GoDaddy 365

Was passiert hier, wenn Sie bei einem Kunden einfach nur auf https://admin.microsoft.com  gehen wollen und dann zu einem Admin-Portal von GoDaddy umgeleitet werden? Dann verwaltet GoDaddy als CSP ihren Tenant. Das ist mir einem Kunden begegnet und der Name des Tenants war mit netorgftxxxxxx.onmicrosoft.com auch nicht gerade "schön".

Mittlerweile gibt es eine direkte Beschreibung von GoDaddy um einen Vertrag auszulösen. Einige Aussagen dieser Seite könnten also überholt sein.
Move my Microsoft 365 email away from GoDaddy https://www.godaddy.com/de/help/move-my-microsoft-365-email-away-from-godaddy-40094?lc=en-US

Die Story

Ich nenne wieder mal nicht den Kunden aber es ist ein Startup, welches in den letzten Jahren auf ca. 40-60 Benutzer gewachsen ist und nun in eine größeren Firma migriert werden soll. Die IT-Welt eines Startup unterscheidet grundlegend von der gewachsenen IT eines Mittelständlers. Als Startup beginnt z.B. mit einer Webseite bei GoDaddy an, zu der auch ein paar POP3/IMAP4-Postfächer gehören. Damals hat noch niemand von Teams gesprochen und stattdessen wurden Collaboration in "Slack" betrieben. Durch Corona musste schnell eine Konferenzlösung her und es wurde Zoom und WebEx eingeführt. Ohne lokales Active Directory und ohne lokale Dateiserver musste für die Dokumentablage dann ein Cloud-Dienst wie Dropbox herhalten. Die Story könnte ich noch über eine Cloud-Buchhaltung und Vertrieb über Kickstarter und zum Admin wurde derjenige ernannt, der auch sonst bei IT-Fragen angesprochen wurde, z.B. ein Entwickler, der im Hauptberuf die Apps des Produkts entwickelt.

Das muss nicht schlecht sein aber passt natürlich nicht zur einer strukturierten IT und durch den Anschluss an ein gewachsenes Unternehmen durfte ich mir die IT-Umgebung anschauen. Sehr schnell wurde sichtbar, dass der MX-Record schon lange nicht mehr auf GoDaddy verweist sondern auf Exchange Online. Wunderbar dachten wir uns. Da können wir schnell eine "Organizationrelationship" zwischen den beiden Exchange Organisationen einrichten, um Mailrouting und Free/Busy-Zeiten zu optimieren und vielleicht mit einer Exchange CrossTenant Migration oder Exchange Hybrid Mode die Postfächer zu migrieren. Um einen ersten Überblick zu bekommen, sind der Administrator und ich auf das Microsoft Admin Portal gegangen. Ich hätte hier schon stutzig werden können, als der Administrator mit der Adresse https://admin.microsoft.com nicht anfangen konnte. Er gibt dort seine Mailadresse ein und schon haben wir einen HTTP-direkt auf einen ADFS-Server unter der URL:

https://sso.GoDaddy.com/?domain=<kundendomain>
                        &realm=pass
                        &app=o365
                        &client-request-id=......
                        &wa=wsignin1.0
                        &wtrealm=urn%3afederation%3aMicrosoftOnline
                        &wctx=LoginOptions%3D3%26estsredirect%3d2%26estsrequest%3d.........
                        &cbcxt=
                        &username=<username>
                        &mkt=en-US&lc=.

Das Formular zeigt offensichtlich keine Microsoft 365 sondern eine GoDaddy-Anmeldung.

Nachdem wir uns erfolgreich angemeldet haben, sind wird aber nicht zum Microsoft 365 Admin Portal zurückgesprungen sondern landeten in einem "GoDaddy-AdminPortal" für Office 365.

Anscheinend hat GoDaddy mit Microsoft einen Weg gefunden, wie jeder Zugriff auf "admin.microsoft.com" in Verbindung mit einem Konto aus einem durch GoDaddy verwalteten Tenant immer zum GoDaddy Server umgeleitet wird. Selbst die Nutzung mit einer "@netortftxxxxx.onmicrosoft.com"-UPN-Domain ist nicht möglich, obwohl diese Domain nicht für Federation aktiviert ist.

