Viraler Tenant

Diese Seite beschreibt die Gründe, wenn Sie in ihren neu beantragten Tenant nicht ihre eigene DNS-Domain der Firma addieren können. Das könnte dran liegen, dass die Domain schon einem anderen Tenant zugewiesen ist, den Sie noch gar nicht kennen.

Domains und Tenants

Normalweise legen Firmen ihren ersten Office 365 Tenant "geplant" mit einem Administrator an. Das geht über eine Evaluierungsoption, bei dessen Einrichtung das Portal anhand der Mailadresse auch den "<tenantname>.onmicrosoft.com"-Namen ableitet. Sie können in der Phase aber den vorgeschlagenen Namen anpassen, sofern dieser noch nicht belegt ist. Für den "onmicrosoft.com"-Namen gibt es keinen Markenschutz o.ä. undso gibt es einige namhafte Firmen, die ihren Namen leider nicht nutzen konnten, weil jemand anderes schon schneller war. Auf der Seite Wer nutzt Office 365 und wie? habe ich beschrieben, wie ich die Nutzung einer Domain im Office 365-Umfeld überprüfen kann. Es kann durchaus sein, dass der "Tenantname" nämlich schon durch andere Firmen in Verwendung ist, die vor ihnen mit Office 365 angefangen haben.

  • faz.onmicrosoft.com
    Facharztzentrum für Allgemeinmedizin (faz-roedermark.de) und nicht die Zeitung FAZ
  • ard.onmicrosoft.com
    Dürfte eine Firma in Neuseeland mit Namen "A R Distributors" mit der Domain ardistributors.co.nz sein und nicht der Fernsehsender ARD
  • rtl.onmicrosoft.com
    Geht hört auch nicht dem Privatsender, sondern "RTL-Networks, Inc." in Nordamerika mit den Domains rtl-enterprises.com und RTL-Networks.com.
  • ffh.onmicrosoft.com
    Gehört der Freiwilligen Feuerwehr Holzgerlingen, die wohl die Abkürzung als Tenantname genutzt hat. Ist ja auch schön kurz.

All diese "geplanten Tenants" sind aber korrekt angelegt und haben registrierte DNS-Domäne. Solche Tenants können Sie nur "übernehmen", wenn Sie den aktuellen Inhaber kaufen. Ansonsten gibt es hier einen Schutz. Allerdings haben solche Tenants sicher nicht ihre DNS-Domain registriert, es sei denn, dass ein früher "Tenant" aus Versehen angelegt und dann vergessen wurde. Dann wird es knifflig, wenn niemand mehr den Administrator kennt und auch der Versuch eine "Rücksetzung" von "admin@<tenantname>.onmicrosoft.com" in verschiedenen Schreibweisen nicht gelingt, weil der Admin anders lautet. Dann kann nur Microsoft helfen.

Unmanaged Tenant

Es gibt aber noch eine "besondere" Konstellation, bei der Microsoft von einem "unmanaged Tenant" oder "viralen Tenant" spricht. Es ist nämlich möglich, dass jeder Mitarbeiter einer Firma absichtlich oder aus versehen einen Tenant anlegt, sofern er eine Mailadresse mit der Firmen Domain hat. Der Prozess ist sehr einfach:

  • Anwender meldet sich auf "powerbi.com" an
    Er kann ja "Interesse" an PowerBI haben und lädt sich nicht den "PowerBI Desktop", sondern meldet sich an.
  • Stammdaten anlegen
    Das Portal fragt dann noch Vorname, Nachname etc. und sendet einen Bestätigungslink an die Firmenmailadresse. Wenn dies ein weiterer Benutzer ist, dann fragt das Portal, ob man sich zum Administrator machen will, was der Anwender aber ohne Folgen ablehnen kann.
  • Im Hintergrund legt Microsoft einen Tenant an
    Den Tenantname formt Microsoft dabei aus der Mail-Domain, d.h. "msxfaq.de -> msxfaqde.onmicrosoft.com", legt den Benutzer mit dem Kennwort an und addiert sogar die Maildomain.
    Ab dem Moment ist das ein "Viraler Tenant", dem diese Domain zugeordnet ist.

Angeblich gibt es noch einen zweiten Fall: Wenn Sie über "Microsoft Learn" kostenfrei eine Azure Sandbox-Umgebung einrichten, wird wohl auch ein viraler Tenant im Hintergrund angelegt.

Ob eine Domain so einem "Viralen Tenant" zugeordnet ist, können Sie mit wenigen Zeilen PowerShell mal schnell ermitteln.

$testdomain = "msxfaq.de"
$UserRealm = Invoke-RestMethod ('https://login.microsoftonline.com/common/userrealm/user@'+$($testdomain)+'?api-version=2.1')
Write-host "NameSpaceTypel: $($UserRealm.NameSpaceType)"
Write-host "IsViral:        $($UserRealm.IsViral)"

Mögliche Ausgaben sind:

NameSpaceType IsViral Beschreibung

Managed

<leer>

Dies ist ein "verwalteter" Tenant, indem es einen Administrator gibt oder gab. Wenn Sie keine Zugangsdaten haben, dann sollten Sie herumfragen, die Buchhaltung nach Rechnungen von Microsoft konsultieren oder ein Support-Ticket eröffnen. Wenn der Tenant ihre Domain erfolgreich registriert hat, musste damals jemand die Hoheit über ihre DNS-Zone haben.

