Virale Tenants
Auf dieser Seite erfahren Sie wie Sie bei einer Migration von Viralen Tenants vorgehen sollten.
- Tenant nach Takeover sichern und überprüfen
- Vorbereitung des Tenants zur Migration
- Abschließende Maßnahmen
1. Tenant nach Takeover sichern und überprüfen
Nachdem der Tenant durch den internen Admin-Takeover übernommen worden ist, sollte im nächsten Schritt die User-Registrierung deaktiviert werden. Dies stellt sicher, dass sich keine weiteren User über die E-Mail-Adresse der Einrichtung einen eigenen Microsoft-Account erstellen können.
Die Deaktivierung kann nur über die Nutzung von Microsoft-Graph eingestellt werden. Um Microsoft Graph einzurichten, lesen Sie im nächsten Abschnitt weiter.
GraphAPI App registrieren über App Kontext
Für die vollständige Registrierung müssen drei Schritte durchgeführt werden:
Folgen Sie dazu diesen Schritten:
Zunächst müssen Sie die GraphAPI App anlegen.
Schritt 1
Melden Sie sich bei Microsoft Azure an. Eine detaillierte Anleitung dazu finden Sie hier.
Schritt 2
Geben Sie in die Suchleiste App Registrierung ein und wählen Sie diese Option aus.
Schritt 3
Klicken Sie im Fenster App Registrierung auf + Neue Registrierung.
Schritt 4
Füllen Sie die benötigten Daten im Fenster Applikation registrieren wie gewünscht aus.
- Name: Selbst gewählter Name
- Unterstützte Account Typen
- Wer kann diese Applikation nutzen oder auf die API zugreifen: Nur Accounts aus dem Verzeichnis dieser Organisation (Ausgewählte Organisation - Einzel-Tenant)
- URL Umleitung (optional): Selbst gewählte URL
Wählen Sie unter dem Punkt Wer kann diese Applikation nutzen oder auf die API zugreifen den ersten Punkt aus!
Klicken Sie abschließend auf Registrieren am unteren Bildschirmrand.
Schritt 5
Nachdem Sie eine neue App angelegt haben, muss zusätzlich ein Client Geheimnis angelegt werden.
Wählen Sie dazu die neu angelegte App (In diesem Fall Azuretest-GraphAPI) aus klicken Sie in der Navigationsleiste auf der linken Seite auf Zertifikate und Geheimnisse.
Schritt 6
Im Fenster Zertifikate und Geheimnisse klicken Sie auf + neues Client-Geheimnis.
Schritt 7
Im Fenster Client-Geheimnis hinzufügen können Sie einen Namen und ein Ablaufdatum festlegen.
Sobald die Daten eingetragen sind, klicken Sie auf hinzufügen am unteren rechten Rand.
Schritt 8
Nun wird das Client-Geheimnis angezeigt. Bitte speichern Sie sowohl den Wert, als auch die Geheimnis ID direkt separat ab.
Schritt 9
Zuletzt müssen der Applikation noch die nötigen Berechtigungen zugewiesen werden.
Speziell die Policy.ReadWrite.Authorization, also die Berechtigung Policies auswerten und ändern zu können.
Klicken Sie dazu auf API Berechtigungen links in der Navigationsleiste.
Schritt 10
Klicken Sie im Fenster API Berechtigungen auf + Berechtigung hinzufügen.
Schritt 11
Im Fenster API Berechtigungen anfordern wählen Sie Microsoft Graph aus.
Schritt 12
Wählen Sie dann Applikations-Berechtigungen aus.
Schritt 13
Sie haben nun die Möglichkeit die Art der Berechtigung festzulegen und können hier die Policy.ReadWrite.Authorization auswählen.
Sofern nicht vorausgewählt, setzen Sie den Haken vor der Berechtigung.
Klicken Sie abschließend auf Berechtigung hinzufügen.
Deaktivierung der Userregistrierung
Sobald Microsoft Graph im Azure Portal eingerichtet worden ist, kann als nächstes das vom IT Center bereitgestellte Skript ausgeführt werden.
- Skript als Textdatei (.txt)
- Skript als Powershell-Skript (.ps1)
Speichern Sie das Skript und legen Sie es mit der Config-Datei (.json) ab, unter:
C:\Temp\Viral\[…]
Öffnen Sie danach die config.json Datei, befüllen Sie die entsprechenden Informationen aus der MS Graph-App und speichern Sie die Datei ab.
- TenantID: Tenant-ID (Einsehbar in der App-Übersicht von MS Graph)
- ClientID: App-ID (Einsehbar in der App-Übersicht von MS Graph)
- ClientPassword: Secret-Passwort (Bitte füllen Sie hier den zuvor generierten Wert des Client-Geheimnisses ein)
Führen Sie anschließend das Skript aus. Möglicherweise müssen Sie der Ausführung des Skriptes zustimmen. Der Output nach Durchlauf des Skriptes sollte wie folgt aussehen:
Die PowerShell können Sie dann anschließend schließen. Falls Sie nicht mehr planen, die MS Graph zu nutzen, empfehlen wir die Anwendung anschließend wieder aus dem Azure Portal zu entfernen.
