Delegierte Administration in Office 365

Die Verwaltung von Office 365 Tenants erfolgt in den meisten Fällen über das Admin-Portal durch einen "Global Administrator". Natürlich kennt Office 365 auch abgestufte administrative Rechte und einen Zugang per PowerShell. Der Bereich des "Delegierten Administrators" ist dann interessant, wen ein Kunde seinen Tenant nicht selbst verwaltet, sondern von einem Dienstleister verwalten lassen will. Natürlich könnte der Kunde auch einfach einen Admin-User im Tenant als "Cloud Only" anlegen und die Zugangsdaten dem Dienstleister überlassen. Interessanter ist es für den Dienstleister aber, wenn er als "Delegate Administrator" eingetragen wird, weil damit die Administratoren des Dienstleister-Tenants auch über den Kunden-Tenant administrieren können.

Achtung: Wenn Sie Lizenzen über einen CSP beziehen, kann es passieren, dass dieser CSP auch Delegate Admin auf ihrem Tenant wird. Hier sollten Sie ab und an mal nachschauen.

Diese Verbindung ist auch für die Partner-Zertifizierung des Dienstleisters bei Microsoft interessant, da Microsoft diese "Erlaubnis" sehen und damit die Dienstleister entsprechend bewerten kann, ähnlich wie auch beim Office365:POR - Partner of Records

„If you are providing your customer with the key support and lifecycle services for their cloud subscription(s), make sure you are designated as their DPOR.”
“If you are not listed as DPOR but provide deployment or ongoing lifecycle support, ensure you are designated as a delegated administrator by your customer so that the usage you drive can count toward your MPN Cloud Competency qualification.”
Quelle: https://partner.microsoft.com/en-US/membership/digital-partner-of-Record

Die Delegierung von Admin-Rechten über diesen Weg ist nur eine Option. Lesen Sie dazu auch die Seite GDAP - Granular Delegated Admin Privileges

Das hier beschrieben Vorgehen wird gerne von Microsoft Partnern genutzt, die sich damit Berechtigungen auf Kundentenants einräumen lassen. Anfangs konnte man als Partner sich nur "Global Admin"-Rechte holen und jeder Global Admin im Partnertenant war dann globaler Admin in allen Kundentenants. Das ist sehr unsicher und Partner waren gut beraten, einen eigenen Tenant für die Verwaltung der Kunden aufzubauen. Was würden Sie von einem Partner halten, in denen der Kundensupport als "Global Admin" im eigenen Tenant unterwegs ist?

Anforderung vorbereiten

Der Dienstleister muss dazu zuerst in seinem Tenant, der für die Partner-Funktion freigeschaltet sein muss, in den Bereich "Partner" gehen:

Der Dienstleister kann dann eine Anforderung für die Delegierung von administrativen Rechten erstellen. Office 365 beschreibt den Prozess und stell sogar eine E-Mail-Vorlage bereit:

Der Administrator müsste dann unten nur noch die Mailadressen der Kunden eintragen, an den Microsoft die Mail sendet.

Die Nutzung dieser Mail-Send-Funktion ist aber freiwillig. Sie können natürlich auch eine eigene Mail in der Sprache des Kunden formulieren. Der Hyperlink kann einfach kopiert und für viele Kunden verwendet werden. Er scheint sich nicht zu ändern.

Anforderung annehmen

Der Kunde selbst kann den Link einfach aufrufen. Sofern er im Browser noch nicht im Office 365 Tenant als Administrator angemeldet ist, muss er das nun nachholen, ehe er dann folgendes Fenster (Stand Feb 2017) sieht:

Nach der Aktivierung der Checkbox wird unten auch der "OK"-Button aktiv. Sie sollten als Kunde genau verstehen und lesen, wem sie hier die Rechte geben. Prüfen Sie genau Firmenname und Adresse und fragen Sie lieber noch einmal nach, denn der Dienstleister bekommt aktuell sehr weitreichende Rechte.

Ich habe aktuell noch keinen Weg gefunden, wie ich als Kunde den Dienstleiter noch beschränken kann. Ich würde z.B. gerne den Dienstleister auf bestimmte Services (nur Exchange) beschränken oder aus den Verwaltungsfunktionen die Module unterbinden, mit denen er sich Rechte auf Inhalte verschaffen kann (Stichwort Impersonation). Das geht aktuell nicht aber der Hyperlink scheint zumindest darauf vorbereitet zu sein, auch einmal eine andere Rolle zuweisen zu können.

Bestätigungsnachricht

Office 365 sendet sowohl an den Inhaber des Tenants als auch an den Betreuer beim Partner die gleiche Informationsmail. Insofern bleibt die Änderung nicht unbemerkt, wenn die bei den globalen Administratoren hinterlegte Mailadresse auch funktioniert.

Delegate Admin nutzen

Der Dienstleiter selbst kann dann über den Partner-Bereich in seinem Tenant alle Kunden sehen, auf die er "Delegate Admin"-rechte hat samt dem Status, der offenen Ticket etc. Die URL dazu ist

Hier einfach mal ein Blick auf das Dashboard:

Unter dem Bereich "Client List" sehen Sie dann alle Tenants mit Links zu deren Verwaltungsfunktionen.

Delegate Admin löschen

Der Kunde kann natürlich jederzeit bei sich über die Einstellungen unter Partnerbeziehungen sehen, wer ein "Delegate Admin" ist und dort den Eintrag auch umgehend wieder löschen:

Mit einem Klick auf den Eintrag öffnet sich ein Detailfenster, in dem heute aber noch keine Änderung vorgenommen werden kann.

Ansicht beim CSP

Wenn Sie einen "Cloud Solution Provider" in ihrem Tenant aufgenommen haben, dann kommt sehr schnell die Frage, wer denn nun auf ihren Tenant zugreifen kann. Leider ist die Berechtigung hier aus meiner Sicht sehr unzureichend gelöst. Als Kunde können Sie leider nicht steuern, welche Person oder Gruppe eines CSP nun in ihrem Tenant "Global Admin" ist. Sie sehen es nicht mal. Der CSP ist dafür zuständig, denn im CSP-Tenant gibt es zwei Gruppen für den Zweck:

  • Helpdesk Agents
    Diese Gruppe aus dem CSP-Tenant wird in die Gruppe "Global Administrator" des Kunden addiert
  • Admin Agents
    Diese Gruppe aus dem CSP-Tenant wird in die Gruppe "Helpdesk Administrator" des Kunden addiert

Der CSP addiert seine Benutzer in diese Gruppen und damit haben Sie die entsprechenden Berechtigungen auf ALLEN Kunden.

Im Admin Center sehen sie hinter dem Tenantname den "Doppelpfeil". über den ein entsprechend privilegierter Administrator direkt in den jeweils anderen Tenant wechseln kann.

Ich bin sehr unzufrieden über diese Lösung, dass ein Benutzer in diesen Gruppen des CSP direkt die Berechtigungen auf allen Tenant hat. Da hilft es auch nicht, wenn Microsoft für CSP-Tenant mittlerweile "MFA" für alle Konen erzwingt. Als Kunde vertraue ich der kompletten Firma.

Für CSPs stellt diese Lösung auch eine Herausforderung dar, denn Microsoft fordert z.B. "MFA" für alle Konten in einem CSP-Tenant, der auf Kunden administrative Rechte hat. Das ist zumindest sicherer aber kann auch beim "Eigenbetrieb" des CSP stören. Vielleicht ist daher ein separater Tenant für die CSP-Verwaltung sogar besser.

Weitere Links