Was ist Azure Active Directory Premium?

Azure Active Directory

Was ist Azure Active Directory Premium genau?

Was ist Azure Active Directory Premium? Wir erklären AAD. Grundsätzlich werden mit Azure Active Directory Benutzeridentitäten und Zugriffsprivilegien verwaltet. Zudem umfasst AAD das Identitäten Verzeichnis, die Zugriffsverwaltung und den Identitätsschutz in der Cloud. Wie der Name schon sagt, ist Azure AD Teil von Azure. Azure Active Directory wird in vier Ausprägungen angeboten. Dies sind Azure Active Directory (kostenlos), AAD als Teil von Microsoft 365 Abos, sowie P1 und P2.

Grundlegende Funktionen von Azure AD, mit gewissen Einschränkungen jedoch, können kostenlos genutzt werden. Kunden mit Microsoft 365 Abos erhalten etwas mehr Funktionalität. Zum Beispiel im Bereich Multi Factor Authentication. Die Azure AD Premium Varianten P1/P2 bieten dann zahlreiche Zusatzfunktionen. Deswegen erfordern sie eine kostenpflichtige Lizenzierung.

Was sind die Premium Funktionen?

Für viele Organisationen ist es ohne Zusatzfunktionen in Azure AD nicht möglich, zum Beispiel Microsoft 365, mit den erforderlichen Sicherheitsrichtlinien und gewünschten Funktionen zu nutzen. Zusätzlich zu Microsoft 365, sind die Azure AD Premium Funktionen auch für SaaS-Anwendungen von Drittanbietern immens nützlich.

Eine gute Übersicht welche Funktionen in den vier Varianten, insbesondere in P1 und P2 enthalten sind, finden Sie direkt bei Microsoft.

Alle Funktionen von P1 sind auch in P2 enthalten. D.h. wenn ich P2 kaufe, bekomme ich auch P1 sowie auch alle Funktionen der kostenlosen Version.

Wie kann ich Azure Active Directory lizenzieren?

Sie können Azure AD Premium P1 als Einzelprodukt lizenzieren. Des Weiteren können Sie es als Teil eines Bundles wie der Enterprise Mobility + Security E3 Suite oder auch als Teil von Microsoft 365 Business Premium einsetzen. Die P2 Lizenzen haben noch mehr Funktionen als die P1 Lizenzen. Diese P2 Lizenz ist ebenfalls einzeln oder als Teil von Enterprise Mobility + Security E5 oder Microsoft 365 E5 erhältlich.

Wichtige Funktionen

Nachfolgend sind drei wichtige Funktionen, welche sich mit Azure AD Premium realisieren lassen, beschrieben.

Self-Service-Kennwortzurücksetzung

Vergessene Passwörter sind ein altbekanntes Thema. Anrufe von Endbenutzern beim Service Desk, um ein Passwort zurückzusetzen, sind teuer. Es entstehen Aufwände beim Service Desk Mitarbeiter und verlorene Zeit beim Benutzer.

Azure AD Premium P1 umfasst die selfservice Kennwortrücksetzung (SSPR). Mit SSPR können Benutzer ihr Passwort zurücksetzen oder ihr Konto entsperren. Dies passiert wohlgemerkt ohne die IT-Abteilung. SSPR ist nicht nur für Cloud Passwörter geeignet. Dank Password Writeback, kann Azure AD auch ins lokale Active Directory schreiben. Zum Beispiel eine Kennwortänderung, ein Zurücksetzen oder die Entsperrung eines Kontos. Dies erfolgt ohne eingehende Ports auf der Firewall zu öffnen. Zudem wird ihre lokale AD-Kennwortrichtlinie auch dann eingehalten, wenn die Kennwortänderung/-zurücksetzung in der Cloud durchgeführt wird.

Conditional Access

Eine der leistungsfähigsten und aufregendsten Funktionen in Azure AD Premium ist zweifelsohne Conditional Access. Mit CA können Sie granulare Richtlinien definieren, die das «Wer», «Was», «Wann» und «Wie» des Zugriffs auf einzelne Anwendungen und Microsoft 365 Workloads steuern. Mithilfe von CA-Richtlinien können Sie von der traditionellen Netzwerkabgrenzung «vor» oder «hinter» der Firewall, zu einer modernen Zero-Trust-Architektur übergehen. Dies erlaubt eine Vielzahl von Eingaben und Signalen des Benutzers, der auf die Anwendung zugreift, zu berücksichtigen.

