Effiziente SharePoint Installationen On- Premise und in der Cloud

1. Effiziente SharePoint Installationen On-Premise und in der Cloud • SharePoint in der Cloud • Referent: Guido Forster, Trivadis AGConsultant, Competence Center Microsoft SharePoint Microsoft TechTalk

2. AGENDA 09:00 – 09:15 Intro (Speaker,Chhaou-Long Huong, Microsoft SchweizGmbH) 09:15 – 10:30    SharePoint OnPremise  - vom Design biszur Installation gemäss Best Practices Speaker: Danny von Borries, Consultant Trivadis AG 10:30 - 10:45     Kaffeepause 10:45 - 12:00     SharePoint in der Cloud -  Möglichkeiten von hybridenLösungenbishinzum Cloud Service gemäss Best Practices Speaker: Guido Forster, Consultant Trivadis AG 12:00 - 12:15     Q & A Microsoft TechTalk

3. AGENDA: SharePoint in der Cloud • Möglichkeiten von Office 365 und SharePoint Online • Abgrenzung On-Premisevs. Office 365 • Möglichkeiten von Hybridlösungen • Q & A Microsoft TechTalk

4. Möglichkeiten von Office 365 und SharePoint Online Microsoft TechTalk

5. Office 365 SharePoint Online Exchange Online Lync Online …………. und noch vieles mehr! Microsoft TechTalk

6. Office 365 • Office 365 = Cloud-Solutions von Microsoft • Office 365 kann folgende Produkte beinhalten: • SharePoint Online • Exchange Online • Lync Online • Office Professional Plus • Office Web Apps • SkyDrive • Visio Pro, Project Pro, Project Pro, Dynamics CRM Online • Verschiedene Lizenzierungsmodelle möglich: • http://office.microsoft.com/de-ch Microsoft TechTalk

7. Office 365 Lizenzmodelle • Verschiedene Lizenzmodelle: • Privat • Bildungseinrichtungen (Education / Academic) • Behörden / Regierung (Government) • Gemeinnützige Organisationen (Nonprofit) • Unternehmen (Enterprise) Microsoft TechTalk

8. Office 365 Lizenzmodelle • Private Nutzung: • Office 365 Home Premium • Office 2013: Word, Excel, PowerPoint, Outlook, OneNote, Access, Publisher • SkyDrive 20GB (News vom 27. Januar 2014: Neuer Name: OneDrive) • Skype 60 Minuten • -> auf 5 Geräten nutzbar Microsoft TechTalk

9. Office 365 Lizenzmodelle • Private Nutzung: • Office 365 Home Premium Microsoft TechTalk

10. Office 365 Lizenzmodelle • Bildungseinrichtungen (Education / Academic): Microsoft TechTalk

11. Office 365 Lizenzmodelle • Behörden / Regierung (Government): Microsoft TechTalk

12. Office 365 Lizenzmodelle • Gemeinnützige Organisationen (Nonprofit): Microsoft TechTalk

13. Office 365 Lizenzmodelle • Für kleine und mittelständische Unternehmen • Office 365 Small Business • Office 365 Small Business Premium • Office 365 Midsize Business Microsoft TechTalk

14. Office 365 Lizenzmodelle • Für grosse Unternehmen Microsoft TechTalk

15. Office 365 Lizenzmodell „Grosse Unternehmen“ Wechseln der Pläne: (Small -> MidSize -> Enterprise) • War früher nicht möglich. Seit 19.12.2013 nun möglich! • http://blogs.office.com/2013/12/19/you-can-now-switch-plans-to-a-different-office-365-service-family/ Microsoft TechTalk

16. Office 365 • Beispiel für diesen TechTalk: Enterprise-Lizenzen „E3“: Microsoft TechTalk

17. Office 365 • Live Demo Office 365 • Einstieg über https://portal.microsoftonline.com Microsoft TechTalk

18. Abgrenzung On-Premisevs. Office 365 Microsoft TechTalk

19. Abgrenzungen On-Premise vs. Office 365 • Unterschiede variieren je nach eingesetzter Lizenz • http://office.microsoft.com/de-ch/sharepoint/tools-fur-die-zusammenarbeit-vergleich-von-sharepoint-planen-FX103789400.aspx vs. SP On-Premise SP Online Microsoft TechTalk

20. Abgrenzungen On-Premise vs. Office 365 Microsoft TechTalk

21. Abgrenzungen On-Premise vs. Office 365 Microsoft TechTalk

22. Abgrenzungen On-Premise vs. Office 365 Zusätzliche Informationen: • SharePoint Online Service Description: • http://technet.microsoft.com/en-us/library/jj819267.aspx • Office 365 Service Comparison: • http://technet.microsoft.com/en-us/office365/fp123607 • Software boundariesandlimitsfor SharePoint 2013 • http://technet.microsoft.com/en-us/library/cc262787.aspx Microsoft TechTalk

