Sziasztok!
Microsoft Azure szolgáltatásokban járatos kollégák segítségét szeretném kérni. Az elképzelés amit szeretnék kivitelezni: adott egy on-premise active directory alapú hálózat. A Microsoft ide vonatkozó ajánlásai szerint a domain neve a domain.publikusdomain.hu formát követi, a miénk a publikusdomain.hu domain, ezen fut weboldal. Készítenék egy AD Tenant-ot, ott ugye lesz egy vallalkozasneve.onmicrosoft.com formájú domain nevem, ez lesz az egyedi azonosítóm, rendben. Ahogy látom szépen fel tudom venni a saját domain neveim, egy ellenőrzési procedúra után. Tovább olvasva a Microsoft leírásait, az Azure AD Connect sync szolgáltatással össze tudom szinkronizálni az AD objektumait az Azure-éval.
Kérdéseim, amik lehet túl egyszerűek, de kérlek segítsetek tisztázni:
- Ha össze lesznek szinkronizálva az adatok, akkor minden user be tud jelentkezni a felhős MS szolgáltatásokba a juzer@domain.publikusdomain.hu formájú felhasználójával?
- Ha beállítom a publikusdomain.hu címet mint UPN suffix, akkor azt (is) tudják használni majd belépéshez?
- Ha vásároljunk O354 előfizetéseket, akkor azt tudják használni az előbbi fiókkal? Office 365 Apps for Business most a terv.
- Ha később úgy döntünk hogy az Azure-ba visszük a levelezést (online Exchange), akkor az Apps for Business helyett váltanánk Business Standard-ra. Ott az adott felhasználókhoz hogyan rendelek hozzá mailboxot? A DNS-eket (MX) természetesen beállítom.
- Utóbbihoz kérdések:
-- Ha a felhasználó e-mail címe nem ugyanaz mint a login neve, az ugye nem probléma?
-- Ha lennének általános e-mail fiókok (pl. info@) amit többen is szeretnének használni, az hogyan működik úgy, hogy egymás AD userét nem ismerik? Létezik ilyen felállás, hogy egy e-mail fiókot több user is lát? Van valami autokonfig lehetőség ehhez?
Egy nagyon egyszerűen kezelhető, felhasználóbarát környezet kialakítása a cél.
Nagyon köszi!
Hozzászólások
Ha össze lesznek szinkronizálva az adatok, akkor minden user be tud jelentkezni a felhős MS szolgáltatásokba a juzer@domain.publikusdomain.hu formájú felhasználójával? igen be tud lepni az UPNjevel
- Ha beállítom a publikusdomain.hu címet mint UPN suffix, akkor azt (is) tudják használni majd belépéshez? igen, de csak ha az lesz a UPN, ha az onmicrosoftos az upn akkor azzal, neha csak online powershellben lehet valtoztatni, mert meghal a webUI
- Ha vásároljunk O354 előfizetéseket, akkor azt tudják használni az előbbi fiókkal? Office 365 Apps for Business most a terv. ha megfeleloen adjatok hozza az elofizeteseket a tenanthoz akkor igen, meg csoporttagsaggal is meg tudod mondani, hogy kinek milyen licensz jar
- Ha később úgy döntünk hogy az Azure-ba visszük a levelezést (online Exchange), akkor az Apps for Business helyett váltanánk Business Standard-ra. Ott az adott felhasználókhoz hogyan rendelek hozzá mailboxot? A DNS-eket (MX) természetesen beállítom. - ha a fentebbi elofizetesek rendben vannak es az elofizetesben van o365 email es az onprem exchangeben is konvertalod o365 mailboxsz akkor a kovetkezo AD Sync idejen megcsinalja
- Utóbbihoz kérdések:
-- Ha a felhasználó e-mail címe nem ugyanaz mint a login neve, az ugye nem probléma? nem, nalunk van vagy 6 domain, aliasokhoz legyen hozzaadva az on-prem exchangeben aztan jovilag
-- Ha lennének általános e-mail fiókok (pl. info@) amit többen is szeretnének használni, az hogyan működik úgy, hogy egymás AD userét nem ismerik? Létezik ilyen felállás, hogy egy e-mail fiókot több user is lát? Van valami autokonfig lehetőség ehhez? shared mailbox es a delegation a kulcsszavak (ingyenes), ha delegalva van neked egy mailbox akkor az outlook automatikusan felcsatolja automatikusan, vagy manualisan is lehet ha nagyon surgos
Amugy oszinten kerdezem de igy 2023ban minek akarsz hibriddel szarakodni? tele van szivassal es hibalehetosegek tomkelegevel (group address listrol csak onprem tudsz elrejteni aztan majd szinkronizalodik, csoportokat kezelni egy remalom). Foleg ahogy irod egyszeruen kezelheto kornyezet a cel. Nalunk is az a cel, hogy a hibridbol cloud only legyen. (nemi kiveteltol eltekintve)
Nagyon köszönöm az iránymutatást, a kapott kulcsszavakkal már tudok keresni. Bocsánat a nyitó hozzászólásban az elgépelésért (O354)). Hogy miért szeretnék hibridet? Az adatainkat nem szeretnénk kiadni cloud-ba. Minden céges adat bent kell maradni házon belül. Az esetek túlnyomó többségében bent dolgozik mindenki, gyors a belső háló, elérik a megosztásokat. Van VPN router AD alapú hitelesítéssel ha mégis utazna valaki. Ami még nyitott kérdés az az e-mail, azt nem döntöttük még el. Most amúgy úgy néz ki a dolog hogy simán IMAP lesz, teljesen független szolgáltatónál, 1-2 postafiók, közös használat. Majd ha változnak az igények, megyünk feljebb. Az összekapcsolást pillanatnyilag egyetlen egy dolog miatt szeretném: a megvásárolt Office licencek aktiválódjanak automatikusan a felhasználók fiókjai alatt. (Vagy ha nem automatikusan, akkor legyen elég egy login a meglévő user / pass kombinációjával.) Az átjárhatóság fontos, egy user / pass kombinációval mindent tudjanak használni. Helyben is lesz olyan szolgáltatás ami LDAP-ot használ, kell a helyi AD.