Zusätzlich zu den traditionellen Richtlinien Abfragen (wie z. B. welche Benutzer ID, welche IP-Adresse oder welcher Netzwerkstandort verwendet wird) können Sie auch Informationen über das genutzte Gerät, die verwendete Anwendung, einen dynamischen Risiko Score des Benutzers, sowie seine aktive Sitzung, als Faktoren für das Zulassen oder Sperren des Zugriffs verwenden. Sie könnten zum Beispiel eine Anwendung oder eine SharePoint-Site mit sensiblen Daten haben, auf die Sie den Zugriff nur von einem Firmengerät mit MFA erlauben.

Single Sign-on und Anwendungsbereitstellung

Zusätzlich zu den Microsoft 365 Workloads, lässt sich Azure AD mit Tausenden bekannten SaaS-Anwendungen und sogar mit selbst entwickelten Anwendungen, integrieren. Sie können die gleichen Identitätsmanagement- und Sicherheitskontrollen in Azure AD Premium, die mit Microsoft 365 verwendet werden, auf Drittanbieter ausweiten. Für viele Unternehmen führt die Strategie, alle Anwendungen mit Azure AD zu integrieren, zu einer Vereinfachung für Endbenutzer und IT-Abteilung gleichermassen.

Sobald die Integration abgeschlossen ist, können Endbenutzer über Single Sign-On (SSO) mit Azure AD auf die Anwendung zugreifen. Auch wenn Ihre Anwendung nicht in der Azure Galerie enthalten ist, können Sie eine benutzerdefinierte Anwendung hinzufügen, wenn sie standardbasierte Authentifizierungsprotokolle wie SAML, OAuth, Open ID Connect unterstützten.

Die Verwaltung der vielen Identitäten in SaaS-Anwendungen ist ein ständig wachsendes Problem, da die Anzahl der SaaS-Anwendungen zunimmt. Traditionelle Identitätsmanagement-Prozesse wie Account Provisioning und Deprovisioning, Rollenmanagement und Zugriffszertifizierungen, müssen auf SaaS-Anwendungen ausgeweitet werden.

Auch neuere Probleme, wie das Lizenzmanagement, stellen sich, wenn man für jeden aktiven Benutzer bezahlen muss. Glücklicherweise enthält Azure AD Premium Outbound-Provisioning-Funktionen für ausgewählte SaaS-Anwendungen. Sie können Outbound Provisioning verwenden, um herkömmliche Azure AD-Gruppen dem Zugriff und den Rollen von SaaS-Anwendungen zuzuordnen. Wenn Azure AD eine Änderung an einem Benutzer in einer Gruppe oder an der Gruppenmitgliedschaft selbst feststellt, wird das Konto des Benutzers in der SaaS-Anwendung erstellt oder aktualisiert und die Gruppen- oder Rollenmitgliedschaft in der Anwendung verwaltet.

Fazit und Vorgehen Azure Active Directory Premium?

Azure AD Premium bittet einen grossen und manchmal komplexen Satz von Funktionen, die einen enormen Mehrwert bieten können, aber es ist unmöglich, alle Funktionen auf einmal zu implementieren. Stattdessen sollten Sie die Funktionen identifizieren, die in kürzester Zeit den größten Wert für Ihr Unternehmen erbringen, und mit diesen beginnen. SSPR, SSO, Conditional Access, Provisioning und Access Management sowie Identitätsschutz, sind nur einige Beispiele für Funktionen, die meiner Meinung nach, für Unternehmen jeder Grösse, am attraktivsten sind. Sie können in einer überschaubaren Zeitspanne implementiert werden und bilden oft die Grundlage für grössere und komplexere Initiativen in der Zukunft.

