MSP-Tipps und -Lösungen für Client-Standardisierung und -Effizienz
Einen MSP (Managed Service Provider) zu betreiben, ist eine Herausforderung. Die Kunden sind technologisch versierter und haben oft genaue Vorstellungen, wie die Technologie zum Geschäftserfolg beitragen soll. Gleichzeitig werden die Angriffe von Cyberkriminellen immer häufiger und schwerwiegender. Zudem stehen die Technologielösungen, die angeboten werden, auf wackeligen Beinen, da die Aktualisierung der Small Business Server-Versionen nicht mehr im gewohnten Rhythmus von 2 bis 4 Jahren erfolgt, sondern sich Microsoft 365 täglich verändert.
Außerdem hat jeder Kunde einzigartige Bedürfnisse und Anforderungen. Der Schlüssel zur Skalierung eines MSP ist jedoch die Standardisierung, nicht die maßgeschneiderte Bereitstellung einer individuellen Lösung für jeden Kunden. Das sind die Probleme, die wir in diesem Artikel behandeln werden. Dieses Problem ist nicht neu, und es gibt bereits einige Lösungen.
Microsoft 365 Lighthouse
Microsoft bietet Microsoft 365 Lighthouse an, das nicht mit Azure Lighthouse verwechselt werden sollte, da es sich um einen völlig anderen Dienst handelt. Dieser Lighthouse-Dienst wird ständig weiterentwickelt und bietet eine zentralisierte Kontoverwaltung, sodass Helpdesk-Mitarbeiter nicht einzelne M365-Tenant-Portale öffnen müssen, um beispielsweise das Passwort eines Benutzers zurückzusetzen. Es gibt einige Optionen für das Gerätemanagement und einige zentralisierte Visualisierungen der App-Performance und des Datenschutzes, aber es funktioniert nur dann wirklich gut, wenn das gesamte Microsoft Security-Paket für eingesetzt wird. Wenn Dienste von Drittanbietern für Dinge wie die E-Mail-Hygiene verwendet werden, wird dies in Lighthouse nicht angezeigt.
Einschränkung: Lighthouse verwaltet eine begrenzte Anzahl von Einstellungen und deckt viele Sicherheits- und Konfigurationsaspekte der Microsoft 365-Dienste nicht ab.
Microsoft 365 DSC
Dann gibt es noch Microsoft 365 DSC – dieses Open-Source-Projekt gibt es schon seit einigen Jahren, es ist aber kein offizielles Projekt von Microsoft. Die Idee ist, die Konfiguration eines Tenants im Code darzustellen, indem man die Desired State Configuration (DSC) von PowerShell verwendet und dann in der Lage ist, Konfigurationseinstellungen auf einen oder mehrere Tenants anzuwenden.
Einschränkung: Beruht vollständig auf Skripten und Kodierung, was für den durchschnittlichen MSP-Techniker eine Herausforderung sein kann. Und der Rückgriff auf intern entwickelte Skripte kann zu anfälligen, nicht dokumentierten Prozessen führen.
Delegierte Administratorrechte (DAP)
Bei einem Überblick bisheriger Angebote müssen wir auch delegierte Administratorrechte (DAP) erwähnen, Microsofts erste Umsetzung eines Konzepts, das MSP-Berechtigungen benötigt, um in den Tenants seiner Kunden zu arbeiten. Das Problem mit DAP war zweierlei: Das Hinzufügen und Entfernen von Technikern aus den Zugriffsgruppen war sehr mühsam, zumal nicht jeder Techniker Zugriff auf jeden Kunden haben sollte. Das größere Problem war jedoch der Umfang des Zugriffs: DAP gewährte den MSPs viel zu weitreichende Berechtigungen, was ein großes Risiko darstellte, wenn der MSP zum Opfer eines Phishingangriffs wurde.
Glücklicherweise hat Microsoft dieses Problem mit der neuen Methode, granulare delegierte Administratorrechte (GDAP), behoben, bei der die genaue Berechtigungsstufe kontrolliert werden kann und bestimmten Technikern problemlos Zugang zu verschiedenen Kunden gewährt werden kann.
Einschränkung: Ein Problem mit GDAP besteht darin, dass viele andere Microsoft-Dienste diese Funktion bei ihrer Markteinführung nicht unterstützen. Oft kann es Monate oder sogar Jahre dauern, bis die Unterstützung bereitsteht, was zu umständlichen Umgehungslösungen führt. Außerdem ist GDAP für den MSP immer noch mit einem gewissen Mehraufwand verbunden, sodass ein einfacherer Ansatz, der dennoch gute Sicherheit bietet, besser wäre.
