Office 365 Admin

Moin,

Nix

lg,
Slainte

Moin,

ich hoffe einfach gar nicht. Das wäre tötlich dieses Konstrukt umzusetzen. Datenschutz technisch ein Supergau.

Das solltest du "deinen Kunden" nicht antun.

Gruß
Spirit

Das ist so wie Microsoft sich das vorstellt: Gehirn aus - Erstmal anfangen.

Moin,

ich glaube, Ihr habt den Kollegen falsch verstanden. Er will, dass die User der unterschiedlichen Domains sich nicht untereinander sehen, was in seiner Teststellung aber der Fall ist.


Was ist eine Zwei-Domäne? Oder meinst Du eine zweite Domäne.


Die große Frage ist, was Du denn getan hast. Meine Glaskugel sagt, dass Du irgend eine Vertrauensstellung zwischen den Domains hast. Ein paar mehr Informationen und vielleicht der ein oder andere Screenshot wären sicherlich hilfreich.

Liebe Grüße

Erik

Das ist gar nicht so schwer.

Einen Office 365 Tenant und zwei Domains von zwei verschiedenen Kunden. Das hat er getan. Konsequenz: Die Kunden sehen den jeweils anderen Kunden.

Ein Kunde = Ein Tenant.

Wie man auf so eine Idee kommt ... @GP-Man

... und Daten reinpumpen

...und dann auf den Einschlag warten.

Hi,

also mal abseits dessen, dass der Hintergrund vor dem deine Frage gestellt wurde mehr als fragwürdig ist, gibt es schon für weite Teile in M365 eine Lösung dafür: https://learn.microsoft.com/de-de/microsoft-365/compliance/information-b ...

Bitte mach es richtig:

- CSP-Partnerstatus bei MS erwerben und via GDAP Tenants verwalten bzw. erstellen. Dann ist auch die Abrechnung gegenüber MS sauber.
- Zusammen mit den Kunden kundenspezifische Tenants erstellen, welche dem Kunden auch gehören. Über entsprechende administrative Zugänge, kannst Du den Betrieb unterstützen.

Wenn der TE seine Kundschaft in einer homogenen Branchenstruktur hat, könnten sich da ja durchaus auch kundenseitig die „berühmten“ „Synergien“ ergeben 😂

Eine Vertrauensstellung wirds nicht sein zwischen den Tenants denn das erfordert mehr Wissen und Konfiguration als nur die Domäne hinzufügen.

Der TO hat mehrere Möglichkeiten je nach dem was er machen will:

Möglichkeit 1 ( die Beste natürlich )
Partnerstatus von MS besorgen / CSP werden und für jeden Kunden einen eigenen Tenant einrichten und dann dort die Domäne für den Exchange Online hinzufügen. Vorteil hier für den TO: Entweder er verkauft dem Kunden ( also eigentlich kauft der Kunde ja die Lizenzen über den CSP )die Lizenzen und kann dadurch sogar noch Provision kassieren ( ist zwar nicht viel aber 40 Cent x 100 Lizenzen ist doch eine Menge und das ohne viel Arbeit als regelmäßiges Einkommen / Umsatz was natürlich auch nicht zu verachten ist.) Alternativ kann der TO dem Kunden aber auch Rabatt geben und auf die Provision verzichten oder halb halb das sei dem TO überlassen. Das Tenant wird dann über den Partnerzugriff verwaltet. Der Kunde bekommt dann einen Globalen Admin zugeteilt oder der TO behält den Global Admin je nach dem was ausgemacht ist.
Fertig ist die Laube. Das ganze dann für jeden Kunden einmal und gut ist.
Ja das ist Arbeit und auch das einrichten eines CSP / Partneraccount bedarf erstmalig etwas mehr Zeit aber es lohnt sich genau das zu machen.