Liebe Blogleser/innen, Sie haben den «Was ist Azure Active Directory Premium?» Blog gelesen, herzlichen Dank hierfür. Wie Sie wissen, entwickeln sich die Azure AD Funktionen rasant weiter. Zum Zeitpunkt des Artikels war der Inhalt bestimmt aktuell, es kann aber sein, dass die Infos bald überholt sind. Da wir geschriebene Blogs nur selten anpassen, finden Sie hier den Link zu unserer Azure Active Directory Seite mit allen aktuellen Informationen zum Thema.

Microsoft CSP Lizenzen (Part 2)

Microsoft CSP Lizenzen (Part 2)

CSP Lizenzen (Part 2): Wie bereits im ersten Teil des Beitrages beschrieben, bieten wir nicht nur Dienstleistungen im Bereich Microsoft Cloud, sondern auch diverse Software Produkte respektive Lizenzen für Cloud Lösungen. Dazu gehören beispielsweise Skykick Backup, Printix, Kontakt Synch und natürlich die ganze Microsoft Palette aus der Cloud.

Microsoft Azure Lizenzierung über CSP

Im zweiten Teil dieser Serie gehe ich etwas näher auf Microsoft Azure ein. Im ersten Teil habe ich das Thema Microsoft 365 schon ausführlich erläutert. Microsoft Azure kann man ebenfalls über das CSP Programm lizenzieren. Doch zuerst ein paar Infos was Azure überhaupt ist.

Was ist Microsoft Azure?

Microsoft Azure ist die Cloud Plattform von Microsoft. Azure ist ein Verbund von Rechenzentren (58 Regionen Stand März 2020). Azure ist in 140 Ländern weltweit verfügbar.

In den jeweiligen Regionen bspw. auch in der Schweiz (nämlich Zürich und Genf) gibt es entsprechende Rechenzentren. Pro Region sind es mindestens immer zwei Stück. Diese bilden gemeinsam eine Region. Durch die zwei Standorte, sind die Regionen redundant. Auch die einzelnen Rechenzentren sind üblicherweise so ausgestattet, dass alle Dienste redundant sein können. Die Rechenzentren sind über einen eigenen Backbone miteinander verbunden.

Alle Rechenzentren erfüllen die gängigsten, globalen Compliance Auflagen, was Sicherheit und Datenschutz angeht. Details was Microsoft alles macht in Sachen Compliance, gibt’s hier. Die Azure Plattform bietet, je nach Region, zahlreiche Dienste und Funktionen. Diese Dienste decken verschiedene Themen und IT-Anwendungen ab.

Das Angebot reicht von simplen virtuellen Maschinen, über Entwicklerwerkzeuge, Datenbanken, künstliche Intelligenz, Blockchain, Security Tools, Web Applikationen und vieles mehr. Das Angebot ist gross und wird ständig erweitert, d.h. man kann leicht den Überblick verlieren.

Vorteile von Azure

Der grosse Vorteil von Azure ist die nahtlose Integration in bestehende, lokale Microsoft Landschaften. D.h. es besteht die Möglichkeit, dass lokale Netzwerk mit Azure zu verbinden und so eine hybride Konfiguration zu erreichen. Auf diesem Weg kann schrittweise der Weg in die Cloud gemacht werden. Zudem werden die Dienste nach effektiver Nutzung abgerechnet, d.h. z.B. eine virtuelle Maschine, die nicht läuft, kostet auch nichts.

Abrechnung in Azure

Das Konzept für die Abrechnung in Azure beruht auf sogenannten Azure Subscriptions. Wenn man mit Kreditkarte bezahlt, so landen alle Kosten monatlich auf der Karten-Abrechnung. Bei den CSP Lizenzen ist es so, dass ein sogenannter Azure Plan erstellt wird (einer pro Kunde) und diesem Plan werden dann die verschiedenen Subscriptions angehängt.

Die Abrechnung im CSP erfolgt über diesen «Azure Plan» als Sammelbehälter aller Kosten. Alle Kosten landen dann, wie bei Microsoft 365, direkt auf der monatlichen Rechnung des CSP Anbieters. So ist es möglich, dass ein Microsoft Partner sowohl Microsoft 365 Lizenzen, Azure und auch Dienstleistungen dem Kunden anbieten kann. Dies kann man dann nach Kundenwunsch aufschlüsseln, respektive verrechnen.

