Für die Zusammenarbeit mit externen Personen (Gäste) sollten Organisationen die Lizenzierungsmodelle 1:5 und Monthly Active Users (MAU) kennen. Im Moment gibt es mit Azure AD B2B Collaboration und Azure AD B2C zwei Arten von externen Konten. In den nächsten Wochen kommt mit Azure AD B2B Direct Connect eine dritte Art hinzu.
Für die Zusammenarbeit mit externen Personen gibt es in den Microsoft Diensten noch heute das 1:5 Lizenzmodell. 1:5 bedeutet 1 Azure AD Premium Lizenz berechtigt eine Organisation zur Einladung von je 5 externen Personen. Alle Azure AD Premium Lizenz summiert es und daraus ergibt sich die theoretisch mögliche Anzahl an externen Konten.
Im September 2020 hat Microsoft ein angepasstes Modell für External Identities vorgestellt: Monthly Active Users (MAU). Das MAU Modell bedeutet jeder Tenant mit Azure AD Premium inkludiert pro Monat 50.000 aktive und passive Anmeldungen von externen Konten.
- Die Anzahl an Azure AD Premium Lizenzen wird nicht mehr gezählt.
- Es gibt keinen Unterschied ob Azure AD Premium P1 oder P2.
Microsoft ging mit der Änderung weg von der Berechnung nach Lizenzen, zu einem Modell bei dem standardmässig eine definierte Zahl an Anmeldungen von externen Konten inkludiert ist. Ausserdem wird kommuniziert, wie sich das Modell bei einer höheren Zahl verhält.
Sowohl für 1:5 und MAU Modell stellen sich immer wieder ähnliche Fragen.
- Wie wird ein aktives Konto im MAU Modell gezählt?
- Was sind passive Anmeldungen und wie werden diese gezählt?
- Welche externen Konten zählen für das 1:5 oder MAU Modell?
- Welche Tenants sind vom MAU Modell betroffen?
- Wie kann von 1:5 auf MAU gewechselt werden?
- 1:5 oder MAU Modell für Gaste in weiteren Office 365 Diensten.
- Wo finde ich eine Auswertung über Monthly Active Users?
Generell ist es nicht einfach auf manche Fragen Antworten zu finden. Da sich ein Support bei Fragen zu dem Thema nie festlegen will sind die Fragen über Rückmeldungen vom Support, Dokumentationen und im besten Wissen beantwortet.
1) Wie wird ein aktives Konto im MAU Modell gezählt?
Laut Dokumentation zählt die aktive und passive Anmeldung von einem externen Konto als eine Anmeldung. Meldet sich das Konto mehrmals im Monat an zählt es trotzdem nur als eine Anmeldung.
A monthly active user (MAU) is a unique user that performs an authentication within a given month. A user that authenticates multiple times within a given month is counted as one MAU. Customers are not charged for a MAU’s subsequent authentications during the month, nor for inactive users.
Sind die 50.000 MAUs ausgeschöpft verrechnet Microsoft die weiteren Anmeldungen über eine Azure Subscription zu einem definierten Preis. Bei der Berechnung unterscheidet es, ob Azure AD Premium P1 oder P2 aktiv ist. Für Zusatzoptionen wie MFA SMS an externe Konten fallen Zusatzgebühren an.
2) Was sind passive Anmeldungen und wie werden diese gezählt?
In den Sign-in Logs von Azure AD zeigt es die Abschnitte für Interactive und Non-interactive Sign-ins, und jeweils Filter für den User Type Guest.
Aktive Konten sind in Interactive gelistet, passive in Non-interactive. Die Anmeldungen zählt es wie in Abschnitt 1 vermerkt. In den FAQs beschreibt es Microsoft mit Details.
Authentications may include:
– Active, interactive log-in by the user;
– Passive, non-interactive log-in (such as single sign-on, sign-up, sign-in, token refresh, and password change)
Additional operations that are counted as an authentication include: log-in to a portal; redeeming an invitation; authenticating to perform an admin action; and when an application exchanges a refresh token for a new identity token or access token for that user.
3) Welche externen Konten zählen für das 1:5 oder MAU Modell?
Externe Personen mit einem Azure AD B2B oder Azure AD B2C Konto.
Bei Azure AD B2B wird zukünftig zwischen zwei Arten unterschieden.
Azure AD B2B Collaboration, werden für 1:5 oder MAU gezählt.
Azure AD B2B Direct Connect, werden für 1:5 oder MAU nicht gezählt.
- Azure AD B2B Collaboration
Azure AD B2B Konten sind alle Konten im internen Azure AD mit dem User Type “Guest” und werden in Microsoft Dokumentationen auch als “B2B Collaboration User” benannt.
Laut Dokumentation zählt für die Bewertung zwischen 1:5 oder MAU der Status von User Type. In verschiedenen Bedingungen (siehe Abschnitt 6) sind Organisationen aber berechtigt mit externen Personen ohne weitere Lizenzkosten zusammenzuarbeiten. Ob es bei der Abrechnung berücksichtigt wird, ist mir nicht bekannt. In den Sign-in Logs von Azure AD wird in Konten teilweise vermerkt welcher Typ es ist.
