Konten, Mandanten, Abonnements, Lizenzen für Microsoft-Cloud-Angebote – wie gehört das zusammen?
Um- und Quereinsteiger, die von AWS oder Google zur Microsoft-Cloud wechseln, sind oft etwas überfordert mit den Begrifflichkeiten der Microsoft-Cloud-Welt. Wer versteht, wie die Konzepte Konto, Mandant, Abonnement und Lizenz in der Azure-Cloud zusammenhängen findet sich schneller zurecht.
Du benötigst mehr Know-how rund um MS Azure? Dann empfehlen wir dir unsere Microsoft Azure Schulungen!
In Amazon AWS ist die Welt überschaubar. Beim Anlegen/Registrieren eines neuen AWS-Kontos verlangt Amazon grundsätzlich eine gültige Kreditkarte, die zur Identifikation und Abrechnung dient. Möchtest du vom – in den ersten 30 Tagen kostenlosen – AWS-Kontingent profitieren, musst du in dieser Zeit akribisch aufpassen und nur Ressourcen verwenden, die für das kostenlose Kontingent berechtigt sind, sonst wird die Karte belastet, nach Ablauf der 30 Tage sowieso. Damit in größeren Unternehmen nicht Hunderte von Kreditkarten im Umlauf sind, und man sich im Zweifel von Kreditkarte zu Kreditkarte gegenseitig im Rahmen von AWS IAM berechtigen muss, hat AWS vor einigen Jahren das Konzept der Organisation eingeführt. Zwar gab es vorher schon die so genannte konsolidierte Abrechnung, aber erst ein Organisationskonto in AWS erlaubt es Unternehmen, mehrere Konten (Konto = Kreditkarte) unter einer gemeinsamen Kostenstelle zu verwalten.
Die Google Cloud kennt im Rahmen der „Projekte“ vergleichbare Konzepte, trotzdem bleibt es im Vergleich zu Azure ebenfalls überschaubar. Das liegt vor allem daran, dass sich Google (abgesehen von der GSuite) und AWS auf die Cloud-Service Modelle IaaS und PaaS konzentrieren. Provisionierst du in beiden Fällen eine Windows-VM aus einem Machine Image, ist der Preis für die erforderliche Windows-Lizenz im Stundenpreis der VM enthalten.
Bei Microsoft ist die Welt nicht so einfach aufgebaut, weil die Redmonder mit Office 365, Dynamics und Azure gleich drei Cloud-Angebote im Portfolio haben, von denen Office 365 und das Cloud-CRM-System Dynamics der NIST-Kategorie SaaS (Software-as-a-Service) zuzuordnen sind, während man in Azure über 200 Services der Kategorien IaaS und PaaS vorfindet.
Azure AD
Um Microsoft-Cloud-Angebote gleich welcher Art nutzen zu können, benötigst du einen Mandanten (Tenant), also eine spezifische Instanz im Azure Active Directory (AAD), in dem Benutzerkonten und Gruppen gespeichert werden. Diesen kannst du dann jeweils Lizenzen zur Nutzung von Microsofts SaaS-Produkten zuweisen, sofern du über entsprechenden Abonnements für Office 365 oder Microsoft 365 mit der entsprechenden Lizenzzahl verfügst. Microsoft nennt diese in der Cloud existierenden Konten Organisations- oder Schulkonten. Du kannst aber deinen Azure AD-Mandanten auch mit einer vorhandenen Active Directory Domain Services (AD DS) mithilfe von Azure AD Connect synchronisieren. Auf diese Weise gelangen dann z. B. lokale ADDS-Benutzerkonten in die Cloud, also ins Azure AD. Zusätzlich kannst du ein oder mehrere Azure-Abonnements erwerben und in deinem Mandanten speichern. Ist das der Fall, kannst du deinen im Azure AD vorhandenen Benutzern mittels RABC (Role Based Access Control) Berechtigungen zum Erstellen und Verwalten von IaaS- oder PaaS-Ressourcen erteilen.
