Lighthouse Management
Microsoft 365 Admins könnten in ihrem Tenant eine "
Was ist Lighthouse?
Für Microsoft Partner gibt es unter https://lighthouse.microsoft.com eine eigene Verwaltungsoberfläche zur besseren Betreuung von Kunden-Tenants. Über die Funktion GDAP - Granular Delegated Admin Privileges bzw den Vorgänge DAP können Partner über die verschiedenen Tenants einen Einblick in dessen Telemetriedaten und Status bekommen. Einen Zugriff auf Inhalte selbst z.B. Mails, Teams, SharePoint oder OneDrive-Daten ist darüber nicht möglich. Bedenken sie aber, dass ein Partner mit ausreichend GDAP-Permissions sich sehr wohl auch einen Benutzer einrichten, diesen berechtigen und dann auch auf Daten zugreifen kann. Nicht umsonst habe ich daher auf meiner Checkliste Tenant Einrichtung auch das Thema Partner explizit aufgeführt.
Dabei müssen wie zwei "Lighthouse"-Umgebungen unterscheiden:
- Lighthouse für Microsoft 365
Damit können Partner die Microsoft 365 Tenants ihrer Kunden besser betreuen - Lighthouse für Azure
Neben dem "Office"-Zweig gibt es natürlich auch noch die komplette Azure-Umgebung aus Netzwerken, VMs, Datenbanken etc., die mit einem eigenen Lighthouse verwaltet werden.
Was haben Sie nun als Partner oder Kunde davon?
- Übersicht über Microsoft 365 Lighthouse
https://learn.microsoft.com/de-de/microsoft-365/lighthouse/m365-lighthouse-overview?view=o365-worldwide - Anforderungen für Microsoft 365 Lighthouse
https://learn.microsoft.com/de-de/microsoft-365/lighthouse/m365-lighthouse-requirements?view=o365-worldwide - Was ist Azure Lighthouse?
https://learn.microsoft.com/de-de/azure/lighthouse/overview
Lizenzen und Kosten
Eigentlich kann jeder Benutzer mit einem AzureAD-Konto natürlich auf die URl "https://lighthouse.microsoft.com" gehen und sich anmelden. Die meisten regulären Benutzer sollten aber folgende Bild sehen:
Microsoft 365 Lighthouse ist nur für "Microsoft Partner verfügbar, die einen entsprechende Lizenz eingerichtet haben.
- Registrieren für Microsoft 365
Lighthouse
https://learn.microsoft.com/de-de/microsoft-365/lighthouse/m365-lighthouse-sign-up?view=o365-worldwide#sign-up-for-microsoft-365-lighthouse-1
Auch kann es erforderlich sein, dass sie unter https://admin.microsoft.com/#/catalog die Lighthouse-Lizenz erst "kaufen" müssen.
Diese Lizenz zur Freischaltung braucht aber nur ihr Partner, aber nicht der Endkunde selbst.
Dennoch habe ich schon Kunden-Tenants gesehen, in denen diese Lizenz auch vorhanden ist. Vermutlich wurde sie irrtümlich während erster Gehversuche mit Microsoft 365 "für 0 € gekauft", weil man sich eine neue Funktion erhofft hat. Oder ein Partner hat sich beim Verwalten "verklickt"
Das beschreibt Microsoft auch deutlich:
Lighthouse requires one license for the
partner tenant only. No additional per-user licenses are
required for the partner, and no Lighthouse licenses are
required in any customer tenant.
Quelle:
https://learn.microsoft.com/en-us/microsoft-365/lighthouse/m365-lighthouse-sign-up?view=o365-worldwide#sign-up-for-microsoft-365-lighthouse-1
Wenn also in ihrem KundenTenant eine "Lighthouse"-Lizenz erscheint, dann gilt:
- Die „Lighthouse Lizenz“ kommt nicht alleine. Eher aus „Versehen“
- Die „Lighthouse Lizenz“ kostet nichts. Kann ein Admin also einfach „kaufen“
- Die „Lighthouse Lizenz“ braucht man im
Partner Tenant, wenn man das Lighthouse zum
Verwalten seiner Kunden nutzen will
Im Kundentenant ist eine „Lighthouse Lizenz“ nicht erforderlich. - Die „Lighthouse Lizenz“ alleine gewährt
keine Rechte auf Tenants
Dazu braucht man noch GDAP - Ein Kunden-Admin sollte den Weckruf aber einfach mal nutzen, um die Partner-Beziehungen im Tenant zu prüfen.
