Hai già Microsoft 365 e stai per lanciare un secondo brand con nuovo dominio, sito e indirizzi e‑mail? La buona notizia è che puoi gestire più domini nello stesso tenant, mantenendo Outlook per desktop e un’unica amministrazione centralizzata, senza duplicare abbonamenti.
Panoramica
Microsoft 365 (ex Office 365) consente di collegare più domini personalizzati allo stesso tenant. In pratica, allo stesso ambiente di lavoro puoi aggiungere nuovodominio.com accanto a dominoprincipale.com, creare caselle e alias su entrambi e governare posta, Teams, SharePoint, OneDrive, sicurezza e compliance da un’unica console. Per molte PMI e organizzazioni con marchi multipli è la soluzione più efficiente in termini di costi, governance e user experience.
Soluzione in breve
| Passaggio | Dettagli operativi | Considerazioni/limiti |
|---|---|---|
| Usare un unico tenant | In Microsoft 365 è consentito aggiungere domini multipli allo stesso tenant. Ciò permette di creare indirizzi del tipo utente@nuovodominio.com accanto a quelli esistenti (@dominoprincipale.com). | Il tenant rimane comunque associato a un solo account Microsoft (quello usato per sottoscrivere l’abbonamento). |
| Aggiungere il nuovo dominio | Tramite Admin Center → Impostazioni → Domini si inserisce il nome di dominio e si verificano i record DNS (TXT/MX). Terminata la verifica, il dominio è disponibile per e‑mail, SharePoint, Teams, ecc. | Servono privilegi di amministratore e accesso al pannello DNS del registrar per pubblicare i record di verifica e di posta. |
| Assegnare indirizzi e licenze | Per ogni utente si può scegliere l’alias sul nuovo dominio. Gli stessi utenti possono avere alias su più domini. | Restano i vincoli di numero di licenze acquistate: se servono nuove caselle occorre comprare licenze aggiuntive. |
| Gestione da Outlook | Gli utenti continueranno a gestire tutte le cassette postali nel medesimo profilo Outlook; nessun cambiamento lato client. | N/A |
| Valutare tenant separati | Per aziende legalmente distinte o con requisiti di compliance diversi, Microsoft consiglia di creare tenant dedicati (uno per società). | Tenant separati implicano costi aggiuntivi e gestione indipendente, ma isolano dati, branding e fatturazione. |
Quando conviene un solo tenant
- Le due attività condividono persone, processi o strumenti IT (stesse caselle o alias per gli utenti).
- Serve collaborazione trasparente fra i brand (calendari, file, Teams) senza federation complessa.
- Si desidera una sicurezza coerente: criteri di accesso, MFA, DLP e conformità applicati in modo uniforme.
- Si vogliono contenere costi e complessità: una sola fattura, un solo set di politiche, una sola directory.
Quando valutare tenant separati
- Aziende realmente autonome sul piano legale, fiscale e di compliance (audit, sovranità del dato, segreazione contrattuale).
- Esigenze di isolamento totale di identità, device management e flussi di posta.
- Branding che non deve comparire in alcun modo nei portali condivisi (login, logo, nome organizzazione).
Prerequisiti e preparazione
- Ruolo: Global Admin o equivalente per aggiungere/verificare domini e assegnare indirizzi.
- DNS: Accesso al registrar o al provider DNS per pubblicare record TXT/MX/CNAME e, idealmente, SPF/DKIM/DMARC.
- Licenze: Verifica disponibilità licenze utente (Business Basic/Standard/Premium o Enterprise). Alias illimitati non richiedono licenze aggiuntive; nuove caselle sì.
- Verifiche iniziali: accertati che il dominio non sia ancora collegato ad altri tenant e che eventuali servizi e‑mail preesistenti siano pronti al cut‑over.
