Azure-Grundlagen: Wie gehören Mandanten, Konten, Abonnements und Lizenzen zusammen?


    Tags: ,

    Azure-LogoNeueinsteiger und Anwender, die von AWS oder Google zur Microsoft-Cloud wechseln, sind oft etwas verwirrt von den Begriff­lich­keiten in der Microsoft Cloud. Um sich dort zurecht­­zufinden, sollte man die Konzepte von Konto, Mandant, Abonne­ment sowie Lizenz kennen und verstehen, wie diese zusammen­hängen.

    Um Microsoft-Cloud-Angebote gleich welcher Art nutzen zu können, benötigen Sie einen Mandanten (Tenant). Dabei handelt es sich um eine spezifische Instanz im Azure Active Directory (AAD), in der Benutzer­konten und Gruppen gespeichert werden.

    Tenant als Container für Konten und Abos

    Diesen können Sie dann Lizenzen zur Nutzung von Microsofts SaaS-Produkten zuweisen, sofern Sie über entsprechenden Abonnements für Office 365 oder Microsoft 365 verfügen. Microsoft nennt diese in der Cloud existierenden Konten Organisations- oder Schulkonten.

    Sie können aber Ihren Azure AD-Mandanten auch mit vorhandenen Active Directory Domain Services (AD DS) über Azure AD Connect synchroni­sieren. Auf diese Weise gelangen dann lokale Benutzerkonten in die Cloud, also ins Azure AD.

    Zusätzlich können Sie ein oder mehrere Azure-Abonnements erwerben und in Ihrem Mandanten speichern. Anschließend erteilen Sie den im Azure AD vorhandenen Benutzern mittels Role Based Access Control (RABC) Berechtigungen zum Erstellen und Verwalten von IaaS- oder PaaS-Ressourcen.

    Alle Informationen zu Ihrem Azure-AD-Mandanten sehen Sie im Blade Azure Active Directory des Azure-Portals oder im Azure AD Portal.

    Das Azure-AD-Portal mit einer Übersicht über den Mandanten

    Im Office 365 Admin Center sehen Sie unter Lizenzen nicht nur wie im AAD-Portal die verwendete Azure-AD-Lizenz, sondern alle Microsoft-Cloud-Lizenzen.

    Sie können Ihre Lizenzen auch im Microsoft 365 Admin Center verwalten.

    Neuen Tenant anlegen

    Bei der Anlage des Tenants bestimmt man zuerst den Azure AD-Standort unter Land oder Region. Wichtig hier: Es handelt sich um "EU Model Clause compliant Datacenters" in Deutschland.

    Der Standort des Azure-AD-Tenants wird beim Anlegen desselben definiert und lässt sich nicht mehr ändern.

    Da das Azure AD eine flache Hierarchie aufweist und zur Domäne onmicrosoft.com gehört, müssen Sie bei der Wahl ihrer AAD-Domäne kreativ sein, damit das Domain-Suffix global eindeutig ist. Später können Sie dann immer noch einen benutzerdefinierten Domain-Namen im Azure AD hinzu­fügen.

    Beim erstmaligen Anlegen eines Azure-AD-Mandanten wird immer auch ein initiales Organisations­konto mit maximalen Rechten (globaler Administrator) erzeugt, dessen UPN sich aus dem Benutzer­namen und dem initialen Domain-Namen im Azure AD zusammensetzt.

    Zusammen mit dem Benutzernamen ergibt sich damit dann der UPN Ihres ersten Organisations­kontos für den globalen Administrator nach dem Muster
    "<GlobalAdmin-Username-prefix>@<unique_domain_prefix>.onmicrosoft.com".

    Das Präfix des initialen Domain-Namens muss eindeutig sein.

    Nach dem Klick auf Erstellen Sie Ihre Benutzer-ID geben Sie noch eine Mobilfunk­nummer zur Verifikation Ihrer Identität an und klicken nach Erhalt des SMS-Prüfcodes auf Konto erstellen. Anschließend erhalten Sie in wenigen Minuten Zugang zu einer vollwertigen Azure-AD-Organisation.

    Sie können sich dann auf der Seite "Speichern Sie diese Informationen. Sie benötigen Sie später noch" direkt an der Azure-Portal-Anmeldeseite (identisch mit https://poral.azure.com) einloggen.

    Ein neuer Azure-AD-Tenant noch ohne Abonnement

    Sie haben dann die Freiheit, aus den zahlreichen Optionen zur Buchung eines Azure-Abonnements zu wählen. Hingegen führt der Klick auf Sie können jetzt loslegen durch den Prozess zum Einbuchen einer Azure-AD-Free-Subscription, für den Sie eine eigene Kreditkarte benötigen.

    Eigenschaften des Mandanten prüfen

    Nach dem Anlegen des Mandanten lässt sich dann im Azure-AD-Blade verifizieren, dass Sie momentan über eine Lizenz vom Typ Azure AD Free verfügen.

    Übersicht über die Basisinformationen eines Azure AD Free

    Die Suche im Azure-Portal nach "Abonnements" sollte zudem belegen, dass Sie noch über kein Azure-Abonnement verfügen.

    Ein Mandant ohne Azure-Abonnement

    Den Standort Ihres Azure-AD-Tenants sehen Sie im Menü Eigenschaften, hier beispielswiese im Azure AD-Portal.

    Der Standort der Azure-AD-Instanz ist aus Compliance-Gründen sehr wichtig.

    Lizenzen

    Bei den SaaS-Angeboten erlaubt eine Lizenz einem bestimmten Benutzerkonto im Azure AD, den betreffenden Dienst gegen eine feste monatliche Gebühr zu verwenden. Deshalb müssen Sie als Administrator im Azure AD (globaler Administrator) den betreffenden Nutzern Lizenzen zuweisen.

    Bei PaaS-Diensten (zum Beispiel SQL-Server, Azure Firewall, Azure Loadbalancer) sind die erforderlichen Software-Lizenzen im Stundenpreis des Dienstes enthalten. Bei IaaS wie beispiels­weise bei virtuellen Azure-VMs gilt das prinzipiell zunächst auch.

    Es gibt aber auch die Option mit Hilfe des Azure Hybrid Use Benefits, lokal vorhandenen Windows-Server- oder SQL-Server-Lizenzen in die Cloud mitzunehmen, sofern Sie über eine Software-Assurance verfügen. Dann reduziert sich der Stundenpreis der VM um etwa die Hälfte.

    Der Azure Hybrid User Benefit reduziert den Stundenpreis für IaaS (VMs).

    Allerdings benötigen Sie bei IaaS (virtuelle Maschinen) unter Umständen zusätzliche Lizenzen zur Nutzung der Software oder der Anwendung, die auf dem jeweiligen virtuellen Computer-Abbild (Image) bereits installiert ist.

    Suchen Sie im Azure Marktplatz nach entsprechenden Produkten, sind die Kosten leicht zu erkennen. Das gilt etwa auch bei kommerziellen Linux-Distributionen von Drittanbietern.

    Die Lizenzkosten vorinstallierter Software werden zusätzlich zum Stundenpreis der Hardware über Azure abgerechnet.

    Es gibt aber auch Images von kommerziellen Herstellern wie Veeam oder Oracle, die für Bring your own License (BYOL) konzipiert sind. Sie zahlen dann über die Azure-Rechnung noch nur für den Betrieb der VM (einschließlich der OS-Lizenz), müssen aber über die erforderliche Software-Lizenz verfügen.

    Ein Systemabbild mit Bring your own license (BYOL)

    Fazit

    Eine Organisation kann über mehrere Microsoft-Abonnements (Office, Dynamics, Azure) verfügen. Ein Abo kann mehrere Lizenzen umfassen und Lizenzen können einzelnen Benutzerkonten zugewiesen werden.

    Die Benutzerkonten sind wiederum in einem Azure AD-Mandanten gespeichert. Diese können dort angelegt oder aus einem lokalen AD DS hinein synchronisiert werden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling
    Thomas Drilling arbeitet seit mehr als 20 Jahren selb­ständig als Redakteur und Autor für viele ehe­malige und aktuelle IT-Magazine sowie Blogs. Thomas ist zudem Buch­autor und IT-Consultant. Seit 5 Jahren ist Thomas neben seiner journa­listischen Tätig­keit haupt­beruflicher, selb­ständiger IT-Trainer für VMware und Microsoft.

    Seine Themen­schwer­punkte sind Virtua­lisierung und Cloud Com­puting, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zerti­fi­zierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas ist außerdem zertifi­zierter AWS Solu­tions Archi­tect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Admini­strator.

    Thomas führt aktuell jeden zwei­ten Mon­tag einen 4-tägigen Grund­lagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Infor­mationen und Anmel­dung über sein AWS-Blog.

    Ähnliche Beiträge

    Weitere Links

    1 Kommentar

    Sehr schlechter Artikel, der eher verwirrt als klärt. Die Formulierungen ergeben großenteils keinen Sinn. Beispielsweise existiert kein Begriff einer "Instanz in Azure AD" und ohne Definition, was damit gemeint sei, ist die Erklärung wertlos. "In einem Mandanten speichern" kann man sicher auch nichts. Ein Mandant ist ja keine Festplatte. Man hat also sofort das gleiche Problem, dessenthalben man vermutlich erst zu dieser Seite gelangt ist. Usw. Zeitverschwendung. Ohne solche Unsinnsartikel wäre das Internet viel nützlicher.