Microsoft

Fallstricke bei der Lizenzierung von Microsoft Online Services

Yannic Röcken

Yannic Röcken

6 min read
Fallstricke bei der Lizenzierung von Microsoft Online Services
Photo by Microsoft

Im Alltag als Mitglied des Microsoft AI Cloud Partner Program wird eines sehr schnell deutlich: Egal ob bei Lizenz-Analyse oder bei der Begleitung von Kunden auf deren Cloud Adoption Journey – ein Thema zieht sich wie ein roter Faden durch nahezu jedes Projekt: Die fehlerhafte oder unzureichende Lizenzierung von Microsoft Online Services.

In vielen Fällen liegt die Problematik nicht nur in kleinen Ungenauigkeiten. Vielmehr werden Dienste entgegen der offiziellen Microsoft-Empfehlungen eingesetzt – und manchmal sogar in direktem Widerspruch zur Microsoft Online Services Acceptable Use Policy. Das kann zu schwerwiegenden Folgen führen, die im schlimmsten Fall mit Benachrichtigungsschreiben, großen finanziellen Auswirkungen, Audits durch Microsoft & Partnerunternehmen oder – bei fortlaufender Missachtung – zur Aussetzung der Online Services führen können.

Dabei ist die Suspendierung nur eine von mehreren Maßnahmen, die Microsoft ergreifen kann; sie wird nur im notwendigen Umfang durchgeführt und – sofern keine sofortige Handlung erforderlich ist – mit angemessener Vorlaufzeit angekündigt, die nach unserem Wissen in der Regel 90 Tage beträgt. Entsprechend Microsofts Data Handling Standard Policy würde dies aller Wahrscheinlichkeit nach als eine "Active Deletion" eingestuft werden.

Um das zu vermeiden, braucht es ein fundiertes Verständnis dafür, wie Microsoft Online Services korrekt lizenziert werden müssen – und welche Stolperfallen es dabei zu vermeiden gilt.

Was sind Microsoft Online Services überhaupt?

Bevor wir uns mit den konkreten Lizenzanforderungen befassen, lohnt ein Blick auf die Definition dessen, was Microsoft überhaupt unter „Online Services“ versteht.

Dazu zählen unter anderem:

  • Microsoft 365 (Office 365)
  • Microsoft Dynamics 365
  • GitHub (Enterprise-Angebote)
  • Windows 365 (Cloud-PCs)
  • Weitere spezialisierte Cloud-Dienste von Microsoft

Microsoft selbst definiert Online Services folgendermaßen:

Online Service means a Microsoft-hosted service to which Customer subscribes under a Microsoft volume licensing agreement, including any service identified in the Online Services section of the Product Terms. It does not include software and services provided under separate license terms (such as via gallery, marketplace, console, or dialog). [1]

Im Rahmen dieses Artikels beschränken wir uns jedoch auf die Microsoft 365 Commercial – also die Lizenzierung im Unternehmenskontext. Verträge aus dem Education-, Academic- oder Government-Bereich sind nicht Teil dieser Betrachtung, da hier separate Vorgaben und Lizenzwege gelten.

Unterscheidung zwischen Core Online Services und Zusatzdienste

Microsoft differenziert in seinen Product Terms zwischen sogenannten Core Online Services und weiteren, ergänzenden Diensten. Diese Unterscheidung ist wichtig, weil viele Lizenzpflichten explizit für die Core Services gelten und manche Dienste – insbesondere sogenannte Tenant-Level Services – unabhängig von den eigentlich zugewiesenen Lizenzen aktiviert sind.

Was sind Tenant-Level Services (TLS)?

Ein Teil der Online Services bestehenden aus den Tenant-Level Services. Dabei handelt es sich um Dienste, die einmalig pro Tenant aktiviert werden – und danach für alle Benutzer im Tenant (zumindest potenziell) zur Verfügung stehen.

Diese Aktivierung kann sowohl durch die Zuweisung bestimmter Lizenzen als auch manuell ausgelöst werden – etwa über PowerShell oder durch den Aufruf von bestimmten Portalen – und variiert je nach Dienst.

