Enterprise Mobility Suite in 10 Minuten–neue Videoserie

Die neue 4-teilige Videoserie zum Thema Enterprise Mobility Suite in maximal 10 Minuten gibt einen Überblick über die Komponenten, sowie einen tieferen Einblick in drei Kernbereiche.

image

Die Enterprise Mobility Suite (EMS) ist ein Produktbundle von mehreren Microsoft Komponenten, die einen sicheren Umgang mit Unternehmensdaten in einer mobilen Arbeitswelt sicherstellt.

Diese Produkt-Kernkomponenten sind Azure Rights Management Service, Microsoft Intune, Azure AD Premium und Advanced Threat Analytics. Des weiteren ist auch die System Center Configuration Manager Client Management Lizenz und die Windows Server CAL inkludiert.

In dieser Videoserie gebe ich einen Überblick, wie in einer hybriden IT Infrastruktur die Enterprise Mobility Komponenten eingesetzt werden und vertiefe drei wesentliche Komponenten:

Veröffentlicht unter Azure, EMS, Lösungen/Werkzeuge

Verknüpfung von Office 365 Azure Active Directory mit Azure Subscription als Grundlage für die Microsoft Enterprise Mobility Security Services

Aufgrund der Anforderung zur Verknüpfung eines bestehenden Azure Active Directory in einem bestehenden Office 365 Tenant mit einer neuen oder bestehenden Azure Subscription, hier die Schritt-für-Schritt Anleitung zur Verknüpfung. Damit wird unter anderem die Grundlage für den Einsatz einzelner Security Komponenten aus dem Microsoft Enterprise Mobility Portfolio gelegt. Wie z.B. der Dokumenten- und Emailschutz mit Azure Rights Management Services, Multi-Faktor-Authentifizierung für sensible Applikationen, Single-Sign-On für unterschiedlichste SaaS Applikationen und Self-Service Passwort Reset. 

image

1. Öffnen des Webbrowsers mit dieser URL https://manage.windowsazure.com.

2. Logon als Azure Service Administrator durch die Eingabe der entsprechenden Emailadresse und auf “Continue” klicken.

image

3. Im Azure Management Fenster auf “New” Button (links unten) klicken.

4. Auswahl von “App Service”, “Active Directory”, “Directory” und auf “Custom Create” klicken.

image

5. Beim “Directory” Auswahlmenü “Use existing directory” auswählen.

image

6. Die Checkbox “I am ready to be signed out now” anhaken.

image

7. Logon als Global Administrator vom Office 365 Tenant. Emailadresse eintragen und “Continue” klicken.

image 

8. Auf “Continue” klicken und der Office 365 Tenant Name wird mit Azure verknüpft. Der Azure Service Administrator wird als Global Administrator zum Office 365 Tenant hinzugefügt.

image

9. Sign-Out des Office 365 Global Administrator und Sign-In als Azure Service Administrator.

image 

10. Überprüfung, dass das Active Directory aufgelistet wird.

image 

11. Sollte der Azure Tenant mehr als eine Subscription beinhalten, dann ist es unter “Settings” möglich eine andere Subscription zum Office 365 Directory zuzuordnen.

image

Weitere Details dazu hier: https://azure.microsoft.com/de-de/documentation/articles/active-directory-how-subscriptions-associated-directory/#die-beziehung-zwischen-einem-azure-abonnement-und-azure-ad

Veröffentlicht unter Azure, EMS, Lösungen/Werkzeuge | Verschlagwortet mit | Kommentar hinterlassen

Azure Workload Backup–Sicherung von Microsoft Exchange, SQL Server, Sharepoint, Hyper-V VM’s und Windows Clients

Mit der Veröffentlichung von Microsoft Azure Workload Backup gibt es nun eine weitere Alternative zur Sicherung von Microsoft Exchange, SQL Server, Sharepoint, Hyper-V VM’s und Windows Clients. Diese Lösung bietet einen weiteren Baustein für die Sicherstellung der Verfügbarkeit von Microsoft Diensten im eigenen Rechenzentrum oder in Microsoft Azure Rechenzentren.

