CSP ist für alle da!

Wussten Sie, dass es für diverse Microsoft Abkürzungen der letzten Jahre sogar online Nachschlagwerke gibt?

In den «On Premises Zeiten»,  Anfang der 90er Jahre, da gab es «Microsoft Office» und «Microsoft Backoffice». Recht überschaubar und einfach, wohl auch in der Lizenzierung nicht so kompliziert.

Dann gab es bekannteres und weniger bekanntes zum Thema Lizenzen, wie das EA, SPLA, OVS, OVL, MPSA, SA, OEM, CAL, EDU usw. Irgendwie gab es kaum jemanden der den absoluten Durchblick hatte, schliesslich änderte es sich auch immer wieder. Mit dem Einzug der Cloud, insbesondere mit Office 365 und Azure, hat sich das glücklicherweise etwas geändert und die IT Welt ist ein kleines Bisschen besser und einfacher geworden, zumindest was die Lizenzen angeht.

Alles wird gut, alles ist CSP

Mit den Cloudlösungen von Microsoft hat dann auch der CSP seinen Weg in die Unternehmen gefunden. CSP steht für «Cloud Solution Provider» und wird vom Microsoft Partner Netzwerk getragen, respektive von den Microsoft Partnern, welche seit Jahrzehnten Lösungen implementieren und Microsoft Produkte verkaufen.

Die Idee ist bestechend einfach. Jeder Microsoft Partner kann sich als CSP registrieren. Dabei gibt es zwei grundlegende Möglichkeiten als CSP zu agieren:

  1. Direkte CSP Partner: Dies sind Partner, welche direkt Lizenzen bei Microsoft kaufen und über eine eigene Cloud-Plattform («Marketplace») an die Kunden vertreiben. Die Anforderungen für diese Partner sind relativ hoch was Umsatz, Plattformmöglichkeiten und sonstige Anforderungen angeht.
  2. Indirekte CSP Partner: Dies sind Partner, welche auch Lizenzen an Kunden verkaufen, diese jedoch über einen «Distributor» beziehen und dessen Plattform nutzen, um indirekt Software von Microsoft zu vertreiben. (Anm. wir sind einer dieser indirekten Partner 😊).

Die Idee dahinter ist eigentlich, dass der Kunde einerseits alle Dienstleistungen von seinem Partner beziehen kann aber auch gleich Microsoft Lizenzen bei diesem erwerben kann. So quasi alles aus einer Hand, insofern eine gute Idee.

Wie funktioniert das mit dem CSP?

Die meisten Mittelständler und kleineren Unternehmen kaufen ihre Office 365 Lizenzen oder auch Azure Guthaben über ihre Kreditkarte. Im Falle des CSP fällt die Kreditkarte weg (erstaunlicherweise das Argument mit dem meisten Gewicht, nicht mal der Preis) und die Unternehmen erhalten von ihrem CSP Partner eine tagesgenaue Rechnung, sei es monatlich nach effektiven Zahlen oder jährlich im voraus mit Abrechnung Ende Jahr, über ihre effektiv genutzten Lizenzen oder Subscriptions auf Azure.

Insofern wird die Transparenz erhöht, die Kundenbindung verbessert und je nach Ausprägung, kann der Partner das Lizenzmanagement als Service komplett übernehmen. Die Distributoren haben die Marktplätze auch so gestaltet, dass weitere Anbieter ihre Lösungen in einer ähnlichen Art und Weise vertreiben können, sprich es ist z.B. möglich, dem Kunden im «Bundle» mit Office 365 auch Drittprodukte (z.B eine Backup Lösung oder ähnliches wie Skykick) oder auch eigene Services (Helpdesk, Support, Monitoring etc.) pro Benutzer/Device zu verkaufen.

Viele Kunden denken, ein Lizenzerwerb von Office 365 Lizenzen über einen CSP sei teurer, als direkt mit der Kreditkarte Lizenzen zu erwerben. Dies muss nicht zwingend sein, in vielen Fällen ist es für Kunden sogar finanziell und administrativ attraktiver, die Lizenzen über einen CSP Partner zu beziehen. Es spielt auch keine Rolle wie gross der CSP Anbieter ist, kleine und grosse haben die gleichen Möglichkeiten, zumindest bei den Preisen.