Allerdings konnten wir uns zumindest mit dem netorgftxxx.onmicrosoft.com-Konto problemlos an den anderen Portalen wie "https://portal.azure.com", "https://admin.exchange.microsoft.com" oder netorgftxxxx-admin.sharepoint.com anmelden. Eine Anmeldung mit der nativen Domain wurde natürlich immer wieder auf den Federation-Service von GoDaddy umgeleitet, der den Rücksprung hartnäckig verhindert hat.

Hintergründe

Zur Erklärung können wir die etwas die Vorgeschichte bemühen. GoDaddy hat als DNS und Webhoster begonnen und wurde sehr schnell zu einem großen Webhoster in Nordamerika. Die Größe lässt sich kaum mit den kleineren deutschen Webhostern vergleichen. Aktuell ist es wohl der größte DNS-Hoster, was sogar in den Notizen von PeeringDB steht. GoDaddy DNS ist ein eigenes AS.


Quelle https://www.peeringdb.com/net/19353

Wenn Kunden eine Webseite brauchen, konnten sie schon viele Jahre auch bei GoDaddy das klassische Komplettpaket aus DNS-Domain, Webhosting und Postfach kaufen. GoDaddy betreibt sogar eine "RootCA" (https://certs.godaddy.com/repository), die früher relativ günstig entsprechende SSL-Zertifikate verkauft hat. Mittlerweile ist die aber kein Alleinstellungsmerkmal mehr und Let's Encrypt gibt es auch noch.

Dass es eine engere Verbindung zwischen Microsoft und GoDaddy gibt, konnten Sie z.B. sehen, wenn Sie eine DNS-Domain für ihren Microsoft 365 Tenant kaufen wollen. Der Prozess startet unter https://admin.microsoft.com/Adminportal(Home#/Domain/Buy aber der DNS-Provider ist nicht Microsoft selbst, obwohl Sie das per Azure-DNS problemlos könnten. Die Domain wird über GoDaddy eingerichtet und verbunden.

In der Anfangszeit von Office 365 hat Microsoft sogar den Betrieb von "öffentlichen Firmenwebseiten" auf Basis von SharePoint erlaubt. Diese Funktion hat Microsoft im Jahr 2015 eingestellt und Bestandkunden hatten zwei Jahre Zeit die Webseite zu migrieren.

Microsoft hat auch einen Artikel zur Migration solcher Webseiten zu anderen Anbietern veröffentlich, wobei auch hier GoDaddy.com und wix.com explizit genannt und sogar mit Partner-Links versehen werden:


Quelle: https://support.microsoft.com/en-us/office/switch-from-using-a-sharepoint-public-website-to-a-partner-hosted-website-cd0b5af5-d23f-4195-801e-145ec62604b3

Aus nicht näher genannten Quellen habe ich aber auch erfahren, dass GoDaddy wohl ein sehr großer Wiederverkäufer von Exchange Online-Leistungen ist und diverse Firmenkunden sogar aktiv zu Microsoft migriert haben will. Entsprechende Statistiken der Exchange Online Anmeldungen haben schon sehr früh gezeigt, dass GoDaddy auch aktiv den Umstieg von "Legacy Auth" auf "Modern Auth" begleitet hat.

Um es mal flapsig auszudrücken: Wer heute ein Webhosting kauft, erwartet dass die DNS-Leistung und das SSL-Zertifikat mit drin ist und das Postfach natürlich auch. Gerade der Betrieb eines Postfachs ist für einen Provider relativ aufwändig, da gerade bei kleinen und mittleren Kunden die Datenmenge in den Postfächern meist deutlich größer ist, als der Speicherbedarf einer Webseite. Zudem sind IMAP4 und insbesondere POP3 nicht gerade leistungsfähig und der Supportaufwand ist sicher auch nicht gerade klein.

GoDaddy ist aber nicht der einzige Provider, der seine eigenen Mailserver abschaltet und die Kunden zu Microsoft 365 migriert hat. Sogar deutsche Firmen sind darunter, z.B. Domain Factory (Teil von GoDaddy) und HostEurope.de.

