Viraler Tenant

Diese Seite beschreibt die Gründe, wenn Sie in ihren neu beantragten Tenant nicht ihre eigene DNS-Domain der Firma addieren können. Das könnte dran liegen, dass die Domain schon einem anderen Tenant zugewiesen ist, den Sie noch gar nicht kennen.

Domains und Tenants

Normalweise legen Firmen ihren ersten Office 365 Tenant "geplant" mit einem Administrator an. Das geht über eine Evaluierungsoption, bei dessen Einrichtung das Portal anhand der Mailadresse auch den "<tenantname>.onmicrosoft.com"-Namen ableitet. Sie können in der Phase aber den vorgeschlagenen Namen anpassen, sofern dieser noch nicht belegt ist. Für den "onmicrosoft.com"-Namen gibt es keinen Markenschutz o.ä. und so gibt es einige namhafte Firmen, die ihren Namen leider nicht nutzen konnten, weil jemand anderes schon schneller war. Auf der Seite Wer nutzt Office 365 und wie? habe ich beschrieben, wie ich die Nutzung einer Domain im Office 365-Umfeld überprüfen kann. Es kann durchaus sein, dass der "Tenantname" nämlich schon durch andere Firmen in Verwendung ist, die vor ihnen mit Office 365 angefangen haben.

  • faz.onmicrosoft.com
    Facharztzentrum für Allgemeinmedizin (faz-roedermark.de) und nicht die FAZ (Frankfurter Allgemeine Zeitung)
  • ard.onmicrosoft.com
    Dürfte eine Firma in Neuseeland mit Namen "A R Distributors" mit der Domain ardistributors.co.nz sein und nicht der Fernsehsender ARD
  • rtl.onmicrosoft.com
    Geht hört auch nicht dem Privatsender RTL, sondern "RTL-Networks, Inc." in Nordamerika mit den Domains rtl-enterprises.com und RTL-Networks.com.
  • ffh.onmicrosoft.com
    Gehört der Freiwilligen Feuerwehr Holzgerlingen, die wohl die Abkürzung als Tenantname genutzt hat und nicht der Radioanstalt. Ist ja auch schön kurz.

All diese "geplanten Tenants" sind aber korrekt angelegt und haben registrierte DNS-Domäne. Solche Tenants können Sie nur "übernehmen", wenn Sie den aktuellen Inhaber kaufen. Ansonsten gibt es hier einen Schutz. Allerdings haben solche Tenants sicher nicht ihre DNS-Domain registriert, es sei denn, dass ein früher "Tenant" aus Versehen angelegt und dann vergessen wurde. Dann wird es knifflig, wenn niemand mehr den Administrator kennt und auch der Versuch eine "Rücksetzung" von "admin@<tenantname>.onmicrosoft.com" in verschiedenen Schreibweisen nicht gelingt, weil der Admin anders lautet. Dann kann nur Microsoft helfen.

Unmanaged Tenant

Es gibt aber noch eine "besondere" Konstellation, bei der Microsoft von einem "unmanaged Tenant" oder "viralen Tenant" spricht. Es ist nämlich möglich, dass jeder Mitarbeiter einer Firma absichtlich oder aus versehen einen Tenant anlegt, sofern er eine Mailadresse mit der Firmen Domain hat. Der Prozess ist sehr einfach:

  • Anwender meldet sich auf "powerbi.com" an
    Er kann ja "Interesse" an PowerBI haben und lädt sich nicht den "PowerBI Desktop", sondern meldet sich an.
  • Stammdaten anlegen
    Das Portal fragt dann noch Vorname, Nachname etc. und sendet einen Bestätigungslink an die Firmenmailadresse. Wenn dies ein weiterer Benutzer ist, dann fragt das Portal, ob man sich zum Administrator machen will, was der Anwender aber ohne Folgen ablehnen kann.
  • Im Hintergrund legt Microsoft einen Tenant an
    Den Tenantname formt Microsoft dabei aus der Mail-Domain, d.h. "msxfaq.de -> msxfaqde.onmicrosoft.com", legt den Benutzer mit dem Kennwort an und addiert sogar die Maildomain.
    Ab dem Moment ist das ein "Viraler Tenant", dem diese Domain zugeordnet ist.

Angeblich gibt es noch einen zweiten Fall: Wenn Sie über "Microsoft Learn" kostenfrei eine Azure Sandbox-Umgebung einrichten, wird wohl auch ein viraler Tenant im Hintergrund angelegt.

Ob eine Domain so einem "Viralen Tenant" zugeordnet ist, können Sie mit wenigen Zeilen PowerShell mal schnell ermitteln.

