Microsoft CSP Lizenzen (Part 2)

Microsoft CSP Lizenzen (Part 2)

CSP Lizenzen (Part 2): Wie bereits im ersten Teil des Beitrages beschrieben, bieten wir nicht nur Dienstleistungen im Bereich Microsoft Cloud, sondern auch diverse Software Produkte respektive Lizenzen für Cloud Lösungen. Dazu gehören beispielsweise Skykick Backup, Printix, Kontakt Synch und natürlich die ganze Microsoft Palette aus der Cloud.

Microsoft Azure Lizenzierung über CSP

Im zweiten Teil dieser Serie gehe ich etwas näher auf Microsoft Azure ein. Im ersten Teil habe ich das Thema Microsoft 365 schon ausführlich erläutert. Microsoft Azure kann man ebenfalls über das CSP Programm lizenzieren. Doch zuerst ein paar Infos was Azure überhaupt ist.

Was ist Microsoft Azure?

Microsoft Azure ist die Cloud Plattform von Microsoft. Azure ist ein Verbund von Rechenzentren (58 Regionen Stand März 2020). Azure ist in 140 Ländern weltweit verfügbar.

In den jeweiligen Regionen bspw. auch in der Schweiz (nämlich Zürich und Genf) gibt es entsprechende Rechenzentren. Pro Region sind es mindestens immer zwei Stück. Diese bilden gemeinsam eine Region. Durch die zwei Standorte, sind die Regionen redundant. Auch die einzelnen Rechenzentren sind üblicherweise so ausgestattet, dass alle Dienste redundant sein können. Die Rechenzentren sind über einen eigenen Backbone miteinander verbunden.

Alle Rechenzentren erfüllen die gängigsten, globalen Compliance Auflagen, was Sicherheit und Datenschutz angeht. Details was Microsoft alles macht in Sachen Compliance, gibt’s hier. Die Azure Plattform bietet, je nach Region, zahlreiche Dienste und Funktionen. Diese Dienste decken verschiedene Themen und IT-Anwendungen ab.

Das Angebot reicht von simplen virtuellen Maschinen, über Entwicklerwerkzeuge, Datenbanken, künstliche Intelligenz, Blockchain, Security Tools, Web Applikationen und vieles mehr. Das Angebot ist gross und wird ständig erweitert, d.h. man kann leicht den Überblick verlieren.

Vorteile von Azure

Der grosse Vorteil von Azure ist die nahtlose Integration in bestehende, lokale Microsoft Landschaften. D.h. es besteht die Möglichkeit, dass lokale Netzwerk mit Azure zu verbinden und so eine hybride Konfiguration zu erreichen. Auf diesem Weg kann schrittweise der Weg in die Cloud gemacht werden. Zudem werden die Dienste nach effektiver Nutzung abgerechnet, d.h. z.B. eine virtuelle Maschine, die nicht läuft, kostet auch nichts.

Abrechnung in Azure

Das Konzept für die Abrechnung in Azure beruht auf sogenannten Azure Subscriptions. Wenn man mit Kreditkarte bezahlt, so landen alle Kosten monatlich auf der Karten-Abrechnung. Bei den CSP Lizenzen ist es so, dass ein sogenannter Azure Plan erstellt wird (einer pro Kunde) und diesem Plan werden dann die verschiedenen Subscriptions angehängt.

Die Abrechnung im CSP erfolgt über diesen «Azure Plan» als Sammelbehälter aller Kosten. Alle Kosten landen dann, wie bei Microsoft 365, direkt auf der monatlichen Rechnung des CSP Anbieters. So ist es möglich, dass ein Microsoft Partner sowohl Microsoft 365 Lizenzen, Azure und auch Dienstleistungen dem Kunden anbieten kann. Dies kann man dann nach Kundenwunsch aufschlüsseln, respektive verrechnen.

Natürlich ist es möglich, alle Dienste und Ressourcen, welche in den verschiedenen Subscriptions genutzt werden, via Azure Cost Management zu analysieren oder die einzelnen Abrechnungsdaten zu exportieren. So ist es auch für grössere Unternehmen möglich, die Kosten für verschiedene Dienste und Lösungen an die jeweiligen Kostenträger intern zu verrechnen.