Möglichkeit 2:
Der TO hostet / verwaltet seine Kunden in einem Tenant, sprich er legt ein Tenant an und registriert hier alle Domänen drin und macht dann auch die Lizenzverwaltung hierüber. Nachteile sind das es z.B. keine Provision gibt weil es ja "Sein" Account ist. Weiß jetzt allerdings nicht wie MS das so findet aber egal.
Dann gibt es hier neben dem Problem das die Konten eben alle anderen Konten sehen können noch andere Probleme wie z.B. wenn einer der Kunden oder alle eben einen AD Sync möchten. Beim AD Sync nach Azure AD ist dann die ###e da denn dann ist das ein großer Problem. Eine Lösung währe hier das ganze über Compliance Regeln entsprechend zu trennen bzw. verschiedene Adressbücher zu pflegen und entsprechende Gruppen / Berechtigungen / etc anzulegen. Teams bitte nicht vergessen Ist aber eher die schlechtere Lösung ( Stichwort DSGVO !!! ) aber alles machbar. Aber wenn dann wie gesagt AD Sync / Teams Calls ( Teams als PBX ) usw.... dazukommt dann wirds schwierig. Von der Verwaltung mal ganz abgesehn.

Ich pers. würde den Weg Nummer 1 gehen. Ja ist mehr arbeit aber man hat hinterher Ruhe.
Wenn man irgendwann später mal eine Firma aus diesem Konstrukt rausoperieren muss weil ebene eine Firma zum anderen Dienstleister wechselt wirds schwierig bist beschissen viel Arbeit schwierig das ganze kompetent und Problemfrei umzusetzen bzw. umzuziehen. Wenn es pro Kunde nur einen Tenant gibt so ist der Dienstlisterwechsel in der Regel binnen max. 5 Minuten erledigt und es muss eben nix beachtet werden. Auch hier: Wie soll denn ein andere DL die Mailaccounts des EXO des wechselnden Kunden bzw. des seines neuen Kunden dann verwalten ? Willst du Ihm Zugriff auf deinen Tenant geben ? Das gibt Ärger wegen der DSGVO oder eben mit Compliance RiLi arbeiten was aber ein gewisses Wissen und Können vorraussetzt und nicht ganz einfach ist.

Etwas anders sieht die Sache allerdings aus wenn es sich um einen Firmenverbund handelt wo zwei/drei .... Firmen zusammen im AD gepflegt werden bzw. sowieso schon einen gemeinsamen Exchange haben.
Das ist das ganze dann Datenschutztechnisch nicht mehr so "heiß" aber dennoch muss dann auch hier eine Abgrenzung stattfinden. Je nach dem wie die Firmen zusammen gehören MUSS hier sogar laut MS pro Firma ein Tenant angelegt werden es sei denn der Geschäftsführer ist bei den Firmen der selbe denn dann kann laut MS alles zusammen in ein Tenant. AD Sync ist hier dann auch kein Problem selbst wenn es getrennte AD´s sind. Compliance Regeln erstellen und fertig. Die müssen dann auch nicht mehr so komplex sein da ja mehr oder weniger sowieso alles eins ist. Verschiedene Adressbücher angelegt und Berectigungen gesetzt und fertig.

Das große Problem was ich in der Konfiguration vom TO sehe ist eigentlich nicht der EXO sondern eventuell der Rest den Office/MS365 noch bietet. Was macht der TO wenn dann vom Kunden noch Intune / Sharepoint / Azure AD Auth. für andere Dienste über OAuth hinzukommen bzw. entsprechend dann noch der Rest wie Defender usw. genutzt werden. Von einer ADFS Verbundstellung reden wir am besten gar nicht denn da geht nix mehr denn hier ist mit einer MIXED Umgebung, wie sie der TO gerade gabaut hat, definitv Feierabend. Je nach dem wie Komplex das wird, wird das ganze später wenn sich die "Kunden" bzw. die Produkte/ Anforderungen des/der Kunden ändern, richtig kacke zu verwalten.

Mir alleine grault es schon vor der Abrechnung bzw. der Lizenzverwaltung. Und dann muss das gaze auch noch supportet werdern ..... Ne würde ich nicht machen.

Was ich dem TO anhand seiner Angaben definitv empfehle ist eine Schulung für das komplette Office/Microsoft365 Zeug sowohl für den CSP Bereich als auch die eigentliche Administration. Die Alternative ist das er es sich über das Technet und die Hilfe selber aneignet was aber auch nicht ganz ohen ist denn wenn er z.B. aus versehen mal MFA für alle gehosteten Firmen aktiviert will ich nicht der jenige sein der am nächsten am Telefon sitzt wenn plötzlich auf einmal bei den Firmen nix mehr geht.