image

Hinter dem Microsoft Azure Workload Backup steckt eine abgespeckte Version des System Center Data Protection Managers. Diese Version enthält keine Tape Integration und keine System Center Operations Manager Integration. Dafür ist die Sicherungssoftware im Rahmen der Azure Backup Lizenzierung auf Basis der Anzahl von virtuellen Maschinen und dem benötigten Azure Blockblob Storage integriert. Der Azure Blockblob ist die kostengünstigste Speichermöglichkeit für Daten (nicht nur Backupdaten) in Azure. Diese Daten werden automatisch dreifach in einem Azure Rechenzentrum ihrer Wahl abgelegt. Der Blockblob Storage kostet aktuell 0,0203€ pro GB pro Monat. Ein detaillierte Auflistung der Backuppreise pro virtueller Maschine gibt es hier: Sicherung

Die Sicherung erfolgt von Datenträger zu Datenträger für eine schnelle Wiederherstellung auf Basis der Volume Shadow Copy Service (VSS) Technologie und sichert inkrementell. Die Archivdaten werden direkt in den Azure Backup Tresor geschrieben und die manuelle Auslagerung von Sicherungsmedien an einen sicheren Zweitstandort ist damit nicht mehr erforderlich. Dabei werden z.B: Wochensicherungen, Monatssicherungen und Jahressicherungen (bis 99 Jahre) in dreifacher Ablage in einem Azure Rechenzentrum gesichert. Auf Wunsch auch geo-redundant.

Diese Sicherungssoftware ist speziell für die Sicherung der Microsoft Workloads ausgelegt und liest automatisiert die entsprechende Konfiguration der Workload aus und sichert z.B. konsistent eine Sharepoint Installation. Die Wiederherstellung ist ebenfalls auf die entsprechende Workload ausgelegt.

Das Azure Workload Backup ist als neue Option direkt im Azure Portal im Backup Bereich zu laden:

image

Die Implementierung des zentralen Sicherungsservers erfolgt entweder auf einem physikalischen Server, als Hyper-V oder VMWare virtuelle Maschine oder auf einer Azure virtuellen Maschine, wenn diese entsprechende Workloads sichern soll, die in Azure betrieben werden. Als Server Betriebssystem für den Backup Server wird der Windows Server 2008 R2, 2012 und 2012 R2 unterstützt.

Vor der Installation des zentralen Servers wird der Backup Tresor in Azure erstellt. Dabei wird neben dem Namen auch die Rechenzentrumsregion ausgewählt, in der die Backupdaten abgelegt werden (z.B. Dublin oder Amsterdam). Danach erfolgt der Download der Sicherungssoftware “Microsoft Azure Backup” aus dem Azure Backup Portal:

image

Diese wird dann auf dem Sicherungsserver mit dem Setup-Wizard installiert. Im Rahmen der Installationsroutine wird auch der Azure Recovery Services Agent installiert und konfiguriert. Hier werden die Zugangsdaten des zuvor erstellten Backuptresors eingegeben, sowie der entsprechende Schlüssel für die Verschlüsselung der Backupdaten erstellt. Mit diesem Schlüssel werden die Backupdaten bevor diese den Sicherungsserver verlassen verschlüsselt. Die verschlüsselten Backupdaten werden dann an den Azure Backup Tresor übermittelt. Dieser Schlüssel muss sicher aufbewahrt werden, da bei Verlust des Schlüssels die Wiederherstellung der Daten aus dem Azure Rechenzentrum nicht mehr möglich ist.

Nach erfolgter Installation werden dem System entsprechende Diskpools zur Verfügung gestellt, auf dem die Datenträger zu Datenträger Sicherung erfolgt. Der Einsatz von Deduplizierung, um Plattenplatz zu optimieren ist hier möglich.

Nun ist der Sicherungsserver bereit und es können die entsprechenden Workloads (Exchange, Sharepoint, SQL Server, Hyper-VM’s und Windows Clients) zur Sicherung eingerichtet werden.