ha kell az LDAP akkor megertem, de ne darabold tovabb, ha mar ugyse ti uzemeltetitek az exchanget hanem valaki mas akkor az mar egybol legyen a microsoft, mert igy tripla szivas lesz nem dupla. AzureAD sync megfelelo mukodesehez kell egy on-prem exchange szerver ha szeretned megfeleloen managelni a fiokokat.
Ennyi lenne a megoldandó amit leírtam. Ezt pontosítsd kérlek mit értesz alatta:
Helyben nem szeretnénk Exchange-t, annak jelentős költségvonzata miatt. Semmi mást nem szeretnék, mint ha arra váltunk akkor létre tudjak hozni e-mail fiókokat, lehessen közöttük shared mailbox, és egy user / pass kombinációval jelentkezhessenek be mindenhova.
Nem kell már lokális exchange egy ideje, elég az exchange dolgokkal bővíteni. Van erről hivatalos MS leírás, valszin elég hamar ki fogja neked a google dobni.
nem kell on-prem exchange.
Én kb. ugyan ilyet csináltam és üzemeltetek: VPN AD, NAS AD, Azure AD sync - O365 office + Online exchange csak olyan fióknak, amihez nem kell office pl. info@xycégesdomain.com
Teams mindenfajta alkalmaozásokkal - SSO
és legolcsóbb havi djjal - mert van egy csavar a LIC vásárlásban.
aquila non captat muscas
Ez a része érdekelne. Esetemben mindenkinek kell Office licenc. Pont annak az árazása miatt mennénk az előfizetés irányába, mert ha megvesszük a dobozosakat, ha jól új verzió és szeretnék, újra meg kellene venni. Kiszámoltuk, így a jobb nekünk hogy az Office programokat béreljük. Most ugyan nem, de lehet később felvinném a levelezést is a Microsoft felhőbe. Van ennek így bármilyen összeférhetetlensége, vagy annyi Exchange fiókot hozok létre olyan néven ahány Office előfizetésem van? Vagy ezek a mailboxok kötelezően user-hez kötődnek?
AD-ba léptetve 40 laptop win 10 + Office 2019 Pro desktop LIC (csak 1x kell megvenni) NAS-ok és a VPN minden usert AD-ból vesz.
2 domain: egy céges xy.com és egy üzemeltetési zz.hu
NS MX xy.com mail.protection.outlook.com
NS MX zz.hu - saját linux mail server 40 laptop fiókkal -- oda lettek regiszrálva a desktop office-ok. Desktop office NEM regisztrálható O365 -os fiókra.
2 AD server - local AD-val.
40 user és 10 technikai fiók és külön groupban 12 külsős fejlesztő - ezt mind Azure AD sync felszinkronizálja.
2 LIC. előfizetés van csomag van: O365 vállalati alap verzió 5.1 EUR/user x40 LIC. és online exchange 3,4 EUR/user x10 LIC.
a 12 külsős vendég hozzáférést kapnak Teams-be be tudnak lépni, de nincs nekik o365 se online exchange mail fiók.
Azure AD nem mindent szinkronizál pl. linuxuser group-ot nem.
Változás kezelés:
Minden a on-prem AD -ban kell kezdeni, felhasználó törlét vagy új felvitelét a szinkronizáció után O365 admin portálon kell hozzá adni a LIC -et.
a laptopon mindig érvényes word, excel van - mert az nem kötödik a felhasználóhoz.
O365 LIC user törlés esetén felszabadul és adom oda az új kollégának.
nem vettünk dobozost minek 12 000 forint win10 + office 2019 pro költöztethető
Nem kell online előfizetést IS létrehozni, akinek van O365 előfizetése, csak annak, akinek nincs - mert nem akarsz neki word/excelt.
