Kun Ville lähti lisenssimetsälle: Microsoft 365 Admin-tunnuksen lisensointivaatimuksia etsimässä
Aloitetaan yksinkertaisella kysymyksellä: Villellä on kaksi tunnusta Microsoft 365:ssä. Villen päätunnus, eli ville@ on lisensoitu Microsoft 365 E5 -lisenssillä. Tämän lisäksi Villellä on käytössä admin-tunnus adm-ville@. Pitääkö Villen admin-tunnus lisensoida vai ei?
Jotta kysymykseen olisi mahdollista vastata käytetään vielä tarkennettua muotoilua: Pitääkö admin-tunnus lisensoida vai ei jos sillä käytetään PIM:iä eli Priviledged Identity Managementtia?
Kysymys kuulostaa yksinkertaiselta, matka sen selvittämiseksi osoittautua kaikkea muuta kuin helpoksi. Viimeisimmässä puhelussa Microsoftin tuki totesi, että ei muista koska olisi viimeksi saanut kysymyksen, joka kuulostaa helpolta, mutta johon on käytännössä mahdotonta antaa veden pitävää vastausta.
Jotta päästään eteenpäin ja saadaan jonkinlainen virallinen vastaus kasaan, avataan seuraavaksi termejä, joita tässä salapoliisityössä on käytetty.
User = Käyttäjä, eli yksittäinen ihminen.
Microsoftin lisenssiehdot (Online Services Terms) määrittelevät asian seuraavasti:
Tätä asiaa sivutaan myös Universal License Terms dokkarissa, jossa asiasta kerrotaan seuraavaa:
Se mikä tästä tekee mielenkiintoisen, on se, että User voi olla myös tunnus, riippuen vähän mistä asiaa lukee (esim. ville@ tai adm-ville@)
Account = Käyttäjätunnus, voi olla lisensoitu tai lisensoimaton. (Esim. ville@ tai adm-ville@)
Person = Yksittäinen ihminen (esim. Ville)
Human = Yksittäinen ihminen (esim. Ville)
Priviledged Identity Management, jota käytetään tässä esimerkkinä (esimerkki olisi hyvin voinut olla myös esim. Conditional Access) puhuu lisensoinnista hyvinkin tarkkaan täällä.
Otetaanpa tuosta tekstistä pieni lainaus:
Eli tenantissa pitää olla oikeat lisenssit ja lisenssi pitää olla kytkettynä administratoreille ja relevanteille käyttäjille. Tästä herää kysymys, onko user tässä kohdassa lisenssiehdoista löytyvä ”single person” vai onko user käyttäjätunnus?
Myllätään vähän syvemmältä ja samalta sivulta löytyykin seuraavaa:
Saman kysymyksen edessä
Ja taas ollaan heti saman kysymyksen edessä. Onko User tässä kohdassa tunnus vai henkilö? Joku voisi ajatella, että onko sillä sitten viime kädessä väliä, niin kerrottakoon että lisenssien osalta sillä nimenomaan on. Tästä tulkinnasta riippuu se, milloin ympäristö täyttää Microsoftin lisenssiehdot ja milloin ei ja siihen tässäkin jutussa etsitään vastausta.
PIM ei myöskään ole ainoa esimerkki, vaan vastaavia voisi löytää melkein kaikista tietoturvaan liittyvistä komponenteista. Termejä User, Account, Administrator, Person on käytetty sikin sokin ja niiden merkitys vaihtuu, riippuen siitä mikä tuotetiimi on sattunut minkäkin artikkelin kirjoittamaan.
PIM:n sivulla on myös lopussa lista, jossa on kerrottu kivasti esimerkkejä lisensoinnista, valitettavasti se ei vain ota kantaa tuohon alussa esitettyyn yksinkertaiseen kysymykseen. Pitääkö Admin-tunnuksella olla lisenssi, jos käyttäjällä on jo järeästi lisensoitu normaali tunnus?
Koska palveluehtoja, dokumentaatiota ja ohjesivustoja ei saanut varmaa vastausta aikaiseksi lähdin kyselemään asiaa Suomessa eri tahoilta. Kysymysten kohteeksi päätyi lisenssitukkureita, lisenssimyyjiä, MS kumppaneita ja itse Microsoft. Keskusteluista voisi tiivistettynä kertoa sen, että vastaukset jakautuivat aika lailla tasan.
50% keskustelukumppaneista oli sitä mieltä, että Admin-tunnus pitää lisensoida, jotta ympäristö täyttää lisenssiehdot.
50% taas sitä mieltä, että lisenssille ei ole tarvetta, jos käyttäjän normaalitunnus on jo lisensoitu, sillä admin-tunnus on account eli käyttäjätunnus, joita käyttäjällä voi olla useita.
Mitä seuraavaksi?
Seuraavaksi suunnattiin energia sosiaaliseen mediaan ja globaaliin partner-yhteisöön. Siellä vastauksia ja mielipiteitä tuli myös useita, mutta yhteisymmärrys alkoi muodostumaan siihen, että admin-tunnusta ei tarvitse lisensoida, jos siihen ei ole teknistä vaatimusta eli tilannetta, jossa jonkin palvelun ylläpito teknisesti tarkastaa tai tarvitsee lisenssin.
