azure-Abonnement kann einem einzelnen Azure AD-

Mandanten zugeordnet werden, der Benutzerkonten und

Gruppen für die Authentifizierung und Autorisierung bei Azure-

Diensten enthält. Für Produktionsabonnements wird der

allgemeine Contoso Azure AD-Mandant verwendet.

Organisation (Unternehmen)

Die Geschäftseinheit, die Microsoft-

Cloudangebote verwendet und

üblicherweise durch einen öffentlichen

DNS-Domänennamen identifiziert wird, z.

B. contoso.com

Abonnements

Für Microsoft SaaS-Cloudangebote

(Office 365, Intune/EMS und Dynamics

365) ist ein Abonnement ein bestimmtes

Produkt und eine gekaufte Menge von

Benutzerlizenzen.

Für Azure ermöglicht ein Abonnement die

Abrechnung von genutzten

Clouddiensten für die Organisation.

Lizenzen

Für Microsoft SaaS-Cloudangebote

ermöglicht eine Lizenz einem bestimmten

Benutzerkonto, Clouddienste zu nutzen.

Für Azure werden Softwarelizenzen in

einer Dienstpreisgestaltung abgebildet, in

einigen Fällen müssen Sie aber zusätzliche

Softwarelizenzen erwerben.

Benutzerkonten

Benutzerkonten werden in einem Azure

AD-Mandanten gespeichert und können

aus einem lokalen Identitätsanbieter, z. B.

Windows Server Active Directory,

synchronisiert werden.

Organisation Die Contoso Corporation wird durch ihren öffentlichen Domänennamen contoso.com gekennzeichnet.

Abonnements und Lizenzen In der Contoso Corporation wird Folgendes verwendet:

Das Produkt Office 365 Enterprise E3 mit 500 Lizenzen Das Produkt Office 365 Enterprise E5 mit 200 Lizenzen Das Produkt EMS mit 500 Lizenzen Das Produkt Dynamics 365 mit 100 Lizenzen Mehrere Azure-Abonnements auf Basis von Regionen

Benutzerkonten Ein üblicher Azure AD-Mandant enthält die Liste der Benutzerkonten und Gruppen, die von allen Contoso Abonnements verwendet werden, mit Ausnahme von Azure-Abonnements für Entwickler/Tests.

Für SaaS-Cloudangebote ist der Mandant der regionale Standort, an dem sich die

Server befinden, von denen Clouddienste bereitgestellt werden. Contoso hat

entschieden, dass seine Office 365-, EMS- und Dynamics-365-Mandanten in der

Region Europa gehostet werden sollen.

Azure PaaS-Dienste und -Apps sowie IaaS-IT-Arbeitslasten können Mandanten in

einem beliebigen Azure-Rechenzentrum auf der ganzen Welt haben.

Bei einem Azure AD-Mandanten handelt es sich um eine bestimmte Instanz von

Azure AD, die Konten und Gruppen enthält. Der übliche Azure AD-Mandant, der die

synchronisierten Konten für die Contoso Windows Server AD-Gesamtstruktur enthält,

stellt IDaaS über Microsofts Cloudangebote bereit.

Abonnements, Lizenzen, Konten und Mandanten für Microsofts CloudangeboteAbonnements, Lizenzen, Konten und Mandanten für Microsofts Cloudangebote

Mandanten:

1 2 3 4 5Dieses Thema ist 5 von 6 in einer Reihe.

6

contoso.com

Azure-Abonnements und Richtlinien für KontenAzure-Abonnements und Richtlinien für Konten

Contoso in

der Microsoft

Cloud

SicherheitContoso nimmt die Sicherheit und den Schutz seiner Daten sehr ernst. Für die Umwandlung seiner IT-

Infrastruktur in eine cloudeinschließende Infrastruktur hat sich Contoso vergewissert, dass seine lokalen

Sicherheitsanforderungen in Microsofts Cloudangeboten unterstützt werden und implementiert sind.

So hat ein fiktives, aber repräsentatives

internationales Unternehmen die

Microsoft Cloud implementiert

Zugriffssteuerungslisten für

Zugriff mit geringsten

Rechten

Kontoberechtigungen für Zugriff auf Ressourcen in der Cloud und die zugehörigen Ausführungsrechte müssen den

Richtlinien der geringsten Rechte entsprechen.

Verschlüsselung für Daten,

die in der Cloud gespeichert

sind

Alle Daten, die auf Datenträgern oder an anderer Stelle in der Cloud gespeichert sind, müssen in verschlüsselter Form

vorliegen.

Verschlüsselung für

Datenverkehr über das

Internet

Daten, die über das Internet gesendet werden, dürfen nicht im Nur-Text-Format vorliegen. Es müssen immer HTTPS

Verbindungen, IPsec oder andere End-to-End-Datenverschlüsselungsmethoden verwendet werden.

Strenge Authentifizierung

bei Cloudressourcen

Zugriff auf Cloudressourcen muss authentifiziert werden, und dafür sollte nach Möglichkeit mehrstufige Authentifizierung

verwendet werden.

Contosos Sicherheitsanforderungen in der Cloud

Contosos Klassifizierung der Vertraulichkeit von Daten

Stufe 1: Geringer Geschäftswert

Daten sind verschlüsselt und nur für

authentifizierte Benutzer verfügbar

Erfolgt für alle Daten, die lokal und in cloudbasiertem

Speicher gespeichert sind, und Arbeitslasten, z. B.

