Azure Lighthouse für MSPs: Sicherer Cross-Tenant-Zugriff mit Least Privilege

Von Nedjat Nuhi · 7. Juni 2026 · ca. 11 Min. Lesezeit

Die Verwaltung mehrerer Azure-Mandanten für deine Kunden ist komplex und zeitintensiv. Jeder Mandant hat seine eigenen Besonderheiten, Richtlinien und Sicherheitsanforderungen. Azure Lighthouse wurde entwickelt, um MSPs genau diese Arbeit zu erleichtern, indem es dir ermöglicht, Ressourcen über verschiedene Mandanten hinweg zentral zu verwalten, ohne dass du dich ständig neu anmelden oder separate Zugangsdaten jonglieren musst. Doch mit grosser Macht kommt grosse Verantwortung: Eine unsachgemässe Konfiguration kann weitreichende Sicherheitsrisiken bergen. Der Schlüssel liegt in der präzisen Anwendung des Prinzips des geringsten Privilegs (Least Privilege), um den Zugriff auf das absolut Notwendigste zu beschränken und gleichzeitig volle Auditierbarkeit zu gewährleisten.

Azure Lighthouse als Fundament für effiziente MSP-Dienste

Azure Lighthouse ermöglicht es dir als MSP, delegierte Zugriffe auf Kunden-Mandanten zu erhalten und deren Azure-Ressourcen zentral über deinen eigenen Managing Tenant zu verwalten. Dies vereinfacht viele Operationen erheblich und steigert die Effizienz deiner Teams. Du kannst Ressourcen, die in verschiedenen Kunden-Abonnements liegen, über ein einziges Azure-Portal oder über APIs und Skripte steuern.

Die Vorteile liegen auf der Hand: Du sparst Zeit, reduzieren manuelle Fehlerquellen und kannst deine Expertise konsistent über alle Kunden hinweg anwenden. Ob es um Monitoring, die Anwendung von Updates oder das Management von Richtlinien geht – Lighthouse bietet die technische Grundlage. Die eigentliche Herausforderung besteht darin, diese Grundlage so zu gestalten, dass sie nicht nur effizient, sondern auch absolut sicher ist.

Das Prinzip des geringsten Privilegs (Least Privilege) als Sicherheitsstandard

Das Prinzip des geringsten Privilegs ist ein grundlegendes Sicherheitskonzept, das besagt, dass jeder Benutzer, jedes Programm und jeder Prozess nur die minimalen Berechtigungen erhalten sollte, die für die Ausführung seiner Funktion unbedingt erforderlich sind. Für MSPs, die auf fremde Azure-Mandanten zugreifen, ist dies nicht nur eine Empfehlung, sondern eine Notwendigkeit.

• Es minimiert das Risiko von unautorisiertem Zugriff oder Datenlecks, falls ein Konto kompromittiert wird.
• Es verhindert versehentliche Fehlkonfigurationen oder Schäden durch übermässige Berechtigungen.
• Es hilft dir, Compliance-Anforderungen (z.B. DSGVO, FINMA) zu erfüllen, indem es genau festlegt, wer auf welche Daten zugreifen darf.

Ohne Least Privilege könnten deine Techniker unbeabsichtigt auf sensible Daten zugreifen oder kritische Systeme ausser Betrieb setzen, selbst wenn sie nur eine Routineaufgabe erledigen wollten. Dies untergräbt das Vertrauen deiner Kunden und kann schwerwiegende Folgen haben.

Delegationen präzise definieren: So geht's mit Azure Lighthouse

Die sichere Einrichtung von Azure Lighthouse beginnt mit der sorgfältigen Definition deiner Delegationen. Eine Delegation ist im Wesentlichen eine Vereinbarung zwischen deinem Kunden und dir, die festlegt, welche deiner Benutzer oder Service Principals auf welche Ressourcen des Kunden zugreifen dürfen und welche Rollen sie dabei innehaben.

1. Rollen auswählen: Beginne mit den integrierten Azure-Rollen. Microsoft bietet eine breite Palette von Rollen wie 'Leser', 'Mitwirkender', 'Benutzerzugriffsadministrator' oder spezifische Rollen für Dienste wie 'Log Analytics Contributor'. Wähle immer die engste Rolle, die die benötigten Aufgaben abdeckt.
2. Benutzerdefinierte Rollen erstellen: Wenn integrierte Rollen zu breit sind, erstelle benutzerdefinierte Azure-Rollen. Diese ermöglichen dir, Berechtigungen auf einer sehr granularen Ebene zu definieren. Du kannst beispielsweise eine Rolle erstellen, die nur das Starten und Stoppen von virtuellen Maschinen erlaubt, ohne dass der Benutzer Zugriff auf deren Konfiguration oder Daten hat. Diese Rollen werden im Kunden-Mandanten definiert und in der Lighthouse-Delegation referenziert.
3. Bereiche (Scopes) festlegen: Definiere den Geltungsbereich der Delegation so klein wie möglich. Anstatt den Zugriff auf das gesamte Abonnement des Kunden zu gewähren, beschränke ihn auf spezifische Ressourcengruppen oder sogar einzelne Ressourcen, wenn dies den Anforderungen entspricht. Dies minimiert den potenziellen 'Blast Radius' im Falle eines Kompromisses.
4. Autorisierungen: Jede Delegation enthält eine Liste von Autorisierungen. Hier gibst du an, welche Azure Active Directory (AAD)-Gruppen oder Service Principals aus deinem Managing Tenant welche Rolle im Kunden-Mandanten erhalten. Nutze AAD-Gruppen, um die Verwaltung zu vereinfachen und Rollen zentral zuzuweisen und zu entziehen.

