[English]Ich greife mal ein Thema auf, welches mir von einem Blog-Leser zugetragen wurde. Ging mir zwar schon mal kurz im Kopf herum, aber ich kann mangels Konten nichts prüfen. Es geht um die Verwaltung von Tenants im Microsoft 365 Portal – Microsoft forciert ja den Marsch in die Cloud – und die Kunden sollen die Lizenzen von Handelspartnern beziehen (nur Großkunden bekommen die Lizenzen direkt von Microsoft). Dann ist der Handelspartner aber als Globaler Administrator im Tenant hinterlegt.
Anzeige
Verwaltung von MS 365 Lizenzen
Wer eine Lizenz für ein Microsoft-Cloud-Produkt haben will, muss dies i.d.R. über einen Handelspartner beziehen. Microsoft beschreibt diese Lizenzanforderung mit Stand 29.11.2022 im Artikel Manage Microsoft-certified solution provider partner relationships – und ich habe das Spiel mal bei der Zuteilung einer ESU-Lizenz für Windows 7 erlebt. Microsoft beschreibt im Artikel die verschiedenen Rollen und sagt:
Depending on the request made by the partner, when you accept the invitation, you agree to give them Global and Helpdesk admin roles. When you give these admin roles to a partner, you automatically grant them delegated admin privileges in Azure AD.
Die Administratorrollen sind auch im Beitrag About admin roles in the Microsoft 365 admin center (Stand: 16.12.2022) beschrieben. Der Handelspartner, der die Lizenz liefert, verwaltet meinen Tenant. Microsoft gibt zwar an, dass Kunden einem Partner jederzeit die Admin-Rollen entziehen können. Durch das Entfernen der Admin-Rollen werde die Partnerbeziehung nicht beendet. Der Partner kann weiterhin in einer anderen Funktion, z. B. als Wiederverkäufer, mit dem Kunden zusammenarbeiten, heißt es bei Microsoft.
Ein Leserhinweis auf ein Problem
Es war eine kurze persönliche Nachricht, die mir Daniel S. privat über Facebook mit "Hallo Herr Born, ich habe hier vielleicht ein Thema, das sie bei Gelegenheit mal in einem Artikel erwähnen können." zukommen ließ.
Als IT-Dienstleister ist mir dies schon oft aufgefallen. Was aber oft verschwiegen wird.
Es gibt im Microsoft 365 Portal unter Partnerbeziehungen den Handelspartner, wo in der Regel der IT-Dienstleister die Lizenzen bezieht. Diese sind "immer" als Globaler Administrator im Tenant hinterlegt.
Daniel merkte jetzt an, dass es in der Schweiz in der Regel ca. fünf Handelspartner gibt. Diese fünf Handelspartner teilen den Zugriff auf die gesamten MS Tenants unter sich auf. Für Deutschland und Österreich ist die Zahl der Handelspartner unbekannt, es dürften einige mehr, aber irgendwo auch begrenzt, sein. Daniel weist nun auf folgenden Knackpunkt hin, der sich für IT-Dienstleister und ggf. Kunden ergibt:
Das Hauptproblem ist nun eigentlich: Die meisten Endkunden, und selbst gewisse IT-Sicherheitsexperten, sind sich nicht bewusst, dass hier ein Datenzugriff durch den Handelspartner in seiner Rolle als Globaler Administrator stattfinden kann.
So einen richtigen Lösungsansatz gibt es nicht, bzw. bin mir selber nicht sicher ob dem Handelspartner die globale Adminrolle entfernt werden kann, da danach die Lizenzzustellung gestört ist.
Als Hacker müsste ich so eigentlich nur den Account eines Handelspartner zu kompromittieren und hätte somit Zugriff auf x Tausende wenn nicht Millionen Endkundendaten.
Vielen Dank noch by the way für die vielen Informativen Artikel in ihrem Blog.
LG Daniel S.