GoDaddy 365

Insofern klingt es vielversprechend, wenn der Webhoster für seine Kunden ein "höherwertiges" Angebot bieten kann und Exchange Online-Postfächer oder gar Microsoft 365 Business-Pakete seinen Kunden verkauft. Damit der Kunde aber nicht so leicht wechselt, bietet man ihm noch ein Verwaltungsportal an, so dass der Kunde gar nicht mehr die nativen Microsoft Portale nutzen muss. Und genau das scheint GoDaddy in dem Fall umgesetzt zu haben, indem jeder Firmenkunde ein durch GoDaddy angelegten und verwalteten Microsoft 365 Tenant bekommt, in den GoDaddy dann nicht nur die Domain, sondern auch die Lizenzen und die Benutzer samt Einstellungen provisioniert. Über das GoDaddy-eigene Verwaltungsportal werden daher die Benutzer und Gruppen aber auch Postfacheinstellungen konfiguriert und vermutlich per Graph im Backend dann in den jeweiligen Tenant geschrieben. Das geht natürlich nur, solange der Kunde nicht selbst den Tenant verwalten und z.B. mit ADSync die Benutzer aus einem lokalen AD replizieren will.

Damit sind wir bei dem anfangs beschriebenen "Startup", welches Outlook, ActiveSync, OWA nutzen möchte und beim Webhosting-Provider einfach auf "kaufen" gedrückt hat. Übrigens bieten natürlich auch andere Hoster wie 1&1/IONOS/Strato, HostEurope, AllInkl u.a. nicht nur DNS-Domains und Webspace an, sondern verkaufen auch Microsoft 365-Dienste. Hier nur eine nicht repräsentative Auswahl:

Die Angebote basieren meist auf "Microsoft 365 Basic" oder "Microsoft 365 Standard", d.h. die "Small Business Pakete", wo kein ADSync zu erwarten ist aber durchaus genutzt werden könnte.

Ich habe nicht bei den Anbieter ein Paket gekauft, um die Integration und Verzahnung mit den Microsoft Diensten genauer zu analysieren.

Ich gehe davon aus, dass der Provider für den Kunden den Tenant anlegt, die DNS-Domain registriert und vermutlich die Benutzer über ein eigenes Portal im Tenant anlegen und lizenzieren lässt. So kann der Anbieter auch das Inkasso für Microsoft beim Kunden machen und als Lizenzpartner agieren. Damit stellt sich natürlich die Frage nach dem Tenant. Für das anfangs aufgeführte Startup mit einem GoDaddy-Tenant konnte ich anhand der LegacyDomain sehr einfach den realen Tenant ermitteln. Hier ein Auszug:

Der Tenant hat einen generischen Namen in der Form "netorgftxxxxx.onmicrosoft.com", wobei "xxxxxx" anscheinend für eine 6-stellige Nummer steht. Damit können wir ja schon einmal eine Stichprobe nach der Belegung machen.

$start..$ende `
| foreach {
`    if (resolve-dnsname -Type ns "netorgft$($_).onmicrosoft.com" -ErrorAction SilentlyContinue) {`
         $_}`
     }`
)

Ich habe nun nicht alle 1 Millionen mögliche Nummern per DNS abgeprüft aber in einem 100er Block waren es um die 21 gültige Domains und in einem 1000er Block noch 258 Domains. Bei 1 Mio mögliche Namen wären das dann schon ca. 250.000 Tenants. Das ist aber nur eine Vermutung.

Wenn ich es drauf anlegen würde, könnte ich zu jeder GoDaddy-Tenant-Domain auch die native Firmendomain ermitteln und z.B. eine zielgerichtete Phishing-Mail versenden um Zugriff auf den Tenant zu erhalten.

Nur weil es einen "netorgftxxxxxx.onmicrosoft.com"-Tenant gibt, ist das kein sicheres Kriterium für einen aktiven und durch GoDaddy verwalteten Tenant. Ein Kunde kann natürlich die Verbindung zu GoDaddy lösen, indem er sich als Administrator am Tenant anmeldet und GoDaddy als Delegated Admin, Lizenz Händler etc. entfernt.

Achtung:
So sollten erste nach der "Trennung" im Tenant die Lizenzen im GoDaddy-Portal entfernen. Wenn Sie vorher die Lizenzen entfernen, dann löscht GoDaddy im einigen Konstellationen die nicht mehr lizenzierten Benutzer im Tenant.

Achtung 
Die Funktion MailArchiv stellt die Firma "Barrracuda Networks" für GoDaddy bereit. Vor der Kündigung bei GoDaddy müssen sie ihre Daten bei Barracuda entweder exportieren oder den Vertrag selbst übernehmen.