Die MDM-Antwort
Was das Gerätemanagement betrifft, so ist Microsofts Antwort seit vielen Jahren Intune, ein cloudbasierter Mobile Device Management (MDM)-Dienst, der Windows-Client, MacOS, iOS/iPadOS und Android verwaltet. Ich vermute, dass viele MSPs, die versucht haben, dies als Methode für die Verwaltung von Sicherheit und Konfiguration für viele Kunden zu nutzen, es als schwierig empfunden haben. Intune ist sehr leistungsfähig, aber auch sehr komplex und nicht wirklich auf den Bereich der kleineren Unternehmen ausgerichtet, der von MSPs betreut wird.
Einschränkung: Microsoft Intune ist ein leistungsfähiger MDM-Dienst (Mobile Device Management), aber seine Komplexität und der Fokus auf einen einzelnen Mandanten machen ihn für MSPs, die mehrere Kunden verwalten, schwierig. Auch die Lizenzierungsstruktur und die Komplexität von Intune können überwältigend sein. Es gibt Intune Basic, Premium P2 und die Intune Suite. Außerdem kann man bestimmte Add-ons einzeln kaufen, anstatt sie als Teil von P2 oder der Intune Suite zu erwerben.
Aus diesem Grund ist Intune nicht wirklich eine Lösung für die effiziente und benutzerfreundliche Verwaltung von Sicherheits- und Konfigurationsgrundlagen für alle Kunden.
Partner Center
Im Einklang mit Microsofts Tradition, mehrere Portale für unterschiedliche Funktionen anzubieten, stellt das Partner Center eine Möglichkeit dar, Kunden zu verwalten und ihre Abrechnung zu organisieren, abhängig von den erworbenen Lizenzen.
Einschränkung: Je nach Partnerstufe ist der Zugriff auf Anreize, Empfehlungen und wertvolle Einblicke möglich. Allerdings kann die Konfiguration der Tenants der Kunden nicht direkt über das Partner Center verwaltet werden.
Eine Lösung, die MSPs bei der Standardisierung und Skalierung unterstützt
Der 365 Multi-Tenant-Manager wurde entwickelt, um diese Einschränkungen zu überwinden, indem er eine benutzerfreundliche Oberfläche für die Verwaltung von Konfigurationen über mehrere M365-Tenants hinweg bietet. Es ist das perfekte Tool für MSPs auf ihrem Weg zur Automatisierung. Dank der tiefen Integration in die Microsoft-Partnerumgebung können MSPs mit dem 365 Multi-Tenant-Manager bis zu 80 % ihrer Zeit einsparen, vom Kunden-Onboarding bis zum Erstellen von Standardkonfiguration.
Wichtigste Funktionen:
- automatisiert das Onboarding durch die Integration des Microsoft Partner Centers
- bietet ein zentrales Dashboard für die Verwaltung von Kundeneinstellungen
- unterstützt granulare Zugriffskontrolle und arbeitet mit GDAP für präzises Berechtigungsmanagement
- detaillierte Nachverfolgung und Verwaltung aller Einstellungen, um sicherzustellen, dass nichts übersehen wird
- einfache Anwendung vorkonfigurierter Sicherheitseinstellungen auf mehrere Tenants und Möglichkeit zur Erstellung benutzerdefinierter Einstellungen für spezielle Anforderungen
- bietet Echtzeitüberwachung und -berichterstattung, um die Tenant-Compliance mit festgelegten MSP-Richtlinien zu kontrollieren und Konfigurationsabweichungen zu erkennen
Fazit
MSPs haben viele Hürden zu überwinden, wenn sie sicherstellen wollen, dass ihre begrenzten technischen Ressourcen (Mitarbeiter, Verwaltungsressourcen, Anwendungen) alle IT-Anforderungen ihrer Kunden effizient und kostengünstig erfüllen. Und während viele Microsoft-Tools und -Dienste kleine Teile der erforderlichen technischen Standardisierung und Automatisierung übernehmen können, kann keines von ihnen dies für alle Kunden verwalten. Der 365 Multi-Tenant-Manager bietet eine einheitliche Lösung zur Rationalisierung dieser Prozesse und gewährleistet, dass MSPs effizient und sicher arbeiten können.