Office 365 Tenant-Name

"Drum prüfe, wer sich .." ist nicht nur eine Frage vor der Hochzeit sondern auch vor der Nutzung eines Office 365-Tenant. Neben der Region und dem Abrechnungsland ist insbesondere der Name des Office 365 Mandanten eine Einstellung, die nachträglich nicht mehr geändert werden werden kann. Diese Seite beschreibt die Bedeutung dieses Namens.

Ein "Rename" eines Tenants war lange nicht möglich. Mittlerweile gibt es erste Möglichkeiten den Namen zu ändern.

Bedeutung

Alle Office 365 Tenant werden anhand eines weltweit eindeutigen Namens unterschieden. Es kann also nicht zwei Tenants mit dem gleiche Namen in der öffentlichen Microsoft Cloud geben. Der kritische Schritt ist hier die Einrichtung der "Geschäftlichen Identität" während der Einrichtung des Tenants.

Spätestens hier muss klar sein, welchen internen Namen der Tenant bekommen soll.

Intern

Sie mögen nun fragen, ob der Name denn wirklich wichtig ist. Er sieht ja erst einmal wie ein interner Name aus. Der Name hat aber schon einige Bewandtnis, denn er taucht an verschiedenen Stellen immer wieder auf und wird insbesondere auch extern an einigen Stellen sichtbar. Hier ein paar Beispiele der Verwendung, die Anwender in der Regel nicht sehen

  • Anmeldedomains für Administratoren
    Der erste Admin im Tenant hat natürlich einen Anmeldenamen und da sie noch keine eigene weitere Domain registriert haben, endet der Anmeldenamen auf "@<tenantname>.onmicrosoft.com". Das ist aber in Ordnung und ich würde dies auch nicht ändern. Wenn Sie eh später per ADSync die Benutzer aus einem lokalen AD pflegen, dann lasse ich gerne die "Cloud Only"-Benutzer auf der "@<tenantname>.onmicrosoft.com"-Adresse stehen. Anwender "merken" dass eigentlich nicht
  • MX-Record bei Exchange Online
    Wenn Sie eingehende Mails direkt an Exchange Online senden, dann müssen Sie einen DNS-Namen eintragen, der ein Alias auf einen Host mit dem Tenantnamen ist.

    Das ist zwar sichtbar aber maximal einem Mail-Admin wird dies auffallen. Anwender sehen davon nichts.
  • Defender Portal

  • Weitere DNS-Namen
    Genauso gibt es weitere DNS-Namen für Skype for Business, Intune etc. die ebenfalls von Anwendern in der Regel nicht gesehen werden

Den Tenant-Namen sehen Administratoren auch noch an verschiedenen anderen Stellen und das macht Sinn damit sie immer genau wissen, welche Einstellungen Sie verändern.

Extern

Interessanter ist natürlich, wo dieser Name vielleicht "öffentlich" wird. Öffentlich bezieht sich sowohl auf die eigenen Mitarbeiter als auch auf Gäste und externe Teilnehmer. Hier sind erst einmal zwei URLs zu nennen, die sichtbar werden.

  • SharePoint: "<tenantname>.onmicrosoft.com
    Alle SharePoint-URLs bekommen den Tenant-Namen als Prefix vor dem "sharepoint.com". Das sehen die eigenen Anwender aber auch Gäste, die mit ihnen gemeinsam arbeiten
  • OnDrive: <tenantname>-my.sharepoint.com
    Das gleiche Bild sehen Sie in ihrem OneDrive und Gäste, die auf Dateien in ihrem OneDrive zugreifen. Das trifft auch auf Dateien beim 1:1 Chat in Teams oder beim Versand mit Outlook zu.

Dies sind aus meiner Sicht die beiden offensichtlichen Orte, an denen der Name sichtbar wird. Er erscheint natürlich auch in E-Mails, die auf diese URLs- verweisen. Ein freigegebener Links hat dann z.B. die Form:

Überlegen Sie mal, wie es beim externen Empfänger wirkt, wenn Sie hier einen Namen verwenden, der nichts mit der Firma zu tun hat.

Namenswahl

Die Wahl des Namens ist aber alles andere als einfach. Diverse Veränderungen und Kollisionen im Geschäftsleben sind nicht vorhersehbar und ein Umbenennen ist zumindest aktuell nicht vorgesehen.