Dies setzt voraus, dass die Subscriptions, respektive die darin zugeordneten Dienste sinnvoll strukturiert werden (also welche Dienste/Ressourcen kommen in welche Subscription), damit Sie der Kostenträger-Struktur und den gewünschten Kostengefässen eines Unternehmens möglichst einfach entsprechen und die Kosten ohne viele Aufwand zugewiesen werden können.

Dies steht dann jedoch teilweise auch im Zielkonflikt mit der Verteilung der Berechtigungen und Zugriffe auf die Dienste. Schlussendlich gilt es hier von Anfang an beide Ziele in Einklang zu bringen.

Anbei eine Visualisierung der Berechtigungsebenen und dem logischen Aufbau in Azure, wobei das Thema Kosten auf Ebene der Subscriptions aggregiert wird, auch wenn die Verursacher auf der Ressourcen Ebene sind.

Visual Studio

Auch wenn man Visual Studio pro Mitarbeiter lizenziert, kann man die Kosten über eine Azure Subscription abrechnen. Beim Kauf von Visual Studio wählt man einfach eine Subscription und die Kosten werden dieser dann belastet.

Wenn du Fragen hast zu Microsoft 365, CSP oder Azure, du gerne deine Lizenzen optimieren oder prüfen möchtest, so stehen wir dir gerne zur Verfügung.

Micrsosoft CSP Lizenzen (Part 1)

TwinCap First AG bietet nicht nur Dienstleistungen rund um die Microsoft Cloud, sondern auch diverse Software Produkte, respektive Lizenzen für Cloud Lösungen. Dazu gehören beispielsweise Skykick Backup, Printix, Kontakt Synch und natürlich die ganzen Microsoft Cloud Dienste. Daher heute unsere Abhandlung im Blog «Microsoft CSP Cloud Lizenzen (Part 1)».

Microsoft Lizenzierung über CSP

In diesem Blog möchte ich etwas näher auf die Microsoft Cloud Lizenzierung eingehen. Da es immer wieder Fragen dazu gibt, hole ich etwas weiter aus. Ich beleuchte aber nur Cloud Lizenzen, keine klassischen On Prem Lizenzierungs-Modelle. Im ersten Teil geht es um Microsoft 365. Im zweiten Teil dann um Microsoft Azure, der grossen «Cloud Plattform» von Microsoft. In Azure ist auch Microsoft 365 eingebettet. Der zweite Teil über Azure folgt dann im nächsten Blog.

Grundsätzlich umfassen die Microsoft Lizenzen einerseits die kompletten Produkte im Bereich Microsoft 365, andererseits auch Produkte, welche über die Azure Plattform bezogen werden können (z.B. Visual Studio). Die Abwicklung und der Verkauf der Lizenzen erfolgt über den sogenannten CSP Marktplatz. Diesen haben wir bereits in diesem Blog Beitrag vorgestellt. D.h. wenn jemand heute über Kreditkarte Lizenzen bezahlt, so kann er auf den CSP Marktplatz wechseln. Wir bieten unseren Kunden zum Beispiel folgende Benefits über den CSP Kanal.

Unsere Bedingungen

  • Attraktive Bedingungen für M365 und Azure Pläne
  • Tagesgenaue Abrechnung (es wird pro Tag abgerechnet, nicht nach fixen Monaten)
  • Rechnung monatlich (auf Tages Basis), keine Vorauszahlung
  • keine Mindest-Vertragsdauer, der Wechsel zu einem anderen Anbieter ist täglich möglich
  • Lizenzen können direkt und nach Wunsch selbst über das CSP Portal gekauft/zurückgegeben oder über unseren Helpdesk beantragt werden (frei wählbar)
  • 1 Jahr Preisgarantie von Microsoft ab Kaufdatum
  • Rascher und kompetenter Support bei Fragen (in der Schweiz und in deutscher Sprache)

Gut zu Wissen

Gut zu wissen ist auch, ein Wechsel von «Kreditkarte» nach «CSP» ist ein reiner administrativer Wechsel. Allfällige über Kreditkarte vorausbezahlte Lizenzen werden von Microsoft zurückvergütet. Es gibt auch keinen Unterbruch oder Funktionseinschränkungen bei einem Wechsel. Im Wesentlichen wird nur die kommerzielle Abrechnung von Kreditkarte auf Rechnung umgestellt.

