none
Školní Office 365 a falešný tenant RRS feed

  • Dotaz

  • Dobrý den,

    škola se dostala do ošemetné situace. Pokusím se to popsat.

    Škola je registrovaná pod tenantem naseskola@onmicrosoft.com. Veškeré služby může spravovat přes účet admin@naseskola.onmicrosoft.com. Má přidělené licence atd. a vše funguje jak má.

    Škola také vlastní doménu naseskola.cz (má přístup ke správě, k DNS záznamům apod.). Tuto doménu jsme nyní chtěli přidat do Office365, abychom mohli začít používat pro všechny žáky a učitele adresy ve tvaru jméno.příjmení@naseskola.cz.

    Ve správě Office365 jsme spustili průvodce přidáním domény, byl vygenerován DNS TXT záznam pro ověření vlastnictví domény (ten jsme přidali do našich DNS záznamů), ověření proběhlo, ale pak se objevilo hlášení, že:

    --------------------- začátek citace ---------

    Potvrdili jsme, že vlastníte naseskola.cz, ale nemůžeme ho teď přidat do tohoto tenanta. Doména je už přidaná do jiného Microsoft 365 tenanta: fakeskola.onmicrosoft.com.

    Přihlaste se k tomuto tenantovi jako l******u@naseskola.cz nebo pomocí jiného účtu správce a odeberte doménu naseskola.cz. Potom se vraťte sem a zkuste přidat doménu naseskola.cz k tomuto tenantovi znovu.

    Pokud se k účtu fakeskola.onmicrosoft.com nemůžete přihlásit jako správce, zkuste si resetovat heslo správce.

    ------------------------- konec citace ---------------------

    Problémem je, že vůbec nevíme o tom, že by někdo tenant fakeskola.onmicrosoft.com zakládal. Ani zobrazovaná adresa l******u@naseskola.cz neexistuje. Ani nevíme, jak by měla vypadat, takže si ani nelze vyžádat změnu hesla.

    Kontaktovali jsme support, sdíleli s nimi obrazovku, viděli, že doménu naseskola.cz skutečně vlastníme. Potvrdili, že oba tenanty jsou vedeny na název naší školy, ale prý nejsou schopni (z bezp. důvodů) zjistit název admin účtu k fakeskola.onmicrosoft.com. Přestože jde o jednu organizaci, nelze se do fake účtu nijak dostat, nelze ani fake tenant zrušit.

    Je z této situace nějaká cesta ven? Původně nám totiž bylo řečeno, že podobných případů nyní řeší více a že to řešitelné je.

    Vypadá to, jakoby někdo cvičně zkusil školu zaregistrovat, ale nedotáhl to do konce. Ale nyní se k tomu nikdo nezná...

    Díky za rady. Martd.


    mart

    středa 14. října 2020 15:51

Odpovědi

  • Relativne bezna situace.

    Mohl to byt pokus o tenant nekdy v minulosti. Jindy se to stane registraci nejakeho MS produktu - typicky Office. Videl a resil jsem to nekolikrat.

    Neumite se podivat do historie postovniho systemu naseskola.cz, jake tam mohlo byt jmeno prijemce?

    Navic mam pocit, ze tambyla moznot poslat na ten zahvezdickovany mail zpravu. Pokud to tak porad je, zkuste pres SMTP logy postovniho systemu naseskola.cz zjitit, komu byl cinen pokus o doruceni podle uvedeneho vzoru l***u@

    A takovou schranku si vytvorte.

    pátek 16. října 2020 9:11
  • Ted jsem resil opet podobnou situaci.

