{"id":276268,"date":"2022-12-24T00:01:00","date_gmt":"2022-12-23T23:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=276268"},"modified":"2022-12-24T15:13:58","modified_gmt":"2022-12-24T14:13:58","slug":"problem-handelspartner-als-globaler-administrator-fr-tenant-im-microsoft-365-portal","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/12\/24\/problem-handelspartner-als-globaler-administrator-fr-tenant-im-microsoft-365-portal\/","title":{"rendered":"Problem: Handelspartner als Globaler Administrator für Tenant im Microsoft 365 Portal"},"content":{"rendered":"

[English<\/a>]Ich greife mal ein Thema auf, welches mir von einem Blog-Leser zugetragen wurde. Ging mir zwar schon mal kurz im Kopf herum, aber ich kann mangels Konten nichts pr\u00fcfen. Es geht um die Verwaltung von Tenants im Microsoft 365 Portal – Microsoft forciert ja den Marsch in die Cloud – und die Kunden sollen die Lizenzen von Handelspartnern beziehen (nur Gro\u00dfkunden bekommen die Lizenzen direkt von Microsoft). Dann ist der Handelspartner aber als Globaler Administrator im Tenant hinterlegt.<\/p>\n

Verwaltung von MS 365 Lizenzen<\/h2>\n

\"\"Wer eine Lizenz f\u00fcr ein Microsoft-Cloud-Produkt haben will, muss dies i.d.R. \u00fcber einen Handelspartner beziehen. Microsoft beschreibt diese Lizenzanforderung mit Stand 29.11.2022 im Artikel Manage Microsoft-certified solution provider partner relationships<\/a> – und ich habe das Spiel mal bei der Zuteilung einer ESU-Lizenz f\u00fcr Windows 7 erlebt. Microsoft beschreibt im Artikel die verschiedenen Rollen und sagt:<\/p>\n

Depending on the request made by the partner, when you accept the invitation, you agree to give them Global and Helpdesk admin roles. When you give these admin roles to a partner, you automatically grant them delegated admin privileges in Azure AD.<\/p><\/blockquote>\n

Die Administratorrollen sind auch im Beitrag About admin roles in the Microsoft 365 admin center<\/a> (Stand: 16.12.2022) beschrieben. Der Handelspartner, der die Lizenz liefert, verwaltet meinen Tenant. Microsoft gibt zwar an, dass Kunden einem Partner jederzeit die Admin-Rollen entziehen k\u00f6nnen. Durch das Entfernen der Admin-Rollen werde die Partnerbeziehung nicht beendet. Der Partner kann weiterhin in einer anderen Funktion, z. B. als Wiederverk\u00e4ufer, mit dem Kunden zusammenarbeiten, hei\u00dft es bei Microsoft.<\/p>\n

Ein Leserhinweis auf ein Problem<\/h2>\n

Es war eine kurze pers\u00f6nliche Nachricht, die mir Daniel S. privat \u00fcber Facebook mit \"Hallo Herr Born, ich habe hier vielleicht ein Thema, das sie bei Gelegenheit mal in einem Artikel erw\u00e4hnen k\u00f6nnen.\" zukommen lie\u00df.<\/p>\n

Als IT-Dienstleister ist mir dies schon oft aufgefallen. Was aber oft verschwiegen wird.<\/p>\n

Es gibt im Microsoft 365 Portal unter Partnerbeziehungen den Handelspartner, wo in der Regel der IT-Dienstleister die Lizenzen bezieht. Diese sind \"immer\" als Globaler Administrator im Tenant hinterlegt.<\/p><\/blockquote>\n

Daniel merkte jetzt an, dass es in der Schweiz in der Regel ca. f\u00fcnf Handelspartner gibt. Diese f\u00fcnf Handelspartner teilen den Zugriff auf die gesamten MS Tenants unter sich auf. F\u00fcr Deutschland und \u00d6sterreich ist die Zahl der Handelspartner unbekannt, es d\u00fcrften einige mehr, aber irgendwo auch begrenzt, sein. Daniel weist nun auf folgenden Knackpunkt hin, der sich f\u00fcr IT-Dienstleister und ggf. Kunden ergibt:<\/p>\n

Das Hauptproblem ist nun eigentlich: Die meisten Endkunden, und selbst gewisse IT-Sicherheitsexperten, sind sich nicht bewusst, dass hier ein Datenzugriff durch den Handelspartner in seiner Rolle als Globaler Administrator stattfinden kann.<\/p>\n

So einen richtigen L\u00f6sungsansatz gibt es nicht, bzw. bin mir selber nicht sicher ob dem Handelspartner die globale Adminrolle entfernt werden kann, da danach die Lizenzzustellung gest\u00f6rt ist.<\/p>\n

