AzureAD und Microsoft Konto Identitätskrise

Ist Deine E-Mail Adresse gleichzeitig ein Microsoft Konto (MSA) UND eine Azure Active Directory Adresse (AAD, z.B. Office 365 E-Mail)? Blöde Idee… und ja, das habe ich auch.

Microsoft möchte das nämlich nicht mehr (natürlich im Sinne der User Experience) und meint, dass es nun Zeit zum „Clean up“ wäre: Cleaning up the #AzureAD and Microsoft account overlap . Na Bravo.

Hintergrund:

Seit den Tagen von „Hailstorm“, dem Nachfolger bzw. Teil der .NET MyServices namens „Passport“ und all dem anderen Zune-ID, Xbox-ID- und Live ID-„Freuden“ ist einiges an Zeit vergangen und Microsofts Identity-Systeme haben so manches an Entwicklung mitgemacht. Vieles wurde im Hintergrund behoben und die sicherlich größte Änderung war die Einführung eines ID-Systems, das auch für Unternehmen geeignet ist –  Azure Active Directory (AAD). Damit gibt es nun ein einheitliches System für „private“ Accounts und ein auch für Unternehmen verwaltbares „Firmen“-System mit AAD. Bloß, wenig überraschend, sind viele „Arbeits-IDs“ auch „Private-IDs“. Ging ja auch nicht anders. Um das aufzulösen, muss man nun selbst Hand anlegen und damit ist man nicht alleine, Microsoft nennt die Zahl von 4 Millionen Accounts, die sowohl MSA als auch AAD-Accounts sind.

Was muss getan werden?

Aus dem „privaten“ Konto muss die „Firmen“-Mail gelöscht werden und der primäre Alias muss auf einen solchen privaten Account verweisen.

Eigentlich ist die angezeigt E-Mail ohnehin fast egal. Man konnte sich ja auch bisher mit einem Alias, also einer anderen E-Mail die bei account.live.com in selben Konto hinterlegt ist,  anmelden. Oder neuerdings auch mit der Telefonnummer. Denn hinter dem Konto liegt eine GUID (eine eindeutige ID) mit der das Konto eigentlich identifiziert wird, unabhängig vom Anzeigenamen. Aber dennoch… und hier gleich die Warnung für Nutzer von Windows Phone 8 (oder früher hat): Das kann den primären Alias noch nicht ändern, d.h. hier meldet man sich offenbar nicht mit der GUID, sondern tatsächlich mit der Mailadresse an. Das würde heißen: Reset des Phones.

Ebenfalls zuwarten sollte man, wenn man z.B. von der Firma MSAs zugewiesen bekommen hat (also wo die Firma die eigentlich privaten Accounts erstellt hat). Da sollte man erst Nachfragen, bevor man Änderungen unternimmt. Und zuguterletzt verweist der bereits verlinkte Artikel Unfortunately, there’s still a small number of Microsoft business services that don’t support Azure AD. The good news is that we’re making good progress“. Welche das sind, darf man offenbar selbst herausfinden.

Die entsprechende Anleitung zum Umbennen meint: „Die Sicherheit bleibt dabei erhalten. Geändert wird nur die Art der Anmeldung bei Ihrem Konto. Dies hat keine Auswirkungen auf damit verknüpfte Daten. „.  Ja…

Vorbereitung:

Aus Erfahrung weiß ich, dass man mit seinem Microsoft Konto besser nicht herumfummelt. Wenn man sich da aussperrt,… und nicht etwa, weil ich Outlook (das Consumer-Service) als Maildienst verwende, das tue ich nicht. Sondern weil da OneDrive mit allen meinen Daten und Photos dranhängt, die ganzen Apps & Einkäufe hinterlegt sind (alleine die Xbox Spiele,… da ist schon „etwas“ Geld reingeflossen), die ganzen Zugänge (Beta-Programme, MSDN, Windows Dev Center,…), die Familieneinstellungen und vermutlich noch einiges mehr.

Als Vorsichtsmaßnahme empfehle ich daher vorher in jedem Fall auf https://account.live.com/proofs/ zu gehen („Sicherheit und Datenschutz“-> „Weitere Sicherheitseinstellungen“) und die dort hinterlegte Information zu überprüfen:

  • Wiederherstellungscode ausdrucken
  • Telefonnummern überprüfen
  • E-Mail Adressen überprüfen
  • Backup – Mein OneDrive sichere ich lokal auch noch mal (Synology-NAS mit Cloud Sync)

Aufgrund von Paranoia habe ich auch den Einkaufsverlauf von account.live.com gespeichert. Um Microsoft nachher zu klagen, wenn meine Spiele alle weg sind. Gemeinerweise sind da allerdings nicht die Xbox Gold Spiele gelistet. Also den Downloadverlauf auch noch gespeichert (beides einfach in ein PDF drucken und das auf OneDrive legen. Moment… das ist ja gar nicht so clever gewesen.)

