Bis vor einer noch nicht so langer Zeit, gab es eine große Hürde bei der Einführung von Intune in Unternehmen, es war nämlich nicht möglich Gruppenrichtlinien (GPO´s) auf den Intune verwalteten Geräten zu verteilen. Dieses Defizit wurde nun von Microsoft behoben, mit den ADMX backed policies ist es nun möglich, diese Lücke zu füllen.
GPO in Intune sind nun möglich
Für viele Unternehmen stellte sich beim Einsatz von Intune – z.B. zur Gewährleistung von Compliance Anforderung – bisher die Hürde, dass keine Gruppenrichtlinien bzw. Registry-Einträge durch Intune möglich waren. Gerade wenn eine Mischumgebung aus hybrid-verwalteten Geräten und Geräten mit reinem Azure AD join zum Einsatz kamen.
In diesem Fall musste eine Doppelpflege vorgenommen werden, auf der einen Seite On-Premise in Form von GPO Einstellungen und auf der anderen Seite Einstellungen in Intune. Die Problematik dabei ist nur, das mit den GPO´s mehr Einstellungen möglich sind.
MODERNE RICHTLINIEN & MONITORING
Mit den in Windows 10 integrierte Microsoft Configuration Service Providers (CSPs), welche nun im Systemkern vorhanden sind, womit die Anwendung von OMA-URI-Einstellungen (Open Mobile Alliance Uniform Resource Identifier), wie in den mobilen Plattformen Android und iOS, ermöglicht werden.
Dieses Verfahren hat einen großen Vorteil: Richtlinienanwendungen – bzw. eine Einstellung daraus – lässt sich nun zentral über die Intune-Console monitoren.
Microsoft Intune setzt hierbei zudem auf ein mehrstufiges Verfahren zur Richtlinien-Prüfung: Zum einen meldet der Client zurück, ob eine Richtlinie erfolgreich angewendet werden konnte. Über eine separate Konformitätsrichtlinie wird zudem geprüft, ob das Endgerät zu den Richtlinien kompatibel ist, die man zur Wahrung eines Sicherheitsstands im Unternehmen definiert hat. Ist das Gerät aus der Sicht der Security nicht kompatibel – etwa weil es nicht verschlüsselt ist oder ein Viren-Infekt nicht behoben werden konnte –, so wird es z.B. von den Office 365 Diensten ausgesperrt.
Eine Konfigurationsprüfung und die Konformität zu trennenstellt sich durchaus als sinnvoll dar: Es wäre falsch, einen Nutzer auszusperren, nur weil vielleicht das Hintergrundbild falsch gesetzt wurde.
Das Intune bietet zwar schon recht viele Einstellungen an, die auch über Schalter aktiviert werden können, aber über die ADMX backed policies werden diese Möglichkeiten nun deutlich erweitert.
Einstellungen in Microsoft Intune
Microsoft führt eine umfangreiche Dokumentation bereits importierter CSP-Einstellungen. Für diese CSP-Settings ist beschrieben in welcher Windows Version sie zur Verfügung stehen, in welcher ADMX-Datei sie zu finden sind und wie die ID der einzelnen Optionen lauten.
In vielen Kundensituationen kommt es immer wieder vor, das Kunden Zertifikate an mobile Geräte senden möchten, um mit Ressourcenzugriffsprofilen (WLAN, S / MIME etc.) zu arbeiten und den Zugriff über ein Zertifikat aus der internen CA abzusichern. Aus der Sicht der Sicherheit aber nicht den NDES (Network Device Enrollment Server), der ja über das SCEP Protokoll arbeitet, über eine URL im Internet publizieren möchten.
Microsoft Intune verfügt hierfür über eine weniger bekannte PKCS # 12 (PFX) -basierte Zertifikatsbereitstellung, die in diesem Szenario verwendet werden kann.
In den vorherigen Versionen musste ein Administrator eine PFX-Datei bereitstellen, die dann auf dem Gerät eingebunden werden musste. Dies hat sich nun in Intune geändert, die PFX Datei muss nun nicht mehr bereitgestellt werden. Mit der Hilfe des Intune Certificate Connector, können nun Geräte ein Zertifikat aus der lokalen Zertifizierungsstelle automatisiert erhalten. Hierfür wird der NDES Service nicht mehr benötigt.
Ein kleiner Überblick über das Microsoft Rechenzentrum.
Wenn Daten zu einer Exchange-Datenbank hinzufügt werden, erhöht sich damit zwangsläufig die Größe der Microsoft Exchange Datenbank. Wenn jedoch Postfächer gelöscht werden, nimmt die Größe der Microsoft Exchange-Datenbank nicht unbedingt ab - sie bleibt gleich.
