Die Dienste von Microsoft 365 machen es Anwender leicht, sich mit Ihrer beruflichen E-Mail-Adresse anzumelden. Anwender werden regelrecht dazu verführt, eine für sie interessante Lösung auszuprobieren.
Lösungen wie Microsoft Teams, Power BI und andere benötigen für ihre Funktion Azure AD und damit einen Microsoft 365 Mandanten. Wenn sich nun ein Anwender mit einer beruflichen E-Mail-Adresse bei einer ausgewählten Lösung anmeldet, ob die E-Mail-Domäne bereits eine, existierenden Mandaten zugeordnet ist. Ist dies der Fall, erfolgt die Authentifizierung und weitere Nutzung auf Basis der Einstellungen des entsprechenden Mandanten.
Was aber passiert, wenn die E-Mail-Domäne keinem Mandanten zugeordnet ist?
In diesem Fall erstellt Microsoft 365 einen sog. Schattenmandanten, dem die E-Mail-Domäne des Anwender als Schattendomäne zugeordnet wird. Hierzu erhält der Anwender kein Feedback, da die Nutzung der ausgewählten Lösung im Vordergrund steht.
Das Problem einer Schattendomäne trifft Sie, als Administrator eines Microsoft 365 Mandanten erst dann, wenn Sie diese Domäne einem regulär aktiviertem Mandanten hinzufügen möchten. Oder wenn Sie dies als Berater für einen Ihrer Kunden durchführen möchten. In diesem Fall führt Sie der Einrichtungsassistent des Microsoft 365 Admin Centers zu einem Übernahmeprozess der Domäne per E-Mail.
In diesem Prozess kann aus ganz unterschiedlichen Gründen zu Problemen kommen. Einfacher ist es, die Schattendomäne mit Hilfe von PowerShell zu übernehmen. Hierzu benötigen Sie das MSOnline-PowerShell Modul und Zugriff auf die DNS-Verwaltung der betroffenen Domäne.
Führend Sie folgenden Schritte durch.
# Falls nicht installiertInstall-Module -Name MSOnline# Falls installiertUpdate-Module MSOnline -Force# Anmeldung am Microsoft 365 Mandanten als globaler AdministratorConnect-MSOnline# Hinzufügen der Schattendomäne (Beispiel varunagroup.de)New-MSOLDomain -Name varunagroup.de# Prüfung des Domain Status der nicht verifizierten DomäneGet-MSOLDomain# Abfrage des Wertes zur Überprüfung per TXT-EintragGet-MSOLDomainVerificationDns -DomainName varunagroup.de -Mode DnsTxtRecord
Als Ausgabe erhalten Sie die Informationen für einen TXT-Eintrag in der Form MS=xxxxxxx. Dieser Wert muss in der DNS-Verwaltung als namenloser TXT-Eintrag für die Schattendomäne eingetragen werden. Geben Sie den DNS-Servern ein paar Minuten Zeit, um die Änderung zu übernehmen.
Führen Sie nun in der gleichen PowerShell-Session die Überprüfung des TXT-Eintrages durch. Wichtig ist hierbei der zusätzliche Parameter ForceTakeOver.
# Überprüfung des DNS-Eintrages und Übernahme der Domäne Confirm-MSOLDomain -DomainName varunagroup.de -ForceTakeover Force # Prüfung des Domain-Status Get-MSOLDomain
Die Prüfung kann einen Moment Zeit in Anspruch nehmen. Der Status der neuen Domäne muss von Unverified zu Verfied wechseln.
Damit haben Sie eine Schattendomäne übernommen und zu einem bestehenden Mandanten hinzugefügt.
Viel Spaß mit Microsoft 365!