Office 365. Daten sind verschlüsselt, während sie sich

im Dienst befinden oder zwischen dem Dienst und

Clientgeräten übertragen werden.

Beispiele für die Daten der Stufe 1 sind normale

Geschäftskommunikation (E-Mail) und Dateien für

Mitarbeiter in der Verwaltung, im Vertrieb oder im

Kundendienst.

Stufe 2: Mittlerer Geschäftswert

Stufe 1 plus strenger Authentifizierung und

Schutz vor Datenverlust

Strenge Authentifizierung umfasst mehrstufige

Authentifizierung mit SMS-Validierung. Mit Schutz vor

Datenverlust wird sichergestellt, dass sensible oder

kritische Daten nicht das lokale Netzwerk verlassen.

Beispiele für Daten der Stufe 2 sind Finanz- und

rechtliche Informationen sowie Forschungs- und

Entwicklungsdaten für neue Produkte.

Stufe 3: Hoher Geschäftswert

Stufe 2 plus höchstmöglicher Verschlüsselung,

Authentifizierung und Überwachung

Die höchstmögliche, den regionalen Regelungen

entsprechende Verschlüsselung für gespeicherte

Daten oder Daten in der Cloud kombiniert mit

mehrstufiger Authentifizierung über Smartcards und

präzise Überwachung und Benachrichtigung.

Beispiele für Daten der Stufe 3 sind

personenbezogene Kunden- und Partnerdaten sowie

technische Produktspezifikationen und proprietäre

Fertigungsverfahren.

Data Classification ToolkitData Classification Toolkit

Anhand der Informationen aus Microsofts Data Classification Toolkit (Toolkit zur Datenklassifizierung) hat Contoso seine Daten

analysiert und die folgenden Stufen festgelegt.

Zuordnung von Microsoft-Cloudangeboten und -Features zu

Contosos Datenstufen

HTTPS für alle Verbindungen Verschlüsselung im

gespeicherten Zustand

Mehrstufige Azure AD-Authentifizierung (MFA) mit SMS

Azure RMS (Rights ManagementService)

Azure AD-MFA mit Smartcards Bedingter Intune-Zugriff

Stufe 1: Geringer Geschäftswert

Stufe 2: Mittlerer Geschäftswert

Stufe 3: Hoher Geschäftswert

Nur HTTPS-Verbindungenzulässig

Dateien verschlüsseln, die inAzure gespeichert sind

Azure Key Vault fürVerschlüsselungsschlüssel verwenden

Azure AD-MFA mit SMS

Azure RMS Azure AD-MFA mit Smartcards

HTTPS oder IPsec fürServerzugriff erfordern

Azure Disk Encryption

MFA (Multi-FactorAuthentication) mit SMS

MFA mit Smartcards

1 2 3 4 5Dieses Thema ist 6 von 6 in

einer Reihe.6

Fortsetzung auf der nächsten Seite

Azure IaaSAzure PaaSSaaS

September 2016 © 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.© 2016 Microsoft Corporation. Alle Rechte vorbehalten. Feedback zu dieser Dokumentation können Sie an CloudAdopt@microsoft.com senden.

Ressourcen für

Cloudsicherheit

Contosos Datenrichtlinien

Optimieren der Administratorkonten für die

Cloud

Bei Contoso wurde eine umfassende Überprüfung

der vorhandenen Windows Server AD-

Administratorkonten vorgenommen und eine

Reihe von Cloud-Administratorkonten und -

gruppen eingerichtet.

1 Ausführen der Analyse für

Datenklassifizierung in drei Stufen

Contoso hat eine sorgfältige Überprüfung

vorgenommen und die drei Stufen bestimmt,

anhand denen die Microsoft-Features für

Cloudangebote festgelegt wurden, mit denen

Contosos wertvollste Daten zu schützen sind.

2 Bestimmen von Zugriffs-, Aufbewahrungs-

und Datensicherungsrichtlinien für

Datenstufen

Auf Basis der Datenstufen hat Contoso

ausführliche Anforderungen festgelegt, die

dazu verwendet werden, zukünftige IT-

Arbeitslasten zu qualifizieren, die in die Cloud

verschoben werden.

3

Contosos Weg zur Cloudsicherheit

Zugriff auf alles zulassen

Zugriff für Mitarbeiter,Subunternehmer und Partner von Contoso zulassen

MFA, TLS und MAM verwenden

Zugriff für Manager undFührungskräfte in Technik und Fertigung zulassen

RMS nur mit verwaltetenNetzwerkgeräten

Stufe 1: Geringer Geschäftswert

Stufe 2: Mittlerer Geschäftswert

Stufe 3: Hoher Geschäftswert

6 Monate

2 Jahre

7 Jahre

Verschlüsselung verwenden

Hashwerte für Datenintegrität verwenden

Digitale Signaturen für Nachweisbarkeit (Unleugbarkeit)

verwenden

Zugriff Datenaufbewahrung Schutz von Daten

Security in a Cloud-Enabled World

Microsoft Virtual Academy Course

http://aka.ms/securecustomermva

Security in a Cloud-Enabled World

Microsoft Virtual Academy Course

http://aka.ms/securecustomermvahttp://aka.ms/o365infoprotect

Schutz von Informationen für

Office 365

http://aka.ms/o365infoprotect

Schutz von Informationen für

Office 365Microsoft-Cloud-Sicherheit für

Enterprise-Architekten

http://aka.ms/cloudarchsecurity

Microsoft-Cloud-Sicherheit für

Enterprise-Architekten

http://aka.ms/cloudarchsecurity