Microsoft statt Office 365 Kostenrechnung

Diese Seite versucht die Kosten von Microsoft 365, Office 365 mit 3rd Party-Lösungen gegenüber zu stellen, so dass Sie ihre eigene Bewertungsmatrix erstellen können.

Cloud verkauft sich nicht alleine

Auch wenn das Cloud-Angebot von Microsoft schon sehr interessant ist, kommen je nach Umfang schon einige monatliche Kosten pro Mitarbeiter zusammen, die ein Controller oder Geschäftsführer zurecht gerne etwas erläutert hätte. Wenn eine Firma mit 10.000 Mitarbeiten mit Office 365 E3 dann über eine monatliche sichtbare Belastung von 200.000€ spricht (10.000x19,90€), dann fallen solche Beträge auf. Mit Microsoft 365 steigen die Werte dann schon deutlich an und selbst wenn es "nur" ein kleiner Mittelständler oder Handwerker mit vielleicht 50 Mitarbeitern ist, dann kostet ihn ein Microsoft Business Premium auch 50x 16,90€= 800€/Monat. Die muss er erst einmal haben.

Viele Firmen leben gerade im PC-Desktop/Windows/Office-Umfeld noch in der "Kaufen = Haben"-Welt. Früher wurde Windows mit dem PC "günstig" mitgeliefert und das Desktop-Office und die Server hat man halt alle paar Jahre mal gekauft. Wobei aus Jahre manchmal sogar ein Jahrzehnt wurde.

Aber diese Zeit ist vorbei und ich habe dazu auf Office kaufen oder mieten? schon viel geschrieben und auch Office 365 - Verkaufen liefert einige Informationen für den Vertrieb und Marketing. Auf dieser Hier geht es eher um eine technische Betrachtung.

Office 365 oder Microsoft 365

Wenn Sie Microsoft in den Jahren 2020/2021 folgen, dann gibt es nur noch "Microsoft 365". Das viele Jahre angebotene Office 365 wird nicht mehr angepriesen und das hat aus meiner Sicht zwei Gründe:

  • Vertriebssteuerung durch Provisionen
    Was ein Vertrieb verkauft, kann eine Firma durch Ziele und Provisionen steuern. Wenn Microsoft und Distribution einfach keine Provision für Office 365 Lizenzen mehr ausloben, dann werden andere Produkte bevorzugt.
  • Unterstützung bei der Einführung
    Eine zweite Steuerung zielt auf Dienstleister, die von Microsoft für gewisse Produkte eine Projekt-Unterstützung herhalten konnte, d.h. Microsoft bezahlt gewisse Leistungen (Schulungen, Assessment etc.) oder stellt Migrationsleistungen (FastTrack) primär für Schwerpunktprodukte bereit.
  • Sicherheit
    Aber auch der Aspekt eines "sicheren Betriebs" verbietet heute den Einsatz von "Office 365 E1/E3/E5", denn damit kann jeder Mitarbeiter mit Benutzername/Kennwort von überall auf jedem Endgerät auf die Daten zugreifen. Eine sinnvolle und in einigen Bereichen notwendige Beschränkung auf "verwaltete" Geräte ist erst möglich, wenn Sie z.B. einen Azure AD Plan1 oder EMS E3 hinzu lizenzieren. Wenn Sie dann noch auf Windows Enterprise als Desktop zurückgreifen wollen, um z.B. Bitlocker, Applocker, DirectAccess u.a. zu nutzen, dann brauchen Sie noch Windows E3 oder gleiche das Gesamtpaket "Microsoft E3".

Aus meiner technischen Sicht ist gerade der dritte Punkt der "Sicherheit" nicht zu vernachlässigen und wird in allen Gesprächen immer ausführlich dargelegt.