Wenn Sie nun Partner sind, dann sollten sich sich Lighthouse durchaus mal anschauen. Für Kunden ist es mehr ein Blick über den Tellerrand.
- Requirements for Microsoft 365
Lighthouse
https://learn.microsoft.com/en-us/microsoft-365/lighthouse/m365-lighthouse-requirements?view=o365-worldwide
Lighthouse einrichten
Es reicht aber nicht, wenn ein Partner nun eine Lighthouse-Lizenz eingerichtet hat. Mit der kostenfreien Lizenz kann er problemlos das Portal auf https://lighthouse.microsoft.com zugreifen und wenn die Tenant der Kunden sogar seinen Partner hinterlegt haben, dann sehen Sie diese Partner schon ihre Kunden in einer Liste.
Allein hier in der Liste bei einem Partner zu erscheinen bedeutet nicht, dass der Partner viele Rechte auf den Kundentenant hat. Der Partner braucht schon noch Berechtigungen, die mittlerweile alle über GDAP Granular Delegated Admin Privileges zugewiesen werden.
Either granular delegated admin
privileges (GDAP) or a delegated admin privileges (DAP)
relationship is required to onboard customers to Lighthouse.
An indirect reseller relationship is no longer required to
onboard to Lighthouse. If DAP and GDAP coexist in a customer
tenant, GDAP permissions take precedence for MSP technicians
in GDAP-enabled security groups.
Quelle:
https://learn.microsoft.com/en-us/microsoft-365/lighthouse/m365-lighthouse-requirements?view=o365-worldwide
Ein Partner sieht über Lighthouse also nicht mehr, als sie als Kunden selbst auch sehen können und ohne Berechtigungen sieht er weniger bis gar nichts.
Lighthouse einrichten
Für alle Leser, die nicht selbst Microsoft Partner sind, zeige ich ein paar Ansichten. Sie können damit vielleicht besser einschätzen, was ein Partner mit entsprechenden Berechtigungen "anstellen" kann. Schon wenn ich auf den Status in einer Zeile im Portal klicke, sehe ich als Partner, wie die Verbindung eingerichtet ist. Hier sind alle Voraussetzungen erfüllt:
Sollte eine Voraussetzung nicht erfüllt sein, dann zeigt Lighthouse nicht nur den Punkt an, sondern verweist direkt auf den Artikel in der Dokumentation
- Requirements for Microsoft 365 Lighthouse
https://learn.microsoft.com/en-us/microsoft-365/lighthouse/m365-lighthouse-requirements?view=o365-worldwide - Overview of permissions in Microsoft 365 Lighthouse
https://learn.microsoft.com/en-us/microsoft-365/lighthouse/m365-lighthouse-overview-of-permissions?view=o365-worldwide&wt.mc_id=365admincsh_lighthouse
Damit sollte dann doch jeder Partner und Kunde wissen, wie Sie die Beziehung für beide Seite korrekt einstellen.
Übrigens: Die Delegierung per GDAP - Granular Delegated Admin Privileges ist um Welten besser als das frühere DPOR/POR/DAP oder gar die Einrichtung von lokalen Admin-Konten mit gemeinsamen Kennworten oder das Hinzufügen von Gastkonten des Partners in Adminrollen des Kundentenant.
Lighthouse nutzen
Je nach gewährten Rechten kann der Partner dann verschiedene Auswertungen bezüglich der Kundentenants anstellen. Hier ein Überblick über die Menüs im Mai 2024:
- Benutzer
Der Partner kann z.B. im Supportfall einen Benutzer suchen und im Rahmen seiner Rechte verwalten. Er sieht auch schnell "Risky Users" oder kann das Rollout von MFA unterstützen. - Devices
In Verbindung mit Intune können Geräte und damit verbundene Alarme oder fehlende Updates über alle Tenants hinweg überwacht und bearbeitet werden - Data Protection
Hier kann ein Partner als Dienstleister z.B. die Quarantäne der unterschiedlichen Tenants einsehen und ggfls. Mails "befreien". Was ich persönlich von einer Quarantäne halte, kennen Sie aber sicher schon Das Leid mit der Quarantäne
Es gibt noch viele weitere Einträge, auf die ich nicht weiter eingehe. Als Kunde können Sie aber schon sehen, wie ein Partner, mit dem Sie einen Dienstleistungsvertrag haben, die Betreuung von vielen Tenants optimieren kann. Der Partner muss nämlich nicht mehr kontinuierliche alle Tenants nacheinander über einen "Wechsle Tenant" ansurfen und kontrollieren, ob etwas anliegt. Lighthouse steht quasi darüber.