Hier ein Beispiel anhand eines Microsoft SQL Servers:

Einrichten einer “Protection Group”:

image

Auswahl der zu sichernden Datenbanken (die Sicherungssoftware liest die MS SQL Konfiguration automatisch aus dem Server über den installierten Backup Agenten aus):

image

Hier ein Beispiel für die Konfiguration der Aufbewahrungszeiträume für die Archivierung in Azure:

image

Die Wiederherstellung ist ebenfalls Wizard-gesteuert und abhängig von der gesicherten Workload werden unterschiedliche Wiederherstellungsmaßnahmen vorgeschlagen:

image

Die detaillierte Anleitung für die Verwendung der neuen Azure Workload Backup Variante ist hier verfügbar: https://azure.microsoft.com/de-de/documentation/articles/backup-azure-microsoft-azure-backup/

Veröffentlicht unter Azure, Lösungen/Werkzeuge

Microsoft Security Intelligence Report Vol. 18 verfügbar–wo liegt Österreich im internationalen Vergleich?

Microsoft hat wieder einen aktualisierten Security Intelligence Report veröffentlicht. Dieser Report gibt auf Basis der Daten des dritten und vierten Quartals des Jahres 2014 wieder einen Einblick in die weltweite Bedrohung durch Schadsoftware, Sicherheitslücken, sowie deren Ausnutzung und unsicheren Webseiten.

image

In diesem Bericht werden im Kapitel “Mitigating Risk” auch die Erfahrungen der Microsoft internen IT mit den über 600.000 verwalteten Geräten veröffentlicht. Hier eine Darstellung der Top-Kategorien von Malware und unerwünschter Software des zweiten Halbjahres 2014, die bei Microsoft internen Geräten aufgetreten sind:

image

 

Im Anhang C des Berichts werden die weltweiten Infektionsraten der einzelnen Länder aufgeführt. Im weltweiten Vergleich ist Österreich besser als der Durchschnitt:

image

Hier ein Überblick der weltweiten Infektionslandkarte des vierten Quartals 2014:

image

Die aktuellen Top 5 Länder mit der geringsten Infektionsrate im vierten Quartal 2014 sind:

  • Schweiz
  • Norwegen
  • Dänemark
  • Japan
  • Finnland

 

Der Bericht geht auch auf die einzelnen Microsoft Betriebssysteme ein und zeigt auf, wie häufig und wo Betriebssysteme ohne zusätzlichen Schutz betrieben werden und wie die entsprechenden Infektionsraten der einzelnen Versionen aussehen:image

 

Speziell für die österreichische Sicht steht im Rahmen der Security Intelligence Report Serie der “Regional Threat Assessment” Report zur Verfügung. Dieser gibt auf den Seiten 45 bis 53 einen detaillierten Einblick zur österreichischen Sicherheitslage. Erfreulich ist die Tatsache, dass die Infektionslage kontinuierlich rückläufig ist:

image

Hier ein Einblick in die Malware Kategorien von Österreich im internationalen Vergleich:

image

 

Der Security Intelligence Report (SIR) in der neuen Version 18 steht hier zum kostenlosen Download zur Verfügung: http://download.microsoft.com/download/7/1/A/71ABB4EC-E255-4DAF-9496-A46D67D875CD/Microsoft_Security_Intelligence_Report_Volume_18_English.pdf

Die gesamte Reportserie (inkl. dem Regional Threat Assessment) steht hier zum kostenlosen Download zur Verfügung: http://www.microsoft.com/en-us/download/details.aspx?id=46928

Veröffentlicht unter Security

Schnelles Storage für virtuelle Maschinen in Azure

Microsoft hat die generelle Verfügbarkeit von schnellem, permanenten Storage u.a. für virtuelle Maschinen in einigen Microsoft Azure Rechenzentrums-Regionen bekannt gegeben. Damit steht dem Produktiveinsatz des “Azure Premium Storage” nichts mehr im Wege.

image

Das “Azure Premium Storage” verwendet Hochleistungs-Solid-State-Drives (SSD’s) und ist daher für I/O intensive Anwendungen mit hohem Durchsatz und geringen Latenzzeiten ausgelegt. Das “Premium Storage” wird z.B. bei virtuellen Maschinen als Datenträger eingebunden. Es können auch abhängig vom Maschinentyp mehrere “Premium Storage” Datenträger in einer virtuellen Maschine eingebunden werden, um so einen noch höheren Durchsatz zu erreichen. Damit sind max. 32 TB Speicher und über 50.000 IOPs (Input/Output Operations Per Second) pro virtueller Maschine möglich.