23. Abgrenzungen On-Premise vs. Office 365 Was kann nun SharePoint Online, was SharePoint On-Premise nicht kann? • SP-Online ist ein Teil von Office365! Beispiel: SkyDrivefor Sharing! • SLA: Verfügbarkeit ist garantiert mit 99,9% !99,9% bedeutet: Maximal 8:45:58 Stunden/Jahr Ausfall • «Wenn der Prozentsatz der monatlichen Betriebszeit in einem bestimmten Monat unter 99,9 % fällt, sind Sie womöglich zu folgender Dienstgutschrift berechtigt:» • http://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=37 Microsoft TechTalk

24. Abgrenzungen On-Premise vs. Office 365 Was kann nun SharePoint On-Premise, was SharePoint Online nicht kann? • Verwaltung möglich ab Ebene „Web Application“, nicht erst ab „Site Collection“, wie bei SP-Online. • Search DrivenApplications: „ResultSources“ nur On-Premise konfigurierbar • Datenhoheit • Anbindung an weitere Systeme (Customized Interfaces) • Keine Grenzen wenn es um Entwicklung geht (SharePoint Farm Solutions über Visual Studio) Microsoft TechTalk

25. Abgrenzungen On-Premise vs. Office 365 Weitere Punkte sind zu beachten: Microsoft TechTalk

26. Abgrenzungen On-Premise vs. Office 365 …… kann ich die 2 Welten nun auch zusammen nutzen? • …. sind aktuell noch Fragen zu Office 365? vs. HYBRID SP On-Premise SP Online Microsoft TechTalk

27. Möglichkeiten von Hybridlösungen Microsoft TechTalk

28. Hybridlösungen • Was ist Hybrid? • Verknüpfung von On-Premise und Cloud • Aufgeteilter Workload zwischen diesen 2 Welten • Gemeinsame Ressourcen verwenden • Verwendung Hybrid für eine Migration in die Cloud (Transition) • Verwendung Hybrid als dauerhafte Lösung Microsoft TechTalk

29. Hybridlösungen • Hybrid ist möglich für folgende Produkte • Exchange • Lync • SharePoint -> Die 3 Core-Bereiche von Office 365 • Für diesen TechTalk schauen wir uns nur Hybridlösungen für SharePoint an! Microsoft TechTalk

30. Hybridlösungen • Hybrid mit SharePoint • Beschreibung Technet-Artikel: • „In einer Hybridumgebung mit SharePoint Server 2013 und SharePoint Online können Lösungen verwendet werden, mit denen die Funktionen von Diensten und Features wie das Suchen, Microsoft Business Connectivity Services und Duet Enterprise Online für Microsoft SharePoint und SAP in beiden Umgebungen kombiniert werden» • http://technet.microsoft.com/de-de/library/jj838715.aspx • Business Connectivity Services • Duet Enterprise Online (SAP) • Federated Search -> schauen wir uns an! Microsoft TechTalk

31. Microsoft TechTalk

32. Microsoft TechTalk

33. Hybridlösungen „Federated Search“ Resultat Microsoft TechTalk

34. Hybridlösungen „Federated Search“ • Folgende Komponenten benötigt man: • SharePoint 2013 Server • SQL Server • Domain Controller (Active Directory) • Directory Synchronisation Service/Server • ADFS Server • ADFS Proxy Server • Office365-Tenant mit eigener Domain (hier: cloudheaven.ch) Microsoft TechTalk

35. Microsoft TechTalk

36. Hybridlösungen „Federated Search“ • Folgende Arbeitsschritte sind notwendig: • SharePoint Online muss aktiv sein (entsprechende Lizenz) • SharePoint On-Premisemuss komplett lauffähig sein • Office365: Aktivierung eigene Domain (DNS-Records notwendig) • „Phase 1: Konfigurieren der Hybridumgebungsinfrastruktur“ • Aktivierung Directory Synchronisation (DirSync) • Aktivierung ADFS • „Phase 2: Konfigurieren der hybriden Identitätsverwaltungsinfrastruktur“ • STS (Security Token Service) Zertifikat ersetzen inSP On-Premise & SP Online • Server-to-Server Trust aufbauen • „Phase 3: Konfigurieren einer Hybridlösung“ • Konfigurieren der Hybridsuche für SharePoint Server 2013 • Quelle: http://technet.microsoft.com/de-ch/library/jj838715.aspx Microsoft TechTalk