Microsoft 365 Lizenzen

Unter dem Namen Microsoft 365 versteckt sich eine ganze Reihe von Produkten und Diensten. Diese Dienste kann man grösstenteils einzeln «lizenzieren», also im Monatsmodell einzeln als Dienst mieten. Eine jährliche Vorauszahlung ist ebenfalls möglich, womit es bei Microsoft etwas günstiger wird. Abgerechnet wird normalerweise pro Benutzer pro Monat (mit Ausnahmen, wäre ja langweilig, wenn es so einfach wäre 😉).

Ein solcher Dienst ist zum Beispiel «Exchange Online Plan 1» im Wesen eine Mailbox mit der man Mails, Kalender und Kontakte verwalten kann, inbegriffen ist der Zugriff jedoch nur über einen Webbrowser, d.h. ohne Outlook auf dem Desktop. Möchte man nun aber auch noch Office als installierbare Software nutzen, also mit Word, Excel, PowerPoint, OneNote und Outlook, müsste man diesen Dienst auch noch dazu mieten. Damit die Kunden nicht dutzende einzelne Dienste zusammensuchen müssen, hat Microsoft die meistgenutzten Dienste in sogenannten «Plänen» zusammengefasst.

Aufbau der Lizenzen

Der Aufbau besteht eigentlich aus drei Marksegmenten:

  • Home Produkte für den privaten Gebrauch (Familien, Studenten usw.)
  • Die Microsoft 365 Business Linie, gedacht für Unternehmen bis maximal 300 Benutzer
  • Die Microsoft 365 Enterprise Linie, gedacht für grössere Unternehmen (Konzern, globale Unternehmen)

Jedes Segment beinhaltet dann wiederum eigene «Pläne» (siehe Screenshot unten von Microsoft für das Business Segment), z.B. gibt es:

  • einen «Microsoft 365 Business Basic» Plan
  • einen «Microsoft 365 Business Standard» Plan
  • und einen «Microsoft 365 Premium» Plan

Mini, Medium oder Maxi

Wie man dem Preis der ersten drei Pläne entnehmen kann, funktioniert das Modell eigentlich wie ein gängiges «Mini», «Medium» und «Maxi» Produkt. Dies kennt man von anderen Abo-Produkten wie Netflix, Spotify, Apple Music etc. Soll heissen – von links nach rechts, enthält jeder nachfolgende Plan die Dienste des vorangehenden Plans und wird um weitere Dienste und Funktionen ergänzt. D.h. es fängt klein an und aggregiert sich hoch bis zum grössten Paket. Natürlich kann man immer noch einzelne Dienste und Add-Ons zu diesen Plänen hinzufügen, sollte ein Plan nicht alles enthalten was man sich wünscht. Es bleiben, für entsprechendes Geld, fast keine Wünsche offen. Microsoft bietet auch die Möglichkeit «Pläne» zu mischen, d.h. nicht alle Benutzer benötigen den gleichen Plan. Eine Bürokraft benötigt sicher ein Office Paket auf dem Desktop, ein Mitarbeiter im Lager benötigt allenfalls nur einen Plan mit Mail und Teams Online.

Über den CSP Marktplatz sind auch sogenannte NGO und EDU Lizenzen erhältlich. Falls sich eine Institution oder eine Bildungsstätte dafür qualifiziert, erhalten diese erhebliche Rabattierungen. Gerne helfen wir bei EDU/NGO weiter, falls unklar ist, wie man die Qualifikationen bekommt. Die einzelnen Pläne findet man auch bei Microsoft.

Weniger bekannte «Office» Produkte

Nebst den allgemein bekannten Produkten wie Outlook, Word, Excel, PowerPoint gibt es dutzende zusätzliche Werkzeuge, die man mit Microsoft 365 gratis dazu kriegt oder je nach Produkt dazu gemietet werden können. Microsoft Teams ist gratis dabei, Exchange Online ist in verschiedenen Varianten enthalten (also Mail aus der Cloud) und natürlich OneDrive – der persönliche Cloudspeicher für Benutzer und SharePoint als «Unternehmens-Datenablage» in Microsoft 365.