Nichts für Ungut aber mach eine Schulung denn das Thema ist alles andere als mal eben schnell "einrichten" und fertig. Es wird teilweise sehr viel Kentniss über Office/MS365 gefordert je nach dem welche Produkte man einsetzten will da die ganzen Produkte von MS alle irgendwie im Hintergrund mitinander verknüpft sind. Man braucht also nicht nur Office365 sondern auch den Azure AD / Defender / Intune usw. Kentnisse damit alles so läuft wie man selber will oder eben der Kunde. Glaube mir einfach ich meine es nur gut. Ich ( wir als Admin Team ) haben selber ein Jahr lang mit einem IT Test Tenant rumgespielt und getestet / Konfiguriert usw. bis wir die Migartion von 300 Usern gemacht haben. Die Migartion dann aber anfangs auch nur 15 / 25 / 50 User batch weise damit es eben nicht komplett knallt wenn was schief geht.
Das Problem bei dem ganzen Cloud Zeug von MS ist das es u.U. und je nach aktueller Auslastung der Systeme von MS alleine schon mal z.B. bis zu 5 Stunden dauern kann bis ein Postfach angelegt ist und der Benutzer es dann verwenden kann ( selbst erlebt - Eintragung eines zus. Users zu einer Shared Mailbox hat ebenfalls mal ca. 1-2 Stunden! gedauert. Intune Änderungen dauern auch zum Teil länger ). das ganze ist eben kein klick klick klick und Änderung ist übernommen System im vergleich zu einer OnPrem Umgebung. Das heißt dann aber auch das Fehler erst später auffallen bzw. die Behebung eben dann auch länger dauert. Heißt also für den Admin das man grob bis genau wissen muss was man tut denn sonst knallts.

LG

@Mr-Gustav: uff

Ich z.b. habe keinen CSP Zugang, sondern mache es über einen Partner über den ich meine Kunden verwalte und darüber auch Zugang hätte im Notfall zu jedem Tenant. Zahle einige Cent weniger pro Lizenz und kann dann auch pro Kunde abrechnen.

Kommt man natürlich nur als Gewerbetreibender ran.

Grüße

@Mr-Gustav:

In meinen Augen ist „Möglichkeit 2“ keine Option. Jeder Kunde hat bei mir „seinen“ eigenen Tenant mit seinen/r Domain(s).

Alles andere ist „Gefrickel“. Stell Dir vor, der Kunde will zu nem anderen IT-Betreuer wechseln? Wie willst Du das bei Möglichkeit 2 bewerkstelligen? Außerdem zahlt der Kunde ja eigentlich auch seinen eigenen Tenant bei MS. Wer bin ich, ihm das zu verwehren?!

@Visucius

Das habe ich ja geschrieben das es spätestens / frühstens da Probleme gibt:

Es bleibt faktisch nur Möglichkeit 1 und das ist die beste die es gibt.

Was der TO weiter oben schreibt lässt mir die Haare zu Berge stehen.......

Dann würde ich mich mal drum kümmern das du einen bekommst. Es gibt hier nur die eine Möglichkeit das Rechtssicher zu machen.
Mal ganz davon abgesehen das du und der CSP von dem du den Tenant erhälst gegen die AGB von MS verstoßen und das sogar ganz gewaltig denn da steht klipp und klar drinne 1 Kunde / Firme = 1 Tenant. Punkt . Es gibt hier Außnahmen wenn der Geschäftsführer bei den Firmen gleich ist dann geht das durchaus zusammen.

Wenn MS das mitbekommt zögern die übrigens nicht dir den Tenant zuzumachen und dann ist ENDE !
Wenn MS den zugemacht hat ist FEIERABEND und du kannst dann Wochen/Monate rum machen, ggf. mit einem Rechtsverdreher deiner Wahl, und versuchen MS dazu zu bewegen das zu zumindest an die Daten kommst. Was machst du in diesem Fall wenn das passiert. Die Firmen werden dann wenn Mail und Office und co nicht funktionieren oder ggf. sogar Daten WEG sind nicht einfach sagen: Tja hab ich pech gehabt ..... Die werden dann an dich gegen bzw. gegen dich vorgehen. Ich würde sogar behaupten das eine Betriebshaftplicht / IT Haftplicht hier nicht übernehmen wird denn du hast ja WISSENLICH gegen die AGB verstoßen also hast du wie es im deutschen Recht heißt "mit Vorsatz" gehandelt und warst dir der Gefahr bewusst.