Unknown

<leer>

Bislang bedeutete dies, dass die angegebene Test-Domain gar nicht in Office 365 bekannt ist und Sie diese problemlos zu ihrem Tenant addieren können.

Unknown

True

Hier handelt es sich um einen viralen Tenant, den jeder Benutzer mit einem Postfach in der Domain und Schreibzugriff auf den DNS-Zonendatei übernehmen kann.

Managed

True

Auch das ist ein viraler Tenant, den jeder Benutzer mit einem Postfach in der Domain und Schreibzugriff auf den DNS-Zonendatei übernehmen kann.

Wenn das Feld "IsViral" auf "True" steht, dann ist die Domain in einem viralen Tenant registriert aber noch nicht verifiziert.

Domain übernehmen

Sie können die DNS-Domain, die einem viralen Tenant zugewiesen ist, nicht einfach in einen anderen Tenant umziehen. Sie müssen erst den viralen Tenant als Administrator übernehmen und dann die DNS-Domain dort freigeben. Das ist natürlich nur erforderlich, wenn die den per PowerBI angelegten Tenant nicht zu ihrem produktiven Tenant machen wollen.

Folgende Schritte sind dazu erforderlich:

  1. Eigenes Konto über www.powerbi.com anlegen
    zuerst tun sie so, als wären sie ebenfalls ein Mitarbeiter mit einem Postfach in der fraglichen DNS-Domain und legen sich ein Konto an
  2. Zum Admin werden
    Bei der Anfrage, ob Sie vieleicht Administrator werden wollen, müssen Sie nun natürlich zustimmen. Der Assistent wird sie dann natürlich bitten ihre Berechtigung nachzuweisen.
  3. DNS-Eintrag
    Dazu müssen Sie in der öffentlichen DNS-Zone der fraglichen Domäne einen TXT-Eintrag addieren, den Office 365 prüft.
  4. Anmelden als Admin an portal.office365.com
    Nun ist ihr Konto "Administrator" aber ist erst auf PowerBI. Über das Portal kommen Sie aber nun in die normale Office 365-Verwaltung
  5. Domain-Verwendung prüfen
    Sie können im Portal nun alle Benutzer sehen, die auch schon vorher den "PowerBI"-Irrweg eingeschlagen haben und vielleicht sogar mit Daten arbeiten. Die "Usage-Reports" helfen bei der Einschätzung, welche Daten vorhanden sein könnten.
  6. UPN freigeben
    Ehe Sie die Domain löschen können, müssen Sie die Domain freigeben. Das versucht der Assistent auch alleine aber ich habe mir angewöhnt schon noch einmal die Anwender zu informieren, dass Sie für den Zugriff auf ihre Daten nicht mehr ihre "Mailadresse" als Anmeldename verwenden können sondern eine "onmicrosoft.com"-Adresse, die ich als Administrator pro Benutzer einstelle.
  7. DNS-Domain löschen
    Wenn am Ende niemand mehr die Domain nutzt, dann kann ich sie in diesem Tenant auch entfernen

Nach wenigen Minuten kann ich im richtigen Tenant dann die Domain wieder addieren, per DNS-Eintrag verifizieren und dann produktiv nutzen.

Wenn die Quelle ein viraler Tenant ist, dann können sie sogar direkt die "Übernahme" einer Domain von dort aus starten. Der Assistenz führt sie dann dazu, ein Konto in dem vitalen Tenant anzulegen und die Domain umzuziehen.

Der Dialog unterscheidet sich davon, wenn die Domain schon in einem anderen Tenant verifiziert wurde.

Authentication mit viralem Tenant

Mit Office 365 und dem dahinter liegenden Azure AD können sich normalerweise die Anwender auch an anderen Diensten authentifizieren, d.h. ein Anwender kann z.B. auf "EDX.ORG" oder Dienste anderer Tenants mit seinem eigenen Benutzernamen zugreifen oder als Gast eingeladen werden. Genau das funktioniert aber nicht mit viralen Tenants. Dort hat sich der Benutzer zwar mit seine UPN authentifiziert, aber da die Domain selbst nicht korrekt verifiziert wurde, ist es nur eine eingeschränkte Anmeldung. Der Anwender eines viralen Tenants kann daher auch keinen "Consent" für andere Apps erteilen. Eine Fehlermeldung könnte sein:

Error: Uncaught (in promise): OAuthErrorEvent: 
{
   "type":"token_error",
   "2reason":{},
   "params":{
      "error":"access_denied",
      "error_description":"AADSTS650051:+Using+application+'MSXFAQ+Portal'+is+currently+not+supported+
              for+your+organization+msxfaq.eu+because+it+is+in+an+unmanaged+state.+
              An+administrator+needs+to+claim+ownership+of+the+company+by+
              DNS+validation+of+msxfaq.eu+before+the+application+MSXFQ+Portal+can+be+provisioned.\r\n
          Trace+ID:+28e6fe65-5a50-45ab-ba18-d689484b5800\r\n
          Correlation+ID:+4b4351e8-ecde-4bde-ba82-bd2e594f0ec2\r\n
          Timestamp:+2021-12-14+09:05:30Z",
      "state":"xxxxxxxx;openIdConnect=1"}}

Wer die Fehlermeldung genau liest und nun auch um die Besonderheiten eines " viralen Tenants" weiß, kann das Problem ganz schnell aus der Welt schaffen.

Weitere Links