Jeder CSP Partner gestaltet die Vertragsbedingungen, Zahlungsmodalitäten und Ausstiegsmöglichkeiten anders. Daher immer gut nachfragen was die Kündigungsmöglichkeiten sind bevor ein Vertrag abgeschlossen wird. Die rechtliche Würdigung erspare ich mir, so ganz einfach dürfte das nicht sein.

Wir z.B. binden unsere Kunden nicht, diese können jederzeit den Anbieter wechseln und so bleibt der Grundgedanke der flexiblen Lizenzierung mit SAAS Lösungen erhalten.

Wie ist das technisch gelöst?

Grundsätzlich werden im Marktplatz des Anbieters die Produkte, welche der Kunde beziehen kann, vom CSP Partner bereitgestellt und mit den vereinbarten Preisen angeboten. Der Kunde kann die Lizenzen beim Partner «bestellen» oder in vielen Fällen mit einem eigenen Benutzer auf dem Marktplatz kaufen (oder zurückgeben). Die dazugehörige Lizenz wird dann im Tenant des Kunden provisioniert und stehe wie gewohnt als Lizenz zur Verfügung. Bei Azure ist es ähnlich, da wird einfach die Subscription mit dem CSP verbunden.

Damit der CSP technisch funktioniert, muss der Kunde den CSP als Partner in Office 365 «hinzufügen». Dies passiert normalerweise über einen Link, den der Kunde vom CSP Partner direkt erhält. Wird dieser Link von einem Administrator des Kunden bestätigt, dann wird der CSP im Office 365 Admin Portal unter den Partnerbeziehungen hinzugefügt.

Delegated Admin oder nicht, dass ist hier die Frage.

Wird ein CSP in Office 365 hinzugefügt oder auch der eigentliche Microsoft Partner im Falle des indirekten Bezugs, so werden diese AUTOMATISCH zu globalen Administratoren. Ein Fakt der vielen Kunden nicht bekannt ist. Sie finden die Angaben zu ihren Partnerschaften wie folgt (siehe Screenshot unten).

Sollte ein CSP oder ein anderer Partner noch als «Admin» hinzugefügt worden sein und sie möchten das nicht mehr, dann klicken Sie auf den jeweiligen Partner, in diesem finden Sie eine Option den «Admin» zu entfernen. Falls noch „alte“ CSP Partner drin sind, so müssen diese direkt kontaktiert werden oder über Microsoft entfernt werden.

Keine Angst, nur für den Kauf von Lizenzen braucht niemand Administrator zu sein, d.h. sie können diesen «Delegated Admin» Status ohne Probleme entfernen, wenn Sie nicht möchten, dass der IT Partnerauch  Administrator in ihrem Kunden Tenant ist.

Helpdesk Agents versus Admin Agents

Sollten Sie als Kunde ihrem Partner vertrauen, so kann jeder Partner der «Delegated Admin» ist direkt auf den Kunden Tenant zugreifen, er benötigt somit keinen «eigenen» Global Admin Account im Kunden Tenant, er nutzt seinen eigenen Azure AD Benutzer seiner eigenen Firma. Fragen Sie also beim Partner nach, welche Mitarbeiter genau zugreifen dürfen als Administrator 😉.

Heikle Sache

Im Azure AD des Partners (nicht des Kunden, effektiv beim IT Partner) bestehen per Default zwei AD Gruppen. Die sogenannten «Helpdesk Agents» und die «Admin Agents».

WICHTIG: Alle Mitarbeiter des Partners, welche einer der beiden Gruppen angehören, sind automatisch «Helpdesk Agents» oder im zweiten Fall  «Globale Administratoren».

Ist dies der Fall, dann trifft diese Regelung für ALLE Kunden Tenants zu, die der Partner als «Delegated Admin» hinzugefügt hat.

Dem einen oder anderen Partner ist dies nicht bewusst und somit haben unter Umständen Mitarbeiter des Partners Zugriff auf Kunden Tenants, die sie nicht haben sollten. Leider ist es nicht möglich, dies pro Kundenbeziehung festzulegen, es gilt «alles» oder «nichts». Daher raten wir, diese Gruppen sehr sorgfältig zu verwenden, respektive den Partner zu fragen wer in den Gruppen enthalten ist.

Für Fragen zum CSP stehen wir gerne zur Verfügung. Auch bieten wir gerne CSP Lizenzen für Sie an.