Azure-Grundlagen: Wie gehören Tenants, Konten, Subscriptions und Lizenzen zusammen?


    Tags: ,

    Azure-LogoNeueinsteiger und Anwender, die von AWS oder Google zur Microsoft-Cloud wechseln, sind oft etwas verwirrt von den Begriff­lich­keiten in der Microsoft Cloud. Um sich dort zurecht­­zufinden, sollte man die Konzepte von Konto, Mandant, Abonne­ment sowie Lizenz kennen und verstehen, wie diese zusammen­hängen.

    Um Microsoft-Cloud-Angebote gleich welcher Art nutzen zu können, benötigen Sie einen Mandanten (Tenant). Dabei handelt es sich um eine spezifische Instanz im Azure Active Directory (AAD), in der Benutzer­konten und Gruppen gespeichert werden.

    Tenant als Container für Konten und Abos

    Diesen können Sie dann Lizenzen zur Nutzung von Microsofts SaaS-Produkten zuweisen, sofern Sie über entsprechenden Abonnements für Office 365 oder Microsoft 365 verfügen. Microsoft nennt diese in der Cloud existierenden Konten Organisations- oder Schulkonten.

    Sie können aber Ihren Azure AD-Mandanten auch mit vorhandenen Active Directory Domain Services (AD DS) über Azure AD Connect synchroni­sieren. Auf diese Weise gelangen dann lokale Benutzerkonten in die Cloud, also ins Azure AD.

    Zusätzlich können Sie ein oder mehrere Azure-Abonnements erwerben und in Ihrem Mandanten speichern. Anschließend erteilen Sie den im Azure AD vorhandenen Benutzern mittels Role Based Access Control (RABC) Berechtigungen zum Erstellen und Verwalten von IaaS- oder PaaS-Ressourcen.

    Alle Informationen zu Ihrem Azure-AD-Mandanten sehen Sie im Blade Azure Active Directory des Azure-Portals oder im Azure AD Portal.

    Das Azure-AD-Portal mit einer Übersicht über den Mandanten

    Im Office 365 Admin Center sehen Sie unter Lizenzen nicht nur wie im AAD-Portal die verwendete Azure-AD-Lizenz, sondern alle Microsoft-Cloud-Lizenzen.

    Sie können Ihre Lizenzen auch im Microsoft 365 Admin Center verwalten.

    Neuen Tenant anlegen

    Bei der Anlage des Tenants bestimmt man zuerst den Azure AD-Standort unter Land oder Region. Wichtig hier: Es handelt sich um "EU Model Clause compliant Datacenters" in Deutschland.

    Der Standort des Azure-AD-Tenants wird beim Anlegen desselben definiert und lässt sich nicht mehr ändern.

    Da das Azure AD eine flache Hierarchie aufweist und zur Domäne onmicrosoft.com gehört, müssen Sie bei der Wahl ihrer AAD-Domäne kreativ sein, damit das Domain-Suffix global eindeutig ist. Später können Sie dann immer noch einen benutzerdefinierten Domain-Namen im Azure AD hinzu­fügen.

    Beim erstmaligen Anlegen eines Azure-AD-Mandanten wird immer auch ein initiales Organisations­konto mit maximalen Rechten (globaler Administrator) erzeugt, dessen UPN sich aus dem Benutzer­namen und dem initialen Domain-Namen im Azure AD zusammensetzt.

    Zusammen mit dem Benutzernamen ergibt sich damit dann der UPN Ihres ersten Organisations­kontos für den globalen Administrator nach dem Muster
    "<GlobalAdmin-Username-prefix>@<unique_domain_prefix>.onmicrosoft.com".

    Das Präfix des initialen Domain-Namens muss eindeutig sein.

    Nach dem Klick auf Erstellen Sie Ihre Benutzer-ID geben Sie noch eine Mobilfunk­nummer zur Verifikation Ihrer Identität an und klicken nach Erhalt des SMS-Prüfcodes auf Konto erstellen. Anschließend erhalten Sie in wenigen Minuten Zugang zu einer vollwertigen Azure-AD-Organisation.

    Sie können sich dann auf der Seite "Speichern Sie diese Informationen. Sie benötigen Sie später noch" direkt an der Azure-Portal-Anmeldeseite (identisch mit https://poral.azure.com) einloggen.

    Ein neuer Azure-AD-Tenant noch ohne Abonnement

    Sie haben dann die Freiheit, aus den zahlreichen Optionen zur Buchung eines Azure-Abonnements zu wählen. Hingegen führt der Klick auf Sie können jetzt loslegen durch den Prozess zum Einbuchen einer Azure-AD-Free-Subscription, für den Sie eine eigene Kreditkarte benötigen.