Guida operativa passo‑passo
- Aggiunta del dominio
Vai su Microsoft 365 admin center → Impostazioni → Domini → Aggiungi dominio, inserisci nuovodominio.com e scegli il metodo di verifica (TXT o MX). Pubblica il record proposto sul DNS e attendi la convalida. - Selezione dei servizi
Dopo la verifica, attiva l’uso del dominio per Exchange Online, Teams e SharePoint/OneDrive. Non è necessario cambiare l’URL del tenant per sfruttare il dominio in posta e identità. - DNS e posta in ingresso
Imposta l’MX del nuovo dominio verso il valore specificato dall’Admin Center (formato tipico*.mail.protection.outlook.com). Aggiungi autodiscover come CNAME aautodiscover.outlook.come configura SPF/DKIM/DMARC per la protezione da spoofing. - Assegnazione indirizzi
Per ogni utente, aggiungi alias o imposta il nuovo indirizzo come primario: Utenti attivi → seleziona l’utente → Gestisci indirizzi e‑mail. Gli alias possono convivere su più domini. - Outlook e client
Nessun cambio lato client: Outlook scaricherà le nuove impostazioni. Per l’invio da alias, abilita la funzionalità nelle impostazioni di Exchange Online e rendi visibile il campo Da in Outlook. - Governance e sicurezza
Applica criteri di accesso condizionale, etichette di riservatezza e DLP; valuta gruppi dinamici per separare visibilità e accessi tra brand.
Configurazione DNS consigliata
Ogni dominio aggiunto al tenant dovrebbe avere i seguenti record (valori esatti forniti dall’Admin Center o dai pannelli di Exchange Online/DNS):
| Scopo | Tipo | Nome | Valore tipico | Note |
|---|---|---|---|---|
| Verifica dominio | TXT | @ | Token di verifica | Necessario solo per la verifica iniziale. |
| Posta in ingresso | MX | @ | *.mail.protection.outlook.com | Direziona la posta verso Exchange Online. |
| Autodiscover | CNAME | autodiscover | autodiscover.outlook.com | Ottimizza l’esperienza Outlook/ActiveSync. |
| SPF | TXT | @ | v=spf1 include:spf.protection.outlook.com -all | Autorizza i server Microsoft a inviare per il dominio. |
| DKIM | CNAME | selector1._domainkey | Valore fornito dall’Admin Center | Pubblica selector1 e selector2 per ogni dominio. |
| DMARC | TXT | _dmarc | v=DMARC1; p=quarantine; rua=mailto:report@dominio.com | Regola d’esempio. Adegua p= e gli indirizzi di report. |
| MTA‑STS (opzionale) | TXT | _mta-sts | v=STSv1; id=20241001 | Rafforza TLS per il trasporto. Richiede anche mta-sts host. |
| TLS‑RPT (opzionale) | TXT | smtp.tls | v=TLSRPTv1; rua=mailto:tlsrpt@dominio.com | Reportistica sugli errori di consegna TLS. |
Alias, caselle dedicate e gruppi
Scegli il modello più adatto in base a responsabilità, volumi e requisiti di auditing.
| Modello | Descrizione | Quando usarlo | Licenze | Pro | Contro |
|---|---|---|---|---|---|
| Alias su utente | Più indirizzi sullo stesso utente (mario@dominoprincipale.com, mario@nuovodominio.com). | Stesse persone gestiscono la posta di entrambi i brand. | Nessuna aggiuntiva | Zero costi extra, gestione semplice. | Inbox unica; alcune regole/OOF non sono separabili per alias. |
| Shared mailbox | Casella condivisa senza licenza (fino a soglia di spazio) a cui più utenti accedono. | Caselle “info@”, “ordini@” con collaborazione e auditing. | Di norma nessuna; può servire licenza se superi limiti o per accesso mobile avanzato. | Ownership comune, permessi granulari, “Send As/Send on behalf”. | Non ha credenziali proprie per login interattivo. |
| Casella dedicata | Utente separato con login distinto e spazio autonomo. | Requisiti di separazione forte e tracciabilità individuale. | Una licenza per utente | Totale autonomia, policy dedicate. | Costo aggiuntivo, più oggetti da gestire. |
| Gruppo di distribuzione | Indirizzo che recapita a più membri. | Notifiche, mailing list interne. | Nessuna | Semplice e immediato. | Niente archivio condiviso; meno auditing. |
Outlook, invio da alias e regole
- Un profilo, più identità: gli utenti vedranno arrivare messaggi per tutti gli indirizzi configurati. Abilita il campo Da per scegliere rapidamente l’indirizzo di mittente appropriato.
- Invio come alias: nei tenant moderni è disponibile la funzionalità di invio da alias (da abilitare in Exchange Online). Dopo l’attivazione, l’alias compare come identità di invio in Outlook, OWA e mobile.