37. Hybridlösungen „Federated Search“ • Vorbereitungen: • Immer dedizierte Service-Accounts nutzen! Niemals „einen“ User für alles verwenden • Bei der Installation der Tools & Services muss der entsprechende User in der Rolle des „lokalen Administrators“ auf dem Server eingetragen seinund mit diesem muss eingeloggt werden • Netzwerktechnik: Für DirSync, ADFS & ADFS Proxy muss Port 443 (HTTPS) auf der Firewall geöffnet sein • Der ADFS Proxy sollte in der DMZ sein und NICHT domain-joined.Anfragen für SSO von extern (sts.cloudheaven.ch) gelangen direkt auf diesen Server und darum sollte dieser Server netzwerktechnisch von der lokalen Farm getrennt sein Microsoft TechTalk

38. Hybridlösungen „Federated Search“ • 3. Office365: Aktivierung eigene Domain (DNS-Records notwendig) • DNS-Settings: Microsoft TechTalk

39. Hybridlösungen „Federated Search“ • 4. „Phase 1: Konfigurieren der Hybridumgebungsinfrastruktur“ a) Aktivierung Directory Synchronisation (DirSync) Download & Installation der nötigen Tools gemäss Office365-Vorgaben: Microsoft TechTalk

40. Hybridlösungen „Federated Search“ • 4. „Phase 1: Konfigurieren der Hybridumgebungsinfrastruktur“ a) Aktivierung Directory Synchronisation (DirSync) • AD-Property „proxyAddresses“: „SMTP: testuser1@cloudheaven.ch“ • Manueller Start über PowerShell: Start-OnlineCoexistenceSync • Kontrolle über Forefront Identity Manager (FIM) • Konfiguration, was von AD in die Cloud synchronisiert wird, wird ebenfalls über FIM erledigt • User müssen in Office365 aber noch aktiviert werden!!! Microsoft TechTalk

41. Hybridlösungen „Federated Search“ • 4. „Phase 1: Konfigurieren der Hybridumgebungsinfrastruktur“ b) Aktivierung ADFS -> Installation ADFS & ADFS-Proxy • für ADFS benötigt man ein Public SSL-Zertifikat, welches von einer Certificate Authority (CA) erstellt wurde und welches man im IIS-Manager aktiviert! • Das importierte SSL-Zertifikat für den ADFS-Server muss man exportieren und beim ADFS-Proxy-Server importieren! • HTTPS-Bindings mit eigenem SSL-Zertifikat auf beiden IIS-Servern einrichten • Lokale User müssen ein UPN-Suffix aktiviert haben (hier „cloudheaven.ch“) • DNS A-Record Best-Practice z.B. „sts.cloudheaven.ch“ zeigt auf IP-Adresse des ADFS-Proxy • Konfiguration interner DNS, damit interne Anfragen auf „sts.cloudheaven.ch“ direkt intern an den ADFS-Server weitergereicht werden! (Eigene Zone erstellen mit A-Record) Microsoft TechTalk

42. Hybridlösungen „Federated Search“ • 4. „Phase 1: Konfigurieren der Hybridumgebungsinfrastruktur“ b) Aktivierung ADFS -> Installation ADFS & ADFS-Proxy • Trust zwischen ADFS und Windows Azure AD: http://technet.microsoft.com/en-us/library/jj205461.aspx • Domain hinzufügen: Set-MsolADFSContext -Computer adfs.cloudheaven.local • Domain konvertieren: Convert-MsolDomainToFederated -DomainNamecloudheaven.ch • Kontrolle: Get-MsolFederationProperty Microsoft TechTalk

43. Hybridlösungen „Federated Search“ • 4. „Phase 1: Konfigurieren der Hybridumgebungsinfrastruktur“ b) Aktivierung ADFS -> Installation ADFS & ADFS-Proxy • Kontrolle: Login auf https://portal.microsoftonline.com mit einem gültigen User, der On-Premise und Online aktiv ist! Wenn alles stimmt, wird man auf den ADFS-Proxy weitergeleitet. Wenn die SharePoint-Online Seite noch nicht in der Intranet-Zone (Internet Explorer) ist, dann muss man hier seine Credentials angeben („cloudheaven\testuser1“).Ansonsten passiert genau hier der SingleSignOn(automatische Anmeldung)! Microsoft TechTalk

44. Hybridlösungen „Federated Search“ • 5. „Phase 2: Konfigurieren der hybriden Identitätsverwaltungsinfrastruktur“ a) STS (Security Token Service) Zertifikat ersetzen in SP On-Premise & SP Online • Diese Arbeiten müssen auf dem SharePoint2013-Server erledigt werden. Erstellen eines selbstsignierten Zertifikates im IIS-Manager: Anschliessend Zertifikat exportieren (*.pfx) und „in Datei kopieren“ (*.cer) Microsoft TechTalk