Denke daran, die Delegationen regelmässig zu überprüfen und anzupassen. Wenn sich die Aufgaben oder Verantwortlichkeiten deiner Teams ändern, sollten auch die Berechtigungen entsprechend aktualisiert werden, um das Least-Privilege-Prinzip aufrechtzuerhalten.

Transparenz und Auditierbarkeit: Wer macht was, wann und wo?

Sicherheit endet nicht mit der Einrichtung; sie erfordert kontinuierliche Überwachung. Azure Lighthouse bietet dir die Werkzeuge, um genau nachzuvollziehen, welche Aktionen deine Techniker in den Kunden-Mandanten durchführen. Dies ist entscheidend für Compliance, Fehlerbehebung und das Vertrauen deiner Kunden.

• Azure Activity Log: Alle Aktionen, die über Azure Lighthouse durchgeführt werden, werden im Azure Activity Log des Kunden-Mandanten protokolliert. Du siehst, welcher Benutzer aus deinem Managing Tenant welche Aktion auf welcher Ressource ausgeführt hat. Dies ist dein primäres Audit-Trail.
• Azure Monitor und Log Analytics: Richte Azure Monitor und Log Analytics in den Kunden-Mandanten ein, um detailliertere Protokolle (z.B. von virtuellen Maschinen, Datenbanken) zu sammeln und zu analysieren. Du kannst diese Logs in deinem Managing Tenant aggregieren, um eine zentrale Übersicht über alle Kunden zu erhalten.
• Azure Resource Graph: Nutze Azure Resource Graph, um Abfragen über alle delegierten Abonnements hinweg auszuführen. Du kannst damit beispielsweise schnell herausfinden, welche Ressourcen von deinem Managing Tenant verwaltet werden oder welche Delegationen aktiv sind.
• Alerts und Benachrichtigungen: Konfiguriere Alerts in Azure Monitor, die dich bei ungewöhnlichen Aktivitäten oder kritischen Änderungen in den Kunden-Mandanten benachrichtigen, die über Lighthouse durchgeführt wurden.

Diese Tools ermöglichen dir nicht nur die Nachverfolgung, sondern auch die proaktive Erkennung potenzieller Sicherheitsprobleme. Eine transparente Auditierung stärkt das Vertrauen deiner Kunden und belegt deine Professionalität.

Häufige Fragen

Was ist der Hauptvorteil von Azure Lighthouse für MSPs?

Der Hauptvorteil ist die zentrale und delegierte Verwaltung mehrerer Kunden-Mandanten über einen einzigen Managing Tenant. Dies ermöglicht eine effizientere und skalierbarere Bereitstellung von Services, ohne dass du dich ständig neu anmelden musst.

Wie stelle ich sicher, dass ich nur minimale Rechte delegiere?

Du stellst dies sicher, indem du präzise benutzerdefinierte Azure-Rollen definierst, die nur die absolut notwendigen Berechtigungen für bestimmte Aufgaben enthalten. Weise diese Rollen dann ausschliesslich auf die benötigten Ressourcengruppen oder Abonnements zu und nicht auf den gesamten Kunden-Mandanten.

Kann ich Azure Lighthouse für alle Azure-Ressourcen nutzen?

Azure Lighthouse unterstützt die Verwaltung der meisten Azure-Ressourcen. Es gibt jedoch bestimmte Ausnahmen oder Dienste, die spezifische Konfigurationen erfordern. Überprüfe immer die aktuelle Microsoft-Dokumentation für die vollständige Liste der unterstützten Dienste und deren Besonderheiten.

Wie überwache ich die Aktivitäten meiner Techniker in Kunden-Mandanten über Lighthouse?

Alle über Azure Lighthouse durchgeführten Aktionen werden im Azure Activity Log des Kunden-Mandanten protokolliert. Du kannst diese Logs über Azure Monitor und Log Analytics zentral sammeln und analysieren, um volle Transparenz über die Aktivitäten zu erhalten und Alerts für ungewöhnliche Ereignisse zu konfigurieren.

Ersetzt Azure Lighthouse mein bestehendes RMM-Tool?

Nein, Azure Lighthouse ist kein Ersatz für dein RMM-Tool. Es ist eine grundlegende Azure-Funktionalität, die den delegierten Zugriff und die Verwaltung von Kunden-Ressourcen im Azure-Ökosystem ermöglicht. Es schafft die Basis, auf der dein RMM-Tool und andere Automatisierungslösungen aufbauen können, um Monitoring, Patching und weitere Dienste effizienter zu gestalten.