- Regole per alias: crea regole di Outlook per etichettare/spostare la posta in base a intestazione per destinatario (a quale indirizzo del dominio è stata recapitata) così da separare visivamente i brand.
- Firme e brand: usa un motore di firme centralizzate o regole di trasporto per applicare firme diverse per dominio o reparto.
Branding, fatturazione e identità
- Fatturazione: resta associata al tenant originale. Entrambi i brand “consumano” dallo stesso pool di licenze.
- Company Branding: la pagina di accesso e i portali amministrativi riflettono il branding del tenant. Se serve isolamento totale, valuta tenant separati.
- UPN: puoi aggiungere il suffisso di accesso (nome.utente@nuovodominio.com) per adeguare l’esperienza di login, separandola dall’indirizzo e‑mail se necessario.
Impatto su Teams, SharePoint e OneDrive
- Teams: puoi assegnare indirizzi e nomi visualizzati coerenti con il nuovo dominio; le policy (messaggistica, meeting) restano centralizzate.
- SharePoint/OneDrive: l’URL radice (tenantname.sharepoint.com) non cambia con l’aggiunta del dominio; il dominio serve a identità e posta. Per rinominare il dominio SharePoint servono operazioni straordinarie e valutazioni d’impatto.
- Gruppi e siti: definisci una convenzione di nomenclatura per distinguere i team/progetti dei due brand (prefissi, etichette, criteri di scadenza).
Sicurezza e compliance
- SPF/DKIM/DMARC: implementali su ciascun dominio. Monitorare i report DMARC (rua) aiuta a scovare invii non autorizzati.
- Accesso condizionale: applica MFA, restrizioni per Paese/IP, requisiti di device compliant via Intune.
- eDiscovery e audit: usa le soluzioni di Microsoft Purview per ricerche multi‑dominio, conservazione legale, revisione eventi.
- Segmentazione: se serve una separazione “soft”, valuta Address Book Policies, etichette di riservatezza, gruppi dinamici e criteri DLP specifici per dominio.
Limiti tecnici e considerazioni
- Numero di domini: il limite è molto ampio (ordine di migliaia, fino a 5.000 per tenant); l’aspetto critico diventa la governabilità, non il numero.
- Integrazioni legacy: ambienti ibridi o applicazioni SMTP vecchie possono richiedere connettori dedicati e IP autorizzati nel record SPF.
- Migrazioni: se il nuovo dominio proviene da altro provider, pianifica un cut‑over con riduzione TTL, doppia consegna temporanea e bonifica record DNS residui.
Checklist di implementazione
Prima del go‑live
- Conferma proprietà del dominio e disponibilità a essere rimosso da altri tenant (se già in uso).
- Definisci alias, caselle condivise e caselle dedicate per i flussi “vendite@”, “info@”, “fatture@”.
- Prepara firme, regole di Outlook e cartelle per separare la posta dei due brand.
- Stabilisci convenzioni di naming per gruppi, siti e team.
- Redigi piano DNS: TXT di verifica, MX, CNAME Autodiscover, SPF, DKIM, DMARC, eventuali MTA‑STS/TLS‑RPT.
Dopo il go‑live
- Controlla DMARC/SMTP TLS‑RPT per eventuali errori o invii non autorizzati.
- Verifica recapito esterno (Gmail, provider principali), reply‑to corretto e inoltri dai moduli del sito.
- Testa invio da alias e permessi “Send As/Send on behalf” per le shared mailbox.
- Convalida regole di firewall/SASE per nuovi domini in uscita.
Troubleshooting
- Dominio già verificato altrove: il registrar è corretto ma il dominio risulta “in uso”. Deve essere rimosso dall’altro tenant prima di procedere.
- NDR dopo il cut‑over: verifica che l’MX punti a Microsoft 365 e che non esistano record MX o include SPF residui del vecchio provider.
- Autodiscover incoerente: rimuovi vecchi record SRV/cname verso servizi legacy; mantieni solo il CNAME verso
autodiscover.outlook.com. - Invio come alias non disponibile: attiva l’opzione in Exchange Online e aggiorna le app (Outlook desktop/mobile) alla versione supportata.