Microsoft beschreibt TLS wie folgt:

A tenant-level service is an online service that is activated in part or in full for all users in the tenant (standalone license and/or as part of a Microsoft 365 or Office 365 plan). Appropriate subscription licenses are required for customer use of online services. [3]

Die Praxis zeigt jedoch: Viele Unternehmen haben diese Dienste aktiv – ohne ausreichende Lizenzierung. Und genau hier beginnt das Problem.

Bekannte Tenant-Level Services im Überblick

Die nachfolgende Liste ist nicht vollständig, da eine zentrale Übersicht in der Microsoft-Produktdokumentation fehlt. Darüber hinaus wurden teils Produktnamen geändert oder Dienste im Zuge technischer Konsolidierung zusammengeführt. [4]:

  • Microsoft Entra ID Identity Protection
  • Microsoft Entra ID Governance
  • Microsoft Entra Conditional Access
  • Microsoft Entra Privileged Identity Management (PIM)
  • Microsoft Defender
    • Microsoft Defender for Business
    • Microsoft Defender for Cloud Apps
    • Microsoft Defender for Identity
    • Microsoft Defender for Office 365 Plan 1
    • Microsoft Defender for Office 365 Plan 2
  • Microsoft Cloud App Security (Microsoft Defender for Cloud Apps)
  • Microsoft Cloud App Security (MCAS)
  • Microsoft Priva
  • Microsoft Purview Data Governance
  • Microsoft Purview eDiscovery (Standard)
  • Microsoft Purview-eDiscovery (Premium)
  • Microsoft Purview Information Protection Customer Key
  • Microsoft Purview Information Protection sensitivity labeling
  • Microsoft Purview Information Protection Message Encryption
  • Microsoft Purview Information Protection Double Key Encryption
  • Microsoft Purview Insider Risk Management Forensic Evidence
  • Microsoft Purview Customer Lockbox
  • Microsoft Purview Audit (Premium)
  • Microsoft Purview Data Loss Prevention (DLP)
    • Microsoft Purview Data Loss Prevention (DLP) for Teams
    • Microsoft Purview Data Loss Prevention: Data Loss Prevention (DLP) for Exchange Online, SharePoint Online, and OneDrive for Business
    • Microsoft Purview Data Loss Prevention Graph APIs for Teams Data Loss Prevention (DLP) and for Teams Export
  • Compliance Program for Microsoft Cloud

Einige dieser Dienste können zwar auf bestimmte Benutzer oder Gruppen beschränkt (‚gescoped‘) werden, entfalten jedoch oft auch dann ihre Wirkung, wenn keine explizite Lizenz zugewiesen wurde – beispielsweise durch globale Richtlinien, Hintergrundfunktionen im Tenant oder weil sie zwar technisch einschränkbar wären, in der Praxis aber dennoch auf Daten aller Objekte im Tenant zugreifen.[3]

Das Microsoft Customer Agreement (MCA) und die Product Terms

Das MCA ist mittlerweile das zentrale Vertragsdokument für Microsoft Online Services. Es ersetzt eine ganze Reihe älterer Vereinbarungen.

In der Sektion „Universal License Terms“ heißt es klar und deutlich [5]:

Customer must acquire and assign the appropriate subscription licenses required for its use of each Online Service. Usage exceeding the Online Service’s documented entitlement(s) and/or usage limits require additional purchase of licenses to cover overage. […] Customer has no right to use an Online Service after the SL for that Online Service ends. [5]

Jeder Benutzer, der einen Dienst nutzt – sei es Exchange Online, Teams, SharePoint Online oder Entra ID Conditional Access – muss lizenziert sein. Und zwar nicht pauschal, sondern als Named User mit einer entsprechenden User Subscription License (USL) für den Dienst.