Eine häufige Anforderung von Kundenseite ist die Frage nach einer Delegierung von Postfachberechtigungen zwischen OnPremise und Cloud-Benutzern. Bislang konnte dies nur verneint werden, bislang denn seit Ende April wird diese Funktion im Office 365 Tenanten freigegeben.
Eine der wichtigsten Anforderungen seit der Veröffentlichung von Microsoft Planner war es, die Möglichkeit Planner-Aufgaben mit Outlook zu synchronisieren.
Der naheliegendste Ort zum Synchronisieren einer Planner-Aufgabe wären die Outlook-Aufgaben. Aber im ersten Quartal dieses Jahres, gab Microsoft bekannt, dass Planner-Aufgaben als iCalendar-Feed zum Outlook Kalender hinzugefügt werden können und die Funktion ist standardmäßig aktiviert.
Die Planner- sowie Outlook-Aufgaben können zwar auch mit Flow integriert werden, aber das wäre ja eine Integration über einen Umweg. Microsoft steuert alle Installationen am Back-End, um die Integration von Outlook und Planner zu ermöglichen, aber die Frage ist, ist der User mit wenig Erfahrung in der Lage mittels Flow eine Synchronisierung herzustellen. Der iCalendar-Feed bietet eine eingeschränkte Ansicht von Planner-Aufgaben basierend auf ihrem Fälligkeitsdatum. Das Kalenderelement enthält nur wenige Details, es jedoch durch den Planner navigiert werden, um mit der Aufgabe zu interagieren.
Benutzer können ihre Aufgaben in der Ansicht "Meine Aufgaben" von Planner veröffentlichen. Was ein großes Risiko in sich birgt, ist die Tatsache dass der iCalendar-Feed für jeden zugänglich ist, der die URL kennt. Selbst wenn Sicherheitsmechanismen, wie Multi-Faktor-Authentifizierung oder Claim-Based Access, eingerichtet sind, hat das keinen Einfluss darauf wer auf diese Daten zugreifen kann.
Das Risiko in dieser Situation ist wahrscheinlich ziemlich gering. Der iCalendar-Link ist eine obskure URL, die schwer zu erraten wäre. Und die im iCalendar-Feed enthaltenen Informationen sind minimal. Beispielsweise sind Beschreibungen, Teilaufgaben und Kommentare zu einer Planner-Aufgabe, die möglicherweise vertrauliche Informationen enthalten, nicht im iCalendar-Feed enthalten. Dieses potential gilt es individuell zu bewerten.
Glücklicherweise kann die iCalendar-Veröffentlichungsoption deaktiviert werden. Microsoft hat dazu einen Supportartikel (https://support.office.com/en-us/article/turn-off-outlook-calendar-sync-in-planner-for-your-organization-e961c98c-a93c-4bda-959d-962c4eab719c) mit den Schritten veröffentlicht, mit denen die Konfiguration überprüft oder auch die Outlook-Kalender-synchronisierung aktiviert bzw. deaktiviert werden kann.
Nach Überprüfung der Möglichkeiten durch Microsoft, stellt sich aber raus das die Dokumentation scheinbar ein kleines Problem hat. Die Durchführung der von Microsoft empfohlenen Schritte haben im ersten Moment nicht funktioniert, Microsoft empfiehlt ja das Powershell Modul SetPlannerTenantSettings.psm1 und die Manifestdateien SetPlannerTenantSettings.psd1 zu benennen. Mit diesen Bezeichnungen hat die Ausführung einen Fehler ausgeworfen, eine erneute Umbenunng in SetTenantSettings.psm1 und SetTenantSettings.psd1 führte dann zum Erfolg. Was dabei auch beachtet werden sollte, Dateien die aus dem Internet heruntergeladen werden, können gesperrt sein, daher auch hier darauf achten, das die Daten vorher entsperrt werden.
Wenn die Vorbereitungen abgeschlossen sind, können dann die Einstellungen per Powershell-Funktionen Set-PlannerConfiguration und Get-PlannerConfiguration verwaltet werden.
Ein wenig ärgerlich ist aber das jedesmal eine Authentifizierung erfolgen muss, wenn eine der Funktionen ausgeführt werden soll. Die Kalenderfreigabe ist die einzige Plannereinstellung, die mit diesen Funktionen verwaltet werden kann. Vielleicht wird es in Zukunft ein voll funktionsfähiges und einfacher zu bedienendes PowerShell-Modul geben.
In Microsoft Exchange-Software liegt eine Sicherheitslücke bezüglich Remotecodeausführung vor, wenn die Software Objekte im Speicher nicht ordnungsgemäß verarbeitet werden. Ein Angreifer, der die Sicherheitslücket erfolgreich ausnutzt, kann im Kontext des Systembenutzers beliebigen Code ausführen. Ein Angreifer könnte damit dann Programme installieren; Anzeigen, Ändern oder Löschen von Daten oder neue Konten erstellen.