Az alap vállalti o365 -ben csak online word/excel van - azért kell desktopot venni.
aquila non captat muscas
Esetemben: nem szeretnénk "dobozos" Office-t vásárolni, szeretnénk mindig a legújabbat használni, és változik a felhasználók száma is. Emiatt az O365 előfizetés nekünk megfelelőbb. Desktop Office mindenkinek kell!
A levelezés első körben valószínű nem az Azure-ban lesz, hanem Linux alapon IMAP-al. Még az is átfutott az agyamon hogy beléptetek egy SAMBA-t is a tartományba mint DC (ez egy VM lenne adatparkban, az on-premise rendszerrel VPN-el összekapcsolva), és ő adná az LDAP hitelesítést a Linux levelező szervernek, de amíg lesz két általános fiók, addig ezzel sem bíbelődnék. Felesleges.
Szóval: lenne kezdetkor 10-nél kevesebb user. Mindenkinek kell Office, ami az alapcsomag lenne (Apps for Business). Itt az lenne a lényeg hogy a tartományi felhasználójukkal lehessen belépni az Office / OneDrive-ba is. Semmi más nem szükséges.
Ha később úgy döntök hogy mégis tegyük fel a levelezést is Azure-ba (Exchange online), akkor meg váltás a Business Standard csomagra, abban van 50GB / mailbox, bőségesen elég. Ha jól értem abból amit írsz, külön meg lehet venni a vállalati alapverzót az Office-ból (ez kell mindenképpen), és tudunk venni csak Online Exchange-et darabra, amiket teljesen más felhasználókhoz rendelhetek, vagy csinálhatok shared fiókokat amit többen is elérnek? Ha ez utóbbi igaz, akkor nem szenvedünk egy percet sem IMAP + Linux-al, megy ez a pár fiók a felhőbe.
Az "Apps for Business" tartalmazza a desktop verziókat. Sőt, 5 eszközükön is használhatják.
Az nem jogtiszta, az 100%. Ha nincs kulcskártya vagy MS által küldött licenclevél, akkor auditon megbukik.
jogtiszta - ki tudom nyomtatni.
a kérdésed:
igen - több LIC vásárolhatsz és van egy felület, ahol az userekhez hozzá tudsz rendelni LIC -t. pl. team külsős 100 user lehet, azt is hozzá kell adni.
aquila non captat muscas
"NS MX zz.hu - saját linux mail server 40 laptop fiókkal -- oda lettek regiszrálva a desktop office-ok. Desktop office NEM regisztrálható O365 -os fiókra."
Ezt úgy kell érteni, hogy csináltatok minden Office-nak egy külön Microsoft fiókot .hu email címmel?
igen, minden laptopnak:
DELL-service-ID@zz.hu 40db
így a laptophoz van "kötve" a desktop office
Ha új kolléga kapja meg a laptopot - nem a régi nevére szól a desktop lic. nem kötődik személyhez.
aquila non captat muscas
UPN-nek a felhasználó e-mail címét (user@publikusdomain.hu) javaslom beállítani, hogy ne keljen egy +extra azonosított kezelni a felhasználói oldalon (kényelmesebb mindenhol email címet használni)
Azure AD Connect sync alatt szabályozható, hogy mit akarsz kiszinkronizálni az Azure AD felé. Kell még mellé egy ADFS vagy bekapcsolt password hash sync.
Én nem dolgoznék kétszer a helyedben és rögtön O365-re rátenném a levelezést, egyszerűbb, gyorsabb, szárazabb érzés mint IMAP-pal szórakozni.
O365 alatt van shared mailbox, de csak azok férhetnek hozzá, akiknek van O365-s licenszük.
MFA kötelezően legyen bekapcsolva (alapból már be is van mindenkinél)
Windows-s AD környezetbe nem rakunk be SAMBA DC-t, max. tartományi tagnak, de ezt is kerülném
kieg:
MFA - kell - minden dolgozó szépen telepítse fel a Microsoft Authenticator-t - mert annélkül szívás.
A saját AD-ba a user mailcímét is meg kell adni amikor felveszed. A o365-ben már csinálhatsz másodlagos mail címet stb..
SAMBA tényleg nem kell, minek ?
aquila non captat muscas
Köszi, így teszünk.
Közben utána olvastam hogyan működik a Shared Mailbox. Ahhoz hogy hozzá tudjak rendelni felhasználót, annak a felhasználónak kell hogy legyen Online Exchange előfizetése. Azaz ahány user, annyi nevesített e-mail fiók kell, a Shared box-ok 50GB-ig ingyenesen hozzáadhatóak lesznek. Ha jól értelmeztem mindent, természetesen.
Ne menjünk el ebbe az irányba, vázolom: kitettem volna adatparkba VPN mögé egy Linux mail szervert. Itt a felhasználókat LDAP-ból hitelesítettem volna. Ahhoz hogy legyen helyi LDAP "adatbázis", tettem volna ide egy SAMBA DC-t mint member, hogy helyből is tudjon hitelesíteni, akkor is ha nem elérhető VPN-en az irodai DC. Vagy ez nagyon beteg gondolat volt? :))