Es gibt hier zahlreiche Beispiele im Internet zu wo MS einfach mal den Tenant zugemacht hat. Ob zu Recht oder Unrecht entscheiden dann die Gerichte aber solange ist der Tenant eben zu und die daten erstmal weg wenn es kein Backup gibt. Ach ja und einfach einen neuen Tenant erstellen wird so einfach nicht gehen denn die Domäne(en) sind ja noch an den gesperrten Tenant gebunden und können so einfach nicht in einem neuen Tenant registriert werden da die ja u.U. für die Authentifizierung genutzt werden. Also hast du dann im Falle eines Falles ein RIESEN PROBLEM.

Kurzum Mach es einfach so wie es sein soll. Punkt. Es gibt hier nur einen Weg.



Ist mir selber bekannt. Habe ich selber als CSP gemacht daher kenne ich den Weg den man gehen MUSS um es Rechtssicher zu machen und eine ordnungsgemäße Trennung zu haben. Es gibt nur den einen Weg.
Einen CSP Account kann man glaube ich auch über einen Partner beziehen. Was glaube ich nicht (mehr) geht ist das ganze als Kleingewerbetreibender zu beziehen weil man keine Umsatzsteuer ID hat und die gebraucht wird. Ging früher mal. Wenn klein Gewerbetreibender dann bleibt nur der Weg einen CSP Account zu bekommen über einen Dienstleister welcher eben diesen dann erstellt.

Es ist eben nicht einfach mit : Ich verkaufe dann als Dienstleister eben mal nebenbei Office/MS365 Lizenzen.
Da gehört schon mehr hinzu.


Ich schreibe das deswegen so deutlich weil ich Fälle kennen in denen wurde das Tenant dicht gemacht weil der Dienstleister Miste gebaut hat. Die Firma ist dann in die Insolvenz gerutscht und der Dienstleister hinterher dann auch. Plus Schadensersatz usw.... Weil Grobfahrlässig gehandelt ist da auch nix mit " Ach ist je eine GmbH und dann sind halt die 25K weg" neeee hier ging bzw. geht es aktuell auch an das PRIVATVERMÖGEN. ALso wenn das rum ist sind 3 Personen pleite/bankrott/insolvent.
Ich glaube sogar das der Offenbahrungseid also die Restschuldbereiung für den Geschäftsführer des DL nicht in frage kommt weil er ja selbst verschuldet ( durch bewusstes überschreiten / nicht beachten der AGB ) gehandelt hat. Heißt der kommt nie wieder finanziell nur einen Fuß auf den Boden.

Ach ja und wer meint er hostet sein Backup in Azure Cloud der sollte dran danken das er dann da auch nicht mehr dran kommt denn der Account ist Komplett gesperrt. Da geht dann garnix mehr

Ich raff es echt nicht was sich manche so denken. getreu dem Motte: Ach das mache ich jetzt auch. Wenn ich nicht mehr weiter weiss bilde ich einen Arbeitskreis ( Administrator.de ). Ich glaube manche denken nicht weiter oder sind der Meinung das alles gut geht. Wir reden hier von IT und wenn da was schief geht wirds entweder Teuer oder eben ganz ganz Teuer und die Firma ist hinterher Pleite. Kein Wunder das sich ( teilweise auch hier im Forum ) gefühlt jeder zweite / dritte über seinen Dienstleister beschwert und diesem nur soweit Traut wie er/sie/es ihn werfen kann. So langsam verstehe ich das.

Ist alles nicht BÖSE gemeint. Ich will nur das dir im schlimmsten Fall eben nichts passiert und du mit dem Arsch an der Wand stehst.

Sorry, aber das ist wohl eher nicht richtig.

Ich bin Partner von einem großen Systemhaus - als Beispiel nenne ich mal Wortmann. Darüber kannst du für deine Kunden ganz normal Lizenzen buchen bzw. auch einen neuen eigenen Tenant erstellen.