Natürlich ist es möglich, alle Dienste und Ressourcen, welche in den verschiedenen Subscriptions genutzt werden, via Azure Cost Management zu analysieren oder die einzelnen Abrechnungsdaten zu exportieren. So ist es auch für grössere Unternehmen möglich, die Kosten für verschiedene Dienste und Lösungen an die jeweiligen Kostenträger intern zu verrechnen.

Dies setzt voraus, dass die Subscriptions, respektive die darin zugeordneten Dienste sinnvoll strukturiert werden (also welche Dienste/Ressourcen kommen in welche Subscription), damit Sie der Kostenträger-Struktur und den gewünschten Kostengefässen eines Unternehmens möglichst einfach entsprechen und die Kosten ohne viele Aufwand zugewiesen werden können.

Dies steht dann jedoch teilweise auch im Zielkonflikt mit der Verteilung der Berechtigungen und Zugriffe auf die Dienste. Schlussendlich gilt es hier von Anfang an beide Ziele in Einklang zu bringen.

Anbei eine Visualisierung der Berechtigungsebenen und dem logischen Aufbau in Azure, wobei das Thema Kosten auf Ebene der Subscriptions aggregiert wird, auch wenn die Verursacher auf der Ressourcen Ebene sind.

Azure Management layers

Visual Studio

Auch wenn man Visual Studio pro Mitarbeiter lizenziert, kann man die Kosten über eine Azure Subscription abrechnen. Beim Kauf von Visual Studio wählt man einfach eine Subscription und die Kosten werden dieser dann belastet.

Wenn du Fragen hast zu Microsoft 365, CSP oder Azure, du gerne deine Lizenzen optimieren oder prüfen möchtest, so stehen wir dir gerne zur Verfügung.

Microsoft CSP Lizenzen (Part 1)

TwinCap First AG bietet nicht nur Dienstleistungen rund um die Microsoft Cloud, sondern auch diverse Software Produkte, respektive Lizenzen für Cloud Lösungen. Dazu gehören beispielsweise Skykick Backup, Printix, Kontakt Synch und natürlich die ganzen Microsoft Cloud Dienste. Daher heute unsere Abhandlung im Blog «Microsoft CSP Cloud Lizenzen (Part 1)».

Microsoft Lizenzierung über CSP

In diesem Blog möchte ich etwas näher auf die Microsoft Cloud Lizenzierung eingehen. Da es immer wieder Fragen dazu gibt, hole ich etwas weiter aus. Ich beleuchte aber nur Cloud Lizenzen, keine klassischen On Prem Lizenzierungs-Modelle. Im ersten Teil geht es um Microsoft 365. Im zweiten Teil dann um Microsoft Azure, der grossen «Cloud Plattform» von Microsoft. In Azure ist auch Microsoft 365 eingebettet. Der zweite Teil über Azure folgt dann im nächsten Blog.

Grundsätzlich umfassen die Microsoft Lizenzen einerseits die kompletten Produkte im Bereich Microsoft 365, andererseits auch Produkte, welche über die Azure Plattform bezogen werden können (z.B. Visual Studio). Die Abwicklung und der Verkauf der Lizenzen erfolgt über den sogenannten CSP Marktplatz. Diesen haben wir bereits in diesem Blog Beitrag vorgestellt. D.h. wenn jemand heute über Kreditkarte Lizenzen bezahlt, so kann er auf den CSP Marktplatz wechseln. Wir bieten unseren Kunden zum Beispiel folgende Benefits über den CSP Kanal.

Unsere Bedingungen

  • Attraktive Bedingungen für M365 und Azure Pläne
  • Tagesgenaue Abrechnung (es wird pro Tag abgerechnet, nicht nach fixen Monaten)
  • Rechnung monatlich (auf Tages Basis), keine Vorauszahlung
  • keine Mindest-Vertragsdauer, der Wechsel zu einem anderen Anbieter ist täglich möglich
  • Lizenzen können direkt und nach Wunsch selbst über das CSP Portal gekauft/zurückgegeben oder über unseren Helpdesk beantragt werden (frei wählbar)
  • 1 Jahr Preisgarantie von Microsoft ab Kaufdatum
  • Rascher und kompetenter Support bei Fragen (in der Schweiz und in deutscher Sprache)

Gut zu Wissen

Gut zu wissen ist auch, ein Wechsel von «Kreditkarte» nach «CSP» ist ein reiner administrativer Wechsel. Allfällige über Kreditkarte vorausbezahlte Lizenzen werden von Microsoft zurückvergütet. Es gibt auch keinen Unterbruch oder Funktionseinschränkungen bei einem Wechsel. Im Wesentlichen wird nur die kommerzielle Abrechnung von Kreditkarte auf Rechnung umgestellt.