Lizenzen
Es gibt unterschiedliche Wege an einen AzureAD-Mandanten zu gelangen. Außerdem gibt es mehrere Lizenz-Optionen für das Azure AD, weshalb wir zunächst den Begriff „Lizenz“ im Umfeld der Microsoft-Cloud-Produkte klären. Bei den SaaS-Cloudangeboten erlaubt eine Lizenz einem bestimmten Benutzerkonto im Azure AD, den Dienst des Cloudangebots gegen eine feste monatliche Gebühr als Teils des SaaS-Abonnements zu verwenden. Deshalb musst du als Administrator im Azure AD (globaler Administrator) den betreffenden Nutzern Lizenzen zuweisen. Bei PaaS-basierten Azure-Clouddiensten (SQL-Server, Azure Firewall, Azure Loadbalancer) sind erforderliche Softwarelizenzen im Stundenpreis des Dienstes enthalten. Bei IaaS-Diensten wie z. B. virtuellen Azure-VMs mit Windows gilt das prinzipiell zunächst auch. Es gibt aber auch die Option mit Hilfe des Azure Hybrid Use Benefits lokal vorhandenen Windows-Server- oder SQL-Server-Lizenzen mit in die Cloud zu nehmen, sofern du über Software-Assurance verfügst. Dann reduziert sich der Stundenpreis der VM um etwa die Hälfte. Du musst dann beim Bereitstellen nur die entsprechende Option aktivieren.
Allerdings benötigst du bei IaaS (virtuelle Maschinen) unter Umständen zusätzliche Lizenzen zur Nutzung der Software oder der Anwendung, die auf dem jeweiligen virtuellen Computerabbild (Image) bereits installiert ist. Suchst du im Azure Marktplatz nach entsprechenden Produkten, sind die Kosten jeweils leicht zu erkennen. Das gilt z. B. auch bei kommerziellen Linux-Distributionen von 3rd-Party-Herstellern.
Es gibt aber auch Abbilder von kommerziellen Herstellern wie z. B. Veeam oder Oracle, die für BYOL konzipiert sind, d. h. du zahlst über die Azure-Rechnung dann doch nur für den Betrieb der VM (einschließlich der OS-Lizenz), musst aber über die erforderliche Software-Lizenz verfügen.
Das gilt nicht für die Lizenzkosten für das Azure AD. Welche Azure-AD-Lizenz-Pläne zur Verfügung stehen zeigt folgende Abbildung von Microsoft.
Mit welcher Azure-AD-Lizenz du startest hängt vom Onboarding-Verfahren ab. Entscheidest du dich für einen O365- oder M365-Plan, verwende zunächst die „Office 365 Apps“-Edition. Ein Update ist später jederzeit möglich. Das gilt auch wenn du eine 30-tägige Testversion für einen der Office-Pläne startest. Diese Edition ist aus Sicht der Azure-AD-Lizenz ebenso kostenlos wie die Free-Version; du zahlst also über deinen O-/M365-Plan hinaus nichts extra. Im Unterschied zur Free-Version ist die Anzahl der Verzeichnisobjekte nicht beschränkt und das Identitäts-/Access-Management für Office 365 ist inkludiert. Single Sign-On steht dir in beiden Editionen für bis zu 10 Apps zur Verfügung. In den Genuss der Free-Version gelangst du, wenn du mit der kostenlose Azure-Testversion oder der nutzungsbasierten Zahlung startest. In beiden Fällen wirst du genauso durch das Anlegen eines Azure-AD-Tenants geführt, wie beim Starten einer Testversion von Office 365 oder Microsoft 365.
Abonnements
Ergänzend wird in beiden Fällen ein Azure Abonnement zur deinem Tenant hinzugefügt. Im Falle der kostenlosen Testversion handelt es sich um ein Azure-Abonnement mit harten Ausgabenlimit von 200 USD für 30 Tage, das du nicht überschreiten kannst; bei der nutzungsbasierten Zahlung entfällt das harte Ausgaben-Limit.
