Die moderne Zusammenarbeit mit B2B-Gastkonten in Microsoft Teams oder SharePoint Online gehört zum Alltag in unternehmensübergreifender Projektarbeit. Die im Hintergrund (meist) zuverlässig arbeitenden Azure AD Prozesse sind selten Grund für Beanstandungen. Und wenn es mal zu Problemen kommt, liegt dies in den meisten Fällen an hausgemachten Problemen in dem einen oder anderen Mandanten. Als ein Beispiel sei hier die Nutzung von unterschiedlichen Adressen für UPN und primärer E-Mail-Adresse genannt.
In diesem Artikel geht es um eine besondere Situation, die meist nach einer Umfirmierung oder einem Carve-Out eintreten kann.
Das Problem
Wenn während der Vorbereitung einer Domänen-Löschung die E-Mail-Adressen von Anwenderkonten bereinigt werden, die B2B-Gastkonten in einem anderen Mandanten haben, kann es passieren, dass Nutzer dieses anderen Mandanten keine E-Mail-Nachrichten mehr an B2B-Gastkonten senden können. Und das selbst dann, wenn Absender die korrekte neue E-Mail-Adresse verwenden.
Aber schauen wir uns das Ganze mal an einem Beispiel an. Dann wird es deutlicher.
Beispiel
Ein Benutzer der Varuna Group wird mit der E-Mail-Adresse JohnDoe@varunagroup.de in den Mandanten Ixion.de eingeladen. Das besondere in diesem Fall ist, dass die Anwender der Varuna Group eine generische Adresse als UPN-Anmeldename verwenden.
Dies hat im Azure AD des Ixion-Mandanten folgendes B2B-Gastkonto zum Ergebnis.
Bis hierhin ist alles normal.
Stellen wir uns nun folgende Situation vor:
Wenn sich nun für das beschriebene Gastkonto von John Doe Änderungen an der primären E-Mail-Adresse ergeben und das Gastkonto wird mit der neuen Adresse eingeladen oder eine Datei mit der neuen E-Mail-Adresse geteilt, passiert im gastgebenden Mandanten der Ixion Folgendes.
Die primäre E-Mail-Adresse des Anmeldekontos P1234@upn.logondomain.net ist nun J.Goe@setebos-ag.com und die alte E-mail-Adresse mutiert zu einer zusätzlichen Proxyadresse.
Bei der ersten Anmeldung von John Doe an der neu geteilten Ressource in Ixion erkennt das Azure AD der Ixion anhand der übertragenen Token-Informationen, dass für das Konto P1234@upn.logindomain.net bereits ein Gastkonto exisitiert und fügt die neue SMTP-Adresse als zusätzliche E-Mai-Adresse dem B2B-Gastkonto hinzu. Die primäre E-Mail-Adresse des B2B-Gastkontos ändert sich somit nicht. DIese Änderung wird von Azure AD ins EXODS übertragen.
Und dies hat unmittelbare Auswirkungen auf die Auflösung der E-Mail-Adresse durch Exchange Online. Für Absender der Ixion ergeben sich keinerlei vordergründige Änderungen. Sie können weiterhin Nachrichten an die alte @varungroup.de-Adresse senden oder aber an die die neue @setebos-ag.com-Adresse. Für Absendende der Ixion ist alles vollkommen transparent.
In dieser Situation fällt nicht auf, dass der sog. Resolver in Exchange Online bei einer ausgehenden Nachricht an einen @setebos-ag.com-Empfänger die Empfängeradresse auf die primäre Adresse des B2B-Kontos, als die @varunagroup.de-Adresse, umschreibt.
Wie schon erwähnt, ist dies, solange E-Mail-Nachrichten erfolgreich versendet werden können, für Anwender auf beiden Seiten transparent. Sie interessieren sich selten für technische Feinheiten.
Das eigentliche Problem beginnt, wenn die E-Mail-Adressen der alten Domänen im Quellmandanten des B2B-Gastbenutzers entfernt werden.
Absendenden der Ixion adressieren zwar die neue E-Mail-Adresse unter der setebos-ag.com-Domänen, erhalten jedoch auf einmal einen Nichtzustellbarkeitsbericht (NDR).
Der Grund ist, dass die Löschung von SMTP-Proxyadressen im Quellmandanten für den einladenden Mandanten unbekannt sind. Hier haben sich u.U. über die Zeit nur weitere Proxyadressen für B2B-Gastkonten angesammelt.
Die Lösung
Wenn ein Unternehmen einen Wechsel und eine Bereinigung der primären E-Mail-Domäne durchführen möchte, so muss dies für die B2B-Zusammenarbeit berücksichtigt werden. Hierzu benötigst du eine Liste der Unternehmen, mit denen dein Unternehmen zusammenarbeitet, um sie über diesen Wechsel Domäne zu informieren. Leider gibt es keine einfache Abfrage, mit du herausbekommen kannst, in welchen anderen Mandanten die Konten deines Mandanten ein B2B-Gatskonto haben.
Die Lösung zu dem genannten Problem ist die Anpassung der primären E-Mail-Adresse des B2B-Gastkontos auf die primäre E-Mail-Adresse der setebos-ag.de im Ixion-Mandanten. Nur so kann sichergestellt werden, dass die Auflösung der E-Mail-Adressen im Ixion-Mandanten korrekt funktioniert.
Dieser Mechanismus muss durch die IT der Ixion manuell durchgeführt werden. Hierzu muss die Ixion natürlich über eine entsprechende Domänenänderung informiert werden. Diese Art der Änderung kann nicht im Self-Service durch Anwendende ausgelöst werden.
Du kannst die eine Liste alle Mail User einer Domäne in der Exchange Online Management Shell ausgeben lassen.
Es gibt leider keine einfache, Skript-basierte Lösung, das sich oftmals nicht nur der Domänenteil der E-Mail-Adresse, sondern auch der lokale Teil (links vom @-Zeichen) ändert. Grundsätzlich kannst du die primäde Adresse einfach per Exchange Online Management Shell setzen.
Die Änderung wird als Teil Azure AD – EXODS Synchronisation auch zu Azure AD übertragen.
Leider ist die Azure AD Cross-Tenant Synchroniserung keine wirkliche Hilfe. Sie ist für Unternehmen gedacht, die mehrere Mandanten nutzen, nicht für die Einladungs-basierte Zusammenarbeit.
Wenn du eine Lösung für dieses Herausforderung hast, freue ich mich auf eine Nachricht.
Links
Viel Spaß mit B2B-Gastkonten