Migration

Wenn ein Kunde bislang mit einem GoDaddy-Tenant für Mail gearbeitet hat und sich nun "befreien" möchte, dann muss er sich entscheiden, ob der Tenant an sich beibehalten will oder einen neuen Tenant einrichtet.

  • Für eine Beibehaltung spricht,...
    ... dass keine Migration erforderlich wird
    ... alle Links, Teams-Einladungen etc. gültig bleiben.
  • Gegen eine Beibehaltung spricht ...
    ...der Name des Tenants, der z.B. bei OneDrive und SharePoint sichtbar wird. Wie würden Sie darauf reagieren, wenn ein Kunde oder Lieferant ihnen einen Link in der Form "https://netorgft1234568-my.sharepoint.com/<username>..." zusendet? Die meisten Empfänger werden hier ja Phishing vermuten.
    ... Zudem gibt es sehr viele Einstellmöglichkeiten des Tenants, von denen Sie nicht wissen, wie GoDaddy diese bei der Einrichtung angepasst hat.
    ....Sie sollten auf jeden Fall die geografische Region prüfen, damit ihre Daten nicht auf dem falschen Kontinent liegen
  • Ein neuer Tenant erlaubt ihnen...
    ... die Geo-Region, Rechnungsadresse und Inhaber neu festzulegen
    ... startet mit den bekannten Defaults ohne Hintertüren
  • Nachteile eines neuen Tenant ist die Migration
    Vorausgesetzt, sie wollen ihre Daten mitnehmen, dann müssen Sie diese umziehen. Das geht teils mit Bordmitteln aber einige Daten sind aktuell nur mit größeren Verlusten zu übertragen. Auch der Umzug der Domain in den neuen Tenant hat einen großen Einfluss auf die Arbeitsfähigkeit

Einfacher ist es natürlich, wenn Sie den GoDaddy-Tenant einfach nur für Mail genutzt haben und alle anderen Funktionen mangels Kenntnis oder mangels Lizenz nicht genutzt wurden. Postfächer können Sie mittlerweile mit Bordmitteln von einem Tenant zum anderen Tenant migrieren. (Siehe T2T Exchange Walkthrough und T2T Exchange Online) oder mit 3rd Party Tools per MAPI, EWS oder sogar IMAP4 übertragen.

Tenant befreien

Anfangs habe ich vermutet, wie GoDaddy den Tenant des Kunden anlegt und die Verwaltung für den Kunden macht. Es sollte dann auch ganz einfach sein, sich selbst zum Admin und Besitzer des Tenants zu machen und GoDaddy die Zugriffsrechte zu entfernen. Das macht natürlich nur Sinn, wenn Sie danach wirklich auch selbst alles im Tenant verwalten und selbst Lizenzen beschaffen. Ich hoffe nicht, dass GoDaddy über eine nicht sichtbare Vereinbarung weiterhin Zugriffsrechte auf den Tenant bekommt. Wenn Sie im Internet nach den Berechtigungen recherchieren, dann finden Sie durchaus alarmierende Zitate.

Yes, I had to contact GoDaddy and ask them to release their admin control over the tenant. Once they released control (I backed up our exchange mailboxes to PST files first <-- this GoDaddy will not assist with unless you subscribe to their backup service), I was able to login w/o issue. The process was painless. The hold time to talk w/ an agent was actually longer than the process time.
Quelle: Kommentar in https://www.reddit.com/r/Office365/comments/hetqip/o365_admin_portal_how_to_stop_GoDaddy_redirect/

GoDaddy will delete all mailboxes before releasing.
Quelle: Kommentar in https://www.reddit.com/r/Office365/comments/hetqip/o365_admin_portal_how_to_stop_GoDaddy_redirect/ 

In some cases, GoDaddy regains access to the tenant and runs a script to remove all users and domains after you cancel the subscription with them after you have performed the defederation. If you remove them as Delegated admin as I outlined and remove all access to any admin accounts they will not have any way to perform this action.
https://tminus365.com/migrating-from-GoDaddy-to-office-365-2/

Mittlerweile gibt es eine direkte Beschreibung von GoDaddy
Move my Microsoft 365 email away from GoDaddy
https://www.godaddy.com/de/help/move-my-microsoft-365-email-away-from-godaddy-40094?lc=en-US

Insofern sollten all diese Horrorstories nicht mehr zutreffen. Ich habe dennoch erst einmal kontrolliert:

Bereich Einstellung

Admin werden

Zuerst muss ich mir Admin-Rechte zum Azure-Portal besorgen. Versuchen Sie über https://portal.azure.com zuerst sich mit ihrem bekannten Admin-Konto anzumelden. Ggfls. müssen Sie erst das Kennwort für den Benutzer "admin@<tenantname>.onmicrosoft.com" in Erfahrung bringen oder zurücksetzen lassen. Wenn sie einen "Tenant Admin" haben, dann können Sie aber auf https://portal.azure.com sich auch mit dem GoDaddy-Federation-Service anmelden und dann ein neues Adminkonto mit einer Domain anlegen, die nicht per Federation verbunden ist.

Rolle: Global Admin

Das ist die umfangreichste Rolle und über das Azure Portal kann schnell kontrolliert werden, welche Personen oder Service Principals dort Mitglied sind. Und hier finden wir auch GoDaddy-Objekte die umfangreiche Berechtigungen haben:

Wenn ich also GoDaddy aussperren will, dass er bei den weiteren Befreiungsversuchen nicht eingreift, sollte ich diese vier Einträge hier entfernen. Vielleicht sollten Sie auch kontrollieren, in welchen anderen Gruppen diese vier Einträge noch vorhanden sind.

 

GDAP - Granular Delegated Admin Privileges, früher Delegierte Administration in Office 365

Über diesen Weg kann sich ein Partner ebenfalls Berechtigungen einräumen lassen. Bislang habe ich da noch keine Partnerschaften gefunden. Das muss aber nicht mehr so sein, denn Microsoft belohnt seine Partner ja für solche Einträge.

 

Office365:POR - Partner of Records

Partner müssen Microsoft immer wieder nachweisen, welche Kunden Sie wie intensiv betreuen. Dazu tragen Kunden die Partner entsprechend ein. Meist sind dabei aber nur "Reseller"-Rechte verbunden, d.h. der Partner kann Lizenzen einspielen.

 

AppPermissions

Natürlich kann eine 3rd Party Lösung auch eine Application im Tenant einrichten, die z.B. über Graph oder Powershell verschiedene Berechtigungen erhält. Kontrollieren Sie daher ihren Tenant auf ihnen unbekannte Apps

 

Kennworte setzen

Aktuell ist die Firmendomain per "SAML-Federation" zur Anmeldung mit dem GoDaddy SSO-Service verbunden. Ehe Sie die Federation abschalten, sollten sie alle Benutzer über ihr dann gültiges neues "Startkennwort" informieren". Das kann durchaus einige Tage im Voraus erfolgen. Wenn Sie dann Federation abschalten, können Sie das Kennwort des "Cloud Only"-Users setzen.

 

Lizenzierung

Wenn Sie später den Vertrag mit GoDaddy beenden, dann laufen irgendwann auch ihre Lizenzen aus. Spätestens dann sollten Sie anderweitig die Lizenzen beschafft und zugewiesen haben. Ich würde das einige Tage vorher machen

 

Nachdem Sie den Tenant als Admin selbst steuern und GoDaddy auch keine Zugriffe mehr darauf haben sollte, können Sie die nächsten Schritte angehen und ihren nun neu befreiten Tenant selbst konfigurieren. Daher kann ihnen die folgende Seite weiterhelfen

Checkliste Tenant Einrichtung

Fragen

Es bleiben natürlich schon Fragen offen, denn ich habe keine Dokumentation gefunden, was GoDaddy im Detail machen. Sie sperren den Anwender aus dem Office 365 Portal aus und steuern quasi alle Einstellungen des Admin-Centers über ihr eigenes Admin Center. Dazu muss sich GoDaddy die Rechte über eine App-Permission geben. Ich kann aber nur vermuten, dass GoDaddy dann früher per AzureAD-PowerShell oder MSOnline-Powershell und mittlerweile per MSGraph die Änderungen durchführt.

  • Wie schreibt GoDaddy in das AzureAD?  Graph, Powershell, SCIM ?
  • Sind die User dann "CloudOnly" User
  • Wie lange gelten die Lizenzen
  • Wie ist das bei OVH, IONOS etc.

Wenn einer meiner MSXFAQ-Leser einen GoDaddy-Tenant hat, dann können Sie mir gerne Korrekturen zusenden oder sie bloggen selbst über ihre Erfahrungen und ich verlinke ihre seite

Weitere Links