Die moderne Zusammenarbeit mit B2B-Gastkonten in Microsoft Teams oder SharePoint Online gehört zum Alltag in unternehmensübergreifender Projektarbeit. Die im Hintergrund (meist) zuverlässig arbeitenden Entra ID Prozesse sind selten Grund für Beanstandungen. Und wenn es mal zu Herausforderungen kommt, liegt dies in den meisten Fällen an hausgemachten Problemen in dem einen oder anderen Mandanten. Als ein Beispiel sei hier die Nutzung von unterschiedlichen Adressen für UPN und primärer E-Mail-Adresse genannt.
In diesem Artikel geht es um eine besondere Situation, die meist nach einer Umfirmierung oder einem Carve-Out eintreten kann.
Das Problem
Wenn während der Vorbereitung einer Domänen-Löschung die E-Mail-Adressen von Anwenderkonten im bereinigt werden, die B2B-Gastkonten in einem anderen Mandanten haben, kann es passieren, dass Nutzer dieses anderen Mandanten keine E-Mail-Nachrichten mehr an diese bereinigten B2B-Gastkonten senden können. Und das selbst dann, wenn Absender die korrekte neue E-Mail-Adresse verwenden.
Aber schauen wir uns das Ganze mal an einem Beispiel an. Dann wird es deutlicher.
Beispiel
Ein Benutzer der Varuna Group (Source Tenant) wird mit der E-Mail-Adresse JohnDoe@varunagroup.de in den Mandanten Ixion.de (Inviting Tenant) eingeladen. Das besondere in diesem Fall ist, dass die Anwender der Varuna Group eine generische Adresse als UPN-Anmeldename verwenden, die nicht identisch mit der primären E-Mail-Adresse ist.
Ausgangslage
Kontoinformationen im Source Tenant
- User Principal Name: P1234@emea.logondomain.net
- Primary SMTP Address: John.Doe@varunagroup.de
Kontoinformation im Inviting Tentant nach Versand der Einladung
- EmailAddress: SMTP:John.Doe@varunagroup.de
- SignInName: John.Doe@varunagroup.de
- UserPrincipalName: John.Doe_varunagroup.de#EXT#ixion.de
- MailNickName: John.Doe_varunagroup.de#EXT#
John Doe akzeptiert die Einladung von Ixion. Dies hat im Entra des Ixion-Mandanten folgendes B2B-Gastkonto zum Ergebnis.
Der Nachrichtenfluss für E-Mail-Nachrichten von Ixion an die die Adresse John.Doe@varunagroup.de sieht somit wie folgt aus.
- Exchange Online erhält eine die E-Mail einer Ixion-Absenderadresse
- Der Resolver von Exchange Online findet das B2B-Empfängerobjekt (MailUser-Obekt im EXO DS) und löst die Adresse auf (SMTP:John.Doe@varunagroup.de)
- Die Nachricht wird an die Sendekonnektoren übergeben
- Die Nachricht wird von den Varuna Group MTAs angenommen, da sie für eine existierende Empfängeradresse bestimmt ist
Bis hierhin ist alles normal.
Die Probleme beginnen
Stellen wir uns nun folgende Situation vor.
Die Varuna Group ändert die primäre Domäne für E-Mail-Adressen von varunagroup.de zu setebos-ag.com. Benutzerkonten behalten ihre bestehenden E-Mail-Adressen als sekundäre Adressen weiter.
Kontoinformationen im Source Tenant
- User Principal Name: P1234@emea.logondomain.net
- Primary SMTP Address: JDoe@setebos-ag.com
- Secondary SMTP Address: John.Doe@varunagroup.de
Wenn sich nun für das beschriebene Gastkonto im Source Tenant Änderungen an der primären E-Mail-Adresse ergeben und das Gastkonto mit der neuen Adresse eingeladen wird, passiert im Gastmandanten der Ixion spannende Dinge.