- Firme errate: se gestite lato client, imposta profili separati per dominio o adotta firme centralizzate via regole di trasporto.
Esempio pratico
Scenario: “Alpha Srl” usa alpha.it e lancia il brand “Beta” con beta.it. Aggiunge beta.it al tenant esistente, verifica TXT/MX e imposta MX verso Exchange Online. I dipendenti mantengono nome@alpha.it e ricevono anche nome@beta.it come alias. Il team commerciale crea ordini@beta.it come shared mailbox con permessi “Send As” al reparto vendite. In Outlook, il campo Da permette di scegliere se inviare come alpha.it o beta.it. SPF/DKIM/DMARC sono configurati su entrambi i domini. In Purview, il DLP applica criteri più restrittivi ai documenti marcati “Beta ‑ Confidenziale”. Nessuna modifica ai client, governance centralizzata, costi sotto controllo.
Automazione con PowerShell
Per ambienti più grandi, automatizza la creazione di alias sul nuovo dominio:
# Esempio: aggiunge un alias <UPN locale>@nuovodominio.com a tutte le caselle utente
Connect-ExchangeOnline
$dominioNuovo = "nuovodominio.com"
Get-Mailbox -ResultSize Unlimited -RecipientTypeDetails UserMailbox |
ForEach-Object {
$local = ($*.PrimarySmtpAddress.Local) # parte prima della @
$alias = "smtp:$local@$dominioNuovo" # smtp: = alias aggiuntivo (non primario)
Set-Mailbox $*.Identity -EmailAddresses @{Add=$alias}
}Per singoli utenti, imposta l’indirizzo primario (From predefinito) così:
# ATTENZIONE: cambiare l'indirizzo primario (SMTP:) modifica il mittente di default
Set-Mailbox mario.rossi -EmailAddresses SMTP:mario@nuovodominio.com,smtp:mario@dominoprincipale.comProcedure consigliate
- Documenta end‑to‑end i flussi di posta per ciascun dominio (MX, SPF, connettori, applicazioni che inviano e‑mail).
- Usa gruppi dinamici o etichette di riservatezza per separare dati, team e reportistica tra brand.
- Valuta Microsoft 365 Business Premium se servono funzionalità avanzate di sicurezza e gestione dispositivi (Intune, Defender, accesso condizionale).
- Stabilisci un runbook di onboarding che includa naming per alias, firma, regole di Outlook e policy di condivisione file.
Domande frequenti
Posso avere regole Out of Office diverse per alias?
No: la risposta automatica è per cassetta postale, non per singolo alias. Usa caselle condivise o caselle dedicate se servono OOF differenti.
Il nuovo dominio cambia l’URL di SharePoint/OneDrive?
No: l’URL radice resta quello del tenant. L’aggiunta del dominio influisce su posta e identità, non sull’endpoint principale dei siti.
Devo acquistare licenze extra per gli alias?
No, gli alias sono gratuiti. Le licenze servono solo per nuove cassette postali utente o per superare i limiti delle shared mailbox.
È possibile limitare chi può inviare con il nuovo dominio?
Sì: usa permessi “Send As”/“Send on behalf”, regole di trasporto e policy DLP per controllare mittenti e contenuti.
Conclusione
Gestire due (o più) domini con un singolo abbonamento Microsoft 365 è non solo possibile ma spesso consigliabile: basta aggiungere il nuovo dominio al tenant, configurare correttamente DNS, alias e policy e continuare a usare Outlook come sempre. Se però le due realtà hanno esigenze legali, contabili o di branding totalmente distinte, prenditi il tempo di valutare tenant separati: costano e complicano la gestione, ma garantiscono un isolamento che in certi contesti è imprescindibile.
Riepilogo pratico
- Aggiungi il dominio in Admin Center e verifica via TXT/MX.
- Imposta MX, Autodiscover, SPF, DKIM, DMARC per ogni dominio.
- Assegna alias o crea caselle/shared mailbox secondo i flussi.
- Abilita invio da alias e configura firme/brand per dominio.
- Applica policy di sicurezza e verifica i report DMARC/TLS‑RPT.
Con una pianificazione attenta e poche accortezze tecniche, un solo tenant può sostenere con efficacia più marchi, mantenendo controllo, sicurezza e una user experience impeccabile.