Microsoft 365 Lizenzen

Unter dem Namen Microsoft 365 versteckt sich eine ganze Reihe von Produkten und Diensten. Diese Dienste kann man grösstenteils einzeln «lizenzieren», also im Monatsmodell einzeln als Dienst mieten. Eine jährliche Vorauszahlung ist ebenfalls möglich, womit es bei Microsoft etwas günstiger wird. Abgerechnet wird normalerweise pro Benutzer pro Monat (mit Ausnahmen, wäre ja langweilig, wenn es so einfach wäre 😉).

Ein solcher Dienst ist zum Beispiel «Exchange Online Plan 1» im Wesen eine Mailbox mit der man Mails, Kalender und Kontakte verwalten kann, inbegriffen ist der Zugriff jedoch nur über einen Webbrowser, d.h. ohne Outlook auf dem Desktop. Möchte man nun aber auch noch Office als installierbare Software nutzen, also mit Word, Excel, PowerPoint, OneNote und Outlook, müsste man diesen Dienst auch noch dazu mieten. Damit die Kunden nicht dutzende einzelne Dienste zusammensuchen müssen, hat Microsoft die meistgenutzten Dienste in sogenannten «Plänen» zusammengefasst.

Aufbau der Lizenzen

Der Aufbau besteht eigentlich aus drei Marksegmenten:

  • Home Produkte für den privaten Gebrauch (Familien, Studenten usw.)
  • Die Microsoft 365 Business Linie, gedacht für Unternehmen bis maximal 300 Benutzer
  • Die Microsoft 365 Enterprise Linie, gedacht für grössere Unternehmen (Konzern, globale Unternehmen)

Jedes Segment beinhaltet dann wiederum eigene «Pläne» (siehe Screenshot unten von Microsoft für das Business Segment), z.B. gibt es:

  • einen «Microsoft 365 Business Basic» Plan
  • einen «Microsoft 365 Business Standard» Plan
  • und einen «Microsoft 365 Premium» Plan
Office subscriptions overview

Mini, Medium oder Maxi

Wie man dem Preis der ersten drei Pläne entnehmen kann, funktioniert das Modell eigentlich wie ein gängiges «Mini», «Medium» und «Maxi» Produkt. Dies kennt man von anderen Abo-Produkten wie Netflix, Spotify, Apple Music etc. Soll heissen – von links nach rechts, enthält jeder nachfolgende Plan die Dienste des vorangehenden Plans und wird um weitere Dienste und Funktionen ergänzt. D.h. es fängt klein an und aggregiert sich hoch bis zum grössten Paket. Natürlich kann man immer noch einzelne Dienste und Add-Ons zu diesen Plänen hinzufügen, sollte ein Plan nicht alles enthalten was man sich wünscht. Es bleiben, für entsprechendes Geld, fast keine Wünsche offen. Microsoft bietet auch die Möglichkeit «Pläne» zu mischen, d.h. nicht alle Benutzer benötigen den gleichen Plan. Eine Bürokraft benötigt sicher ein Office Paket auf dem Desktop, ein Mitarbeiter im Lager benötigt allenfalls nur einen Plan mit Mail und Teams Online.

Über den CSP Marktplatz sind auch sogenannte NGO und EDU Lizenzen erhältlich. Falls sich eine Institution oder eine Bildungsstätte dafür qualifiziert, erhalten diese erhebliche Rabattierungen. Gerne helfen wir bei EDU/NGO weiter, falls unklar ist, wie man die Qualifikationen bekommt. Die einzelnen Pläne findet man auch bei Microsoft.