Die Frage, die sich mir sofort stellt: Wie wird dies von der Leserschaft gesehen? Daniel hat in meinen Augen Recht, und niemand von den IT-Dienstleistern oder Endkunden weiß, wer vom Handelspartner (berechtigt oder unberechtigt) Zugriff auf die Kundenkonten und damit auf die Daten hat. Lässt sich die Rolle des Global Administrators folgenlos entfernen? Obigen Artikel von Microsoft interpretiere ich so – die Aussage von Daniel ist aber, dass es dann Probleme bei der Lizenzzustellung gäbe. Daniel schreibt dazu konkret:
Anzeige
Man kann zwar dem Handelspartner jederzeit die Administratorrollen entziehen. Solange die Lizenzen vom jeweiligen Handelspartner bezogen werden, ist das aber unklug, weil dann die Abrechnung und Lizenzierung gefährdet ist oder nicht mehr funktioniert.
Frage: Wird bei euch der Globale Administrator entfernt? Gibt es andere Lösungen, oder werden in DACH Millionen Microsoft Cloud-Abos durch Handelspartner als Global Administrator verwaltet?
Ergänzung: Microsoft hat das wohl gerade auf "delegated admin privileges" (GDAP) umgestellt (siehe). Ob Partner das umsetzen, weiß ich nicht.
Ergänzung 2: Der Beitrag hat schon sein Ziel erreicht – gerade auf Facebook darauf hingewiesen worden, dass Microsoft die Umstellung auf "delegated admin privileges" auf März 2023 verschiebt Neuer Zeitplan: Schützen des Partnerökosystems durch Umstellung auf GDAP:
Wir räumen Partnern mehr Zeit für die Umstellung von DAP (Delegated Admin Privileges, delegierte Administratorrechte) auf GDAP (Granular Delegated Admin Privileges, granulare delegierte Administratorrechte) ein.
Ab 17. Januar 2023
- Microsoft erstellt keine DAP-Beziehungen mehr, wenn eine neue Kunden- oder Handelspartnerbeziehung erstellt wird.
- Microsoft beginnt mit dem Entfernen inaktiver DAP-Beziehungen, die seit 90 Tagen nicht verwendet wurden.
Ab 1. März 2023
- Das Massenmigrationstool zum Upgraden vorhandener, von Kunden gewährter DAP-Verbindungen auf GDAP ist nicht mehr verfügbar.
- Microsoft beginnt mit der Umstellung der verbleibenden aktiven DAP-Beziehungen auf GDAP mit eingeschränkten Azure Active Directory-Rollen (Azure AD) zum Durchführen von Kundenverwaltungsaktivitäten mit den geringsten Rechten. Nachdem die eingeschränkten Rollen zugewiesen wurden, müssen Partner wie dokumentiert weitere Schritte ausführen, damit sie weiterhin auf Azure-Abonnements zugreifen können.
Anzeige
… ein Norddeutscher im Medikamentenhimmelbett sieht dies wie folgt:
Es gibt leider keine simple Auslegung, dies kann/sollte am ehesten je nach User, Verarbeitung o. Datentypus Fallbezogen erfolgen. Jedoch steht zu vermuten, dass einige Dinge recht sicher gelten – mir fällt spontan ein:
1. Ich sehe den Handelspartner (folgend „HP") klar als Auftragsdatenverarbeiter. Hier hat der Beauftragende (User der Lizenz oder Cloud-Angebotes über den Reseller, folgend „USER" ) aus der Praxis heraus unmittelbare Pflichten: Aufnahme in Verfahrensverzeichnisse, Auftragsdatenverarbeitung, Verifizierung der Eignung, Nachweisbarkeit …
2. Sollte zB der User eine im weiteren Sinne notierte AG oder sonstigen Aufsichtspflichten unterliegen ( ala KontraG, ISEA, selbst IDW PS 951 , ehemaliges SAS 70 ) halte ich die Wahl eines HP ohne Zertifizierungen / nachweislich spezifische Audits im Sinne eines nachgewiesenen Kontrollsystems für schlicht nicht ratsam und in Verargumentation unmöglich. Dies mag teilweise auch für Unternehmen gelten, die Leistungen für o.g. Typus erbringen, sprich: Die Anforderungen „vererbt" eine AG durch internes Kontrollsystem auch an einige Zulieferer.