Upselling und Pakete

Das kleine Microsoft 365 E3 kostet ca. 32€ und nach oben gibt es noch die "E5 Security" und "E5 Compliance" Aufrüstungen als auch das "Rundum-Sorglos"-Paket Microsoft 365 E5. Aber auch nach unten gibt es z.B. Microsoft 365 F3-Paket, die für Frontline Worker entsprechende Bausteine enthalten. Aber auch 3rd Party Produkte haben weiterhin ihre Daseinsberechtigung. Allerdings ist es nicht immer einfach, diese Zusatzkosten zu argumentieren, wenn Sie aus anderen Gründen schon ein Microsoft 365 Paket kaufen werden. Das Problem kennen wir aber schon viele Jahre und ich gebe ihnen zwei Beispiele:

  • Exchange CAL und Server
    In der Anfangszeit von Office 365 gab es die Vertriebsvorgaben "Office 365 seats sold", d.h. der Vertrieb war angehalten, bevorzugt die Office 365 E3-Lizenzen zu verkaufen, selbst wenn der Kunde gar nicht Exchange Online nutzen wollte. Mit dem Wechsel von Exchange 2010/2013 auf 2016 musste der Kunde aber neue "Exchange CALs" kaufen und die waren im Office 365 E3-Paket ja mit enthalten. Anstatt eine CAL für 120€ zu kaufen, konnte man sie auch "mieten". Siehe auch Office kaufen oder mieten (CapEx vs OpEx)?
    Es war natürlich klar, dass im Folgejahr die Parole dann "Office 365 seats deployed" lautete. Ein Vertriebler musste für seine Zielerfüllung nachweisen, dass der Kunde auch Exchange Online nutzt. Wenn der Kunde schon Office 365 E3 gekauft hat, konnte der Vertrieb nun den Contoller (nicht die IT) süffisant fragen, warum der Kunde den noch lokale Exchange Server betreibt (Betriebskosten sind viel höher als reine Lizenzkosten), wo er doch 100 GB pro Benutzer in der Cloud ehr schon bezahlt.
  • Conditional Access und Intune
    Das zweite Beispiel zielt auf die Steuerung des Zugriffs ab, denn erst mit Azure AD P1 (ca. 5,60€/User/Monat) können Sie steuern, welche Endgeräte mit welchen Apps auf welche Dienste zugreifen können. Natürlich braucht man dazu auch eine Management-Plattform (MDM/Softwareverteilung) und natürlich ist Intune für wenige Geld einfach aktivierbar. Das EMS E3-Paket kostet nämlich nur ca. 1,50€ mehr und enthält für 7,60€ neben Azure AD P1 und Intune noch andere Komponenten. Da kann auch ein Controller schwach werden und die IT kommt in Erklärungsnot, warum ihre 3rd Party Softwareverteilung so viele Geld kostet.

Es gibt noch jede Menge weitere Beispiele aber das Vorgehen kennen Sie auch von Mobilfunk-Providern und Pay-TV-Anbietern und wird landläufig auch als "Upselling" beschrieben. Strafbar ist es nicht und gerade Vollkaufleute sollten ja professioneller mit solchen "Verführungen" umgehen als Privatkunden.

Was ist drin: Kosten und Nutzen

Letztlich müssen Sie sich anschauen, welche Komponenten im Microsoft 365-Paket für sie wann relevant sind. Ich würde hier nicht die Produkte von Microsoft durchlaufen, sondern ihre Anforderungen aufschlüsseln und dann bewerten nach

  • Was ist sie mir wert und bis wann muss ich sie umsetzen?
  • Habe ich eine 3rd Party Lösung und wann würde ich umstellen?

Daher habe ich eine vereinfachte Tabelle aufgestellt, die aber nicht alle Produkte der Microsoft 365 Pakete beleuchtet, sondern eher auf häufige Bausteine eingeht.

Thema Produkte Bewertung Umsetzung

Basisdienste Mail, Dateien, Meeting, Desktop Office Apps

Für diese Basisfunktionen reicht tatsächlich das Office 365 E3 Paket (ca. 20€) oder "Microsoft 365 Business Standard" (ca. 10€) aus. Allerdings ist das so, als würden Sie ihre eigenen Server mit einem Bein ins Internet stellen und darauf vertrauen, dass die Zugangsdaten (Username/Kennwort) sicher sind und die Server immer aktuell gepatched sind. In der Cloud haben Sie ja keine individuelle Firewall und eine Einschränkung auf Quell-IP-Adressen ist nicht pro Tenant im Basispaket möglich.

