PowerBI-Tenant

Diese Seite beschreibt einen Sonderfall, bei der eine Firmendomäne in einem unbekannten Tenant vorreserviert ist und wie Sie diese Situation wieder auflösen. Ein Kunde wollte seinen ersten eigenen Tenant einrichten und als als er seine eigene Domain hinzufügen wollte, bekam er die lapidare Meldung, dass diese Domain schon zugewiesen sei. Da er aber selbst DNS-Admin ist war es ausgeschlossen, dass dies mit rechten Dingen zugehen konnte. Also haben wir uns auf die Suche gemacht.

Angeblich gibt es noch einen zweiten Fall: Wenn Sie über "Microsoft Learn" kostenfrei eine Azure Sandbox-Umgebung einrichten, wird wohl auch ein viraler Tenant im Hintergrund angelegt.

PowerBi in der Cloud

Ursache war natürlich, wie vermutet, eine Testinstallation von PowerBI. Es ist für einen Anwender mit einer Mailadresse einer Firma nämlich sehr einfach einen Tenant zu erhalten und damit eine Domain zu belegen. Ich zeige ihnen hier daher wie so eine PowerBI-Einrichtung durch einen Anwender erfolgt und was letztlich daraus wird. Der Anwender interessiert sich für PowerBI und erwischt nicht den Link um die Desktop Version (Siehe Power Bi) zu installieren, sondern startet die Nutzung als Cloud-Angebot. Dann hat er nach wenigen Schritte einen Tenant angelegt.

Alles, was der Anwender benötigt ist seine Mailadresse:

An diese Adresse sendet Microsoft einen Code der dann im nächsten Fenster einzugeben ist.

Sie können ja schon mal in ihrem Message-Tracking nach Mails von dieser Absenderadresse und ähnlichen Betreff-Zeilen suchen. Dann gibt der Anwender noch ein Kennwort und wenige andere Daten an:

Im Hintergrund beginnt dann schon das Provisioning. Wenn ich möchte, kann ich im gleich schritt noch weitere Personen in meiner Firma einladen mit PowerBi Online zu arbeiten.

Danach habe ich einen Office 365 Tenant mit meiner Domäne msxfaq.eu und ohne überhaupt nur eine Zahlungsinformation o.ä. hinterlegt zu haben. Ich kann mich mit dem User und dem vorher eingegebenen Kennwort anmelden. Ich lande natürlich auf de PowerBI Oberfläche

Aber über das Menü links oben kann ich problemlos in das Admin-Menü des Tenants einsteigen. Ein "normaler Benutzer" übersieht das vielleicht aber ich bekomme dann folgendes zu sehen:

Die interessanten Links sind hier:

Bei mir kommt als nächster Schritt dann die Bitte einen TXT-Record zu addieren und damit die Domäne auch aktiv zu aktivieren. Das ist wohl mittlerweile der Prozess. Bei meinem Kundenszenario konnte ich aber die Mailadresse des Administrators angeben, der dann einen entsprechenden Link erhalten hat und damit zum Administrator über diesen Tenant wurde. Zu dem Zeitpunkt habe ich mich aber noch nicht zum Administrator gemacht. Ich wollte erst mal sehen, wie diese Domain aussieht.

PowerBI und Azure AD

Ich habe hier die Übernahme der Domäne erst am abgebrochen und über https://manage.windowsazure.com (der link ist mittlerweile nicht mehr gültig. Nutzen Sie https://portal.azure.com)mit den Tenant angeschaut. Auch hier kann ich mich mit dem gleichen Anwender anmelden. Die Liste der Benutzer zeigt, dass ich hier angelegt wurde.

Um die Sache noch vertrackter zu machen ist die Domain "msxfaq.eu" sogar als "Verified" gelistet.

Sie sehen auch, dass der Tenant-Name "msxfaqeu.onmicrosoft.com" von der DNS-Domäne abgeleitet wurde.

Ich will Admin sein!