Als Hacker m\u00fcsste ich so eigentlich nur den Account eines Handelspartner zu kompromittieren und h\u00e4tte somit Zugriff auf x Tausende wenn nicht Millionen Endkundendaten.<\/p>\n

Vielen Dank noch by the way f\u00fcr die vielen Informativen Artikel in ihrem Blog.<\/p>\n

LG Daniel S.<\/p><\/blockquote>\n

Die Frage, die sich mir sofort stellt: Wie wird dies von der Leserschaft gesehen? Daniel hat in meinen Augen Recht, und niemand von den IT-Dienstleistern oder Endkunden wei\u00df, wer vom Handelspartner (berechtigt oder unberechtigt) Zugriff auf die Kundenkonten und damit auf die Daten hat. L\u00e4sst sich die Rolle des Global Administrators folgenlos entfernen? Obigen Artikel von Microsoft interpretiere ich so – die Aussage von Daniel ist aber, dass es dann Probleme bei der Lizenzzustellung g\u00e4be. Daniel schreibt dazu konkret:<\/p>\n

Man kann zwar dem Handelspartner jederzeit die Administratorrollen entziehen. Solange die Lizenzen vom jeweiligen Handelspartner bezogen werden, ist das aber unklug, weil dann die Abrechnung und Lizenzierung gef\u00e4hrdet ist oder nicht mehr funktioniert.<\/p><\/blockquote>\n

Frage: Wird bei euch der Globale Administrator entfernt? Gibt es andere L\u00f6sungen, oder werden in DACH Millionen Microsoft Cloud-Abos durch Handelspartner als Global Administrator verwaltet?<\/p>\n

Erg\u00e4nzung:<\/strong> Microsoft hat das wohl gerade auf \"delegated admin privileges\" (GDAP)\u00a0umgestellt (siehe<\/a>). Ob Partner das umsetzen, wei\u00df ich nicht.<\/p>\n

Erg\u00e4nzung 2:<\/strong> Der Beitrag hat schon sein Ziel erreicht – gerade auf Facebook darauf hingewiesen worden, dass Microsoft die Umstellung auf \"delegated admin privileges\" auf M\u00e4rz 2023 verschiebt Neuer Zeitplan: Sch\u00fctzen des Partner\u00f6kosystems durch Umstellung auf GDAP<\/a>:<\/p>\n

Wir r\u00e4umen Partnern mehr Zeit f\u00fcr die Umstellung von DAP (Delegated Admin Privileges, delegierte Administratorrechte) auf GDAP (Granular Delegated Admin Privileges, granulare delegierte Administratorrechte) ein.<\/p>\n

Ab\u00a017.\u00a0Januar\u00a02023<\/strong><\/p>\n

    \n
  1. Microsoft erstellt keine DAP-Beziehungen mehr, wenn eine neue Kunden- oder Handelspartnerbeziehung erstellt wird.<\/li>\n
  2. Microsoft beginnt mit dem Entfernen inaktiver DAP-Beziehungen, die seit 90\u00a0Tagen nicht verwendet wurden.<\/li>\n<\/ol>\n

    Ab\u00a01.\u00a0M\u00e4rz\u00a02023<\/strong><\/p>\n

      \n
    1. Das Massenmigrationstool zum Upgraden vorhandener, von Kunden gew\u00e4hrter DAP-Verbindungen auf GDAP ist nicht mehr verf\u00fcgbar.<\/li>\n
    2. Microsoft beginnt mit der Umstellung der verbleibenden aktiven DAP-Beziehungen auf GDAP mit eingeschr\u00e4nkten Azure Active\u00a0Directory-Rollen (Azure\u00a0AD) zum Durchf\u00fchren von Kundenverwaltungsaktivit\u00e4ten mit den geringsten Rechten. Nachdem die eingeschr\u00e4nkten Rollen zugewiesen wurden, m\u00fcssen Partner wie\u00a0dokumentiert<\/a>\u00a0weitere Schritte ausf\u00fchren, damit sie weiterhin auf Azure-Abonnements zugreifen k\u00f6nnen.<\/li>\n<\/ol>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"

      [English]Ich greife mal ein Thema auf, welches mir von einem Blog-Leser zugetragen wurde. Ging mir zwar schon mal kurz im Kopf herum, aber ich kann mangels Konten nichts pr\u00fcfen. Es geht um die Verwaltung von Tenants im Microsoft 365 Portal … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,4328],"class_list":["post-276268","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276268","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=276268"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276268\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=276268"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=276268"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=276268"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}