Lighthouse Management

Microsoft 365 Admins könnten in ihrem Tenant eine "

Was ist Lighthouse?

Für Microsoft Partner gibt es unter https://lighthouse.microsoft.com eine eigene Verwaltungsoberfläche zur besseren Betreuung von Kunden-Tenants. Über die Funktion GDAP - Granular Delegated Admin Privileges bzw den Vorgänge DAP können Partner über die verschiedenen Tenants einen Einblick in dessen Telemetriedaten und Status bekommen. Einen Zugriff auf Inhalte selbst z.B. Mails, Teams, SharePoint oder OneDrive-Daten ist darüber nicht möglich. Bedenken sie aber, dass ein Partner mit ausreichend GDAP-Permissions sich sehr wohl auch einen Benutzer einrichten, diesen berechtigen und dann auch auf Daten zugreifen kann. Nicht umsonst habe ich daher auf meiner Checkliste Tenant Einrichtung auch das Thema Partner explizit aufgeführt.

Dabei müssen wie zwei "Lighthouse"-Umgebungen unterscheiden:

  • Lighthouse für Microsoft 365
    Damit können Partner die Microsoft 365 Tenants ihrer Kunden besser betreuen
  • Lighthouse für Azure
    Neben dem "Office"-Zweig gibt es natürlich auch noch die komplette Azure-Umgebung aus Netzwerken, VMs, Datenbanken etc., die mit einem eigenen Lighthouse verwaltet werden.

Was haben Sie nun als Partner oder Kunde davon?

Lizenzen und Kosten

Eigentlich kann jeder Benutzer mit einem AzureAD-Konto natürlich auf die URl "https://lighthouse.microsoft.com" gehen und sich anmelden. Die meisten regulären Benutzer sollten aber folgende Bild sehen:

Microsoft 365 Lighthouse ist nur für "Microsoft Partner verfügbar, die einen entsprechende Lizenz eingerichtet haben.

Auch kann es erforderlich sein, dass sie unter https://admin.microsoft.com/#/catalog die Lighthouse-Lizenz erst "kaufen" müssen.

Diese Lizenz zur Freischaltung braucht aber nur ihr Partner, aber nicht der Endkunde selbst.

Dennoch habe ich schon Kunden-Tenants gesehen, in denen diese Lizenz auch vorhanden ist. Vermutlich wurde sie irrtümlich während erster Gehversuche mit Microsoft 365 "für 0 € gekauft", weil man sich eine neue Funktion erhofft hat. Oder ein Partner hat sich beim Verwalten "verklickt"

Das beschreibt Microsoft auch deutlich:

Lighthouse requires one license for the partner tenant only. No additional per-user licenses are required for the partner, and no Lighthouse licenses are required in any customer tenant.
Quelle: https://learn.microsoft.com/en-us/microsoft-365/lighthouse/m365-lighthouse-sign-up?view=o365-worldwide#sign-up-for-microsoft-365-lighthouse-1

Wenn also in ihrem KundenTenant eine "Lighthouse"-Lizenz erscheint, dann gilt:

  • Die „Lighthouse Lizenz“ kommt nicht alleine. Eher aus „Versehen“
  • Die „Lighthouse Lizenz“ kostet nichts. Kann ein Admin also einfach „kaufen“
  • Die „Lighthouse Lizenz“ braucht man im Partner Tenant, wenn man das Lighthouse zum Verwalten seiner Kunden nutzen will
    Im Kundentenant ist eine „Lighthouse Lizenz“ nicht erforderlich.
  • Die „Lighthouse Lizenz“ alleine gewährt keine Rechte auf Tenants
    Dazu braucht man noch GDAP
  • Ein Kunden-Admin sollte den Weckruf aber einfach mal nutzen, um die Partner-Beziehungen im Tenant zu prüfen.

Wenn Sie nun Partner sind, dann sollten sich sich Lighthouse durchaus mal anschauen. Für Kunden ist es mehr ein Blick über den Tellerrand.

Lighthouse einrichten

Es reicht aber nicht, wenn ein Partner nun eine Lighthouse-Lizenz eingerichtet hat. Mit der kostenfreien Lizenz kann er problemlos das Portal auf https://lighthouse.microsoft.com zugreifen und wenn die Tenant der Kunden sogar seinen Partner hinterlegt haben, dann sehen Sie diese Partner schon ihre Kunden in einer Liste.

Allein hier in der Liste bei einem Partner zu erscheinen bedeutet nicht, dass der Partner viele Rechte auf den Kundentenant hat. Der Partner braucht schon noch Berechtigungen, die mittlerweile alle über GDAP Granular Delegated Admin Privileges zugewiesen werden.

Either granular delegated admin privileges (GDAP) or a delegated admin privileges (DAP) relationship is required to onboard customers to Lighthouse. An indirect reseller relationship is no longer required to onboard to Lighthouse. If DAP and GDAP coexist in a customer tenant, GDAP permissions take precedence for MSP technicians in GDAP-enabled security groups.
Quelle: https://learn.microsoft.com/en-us/microsoft-365/lighthouse/m365-lighthouse-requirements?view=o365-worldwide

Ein Partner sieht über Lighthouse also nicht mehr, als sie als Kunden selbst auch sehen können und ohne Berechtigungen sieht er weniger bis gar nichts.