    Pridani DNS domeny vedlo na - tuto domenu jiz pouziva jiny uzivatel. Prokazte, ze domenu vlastnite. A k tomu formularek k zadani nejakeho mailu v teto domene
    Tj. jsem napsal NEJAKY existujici mail (reditel skoly) - nebyl tam zadny predvyplneny.

    tenant mi napsal:

    Výborně! Teď se podívejte do e-mailu
    Měli byste dostat e-mail na adresu ‎reditel@skola.cz‎. Podle pokynů v tomto e-mailu se přihlaste k účtu, který používají i ostatní lidé s e-mailovými adresami skola.cz‎. Když se přihlásíte tímto účtem, můžete na portálu pro správu převzít správu a stát se správcem.
    Pokud jste e-mail na adresu reditel@skola.cz‎ nedostali, podívejte se do složky se spamem.
    Odhlaste se prosím od tohoto účtu, abyste se mohli přihlásit jako ‎reditel@skola.cz

    Na mail reditel@skola.cz prisla vyzva k zalozeni TXT zaznamu do DNS. Tim se reditel dostal k nejakemu historickemu tenantu. Dusuje se, ze nikdy takovy nedelal. Neverim :) DNS domena se sama do tenantu neprida, k tomu je nutny pristup k ISP DNS.

    Po prihlasenim do historickeho prazdneho tenantu jsme domenu odebrali a bylo mozne ji pouzit jinde.

    Ale videl jsem i pripad, o kterem pises - domenu nekdo pridal ke specifickemu MS uctu, prdpokladam pri aktivaci Office, nebo nejake MS sluzby - neni to tentant. Pak se musel pouzit konkretni spravny email.

    Jeste jednou proverte historicke zaznamy o aktivacich SW, pripdne o lidech, kteri prosli skolou a mohli mit vyse uvedeny specificky mail.


    čtvrtek 29. října 2020 13:47
  • Pokud je onen druhý tenant už "mrtvý/neaktivní", přidávám odkaz pro ostatní, jak doménu převzít vynucením změny DNS záznamů - https://docs.microsoft.com/en-us/azure/active-directory/enterprise-users/domains-admin-takeover
    pátek 30. října 2020 15:19
    Vlastník

Všechny reakce

  • Relativne bezna situace.

    Mohl to byt pokus o tenant nekdy v minulosti. Jindy se to stane registraci nejakeho MS produktu - typicky Office. Videl a resil jsem to nekolikrat.

    Neumite se podivat do historie postovniho systemu naseskola.cz, jake tam mohlo byt jmeno prijemce?

    Navic mam pocit, ze tambyla moznot poslat na ten zahvezdickovany mail zpravu. Pokud to tak porad je, zkuste pres SMTP logy postovniho systemu naseskola.cz zjitit, komu byl cinen pokus o doruceni podle uvedeneho vzoru l***u@

    A takovou schranku si vytvorte.

    pátek 16. října 2020 9:11
  • V poštovním systému naseskola.cz žádný takový mail není. Ani historicky v žádném logu.

    Mně to přijde, že ten zahvězdičkovaný mail vznikl spíš až v O365, jen jako účet správce. Bohužel nevíme, jak ten mail vypadá, abychom na něj mohli poslat zprávu. MS nám ho neřekne, protože si myslí, že jsme jiný subjekt.


    mart

    pátek 16. října 2020 11:58
  • Ted jsem resil opet podobnou situaci.

    Pridani DNS domeny vedlo na - tuto domenu jiz pouziva jiny uzivatel. Prokazte, ze domenu vlastnite. A k tomu formularek k zadani nejakeho mailu v teto domene
    Tj. jsem napsal NEJAKY existujici mail (reditel skoly) - nebyl tam zadny predvyplneny.

    tenant mi napsal:

    Výborně! Teď se podívejte do e-mailu
    Měli byste dostat e-mail na adresu ‎reditel@skola.cz‎. Podle pokynů v tomto e-mailu se přihlaste k účtu, který používají i ostatní lidé s e-mailovými adresami skola.cz‎. Když se přihlásíte tímto účtem, můžete na portálu pro správu převzít správu a stát se správcem.
    Pokud jste e-mail na adresu reditel@skola.cz‎ nedostali, podívejte se do složky se spamem.
    Odhlaste se prosím od tohoto účtu, abyste se mohli přihlásit jako ‎reditel@skola.cz

    Na mail reditel@skola.cz prisla vyzva k zalozeni TXT zaznamu do DNS. Tim se reditel dostal k nejakemu historickemu tenantu. Dusuje se, ze nikdy takovy nedelal. Neverim :) DNS domena se sama do tenantu neprida, k tomu je nutny pristup k ISP DNS.