3. Sämtliche Anforderungen des Unternehmens in Bezug auf Datenhaltung (Life-Cycle-Management) sind ebenso indirekt durch den HP sicherzustellen. Dies resultierend direkt aus allen bekannten Anforderungen die für den User gelten.
Regularien als Beispiel: HGB, GoBs, StGB, NDAs , DSGVO, ISO2700x, … bis zum Arzneimittelgesetz mit Anforderung an zB Nachweisbarkeit oder Vorhaltepflicht.
Konkrete Beispiele: Pflichten zB aus Sicht Belegnachweise, Aufbewahrungdauer, Non-Repudation bei Zugriff, Unveränderlichkeit von Daten, … sind ebenso (auch) mit und durch Hilfe des HP sicherzustellen (oder zu verhindern):
Vertragliche Regelungen, zB Hinweise auf Löschverbot für Instanz XY, Sicherstellung von Führungszeugnissen der HP-Mitarbeiter wenn dies für User ebenso gilt, zB Nachweis von Datenschutzunterweisungen, … Geheimhaltungsvereinbarungen vom User mit Anderen muss ebenso nachvollziehbar/vertraglich mit dem HP geregelt werden … unzählige weitere Dinge.
4. Persönlich halte ich die MS-Strategie die HP zwischen MS und User zu stellen aus Historie heraus für nachvollziehbar. Jedoch in diesem Kontext für nicht sinnvoll, werte dies als „perfekt von MS nach unten deligiertes Risiko". Es wäre überlegenswert, ob hier nicht ähnliche Regularien greifen wie der Zwang zu einem „default opt-out". Ein HP kann ein weiteres regulatorisches Loch darstellen, Microsoft reicht eigentlich ;-) Ich nenne keine Namen, ein großer bekannter in DE vergibt sein gesamten SAP-Management mit Zugriff auf Millionen Kunden an einen Dienstleister (nichts anderes ist hier ein HP) nach Südasien, Argumentation: „Das ist ja nur Wartung" . Leider 24h/7, 365 days/year – mit keiner Kontrolle ob Daten abfliessen. GENAU SO fördert man Missbrauch selbst ohne Hack.
– Aus Punkt 2-3 folgere Ich den größten Aufwand gerade für KMUs – und halte dies in der Praxis für, vom Aufwand her, am ehesten nicht vernünftig+praktikabel umsetzbar – womit es für einige User einfacher wäre die Cloud – zumindest die Adminoption erst gar nicht und nie zu nutzen um eine vernünftige/bodenständige/trasparente Lösung zu haben.
– In Summe sehe ich die Gefahr, dass Usern immer stärker die eigene Data Governance und Unternehmensassets aus der Hand genommen werden.
– Daniel nennt oben mE weiteres Risiko („…unklug, weil… Abrechnung und Lizenzierung gefährdet ist…„) Ergo: kaum ein Admin wird sich trauen – weil er dann Verantwortung trägt weil mal „1 Tag keine Lizenzbasierte Nutzung im Fall XY" möglich ist.
@ Daniel welche Szenarien könnten zu einer nicht nutzbaren Umgebung bei fehlendem Adminzugriff führen? Verstehe ich dies korrekt im Sinne „Keine Lizenz mehr" für X Tage oder „kein Zugriff mehr bis XYZ passiert" ?
Es hat einfach praktische Gründe, der Partner kann so dem Kunden seinen Tenant wieder entsperren.
Und der Kunde kann jederzeit ohne Nachteile für ihn die Partner rauswefen.
Meistens sind es ja 2, der Reseller und der Großhändler. Hat wie gesagt nichts mit Lizenzen zu tun.
Die Idee ist.. der Verkäufer soll auch in der Lage sein den Zugang wiederzuherstellen sonst kann sich der Kunde selbst aussperren hat keinen Admin mehr miss aber um keine. Daten zu verlieren ewig Lizenzen zahlen.