- Watch: Demonstration of Microsoft 365 Lighthouse
https://learn.microsoft.com/en-us/microsoft-365/lighthouse/m365-lighthouse-overview?view=o365-worldwide#watch-demonstration-of-microsoft-365-lighthouse
Ob der Name "Lighthouse" dafür allerdings sprechend ist. Einen Leuchtturm übersetzt ich eher als Wegweiser und wenige als Regiepult oder Enterprise Control Panel. Aber vielleicht ist es doch ein gutes Keyword für Suchen im Internet in Kombination mit "Microsoft"
Azure Lighthouse
Was für Microsoft 365 Tenants sinnvoll ist, gilt auch für Azure. Immer mehr Firmen nutzen Cloud-Dienste zum Betrieb eigener Server, Datenbanken und Diensten. Diese sind in in einer oder mehreren "Subscriptions" organisiert, die mit dem AzureAD des Kunden verbunden sind. Als "Managed Service Provider" können Sie auch hier einen Mehrwert bieten, indem Sie z.B. die Funktionsfähigkeit aber auch die Kosten des Kunden in dessen Auftrag überwachen und Optimierungen empfehlen. Sie könnten sich natürlich auch hier die entsprechenden Berechtigungen über ein Adminkonto im Kundentenant oder ein Gastkonto einräumen lassen. Dann wäre aber immer noch die manuelle Aufgabe, im Azure Portal zwischen den Tenants und Subscriptions hin- und herzuwechseln. Dafür gibt es dann Lighthouse für Azure.
- Was ist Azure Lighthouse?
https://learn.microsoft.com/de-de/azure/lighthouse/overview - Azure Lighthouse pricing
https://azure.microsoft.com/en-us/pricing/details/azure-lighthouse/ - Azure Lighthouse architecture
https://learn.microsoft.com/en-us/azure/lighthouse/concepts/architecture - Exercise - Manage customer resources
https://learn.microsoft.com/en-us/training/modules/intro-to-azure-lighthouse/8-exercise-manage-customer-resources
Einschätzung
Lighthouse ist primär für Managed Service Provider interessant, die damit mehrere Tenants oder Azure Subscriptions ihrer Kunden verwalten und überwachen wollten. Lighthouse kann aber auch für Firmen selbst interessant sein, die mehrere Tenants oder Azure Subscription betreiben und sich damit einen Überblick und Erleichterungen verschaffen wollen. Auch wenn es offiziell für Partner platziert ist, gibt es ja viele Firmen, deren IT-Abteilung in eine eigene Dienstleistungsfirma ausgelagert ist. Selbst wenn dies nicht der Fall wäre, können dennoch prüfen, ob Lighthouse sich auch intern eignet.
Für Managed Service Partner ist es natürlich nur eine Möglichkeit über die verschiedenen Instanzen ihrer Kunden den Überblick zu behalten. Managed Service Provider, die schon länger im Geschäft sind, haben sich natürlich schon eigene Tools geschrieben oder 3rd Party Produkte eingesetzt, denn Lighthouse wurde erst um 2020 angekündigt. Wenn die Kunden zudem mehr als 2500 lizenzierte Benutzer haben, müssen Sie auch andere Ansätze wählen.
Weitere Links
- GDAP - Granular Delegated Admin Privileges
- Checkliste Tenant Einrichtung
- Delegierte Administration in Office 365
- Office365:POR - Partner of Records
- Office 365 Admin Konzept
- Microsoft 365 Default Rechte
- "Global Reader" Admin
-
Announcing Microsoft 365 Lighthouse for Managed Service
Providers serving small & medium customers
https://techcommunity.microsoft.com/t5/small-and-medium-business-blog/announcing-microsoft-365-lighthouse-for-managed-service/ba-p/1698181 - Übersicht über Microsoft 365 Lighthouse
https://learn.microsoft.com/de-de/microsoft-365/lighthouse/m365-lighthouse-overview?view=o365-worldwide - Anforderungen für Microsoft 365 Lighthouse
https://learn.microsoft.com/de-de/microsoft-365/lighthouse/m365-lighthouse-requirements?view=o365-worldwide - Was ist Azure Lighthouse?
https://learn.microsoft.com/de-de/azure/lighthouse/overview