$testdomain = "msxfaq.de"
$UserRealm = Invoke-RestMethod ('https://login.microsoftonline.com/common/userrealm/user@'+$($testdomain)+'?api-version=2.1')
Write-host "NameSpaceTypel: $($UserRealm.NameSpaceType)"
Write-host "IsViral:        $($UserRealm.IsViral)"

Mögliche Ausgaben sind:

NameSpaceType IsViral Beschreibung

Managed

<leer>

Dies ist ein "verwalteter" Tenant, indem es einen Administrator gibt oder gab. Wenn Sie keine Zugangsdaten haben, dann sollten Sie herumfragen, die Buchhaltung nach Rechnungen von Microsoft konsultieren oder ein Support-Ticket eröffnen. Wenn der Tenant ihre Domain erfolgreich registriert hat, musste damals jemand die Hoheit über ihre DNS-Zone haben.

Unknown

<leer>

Bislang bedeutete dies, dass die angegebene Test-Domain gar nicht in Office 365 bekannt ist und Sie diese problemlos zu ihrem Tenant addieren können.

Unknown

True

Hier handelt es sich um einen viralen Tenant, den jeder Benutzer mit einem Postfach in der Domain und Schreibzugriff auf den DNS-Zonendatei übernehmen kann.

Managed

True

Auch das ist ein viraler Tenant, den jeder Benutzer mit einem Postfach in der Domain und Schreibzugriff auf den DNS-Zonendatei übernehmen kann.

Wenn das Feld "IsViral" auf "True" steht, dann ist die Domain in einem viralen Tenant registriert aber noch nicht verifiziert.

Einschränkungen

Über den Weg eines "viralen Tenants" können normaler Anwender sich mit ihrer Mailadresse ein Office 365 Konto "besorgen", ohne dass die Firmen-IT davon etwas mitbekommen. Erst wenn die Firma selbst einen Tenant einrichtet und dann die eigene Domain aktivieren will, fällt dies aus und muss gelöst werden. Dennoch ist das Konto in einem viralen Tenant kein vollwertiges Konto:

  • Keine "Kauflizenz"
    Der User kann nur die kostenfreien PowerBI-Lizenzen nutzen aber keine kommerziellen Angebote dazu buchen.
  • Kein Gast-Benutzer
    Der Anwender im viralen Tenant kann nicht als Gast in anderen Tenants addiert werden.
  • Kein B2B Connect
    Die Anwender in einem viralen Tenant können nicht als B2B Connect-Identitäten genutzt werden. Ein Zugriff auf Teams Shared Channel ist daher nicht möglich.
  • Kein Teams/Federation
    Mir ist es auch noch nicht gelungen, mit einem viralen Benutzer und z.B. der Teams Exploratory License per Federation mit anderen Personen zu kommunizieren
  • Kein Volume License Portal
    Seit Microsoft sein Volumenlizenzportal von Microsoft--Konten (vormals LiveID, Passport) auf AzureAD umgestellt hat, haben viele Kunden ebenfalls einen "Tenant" mit einem AzureAD-Konto, von dem Sie aber nicht wussten. Sie können Sie aber mit dem Konto nicht dort anmelden, weil Sie kein Lizenz-Admin oder sogar GlobalAdmin sind.

Der virale Tenant ist aber trotz der Einschränkungen natürlich schon ein Risiko für eine Firma, wenn Mitarbeiter z.B. Firmendaten ohne Abstimmung in PowerBI verarbeiten. Das kann technisch natürlich durch die Verwaltung der eigenen Domains in einem richtigen Tenant erfolgen. Das geht auch, wenn der Tenant keine Lizenz hat und damit keine Kosten verursacht.

Domain übernehmen

Sie können die DNS-Domain, die einem viralen Tenant zugewiesen ist, auf zwei Wege übernehmen:

  • Interne Übernahme
    Sie legen selbst ein "Konto" im viralen Tenant an und machen dieses dann zum Administrator
  • Externe Übernahme
    Sie "ziehen" sich als Admin eines anderen Tenants die Domain in ihren Tenant. Dabei werden auch die viralen Benutzer mit in ihren Tenant umgezogen

Interne Übernahme

Wenn Sie schon ein Konto in dem viralen Tenant haben oder eins anlegen wollen und der virale Tenant ihr "Produktiver Tenant" werden sollte, dann ist eine interne Übernahme der richtige Weg. Folgende Schritte sind dazu erforderlich:

  1. Eigenes Konto über www.powerbi.com anlegen
    zuerst tun sie so, als wären sie ebenfalls ein Mitarbeiter mit einem Postfach in der fraglichen DNS-Domain und legen sich ein Konto an
  2. Zum Admin werden
    Bei der Anfrage, ob Sie vieleicht Administrator werden wollen, müssen Sie nun natürlich zustimmen. Der Assistent wird sie dann natürlich bitten ihre Berechtigung nachzuweisen.
  3. DNS-Eintrag
    Dazu müssen Sie in der öffentlichen DNS-Zone der fraglichen Domäne einen TXT-Eintrag addieren, den Office 365 prüft.
  4. Anmelden als Admin an portal.office365.com
    Nun ist ihr Konto "Administrator" aber ist erst auf PowerBI. Über das Portal kommen Sie aber nun in die normale Office 365-Verwaltung
  5. Domain-Verwendung prüfen
    Sie können im Portal nun alle Benutzer sehen, die auch schon vorher den "PowerBI"-Irrweg eingeschlagen haben und vielleicht sogar mit Daten arbeiten. Die "Usage-Reports" helfen bei der Einschätzung, welche Daten vorhanden sein könnten.
  6. UPN freigeben
    Ehe Sie die Domain löschen können, müssen Sie die Domain freigeben. Das versucht der Assistent auch alleine aber ich habe mir angewöhnt schon noch einmal die Anwender zu informieren, dass Sie für den Zugriff auf ihre Daten nicht mehr ihre "Mailadresse" als Anmeldename verwenden können sondern eine "onmicrosoft.com"-Adresse, die ich als Administrator pro Benutzer einstelle.
  7. DNS-Domain löschen
    Wenn am Ende niemand mehr die Domain nutzt, dann kann ich sie in diesem Tenant auch entfernen