Lisenssiehtojen mukaan homma olisi kunnossa, kunhan käyttäjän ”jollakin” tunnuksella on asianmukainen lisenssi.
Toki kukaan ei tätäkään pystynyt kirjallisesti todeksi näyttämään, vaan asia perustui enemmän tulkintoihin eri lähteistä löytyvien tietojen pohjalta.
Yksi vastauksista kuului tarkalleen näin:
There is a distinction between licensing and technical requirements. From licensing perspective, since ”licensed user” is a person, one license would suffice if one person uses multiple accounts. Technically you need, for this specific scenario, a license for each account. There are other examples that are similar – licensing would allow a single person to use multiple Exchange Online mailboxes with a single license, but technically each mailbox needs a license.
Vastauksen antaja on Microsoftin CSP-ohjelmaa lähellä oleva henkilö, joka tuen mukaan (palaamme tähän kohta) tuntee lisenssiehdot kuin omat taskunsa.
Toinen, joka myös löytyi asiaan liittyen on Twitter-keskustelu (Linkki: Alex Simons on Twitter: ”@Go_LARams @MrAzureAD @azuread @darkocobe Azure AD doesn’t require license be applied to specific users. You just need to have enough license to cover all your humans.” / Twitter) vuodelta 2021 jossa keskustellaan Azure AD lisensoinnista.
Siellä kommentti Microsoftin tuotetiimiin kuuluvalta on seuraava:
Good news – legal and our licensing guru were able to quickly close on this. You only need one license per human. If the human is using two accounts, that one license covers both accounts. (Linkki twiittiin: https://twitter.com/Alex_A_Simons/status/1232741945190912000?s=20)
Näiden pohjalta alkoi ajatus kirkastumaan ja se ajatus on sellainen, että admin-tunnus ei tosiaan lisenssiä vaadi, jos sitä ei palveluteknisistä syistä vaadita.
Vielä ei kuitenkaan haluttu luovuttaa vaan lähdettiin hakemaan tähän tarkempaa vastausta MS:n kumppaneille suunnatun tuen kautta. Sinne esitettiin tässäkin alussa oleva kysymys esimerkkien kera.
Tästä otettiin nyt ensimmäinen Teams meidän ja MS:n tuen välillä ja ensimmäinen vastaus oli, että pitää lisensoida, koska PIM:n tuotesivu sanoo niin. Tämän jälkeen esitin tarkentavia kysymyksiä ja kaiken nyt löydetyn materiaalin, jonka jälkeen tuen kanta muuttui.
Uusi kanta oli, että jos tekninen vaatimus lisensoinnille on olemassa (eli palvelu tarkastaa lisenssin) niin tällöin pitää lisensoida, mutta jos palvelu ei lisenssiä tarkasta (Conditional Access, PIM jne.) niin tällöin admin-tunnusta ei tarvitse erikseen lisensoida, kunhan käyttäjän jokin toinen tunnus on lisensoitu.
Totesi toki heti perään, että kyse on näiden lisätietoja valossa hänen tulkinnastaan ja kirjallisessa vastauksessa lukee, että vastauksen oikeellisuudesta ei ole takeita ja sitä ei voi missään varsinaisesti hyödyntää.
Sen verran tuo keikka kuitenkin jatkuu, että tähän yritetään nyt vielä löytää joku taho Microsoftilta, joka uskaltaisi antaa tähän virallisen vastauksen kirjallisena. Nähtäväksi jää saadaanko sellaista koskaan… Jos saadaan, niin päivitellään sitten tätä blogia asiaankuuluvasti J
Entäpä sitten se vastaus kysymykseen näiden tietojen pohjalta?
Palataan takaisin kysymykseen: Villellä on kaksi tunnusta Microsoft 365:ssä. Villen päätunnus, eli ville@ on lisensoitu Microsoft 365 -lisenssillä. Tämän lisäksi Villellä on käytössä admin-tunnus adm-ville@. Pitääkö Villen admin-tunnus lisensoida vai ei?
Tällä hetkellä lähinnä oikeaa vastausta (ilman takuuta) lienee compliance näkökulmasta seuraava: Villellä (User) on kaksi tunnusta (account), joista toinen on lisensoitu ja toinen ei. Tällöin tuo lisenssi kattaa myös admin-tunnuksen palveluiden käytön. Poikkeuksen tästä tekevät sellaiset mahdolliset palvelut, jotka tekevät teknisen lisenssitarkastuksen, jolloin teknisistä syistä lisenssi on oltava, compliancen osalta ei.
Koko asian voisi summata siihen, mihin päätimme toistaiseksi viimeisimmän keskustelun tuen kanssa: ”Harvassa on ne lisenssi ongelmat, jota ei sitten viime kädessä rahalla saa korjattua.”
Kaikissa lisenssikysymyksissä on aina hyvä muistaa se, että aina ei saatavilla ole 100 % varmaa vastausta. Kyse on pitkälle tulkinnasta ja tulkintaa voi tehdä moneen eri suuntaan. Siispä kannattaa aina oman ympäristön osalta kirjoittaa omat tulkinnat auki ja valmistautua esittämään ne, jos joskus vaikkapa auditoinnissa tulee kysymyksiä. 🙂
– Pilvikamu Ville Kankare