Weniger bekannte «Office» Produkte

Nebst den allgemein bekannten Produkten wie Outlook, Word, Excel, PowerPoint gibt es dutzende zusätzliche Werkzeuge, die man mit Microsoft 365 gratis dazu kriegt oder je nach Produkt dazu gemietet werden können. Microsoft Teams ist gratis dabei, Exchange Online ist in verschiedenen Varianten enthalten (also Mail aus der Cloud) und natürlich OneDrive – der persönliche Cloudspeicher für Benutzer und SharePoint als «Unternehmens-Datenablage» in Microsoft 365.

Weitere Werkzeuge, die im Preis enthalten sind, wären Task Management Tools wie «To-Do», «Microsoft Planner», «Microsoft Lists» aber auch eine Basic «Power Automate Funktion», also eine Workflow Engine, um Abläufe zu automatisieren. Enthalten ist auch eine Basis Version von PowerApps, eine Entwicklungsumgebung für mobile Apps.

Auch möglich ist das Aufschalten der Telefonie ins öffentliche Netz mit Teams direct routing. Dazu wird ein Telekom Provider benötigt sowie die sogenannte «Phone System/Business Voice» Lizenz und schon kann man über Teams auch die klassische Telefonie nutzen. Die Aufzählung oben ist nicht abschliessend – es gibt noch zahlreiche andere Tools (Archivierung, Security usw.), es lohnt sich also die Pläne etwas genauer anzuschauen. Des Weiteren gehören übrigens auch Microsoft Project sowie Visio in verschiedenen Varianten (getreu dem Modell «Mini, Medium, Maxi» oder um bei Microsoft zu bleiben, «Plan 1», «Plan 2» usw.) zu den Diensten/Produkten welche man separat «dazu mieten» kann.

Management Werkzeuge für den IT Admin

Für den IT-Administrator gibt es auch Lizenzen, zum Beispiel um die Sicherheit von Geräten (Mobile Geräte, Desktops/Notebooks etc.) verwalten zu können. Diese sind einzeln oder als Bestandteil des jeweiligen Planes, ebenfalls pro Endbenutzer oder Gerät lizenziert. Das Kern-Werkzeug nennt sich «Microsoft Intune», ein Verwaltungswerkzeug mit dem man mobile Geräte (IOS/Android) sowie auch Windows 10 und Apple (Mac) Geräte verwalten kann. Zum Umfang von Intune gehören Richtlinien für den Einsatz dieser Geräte, Softwareverteilung, Inventarisierung und weitere Funktionen. Nebst Intune gibt es noch zahlreiche weitere Administrations-Tools, welche einzeln oder als Plan in der EMS Suite (Enterprise Mobility Suite) erworben werden können. D.h. was beim «normalen» User mit Office 365 möglich ist, setzt sich auch im Bereich der IT Admin Werkzeuge entsprechend weiter.

Kostenbetrachtung

Wir hören immer wieder, dass die Cloud Lösungen sehr teuer seien. Vergleicht man aber, welche (neuen) Möglichkeiten man mit den Microsoft 365 Produkten als Gegenwert erhält, so dürften die Kosten, im Vergleich zu lokalen Diensten, durchaus vergleichbar sein. Natürlich nur wenn man eine Komplettrechnung anstellt. Speziell für KMU eröffnen sich mit den Lizenzen Möglichkeiten, welche mit einer lokalen, selbsterstellten Lösung kaum finanzierbar wären oder ein grösseres Investitionsvolumen und hohe Betriebskosten nach sich ziehen würden. Dazu gehören Standortunabhängigkeit, eine hohe Verfügbarkeit, Redundanz, Gerätunabhängigkeit und auch das Umwandeln von fixen Kosten in variable Kosten (freut den Finanzchef). Zudem sind die Applikationen und Dienste immer auf dem neuesten Stand, d.h. es müssen keine «neuen» Updates gekauft werden, da diese im Preis inbegriffen sind.

Fazit

Es lohnt sich die Lizenzpakete näher anzuschauen und auch im Detail zu prüfen welche Funktionen und Dienste man einsetzen möchte. Die Microsoft 365 bietet heute alles was man sich wünscht und viele zusätzliche Möglichkeiten, welche lokal im eigenen Rechenzentrum oder Serverraum kaum realisierbar wären. Auf lange Frist stellt sich nicht die Frage, ob man Microsoft 365 einsetzt,sondern nur die Frage wann.