Azure-Grundlagen: Wie gehören Mandanten, Konten, Abonnements und Lizenzen zusammen?

Neueinsteiger und Anwender, die von AWS oder Google zur Microsoft-Cloud wechseln, sind oft etwas verwirrt von den Begriff­lich­keiten in der Microsoft Cloud. Um sich dort zurecht­­zufinden, sollte man die Konzepte von Konto, Mandant, Abonne­ment sowie Lizenz kennen und verstehen, wie diese zusammen­hängen.

Um Microsoft-Cloud-Angebote gleich welcher Art nutzen zu können, benötigen Sie einen Mandanten (Tenant). Dabei handelt es sich um eine spezifische Instanz im Azure Active Directory (AAD), in der Benutzer­konten und Gruppen gespeichert werden.

Tenant als Container für Konten und Abos

Diesen können Sie dann Lizenzen zur Nutzung von Microsofts SaaS-Produkten zuweisen, sofern Sie über entsprechenden Abonnements für Office 365 oder Microsoft 365 verfügen. Microsoft nennt diese in der Cloud existierenden Konten Organisations- oder Schulkonten.

Sie können aber Ihren Azure AD-Mandanten auch mit vorhandenen Active Directory Domain Services (AD DS) über Azure AD Connect synchroni­sieren. Auf diese Weise gelangen dann lokale Benutzerkonten in die Cloud, also ins Azure AD.

Zusätzlich können Sie ein oder mehrere Azure-Abonnements erwerben und in Ihrem Mandanten speichern. Anschließend erteilen Sie den im Azure AD vorhandenen Benutzern mittels Role Based Access Control (RABC) Berechtigungen zum Erstellen und Verwalten von IaaS- oder PaaS-Ressourcen.

Alle Informationen zu Ihrem Azure-AD-Mandanten sehen Sie im Blade Azure Active Directory des Azure-Portals oder im Azure AD Portal.

Im Office 365 Admin Center sehen Sie unter Lizenzen nicht nur wie im AAD-Portal die verwendete Azure-AD-Lizenz, sondern alle Microsoft-Cloud-Lizenzen.

Neuen Tenant anlegen

Bei der Anlage des Tenants bestimmt man zuerst den Azure AD-Standort unter Land oder Region. Wichtig hier: Es handelt sich um "EU Model Clause compliant Datacenters" in Deutschland.

Da das Azure AD eine flache Hierarchie aufweist und zur Domäne onmicrosoft.com gehört, müssen Sie bei der Wahl ihrer AAD-Domäne kreativ sein, damit das Domain-Suffix global eindeutig ist. Später können Sie dann immer noch einen benutzerdefinierten Domain-Namen im Azure AD hinzu­fügen.

Beim erstmaligen Anlegen eines Azure-AD-Mandanten wird immer auch ein initiales Organisations­konto mit maximalen Rechten (globaler Administrator) erzeugt, dessen UPN sich aus dem Benutzer­namen und dem initialen Domain-Namen im Azure AD zusammensetzt.

Zusammen mit dem Benutzernamen ergibt sich damit dann der UPN Ihres ersten Organisations­kontos für den globalen Administrator nach dem Muster
"<GlobalAdmin-Username-prefix>@<unique_domain_prefix>.onmicrosoft.com".

Nach dem Klick auf Erstellen Sie Ihre Benutzer-ID geben Sie noch eine Mobilfunk­nummer zur Verifikation Ihrer Identität an und klicken nach Erhalt des SMS-Prüfcodes auf Konto erstellen. Anschließend erhalten Sie in wenigen Minuten Zugang zu einer vollwertigen Azure-AD-Organisation.

Sie können sich dann auf der Seite "Speichern Sie diese Informationen. Sie benötigen Sie später noch" direkt an der Azure-Portal-Anmeldeseite (identisch mit https://poral.azure.com) einloggen.

Sie haben dann die Freiheit, aus den zahlreichen Optionen zur Buchung eines Azure-Abonnements zu wählen. Hingegen führt der Klick auf Sie können jetzt loslegen durch den Prozess zum Einbuchen einer Azure-AD-Free-Subscription, für den Sie eine eigene Kreditkarte benötigen.

Eigenschaften des Mandanten prüfen

Nach dem Anlegen des Mandanten lässt sich dann im Azure-AD-Blade verifizieren, dass Sie momentan über eine Lizenz vom Typ Azure AD Free verfügen.

Die Suche im Azure-Portal nach "Abonnements" sollte zudem belegen, dass Sie noch über kein Azure-Abonnement verfügen.

Den Standort Ihres Azure-AD-Tenants sehen Sie im Menü Eigenschaften, hier beispielswiese im Azure AD-Portal.

Lizenzen

Bei den SaaS-Angeboten erlaubt eine Lizenz einem bestimmten Benutzerkonto im Azure AD, den betreffenden Dienst gegen eine feste monatliche Gebühr zu verwenden. Deshalb müssen Sie als Administrator im Azure AD (globaler Administrator) den betreffenden Nutzern Lizenzen zuweisen.

Bei PaaS-Diensten (zum Beispiel SQL-Server, Azure Firewall, Azure Loadbalancer) sind die erforderlichen Software-Lizenzen im Stundenpreis des Dienstes enthalten. Bei IaaS wie beispiels­weise bei virtuellen Azure-VMs gilt das prinzipiell zunächst auch.

Es gibt aber auch die Option mit Hilfe des Azure Hybrid Use Benefits, lokal vorhandenen Windows-Server- oder SQL-Server-Lizenzen in die Cloud mitzunehmen, sofern Sie über eine Software-Assurance verfügen. Dann reduziert sich der Stundenpreis der VM um etwa die Hälfte.

Allerdings benötigen Sie bei IaaS (virtuelle Maschinen) unter Umständen zusätzliche Lizenzen zur Nutzung der Software oder der Anwendung, die auf dem jeweiligen virtuellen Computer-Abbild (Image) bereits installiert ist.

Suchen Sie im Azure Marktplatz nach entsprechenden Produkten, sind die Kosten leicht zu erkennen. Das gilt etwa auch bei kommerziellen Linux-Distributionen von Drittanbietern.

Es gibt aber auch Images von kommerziellen Herstellern wie Veeam oder Oracle, die für Bring your own License (BYOL) konzipiert sind. Sie zahlen dann über die Azure-Rechnung noch nur für den Betrieb der VM (einschließlich der OS-Lizenz), müssen aber über die erforderliche Software-Lizenz verfügen.

Fazit

Eine Organisation kann über mehrere Microsoft-Abonnements (Office, Dynamics, Azure) verfügen. Ein Abo kann mehrere Lizenzen umfassen und Lizenzen können einzelnen Benutzerkonten zugewiesen werden.

Die Benutzerkonten sind wiederum in einem Azure AD-Mandanten gespeichert. Diese können dort angelegt oder aus einem lokalen AD DS hinein synchronisiert werden.