Delegierte Administration in Office 365

Die Verwaltung von Office 365 Tenants erfolgt in den meisten Fällen über das Admin-Portal durch einen "Global Administrator". Natürlich kennt Office 365 auch abgestufte administrative Rechte und einen Zugang per PowerShell. Der Bereich des "Delegierten Administrators" ist dann interessant, wen ein Kunde seinen Tenant nicht selbst verwaltet, sondern von einem Dienstleister verwalten lassen will. Natürlich könnte der Kunde auch einfach einen Admin-User im Tenant als "Cloud Only" anlegen und die Zugangsdaten dem Dienstleister überlassen. Interessanter ist es für den Dienstleister aber, wenn er als "Delegate Administrator" eingetragen wird, weil damit die Administratoren des Dienstleister-Tenants auch über den Kunden-Tenant administrieren können.

Diese Verbindung ist auch für Die Partner-Zertifizierung des Dienstleisters bei Microsoft interessant, da Microsoft diese "Erlaubnis" sehen und damit die Dienstleister entsprechend bepunkten kann, ähnlich wir auch beim Office365:POR - Partner of Records

„If you are providing your customer with the key support and lifecycle services for their cloud subscription(s), make sure you are designated as their DPOR.”
“If you are not listed as DPOR but provide deployment or ongoing lifecycle support, ensure you are designated as a delegated administrator by your customer so that the usage you drive can count toward your MPN Cloud Competency qualification.”
Quelle: https://partner.microsoft.com/en-US/membership/digital-partner-of-Record

Anforderung vorbereiten

Der Dienstleister muss dazu zuerst in seinem Tenant, der für die Partner-Funktion freigeschaltet sein muss, in den Bereich "Partner" gehen:

Der Dienstleister kann dann eine Anforderung für die Delegierung von administrativen Rechten erstellen. Office 365 beschreibt den Prozess und stell sogar eine E-Mail-Vorlage bereit:

Der Administrator müsste dann unten nur noch die Mailadressen der Kunden eintragen, an den Microsoft die Mail sendet.

Die Nutzung dieser Mail-Send-Funktion ist aber freiwillig. Sie können natürlich auch eine eigene Mail in der Sprache des Kunden formulieren. Der Hyperlink kann einfach kopiert und für viele Kunden verwendet werden. Er scheint sich nicht zu ändern

Anforderung annehmen

Der Kunde selbst kann den Link einfach aufrufen. Sofern er im Browser noch nicht im Office 365 Tenant als Administrator angemeldet ist, muss er das nun nachholen, ehe er dann folgendes Fenster (Stand Feb 2017) sieht:

Nach der Aktivierung der Checkbox wird unten auch der "OK"-Button aktiv. Sie sollten als Kunde genau verstehen und lesen, wem sie hier die Rechte geben. Prüfen Sie genau Firmenname und Adresse und fragen Sie lieber noch einmal nach, denn der Dienstleister bekommt aktuell sehr weitreichende Rechte.

Ich habe aktuell noch keinen Weg gefunden, wie ich als Kunde den Dienstleiter noch beschränken kann. Ich würde z.B. gerne den Dienstleister auf bestimmte Services (nur Exchange) beschränken oder aus den Verwaltungsfunktionen die Module unterbinden, mit denen er sich Rechte auf Inhalte verschaffen kann (Stichwort Impersonation). Das geht aktuell nicht aber der Hyperlink scheint zumindest darauf vorbereitet zu sein, auch einmal eine andere Rolle zuweisen zu können.

Bestätigungsnachricht

Office 365 sendet sowohl an den Inhaber des Tenants als auch an den Betreuer beim Partner die gleiche Informationsmail. Insofern bleibt die Änderung nicht unbemerkt, wenn die bei den globalen Administratoren hinterlegte Mailadresse auch funktioniert.

Delegate Admin nutzen

Der Dienstleiter selbst kann dann über den Partner-Bereich in seinem Tenant alle Kunden sehen, auf die er "Delegate Admin"-rechte hat samt dem Status, der offenen Ticket etc. Die URL dazu ist

Hier einfach mal ein Blick auf das Dashboard:

Unter dem Bereich "Client List" sehen Sie dann alle Tenants mit Links zu deren Verwaltungsfunktionen.

Delegate Admin löschen

Der Kunde kann natürlich jederzeit bei sich über die Einstellungen unter Partnerbeziehungen sehen, wer ein "Delegate Admin" ist und dort den Eintrag auch umgehend wieder löschen:

Mit einem Klick auf den Eintrag öffnet sich ein Detailfenster, in dem heute aber noch keine Änderung vorgenommen werden kann.

Weitere Links