Sie können natürlich auch weiterhin lokale Exchange/Skype for Business/SharePoint-Server  betreiben und den Remote-Zugang selbst sicher bereitstellen. Auch alternative 3rd Party Produkte wie Nextcloud, OwnCloud, Jitsi, Big Blue Button etc. sind durchaus mit im Rennen und für einfachere Einsatzbereiche sind vielleicht auch LibreOffice/OpenOffice, FreeOffice etc. ausreichend.
  • O365 E3 und höher
  • OnPrem Server

Hoch

Sofort

Stärkere Authentifizierung

Es sollte sich herumgesprochen haben, dass Benutzername/Kennwort nicht ausreichend sicher ist, wenn Anwender außerhalb der abgesicherten Firmenumgebung arbeiten. Nicht erst durch Covid gibt es Homeoffice und Cloud-Nutzung. Früher haben Sie z.B. die Anwender nur über ein VPN zugelassen und das VPN hat neben Benutzername/Kennwort z.B. auch ein Zertifikat oder ein "RSA-Token" o.ä. genutzt.

In der Cloud können Sie kostenfrei die Funktion "Basic MFA" nutzen aber wenn Sie die Anmeldung z.B. nach Geräten, Standorten o.ä. steuern wollen, müssen Sie aufwändig einen lokalen ADFS-Server betreiben oder zumindest AzureAD P1 lizenzieren.
  • Azure AD P1
  • ADFS
  • 3rd PArty

Hoch

Sofort

Notebook/Homeoffice-Absicherung

Nicht erst seit Covid und Homeoffice arbeiten Mitarbeiter außerhalb ihres Firmengebäude mit mobilen Geräten. Dies bringt neue Herausforderungen an die Absicherung dieser Systeme mit, sei es bei Patch-Management und Softwareverteilung als auch beim Schutz der Geräte gegen Fremdzugriff und Angriffe. Gleich mehrere Komponenten greifen hier ineinander:

  • Secure Boot und Festplattenverschlüsselung
    Sie müssen sicherstellen, dass ein Dieb nicht einfach "offline" an die auf dem System gespeicherte Daten rankommt. Das kann Windows Enterprise Bitlocker oder ein 3rd Party-Programm sein.
  • Malware/Viren
    Ein klassischer Virenschutz ist unerlässlich und der "Windows Defender" als kostenfreie Option schlägt sich in den letzten Jahren recht gut, so dass 3rd Party Produkte es immer schwerer haben. Beim zentralen Management und mit Zusatzfunktionen (Firewall) können diese punkten, wobei auch Microsoft hier mit "Defender for Endpoint" natürlich auch ein Produkt mittlerweile integriert und die Funktion Applocker und SmartScreen zumindest bei der Windows Enterprise-Version helfen.
  • Geräte/Device-Schutz
    Als Firma können Sie auch die Nutzung fremder USB-Geräte z.B. durch DeviceLock oder 3rd Party Produkte steuern.

Das Thema "Endpoint Security" ist sehr wichtig und wenn Sie hier nicht gut aufgestellt sind, dann sollten Sie schnellstens aktiv werden. Allerdings kann es durchaus sein, dass Sie ihre 3rd Party Lösung noch weiter betreiben aber nicht verlängern, weil in Microsoft 365 eine vergleichbare Funktion enthalten ist.
  • Windows E3
  • M365 E3

Hoch

zu klären

Software-Verteilung/Inventory

Die Inventarisierung von Clients und die Verteilung von Software und Updates sollte schon lange Standard sein. Aber nicht jede Firma hat eine MDM-Lösung für Mobilgeräte und auch das Softwaremanagement wird oft stiefmütterlich behandelt. Dies ist umso wahrscheinlicher, je kleiner eine Firma ist. Da könnte ein Management aus der Cloud mit Intune gerade richtig kommen. Die Geräte werden automatisch im AzureAD je nach Vorgaben als "Compliant" markiert, was mit Conditional Access genutzt werden kann.