Häufig übersehene Lücken: Zwei prominente Beispiele

Zwei Dienste, die besonders häufig unzureichend lizenziert werden, sind:

  • Microsoft Entra ID P1
  • Microsoft Defender for Office 365 Plan 1

Beide Dienste sind ausschließlich als User Subscription License (USL) verfügbar – eine geräte- oder mandantenbezogene Lizenzoption existiert nicht. Dennoch beobachten wir in Lizenzanalysen häufig, dass Unternehmen diese Services verwenden, ohne den entsprechenden Benutzern, die davon Gebrauch profitieren, die notwendige Lizenz zugewiesen oder lizenziert zu haben.

Beispiel: Microsoft 365 Business Premium

Diese Lizenz ist eine sogenannte Subscription License Suite (SLS) – das heißt, sie bündelt mehrere USLs in einem Paket.

Die Entra ID P1 USL ist in Microsoft 365 Business Premium enthalten. Benutzer, die diese Lizenz besitzen, dürfen entsprechend Conditional Access und andere P1-Funktionen nutzen.

Alle weiteren internen Benutzer – unserer Meinung auch einschließlich Administratoren und Service-Accounts – müssen gemäß den Lizenzvorgaben von Microsoft separat mit Entra ID P1 Add-on-Lizenzen ausgestattet werden, sofern sie von den durch die User Subscription Licenses (USLs) abgedeckten Funktionen der TLS profitieren.

Lizenz-Compliance ist wichtig!

Microsoft hat in den letzten Jahren seine Telemetrie-Funktionen stark ausgebaut. Mittlerweile kann und wird nachvollzogen, welche Benutzer welche P1/P2-Funktionen aktiv nutzen. Und auch Administratoren haben mittlerweile diese Möglichkeit bekommen.

Vorallem in der letzten Zeit wird Microsoft bei Verstößen aktiv. Etwaige erste Schritte um die Software Lizenz-Compliance wiederherzustellen sind:

  • Eine Benachrichtigung an den Kunden und dessen Partner senden
  • Eine 90-tägige Frist zur Nachlizenzierung setzen
  • Im Zweifel ein Audit einleiten

Insbesondere bei CSP-Verträgen (Cloud Solution Provider) ist uns bekannt geworden, dass Verstöße inzwischen konsequenter als noch vor ein paar Jahren, verfolgt werden.

Einige SaaS-Anbieter geben in ihrer Dokumentation an, dass lediglich eine Entra ID P1 Lizenz erforderlich sei um deren SaaS-Dienste zu nutzen. Technisch ist dies zwar korrekt, jedoch entspricht diese Aussage nicht zwangsläufig den lizenzrechtlichen Vorgaben von Microsoft. In solchen Fällen ist es ratsam, einen erfahrenen Partner hinzuzuziehen, um Risiken zu vermeiden und eine lizenzkonforme Umsetzung sicherzustellen.

Microsoft bietet mehr Transparenz mit Entra License Utilization Insights

Seit 2024 bietet Microsoft im Entra Portal ein neues Tool an: Entra License Utilization Insights. Dieses Insights-Panel zeigt Administratoren erstmals, wie viele Benutzer effektiv P1/P2-Funktionen verwenden – und wo möglicherweise Lizenzen fehlen. Jedoch werden noch nicht alle Features in die Insights mit einbezogen.

Gerade in großen Organisationen ist dies ein wertvolles Instrument, um Lizenzlücken zu identifizieren und zu beheben – bevor Microsoft dies übernimmt.

Mehr dazu in unserem Artikel: Microsoft Entra Lizenznutzungsübersicht: Neue Einblicke und Optimierungsmöglichkeiten

Besser vorsorgen als nachlizenzieren

Die Lizenzierung von Microsoft Online Services – insbesondere der Tenant-Level Services – ist komplex und voller Fallstricke. Viele Unternehmen und IT-Partner unterschätzen die Lizenzierung der Online Services und vorallem auch die damit verbundenen Risiken.

