Microsoft 365 Multi-Geo: Implementierung und Herausforderungen

Multinationale Unternehmen stehen vor der Herausforderung, Daten effizient und sicher über verschiedene geografische Standorte hinweg zu verwalten. Die Multi-Geo-Funktionalität von Microsoft 365 bietet eine innovative Lösung, um diesen Anforderungen gerecht zu werden. In diesem Artikel erfährst du, wie die Implementierung von Multi-Geo deinem Unternehmen helfen kann, regulatorische Anforderungen zu erfüllen und gleichzeitig die Datenverwaltung zu optimieren. Die technischen Voraussetzungen, die Umsetzung und die Vorteile dieser Technologie sowie die Herausforderungen, die dabei auftreten können, werden in diesem Artikel beleuchtet.

Unternehmen, die in mehreren Ländern tätig sind und lokale Datenschutzgesetze einhalten müssen, stehen vor der Herausforderung, sowohl multinationaler Datenschutzanforderungen zu entsprechen, als auch die unternehmensinternen Daten aufwändig verwalten zu müssen. Als Beispiel könnte ein in der EU ansässiger Konzern mit einer Tochtergesellschaft in der Schweiz dienen, für welche im gleichen Tenant aufgrund regulatorischer Anforderungen (z.B. Datenhaltung in der Schweiz) eine neue Datenregion in der Schweiz implementiert wird. Technisch wird hierbei zwischen dem zentralen Standort (EU-Datenregion) und dem Satellitenstandort (Datenregion Schweiz) unterschieden.

Multi-Geo vs. zusätzlicher Tenant
Microsoft 365 bietet zwei Hauptansätze zur Datenverwaltung in unterschiedlichen Regionen: Die Nutzung der M365 Multi-Geo Capabilites und die Einrichtung eines zusätzlichen Tenants in einer anderen Datenregion. Beide Optionen haben ihre eigenen Vor- und Nachteile. In der folgenden Tabelle werden beide Ansätze einander gegenübergestellt.

Kriterium Multi-Geo Zusätzlicher Tenant
Lizenzierung
  • Mindestens 250 lizenzierte Benutzer
  • 5% der lizenzierten Benutzer benötigen Multi-Geo-Lizenzen
  • Zusätzliche Lizenzen für Multi-Geo notwendig.
  • Standard Microsoft 365-Lizenzen
  • Separate Lizenzierung der Benutzer im neuen Tenant.
Datenschutz und Compliance
  • Einhaltung lokaler Datenschutzgesetze durch regionale Datenspeicherung
  • Granulare Verwaltung der Datenresidenz
  • Vollständige Datenspeicherung in der gewünschten Region
  • Separate Compliance- und Sicherheitskonfigurationen erforderlich
Benutzererfahrung und Interoperabilität
  • Nahtlose Zusammenarbeit innerhalb eines Tenants
  • Keine Notwendigkeit für Gastkonten
  • Eingeschränkte Zusammenarbeit zwischen Tenants
  • Einrichtung von Gastkonten und speziellen Konfigurationen erforderlich
Kosten und Aufwand
  • Höhere Lizenzkosten durch Multi-Geo-Lizenzen
  • Geringere Betriebskosten durch Verwaltung eines einzigen Tenants
  • Geringere Lizenzkosten
  • Höhere Betriebskosten durch Verwaltung mehrerer Tenants
Herausforderungen und Risiken
  • Komplexität des Datenmanagements und der Compliance
  • Technische Limitierungen bei nicht unterstützten Diensten
  • Erhöhte Komplexität und Supportbedarf
  • Einschränkungen bei Zusammenarbeit und Interoperabilität

Eine Übersicht, in welchen Datenregionen Multi-Geo verfügbar ist, findest du hier.

Lizenzierung und Voraussetzungen
Um Multi-Geo nutzen zu können, müssen bestimmte Lizenzanforderungen erfüllt werden. So wird ein Enterprise Agreement oder ein CSP-Partner benötigt und das Unternehmen muss über mindestens 250 lizenzierte Benutzer verfügen.Mindestens 5% der lizenzierten Benutzer müssen mit Multi-Geo-Lizenzen ausgestattet werden. Diese Funktion ist ein Premium-Feature und erfordert zusätzliche Lizenzen, die zu den bestehenden Microsoft 365-Plänen hinzugefügt werden.