    Po prihlasenim do historickeho prazdneho tenantu jsme domenu odebrali a bylo mozne ji pouzit jinde.

    Ale videl jsem i pripad, o kterem pises - domenu nekdo pridal ke specifickemu MS uctu, prdpokladam pri aktivaci Office, nebo nejake MS sluzby - neni to tentant. Pak se musel pouzit konkretni spravny email.

    Jeste jednou proverte historicke zaznamy o aktivacich SW, pripdne o lidech, kteri prosli skolou a mohli mit vyse uvedeny specificky mail.


    čtvrtek 29. října 2020 13:47
  • Situaci jsme dořešili včera ráno: protože jsme neznali konkrétní mail (a MS ve svých zprávách uváděl jen  l******u@naseskola.cz, z čehož jsme neuměli vydedukovat, o jaký mail se mohlo jednat; u našeho ISP se nenašl žádný záznam o tom, že by někdy někdo takový mail používal), museli jsme postupovat jinak.

    MS Support nám výše uvedený ticket uzavřel s tím, že nelze pomoci, pokud neznáme mail. Že se dle nich jedná o jiný subjekt a že není možné s jiným tenantem manipulovat. 

    Založil jsem tedy nový ticket u podpory s tím, že požadujeme rovnou zrušení falešného tenantu, který zneužívá jméno školy. Dodali jsme MS výpis z obch. rejstříku (škola je s.r.o.), registraci ministerstva školství a notářem ověřené prohlášení, že oba tenanty jsou vedeny na tutéž školu (ve falešném tenatu byl uveden název školy částečně zkratkou, v pravém tenantu byl vypsán slovně v plném rozsahu).

    Výsedkem bylo, že přišla odpověď, kde se dotazovali, zda známe osobu XY s mailem  kompletniadresa@naseskola.cz. Tím jsme se tedy dostali dál. Nechali jsme si založit tuto adresu u našeho ISP, nechali si vygenerovat nové heslo (ovšem zde je ještě komplikace, že MS posílá ověřovací kód na telefon svázaný s mailem - ale povedlo se kontaktovat bývalého učitele XY, dokonce ještě měl funkční SIM kartu s daným číslem) a změnili jsme heslo k mailu. Doménu jsme z falešného tenantu odstranili a přidali ji k tomu pravému.

    Proces je to složitý a zdlouhavý, ve škole nebyl zdokumentovaný, admin učet byl vázaný na soukromý telefon - prostě vše procesně špatně.

    Pro poučení však dobrý příklad.

    Díky.

     


    mart

    čtvrtek 29. října 2020 15:16
  • Ale je videt, ze si s tim nekdo z dane organizace hral - byvaly ucitel. Takze vina neni na strane MS.

    čtvrtek 29. října 2020 18:54
  • Ano, hrál si bývalý učitel a nedal o tom nikomu vědět. Přísně vzato byl postup MS správný - vidí 2 tenanty a u každého jinak pojmenovanou školu. Že je jednou psaná zkratkou a jednou plným názvem, to asi v USA nedokážou nerozlišit. Zpočátku jsem komunikoval s podporou sice česky, ale Češi to podle jména nebyli. Teprve v závěru se to dostalo asi na jinou úroveň, ticket převzal Čech, který to asi dokázal vykomunikovat a vyřešit.

    mart

    čtvrtek 29. října 2020 19:27
  • Pokud je onen druhý tenant už "mrtvý/neaktivní", přidávám odkaz pro ostatní, jak doménu převzít vynucením změny DNS záznamů - https://docs.microsoft.com/en-us/azure/active-directory/enterprise-users/domains-admin-takeover
    pátek 30. října 2020 15:19
    Vlastník
  • JJ. shodou okolnosti jsem delal vcera. Zakaznik si kdysi hral a zapomnel na to. Tenant sice obsahoval DNS domenu, ale nemel validni licence - trialky vyprsely. Tak jsem pouzil preste tento zpusob.

    Tj. vlastne prihlaseni MS uctem do trial PowerBI a tam pres admin ikonu je pruvodce pro prevzeti admin prav pres TXT zaznam.

    sobota 31. října 2020 11:45