erste Schritte Richtung Multi-Tenant

die ersten Schritte Richtung Multi-Tenant sind im Preview und gefallen mir recht gut am ersten Blick.

Bis jetzt war ja ein Tenant nicht Multi-Tenant fähig. Dh in Unternehmen, bei denen mehrere eigenständige Organisationen in einen Tenant migriert haben, war es ja nicht wirklich möglich, administrative Aufgaben außerhalb des lokalen ADs auf einzelne Benutzer oder Benutzergruppen zu beschränken.

Ja, es gibt 3rd Party Tools dafür – aber build in hat es immer einen “Betreiber” des Tenants gegeben.

Ich habe einige solche Unternehmen in den letzten Jahren betreuen dürfen und wir haben bei allen Wege gefunden, mit diesem Umstand zu leben.

Jetzt gibt es von Microsoft die ersten Schritte, die diese Situationen verbessern:

Azure AD Administrative Units

Mein Kollege, Hannes Lagler hat das in einem Blogartikel gepostet (https://www.cloudblogger.at/2020/07/06/azure-ad-admin-units-preview/ ) – aus der Azure AD Sicht.

(und hier der DOC Artikel von Microsoft: https://docs.microsoft.com/de-de/azure/active-directory/users-groups-roles/roles-custom-overview )

Mich hat interessiert, ob das auch auf Office 365 Auswirkungen hat.

Was bedeuten die Azure Ad Administrative Units ?

Ich kann im Azure AD Verwaltungseinheiten (wie sie auf Deutsch heißen) definieren. Eine Verwaltungseinheit kann Benutzer, Gruppen und Rollen haben:

image

Dh ich kann beliebige AAD User und Gruppen einer Verwaltungseinheit hinzufügen.

Und ich kann dieser Verwaltungseinheit Benutzer mit Rollen zuweisen, die dann nur für die Benutzer und Gruppen der Verwaltungseinheit gelten. Folgende Rollen sind heute möglich:

image

Derzeit können nur diese Rollen verwendet werden – es ist auf Grund der Architektur zu erwarten, das ich hier auch benutzerdefinierte Rollen nutzen kann (irgendwann)

Praktischer erster Blick

Auf die schnelle habe ich in meiner Testumgebung mal eine Verwaltungseinheit eingerichtet und alle Benutzer von A-C dort reingegeben:

image

Und einem Benutzer in dieser Gruppe 2 Rollen zugewiesen:

image

Dann der für mich spannende Punkt:

Was sieht der Benutzer, wenn er sich im M365 Admin Portal (admin.microsoft.com) einloggt ?

Grundsätzlich mal das, was zu erwarten war:

image

Auch in den Benutzern sieht Adele nur die Benutzer der Verwaltungseinheit:

image

Sie kann Lizenzen zuweisen, aber zb keine Mail-Infos verändern oder OneDrive Settings:

image

Was auf die Schnelle noch (?) nicht funktioniert sind die Gruppen.

An sich sollte Adele auch Gruppen verwalten können:
image

Im Microsoft Admincenter sieht sie allerdings nur gelöschte Gruppen:

image

und im Azure Portal sieht sie (klarerweise) alle Gruppen, kann aber diese nicht administrieren (auch wenn sie der Verwaltungseinheit zugewiesen sind)

Mag sein, das das ein Zeitfaktor ist – dieser Blog zeigt ja nur einen schnellen ersten Blick….

Fazit

ein guter erster Schritt in die richtige Richtung. Die Tendenz geht ganz klar in gemeinsame Tenants für verbundene Organisationen – das sehe ich bei einer Vielzahl von Unternehmen in der täglichen Beratung.

Vorsicht: Die Funktionen sind in Preview – dh anschauen, kontrolliert testen ist OK (auch in der Produktion) – es kann aber sein, das nicht alles funktinioniert bzw. das sich das Featureset verändert.

Lizenztechnisch brauche ich (wieder mal) Azure AD Premium P1  – wobei das brauche ich sowieso Winking smile

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert