Inaktiver Tenant
Microsoft räumt auf und dies gilt insbesondere für Tenants, die weder einer Lizenz noch Aktivitäten haben. Dann können Sie als Besitzer nur hoffen, dass Sie damals eine Mailadresse für Benachrichtigungen eingegeben haben, die noch funktioniert und sie damit Bescheid bekommen
Info-Mails
Am 1. Jun 2025 ist bei mir folgende Mail eingetroffen, die mich über einen Tenant mit der GUID "e4b5ccb4-129a-46c5-8758-76b9dff05cb6" informiert, den ich angeblich seit 200 Tagen nicht mehr genutzt habe:
Auf den ersten Blick kann ich aber nicht ermitteln welcher Tenant das ist und auch die Zieladresse ist eine uralte T-Online-Adresse, die ich zum Glück weiter geleitet habe, was man im Header auch gut sehen kann.
Return-Path: <azure-noreply@microsoft.com> Authentication-Results: kundenserver.de; dkim=pass header.i=microsoft-noreply@microsoft.com Received: from mailout01.t-online.de ([194.25.134.80]) by mx.kundenserver.de (mxeue003 [212.227.15.41]) with ESMTPS (Nemesis) id 1MuG0j-1v9XmQ3aQ9-012dV8 for <frank@carius.dex>; Sun, 01 Jun 2025 14:33:47 +0200 Received: from mailin25.aul.t-online.de (mailin25.aul.t-online.de [10.223.144.65]) by mailout01.t-online.de (Postfix) with SMTP id 9C621DF9 for <frank@carius.dex>; Sun, 1 Jun 2025 14:33:47 +0200 (CEST) Received: from mail-nam-cu08-bn.eastus2.cloudapp.azure.com ([20.98.194.69]) by mailin25.mgt.mul.t-online.de with (TLSv1.3:TLS_AES_256_GCM_SHA384 encrypted) esmtp id 1uLhsp-1e4RYP0; Sun, 1 Jun 2025 14:33:47 +0200 DKIM-Signature: v=1; a=rsa-sha256; d=microsoft.com; s=s1024-meo; c=relaxed/relaxed; i=microsoft-noreply@microsoft.com; t=1748781225; h=from:subject:date:message-id:to:mime-version:content-type; bh=x9m35RBDMNsTNhIjrZj/hXBLstZejkAIW4T4Csqio50=; b=u5utCWpd23EOoHjsgszH7j3xPgCjNq+5vB8xe4S9GN7kjBVcHm+uDR+iAFlSKQ0LmnG7eoH5M/o 0ZZ7Rd6jk0xycC4yS0ytBh0+0QengdWBGMKVAO9OCYogwsbJ6483xbzLx4WzHATnH5w20owzp8dp7 cZN6ThlCWp+X89qyqXw= From: Microsoft <microsoft-noreply@microsoft.com> Date: Sun, 01 Jun 2025 12:33:45 +0000 Subject: Action required: Make a purchase by July 2, 2025 to continue using your tenant Message-Id: <1807259c-0da5-429d-bbb8-2fba6066b942@az.eastus2.microsoft.com> To: frank.carius@t-online.dex MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="=-bq65hg7kq8ZnCwQWnwJ/mQ==" X-TOI-EXPURGATEID: 149288::1748781227-ABFFCBCB-70B68AF5/3/8425396191 BULK NORMAL X-TOI-MSGID: 2be933b1-8ddd-4ca5-b59f-13fd00a70eea X-forwarded-for: frank.carius@t-online.dex Envelope-To: <frank@carius.dex> x-tdresult: c76f5964-9c87-4b17-8082-0040b6ecc028;4b79f698-d8f2-420e-ad01-5aca75371277;1;0;1;0;0 x-tdcapabilities: X-Spam-Flag: NO
Die Mail ist auch DKIM-signiert und alles
TenantID zu Name
In der Mail finden Sie aber eine TenantID und diese ist der eigentliche Schlüssel, um den Tenant ausfindig zu machen. Auf der Seite Wer nutzt Office 365 und wie? habe ich verschiedene Schnittstellen beschrieben
e4b5ccb4-129a-46c5-8758-76b9dff05cb6
Ob die ID gültig ist, kann ich über die OpenID-Konfiguration schnell ermitteln:
Invoke-RestMethod https://login.microsoftonline.com/e4b5ccb4-129a-46c5-8758-76b9dff05cb6/.well-known/openid-configuration
Wenn hier kein Fehler kommt, dann gibt es einen Tenant mit der GUID und ich sehe auch die Geo-Region aber keinen sprechenden Namen. Aber es gibt eine Graph-API
- tenantRelationship:
findTenantInformationByTenantId
https://learn.microsoft.com/en-us/graph/api/tenantrelationship-findtenantinformationbytenantid?view=graph-rest-1.0&tabs=http
Allerdings reicht es nicht, einfach die URL anzusprechen
Invoke-RestMethod "https://graph.microsoft.com/v1.0/tenantRelationships/findTenantInformationByTenantId(tenantId='e4b5ccb4-129a-46c5-8758-76b9dff05cb6')"
Invoke-RestMethod:
{
"error": {
"code": "InvalidAuthenticationToken",
"message": "Access token is empty.",
"innerError": {
"date": "2025-06-16T06:32:15",
"request-id": "71a4e22f-e0fe-443d-ab0c-52a86aeb8d7e",
"client-request-id": "71a4e22f-e0fe-443d-ab0c-52a86aeb8d7e"
}
}
}
Ich muss mich vorher erst Authentifizieren. Das geht mit der Graph API und MGGraph sehr einfach:
Import-Module Microsoft.Graph.Identity.DirectoryManagement Connect-MGGraph -Scopes CrossTenantInformation.ReadBasic.All Find-MgTenantRelationshipTenantInformationByTenantId
Damit ist der Name schon einmal bekannt.
