Tenant neu anlegen

Auf dieser Seite möchte ich einen eher selten genutzten Weg beschreiben, um einen Tenant anzulegen, der aber speziell für Partner ein einfacher Weg ist, ihren Kunden den ersten Schritt zu vereinfachen.

Viele Wege, ein Ziel

Jede Nutzung von Office 365 oder Microsoft 365 beginnt mit einem entsprechenden Tenant. Interessanterweise gibt es hier gleich mehrere Wege, die teils unbeabsichtigt schon zu einem Tenant führen. Microsoft hat durchaus ein Interesse, dass Firmen, aber auch Privatpersonen/Familien, Universitäten u.a. natürlich die Dienste nutzen. Dazu gibt es gleich mehrere Wege auch kostenfrei oder über Testversionen an einen Tenant zu kommen. Dabei sollten Sie aber auch immer wissen, dass zu einem Tenant auch eine Region, ein Land, ein Rechnungsempfänger und vor allem ein "Name" gehört. Einige Einstellungen können wieder geändert werden aber einige Einstellungen lassen sich aktuell nicht ändern. Dazu zählt z.B. das Land, an dem nicht nur die Rechnungsadresse und Umsatzsteuer hängt sondern auch die "Data Location", d.h. wo letztlich ihre Daten liegen.

Wenn Sie unsicher sind, dann ziehen Sie bei diesem ersten wichtigen Schritt besser Fachpersonal zu rate, die Sie bei der Einrichtung unterstützen. Entsprechende Partner können ihnen ggfls. sogar über entsprechende Aktionen von Microsoft gerade am Anfang entsprechende Testlizenzen bereitstellen, so dass Sie die ersten Monate noch nicht an Lizenzen denken müssen.

Variante Startlizenz Tenantname Admin Beschreibung

Office 365 Trial

30 Tage Trial-Lizenz für 25 Benutzer

Manuelle Eingabe

Erster User

Wenn Sie "Admin" über die DNS-Domain sind, können Sie z.B. einfach über https://www.microsoft.com/de-de/microsoft-365/enterprise/office-365-e3?market=de direkt eine Office 365 Trial starten. Den Weg beschreiten oft kleine Firmen ohne externe Unterstützung.

PowerBI-Tenant

1000 User unlimited PowerBi Free

Maildomain ohne "Punkte", z.B. msxfaqde.onmicrosoft.com

Niemand: Viral

Wenn ein Anwender mit einer Mailadresse sich für PowerBI interessiert und diese Domain noch nicht in einem Office 365 Tenant benutzt wird, dann legt Microsoft einen Viralen Tenant an. Als Inhaber der Domain können Sie den Tenant jederzeit "übernehmen" und entweder mit zusätzlichen Lizenzen weiter betreiben oder Sie übertragen die Domain in ihren primären Tenant.
Teams Exploratory License

365 Tage 1000 User Teams Exploratory

bestehender Tenant

Admin

Durch Corona/COVID19 haben viele Firmen den Weg zur Cloud gefunden. Microsoft Teams ist da eine gute Konferenz-Plattform und Microsoft hat den Einstieg einfach gemacht, indem jeder Neukunde ohne bestehende Office 365 Lizenz kostenfrei eine Teams Exploratory License bekommen können.
Teams kostenlos

max. 300 User

Zufällig nach dem Schema family<nummer>.omicrosoft.com

Anlegender User

Dieser Tenant ist eher für Familien und der erste Admin ist z.B. bei mir eine T-Online-Adresse

Manuelle Anlage im Azure Portal

keine

Manuelle Eingabe

Anlegender User

Dies ist ein Weg, den wohl die wenigsten kennen, aber von Microsoft komplett dokumentiert ist. Sie können als Anwender im Azure-Porta (portal.azure.com) weitere Mandanten anlegen, über die Sie als "externe Identität" dann Administrator sind. Das geht ganz ohne SMS oder Mail und der Tenant hat auch keine Domain.

