Einrichtung der Authentifizierung von Office 365 Apps (inkl. CRM Online)

30. April 2015
Einrichtung der Authentifizierung von Office 365 Apps

Um ein plattformübergreifendes und unabhängiges Arbeiten mit Office 365 zu ermöglichen, bietet Microsoft für die verschiedenen Plattformen Apps an. So kann man auch auf seinem iPad oder Android Device von den vielfältigen Funktionalitäten profitieren. Ein schneller Chat mit Kollegen via Skype for Business, das Verwenden von gemeinsam genutzten Dateien via OneDrive oder das Einstellen eines neuen Termins im Outlook - all dies ist lange nicht mehr nur den Windows Nutzern vorbehalten.

Microsoft hat in den letzten Jahren sein Angebot gerade in Bezug auf die unterstützten Plattformen kontinuierlich ausgebaut und erweitert. So kam zum Beispiel erst vor wenigen Monaten auch Outlook für Android Devices heraus. Auch wenn die Einrichtung für gewöhnlich keine größeren Vorbereitungen bedarf, gibt es dennoch in verschiedenen Umgebungen ein paar Details zu beachten, damit das Erlebnis mit Office 365 Apps nicht in Frust umschlägt. Dies gilt insbesondere für den Fall, wenn man Office 365 mit einer föderierten Identität verwendet, bei welcher die Benutzerkonten aus dem on-premise Active Directory auch ins Office 365 synchronisiert werden.

Dies ermöglicht auch Single Sign On, wodurch der User nach einer einmaligen Authentifizierung an seinem Arbeitsplatz auf sämtliche Programme und Dienste zugreifen kann, ohne sich jedes Mal erneut anmelden zu müssen - unabhängig davon, ob diese sich on-Premise oder in der Cloud befinden. Das dafür gängigste Modell sowie Microsofts Empfehlung ist das Implementieren von ADFS (Active Directory Federation Services) Server.

Anpassungen am ADFS

Verwendet man eine derartige ADFS Topologie, gibt es ein paar Dinge bezüglich der Authentifizierung zu beachten, um die Funktionalität der Apps sicherzustellen. Der folgenden Übersicht kann entnommen werden, welche Authentifizierungsarten für die Apps möglich sind (am Beispiel der OneDrive for Business App):

AUTHENTIFIZIERUNGSART

BESCHREIBUNG

UNTERSTÜTZT

Organisations-ID

Organisationen mit einem Office 365- oder SharePoint Online-Mandanten ohne jeglichen Partnerverbund.

Ja

ADFS und Organisations-ID-Partnerverbund

Organisationen mit einem hybriden Office 365- oder SharePoint Online-Mandanten mit Partnerbenutzern aus einem lokalen Verzeichnis.

Ja

Windows-Authentifizierung (NTLM)

Organisationen mit einer SharePoint-Umgebung, die so konfiguriert ist, dass anspruchsbasierte Windows-NTLM-Authentifizierung zulässig ist.

Ja

Formularbasierte Authentifizierung (FBA)

Organisationen mit einer SharePoint-Umgebung, die so konfiguriert ist, dass die formularbasierte Authentifizierung oder eine andere kompatible anspruchsbasierte Authentifizierung über ein Standardwebsteuerelement zulässig ist.

Ja

Qualifizierter Nicht-ADFS-Identitätsanbieter

Organisation mit einer Office 365- oder SharePoint Online-Umgebung, die so konfiguriert ist, dass sich Benutzer anmelden können, die sich im Partnerverbund mit einem Identitätsanbieter befinden, der im Works with Office 365 – Identitätsprogramm für Rich Clients qualifiziert ist.

Ja

Alle anderen Nicht-ADFS-Identitätsanbieter

Organisationen mit einer SharePoint-Umgebung, die so konfiguriert ist, dass ein Nicht-ADFS-Identitätsanbieter zulässig ist.

Nein

Kerberos-Authentifizierung

Organisationen mit einer SharePoint-Umgebung, die so konfiguriert ist, dass Kerberos-Authentifizierung unterstützt wird.

Nein

Standardauthentifizierung

Organisationen mit einer SharePoint-Umgebung, die so konfiguriert ist, dass Standardauthentifizierung unterstützt wird.

Nein

 

Grundsätzlich bietet sich für Apps die Formular-basierte Authentifizierung an. Diese sollte man auf dem ADFS Server aktivieren, falls dies nicht bereits der Fall ist. Das kann man im ADFS Management unter den Authentication Policies überprüfen: 

Zu beachten ist hierbei noch, dass diese Menüoption erst ab der Version 3.0 des ADFS Servers direkt im ADFS Management vorhanden ist. Bei älteren Versionen des ADFS muss man diese Konfiguration noch über den IIS vornehmen.

Besonderheiten im Rahmen der Microsoft Dynamics CRM Online App

Dynamics gehört nicht unmittelbar zur Office 365 Suite. Doch die eigenständige Customer Relationship Management Software stellt für viele Unternehmen ein sehr wichtiges Tool in der täglichen Arbeit dar. Auch hier bietet Microsoft die Möglichkeit das CRM nicht nur als eigenen Server on-Premise, sondern auch als Cloud Service zu verwenden.

Im Gegensatz zum eigenen Server, wo man für die Verwendung der App diese erst noch separat registrieren muss (nachzulesen beispielsweise hier und hier), funktioniert der Einsatz der App in der Cloudlösung grundsätzlich out-of-the-box. Wir sind allerdings auf einige kleine Probleme gestoßen, auf welche (inklusive der Workarounds) ich noch einmal näher eingehen möchte.

Zunächst hatten wir Probleme mit der Authentifizierung der CRM App unter Windows (8.1). Nach weitergehender Recherche bemerkten wir, dass im App Store verschiedene Versionen der App vorhanden sind.

Sucht man nur nach CRM bekommt man meistens zunächst nur die veraltete Version angezeigt, welche für Windows 8 gedacht ist. Für Windows 8.1 existiert jedoch eine neue Version im App Store, welche hier zu finden ist. Während wir mit der alten Version Probleme hatten, da dort die Form Based Authentication nicht verwendet wurde, klappte es mit der neuen Version für Windows 8.1 problemlos.

Zudem hatten Nutzer vermehrt die folgende Fehlermeldung:

"Sie verfügen nicht über ausreichende Berechtigungen auf dem Server, 
um die Anwendung zu laden. Wenden Sie sich an Ihren Systemadministrator, 
um Ihre Berechtigungen zu aktualisieren."

Eine weitere Recherche ergab, dass dies mit unzureichenden Rechten zusammenhängt. Die Nutzer müssen dazu im CRM Online zunächst noch die Berechtigungen, Systemanwendungsmetadaten sowie Benutzeranwendungsmetadaten zugewiesen bekommen. Nachdem dies erledigt war, funktionierte die Anmeldung problemfrei. Eine Übersicht zu weiteren möglichen Problemen mit der CRM App ist auch hier zu finden.

Nutzen Sie unsere Neuarbeiten Service-Pakete für eine erfolgreiche Einrichtung von Office 365

Wenn Sie Hilfe bei der Authentifizierung von Office 365 Apps benötigen, können Sie uns gerne kontaktieren. Unsere Neuarbeiten Service-Pakete unterstützen Sie bei der schrittweisen Überführung ihrer vorhandenen Infrastruktur sowie bei dem produktiven Erlernen der neuen Arbeitsmethoden durch Ihre Mitarbeiter.

Neuen Kommentar schreiben