cloud.microsoft-Name

Am 26. April 2023 hat Microsoft per Blog-Eintrag veröffentlicht, dass nach und nach alle Cloud-Dienste unter einem neuen gemeinsamen Domainnamen veröffentlicht werden sollen. Das soll es für Anwender und Administratoren einfacher machen. Betrachten wie die Auswirkungen aus verschiedenen Aspekten.

Im Zeitraum April 2024 sind in der offiziellen Office365/Microsoft 365 IP-Liste die neuen Namen aufgeführt

Bisher: Viele DNS-Namen

Einige Jahrzehnte war "www.microsoft.com" die Adresse zu allen Produkten, Marketing, Informationen zur Firma Microsoft aber damals gab es noch keine "Dienste" für Anwender wie Microsoft 365. Die ersten Nutzer der Cloud-Lösungen haben entweder Azure unter "https://portal.azure.com" angesprochen oder ihre Postfach unter "https://outlook.office.com". Sehr schnell wurde aber immer mehr Produkte auch in der Cloud angeboten oder sogar nur in der Cloud verfügt. Jedes dieser Produkte hatte eine eigene URL und so sind für den Anwender eine ganze Menge von Adressen zusammengekommen, die Microsoft selbst schön in einem Bild dargestellt hat:


Quelle: Introducing cloud.microsoft: a unified domain for Microsoft 365 apps and services
https://techcommunity.microsoft.com/t5/microsoft-365-blog/introducing-cloud-microsoft-a-unified-domain-for-microsoft-365/ba-p/3804961

Sie sehen selbst, dass einige Dienste wie Teams direkt unter der "microsoft.com"-Domain platziert wurden, während andere Dienste wie "onedrive.com" einen ganz eigenen Namen bekommen haben und auch die Zukäufe wie "Yammer" eigene Domains verwenden. Auch die "office.com"-Domain ist mittlerweile für mehr als nur Exchange Online genutzt.

Weil das Chaos noch nicht komplett ist, haben auch die Administratoren mehrerer Domains, die sich in der Vergangenheit auch geändert haben. Hier scheint sich nun ein Muster gefunden zu haben.

admin.microsoft.com
admin.teams.microsoft.com
admin.exchange.microsoft.com

Zukunft: cloud.microsoft

Dass Microsoft von diesem Wirrwarr weg möchte, ist verständlich. Allerdings wird das sicher eher Jahre denn Monate dauern, denn einige Adressen sind sicher in Konfiguration (Proxy Exception, AllowLists) hinterlegt und im schlimmsten Fall sind Adressen wie der EWS-Zugang sogar in Applikationen fest verdrahtet. Selbst Anwender werden URls z.B. in Browsern als Favoriten und Kennworttresoren hinterlegt haben und auch Cookies und Links in Mails auf freigegebene OneDrive-Dokumente lassen sich nun mal nicht rückwirkend ändern. Laut Animation sieht Microsoft folgende URLs erst einmal vor.

    viva.cloud.microsoft
 outlook.cloud.microsoft
  status.cloud.microsoft
    loop.cloud.microsoft
onedrive.cloud.microsoft
   teams.cloud.microsoft
    sway.cloud.microsoft

Ich bin aber sicher, dass dies nicht die einzigen URLs bleiben werden. Mittlerweile veröffentlicht Microsoft die neuen Namen sogar schon in der Liste:


Quelle: Office 365 URLs and IP address ranges
https://learn.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide

Seit ca. April 2024 wird der neue Name für Exchange Online mittlerweile aufgeführt. Im Eintrag 184 wird der komplette Namensraum aufgeführt:


Quelle: Office 365 URLs and IP address ranges
https://learn.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide

Allerdings dauert so eine Umstellung natürlich und wird langsam eingeführt. So wird es sicher noch einige Zeit auch die bisherigen URLs parallel geben. Das bedeutet allerdings auch, dass Microsoft sowohl der Registrant als auch Registrar dieser neuen TopLevel-Domain "microsoft" ist. Übrigens ist ".microsoft" nicht die einzige Top-Level-Domain, die Microsoft betreibt. Laut Wikipedia hat Microsoft folgende TLDs:

