cloud.microsoft-Name

Am 26. April 2023 hat Microsoft per Blog-Eintrag veröffentlicht, dass nach und nach alle Cloud-Dienste unter einem neuen gemeinsamen Domainnamen veröffentlicht werden sollen. Das soll es für Anwender und Administratoren einfacher machen. Betrachten wie die Auswirkungen aus verschiedenen Aspekten.

Microsoft plant zu dem Thema ein AMA am 24. Mai 2023:

Heute: Viele Namen

Einige Jahrzehnte war "www.microsoft.com" die Adresse zu allen Produkten, Marketing, Informationen zur Firma Microsoft aber damals gab es noch keine "Dienste" für Anwender wie Microsoft 365. Die ersten Nutzer der Cloud-Lösungen haben entweder Azure unter "https://portal.azure.com" angesprochen oder ihre Postfach unter "https://outlook.office.com". Sehr schnell wurde aber immer mehr Produkte auch in der Cloud angeboten oder sogar nur in der Cloud verfügt. Jedes dieser Produkte hatte eine eigene URL und so sind für den Anwender eine ganze Menge von Adressen zusammengekommen, die Microsoft selbst schön in einem Bild dargestellt hat:


Quelle: Introducing cloud.microsoft: a unified domain for Microsoft 365 apps and services
https://techcommunity.microsoft.com/t5/microsoft-365-blog/introducing-cloud-microsoft-a-unified-domain-for-microsoft-365/ba-p/3804961

Sie sehen selbst, dass einige Dienste wie Teams direkt unter der "microsoft.com"-Domain platziert wurden, während andere Dienste wie "onedrive.com" einen ganz eigenen Namen bekommen haben und auch die Zukäufe wie "Yammer" eigene Domains verwenden. Auch die "office.com"-Domain ist mittlerweile für mehr als nur Exchange Online genutzt.

Weil das Chaos noch nicht komplett ist, haben auch die Administratoren mehrerer Domains, die sich in der Vergangenheit auch geändert haben. Hier scheint sich nun ein Muster gefunden zu haben.

admin.microsoft.com
admin.teams.microsoft.com
admin.exchange.microsoft.com

Zukunft: cloud.microsoft

Dass Microsoft von diesem Wirrwarr weg möchte, ist verständlich. Allerdings wird das sicher eher Jahre denn Monate dauern, denn einige Adressen sind sicher in Konfiguration (Proxy Exception, AllowLists) hinterlegt und im schlimmsten Fall sind Adressen wie der EWS-Zugang sogar in Applikationen fest verdrahtet. Selbst Anwender werden URls z.B. in Browsern als Favoriten und Kennworttresoren hinterlegt haben und auch Cookies und Links in Mails auf freigegebene OneDrive-Dokumente lassen sich nun mal nicht rückwirkend ändern. Laut Animation sieht Microsoft folgende URLs erst einmal vor.

    viva.cloud.microsoft
 outlook.cloud.microsoft
  status.cloud.microsoft
    loop.cloud.microsoft
onedrive.cloud.microsoft
   teams.cloud.microsoft
    sway.cloud.microsoft

Ich bin aber sicher, dass dies nicht die einzigen URLs bleiben werden. Mittlerweile veröffentlicht Microsoft die neuen Namen sogar schon in der Liste:


Quelle: Office 365 URLs and IP address ranges
https://learn.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide

Im Eintrag 184 wird der komplette Namensraum aufgeführt:

https://learn.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide#microsoft-365-common-and-office-online

Allerdings dauert so eine Umstellung natürlich und wird langsam eingeführt. So wird es sicher noch einige Zeit auch die bisherigen URLs parallel geben. Das bedeutet allerdings auch, dass Microsoft sowohl der Registrant als auch Registrar dieser neuen TopLevel-Domain "microsoft" ist. Übrigens ist ".microsoft" nicht die einzige Top-Level-Domain, die Microsoft betreibt. Laut Wikipedia hat Microsoft folgende TLDs:

.bot
.win
.azure
.bing
.hotmail
.microsoft
.office
.skype
.windows
.xbox

Abschätzung

Es gibt schon handfeste Vorteile für Anwender aber auch Administratoren, wenn zukünftig alle Microsoft Cloud wirklich "cloud.microsoft" als TopLevel-Domain verwenden.

