Warum Sie mit ADFS ihre Microsoft 365 Lizenzkosten senken können

Sebastian
von Sebastian
26.04.2023
01:50 MIN

Der Sog der Cloud lockt mit der Entlastung der internen IT und tollen Features. Nicht mehr wegzudenken ist Microsoft 365 mit all den coolen Möglichkeiten für Endbenutzer aber auch für Administratoren. Lizenzkosten, die monatlich oder jährlich anfallen, sind gut und manchmal sogar besser vom Controlling einzuplanen. Aber wer möchte schon mehr als nötig bezahlen? Und wie hilft ihnen ADFS dabei? Finden Sie es heraus!

(Image: © lassedesignen - stock.adobe.com)

(Image: © lassedesignen - stock.adobe.com)

Für Microsoft sind die Mietmodelle gut für die planbaren Einnahmen. Der Hersteller verdient gut und wir als Kunden freuen uns über die durchaus mitunter abgefahrenen Tools, die wir zur Verfügung haben: Videotelefonie, Screensharing, OneDrive-Speicher und absolut nicht zu unterschätzende Sicherheitsfeatures sind gut dokumentiert und mit ein paar einfachen Klicks für jeden verfügbar. Im Dschungel der Optionen helfen wir ihnen natürlich sehr gerne durchzublicken und teilen unsere Erfahrungen, damit Sie aus unseren Erfahrungsschmerzen lernen können. 😉

Conditional Access benötigt Lizenzen

Die cloudbasierten Dienste sind praktischerweise von überall aus zu erreichen. Das birgt aber selbstverständlich auch einige Sicherheitsrisiken, die wir effektiv bekämpfen können. Eine Schlüsselkomponente dazu ist Conditional Access. 

Damit nicht jeder von jedem Gerät weltweit mit Benutzername und Kennwort an die Dienste kommt, werden weitere Bedingungen an die Anmeldung geknüpft. Beispielsweise Multifaktor-Authentifizierung. Damit das aber geht, brauchen wir eine Lizenz, die nicht zwingenderweise in jedem Abonnement enthalten ist. Dazu brauchen wir (Stand heute) Azure AD Premium (P1) Lizenzen.

Alle synchronisierten Nutzer zahlen - egal, ob genutzt wird oder nicht

Nur weil in eurer Organisation nicht alle User die relevanten Cloud-Dienste in Anspruch nehmen (sollen) heißt das nicht, dass nur die wenigen User, die es können sollen „Azure AD P1“ Lizenzen benötigen. Sondern vermutlich alle, die synchronisiert sind. Und das sind meistens alle Benutzer aus dem Unternehmen.  Daraus ergeben sich dann hohe Lizenzkosten.
 
Das liegt daran, dass wir für alle User in Microsoft 365 eine Conditional Access Regel brauchen, die verhindert, dass sie sich dort anmelden können. Denn standardmäßig können sich alle User in der Cloud anmelden. Das können sie mit deren „*onmicrosoft.com-Account“ um die Dienste zu nutzen. Damit müsst ihr auf einmal vielleicht hunderte „Azure AD P1“-Lizenzen kaufen, obwohl ihr nicht mal wollt, dass diese User z.B. OneDrive verwenden. 

Technisch wird diese Lizenz Voraussetzung nicht geprüft. Das heißt, man kann diese Conditional-Access-Regel einfach erstellen, ohne dass die korrekte Lizenzierung geprüft wird. Ihr seid aber nach Microsoft AGB dazu verpflichtet die Lizenzen zu besitzen. Wo kein Kläger da kein Richter, jedoch wenn ihr in ein Audit geratet, wird das nicht so angenehm.

Sync aus der Cloud zu On-Prem

Um das anders zu regeln, ist eine Möglichkeit, die Authentifizierung von der Cloud nach On-Prem zu schieben. Wer ADFS nutzt ist fein raus, denn dann ist es möglich, die Cloudanmeldung einfach dort einzuschränken und es ist nicht erforderlich, dass via „Conditional Access“ zu regeln. Allerdings ist man mit ADFS nicht genauso flexibel wie mit “Conditional Access”. 

Wenn ihr dazu mehr wissen wollt, zögert nicht euch an uns zu wenden. Wir lernen jeden Tag etwas Neues dazu und finden es sehr gut, wenn ihr unser Wissen nutzen könnt. 

Zu den Kommentaren ()