    Eigenschaften des Mandanten prüfen

    Nach dem Anlegen des Mandanten lässt sich dann im Azure-AD-Blade verifizieren, dass Sie momentan über eine Lizenz vom Typ Azure AD Free verfügen.

    Übersicht über die Basisinformationen eines Azure AD Free

    Die Suche im Azure-Portal nach "Abonnements" sollte zudem belegen, dass Sie noch über kein Azure-Abonnement verfügen.

    Ein Mandant ohne Azure-Abonnement

    Den Standort Ihres Azure-AD-Tenants sehen Sie im Menü Eigenschaften, hier beispielswiese im Azure AD-Portal.

    Der Standort der Azure-AD-Instanz ist aus Compliance-Gründen sehr wichtig.

    Lizenzen

    Bei den SaaS-Angeboten erlaubt eine Lizenz einem bestimmten Benutzerkonto im Azure AD, den betreffenden Dienst gegen eine feste monatliche Gebühr zu verwenden. Deshalb müssen Sie als Administrator im Azure AD (globaler Administrator) den betreffenden Nutzern Lizenzen zuweisen.

    Bei PaaS-Diensten (zum Beispiel SQL-Server, Azure Firewall, Azure Loadbalancer) sind die erforderlichen Software-Lizenzen im Stundenpreis des Dienstes enthalten. Bei IaaS wie beispiels­weise bei virtuellen Azure-VMs gilt das prinzipiell zunächst auch.

    Es gibt aber auch die Option mit Hilfe des Azure Hybrid Use Benefits, lokal vorhandenen Windows-Server- oder SQL-Server-Lizenzen in die Cloud mitzunehmen, sofern Sie über eine Software-Assurance verfügen. Dann reduziert sich der Stundenpreis der VM um etwa die Hälfte.

    Der Azure Hybrid User Benefit reduziert den Stundenpreis für IaaS (VMs).

    Allerdings benötigen Sie bei IaaS (virtuelle Maschinen) unter Umständen zusätzliche Lizenzen zur Nutzung der Software oder der Anwendung, die auf dem jeweiligen virtuellen Computer-Abbild (Image) bereits installiert ist.

    Suchen Sie im Azure Marktplatz nach entsprechenden Produkten, sind die Kosten leicht zu erkennen. Das gilt etwa auch bei kommerziellen Linux-Distributionen von Drittanbietern.

    Die Lizenzkosten vorinstallierter Software werden zusätzlich zum Stundenpreis der Hardware über Azure abgerechnet.

    Es gibt aber auch Images von kommerziellen Herstellern wie Veeam oder Oracle, die für Bring your own License (BYOL) konzipiert sind. Sie zahlen dann über die Azure-Rechnung noch nur für den Betrieb der VM (einschließlich der OS-Lizenz), müssen aber über die erforderliche Software-Lizenz verfügen.

    Ein Systemabbild mit Bring your own license (BYOL)

    Fazit

    Eine Organisation kann über mehrere Microsoft-Abonnements (Office, Dynamics, Azure) verfügen. Ein Abo kann mehrere Lizenzen umfassen und Lizenzen können einzelnen Benutzerkonten zugewiesen werden.

    Die Benutzerkonten sind wiederum in einem Azure AD-Mandanten gespeichert. Diese können dort angelegt oder aus einem lokalen AD DS hinein synchronisiert werden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling

    Thomas Drilling arbeitet ist seit fast 30 Jahren selb­ständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehe­malige und aktuelle IT-Magazine sowie Blogs.

    Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.

    Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zerti­fi­zierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grund­lagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.

    Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Infor­mationen und Anmel­dung über sein Azure-Blog.

    Verwandte Beiträge

    Weitere Links

    2 Kommentare

    Sehr schlechter Artikel, der eher verwirrt als klärt. Die Formulierungen ergeben großenteils keinen Sinn. Beispielsweise existiert kein Begriff einer "Instanz in Azure AD" und ohne Definition, was damit gemeint sei, ist die Erklärung wertlos. "In einem Mandanten speichern" kann man sicher auch nichts. Ein Mandant ist ja keine Festplatte. Man hat also sofort das gleiche Problem, dessenthalben man vermutlich erst zu dieser Seite gelangt ist. Usw. Zeitverschwendung. Ohne solche Unsinnsartikel wäre das Internet viel nützlicher.

    Bild von Wolfgang Sommergut

    Wortklauberei. Sie können Abos statt im Tenant zu speichern auch damit verknüpfen, wenn Ihnen das besser gefällt. Und wenn Sie was zum Begriff "Instanzen in AAD" finden möchten, dann sehen Sie hier bei Microsoft nach. Nur weil Sie Verständnis­schwierigkeiten haben, müssen Sie hier nicht so auftreten.