2. Vorbereitung des Tenants zur Migration
Sobald die Übernahme des Tenants und die Abschaltung der Registrierung erfolgreich waren, sollte nun der Tenant für die Migration vorbereitet werden.
Es ist ratsam die Accounts im Tenant auf ein Minimum zu reduzieren, dies aber auch zu kommunizieren und die Möglichkeit zur vorausgehenden Datensicherung zu geben.
Das IT Center empfiehlt hierfür folgendes Vorgehen in aufgeführter Reihenfolge:
Entfernung der inaktiven Accounts und Gruppen
Speichernutzung prüfen
Melden Sie sich mit ihrem erstellten Account unter https://admin.microsoft.com/ an.
Unter den Tabs OneDrive und SharePoint sieht man die generelle Speichernutzung in OneDrive und SharePoint sowie die spezifische Nutzung pro Nutzendem und pro Site.
Diese Listen eignen sich gut als Referenz für die Nutzung von OneDrive und SharePoint im Tenant. Hier sieht man übersichtlich, wie viele Daten im Tenant abgespeichert sind und durch welche Accounts oder Gruppen die Datenspeicherung erfolgt.
Benutzer*innen und beanspruchte Lizenzen überprüfen
Unter Nutzer können die vorhandenen Nutzenden im Tenant überprüft werden. Wir empfehlen die User so weit wie möglich zu reduzieren, um einen besseren Überblick zu bekommen.
Bitte folgen Sie dazu den nächsten Schritten:
Schritt 1
Löschen Sie alle Gast-Accounts im Tenant über den Tab Gastnutzer.
Schritt 2
Löschen Sie alle Accounts von ehemaligen Mitarbeitenden über den Tab Nutzer.
Diese Accounts können sehr wahrscheinlich einfach so gelöscht werden, da das Arbeitsverhältnis mit der Einrichtung beendet ist und eventuell gespeicherte Daten (theoretisch) nicht mehr benötigt werden.
Alternativ kann unter der Speicherverwaltung geprüft werden, wie viel Speicherplatz der jeweilige Account belegt.
Im Zweifel sprechen Sie Ihre Mitarbeitenden an.
Schritt 3
Löschen Sie alle Accounts von Nutzenden ohne aktive Lizenzen über den Tab Nutzer.
Nutzende ohne Lizenzen haben wahrscheinlich keine aktive Verwendung mehr für den Account, da ohne eine entsprechende Lizenz auch keine Microsoft-Dienste genutzt werden können.
Diese Accounts können (ggf. erst nach kurzer Prüfung in der Speicherverwaltung) wahrscheinlich ebenfalls gelöscht werden.
Im Zweifel sprechen Sie Ihre Mitarbeitenden an.
Mit Entfernung der o.g. Nutzendengruppen hat man in der Regel die Accounts im Tenant auf ein Minimum reduziert.
Hinweis
Gelöschte Accounts befinden sich für 30 Tage im Papierkorb und können in dieser Zeit wiederhergestellt werden. Aus dem Papierkorb gelöschte Accounts sind nicht wiederherstellbar.
Alternativ können Accounts auch erst einmal gesperrt werden. Dies ist eine weniger invasive Möglichkeit, um nachzuvollziehen ob die Nutzenden eine Einschränkung in der täglichen Arbeit bemerken.
Gesperrte Accounts und deren Daten werden nicht automatisiert gelöscht und bleiben weiterhin im Tenant existent. Die Löschung des Accounts muss dann in einem zweiten Schritt manuell erfolgen.
An dieser Stelle ist es ratsam, die Gruppenzugehörigkeiten und die Speichernutzung der übrig gebliebenen Accounts zu prüfen, da hier gegebenenfalls eine aktive Nutzung über diese Accounts geschehen ist und der Kontakt zu den Mitarbeitenden gesucht werden muss.
Um die Gruppenzugehörigkeit zu prüfen navigieren Sie bitte zum Tab Gruppen.
Gruppen überprüfen
Über den Tab Gruppen kann man die Gruppenmitgliedschaften einsehen und mögliche Rückschlüsse zu der Nutzung im Tenant treffen.
Sollten keine Gruppenmitgliedschaft für einen Nutzenden bestehen, wurde sehr wahrscheinlich kein SharePoint genutzt und auch nicht in Teams-Gruppen innerhalb des Tenants gearbeitet.
Generell empfiehlt es sich – wie bei den Accounts auch – die Anzahl der Gruppen im ersten Schritt zu reduzieren.
Bitte folgen Sie dazu den nächsten Schritten:
Schritt 1
Löschen Sie alle Gruppen, bei denen keine Mitglieder oder Besitzer (Member/Owner) hinterlegt sind.