Mein Tenant ist angelegt und es gibt sogar Benutzer mit diesem UPN. Damit ist die Domäne auf jeden Fall schon mal "verbraucht" und ich kann sie nicht bei einem anderen Tenant eintragen. Ich habe also den TXT-Record ergänzt und den Assistent abgeschlossen und schon war mein User1 auch Administrator:

Das ist aber erst mal kein Problem, da ich ja auch die Rechte für den DNS-Eintrag hatte. Hier ist erst mal kein Missbrauch möglich, wenn der DNS-Admin aufpasst und protokolliert, wer einen DNS-Eintrag anfordert. In der AzureAD Ansicht ist die Domain weiterhin "verified" und diesmal sogar zur "primary Domain" geändert worden.

Nun ist es ein ganz normaler Tenant aber ohne besondere Lizenzen.

Nun kann ich die Domäne hier natürlich auch wieder löschen und an einen anderen Tenant übertragen.

Domain in anderem Office 365 Tenant eintragen

Natürlich wollte ich nun die Situation nachspielen, dass ich natürlich keine Kenntnis davon haben sollte, dass in einem Tenant schon die msxfaq.eu verwendet wird. Ich habe mich also an einem anderen Tenant als Administrator angemeldet und wollte hier nun die Domain addieren. Das geht sogar, das sich die Domain addiere und mir der Assistent den TXT-Record anzeigt. Aber dann kommt man natürlich nicht weiter.

Microsoft hat so schon mal sichergestellt, dass Sie berechtigt sind, überhaupt die Domäne zu beantragen, ehe Sie die Informationen über den Tenant erhalten, dem aktuell diese Domain zugeordnet ist, ehe ihnen mehr Details angezeigt bekommen. Es reicht aber meiner Meinung nach nicht aus, um auch eine Kontaktperson zu finden.

If you don't know what Office 365 account is currently using the custom domain or if you don't have control over the Office 365 account that's" currently using the custom domain, contact Office 365 Support."
Quelle: Error message when you try to verify a domain in Office 365 https://support.microsoft.com/en-us/help/2812881/error-message-when-you-try-to-verify-a-domain-in-office-365

Tenant eingefroren?

Am 4. Sep 2021 wollte ich mich wieder an dem Tenant über https://portal.azure.com als "user1@msxfaq.eu" anmelden aber angeblich gibt es den Benutzer nicht mehr:

Auch der Versuch das Kennwort zurückzusetzen war erfolglos. Der Tenant ist aber noch vorhanden, wenn ich nach den entsprechenden Einträgen suche:

PS C:\Get-O365Tenantinfo> .\get-o365tenantinfo.ps1 msxfaqeu.onmicrosoft.com

testdomain             : msxfaqeu.onmicrosoft.com
tenantdomain           : msxfaqeu.onmicrosoft.com
tenantname             : msxfaqeu
UserRealmDomain        : msxfaqeu.onmicrosoft.com
Cloudinstance          : O365Public
MultiGeo               : False
TenantID               : e4133e6f-1542-4dde-9f94-b7db44d81b1a
NameSpaceType          : Managed
IsViral                :
FederationBrandName    : msxfaq.eu
AzureADSSO             : Skip
DesktopSSO             : Skip
Region                 : EU
domains                : {msxfaqeu.onmicrosoft.com, msxfaq.eu}
authinfo               : NoValidDomain
Authendpoint           : NoValidAuthEndpoint
PrefCredential         : Skip
Enterpriseregistration : NotFound
Autodiscover           : Error
MX                     : NoMX
SPF                    : NotFound
DMARC                  : NotDNSRecord
DKIMDOMAIN             : ParseError
DKIMTENANT             : Skip
DKIMEXO                : ParseError
ExchangeHybrid         : Skip
Lyncdiscover           : NotFound
sipfederationtls       : NotFound
siptls                 : NotFound
sip                    : Skip
SharePointOnline       : NotFound
OneDrive               : NotFound

Natürlich ist er nur "Minimal" eingerichtet aber vorhanden. Ich habe nur keinen gültigen Benutzer mehr dazu gefunden.

Wenn jemand weiß, wie man den "Besitzer" eines Tenant ausfindig machen kann, dann bin ich um einen Tipp dankbar. Meines Wissens rückt Microsoft diese Informationen nämlich nicht heraus.

Weitere Links