John Doe wird mit der neuen E-Mail-Adresse eingeladen
John Doe akzeptiert die Einladung und meldet sich an
Entra ID des Inviting Tenant nutzt den Anmeldenamen (SignInName) als Matching-Criteria und findet das bereits existierende B2B-Konto John.Doe@varunagroup.de und fügt die neue E-Mail-Adresse JDoe@setebos-ag.com als sekundäre Adresse dem Objekt hinzu.
Was bedeutet das für den Nachrichtenfluss von Ixion zur Setebos AG (ehemals Varuna Group)?
- Exchange Online erhält eine die E-Mail einer Ixion-Absenderadresse an die neue Adresse JDoe@setebos-ag.com
- Der Resolver von Exchange Online findet das B2B-Empfängerobjekt (MailUser-Obekt im EXO DS) anhand der sekundären Adresse JDoe@setebos-ag.com und ändert die Empfängeradresse auf die primäre B2B-Adresse SMTP:John.Doe@varunagroup.de
- Die Nachricht wird an die Sendekonnektoren übergeben
- Die Nachricht wird von den Varuna Group MTAs angenommen, da sie für die existierende Empfängeradresse John.Doe@varunagroup.de bestimmt ist
Bereinigung der Domänen im Source Tenant
Nun wird aber die nicht mehr benötigte E-Mail-Domäne im Source Tenant gelöscht. Dies hat unmittelbare Auswirkungen für den Nachrichtenfluss von Ixion-Absenderadressen an B2B-Gastkonten dieser Domäne.
- Exchange Online erhält eine die E-Mail einer Ixion-Absenderadresse an die neue Adresse JDoe@setebos-ag.com
- Der Resolver von Exchange Online findet das B2B-Empfängerobjekt (MailUser-Obekt im EXO DS) anhand der sekundären Adresse JDoe@setebos-ag.com und ändert die Empfängeradresse auf die primäre B2B-Adresse SMTP:John.Doe@varunagroup.de
- Die Nachricht wird an die Sendekonnektoren übergeben
- Die Nachricht wird von den Varuna Group MTAs abgelehnt, da sie für die nicht existierende Empfängeradresse John.Doe@varunagroup.de bestimmt ist
- Der Ixion Absender erhält eine Nichtzustellbar-Benachrichtigung
Die primäre E-Mail-Adresse des B2B-Gastkontos im Inviting Tenant ändert sich somit nicht, wenn es zu EMail-Adress-Änderungen im Source Tenant kommt. Dies hat unmittelbare Auswirkungen auf die Auflösung der E-Mail-Adresse durch Exchange Online im Inviting Tenant.
Für Absender der Ixion ergeben sich vordergründig keine Änderungen. Sie adressieren weiterhin die E-Mail-Adressen des Varuna Group Empfängers, die sie kennen. Entweder gespeichert in den persönlichen Kontakten oder im Outlook-Nickname-Cache.
Der sog. Resolver von Exchange Online ändert die Empfängeradresse für vorhandene auflösbare Objekte, und B2B-Gastkonten gehören dazu, immer auf die primäre E-Mail-Adresse des aufgelösten Objektes.
Die Lösung
Die Lösung ist die Anpassung der primären E-Mail-Adresse der B2B-Gastkontos auf die primäre E-Mail-Adresse der setebos-ag.de im Inviting Tenant. Nur so kann sichergestellt werden, dass die Auflösung der E-Mail-Adressen im Ixion-Mandanten korrekt funktioniert.
Dieser Mechanismus muss durch die IT der Ixion manuell durchgeführt werden. Hierzu muss die Ixion natürlich über eine entsprechende Domänenänderung informiert werden. Diese Art der Änderung kann nicht im Self-Service durch Anwendende ausgelöst werden.
Aus diesem Grund ist es, aus Sicht des Source Tenants, empfehlenswert, eine Liste der Partnerunternehmen zu führen, mit denen man im Rahmen von B2B-Gastkonten zusammenarbeitet. So kann man die Partnerunternehmen im Rahmen einer umfassenden Domänenänderung informieren.
Viel Spaß mit B2B-Gastkonten.