Klicken Sie die Gruppen dafür einzeln an und überprüfen Sie unter Membership die Zugehörigkeiten.
Durch die vorherige Löschung der Accounts kann es sein, dass es leere Gruppen gibt, welche dann entfernt werden können.
Alternativ können die Gruppen und deren Eigenschaften auch über Microsoft Graph abgefragt und analysiert werden.
Schritt 2
Löschen Sie aktive Gruppen, sofern diese nicht mehr benötigt werden.
Falls eine Gruppe eine Teams-Gruppe ist oder eine SharePoint-Site enthält, wird ein Teams-Symbol oder ein SharePoint-Symbol neben der Gruppe angezeigt.
Einen Direktlink zu der Teams-Gruppe oder der SharePoint-Site erhält man über die Eigenschaften.
Den belegten Speicher einer Gruppe erhält man über die Speicherübersicht (s.o.)
Hinweis
Sharepoint-Sites prüfen
SharePoint-Sites werden indirekt durch eine Microsoft-Gruppe erstellt. Über die Site-Aktivitäten kann man ggf. Rückschlüsse über die Nutzung oder die Relevanz der abgelegten Daten treffen.
Über den Tab Sites bekommen Sie eine Übersicht über die Sharepoint-Sites und können diese dann überprüfen:
- https://[Tenant hier einfügen]-admin.sharepoint.com/_layouts/15/online/AdminHome.aspx?modern=true#/siteManagement/view/ALL%20SITES
- Der Tenant muss in der URL angepasst werden, da der Link Tenantspezifisch ist: z. B. itcrwth-aachende-admin.sharepoint.com/... für den IT Center Tenant
Sollte die Seite nicht aufrufbar sein (Die Website ist nicht erreichbar) wurde kein SharePoint über den Tenant genutzt.
Falls Sie die Seite aufrufen können, folgen Sie bitten den nächsten Schritten:
Schritt 1
Prüfen sie jeweils die Site Aktivitäten mit dem angepassten obigen Link.
Schritt 2
Löschen Sie alle Sites ohne Aktivitäten, nach Überprüfung der Relevanz.
Hier macht es Sinn, vorrangig die Gruppe zu löschen, da damit langfristig auch die SharePoint-Site gelöscht wird.
Hinweis
SharePoint-Sites sind 93 Tage wiederherstellbar. Aus dem Papierkorb gelöschte Sites sind nicht wiederherstellbar.
Kommunikation innerhalb der Einrichtung über die Abschaltung der aktiven Accounts und Gruppen
Die Kommunikation innerhalb der Einrichtung erfolgt selbstständig durch die einrichtungsinterne IT.
Je nach Menge oder Komplexität der Accounts macht es Sinn, ein (internes) Rundschreiben an die User zu versenden, wo auf den Sachverhalt der Tenantmigration hingewiesen wird.
Bei komplexeren Zusammenhängen wie bspw. hoher Speicherlast von einzelnen Accounts oder Gruppen wird empfohlen, eine direkte Kommunikation mit den Betroffenen zu suchen.
Datensicherung durch die Nutzenden
Sie können den Nutzenden die folgende IT Center Help Seite und die darunter fallenden Artikel als generelle Hilfestellung zur Datensicherung bei Microsoft Cloud Diensten weiterleiten.
Dort finden Sie die wichtigsten Punkte und Orte, wo in der Regel eine Nutzung stattfindet und wie man als betroffene Person selbst prüfen kann, ob eine Nutzung oder eine Speicherung von Daten stattgefunden hat.
Es wird außerdem gezeigt, wie man die Daten aus dem Account migriert oder abspeichert.
Abschaltung aller restlichen Accounts und Gruppen
Sobald alle Schritte bis zu diesem durchlaufen, die Daten durch die Nutzenden gesichert wurden und keine Nutzung mehr im Tenant erkennbar ist, können die restlichen Accounts und Gruppen im Tenant abgeräumt werden.
3. Abschließende Maßnahmen
Da bei der Migration der Domain in den verwalteten Tenants des IT Centers keine Accounts oder Gruppen migriert werden und bestehende Accounts eine alternative Anmeldedomain erhalten, gehen möglicherweise Zugriffe auf die alten Accounts verloren.
Die Daten in den Accounts werden nicht migriert, da es sich „nur“ um die Migration der Domain handelt. Aus diesem Grund stehen in den Tenants die Daten zwar theoretisch weiterhin zur Verfügung, eine Nutzung ist jedoch weiterhin nicht empfohlen.
Sobald alles für die Migration der Domain vorbereitet wurde, melden Sie sich bitte mit den Stichwörtern Migration des viralen Tenants [Ihren Tenant hier einfügen] beim IT-ServiceDesk unter servicedesk@itc.rwth-aachen.de.
Die Fachabteilung des IT Centers wird sich dann zwecks weiterer Schritte für die Migration bei Ihnen melden.