Weitere Werkzeuge, die im Preis enthalten sind, wären Task Management Tools wie «To-Do», «Microsoft Planner», «Microsoft Lists» aber auch eine Basic «Power Automate Funktion», also eine Workflow Engine, um Abläufe zu automatisieren. Enthalten ist auch eine Basis Version von PowerApps, eine Entwicklungsumgebung für mobile Apps.

Auch möglich ist das Aufschalten der Telefonie ins öffentliche Netz mit Teams direct routing. Dazu wird ein Telekom Provider benötigt sowie die sogenannte «Phone System/Business Voice» Lizenz und schon kann man über Teams auch die klassische Telefonie nutzen. Die Aufzählung oben ist nicht abschliessend – es gibt noch zahlreiche andere Tools (Archivierung, Security usw.), es lohnt sich also die Pläne etwas genauer anzuschauen. Des Weiteren gehören übrigens auch Microsoft Project sowie Visio in verschiedenen Varianten (getreu dem Modell «Mini, Medium, Maxi» oder um bei Microsoft zu bleiben, «Plan 1», «Plan 2» usw.) zu den Diensten/Produkten welche man separat «dazu mieten» kann.

Management Werkzeuge für den IT Admin

Für den IT-Administrator gibt es auch Lizenzen, zum Beispiel um die Sicherheit von Geräten (Mobile Geräte, Desktops/Notebooks etc.) verwalten zu können. Diese sind einzeln oder als Bestandteil des jeweiligen Planes, ebenfalls pro Endbenutzer oder Gerät lizenziert. Das Kern-Werkzeug nennt sich «Microsoft Intune», ein Verwaltungswerkzeug mit dem man mobile Geräte (IOS/Android) sowie auch Windows 10 und Apple (Mac) Geräte verwalten kann. Zum Umfang von Intune gehören Richtlinien für den Einsatz dieser Geräte, Softwareverteilung, Inventarisierung und weitere Funktionen. Nebst Intune gibt es noch zahlreiche weitere Administrations-Tools, welche einzeln oder als Plan in der EMS Suite (Enterprise Mobility Suite) erworben werden können. D.h. was beim «normalen» User mit Office 365 möglich ist, setzt sich auch im Bereich der IT Admin Werkzeuge entsprechend weiter.

Kostenbetrachtung

Wir hören immer wieder, dass die Cloud Lösungen sehr teuer seien. Vergleicht man aber, welche (neuen) Möglichkeiten man mit den Microsoft 365 Produkten als Gegenwert erhält, so dürften die Kosten, im Vergleich zu lokalen Diensten, durchaus vergleichbar sein. Natürlich nur wenn man eine Komplettrechnung anstellt. Speziell für KMU eröffnen sich mit den Lizenzen Möglichkeiten, welche mit einer lokalen, selbsterstellten Lösung kaum finanzierbar wären oder ein grösseres Investitionsvolumen und hohe Betriebskosten nach sich ziehen würden. Dazu gehören Standortunabhängigkeit, eine hohe Verfügbarkeit, Redundanz, Gerätunabhängigkeit und auch das Umwandeln von fixen Kosten in variable Kosten (freut den Finanzchef). Zudem sind die Applikationen und Dienste immer auf dem neuesten Stand, d.h. es müssen keine «neuen» Updates gekauft werden, da diese im Preis inbegriffen sind.

Fazit

Es lohnt sich die Lizenzpakete näher anzuschauen und auch im Detail zu prüfen welche Funktionen und Dienste man einsetzen möchte. Die Microsoft 365 bietet heute alles was man sich wünscht und viele zusätzliche Möglichkeiten, welche lokal im eigenen Rechenzentrum oder Serverraum kaum realisierbar wären. Auf lange Frist stellt sich nicht die Frage, ob man Microsoft 365 einsetzt,sondern nur die Frage wann.

Azure AD Pass-through Authentication

Azure AD Pass-through Authentication – Hintergründe & Funktionsweise

Azure AD Pass-through Authentication nachfolgend «PTA» genannt, war bereits im November/Dezember 2016 als Preview verfügbar und ist inzwischen fester Bestandteil der Azure AD Authentifizierungs-Mechanismen.