Der “Premium Storage” kann nur in Verbindung mit virtuellen Maschinen des Typs “DS” verwendet werden. In diesen Maschinentypen ist auch die Mischung von “Premium Storage” und “normalen” Datenträgern möglich.

image

Für die erstmalige Verwendung wird ein eigenes “Premium Storage” Speicherkonto im Azure Preview Portal angelegt (auf “Alles anzeigen” klicken, damit dieser sichtbar wird):

image

Hier ein Überblick über die drei möglichen Datenträgertypen:

image

Das Azure Premium Storage steht derzeit in folgenden Azure Rechenzentrums-Regionen für den Produktiveinsatz zur Verfügung:

  • West Europe
  • West US
  • East US 2
  • Southeast Asia
  • Japan West

 

Weitere Informationen zum Azure Premium Storage sind hier verfügbar: http://azure.microsoft.com/de-de/services/storage/premium-storage/

Technische Details zum Azure Premium Storage sind hier verfügbar:

http://azure.microsoft.com/en-us/documentation/articles/storage-premium-storage-preview-portal/

http://azure.microsoft.com/de-de/documentation/articles/storage-premium-storage-preview-portal/

Veröffentlicht unter Azure, Lösungen/Werkzeuge

Neues Azure Backup Preismodell und Disaster Recovery für VMWare virtuelle Maschinen und physikalische Server in Azure als Vorschau

Änderung des Azure Backup Preismodells:

Microsoft ändert mit 1.4.2015 das Azure Backup Preismodell. Die Änderung des Modells bringt eine Ersparnis um bis zu 77%. Diese Preisänderung ist dadurch begründet, dass neben einem Service, der pro geschützter Instanz verrechnet wird, nun der Standard Block-Blob-Speicher zur Anwendung kommt. Bei der Konfiguration des Backups wird entschieden, ob der Speicher für das Backup lokal redundant (LRS) (mehrfache Ablage der Daten in einem Azure Rechenzentrum) oder geografisch redundant (GRS) (zusätzliche mehrfache Ablage der Daten in einem mehreren hundert Kilometern entfernten Azure Rechenzentrum).

image

Hier ein kleines Rechenbeispiel, dass die “alte” Azure Backup Lizenzierung mit der ab 1.4.2015 gültigen Lizenzierung mit den beiden Storage Optionen vergleicht:

File/Folder Backup für 500GB für eine Instanz im Vergleich:

  • Backup alt: 495 GB (die ersten 5 GB waren frei) * 0,149€ = 73,76€/Monat
  • Backup neu mit LRS: 7,477€ + (500 GB * 0,0179€) = 16,40€/Monat
  • Backup neu mit GRS: 7,477€ + (500 GB * 0,0358€) = 25,35€/Monat

Details zur Azure Backup Lizenzierung sind hier verfügbar: http://azure.microsoft.com/de-de/pricing/details/backup/

 

Vorschau des Azure Disaster Recovery Dienstes für virtuelle VMWare Maschinen und physikalische Server:

Microsoft hat kürzlich die InMage Scout-Technologie erworben und stellt nun die Replikation von virtuellen VMWare Maschinen und physikalischen Servern ins Azure Rechenzentrum als Vorschau zur Verfügung. Damit werden diese Server permanent in das Azure Rechenzentrum repliziert, um bei Ausfall des eigenen Rechenzentrums diese Maschinen direkt in Azure hochzufahren, um das Service weiter zu betreiben. Steht das eigene Rechenzentrum wieder zur Verfügung, werden die Services wieder zurück verschoben.

image

Aber auch Testszenarien sind denkbar. Hier wird z.B. eine neue Applikations-Version in Azure entwickelt und dann in die Produktionsumgebung im eigenen Rechenzentrum in Betrieb genommen. Auch Migrationen von Servern nach Azure können damit abgedeckt werden.

Für die Verwendung des Azure Site Recovery Services speziell für VMWare und physikalischen Umgebungen werden keine Zusatzkosten zu dem bekannten Lizenzmodell im Hyper-V Umfeld verrechnet. Damit steht dieses Service für 40,22€ pro Monat je geschützter Instanz zur Verfügung. Eine “Lebensversicherung” für ihre wichtigsten Server.