.bot
.win
.azure
.bing
.hotmail
.microsoft
.office
.skype
.windows
.xbox

Einführung: Gestartet

Nach fast einen Jahr geht es nun endlich los. Im Microsoft 365 Message Center wurde am 1. Juli 2024 folgende Meldunge in meinen Tenants gepostet:

Microsoft products are transitioning to the cloud.microsoft domain by June 2024. Microsoft Planner is already available on this domain. Admins should educate users, update organizational materials, ensure in-house apps are compatible, and verify network connections to *.cloud.microsoft are unblocked.
Quelle: https://admin.microsoft.com/#/MessageCenter/:/messages/MC807452

Schon vorher gab es entsprechende Meldungen, wenn Sie ihre Message Center lesen würden.

Message Center Post Betroffene Produkte
Product transitions to the cloud.microsoft domain - June 2024
https://admin.microsoft.com/#/MessageCenter/:/messages/MC807452
Product transitions to the cloud.microsoft domain - April 2024
https://admin.microsoft.com/#/MessageCenter/:/messages/MC788944
Product transitions to the cloud.microsoft domain - March 2024
https://admin.microsoft.com/#/MessageCenter/:/messages/MC762506
Microsoft Admin Center (https://admin.cloud.microsoft)
Product transitions to the cloud.microsoft domain - February 2024
https://admin.microsoft.com/#/MessageCenter/:/messages/MC724837

Weitere Domains kommen nach nud nach dazu und als Entwickler sollten Sie ebenfalls ihren Code überprüfen. Zwar funktionieren die alten URLs immer noch aber nach und nach dürfte zuerst ein "Redirect" erfolgen, der allerdings vom Anwender mit einem Browser kaum bemerkt wird. Für Programmcode kann aber schon der Redirect die Funktion behindern

DNS Besonderheiten

Auch wenn Microsoft mehr und mehr Dienste auf Anycast DNS umstellt und damit die Antwort "weltweit" immer die gleiche IP-Adresse liefert, wird es auch weiterhin Dienste geben, die mit GeoIP aufgelöst werden. Bei GeoIP nutzt Microsoft die IP-Adresse, aus der die Anfrage kommt oder den DNS-Servern, der gefragt wird, um in etwa den Standort des Clients (Geografisch und Netzwerkwerk-Provider) zu ermitteln und die passende IP-Adresse zu übermitteln. Wie ich auf den verschiedenen Seiten unter Cloud Verbindung schon beschrieben habe, hat Microsoft ein weltweises eigenes WAN mit vielen Übergängen zu den unterschiedlichen Providern.

Wenn ich als Kunde z.B. über die Telekom surfe, dann sollte ich auch die Microsoft Adressen auflösen und ansprechen, die nahe dem Übergang von Telekom<->Microsoft sind. Wenn eine deutsche Niederlassung aber bei jeder Anfragen die DNS-Server der amerikanischen Mutter oder einen Cloud-DNS-Service in einem anderen Land fragt, dann bekommt der Client eine zwar eine funktionierende Gegenstelle, die aber nicht optimiert ist. Latenzzeit kostet Durchsatz.

Mit der Einführung von "Cloud.Microsoft" können Sie nun ihrem DNS-Server oder auch Client (NRPT) mitteilen, dass er diese Domain nicht über den normalen Weg auflöst, sondern abweichend behandeln soll.

Abschätzung

Es gibt schon handfeste Vorteile für Anwender aber auch Administratoren, wenn zukünftig alle Microsoft Cloud wirklich "cloud.microsoft" als TopLevel-Domain verwenden.