 

Tenant im Azure Portal anlegen

Der Weg über die "Manuelle Anlage im Azure Portal" hat durchaus seine Vorteile, z.B. wenn Sie als Dienstleister für einen neuen Kunden schon einen Tenant entsprechend "vorbereiten" wollen. Alle anderen Wege erfordern, dass der Kunde selbst aktiv wird, da der Name des Tenants, der später auch bei Sharepoint (<tenantname>.sharepoint.com) oder OneDrive (<tenantname-my>.sharepoint.com> und an diversen anderen Stellen sichtbar wird, in einigen Fällen von der SMTP-Domain abgeleitet wird und damit vielleicht nicht passend ist.

Die erste Anlage eines Tenants muss aber gar nicht über eine Trial-Version, PowerBI oder andere Wege erfolgen, sondern wer schon einen Tenant hat und Administrator ist, kann über das Azure Portal nich nur zwischen den Tenants wechseln, bei denen er administrative Rechte hat sondern auch neue Tenants anlegen.

Ich habe noch nicht ermitteln können, ob es hier Obergrenzen für "Neue Tenants pro Zeit" oder "Tenants insgesamt" gibt.

Ich starte daher als Administrator das Azure Portal und gehe auf die URL : https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview und gehe auf "Manage Tenants 

  • Manage Tenants auswählen:
  • "Create"
    Im folgenden Dialog sehe ich alle Tenants, in denen ich Administrator bin. Ein "Gast-Benutzer" kann also durchaus auch "Administrator" in einem anderen Tenant sein oder dort mit seiner Identität als Mitglied arbeiten. Ich möchte hier aber nicht den Tenant wechseln, sondern einen neuen Tenant anlegen:
  • Auswahl des Azure AD-Typs
    Für einen "normalen Tenant" ist die Option "Azure Active Directory" richtig. Die zweite Option "Azure Active Directory (B2)" erlaubt ihnen in ihrem Tenant einen weiteren Tenant anzulegen, über den Sie z.B. eine Authentifizierung von anderen "Consumer"-Benutzern bereitstellen können, so dass diese dort einen "Gast" erhalten und nicht in ihrem eigenen Tenant erscheinen.

    Der "Learn more"-Links geht auf https://docs.microsoft.com/de-de/azure/active-directory/fundamentals/active-directory-whatis?WT.mc_id=Portal-Microsoft_AAD_IAM
  • Name und Region
    Nun müssen Sie aufpassen, denn der "Initial domain name" erscheint später z.B. auch bei "<tenantname>.sharepoint.com" und anderen Stellen und kann nicht mehr geändert werden. Ich hoffe, dass ihr Wunschname noch nicht anderweitig verwendet ist. Er kann nachträglich nicht mehr geändert werden. Die zweite wichtige Einstellung ist die Region. Auch diese Einstellung ist später nicht mehr änderbar. Nur der "Organization name" kann später wieder angepasst werden.

    Sollte der Namen schon belegt sein, dann wird dies hier umgehend angezeigt:

    Sie können natürlich versuchen, den aktuellen Inhaber ausfindig zu machen. Ich kann ihnen per Skript zumindest den "Organization name" und ggfls. zusätzliche Domains ermitteln. (Siehe auch  Wer nutzt Office 365 und wie?). Vielleicht ist es ein Viraler Tenant oder PowerBI-Tenant und kann sogar übernommen werden. Vielleicht ist es aber auch eine Tochter, die einfach schon mal schneller war.
  • Zusammenfassung
    Ehe der Tenant nun angelegt, und der Namen quasi für mindestens 180 Tage belegt ist, zeigt ihnen AzureAD noch mal die Einstellungen an. Viel sind es ja nicht.
  • Verifikation per Captcha
    Wenn Sie einen PowerBI-Tenant oder "Trial-Tenant" anlegen, dann müssen Sie ihre Identität per Rufnummer, Mailadresse und SMS nachweisen. Dieser Schritt entfällt hier, denn ich bin ja durch meine bestehende Anmeldung am AzureAD schon "bekannt". Dennoch müssen Sie zumindest ein einfaches Captcha lösen.