Wer daher an der Schwelle steht, sein bestehendes 3rd Party Systeme auch für Home Office und neue mobile Endgeräte zu ertüchtigen, könnte mit Intune eine interessante Lösung nutzen, die nicht viel mehr Kostet, wenn Sie Azure AD P1 sowieso schon "benötigen" und der Schritt zu EMS E3 nicht mehr so hoch ist.
  • EMS E3
  • M365 E3

zu klären

zu klären

Web Application Proxy

Es gibt sicherlich Webdienste, die Sie auch weiter lokal oder in Azure betreiben und entsprechend "sicher" veröffentlichen wollen. Die meisten Kunden haben oder hatten bislang einen Reverse Proxy-Server mit optionaler Preauthentication eingesetzt. Früher war das ein ISA-Server oder TMG 2010 und mit dem Ende dieser Produktlinie dann eben 3rd Party Produkte von CheckPoint, F5, Citrix, Kemp o.ä. Mit Azure AD P1 können Sie aber auch den Azure Reverse Proxy nutzen, der ebenfalls eine Preauthentication als Schutz beinhaltet und mit Conditional Access zusammen arbeitet. Das kann speziell für kleinere Firmen eine sehr interessante Option zur Absicherung eines externen Zugriffs auf interne Webserver seins
  • AzureADP1
  • 3rdParty

zu klären

zu klären

Weitere Punkte

Addieren Sie gerne eigene Anforderungen und wie diese aktuell zu welchem Grad und für welche Kosten erfüllt werden. Überlegen Sie dann, ob es einen Baustein im Microsoft 365-Lizenzpaket gibt und welche Kosten dafür entstehen.
  • zu klären

zu klären

zu klären

Diese Liste ist nur ein Anfang und die Anforderungen sollten Sie individuell weiter ausarbeiten. Ich habe hier aber keine Kostenkalkulation angestellt, denn diese Aufgabe kann ich ihnen nicht abnehmen. Die Kosten für Microsoft 365 können Sie auf der Webseite grob ermitteln. Aber wir wissen alle, dass dies nur ein Bruchteil der Kosten sind, denn die Planung, die Konfiguration, die Einführung und der Betrieb einer neuen Lösung wird Microsoft ihnen nicht abnehmen. Daher erwarte ich auch nicht, dass durch die Cloud vermehrt lokale Arbeitsplätze abgebaut werden können, sondern eher die heutigen Administratoren sich mit zusätzlichen Tätigkeiten beschäftigen und von Routineaufgaben (Server aktualisieren, Patchen, umbauen etc.) entlastet werden.

Nur soviel: O365 ohne Conditional Access ist wie das Basismodell eines Autos ohne Airbag/ABS/ASR/Gurt/Zentralverriegelung zu verkaufen. Im Straßenverkehr hat der Gesetzgeber entsprechende Vorschriften erlassen, z.B. Gurtpflicht. Das ist bei der IT ist vieles noch freiwillig oder über Branchenvorgaben z.B. Automotive TISAX (https://de.wikipedia.org/wiki/TISAX) gefordert.

Ein guter Geschäftsführer sollte nicht nur sein primäres Geschäft im Blick haben, sondern auch die Augen nicht vor den Risiken verschließen. Die IT ist immer wichtiger geworden und ohne Verbindungen zu Lieferanten und Kunden kann heute kaum noch eine Firma existieren. Dieses Zugänge sind aber sowohl Einfallstore von anderen betroffenen Firmen als auch ein Risko für ihre Partner, wenn Sie sich etwas "einfangen".

Wenn Sie bei der Einschätzung ihrer aktuellen Sicherheitslage Hilfe brauchen oder über Microsoft 365 E3/E5 in der ein oder anderen Weise nachdenken, dann könnten wir ihnen vielleicht als Diskussionspartner oder unabhängige Ratgeber helfen. Net at Work und MSXFAQ

Weitere Links