Damit dürften diese ganzen Systemhäuser ihren Partner nicht anbieten über sie Lizenzen zu beziehen und neue Tenants zu erstellen. Dazu muss man kein CSP sein.

Edit: Du hast scheinbar was missverstanden. Natürlich hat bei mir jeder Kunde einen eigenen Tenant. So wie ich es auch schon vorher geschrieben habe. Auf irgendwelche Spielchen von wegen ein Tenant und alle oder mehrere verschiedene Kunden würde ich nie kommen. Kann ich auch nur bescheiden abrechnen, weil die Lizenzen dem Kunden zugeordnet werden und dem Tenant.

Ich mach das schon einige Jahre. Kannst ja gerne mal erläutern gegen welche AGB man da verstößt, wenn ein großes Systemhaus das seinen Partnern anbietet.

Edit2: Schalte doch mal einen Gang zurück. Danke!

Also, mein Stand war ebenfalls, dass es nur noch als CSP möglich ist derartig Lizenzen "zu verkaufen".
Wie geht das denn sonst mit den Einzel Lizenzen oder eben Packeten?

Eine Sache noch. Genau über dieses Thema haben sich vor ein paar Jahren alle aufgeregt die z.b. selbständig oder ähnlich es kleine Butzen betreuen. Die kamen damit nicht mehr an irgend welche Lizenzen.
Keine Ahnung ob das einzige Kriterium für CSP damals auch schon nur die UmsatzsteuerID war. Jedenfalls mussten diese zwangsläufig auf einen großen Distri zurück greifen.

Wie schaut das denn heute aus? Ich arbeite nicht mehr bei einem Dienstleister.

Ich kaufe ganz normal über meinen Distributor Lizenzen in seinem Portal und weise diese meinen Kunden zu, die ich alle in meinem Partneraccount bei dem Distributor verwalte.

Wenn dies verboten wäre würden die ganzen großen Systemhäuser ja seiner Meinung nach gegen die AGB von MS verstoßen. Dann frage ich mich wieso MS das aber erlaubt?

Keine Ahnung. Wie gesagt bin ich Partner eines Distributors und beziehe über diesen meine Lizenzen. Für mich gab es keinen Anlass selbst CSP zu werden.

Die Systemhäuser die ich kenne, haben alle CSP und können daher verschiedene Tendants verwalten.

Ich meine die, die es den Partnern ermöglichen über diese MS Lizenzen zu beziehen wie z.B. Wortmann, Qualityhosting, etc., sprich den Distributoren.

Hi,

bitte mach das nicht so. Ein Azure Tenant pro Kunde bzw. Domain, je nachdem wie die Organisationsstruktur aussieht. Ein Kunde kann mehrere Untertenants haben, aber bitte nicht verschiedene Kunden in einem Tenant mischen. Das wird nicht nur viel Ärger wegen Datenschutz geben, sondern auch deinen Kunden sehr schnell deutlich machen, dass du in diesem Bereich keine ausreichenden Kenntnisse hast.

Ein Azure Tenant ist nicht dasselbe wie On-Premise Windows Domain.

Wenn du mit deinem Tenant Untertenants verwalten willst, dann brauchst du den CSP-Status. Da du aber so eine Szenario planst, die man mit basic Kenntnissen von Azure AD nicht umsetzen würde, rate ich dir erst Mal hier dich dringend fortzubilden. Oder hol dir einen Partner ran, der das Thema bereits mehrfach umgesetzt hat.

Grüße

Klar kann man bei Wortmann Lizenzen kaufen. Wortmann ist ja CSP Reseller und hat sozusagen eine Art "Sonderstellung". Wortmann "hostet" sozusagen einen CSP von dir von daher passt das.
Bei Wortmann gibts aber auch die Möglichkeit das jeder Kunde ein eigenes Tenant bekommt. Ist zwar nicht so schön und schnell angelegt aber es ist möglich. Hatte ich in der Vergangenheit auch über so einen Distributor gemacht und dann komplett auf CSP umgestellt weil ich somit direkt an den Support von MS kann und MS mich dann eben nicht an Wortmann ( ist ja mein Vertragspartner gewesen ) verweisen kann. Als CSP bin ich direkt im Vertrag von MS und da geht es dann etwas direkter mit dem Support bzw. es gibt keine Ausreden. Ob der Support jetzt besser ist den man erhält lassen wir einfach mal so stehen.