Anmeldung
In meinen Aufzeichnungen nach Zugangsdaten habe ich "Family754" gefunden. Das ist ein "Teams Free"-Tenant, den ich zu Zeiten von COVID19 einmal angelegt habe. Bei der Registrierung haben ich damals eine T-Online-Adresse genutzt, zu dem es ein Microsoft Konto gibt. Nach der Anmeldung begrüßt mich direkt Microsoft 365 Copilot mit 5GB Platz:
Über den Link beim Speicher lande ich bei OneDrive und sehen, dass es eine "Free Version" ist.
Aber an der URL sehen wir auch, dass es eine Consumer-Versions ist. Das ist also nicht die Anmeldung an einem Tenant
Anmeldung am Tenant
An "https://admin.microsoft.cloud" kann ich mich nicht mit der T-Online-Adresse anmelden. Ich habe dann das Microsoft 365 Admin-Konto "admin@familiy754.onmicrosoft.com" versucht. Es gibt aber keine Fehlermeldung, sondern die WebUI springt einfach wieder auf den Anmeldeschirm zurück.
Erst ein Anmeldeversuch auf https://portal.azure.com offenbart den richtigen Fehler.
- Fehler Code AADSTS5000225
login.microsoftonline.com/error?code=AADSTS5000225
This tenant has been blocked due to inactivity. To learn more about tenant lifecycle policies, see https://aka.ms/TenantLifecycle - Troubleshoot inaccessible tenants -
Microsoft Entra
https://learn.microsoft.com/en-us/entra/fundamentals/inaccessible-tenant
Ich habe ab dem Zeitpunkt der Deaktivierung gerade mal 20 Tage, darauf zu reagieren.
Sie müssen bei Microsoft anrufen, und den Tenant temporär wieder freischalten lassen, damit sie dann diesen wieder weiter in Betrieb nehmen können
Das passt natürlich nicht zur Mail am Anfang.
| Datum | Tag | Aktivität |
|---|---|---|
1.6.2025 |
0 |
Der Tenant wurde angeblich mehr als 200 Tage nicht mehr genutzt. Das kann ich bestätigen. Ich würde aber eher sagen, dass der Tenant schon einige Jahre nicht mehr genutzt wurde. Insofern kommt die Meldung recht später oder die Aufräumprozesse für tote Tenants sind lange nicht gelaufen. |
21.6.2025 |
20 |
Hier sollte dann der Tenant laut Microsoft-Aussage gelöscht werden. |
2.7.2025 |
32 |
Bis dahin verspricht mir aber die Mail, könnte ich noch eine Lizenz kaufen um wieder Zugriff zu erhalten. |
Wer hat nun Recht? Wir werden es bald herausfinden, ob ich den Tenant anhand der der GUID oder des Namens nach dem 21.6 noch finden kann.
Ich gehe mal davon aus, dass dies alles nur greift, wenn ein Tenant auch keine Lizenz mehr hat. Solange es zahlende Firmen gibt, dürfte es Microsoft ziemlich egal sein, wie der Tenant verwendet wird.
Für so einen inaktiven Tenant ohne Exchange Plan stellt Microsoft natürlich auch keinen MX-Record bereit und nicht einmal ein "A-Reord für die Domain. Wer also eine Mail an die Empfänger senden wollte, bekommt direkt eine Unzustellbarkeit.
Weitere Links
- Wer nutzt Office 365 und wie?
- TenantID
- tenantRelationship:
findTenantInformationByTenantId
https://learn.microsoft.com/en-us/graph/api/tenantrelationship-findtenantinformationbytenantid?view=graph-rest-beta&tabs=http - Find tenantId by domain name and vice
versa by leveraging the Graph API
https://www.michev.info/Blog/Post/3970/find-tenantid-by-domain-name-and-vice-versa-by-leveraging-the-graph-api