45. Hybridlösungen „Federated Search“ • 5. „Phase 2: Konfigurieren der hybriden Identitätsverwaltungsinfrastruktur“ a) STS (Security Token Service) Zertifikat ersetzen in SP On-Premise & SP Online • Diese Arbeiten müssen auf dem SharePoint2013-Server erledigt werden. Ersetzen des STS-Zertifikates über PowerShell: $pfxPath = "C:\Users\tvd-sp-setup-p\Desktop\sponprem.pfx" $pfxPass = "************" $stsCertificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 $pfxPath, $pfxPass, 20 Set-SPSecurityTokenServiceConfig -ImportSigningCertificate $stsCertificate $trustCert = Get-PfxCertificate "C:\Users\tvd-sp-setup-p\Desktop\sponprem.cer" certutil -addstore -enterprise -f -v root $trustCert iisreset netstop SPTimerV4 netstart SPTimerV4 Kontrolle über PowerShell: $stscertificate |fl -> FriendlyName! Microsoft TechTalk

46. Hybridlösungen „Federated Search“ • 5. „Phase 2: Konfigurieren der hybriden Identitätsverwaltungsinfrastruktur“ b) Server-to-Server Trust aufbauen • Diese Arbeiten müssen ebenfalls auf dem SharePoint2013-Server erledigt werden. • Installieren von Konfigurationstools -> gemässListe • Festlegen von Variablen • Hochladen von STS-Zertifikaten auf SharePoint Online • Hinzufügen eines SPN zum öffentlichen Domänenname • Registrieren des SharePoint Online-Anwendungsprinzipals • Festlegen des SharePoint-Authentifizierungsbereichs • Konfigurieren von lokalen Proxys für Azure AD Microsoft TechTalk

47. Hybridlösungen „Federated Search“ • 5. „Phase 2: Konfigurieren der hybriden Identitätsverwaltungsinfrastruktur“ b) Server-to-Server Trust aufbauen • Festlegen von Variablen $spcn="*.cloudheaven.ch" $spsite=Get-Spsite http://intranet.cloudheaven.local $site=Get-Spsite $spsite $spoappid="00000003-0000-0ff1-ce00-000000000000" $spocontextID = (Get-MsolCompanyInformation).ObjectID $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $spocontextID + "/metadata/json/1" Microsoft TechTalk

48. Hybridlösungen „Federated Search“ • 5. „Phase 2: Konfigurieren der hybriden Identitätsverwaltungsinfrastruktur“ b) Server-to-Server Trust aufbauen • Hochladen von STS-Zertifikaten auf SharePoint Online $cerPath = "C:\Users\tvd-sp-setup-p\Desktop\sponprem.cer" $cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 -ArgumentList $pfxPath, $pfxPass $cer.Import($cerPath) $binCert = $cer.GetRawCertData() $credValue = [System.Convert]::ToBase64String($binCert); New-MsolServicePrincipalCredential -AppPrincipalId $spoappid-Type asymmetric -UsageVerify -Value $credValue Achtung: StartDate und EndDate nicht angeben im letzten Befehl! Funktioniert sonst nicht! Kontrolle: Get-MsolServicePrincipalCredential -AppPrincipalId $spoappid -Value $credValue Ergebnis: Beschreibung der Anmeldeinformationen, wobeiunter “Value” der Thumbprint des Zertifikateserscheinen muss Microsoft TechTalk

49. Hybridlösungen „Federated Search“ • 5. „Phase 2: Konfigurieren der hybriden Identitätsverwaltungsinfrastruktur“ b) Server-to-Server Trust aufbauen • Hinzufügen eines SPN (Server Principal Name) zum öffentlichen Domänenname $msp = Get-MsolServicePrincipal -AppPrincipalId $spoappid $spns = $msp.ServicePrincipalNames $spns.Add("$spoappid/$spcn") Set-MsolServicePrincipal -AppPrincipalId $spoappid -ServicePrincipalNames $spns $msp = Get-MsolServicePrincipal -AppPrincipalId $spoappid $spns = $msp.ServicePrincipalNames Kontrolle: $spns Ergebnis: 00000003-0000-0ff1-ce00-000000000000/*.cloudheaven.ch Microsoft TechTalk

50. Hybridlösungen „Federated Search“ • 5. „Phase 2: Konfigurieren der hybriden Identitätsverwaltungsinfrastruktur“ b) Server-to-Server Trust aufbauen • Registrieren des SharePoint Online-Anwendungsprinzipals $spoappprincipalID = (Get-MsolServicePrincipal -ServicePrincipalName $spoappid).ObjectID $sponameidentifier = "$spoappprincipalID@$spocontextID" $appPrincipal = Register-SPAppPrincipal -site $site.rootweb -nameIdentifier $sponameidentifier -displayName "SharePoint Online" Kontrolle: $appPrincipal|fl Ergebnis: Beschreibung des Anwendungsprinzipals namens „SharePoint Online“ Microsoft TechTalk