Wortmann ist dann CSP und Hostet bzw. verwaltet dann deine Tenants. Wortmann tritt sozusagen als Vertragspartner ggü MS auf und verwaltet für dich das ganze. Somit brauchst du keinen CSP. Haben die Großen gemacht weil die kleinen Buden sich alle beschwert haben das Sie kein Office 365 mehr verkaufen können / dürfen.


Doch das ist OK. Es gilt aber nach wie vor das pro ENDKUNDE und nicht Reseller ein Tenant erstellt werden muss. Kurz um Jede Firma ein Einzelnes Tenant. Wortmann ist sozusagen der Eigentümer des(der) Tenants und hat dich mit in der Verwaltung. Passt also. Aber jetzt nur ein Tenant und dann mehrere Firmen in einem Tenant ist nicht. Punkt. Wortmann macht das schon richtig. Eigentümer ist WORTMANN als CSP. Du verwaltest lediglich deine dir von Wortmann zugeordneten Kunden Tenants.

Hast du aber oben ganz anders geschrieben....


Also EIN TENANT. Wenn es getrennte währen würden sich die Benutzer nicht sehen. Es sei denn du arbeitest mit Lighthouse und co aber das denke ich eher nicht anhand der Frage die du gestellt hast.


MS Schreibt in den AGB das es die PFLICHT gibt pro KUNDE einen EIGENEN TENANT anzulegen. Steht in deren AGB drine. Die einzige Außnahme die es gibt ist wenn der Geschäftsführer der Firmen gleich ist. Dann können alle Firmen ein Tenant nutzen.



Gerne aber wenn es dann zu Problemen kommt heißt es immer wie Pauschal: MS Cloud ist ###e.... Die IT Dienstleister können nix außer die Firmen abzocken mit viel zu hohen Rechnungen etc. Alleine die Frage die du gestellt hast ( siehe oben ) zeigt schon das es entweder schon Jahre lang falsch gemacht hat oder eben gerade dabei bist das Fundament falsch zu legen.
Und übrigens wenn einer meiner Kunden in seinem Tenant andere Accounts außer seinen eigenen sehen würde dann hatte der Dienstleister der das Verbrochen hat nicht mehr lange Dienstleister. Da gehst dann auch Richtung Datenschutz usw..... Es wird hier mit Personenbezogenen Daten gearbeitet und da muss man nun mal leider sehr sehr aufpassen.

Keine Ahnung was du da gemacht hast, aber ich hatte noch nie mit dem Support von meinem Distributor zu tun wegen irgendwelcher Probleme mit dem Tenant. Ich habe mich IMMER direkt an MS gewandt und gut wars. Keine Ausreden und sehr schnelle Rückmeldungen bei "kleineren" Problemen. Bei anderen Problemen dauert es dann auch mal, aber das ist auch beim bezahlten Support so.


Na siehste, dann ist doch alles in Butter und nichts anderes schrieb ich.


Ja und wie ich auch schon mehrmals schrieb, gibt es bei MIR einen Tenant pro Kunden. Keine Ahnung, ob du hier die Mitglieder verwechselst.


Habe ich nicht - sorry.


Auch das schrieb ich ja schon ganz oben, dass es weder irgendeine Vertrauensstellung oder sonstwas ist, sondern er klar einen Tenant erstellt hat und mehrere Firmen reingepackt hat.


Ja und wie gesagt schrieb ich das ja mehrfach, dass ICH das genau so mache. Schon immer.


??? Du verwechselst wirklich die Mitglieder. Welche Frage habe ICH denn gestellt, außer, dass du mir doch mal sagen sollst wo ICH gegen die AGB von MS verstoße.
Ich bekomme bei meinem Distributor Rabatt und mein Kunde zahlt die regulären Preise von MS. Die paar Cent greife ich mir dann ab. Ich weiß z.B. von einem Dienstleister, der eine Office Business Standard für 19,50€ netto verkauft und es auf der Rechnung einfach anders nennt.

Nochmal: Du verwechselst hier die Mitglieder. Entweder sprichst du sie direkt klar an oder zitierst ordentlich. Danke!