Weitere Informationen zur Replizierung von VMWare Umgebungen: http://azure.microsoft.com/de-de/documentation/articles/hyper-v-recovery-manager-vmware/

Weitere Informationen zur Replizierung von Hyper-V Umgebungen: http://azure.microsoft.com/en-us/documentation/articles/hyper-v-recovery-manager-hypervsite/

Veröffentlicht unter Azure, Lösungen/Werkzeuge | Kommentar hinterlassen

Unternehmens-Mobilitäts-Lösung mit der Microsoft Enterprise Mobility Suite (EMS)

Seit 1.3.2015 steht die Microsoft Enterprise Mobility Suite (EMS) auch via Open Lizenzierung zur Verfügung und stellt damit eine allumfassende Unternehmens-Mobilitäts-Lösung auch für den Klein- und Mittelstand zur Verfügung.

Die Enterprise Mobility Suite ist ein Produktbundle aus Azure Active Directory Premium, Microsoft Intune und Azure Rights Management Service (RMS).

Hier eine grafische Darstellung der einzelnen Produkte mit ihren Kernfunktionen im Überblick:

EMS

Vor allem für Kunden die mehr in Richtung Unternehmens-Mobilität mit Smartphones, Tablets, etc. gehen, ist dieses Bundle hoch interessant, da neben der Geräte- und Applikationsverwaltung mit Microsoft Intune auch weiterführende, vor allem sicherheitstechnische Funktionen, wie Multi-Faktor-Authentifizierung für Applikationen über das Telefon (Anruf, SMS, App) und Datei-/Emailverschlüsselung über Azure RMS enthalten ist.

Meist steht im ersten Schritt Richtung Unternehmens-Mobilität die Verwaltung des Endgerätes (Stichwort: Mobile Device Management (MDM)) im Fokus, um z.B. Vollverschlüsselung auf Smartphones für geschäftskritische Geräte zu aktivieren. EMS geht weit darüber hinaus und bietet eine allumfassende Lösung für das mobile Arbeiten. So wird z.B. im Bereich Informationsschutz das Dokument/Email selbst mittels des RMS Services verschlüsselt und damit wird der Speicherort selbst zum Nebenschauplatz. Selbst ungeschützte USB Sticks können angewendet werden, da die Information selbst verschlüsselt ist und nur berechtigte und authentifizierte Personen Zugriff darauf haben. Dies ist ein wichtiger Bestandteil, da teilweise auch selbst mitgebrachte Geräte/Smartphones in den Arbeitsalltag integriert werden und hier eine Vollverschlüsselung technisch oder organisatorisch nicht umsetzbar ist.

Der sichere Fernzugriff auf Unternehmenssysteme, wie z.B. Webservices, wird durch einen Bestandteil der EMS, dem Azure AD AppProxy realisiert. Hier terminiert der Benutzer im Microsoft Rechenzentrum und wird dort optional vorauthentifiziert, bevor er in das eigene Rechenzentrum weitergeleitet wird. Dadurch erhält der Kunde eine 7*24h, durch Microsoft betriebene, DMZ und etwaige Sicherheitsattacken auf das Service werden durch das Microsoft Rechenzentrum vorab abgeblockt. Das spart nicht nur Bandbreite ins eigene Rechenzentrum sondern erhöht auch die Sicherheit vor Attacken und damit verbundene Ausfälle.

Auch Single-Sign-On zu anderen Software-as-a-Service Anbietern (z.B. Amazon, Ebay, Facebook, Salesforce, Dropbox,…) mit dem eigenen Unternehmens-Account wird durch Azure Active Directory realisiert und erhöht die Sicherheit durch Identitätsverwaltung. Der Passwort-Reset Prozess kann ebenfalls über Azure Active Directory abgebildet werden.

 

Weiterführende Informationen (Datenblatt, Whitepaper, Video,…) zur EMS sind hier verfügbar: http://www.microsoft.com/de-de/server-cloud/products/enterprise-mobility-suite/

Veröffentlicht unter EMS, Lösungen/Werkzeuge