  • Nur ein Name bitte
    Sie können nicht alle Namen der Welt anmelden, die sie irgendwie relevant finden. natürlich könnte ich neben "msxfaq.onmicrosoft.com" auch noch "lyncfaq.onmicrosoft.com". "msexchangefaq.onmicrosoft.com" und viele anderen Namen registrieren. Aber das wären dann immer eigene Tenants und ohne Lizenz werden diese nach 180 Tagen wieder wieder freigegeben.
  • Prod, Test und Dev
    Auf der anderen Seite geht der Trend natürlich schon zum Zweit oder Dritt-Tenant, damit Sie als Admin oder Entwickler nicht im produktiven Tenant verschiedene Einstellungen ausprobieren. Verwechseln Sie dabei aber nicht Office 365/Azure AD mit AzureAD Subscriptions. (Siehe Azure Ressources)
  • Bestehende Namen
    Manchmal haben Sie aber das Pech, dass ein gewünschter Name schon belegt ist. Das bemerken Sie spätestens, wenn Sie den Tenant anlegen. Es gibt keine offizielle Möglichkeit den Inhaber ausfindig zu machen oder den Tenant zu übertragen. Mit Glück ist es ein "viraler Tenant" eines Mitarbeiters im Unternehmen, der nur mal einen PowerBI-Tenant oder Teams-Tenant angelegt hat. Den können Sie dann schon übernehmen. Aber schon wenn es ein Mitarbeiter in einer Auslandsfiliale war, kann da ein großes Problem sein, da die Region und damit der juristische und steuerliche Standort nicht geändert werden kann (Siehe Office 365 Tenant Region ändern) und das Löschen über 100 Tage (Siehe Office 365 Tenant löschen) dauert.
    Da hilft es auch nicht, wenn Sie in Deutschland ihren Namen als "Marke" registriert haben, während in Südamerika eine Familie den gleichen Namen schon als kleinen Business-Tenant nutzt.
  • Phishing
    Genauso, wie es bei den normalen Domains Missbrauch mit "Vertipperdomains" gibt, ist das auch mit Office 365 möglich. Wenn ihnen "firma.onmicrosoft.com" gehört und es jemand auf Sie abgesehen hat und firma365.onmicrosoft.com registriert und "Freigabelinks" an ihre Kunden und Lieferanten sendet, dann können Sie dagegen nur über eine Beschwerde bei Microsoft vorgehen. Einen öffentlichen "Whois"-Service über die Office365-Tenants unter der Domain "onmicrosoft.com" gibt es nicht.
  • Generischer Name/Umformierung
    Die fehlende Option zu Änderung des Tenant-Namens wirkt sich natürlich auch auf Umfirmierungen aus, d.h. ihre Firma die Rechtsform oder den Namen ändert. Daher würde ich die Rechtsform (GmbH, AG, KG etc.) weglassen.
  • Single/Multi-Tenant
    "Innenpolitische" Probleme kann es geben, wenn ein Firmenverbund sich auf einen gemeinsamen Namen einigen muss. Natürlich kann jede Tochter auch einen eigenen Tenant aufbauen aber die "Zusammenarbeit" ist dann schon eingeschränkt. Hier sollten Sie genau abwägen. Es kann natürlich auch eine Change sein, einen unverbrauchten "virtuellen" Namen zu verwenden, den alle Firmenteile tolerieren.
    Beachten Sie bei Multi-Tenant auch die Lizenzverwaltung und geografische Region.

Leider kann ich ihnen keinen goldenen Tipp zur Festlegung ihres Namens geben. Jeder Fall ist individuell

Kleinere Firmen haben es hier sicher einfacher, wenn Sie einen freien Namen einfach verwenden können. Ich habe aber gerade hier schon die Herausforderung gehabt, dass ein Tenant schon in Betrieb genommen und erst dann das Missgeschick erkannt wurde.

Tenant Rename

Es gibt aktuell keinen Weg einen Tenantnamen zu ändern und es ist auch nicht absehbar, dass so etwas selbst mittelfristig möglich sein wird. Sie können natürlich immer einen neuen Tenant mit dem "richtigen Namen" anlegen und eine Tenant zu Tenant Migration der Benutzer, Gruppen und Informationen in den neuen Tenant vornehmen. Das ist aber alles andere als mal eben gemacht.

Allerdings hat Microsoft mittlerweile eine Lösung, wie sie zumindest die Namen bei Sharepoint/OneDrive anpassen können. Im Juni 2021 ist eine "Private Preview" gestartet, die mittlerweile allgemein verfügbar ist. Sie können über diesen Prozess eine weitere bislang nicht genutzte "<name>.onmicrosoft.com"-Domäne zu ihrem Tenant addieren und dann diesen Namen für SharePoint/OneDrive aktivieren.

Aber auch dies ist nicht mal "so eben" gemacht und sollte wohl überlegt sein, denn es gibt durchaus Einschränkungen.

Was ich mir gemerkt habe

  • Die Änderung ist aktuell nur einmal möglich
  • Sie kann auch nicht mehr rückgängig gemacht werden.
  • Technisch werden die den verwendeten neuen Namen auch keinem neuen Tenant zuweisen können, wenn Sie doch mal diesen Namen generell nutzen wollen.
  • Die Exchange Online RoutingMail Adresse ändert sich nicht
    Die Adresse bleibt weiter <userpart>@<tenantname>.mail.onmicrosoft.com und ist auch so in der GAL sichtbar.

Das sind nur paar der "Low", "Medium" und "High" Einschränkungen. Auf der Seite sind erst nach den Einschränkungen die einzelnen Schritte erklärt. Es kann also niemand behaupten, er habe nicht gewusst, was er tut.

Ich frage mich gerade, ob nicht auch ein Reverse Proxy vor SharePoint zumindest für direkt eingegebene URLs hier helfen könnte. Mit einem Azure AD Application Proxy gelingt es aber nicht, denn der HTTP-Redirect nach der Anmeldung geht auf den nativen Namen.

Weitere Links