Praktische Gründe versteh ich. Danke für "operative" Klarstellung, hab da durchaus Verständnis. Praktisch + bequem bedeutet jedoch nicht immer korrekt, sinnvoll o. klug, da:
1. man organisatorisch schlicht nicht immer befähigt ist, User + Komplexität angemessen zu managen und sich auch mal aussperrt, ok. Solche Aufgaben sind jedoch eben nicht beliebig deligier- oder ignorierbar oder durch Vollzugriff Dritter zu handeln (eher Sache des Datenverarbeiters /Endkunden). Alle Daten teilen als „Workaround" für ganz Andere Defizite oder weil das Produkt zu komplex ist??
2. Sobald Verkäufer einen "Full-Account-Recovery" umsetzen können o. umfänglichen Zugriff haben greifen diverse Punkte von oben. Wenn obige Punkte nicht komplett /sinnvoll erfüllt werden ist es imho nicht compliant oder je nach Fall nicht rechtskonform. Im Audit gibt das Defizite+Abweichungen, bei ISO-Zertifizierung kein Zertifikat, bei Credit Cards (PCI) sofortiges "Nachbessern" – oder einfach nur ein Bußgeld wenn Jemand will.
3. Wenn ich Obiges summiere wiederspricht dies selbst (den von MS (auch oft) brauchbaren Handlungsanweisungen /Recommendations, s. zB Günter oben: https://learn.microsoft.com/en-us/microsoft-365/admin/add-users/about-admin-roles
3.1. !! "Have 2 to 4 Global Admins" (s. Security guidelines)
3.2 !! "least permissive role" – concept (s. Security guidelines)
3.3 !! keine MFA – was evtl bei vielen Handelspartnern nicht möglich ist ( „Info v. Stefan" unten )
3.4. !! Zwingendes Entfernen von Permissions (s. @Eichmeyer unten)
4. @squat Auch Deine letzte skizzierte Idee versteh ich. Microsoft will Umsatz – aber Management (auch Risiko) kpl an (Handels-)partner und User abwälzen. "Kunde hat keinen Admin, muss…um keine Daten zu verlieren ewig Lizenzen zahlen" -> Meinst Du, dass man „den Admin" externalisiert in Form von dauerhaften Lizenzen (sehe ich ebenso)? Dass dies nur auf ersten Blick einer Investitionsrechnung standhält dürfte bei Marktentwicklung der letzten Jahre (s. Preise @ „Jonas92 unten") (vgl. Marktdominanz, Risikoeffekte, etc) eine höchst suspekte/fragwürdige Begründung sein. Die Bilanz wägt dabei Aufwand für Personal /Admins /Verwaltung gegen Cloudkosten. Den wirklichen Mehrwert wage ich schon bei wenigen Lizenzen von SQL, Office, Windows bis Sharepoint (gehen wir mal von 20? 50,100? aus) zu bezweifeln (vgl Total Cost of Ownership, TCO).
Für Admins bedeutet dies, dass man sie wegrationalisiert und durch eine nicht transparente, nicht default revisionssichere und nur aufwändig rechtskonform abbildbare Lösung ersetzt (an der wohl Großteile der Anwender adhoc scheitern, Komplexität kann auch ein Geschäftsmodell sein). Dabei leitet MS Risiko und Aufwand zum Handelspartner und Endkunden.
Wir haben unserem Handelspartner den globalen Admin entzogen. Ich bin j nicht wahnsinnig. 😉
Das ist hier bei uns in Österreich auch so. Wir nutzen M365 über die A1 ( war mal die österreichische Post) und deren Marketplace. Jetzt hat man im Marketplace sogar die Möglichkeit Kennwörter für M365-Accounts zurückzusetzen. Alles ja OK, jedoch bietet A1 für den Marketplacezugang keinen 2FA an, womit sich 2FA bei M365 „dahinter" eigentlich ebenfalls erledigt. Auf Nachfrage von mir ob sie es nicht mal implementieren möchten kam ein „Nein, gibt es derzeit nicht und ist auch in naher Zukunft nicht geplant."
Jaja, IT im Alpenland, wtf.