    Danach heißt es erst einmal etwas warten, denn die Anlage des Tenant
  • Abschlussmeldung
    Nach wenigen Minuten ändert sich einfach die Anzeige

    Der Link verweist direkt auf das neue AzureAD https://portal.azure.com/msxfaq.onmicrosoft.com#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview

Der Tenant selbst ist noch überschaubar.

Der neue Tenant erscheint auch in meiner Tenant-Liste.

Tenant mit Administratoren versehen

Der neue Tenant hat natürlich aktuell nur den Admin aus dem anderen Tenant als einzigen globalen Admin. Das sollten wir schleunigst ändern und mindestens zwei "Cloud Only"-Admins in dem Tenant anlegen. Die Zugangsdaten kann ich an den Kunden aushändigen, so dass er "seinen" Tenant selbst administrieren und sogar meinen initialen Benutzer entfernen kann.

Ich habe mir angewöhnt, im Tenant mindestens zwei "Globale Administratoren" zu haben, die sich mit einem UPN aus der Domain "<tenantname>.onmicrosoft.com" anmelden, damit sie sicher unabhängig von einer späteren ADSync-Einrichtung bestehen bleiben. Hier ein Beispiel. Denken Sie auch daran, dass Sie dem Benutzer die entsprechende Rolle zuweisen.

Als nächstes sollten sich die Administratoren natürlich anmelden und das Startkennwort ändern. Idealerweise sollten Sie dann auch noch Multifaktor-Authentifizierung aktivieren. Auch eine funktionierende Mailadresse für eine Kennwort-Rücksetzung sollte der Administrator hinterlegen. Er wird darauf auch bei der ersten Anmeldung hingewiesen.

Noch ist in dem Tenant aber auch die Person ein Administrator, die den Tenant angelegt hat. Denken Sie irgendwann daran, die Berechtigungen dieses Kontos ggfls. anzupassen oder das Konto zu deaktivieren und irgendwann auch zu löschen.

Hinweis:
Allein das Recht "Global Admin" in einem anderen Tenant reicht nicht aus, dass Sie im normalen Microsoft Admin Portal unter https://admin.microsoft.com auch den Tenant wechseln können. Das geht erst, nachdem der Tenant ihre Firma als "Partner" eingetragen hat. Mein Workaround: Ich nutze für den Zugriff auf andere Tenants dort angelegte eigenen Admin-Konten ohne Lizenz oder verwalte über das Azure-Portal (https://portal.azure.com).

Wenn ihr Tenant durch einen Partner angelegt wurde, dann können Sie den Partner auch als "DPOR" oder "Delegate Admin" eintragen.

Organisationsinformation pflegen

Die Zeit die beim Anlegen des Tenant gespart haben, sollten Sie bei der Pflege der Organisationsdaten investieren. Unter der URL https://admin.microsoft.com/Adminportal/Home#/Settings/OrganizationProfile/:/Settings/L1/OrganizationInformation oder über die entsprechenden Menüpunkte sollten Sie die Daten prüfen und aktualisieren.

Die hier gemachten Eintragungen tauchen z.B. auf Rechnungen auf

Hier sehen sie auch, das mein externes Konto als Kontakt hinterlegt ist. Das sollte auf jeden Fall eine gültige Mailadresse sein.

Lizenzen

Der neu angelegte Tenant hat nur eine "Azure AD Free" Lizenz, die aber nicht in der Übersicht auftaucht.

Als Administrator kann ich hier (Stand Dez 2021) nur zwei "Trial"-Lizenzen bei Bedarf aktivieren.