Nach wenigen Minuten kann ich im richtigen Tenant dann die Domain wieder addieren, per DNS-Eintrag verifizieren und dann produktiv nutzen.

Wenn die Quelle ein viraler Tenant ist, dann können sie sogar direkt die "Übernahme" einer Domain von dort aus starten. Der Assistenz führt sie dann dazu, ein Konto in dem vitalen Tenant anzulegen und die Domain umzuziehen.

Der Dialog unterscheidet sich davon, wenn die Domain schon in einem anderen Tenant verifiziert wurde.

Externe Übernahme

Ohne Admin in so einem viralen Tenant können Sie natürlich nicht erkennen, welche Anwender in dem Tenant schon aktiv sind. Daher ist eine interne Übernahme oft bevorzugt, um erst einmal zu sehen, wer diesen Tenant wie genutzt hat. Eine externe Übernahme der Domain in einen anderen Tenant hat aber einen großen Vorteil, dass die Benutzer aus dem viralen Tenant in den neuen Tenant übernommen werden und weiterarbeiten können. Dieser Weg steht leider nicht mehr zu Verfügung, wenn der Tenant nicht mehr "viral" ist.

Diese Übernahmen ist aber nur per Powershell und nicht per Browser möglich.

#Installieren des MSOnline Moduls
Install-Module -Name MSOnline

Anmelden als Administrator im übernehmenden Tenant
Connect-MSOLSservice 

# DNS TXT-Record für die zu übernehmende Domain abfragen
Get-MsolDomainVerificationDns –DomainName <dnsdomain> –mode DnsTxtRecord

# Diesen TXT-Record müssen Sie nun erst im externen DNS der Domäne hinterlegen. Damiz beweisen Sie, dass Sie "berechtigt" sind

# Übernahme der Domain
Confirm-MsolDomain –DomainName <dnsdomain> –ForceTakeover Force

Nun sollte die Domain in ihrem Tenant aktiv sein. Der alte virale Tenant bleibt mit seiner "onmicrosoft.com"-Adresse zurück. Ich habe noch nicht geprüft, wann Microsoft diese Leiche dann wegräumt aber er hat ja keine Lizenz und keine Domain und keine Benutzer. Insofern stört er maximal eine andere Firme, die einen Tenant mit dem Namen bekommen möchte.

Authentication mit viralem Tenant

Mit Office 365 und dem dahinter liegenden Azure AD können sich normalerweise die Anwender auch an anderen Diensten authentifizieren, d.h. ein Anwender kann z.B. auf "EDX.ORG" oder Dienste anderer Tenants mit seinem eigenen Benutzernamen zugreifen oder als Gast eingeladen werden. Genau das funktioniert aber nicht mit viralen Tenants. Dort hat sich der Benutzer zwar mit seine UPN authentifiziert, aber da die Domain selbst nicht korrekt verifiziert wurde, ist es nur eine eingeschränkte Anmeldung. Der Anwender eines viralen Tenants kann daher auch keinen "Consent" für andere Apps erteilen. Eine Fehlermeldung könnte sein:

Error: Uncaught (in promise): OAuthErrorEvent: 
{
   "type":"token_error",
   "2reason":{},
   "params":{
      "error":"access_denied",
      "error_description":"AADSTS650051:+Using+application+'MSXFAQ+Portal'+is+currently+not+supported+
              for+your+organization+msxfaq.eu+because+it+is+in+an+unmanaged+state.+
              An+administrator+needs+to+claim+ownership+of+the+company+by+
              DNS+validation+of+msxfaq.eu+before+the+application+MSXFQ+Portal+can+be+provisioned.\r\n
          Trace+ID:+28e6fe65-5a50-45ab-ba18-d689484b5800\r\n
          Correlation+ID:+4b4351e8-ecde-4bde-ba82-bd2e594f0ec2\r\n
          Timestamp:+2021-12-14+09:05:30Z",
      "state":"xxxxxxxx;openIdConnect=1"}}

Wer die Fehlermeldung genau liest und nun auch um die Besonderheiten eines " viralen Tenants" weiß, kann das Problem ganz schnell aus der Welt schaffen.

Weitere Links