- Azure AD B2B Direct Connect (Preview)
Azure AD B2B Direct Connect Konten kann es in den nächsten Wochen geben. Microsoft hat Shared Channels für Teams angekündigt. Konten in Shared Channels fallen unter Azure AD B2B Direct Connect. Solche Konten sind in der internen Organisation nicht als Konto vom Typ Guest erfasst. Die Konten verbleiben in Verwaltung der externen Organisation und zählen daher nicht zum 1:5 oder MAU Modell.
- Azure AD B2C Konten
Azure AD B2C Konten sind Konten in einem vom internen Azure AD getrennten Verzeichnis. Ein zweites Azure AD das keine Verbindung zum AD der Organisation hat, zum Beispiel für Applikationen mit Daten von Endkunden. Die Konten von Endkunden sind in der Konfiguration in Azure AD B2C abgelegt. In Azure kann eine Azure AD B2C Instanz erstellt werden.
Bei Interesse über Unterschiede von Azure AD B2B zu B2C gibt es hier eine gute Zusammenfassung.
4) Welche Tenants sind vom MAU Modell betroffen?
Laut Microsoft sollten Organisationen mit Azure AD Premium auf das MAU Modell wechseln. Dabei muss beachtet werden, MAU ist von einer Azure Subscription und Azure AD Premium Lizenzen abhängig. Ohne Azure Subscription oder mit Azure AD Free/Basic ist keine Verknüpfung mit MAU möglich. Ohne Azure Subscription setzt die Organisation weiterhin auf das 1:5 Modell.
Laut Support sind Organisationen mit Azure AD Free nicht für das 1:5 Modell berechtigt. In der Theorie fallen solche Organisationen in die Ausnahmen aus Abschnitt 6. Weitere Informationen über das Verhalten bei Azure AD Free möchte (oder kann) ein Support nicht geben.
Welches Modell Azure AD aktuell einsetzt überprüfst du in Azure AD > External Identities > Link subscription. Wurde bisher keine Subscription verlinkt ist das 1:5 Modell aktiv, mit Verlinkung das MAU Modell.
5) Wie kann von 1:5 auf MAU gewechselt werden?
Hat die Organisation eine aktive Azure Subscription öffne Azure AD > External Identities > Link subscription, markiere deinen Tenant und wähle “Link subscription”. Folge den Schritten, um die betroffene Azure Subscription auszuwählen und bestätige die Verlinkung. Einmal verlinkt gibt es später keinen Weg zurück zum 1:5 Modell. In der Hilfe findest du weitere Informationen zur Verlinkung.
6) 1:5 oder MAU Modell für Gäste in weiteren Office 365 Diensten.
Für Informationen wie Microsoft externe Konten pro Dienst bewertet rate ich die Bedingungen pro Produkt zu lesen. In vielen Bedingungen sind Absätze über External Users inkludiert. Generell ist es schwierig nachvollziehbar, ob Microsoft die Konten in die Abrechnung inkludiert, oder exkludiert.
- SharePoint Online (inkl. OneDrive for Business und Office im Web)
Aus SharePoint Sicht war in der Vergangenheit das Argument Gäste benötigen keine Lizenz. Laut Nutzungsbedingungen ist es weiterhin der Fall, sofern ein Inhalt in SharePoint oder OneDrive direkt geteilt wird. Zitat laut den aktuellen Bedingungen von SharePoint Online (und OneDrive for Business).
External Users invited to site collections via Share-by-Mail functionality do not need User SLs with SharePoint Online K1, Plan 1 and Plan 2.
Wird ein Gast über External Users in Azure AD eingeladen und dann in SharePoint berechtigt zählt es als ein Azure AD B2B Konto und fällt in das 1:5 oder MAU Modell. Hier gibt es jedoch einen Konflikt. Unabhängig wo die Person eingeladen wird (in SharePoint direkt oder in Azure AD External Users), Azure AD erstellt immer ein Konto vom Typ “Guest”. Wie Microsoft unterscheidet, ob eine externe Person via “Share-by-Mail” oder External User Invitation eingeladen wurde konnte mir ein Support nicht beantworten. Zitat laut den aktuellen Bedingungen von Azure AD.
For each User SL (or equivalent Subscription License Suite) Customer assigns to a user, Customer may also permit up to five additional External Users to access the corresponding Azure Active Directory service level. This option is not available to new customers nor customers using (or who have used) the service under a Monthly Active User count. Only External Users can use the Azure Active Directory External Identities pricing based on Monthly Active User count.
- Microsoft Teams
Für Gäste in Teams sind ebenfalls Ausnahmen vorgesehen. Im Unterschied zu SharePoint wird in den Bedingungen erwähnt Gäste mit einer External Identity sind theoretisch von 1:5 und MAU ausgenommen. Überprüfen konnte ich das nicht. Zitat laut den aktuellen Bedingungen von Teams.
User SLs are not required for any user to join meetings, webinars, and live events hosted by licensed users. User SLs are also not required for External Users to participate in Teams channels as a Guest with an Azure AD External Identity.
7) Wo finde ich eine Auswertung über Monthly Active Users?
In der verlinkten Azure Subscription aus Abschnitt 5 wird eine neue Ressource für “Guest Usage” erstellt.
Aus Mangel an externen Usern ist es mir leider nur limitiert möglich eine Auswertung zu demonstrieren. Azure zeigt die üblichen monatlichen Kosten. In meinem Fall keine.