Durchführung:

Die ist recht simpel. In die „Anmeldeoptionen“ gehen und – wenn vorhanden – die alternative Mail als primären Alias verwenden.

msa_cleanup1

Ansonsten kann man einen neuen Alias hinzufügen und diesen anschließend zum primären Alias machen. So keine andere (Nicht-AAD) Adresse zur Verfügung steht (z.B. GMail, Yahoo, GMX oder eine eigene Domain), kann auch ein neuer Outlook.com-Alias erstellt werden. Leider kann man keinen bestehenden MSA hinzufügen, was ich sehr, sehr schade finde, ich hätte da eine „bessere“ Adresse gehabt.

msa_cleanup2

Anschließend die Firmenmail (bzw. in meinem Fall sogar zwei AAD-Mailadressen) entfernen. (Und genau das ist der Schritt, wo ich so Angst habe). Fertig.

msa_cleanup3.png

BTW: In weit Microsoft in Zukunft verhindern will, dass man auch weiterhin in diese „Falle“ gerät, kann ich schwer beurteilen. Dass man bei einer bestehenden AAD-Instanz nachträglich einen MSA erstellt, ist leicht zu erkennen und zu verhindern. Bei der Erstellung wird einfach nachgesehen und wenn es bereits einen Tenant gibt, kommt eine entsprechende Meldung, … easy.

Bloß… umgekehrt kann man wohl nicht (wenn man noch halbwegs bei Trost ist) einer Firma sagen, dass sie nun nicht auf Office 365 können, weil einer von 100.000 Mitarbeitern bereits einen MSA mit der Arbeits-Adresse erstellt hat. Sprich: Da wird es zukünftig auch noch einen Mechanismus geben (müssen) oder man behält die Zweigleisigkeit weiterhin bei. Ich *vermute* letzteres und würde daher fast mal als Tipp vorschlagen: Solange Microsoft nicht mehr Gründe für die Umbenennung nennt, und einen das Auswahlfenster bisher schon nicht gestört oder verwirrt hat… einfach mal abwarten. Einen richtigen Aufruf zur Umbenennung versteckt man nicht auf einem TechNet-Blog.

Mein Service:

Falls man mit dem Gedanken spielt, die Umbenennung vorzunehmen: Einfach mal 48 Stunden warten und schauen, ob ich hier unverzeihliche Flüche ausspreche. Zum Beispiel wenn mein Gamerscore weg wäre.

[UPDATE 19.09.2016]: Bei der Xbox-App auf Windows 10 ist die erste Anmeldung fehlgeschlagen, einfach auf „Nochmals versuchen“ und schon ist alles wieder gut. Das war bislang das einzige, wo mir persönlich ein „Mini-Schluckauf“ aufgefallen wäre.

Erste Ergebnisse:

Vielleicht habe ich mich zu viel gefürchtet, oder aber der Prozess wurde *wirklich* getestet. Eventuell eine Mischung aus beidem. Jedenfalls,… also hat keine 30 Sekunden gedauert. Primären Alias geändert, zwei AAD-Accounts rausgelöscht.

msa_cleanup4

Die Windows 10 Rechner waren die schnellsten, die Kontoinformation hat einfach (ohne Reboot oder Ausloggen) nach einigen Minuten die neue outlook.at Adresse gezeigt. Das Phone zog ein paar Minuten später nach. Die Skype Preview hat das gleiche Verhalten gezeigt, es wird – ohne dass eine erneute Anmeldung erforderlich ist – das neue Konto angezeigt. OneDrive synct auch. Bei MSDN kann ich mich einloggen. Die Xbox hat eben die Bioshock-Collection fertig heruntergeladen,…

Nur die Apps auf Android waren noch nicht sonderlich beeindruckt, hier wird mir in verschiedenen Apps noch die alte ID angezeigt (z.B. Cortana oder OneDrive). Vermutlich müsste ich einmal abmelden/anmelden. Aber wozu, es scheint geklappt zu haben, die Apps können syncen und funktionieren problemlos.

11 Kommentare

  • Ja was ist den da passiert??

    Soll dies so sein?

  • Danke für die Info

  • H Georg,

    ich habe auch einen „privaten“ MSA mit meiner Firmenmail (wegen MCP und OneDrive) und mittlerweile bei uns auch O365 mit der gleichen Adresse. Mittlerweile brauche ich den privaten (Firmen) MSA nur noch für MCP. Gibt es auch eine Möglichkeit meine Certs usw. in meinen echten rpivaten (@outlook.de) Account migrieren zu lassen? Oder muss gleiches Prozedere durchführen wie in deinem Artikel beschrieben und habe dann zwei private @outlook.de MSA?

    Danke und Gruß
    Steffen

    • Sehr gute Frage,… also ich habe jetzt nachgesehen, der MCP ist in meinem MSA geblieben, das war zu erwarten. Da man aber idiotischerweise keinen bestehenden MSA hinzufügen kann und Du bereits einen anderen privaten MSA hast… ja, das würde 2x MSA bedeuten. Kann man denn nun die Prüfungen „umhängen“? Nicht über die Oberfläche, eventuell kann das Regional Service Center helfen. https://www.microsoft.com/de-de/learning/help.aspx

      Es ist halt auch da die Frage, ob Du wirklich tätig werden solltest. So Microsoft nicht mehr Druck macht (…) – steht eh im Artikel.

      • Hallo Georg,

        kurze Rückmeldung. Der Regional Service Center hat das telefonisch in 5 Minuten mit mir erledigt. Die Verknüpfung wurde aufgehoben und anschliessend mit meinem Outlook MSA wieder verknüpft.

      • Jetzt bin ich beeindruckt. Du hast jemanden erreicht, der konnte helfen und das auch noch flott. Da keimt ja etwas Hoffnung auf! Und Du bist noch zertifiziert? So wirklich?😉 Danke jedenfalls für das Feedback, gut zu Wissen dass das klappt!

      • Japp ging alles super easy. Ich hab mich auch während des telefonats in den Account eingeloggt und die Dame meinte direkt „Ich sehe Sie loggen sich gerade mit der neuen Mail Adresse ein“. Auch auf dem Transcript steht die neue Mail Adresse drauf. Von daher alles gut…

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s