Lg und schöne Weihnachten
Stefan
Ich will nicht ausschließen, dass es viele Kunden/Handelspartner gibt, die solche Global Admin (genauer: Delegated Admin)-Beziehungen angelegt haben, ohne sich dessen bewusst zu sein. Aber ich kann aus eigener Erfahrung aus meiner Tätigkeit beim Handelspartner bestätigen: bei der Verknüpfung des Tenants mit dem Partner gibt es definitiv die Möglichkeit, diese Beziehung ohne Delegated Admin anzulegen und trotzdem z.B. Lizenzen einzubuchen.
Ist ein zweischneidiges Schwert – gerade kleine Kunden erwarten, dass der Handelspartner gewisse Dienstleistungen erbringt, was in der Vergangenheit ohne Delegated Admin nicht funktionierte.
Vor einiger Zeit hat Microsoft daher das neue GRANULAR Delegated Admin eingeführt, das eine feingranulare Steuerung der tatsächlichen Berechtigung des Partners im Kundentenant ermöglicht und nicht automatisch bei der Tenantverknuepfung gesetzt wird (bzw. nur mit minimalen Rechten)
Danke für die Insights.
Mir ist nicht klar, warum man die Lizenzen über einen Handelspartner beschafft. Das geht doch auch innerhalb von Microsoft 365 direkt von Microsoft.
Microsoft will definitiv, dass Privatleute und KMUs über Partner gehen – die direkten Vertriebswege sind nur für Großkunden vorgesehen. Aber die Frage geht am obigen Thema grundsätzlich vorbei.
Warum? Ganz einfach, weil man an die Lizenzen über die Partner deutlich günstiger rankommt als bei MS :-) (Ausnahme Großkunden mit 30.000 Lizenzen, die werden direkt von MS betreut).
Gruß Jonas
Ja, die globalen Adminrechte des Partners können (auch direkt nach der Erstverknüpfung) wieder entfernt werden, auch danach kann der Partner für den Tenant weiter Lizenzen buchen. Ausnahme; spezielle Lizenzen wie zum Beispiel Azure Arc Lizenzen. Dafür werden wieder (temporär) Globale Adminrechte benötigt.
Wer eine Lizenz für ein Microsoft-Cloud-Produkt haben will, muss dies i.d.R. über einen Handelspartner beziehen.
-> mE stimmt das nicht. Ich bekomme mit meinem kleinen Tenant meine Lizenzen direkt von MS.
Im Standard ist dies auch so (kein Partner hinterlegt), dann beziehst du die teuren UVP MS Lizenzpreise.
Es lohnt sich schon, einen Lizenzpartner wie zum Beispiel software-express ins Boot zu holen, so kann man als Firma einiges sparen.
Ansonsten wird es ab dem Q1/Q2 bei MS eine saftige Preiserhöhung geben, wenn ich richtig informiert bin. Ich meine, die liegt bei 20% für alle bekannten Office Lizenzen + 15% für die Monatslizenzen, macht also 35%!
Was da noch geht: Mann kann von den 35% auf 20 runter, wenn man also statt den Monatslizenzen auf die Jahreslizenzen umsteigt.
Microsoft 365 Business Basic; Abonnement-Lizenz; 1 Monat Laufzeit; CSP
Netto: 5,68 Euro bei Software Express
Netto: 5,10 Euro bei MS direkt.
Also bitte nicht „meinen" sondern Wissen!
Eim Handelspartner braucht dies in der regel nur zur ersten Einrichtung eines neuen Mandanten. Danach sollte die Berechtigung jedoch zwingend entfernt werden und ggf auf ein dedizierten Admin gewechselt werden.
Leider denken viele Experten nicht an diese Beziehung und somit verbleibt ein sehr kritisch zu bewertender Zugang offen.
Da anbieten von Lizenzen geht jedoch grundsätzlich auch ohne diese Admin- Beziehung!
Und im Bedarfsfall erstellt der Handelspartner sich einen neuen Admin? Bei unserem Marketplace ist das möglich wenn man den M365-Admin „vergisst". Wenn man es also selbst machen kann, kann der CSP es auch. Ein wenig Grundvertrauen muss ich also schon haben.