In beiden Fällen benötigst du eine Kreditkarte. Diese dient im Fall der kostenlosen Testversion zur Besicherung und wird im Zeitraum von 30 Tagen nicht belastet. Danach hast du die Möglichkeit, dass harte Ausgabenlimit zu entfernen (Upgrade) in dem du zur nutzungsbasierten Zahlung wechselst. Bei dieser dient die Kreditkarte zur Abrechnung der verbrauchsorientierten Azure Nutzung (IaaS, PaaS), über die du dann monatlich eine Rechnung erhälst. Du siehst deine Abonnements wenn du im Azure Portal nach „Abonnement“ oder „Subscription“ suchst.
Folge dem Link zum Abonnement, sieh dir auch deine Abrechnungs-Daten einschließlich der monatlichen Rechnungen an. Das gilt aber nur bei der nutzungsbasierten Zahlung. Es gibt noch viele andere Angebots-IDs für Azure-Abonnement. Die meisten Unternehmen verfügen in der Regel über ein EA oder CSP-Vertrag. Klickst du im Blade „Abonnements“ auf „Hinzufügen“ findest du viele weitere Angebote für Azure-Abonnements.
Alle Informationen zu deinem Azure-AD-Mandanten siehst du dagegen im Blade „Azure Active Directory“ im Azure Portal, im „Azure AD Portal“ (https://login.microsoftonline.com/) …
… (hier ist auch zu erkennen, dass im Augenblick eine Azure AD Premium P2 Lizenz verwendet wird) oder im Office 365 Admin Center. In diesem siehst du unter Lizenzen nicht nur die verwendete Azure-AD-Lizenz (wie im Azure Portal oder im AAD-Portal), sondern alle Microsoft-Cloud-Lizenzen.
Auch wenn du bei der kostenlosen Azure-Version oder der nutzungsbasierten Zahlung stets mit einer Azure-AD-Free-Lizenz startest, kannst du diese upgraden. Im AzureAD-Portal oder im Azure-Portal im Blade „Azure Active Directory“ musst du dazu zu „Lizenzen/Alle Produkte“ navigieren und auf „Ausprobieren/kaufen“ klicken:
Auf diese Weise gelangst du z. B. auch in den Genuss einer Testversion von EMS E5 oder Azure Ad Premium P2.
Den „Standort“ deines Azure-AD-Tenants siehst du übrigens im Menü „Eigenschaften“, hier beispielswiese im Azure AD-Portal.
Wichtig hier: Es handelt sich um „EU Model Clause compliant datacenters“ in Germany. Das Festlegen des Azure AD-Standorts erfolgt im ersten Schritt bei der Anlage des Tenants bei „Land oder Region“.
Du gelangst übrigens auch in den Genuss eines kostenlosen Azure-AD-Tenants (Azure AD Free), ohne einen O365/M365-Plan oder ein Azure-Abonnement abschließen zu müssen. Du kannst dann zwar effektiv nicht viel tun, dich aber zumindest mit der Benutzer- und Gruppenverwaltung von Azure AD, den Azure-AD-Rollen-Modell und vielen anderen Aspekten vertraut machen. Dazu musst du einfach nur unter https://account.azure.com/organization eine neue Organisation erzeugen, was das Anlegen eines neuen Mandanten nebst zugehöriger, eigenständiger Instanz im Azure-AD nachsichzieht. Auch hier entscheidet der Eintrag bei „Land oder Region“ über den physischen Standort des Azure AD.
Beim erstmaligen Anlegen eines AzureAD-Mandanten wird immer auch ein initiales Organisationskonto mit maximalen Rechten (globaler Administrator) erzeugt, dessen UPN sich aus dem Benutzernamen und dem initialen Domainnamen im Azure AD ergibt. Da das Azure AD eine flache Hierarchie aufweist und zur Domäne „onmicrosoft.com“ gehört, müssen bei der Wahl deiner initialen Azure-AD-Domäne kreativ sein, weil der Domain-Suffix dann global eindeutig ist. Zusammen mit dem Benutzernamen ergibt sich damit dann der UPN deines ersten Organisationskontos für den globalen Administrator nach dem Muster „<global_admin_user_name_prefix>@<unique_domain_prefi>.onmicrosoft.com“.
