Die Zuweisung von Nutzer-Lizenzkonfigurationen stellt gerade für größere Unternehmen eine Herausforderung dar. So werden einem Nutzer meist mehrere Lizenzpakete wie Office 365 Enterprise E3 und Enterprise Mobility + Security E3 zugewiesen und dann einzelne Dienste wie z.B. Yammer deaktiviert, da sie noch nicht im Unternehmen eingeführt wurden. Diese Zuweisung passiert häufig manuell – mehr oder weniger zuverlässig. Oder durch Skripte, die für neu erscheinende Funktionen oder fallspezifisch angepasst werden müssen. Gerade diese Skripte steigern die Komplexität enorm, wenn ein global oder fachabteilungsspezifisch aufgestelltes Unternehmen verschiedene Konfiguration für die Anwendergruppen benötigt. Die gruppenbasierte Lizenzierung mit Azure AD bietet eine flexible Automation und vereinfacht die Administration von unterschiedlichen Lizenzkonfigurationen.

Ist die Auswahl der Lizenzpakete getroffen, die man als Unternehmen einsetzten möchte, stellt sich als nächstes die Frage, welche der im Paket enthaltenen Dienste überhaupt genutzt werden sollen. Bleiben alle Dienste aktiv, so entsteht meist ein Chaos, da sich Dienste wie Groups, Teams, Planner, Yammer und To-Do z.B. funktional doppeln können. Ohne Einführungsstrategie werden Informationen somit über verschiedene Dienste verteilt und nicht jeder Anwender findet sich in der selbsterdachten Struktur eines Kollegen zurecht. Eine einfache Lösung dazu ist es, nur die Lizenzen funktional zu aktivieren, die auch vom Anwender genutzt werden sollen. (technisch, Lizenzrecht zur Nutzung und CALs bleiben erhalten)

Klassisches Erstellen einer Lizenzkonfiguration

Administrativ erfolgen hier manuell folgende Schritte:

  1. Öffnen des Office 365 Admin Centers
  2. Auswahl des Nutzers
  3. Anwahl der Lizenz Pakete
  4. Konfigurieren der zur Verfügung stehenden Dienste

 

image

Für 20 bis 30 Personen ist dieses Vorgehen gut stemmbar. In großen Strukturen jedoch können unterschiedliche Konfigurationen zum Tragen kommen und wenn neue Funktionen dazu kommen, stellt sich auch die Frage, wie man diese nutzergruppenspezifisch aktualisiert.

Viele Unternehmen setzen hierzu PowerShell-Skripte ein, die jedoch meist nicht so filigran angepasst und nutzergruppenspezifisch erstellt werden, dass zur Verfügung stehende Dienste optimal verteilt werden.

Auch gibt es Lizenzpakete, bei denen gewährleistet sein sollte, dass sie immer zusammen aktiv sind. Wird z.B. kontrolliert, dass jeder Nutzer, der ein Postfach – oder einfach eine Office 365 Lizenz mit Zugriff auf E-Mail und Speichersysteme – hat, auch eine Advanced Thread Protection-Lizenz zugewiesen hat? Ist die Zuweisung von Office 365 Enterprise E3 und Enterprise Mobility + Security E3 immer ordentlich konfiguriert?

image

 

Mit den neuen Plänen Microsoft 365 E3 & E3, Multi-Geo, Telefonie und Co. steigt die Vielfalt der, aus wirtschaftlichen Gesichtspunkten sinnvoll zu kombinierenden, Lizenzkonfigurationen immer mehr, sodass hier eine einfache, automatisierte Verwaltung nötig ist.

 

Gruppenbasierte Lizenzzuweisung

Die gruppenbasierte Lizenzzuweisung kann, wie der Name erahnen lässt, auf Basis von Sicherheitsgruppen erfolgen. In Hybrid-Umgebungen können hierzu außerdem AD-Sicherheitsgruppen verwendet werden, die via Azure AD Connect synchronisiert werden.

Ist eine Gruppe im Azure AD vorhanden, so kann die Lizenzzuweisung über die Verwaltungskonsole im Azure AD vorgenommen werden.

image

Jede Sicherheitsgruppe hat hierbei ein Lizenzen-Menü, in dem zunächst ein oder mehrere Produkte (Plankombinationen wie Office 365 Enterprise E3) zugewiesen werden. In den Zuweisungsoptionen kann dann die Lizenzkonfiguration anhand der im Paket zur Verfügung stehenden Dienste vorgenommen werden.

image

Mitglieder einer solchen Gruppe erhalten die Lizenzzuweisung additiv: Wird ein Anwender z.B. als Mitglied einer Gruppe hinzugefügt, in der Teams deaktiviert wurde, und zusätzlich einer Gruppe hinzugefügt, in der lediglich die Teams-Option aus dem gleichen Lizenzpaket aktiv ist, so gelten alle “Ein”-geschalteten Optionen aus allen Gruppen zusammen. Dabei verbraucht er natürlich keine weiteren abrechnungsrelevanten Lizenzen.

Hierdurch lässt sich der Zugang zu Diensten währen Tests und Pilotphasen einfach gestalten und nachvollziehen. Beim Onboarding eines Nutzers in einer Hybrid-Umgebung reicht es demnach aus, den User im AD anzulegen, in die passende Sicherheitsgruppe einzuordnen und auf den Sync durch Azure AD Connect zu warten – alles Weitere passiert automatisch.

 

Dynamische Gruppenzuweisung

Eine Alternative zu Sicherheitsgruppen, denen manuell Anwender zugeordnet werden (ob im Windows Server AD oder Azure AD), stellen dynamische Gruppenzuweisungen dar. Der Automatismus kann für alle Nutzer mit einer Azure AD Premium P1-Lizenz genutzt werden.

Hierzu muss zunächst eine Azure AD Sicherheitsgruppe erstellt werden (Sync aus lokalem AD geht nicht!). Unter Dynamische Mitgliedschaftsregeln, kann dann eine Überprüfung erstellt werden, bei der ein Nutzer automatisch der Sicherheitsgruppe hinzugefügt wird, wenn er der Regel entspricht. Dies geschieht anhand von (Azure) AD-Attributen.

Ein Nutzer, der z.B. den Wert OfficeStandard im extensionAttribute14 aufweist, wird somit automatisch der Lizenz-Standardgruppe zugeordnet.

image

Die Zuweisung der Azure AD Premium P1 Lizenz ist natürlich nicht notwendig, bevor der User von der Regel erfasst wird.

Durch eine erweiterte Regel und der Auswahl anderer Vergleichsoperanten wie “Contains” kann somit einfach ein Regelwerk erstellt werden, das alle Zuweisungsfälle abdeckt – z.B. auch mit logischen Ausschlüssen (ein Nutzer kann nicht in der Gruppe einer E1- und einer E3-Lizenz sein).

Lizenzierung und Fazit

Die gruppenbasierte Lizenzierung vereinfacht den Umgang mit Lizenzkonfigurationen ungemein. Durch den Einsatz von dynamischen Gruppen profitieren zudem Onboarding-Prozesse, die z.B. aus HR- oder Identity-Management-Systemen heraus Nutzer anlegen. Um die Funktion nutzen zu dürfen, benötigt man für jeden betroffenen Nutzer zumindest Azure AD Basic, Office 365 Enterprise E3 oder Office 365 A3. Da Azure AD Premium dank des Conditional Access mittlerweile obligatorisch für jeden Anwenders eines Unternehmens sein dürfte, sollten vorhandenen Zuweisungsprozesse schleunigst angepasst werden.

Ein tolles Feature, dass viele kleine Probleme und administrative Zeitfresser löst.