Heute war ich auf der Suche nach einer Option, die G Suite mit einem existierenden Microsoft 365 Tenant zu verknüpfen. Aufgrund von Lizenzbeschränkungen waren wir nämlich für ein Projekt nicht in der Lage für alle beteiligten Personen Microsoft 365 Lizenzen zu nutzen. Also entschieden wir uns für eine Kombination mit der G Suite je nach Berechtigung für eine Microsoft-Lizenz. Das war der Plan:
- Keine Einschränkungen für diejenigen, die tatsächlich berechtigt sind, eine Microsoft 365-Lizenz zu erhalten und die diese auch bereits nutzen
- Jeder beteiligte Nutzer sollte (zusätzlich) Zugriff auf die angebotenen Google-Dienste haben, auch die Microsoft-Nutzer
- Die User-Verwaltung sollte zentral in EINEM System (idealerweise Azure AD) vorgenommen werden
- Jeder Nutzer sollte Zugriff auf ein eigenes E-Mail-Konto haben (Exchange Online oder GMail)
- Ein SSO-System für externe Dienste sollte gleich mit integriert werden
Das Problem an dieser Stelle ist, dass das Azure AD Nutzer auf einer verifizierten Domain voraussetzt, die aber E-Mails auf Google-Servern hostet, was normalerweise nicht vorgesehen ist. Die Lösung ist folgendermaßen strukturiert:
- Einrichten der zusätzlichen Google-Nutzer als Azure AD-Benutzer, aber keine Zuweisung einer Microsoft 365-Lizenz
- Zuweisen einer anderen Subdomain als Nutzernamen für die Google-Nutzer, z.B. cloud.example.org statt example.org
- BEIDE Domains (eample.org und cloud.example.org) müssen bei Google UND Microsoft veriiziert werden, um beide Nutzergruppen zu erlauben
- Verbinden von Azure AD und Google indem dieses Schritte umgesetzt werden
- Generieren der zusätzlichen Nutzer in Azure AD als UPN@cloud.example.org
- Setzen der MX-DNS-Einträge für Microsoft 365 für BEIDE Subdomains
- Folgen dieser Schritte um alle E-Mails an cloud.example.org an Google-Server weiterzuleiten.
Ich hoffe, ich erinnere mich daran in der Zukunft, wenn ich mal was anpassen muss... :/