PTA ist eine echte Alternative zur Passwort-Hash-Synchronisation oder zum Active Directory Federation Service (ADFS). Es gibt einige triftige Gründe, um PTA einzusetzen:

  • Mit PTA werden keine Passwort-Informationen auf dem Azure AD-Benutzer hinterlegt
  • Der Einsatz von PTA ist kostenlos, es werden keine zusätzlichen Office 365- oder Azure-Lizenzen benötigt
  • PTA kommt mit wenig Infrastruktur, respektive bescheidenen On-Premises Server-Ressourcen aus
  • PTA kommuniziert vom internen LAN ins Azure AD, es muss kein Dienst ins Internet publiziert werden

PTA ist eine Software-Komponente, welche via Azure Active Directory Connect installiert oder via Azure AD-Portal als einzelnes Software-Paket heruntergeladen werden kann. Die Komponente kann auf einem beliebigen Windows Server (Windows Server 2012 R2 oder neuer) installiert werden.

Damit der Dienst ausfallsicher betrieben werden kann, sollten 2 – 3 Instanzen installiert werden (oder gar mehr Instanzen, sofern mehrere 10’000 authentifizierende Benutzer bedient werden müssen). PTA wählt automatisch eine verfügbare Instanz (oder Agent) aus, ein eigentliches LoadBalancing, über die installierten Instanzen, findet nicht statt. Die Konfiguration erfolgt über den Azure Active Directory Connect Konfigurations-Wizard, unter der Option «Sign-In-Options» kann PTA aktiviert werden.

Auf Stufe Office 365 muss sichergestellt werden, dass die Logon-Domains auf «managed» konfiguriert sind, was z.B. bei der Nutzung der Passwort Hash-Synchronisation standard ist.

Im Azure AD-Portal unter «Azure AD-Connect» kann der Status der installierten Azure AD Pass-through Authentication – Instanzen unter «User Sign In» geprüft werden.

Bei der Nutzung von PTA, erfolgt der Authentifizierungs-Prozess wie folgt:

  1. Die Benutzer-Informationen werden in Azure verschlüsselt in eine Queue gestellt
  2. Ein verfügbarer On-Premises-Agent holt die Benutzer-Informationen von derselben Queue ab
  3. Die Benutzer-Informationen werden gegen das lokale Active Directory geprüft
  4. Der PTA-Agent gibt die gewonnen Informationen aus dem lokalen Active Directory zurück ins Azure AD
  5. Sofern implementiert, werden weitere Mechanismen wie MFA oder conditional Access aktiv

Hinweis: De Fakto verlässt das Passwort «ihr Netzwerk»  in denjenigen Fällen, in welchen Sie sich an Office 365 interaktiv authentifizieren (was auch mit PTA  inkl. Seamless SSO in seltenen Fällen vorkommen kann). Bei der Passwort-Eingabe wird das Passwort mit AES256 verschlüsselt und Online zwischengespeichert, so dass der Passwort Server dieses aus dem Netz herunterladen kann und gegen das lokale Active Directory verifizieren kann.

Azure AD Pass-through-Authentication

MS-Referenz: Migrating from Federated Authentication to Pass-through Authentication, Seite 8

Welche Rolle spielt Azure Active Directory Seamless Single Sign-On?

PTA selbst stellt für den Benutzer kein durchgängiges «Single-Sign-On-Experience» zur Verfügung. Dazu muss zusätzlich Azure Active Directory Seamless Single Sign-On – kurz «Seamless SSO» – implementiert werden. Dies erfolgt ebenfalls über den Konfigurations-Wizard von Azure Active Directory Connect.

  • Seamless SSO funktioniert grundsätzlich nur auf Active Directory Domain-Joined Geräten
  • Seamless SSO funktioniert nicht im «private browsing mode» vom Firefox- & Edge-Browser oder im «Enhanced Protected mode» vom Internet Explorer
  • Seamless SSO ermöglicht den Workplace-Join von Legacy Windows Clients (Non-Windows 10 oder Non-Windows Server 2016 Geräte) ohne ADFS einzusetzen

Damit Seamless SSO stets funktioniert, bzw. den Sicherheitsstandards entspricht, müssen zwei Dinge beachtet werden:

  1. Damit die Kerberos-Tickets korrekt verarbeitet werden, müssen zwei Azure Authentifizierungs- Seiten zur lokalen IE Zone hinzugefügt werden – dies kann mittels folgender GPO erfasst werden:
    User Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page / Site to Zone Assignment List / Enabled:
    Value Name: https://autologon.microsoftazuread-sso.com Value: 1
    Value Name: https://aadg.windows.net.nsatc.net Value: 1
  2. Der Kerberos Decryption Key auf dem durch das von Seamless SSO erstellten Computer-Objekt «AZUREADSSOACC» sollte aus sicherheitstechnischen Gründen alle 30 Tag aktualisiert werden ->  «Kerberos decryption key rollover».  Leider muss diese Aktualisierung bis dato von Hand gemacht werden. Im einem Azure AD-Uservoice-Threat werden Lösungsansätze für die Automatisation via PowerShell preis gegeben, zudem stellt ein kürzlicher Post vom Azure AD Team die automatisierte Variante des «Kerberos decryption key rollover» für den Sommer 2019 in Aussicht. Wird der Key nicht aktualisiert, funktioniert Seamless SSO zwar nach wie vor, aber Im Azure AD-Portal unter «Azure AD-Connect» unter «User Sign-In» wird auf dem Feature «Seamless Signle Sign-On» eben nach diesen 30 Tagen eine entsprechende Warnung angezeigt.

ADFS vs. PTA

ADFS war (und ist) quasi die «State-of-the-Art Implementation», wenn es darum geht, keine Passwörter in die Cloud zu synchronisieren und einen echten Single Sign-On auf Office 365 & Azure Dienste zu realisieren. Wie eingangs dieses Blogs schon erwähnt, ist PTA in Verbindung mit Seamless SSO eine echte Alternative zu ADFS, da dessen Implementation weniger aufwendig, weniger komplex und billiger ist. Wenn Sie jedoch auf eines der folgenden Features angewiesen sind, raten wir Ihnen bei ADFS zu bleiben:

  • Genutzte Applikationen unterstützen «Modern Authentication» nicht:
    • Legacy Applikationen werden genutzt, z.B. der «alte» Lync-Client
    • Eine Legacy Protokoll Applikation wie z.B. PowerShell Version 1.0 wird genutzt
  • Es kommt eine 3rd Party On-Premises Multifactor Authentication Lösung zum Einsatz
  • Es werden Smart-Cards zur Authentifizierung genutzt
  • Single Sign-On soll so weit gehen, dass keine Anmelde-Dialoge erscheinen und die Anmelde-Informationen zwischen allen Applikationen automatisch übergeben werden, also auch zwischen Office 365-Applikationen und anderen integrierten 3rd Party-Applikationen wie z.B. Salesforce, Box, Dropbox, u.v.a.
  • Password Ablauf-Meldung müssen unter Windows 10 im Office 365 Portal angezeigt werden

Fazit

Aufgrund der gemachten Erfahrungen bei Kunden, kommen wir mehr und mehr von den teils aufwendigen und mühseligen ADFS-Implementationen weg und empfehlen PTA mit Seamless SSO. Die vorangehenden aufgelisteten Umstände, welche für ADFS sprechen, entfallen in einer Umgebung, welche auf die Nutzung der modernen und aktuellen Microsoft Dienste und Applikationen setzt.

Letzten Endes soll das bewährte ADFS nicht etwa als «überflüssig» dargestellt werden, sondern es soll bei der Evaluation der «Sign-In-Methode» schlicht sorgfältig analysiert werden, welche Variante die aktuellen Anforderungen am besten abdeckt und verhältnismässig in Sachen Kosten und Komplexität daherkommt. Oder anders formuliert: wer sich den Rolls Royce mit allem Komfort leisten kann, ist mit ADFS nach wie vor am besten bedient.

Autoren: Reto Krebs, Consultant und Marcel Meier, Consultant | Partner

Kontakt
close slider

Standort Schweiz

TwinCap First AG
Favreweg 1
CH-8304 Wallisellen
+41 44 666 50 50
info@twincapfirst.ch

Standort Deutschland

IT Boosting
Cloud Systemhaus
Bahnhofstraße 32
DE-72458 Albstadt
+49 7431 9493 440
info@it-boosting.de

Support: Hier klicken!