  • Sicherheit
    Microsoft "besitzt" und betreibt die TLD "microsoft". Spammer u.a. werden kaum eine eigene TLD betreiben, die auch nur annähernd ähnlich ansieht. Wenn sich die Anwender an das cloud.microsoft" gewöhnt haben, dann könnte dieser getrennte Namensraum sich Sicherheit gefühlt verbessern, denn ein Angreifer müsste entweder einer Domain in der TLD "Microsoft" bekommen oder selbst eine ähnlich klingende TLD hosten. Beides erscheint mir recht unwahrscheinlich, während vielleicht ein outlook.offlce.com schon schwer zu entdecken wäre
  • .cloud.microsoft
    Viele Produkte nutzen den zweiten Level als "firma" und bewerten darunterliegende Namen als zur gleichen Firma gehörend, was speziell die Nutzung von Cookies über unterschiedliche Sites der gleichen Firma vereinfacht.
  • Allow-Listen in Proxy und Browser
    Sie können nun "*.cloud.microsoft" in ihrem Browser und Firewalls einen Vertrauensvorschuss geben und z.B. Cookie-Einstellungen, Adblocker etc. darauf einstellen. Auch können Office Applikationen leichter zwischen den Adressen wechseln, da Cookies z.B. mitbenutzt werden können, wenn alles zur gleichen übergeordneten Domain gehört.
  • DNS Routing
    Als Administrator sollten Sie schon immer drauf achten, dann ihr DNS-Abfragen entlang des IP-Routings laufen. Wenn alle Benutzer und Dienste zukünftig nur noch "*.cloud.microsoft" nutzen, dann wird die Konfiguration einfacher.

Aktueller Status

Natürlich wollte ich wissen, wie weit Microsoft schon ist. Die Funktion als "Root-Registrar" ist schon da. Die TopLevel-Domain "microsoft" gibt es schon.

C:\>nslookup -q=NS microsoft. 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

Nicht autorisierende Antwort:
microsoft       nameserver = ac4.nstld.com
microsoft       nameserver = ac1.nstld.com
microsoft       nameserver = ac2.nstld.com
microsoft       nameserver = ac3.nstld.com

Auch die "cloud"-Subdomain ist schon vorhanden und verweist auf die Azure-DNS-Dienste.

C:\>nslookup -q=NS cloud.microsoft. 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

Nicht autorisierende Antwort:
cloud.microsoft nameserver = ns1-33.azure-dns.com
cloud.microsoft nameserver = ns2-33.azure-dns.net
cloud.microsoft nameserver = ns3-33.azure-dns.org
cloud.microsoft nameserver = ns4-33.azure-dns.info

Die Adresse "outlook.cloud.microsoft" gibt es aber noch nicht (Stand 8. Mai 2023).

C:\>nslookup -q=A outlook.cloud.microsoft. 8.8.8.8
Server: dns.google
Address: 8.8.8.8

*** outlook.cloud.microsoft. wurde von dns.google nicht gefunden: Non-existent domain.

Interessanterweise gibt es aber z.B. schon "teams.cloud.microsoft".

C:\>nslookup -q=A teams.cloud.microsoft. 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

Nicht autorisierende Antwort:
Name:    reroute443.trafficmanager.net
Address:  20.53.203.50
Aliases:  teams.cloud.microsoft
          reroute.microsoft.com

Allerdings ist dort nur eine Umleitung zu "https://www.microsoft365.com" hinterlegt.

Aktivitäten

Als Administrator müssen Sie vermutlich gar nicht viel machen. Die neuen Domains wird es wohl erst einmal für neue Dienste geben. Ich erwarte nicht, dass Outlook.office.com oder teams.microsoft.com ganz schnell umgestellt werden. Selbst wenn irgendwann eine Umstellung ansteht, dann dürfte Microsoft die alten URLs auf die neuen URLs umleiten, so dass auch ihre Links und Favoriten weiter arbeiten. Es könnte ja auch einige Programme geben, die z.B. auf "graph.microsoft.com" zugreifen und ein Wechsel auf "graph.cloud.microsoft" kann sich über Jahre hinziehen.

Ich gehe davon aus, dass Firewall- und Proxy-Lösungen sehr schnell die neu von Microsoft veröffentlichten Namen mit addieren und ggfls. sogar Filter entsprechend optimieren.

Problematisch wird es natürlich für die Firmen, die beim Active Directory mit "microsoft." als Toplevel-Domain arbeiten. Die müssten dann zumindest die Cloud-Subdomain nach extern delegieren.

Microsoft plant zu dem Thema ein AMA am 24. Mai 2023:

Weitere Links