Technische Umsetzung
Die technische Implementierung von Multi-Geo umfasst mehrere Schritte:

  1. Preferred Data Location (PDL) festlegen: Die PDL eines Benutzers wird über das Attribut “msDS-preferredDataLocation” festgelegt und bestimmt, in welcher Region seine Daten gespeichert werden. Dies kann direkt in Entra ID konfiguriert werden oder bei hybriden IT-Umgebungen über das lokale Active Directory.
  2. OneDrive for Business: Die persönlichen OneDrive-Sites der Benutzer müssen in die richtige Geo-Location migriert werden. Dies kann mit PowerShell-Befehlen durchgeführt werden.
  3. Teams und SharePoint: Die Daten in Teams und SharePoint werden basierend auf der PDL der M365 Gruppe gespeichert. Zum Verschieben einer Group-enabled SharePoint Site wird zuerst die PDL der M365 Gruppe angepasst, anschliessend kann die SharePoint Site manuell verschoben werden.
    Eine Ausnahme bilden 1:1 und 1:n Teams-Chats, welche auf der PDL des Benutzers basieren, der den Chat initiiert.
  4. Exchange Online: Die Mailboxen in Exchange Online werden basierend auf der PDL des Benutzers verwaltet. Es gibt jedoch einige Einschränkungen, wie z.B. die geoübergreifende Freigabe von Postfachordnern.

Herausforderungen und Lösungen
Die Implementierung von Multi-Geo bringt einige Herausforderungen mit sich, die zu berücksichtigen sind:

  1. Lizenzierung: Die hohen Lizenzanforderungen und die damit verbundenen Kosten können eine Hürde darstellen. Es ist wichtig, die Anforderungen genau zu prüfen und die Lizenzierung sorgfältig zu planen.
  2. Datenmigration: Die Migration von Daten in die richtige Geo-Location kann komplex sein und erfordert eine vorausschauende Planung sowie entsprechende kommunikative Begleitung. Es ist wichtig, sicherzustellen, dass alle Daten korrekt migriert werden und die Benutzer über die neue geografische Arbeitsumgebung informiert werden.
  3. Compliance: Die Einhaltung von Compliance-Richtlinien ist ein wichtiger Aspekt der Multi-Geo-Implementierung. Es ist wichtig, sicherzustellen, dass alle regulatorischen Anforderungen erfüllt werden und dass die Daten gesichert und geschützt sind.
  4. Technische Einschränkungen: Es gibt einige technische Einschränkungen bei der Implementierung von Multi-Geo, wie z.B. die geoübergreifende Freigabe von Postfachordnern. Es ist wichtig, diese Einschränkungen zu kennen und entsprechende Lösungen zu finden.

Compliance und eDiscovery
Ein weiterer wichtiger Aspekt der Multi-Geo-Implementierung ist die Einhaltung von Compliance-Richtlinien. eDiscovery hilft Unternehmen, Daten zu identifizieren, zu sammeln, zu sichern und zu analysieren, die potenziell relevant für rechtliche oder Compliance-Anforderungen sind. Standardmässig kann ein eDiscovery-Manager oder Administrator eines Multi-Geo-Mandanten eDiscovery nur in der primären Geografie des Mandanten durchführen. Der globale Microsoft 365 Administrator muss eDiscovery-Managerberechtigungen zuweisen und den «Region»-Parameter im Compliance-Sicherheitsfilter festlegen, um eDiscovery in Satellitenstandorten zu ermöglichen. Ohne diese Konfiguration wird eDiscovery nicht für Satellitenstandorte durchgeführt. Mit eDiscovery (Premium) können Administratoren jedoch alle geografischen Regionen durchsuchen, ohne den «Region»-Parameter zu verwenden. Daten werden in der Azure-Instanz der primären Geografie des Mandanten exportiert.

Fazit
Die Implementierung von Multi-Geo in Microsoft 365 bietet Unternehmen eine flexible und skalierbare Lösung zur Datenverwaltung über verschiedene geografische Standorte hinweg. Durch die richtige Konfiguration und Verwaltung können Unternehmen nicht nur regulatorische Anforderungen erfüllen, sondern im Vergleich zu einer Mutli-Tenant-Lösung auch die Effizienz und Sicherheit ihrer Datenverwaltung erheblich verbessern.

Wir hoffen, dass dir dieser Blogbeitrag einen Überblick über Microsoft 365 Multi-Geo und dessen Anwendungsmöglichkeiten gegeben hat. Zögere nicht, uns zu kontaktieren, wenn du Fragen dazu hast oder Unterstützung benötigst.