MicrosoftMicrosoft
Sycor Group Logo
Microsoft
Modern SAM - Die Risiken von Selbstbedienungs-Kaufoptionen

Modern SAM: Die Risiken von Self-Service-Kaufoptionen

16. Januar 2020

Kürzlich hat Microsoft eine Self-Service-Kaufoption für seine Power Platform-Produkte (PowerBI, Power Automate und PowerApps) angekündigt, die die IT-Welt ein wenig erschüttert hat. Obwohl Self-Service-Kaufoptionen nicht neu sind (SalesForce bietet diese beispielsweise an), runzelten Compliance-Beauftragte, Abteilungen für den Kauf von Softwarelizenzen und IT-Manager die Stirn über diese Nachricht. 

Aufgrund der Rückmeldungen aus dem „Markt" beschloss Microsoft daher, einige Anpassungen vorzunehmen. Hierzu möchte ich meine Gedanken zu Compliance-Risiken von Self-Service-Kaufoptionen mit Ihnen teilen
.

Die Kontrolle behalten

Der Grund, warum viele Leute die Stirn runzelten, war die Ankündigung von Microsoft, dass die Kaufoption für Self-Services eine Standardeinstellung auf allen Cloud-Tenants sei und von Administratoren nicht ausgeschaltet werden könne. Damit hätten Unternehmen keine Wahl, ob sie ihren Benutzern diese Option anbieten wollten oder nicht. Ohne die Möglichkeit, die Option „auszuschalten“, würden Unternehmen die Kontrolle über den Kauf von Cloud-Diensten verlieren. Cloud-Administratoren könnten in das Microsoft 365 Admin Center schauen und „herausfinden“, welche Mitarbeiter welchen Dienst abonniert haben. Die Entdeckung wäre also „zufällig“, da, wie wir alle wissen, Administratoren das Microsoft 365 Admin Center nicht als Standard-Internetseite zur Verfügung steht.

Die Kontrolle über die Cloud-Abonnements könnte völlig verloren gehen und so viele Compliance-Risiken entstehen. Glücklicherweise hat Microsoft einige Anpassungen vorgenommen, die den Administratoren die Möglichkeit geben, die Kaufoption für den Self-Service-Betrieb für das gesamte Unternehmen abzulehnen, obwohl dies durch PowerShell-Skripting erfolgen muss. Es wäre schön, wenn es eine Schaltfläche „an/aus“ für diese gäbe.

Doppelte Kosten

Neben dem Compliance-Risiko besteht auch ein finanzielles Risiko. Da die meisten Benutzer keine Kenntnisse über die bereits  „eigenen“ Abonnements haben, können dieselben Mitarbeiter einfach einen Dienst abonnieren, für den die Organisation bereits bezahlt. Dies würde doppelte Kosten bedeuten. Gleichzeitig hätten Unternehmen bei einem hohen Anteil an Self-Service-Käufen nicht die Möglichkeit, ihre Cloud-Abonnements zu totalisieren und einen finanziell attraktiven Vertrag mit Microsoft oder einem Microsoft-Partner auszuhandeln.

Schatten-IT

Gehen wir einen Schritt weiter als die Self-Service-Kaufoption von Microsoft oder einigen anderen Anbietern. Denn selbst, wenn es keine Self-Service-Kaufoption gibt, bedeutet dies nicht, dass Mitarbeiter keine Apps und Dienste abonnieren können. Wenn eine Einzelperson, eine Geschäftsabteilung oder eine Tochtergesellschaft IT-Dienste benötigt und die IT-Abteilung nicht in der Lage ist, ihnen die erforderlichen Ressourcen rechtzeitig zur Verfügung zu stellen, neigen Mitarbeiter dazu, ihre (Geschäfts-) Kreditkarte zu ziehen und online einzukaufen. 

Die Organisation hat Glück, wenn sie diese Abteilungen oder Personen kennen, aber meistens wissen sie es nicht. Erst nach einer Untersuchung während eines Software Asset Management (SAM)-Projekts (oder eines verwalteten Abonnements) werden diese Cloud-Abonnements entdeckt. Wir nennen dies „Schatten-IT“, und - noch einmal – dies ist sowohl ein Compliance –als auch ein finanzielles Risiko für das Unternehmen.

Abonnement für alle

Ein weiteres Finanz- und Compliance-Risiko, am Beispiel von Microsoft: Das Unternehmen bieten einige Cloud-Abonnements an, die nach nur einem einzigen Abonnement für alle Benutzer innerhalb des Tenants verfügbar sind. Wie zum Beispiel Advanced Threat Protection oder Azure Active Directory Premium. Kunden benötigen nur Abonnements für ihre Benutzer, die tatsächlich von dem Dienst profitieren. Aber was passiert, wenn Benutzer ohne Abonnement diese neuen Möglichkeiten herausfinden oder über die standardmäßige Architektur sehen, dass der Dienst „für alle“ verfügbar ist?

Governance

Sehen wir der Wahrheit ins Auge: Nicht alles ist vorhersehbar und der Self-Service-Kauf oder die Schatten-IT kann nicht verboten werden. Aber eine „IT-muss-unser-Business-unterstützen“-Strategie zu definieren, die das Geschäft tatsächlich unterstützt, wäre ein guter Anfang. Gefolgt von einer definierten Governance und anschließender Umsetzung in der Organisation. Software Asset Management kann dabei helfen. Bei SAM geht es nicht nur um den Lizenzteil, sondern auch um Personen und Prozesse, wie es in der Norm ISO / IEC 19770-1:2017 (IT Asset Management) definiert ist.

Ihr Ansprechpartner

Sie wollen mehr über modernes Software Asset Management erfahren?

Kontaktieren Sie mich oder meine Kollegen des Modern-SAM-Teams und erfahren Sie, wie Sie Compliance und finanzielle Risiken vermeiden und Ihr Unternehmen mittels IT modernisieren.

Erol Anil

Managing Director
SYCOR IQ Solutions GmbH
+49 89 307 731 32

Kontaktformular
X

Unsere Partner

Alle Partner