TenantID

An vielen Stellen wird von einer "TenantID" gesprochen und es einige Personen behaupten sogar, dass Sie "besonders" oder geheim wäre. Es ist eine GUID, die aber alles andere als geheim ist und an viele Stellen auftaucht. Hier eine Liste:

Azure Portal/EntraID Portal

Die TenantID wird immer wieder in Dokumentationen und Code benötigt und eine Suche danach führt sehr oft zu folgender Seite bei Microsoft

Ein Administrator kann als über das Entra ID Portal sehr einfach die Tenant ID ermitteln. Dazu gibt es sogar zwei URLs, die im Grunde aber das gleiche anzeigen

Die TenantID ist auf der "Overview"-Ansicht: 

 
Quelle: https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Overview

Damit sehe ich als Administrator oder Benutzer mit Zugriff auf das Entra ID Portal schon einmal die ID.

Cross Tenant Settings

Wenn Sie nun aber auch die ID eines anderen Tenant sehen wollen, dann können Sie ebenfalls das Entra ID Portal nutzen und z.B. unter "Cross Tenant Settings" einfach die Konfiguration einer Partnerschaft zu einem anderen Tenant starten. Das kann kein Admin des anderen Tenant verhindern. Sie geben dort einfach eine Domain ein und erhalten die Tenant ID.

Im Hintergrund nutzt die Webseite eine REST-API von Microsoft. Hier am Beispiel eines Tenant, der die Domain "carius.de" registriert hat.

Allerdings ist eine Authentifizierung mit einem Bearer-Token erforderlich.

Exchange PowerShell

Auch das ein oder anderen Exchange PowerShell Commandlet liefert die TenantID mit. Hier die Abfrage des TERRL - Tenant External Recipient Rate Limit mit "Get-TenantRecipientLimitInfo".

Teams Meeting URL

Bislang waren alle Abfragen nur für einen Tenant Administrator nutzbar. Viele Jahre lang hat aber Microsoft auch die TenantID als auch die UserID in der Join-URL codiert.

Die UserID können Sie als Admin z.B. im Azure Portal sehen.

Aber auch ein Anwender kann die UserID zu einer Adresse über Teams APIs etc. ermitteln, z.B. indem er einen Chat startet oder den Status anzeigen lässt und dabei im Chromium Debugger die Antworten anschaut. Auch die UserID ist damit im Grund nicht "schützenswert"

OpenID

Der einfachste Weg, Informationen über einen Tenant zu erhalten ist eine OpenID-Abfrage. Das geht per PowerShell und Invoke-RestMethod sehr einfach. Sie müssen in der URL einfach die entsprechende Domain "uclabor.de" durch die gewünschte Domain ersetzen

Invoke-RestMethod https://login.microsoftonline.com/uclabor.de/.well-known/openid-configuration

Diese und anderen Aufrufe zur Ermittlung weiterer Tenant-Details habe ich auf Wer nutzt Office 365 und wie? beschrieben.

Microsoft Graph

Ob eine Domain oder eine TenantID gültig ist, können Sie auch mit Microsoft Graph direkt abfragen. Die erforderliche Anmeldung und ggfls. ein AppConsent für die Berechtigung "CrossTenantInformation.ReadBasic.All" sind keine wirkliche Hürde.

Webdienste

Diverse Webseiten im Internet bieten einen leichten Zugang zu genau diesen Informationen per Browser an.

Hier ein Beispiel 

Zusammenfassung

Die TenantID ist definitiv keine "Secret Information" und wenn diese bekannt wird, haben Sie nicht wirklich etwas verraten. Sie braucht manchmal ein Entwickler, um sich mit dem richtigen Tenant per API zu verbinden. Aber ansonsten lohnt sich keine Aufregung um diese Information

Weitere Links