Lighthouse einrichten

Für alle Leser, die nicht selbst Microsoft Partner sind, zeige ich ein paar Ansichten. Sie können damit vielleicht besser einschätzen, was ein Partner mit entsprechenden Berechtigungen "anstellen" kann. Schon wenn ich auf den Status in einer Zeile im Portal klicke, sehe ich als Partner, wie die Verbindung eingerichtet ist. Hier sind alle Voraussetzungen erfüllt:

Sollte eine Voraussetzung nicht erfüllt sein, dann zeigt Lighthouse nicht nur den Punkt an, sondern verweist direkt auf den Artikel in der Dokumentation

Damit sollte dann doch jeder Partner und Kunde wissen, wie Sie die Beziehung für beide Seite korrekt einstellen.

Übrigens: Die Delegierung per GDAP - Granular Delegated Admin Privileges ist um Welten besser als das frühere DPOR/POR/DAP oder gar die Einrichtung von lokalen Admin-Konten mit gemeinsamen Kennworten oder das Hinzufügen von Gastkonten des Partners in Adminrollen des Kundentenant.

Lighthouse nutzen

Je nach gewährten Rechten kann der Partner dann verschiedene Auswertungen bezüglich der Kundentenants anstellen. Hier ein Überblick über die Menüs im Mai 2024:

  • Benutzer
    Der Partner kann z.B. im Supportfall einen Benutzer suchen und im Rahmen seiner Rechte verwalten. Er sieht auch schnell "Risky Users" oder kann das Rollout von MFA unterstützen.
  • Devices
    In Verbindung mit Intune können Geräte und damit verbundene Alarme oder fehlende Updates über alle Tenants hinweg überwacht und bearbeitet werden
  • Data Protection
    Hier kann ein Partner als Dienstleister z.B. die Quarantäne der unterschiedlichen Tenants einsehen und ggfls. Mails "befreien". Was ich persönlich von einer Quarantäne halte, kennen Sie aber sicher schon Das Leid mit der Quarantäne

Es gibt noch viele weitere Einträge, auf die ich nicht weiter eingehe. Als Kunde können Sie aber schon sehen, wie ein Partner, mit dem Sie einen Dienstleistungsvertrag haben, die Betreuung von vielen Tenants optimieren kann. Der Partner muss nämlich nicht mehr kontinuierliche alle Tenants nacheinander über einen "Wechsle Tenant" ansurfen und kontrollieren, ob etwas anliegt. Lighthouse steht quasi darüber.

Ob der Name "Lighthouse" dafür allerdings sprechend ist. Einen Leuchtturm übersetzt ich eher als Wegweiser und wenige als Regiepult oder Enterprise Control Panel. Aber vielleicht ist es doch ein gutes Keyword für Suchen im Internet in Kombination mit "Microsoft"

Azure Lighthouse

Was für Microsoft 365 Tenants sinnvoll ist, gilt auch für Azure. Immer mehr Firmen nutzen Cloud-Dienste zum Betrieb eigener Server, Datenbanken und Diensten. Diese sind in in einer oder mehreren "Subscriptions" organisiert, die mit dem AzureAD des Kunden verbunden sind. Als "Managed Service Provider" können Sie auch hier einen Mehrwert bieten, indem Sie z.B. die Funktionsfähigkeit aber auch die Kosten des Kunden in dessen Auftrag überwachen und Optimierungen empfehlen. Sie könnten sich natürlich auch hier die entsprechenden Berechtigungen über ein Adminkonto im Kundentenant oder ein Gastkonto einräumen lassen. Dann wäre aber immer noch die manuelle Aufgabe, im Azure Portal zwischen den Tenants und Subscriptions hin- und herzuwechseln. Dafür gibt es dann Lighthouse für Azure.

Einschätzung

Lighthouse ist primär für Managed Service Provider interessant, die damit mehrere Tenants oder Azure Subscriptions ihrer Kunden verwalten und überwachen wollten. Lighthouse kann aber auch für Firmen selbst interessant sein, die mehrere Tenants oder Azure Subscription betreiben und sich damit einen Überblick und Erleichterungen verschaffen wollen. Auch wenn es offiziell für Partner platziert ist, gibt es ja viele Firmen, deren IT-Abteilung in eine eigene Dienstleistungsfirma ausgelagert ist. Selbst wenn dies nicht der Fall wäre, können dennoch prüfen, ob Lighthouse sich auch intern eignet.

Für Managed Service Partner ist es natürlich nur eine Möglichkeit über die verschiedenen Instanzen ihrer Kunden den Überblick zu behalten. Managed Service Provider, die schon länger im Geschäft sind, haben sich natürlich schon eigene Tools geschrieben oder 3rd Party Produkte eingesetzt, denn Lighthouse wurde erst um 2020 angekündigt. Wenn die Kunden zudem mehr als 2500 lizenzierte Benutzer haben, müssen Sie auch andere Ansätze wählen.

Weitere Links