Ob dein Wunsch-Domain-Prefix verfügbar ist, signalisiert dir der Assistent zum Anlegen einer AzureAD-Organisation mit einem grünen Häkchen.
Später kannst du dann immer noch einen benutzerdefinierten Domain-Namen im Azure AD hinzufügen (Link zu meinem Artikel). Klicke auf „Erstellen Sie Ihre Benutzer-ID“, gib danach eine Mobilfunknummer zur Verifikation deiner Identität, klicke nach Erhalt des SMS-Prüfcodes auf „Konto erstellen“ und erhalte in wenigen Minuten Zugang zu einer vollwertigen Azure-AD-Organisation.
Du kannst dich dann auf der Seite „Speichern Sie diese Informationen. Sie benötigen Sie später noch“ direkt an der Azure-Portal-Anmeldeseite (https://aka.ms/azure ) ( identisch mit https://poral.azure.com) anmelden. Danach kannst du dann im AzureAD-Blade verifizieren, dass du momentan über eine Azure-AD-Free-Lizenz verfügst ….
… und dass du – suche im Azure-Portal nach „Abonnements“ – über kein Azure-Abonnement verfügst:
Du hast dann aber immerhin die Freiheit, dich für eine der zahlreichen Optionen zur Buchung eines Azure-Abonnements zu entscheiden. Hättest du stattdessen bereits auf der Seite „Speichern Sie diese Informationen. Sie benötigen Sie später noch“ auf „Sie können jetzt loslegen“ geklickt, wärst du durch den Prozess zum Einbuchen einer Azure-AD-Free-Subscription geleitet worden, für den du wie oben beschrieben eine eigene Kreditkarte benötigst. Diese lässt sich dann wie erwähnt und falls gewünscht nach 30 Tagen auf eine nutzungsbasierte Zahlung upgraden. Das musst du aber nicht tun. Möchtst du den Tenant nicht weiter nutzen, vergiss ihn einfach. Wenn du allerdings den verwendeten initialen Domain-Namen für einen anderen Tenant wiederverwenden möchtest, solltest du eine Tenant-Löschung beim Microsoft-Support beantragen. Ausserdem vermeidet man daduch auch zu viele Kartei-Leichen bei Microsoft.
Falls du auf nutzungsbasierte Zahlung aufrüstest, erhältst du später von Microsoft eine Monatsrechnung mit den verbrauchten Azure-IaaS/PaaS-Ressourcen. Solange du im Azure-AD-Free bleibst (egal ob im Kontext eines Azure- oder Office-Accounts) erhältst du keine Monatsrechnung für das Azure AD. Diese gibt es nur, wenn du auf Premium P1 (5,70 € pro User und Monat) oder Premium P2 (8,56 € pro User und Monat) aufrüstest.
Fazit
Fassen wir noch einmal zusammen. Eine Organisation kann über mehrere Microsoft-Abonnements (Office, Dynamics, Azure) verfügen. Ein Abonnement kann mehrere Lizenzen umfassen und Lizenzen können einzelnen Benutzerkonten zugewiesen werden. Benutzerkonten sind in einem Azure AD-Mandanten gespeichert. Diese können dort anlegt oder aus einem lokalen ADDS hinein synchronisiert werden.
Möchtest du Anwendungen in der Cloud bereitstellen, die nur Legacy-Authentifizierung unterstützen (Kerberos, NTLM) brauchst du Domaincontroller-Objekte in der Cloud. Das ist auch dann erforderlich, wenn in die Cloud migrierte IaaS-Server einer ADDS-Domäne beitreten sollen. Ein Weg das zu ermöglichen, ist das Verwenden der „Azure AD Domain Services“ (ADDS). Die obige Abbildung von Microsoft verdeutlicht die Zusammenhänge.
Kontakt
„*“ zeigt erforderliche Felder an
powered by Borlabs Cookie