Unsere Empfehlung:

  1. Verständnis aufbauen: Wer Microsoft Online Services nutzt, muss die Lizenzmodelle kennen.
  2. Bestandsaufnahme machen: Welche Dienste sind aktiv? Welche Benutzer profitieren davon?
  3. Product Terms prüfen: Die offiziellen Microsoft Product Terms sind das maßgebliche Regelwerk.
  4. Lücken schließen: Fehlen Lizenzen? Jetzt nachbuchen – bevor es kritisch wird.
  5. Tools nutzen: Entra Insights hilft bei der Übersicht und Priorisierung.
💡
Lassen Sie Ihre Microsoft 365-Umgebung im Rahmen einer Lizenz-Analyse prüfen
Wir identifizieren Optimierungspotenziale und hilfen dabei Transparenz zu schaffen.
Kontakt
Kontaktieren Sie uns noch heute und lassen Sie sich von unseren Experten beraten! Egal, ob es um innovative Lösungen, maßgeschneiderte Dienstleistungen oder spezifische Produktanfragen geht – wir sind hier, um Ihnen zu helfen. Entdecken Sie, wie unsere maßgeschneiderten Lösungen Ihr Geschäft voranbringen können. Wir freuen uns auf Ihre Anfrage!

Quellenangaben:

[1] Microsoft Product Terms, [2] Microsoft Product Terms, [3] Microsoft 365 guidance for security & compliance - Service Descriptions | Microsoft Learn, [4] Guide-to-MS-O365-Licensing, [5], MCA, [6] Microsoft Product Terms

Rechtlicher Hinweis:
Bitte beachten Sie, dass dieser Beitrag keine individuelle Lizenzberatung darstellt. Eine rechtssichere Bewertung erfordert stets die Prüfung Ihrer spezifischen Verträge, Vereinbarungen und Einsatzszenarien.

Zudem kann dieser Artikel aufgrund kontinuierlicher Änderungen durch Microsoft nicht permanent aktuell gehalten werden.

Wir empfehlen dringend, die jeweils gültigen Microsoft Product Terms sorgfältig zu prüfen und bei Unsicherheiten fachkundige Beratung einzuholen.

Weiterlesen

Microsoft Azure Austria East: Die neue Cloud-Region startet bald – wir sind Launch-Partner!

Microsoft Azure Austria East: Die neue Cloud-Region startet bald – wir sind Launch-Partner!

Die Cloud-Landschaft in Österreich erreicht einen neues Niveau: Die Microsoft Azure Region Austria East geht bald offiziell an den Start! Mit dieser Erweiterung setzt Microsoft ein starkes Zeichen für digitale Souveränität, verbesserte Performance und nachhaltige Public-Cloud Lösungen in Österreich. Als offizieller Microsoft Launch-Partner begleiten wir Unternehmen und IT-Partner von Anfang

Von Indeno GmbH
IDCloud: Die optimale Ergänzung zur Public Cloud für Unternehmen und IT-Partner

IDCloud: Die optimale Ergänzung zur Public Cloud für Unternehmen und IT-Partner

Wir freuen uns, mit IDCloud einen bedeutenden Schritt zu gehen und Unternehmen sowie IT-Partnern eine skalierbare, sichere und in der EU betriebene Lösung zu bieten. Unter der IDCloud bündeln wir alle Infrastrukturbetriebsleistungen, um den wachsenden Anforderungen moderner Hybrid- und Multi-Cloud-Strategien gerecht zu werden. IDCloud – Managed Cloud-Lösungen für IT-Partner, Reseller &

Von Indeno GmbH
Microsoft 365 E5 Security jetzt als Add-on für Business Premium verfügbar

Microsoft 365 E5 Security jetzt als Add-on für Business Premium verfügbar

Microsoft hat angekündigt, dass Microsoft 365 E5 Security nun als Add-on für Microsoft 365 Business Premium verfügbar ist. Diese Erweiterung bringt Enterprise-Sicherheitsfunktionen in den SMB-Bereich und hilft kleinen und mittelständischen Unternehmen (SMBs), sich besser gegen Cyberbedrohungen zu schützen. Warum ist das wichtig? Die Bedrohungslage für SMBs entwickelt sich rasant weiter,

Von Yannic Röcken