  • Sicherheit
    Microsoft "besitzt" und betreibt die TLD "microsoft". Spammer u.a. werden kaum eine eigene TLD betreiben, die auch nur annähernd ähnlich ansieht. Wenn sich die Anwender an das cloud.microsoft" gewöhnt haben, dann könnte dieser getrennte Namensraum sich Sicherheit gefühlt verbessern, denn ein Angreifer müsste entweder einer Domain in der TLD "Microsoft" bekommen oder selbst eine ähnlich klingende TLD hosten. Beides erscheint mir recht unwahrscheinlich, während vielleicht ein outlook.offlce.com schon schwer zu entdecken wäre
  • .cloud.microsoft
    Viele Produkte nutzen den zweiten Level als "firma" und bewerten darunterliegende Namen als zur gleichen Firma gehörend, was speziell die Nutzung von Cookies über unterschiedliche Sites der gleichen Firma vereinfacht.
  • Allow-Listen in Proxy und Browser
    Sie können nun "*.cloud.microsoft" in ihrem Browser und Firewalls einen Vertrauensvorschuss geben und z.B. Cookie-Einstellungen, Adblocker etc. darauf einstellen. Auch können Office Applikationen leichter zwischen den Adressen wechseln, da Cookies z.B. mitbenutzt werden können, wenn alles zur gleichen übergeordneten Domain gehört.
  • DNS Routing
    Als Administrator sollten Sie schon immer drauf achten, dann ihr DNS-Abfragen entlang des IP-Routings laufen. Wenn alle Benutzer und Dienste zukünftig nur noch "*.cloud.microsoft" nutzen, dann wird die Konfiguration einfacher.

Aktueller Status

Natürlich wollte ich wissen, wie weit Microsoft schon ist. Die Funktion als "Root-Registrar" ist schon da. Die TopLevel-Domain "microsoft" gibt es schon.

C:\>nslookup -q=NS microsoft. 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

Nicht autorisierende Antwort:
microsoft       nameserver = ac4.nstld.com
microsoft       nameserver = ac1.nstld.com
microsoft       nameserver = ac2.nstld.com
microsoft       nameserver = ac3.nstld.com

Auch die "cloud"-Subdomain ist schon vorhanden und verweist auf die Azure-DNS-Dienste.

C:\>nslookup -q=NS cloud.microsoft. 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

Nicht autorisierende Antwort:
cloud.microsoft nameserver = ns1-33.azure-dns.com
cloud.microsoft nameserver = ns2-33.azure-dns.net
cloud.microsoft nameserver = ns3-33.azure-dns.org
cloud.microsoft nameserver = ns4-33.azure-dns.info

Die Adresse "outlook.cloud.microsoft" gibt es aber noch nicht (Stand 8. Mai 2023).

Update: Seit Sommer 2024 können Sie erste Dienste schon unter cloud.microsoft erreichen, z.B. https://outlook.cloud.microsoft. Es wird aber sicher noch einige Zeit vergehen, bis die neuen Namen in den Köpfen der Anwender verankert sind.

C:\>nslookup -q=A outlook.cloud.microsoft. 8.8.8.8
Server: dns.google
Address: 8.8.8.8

*** outlook.cloud.microsoft. wurde von dns.google nicht gefunden: Non-existent domain.

Interessanterweise gibt es aber z.B. schon "teams.cloud.microsoft".

C:\>nslookup -q=A teams.cloud.microsoft. 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

Nicht autorisierende Antwort:
Name:    reroute443.trafficmanager.net
Address:  20.53.203.50
Aliases:  teams.cloud.microsoft
          reroute.microsoft.com

Allerdings ist dort nur eine Umleitung zu "https://www.microsoft365.com" hinterlegt.

Aktivitäten

Als Administrator müssen Sie vermutlich gar nicht viel machen. Die neuen Domains wird es wohl erst einmal für neue Dienste geben. Ich erwarte nicht, dass Outlook.office.com oder teams.microsoft.com ganz schnell umgestellt werden. Selbst wenn irgendwann eine Umstellung ansteht, dann dürfte Microsoft die alten URLs auf die neuen URLs umleiten, so dass auch ihre Links und Favoriten weiter arbeiten. Es könnte ja auch einige Programme geben, die z.B. auf "graph.microsoft.com" zugreifen und ein Wechsel auf "graph.cloud.microsoft" kann sich über Jahre hinziehen.

Ich gehe davon aus, dass Firewall- und Proxy-Lösungen sehr schnell die neu von Microsoft veröffentlichten Namen mit addieren und ggfls. sogar Filter entsprechend optimieren.

Problematisch wird es natürlich für die Firmen, die beim Active Directory mit "microsoft." als Toplevel-Domain arbeiten. Die müssten dann zumindest die Cloud-Subdomain nach extern delegieren.

Microsoft plant zu dem Thema ein AMA am 24. Mai 2023:

Weitere Links