  • EMS E5 für 250 Clients und 90 Tage
    Das kann ich machen aber bringt nur weiter, wenn ich Intune etc. testen will und andere Lizenzen für Exchange u.a. haben
  • Azure AD Premium Plan 2 für 100 Benutzer und 30 Tage
    Das ist relativ kurz und gerade Conditional Access macht ja mit Intune viel mehr Sinn. Zudem ist dieser Plan 2 auch in der EMS E5 Trial für 90 Tage drin.

Ich kann hier aber keine Office 365 oder Microsoft 365 Lizenzen zum Testen aktivieren. Das geht aber im Admin Portal. Interessanterweise kann ich da aber nicht mit meinem "Federated User" über "https://admin.microsoft.com" hin wechseln, sondern muss schon einen Admin-Benutzer direkt in dem Tenant nutzen. Auch hier sehe ich keine Lizenzen.

Sie können hier natürlich regulär weitere Lizenzen kaufen oder auch Testlizenzen addieren. Allerdings müssen Sie spätestens dann auch sich Gedanken über die Abrechnungsdaten machen. Interessanter ist aber, solange es noch geht, die Option auf https://admin.microsoft.com/Adminportal/Home#/Settings/Services/:/Settings/L1/Store zu setzen, dass Anwender sich selbst eine "Trial Lizenz" besorgen:

Wenn Sie sich dann z.B. als Administrator anmelden, bekommen Sie eine "Teams Exploratory License" für 100 Benutzer und 365 Tage. Diese Lizenz erlaubt nicht nur Teams sondern hat auch ein Exchange Online Postfach, SharePoint, OneDrive und ist fast eine Office 365 E1-Lizenz. Sie enthält aber kein Office 365 Pro Plus, d.h. Word, Excel, PowerPoint und Co sind damit nicht zu lizenzieren.

In den Details sehen Sie dann, wie lange ihnen diese "Test-Lizenz" zur Verfügung steht.

Ich denke, dass in 365 Tagen die meisten Firmen festgelegt haben dürften, ob und in welchem Umfang sie Office 365 nutzen wollten. Sie reicht zumindest für bis zu 100 Benutzer auch für erste Testmigrationen in neue Exchange Postfächer, denn der Exchange Online Plan 1 erlaubt bis zu 50 GB Postfächer und jeder Benutzer kann bis zu 1TB im OneDrive ablegen.

Weitere Einstellungen

Die bisher gemachten Einstellungen sind nur die minimalen Schritte zur Bereitstellung eines Tenants für einen Kunden. Die Standardeinstellungen in Teams, Exchange, Lizenzen, Azure Consent, u.a. sind aber aus meiner Sicht zu unsicher. In dem Zuge sollte der Inhaber des Tenants die einzelnen Einstellungen durchgehen, gemäß den Anforderungen umsetzen und dokumentieren. Als erster Anhaltspunkt kann meine Checkliste dienen:

Nach der Umsetzung der wichtigen Einstellungen sollte der Tenant zumindest grundlegend abgesichert sein. Aber auch dann ist ihre Reise noch nicht zu Ende sondern fängt erst an. Ich denke da an:

  • DNS-Domains addieren
  • Identity mit ADSync einrichten
  • Exchange Basiskonfiguration, Mailrouting, Hybrid und Migration
  • Microsoft Teams Richtlinien und Einstellungen
  • Office 365 Pro Plus Rollout
  • Device-Management mit Intune

Das sind nur ein paar "technische" Schlagworte. Eine Microsoft 365 -Einführung ist aber nur zum kleinen Teil die "Technik" und viel mehr Zeit geht für die Einführung der neuen Arbeitsweisen durch Schulungen und Informationen bei den Mitarbeitern. Stichworte wie "Change Management", "Projektmanagement", "User Adoption" etc. werden hier gerne gebraucht und haben viel nicht zu unterschätzenden Anteil einer Office 365 Einführung.

Weitere Links