Eine aktuelle Umfrage zeigt das nur ein Bruchteil der Office 365 Administratoren die MFA fürs Office 365 einsetzen bzw. aktiviert haben.
Der Hauptgrund dafür das die MFA aktiviert wird ist, dass die MFA dem Endbenutzer ein Ärgernis ist. Viele Administratoren beschweren sich auch darüber das es eine fehlende MFA-Unterstützung in den verschiedenen PowerShell-Modulen gibt. Dieses Problem ist meines Erachtens ein mittlerweile gelöstes Problem. Die Unternehmen die die MFA für ihre Benutzer eingeführt haben, sind auch diejenigen, die den Störfaktor für ihre Benutzer reduziert haben, indem sie unter bestimmten Umständen MFA umgehen lassen. Das Umgehen von MFA für vertrauenswürdige Netzwerkspeicherorte ist ebenso üblich wie das Umgehen von MFA für vertrauenswürdige Geräte .
Die Umgehung der MFA würden normalerweise auch für administrative Anmeldungen gelten, was aber nicht zu empfehlen ist, da diese Konten besonders schützenswerte Konten sind. Eine mögliche Lösung für dieses Problem könnte sein, in Azure AD eine Richtlinie für den bedingten Zugriff zu erstellen, die die MFA für Administratorenkonten zwingend voraussetzt. Wenn jedoch eine Richtlinie für bedingten Zugriff auf alle Mitglieder der Gruppe der globalen Administratoren angewendet werden soll, muss in Azure AD eine zusätzliche Sicherheitsgruppe erstellt werden, die dieselben Benutzerkonten enthält wie die Gruppe der globalen Administratoren . Diese Doppelarbeit macht die laufende Administration offensichtlich schwieriger und fehleranfällig.
Nun hat Microsoft den bedingten Zugriffsrichtlinien von Azure Active Directory neue Funktionen hinzugefügt, um das Targeting von Richtlinien auf Verzeichnisrollen zu ermöglichen. Zum jetzigen Zeitpunkt ist das noch eine Beta Funktion, was sich aber schnell ändern kann.
Microsoft hat nun mitgeteilt dass das Mail-Flow Insights in Kürze im Office 365 Security & Compliance Center verfügbar sein wird. Des weiteren soll die Mail-Flow Insights optimiert werden, um die Produktivität von Administratoren zu verbessern. Derzeit befindet sich Microsoft noch in der Bereitstellungsphase. Ab dem 14. Mai soll die Funktion bereitstehen.
Wofür dient es?
Administratoren können das Mail-Flow-Dashboard im Office 365 Security & Compliance Center verwenden, um Trends und Einblicke zu erkennen und Maßnahmen zu ergreifen, um Probleme im Zusammenhang mit dem Nachrichtenfluss in ihrer Office 365-Organisation zu beheben.
Wo finde ich dieses Dashbord?
Rufen Sie das Office 365 Security & Compliance Center unter https://protection.office.com auf .
Erweitern Sie Mailflow und wählen Dashboard.
Auf der Ignite 2017 Konferenz kündigte Microsoft seine Pläne für die nächste Version des lokalen Microsoft Exchange-Servers an. Die neue Version wird Microsoft Exchange 2019 heißen und Ende 2018 auf den Markt kommen.
Eine Vorschau auf Exchange 2019 wird irgendwann Mitte 2018 verfügbar sein, und die Veröffentlichung ist für die zweite Hälfte 2018 vorgesehen. Dies folgt dem typischen 3 Jahres Veröffentlichungsrythmus für Exchange Server, mit RTM einer neuen Version kurz vor dem Jahr mit dem es gebrandmarkt ist.
Die Entwicklung des lokalen Microsoft Exchange Servers erfolgt nach dem Muster, das neue Features, erst in Microsoft Exchange Online , dann dann über kumulative Updates oder als eine vollständige neue Version auf den Markt umgesetzt werden. Aber einige Cloud Verbesserungen sind in der Microsoft Exchange 2013 Version solange nicht auf den Markt gekommen, bis Microsoft Exchange 2016 auf dem fertig war.
Obwohl Microsoft zu diesem Zeitpunkt keine spezifischen Ankündigungen macht, kann nur zu spekuliert werden, was in Exchange 2019 zu sehen sein wird. Es wird spekuliert das die Anpassungen und Neuerungen für Microsoft Exchange Server 2019 auf die Bereiche Cloud-Verbesserungen basieren und Funktionen in die lokale Infrastruktur umzusetzen. Mit Erscheinen der Microsoft Exchange 2016 Version, wurde diese ja eher als ein Servicepack für Microsoft Exchange 2013 gesehen, als eine vollständige Version. Intern gesehen, hat sich Microsoft Exchange 2016 ja auch als Microsoft Exchange 15.2 installiert. Also ist davon auszugehen das Microsoft Exchange 2019 von der Oberfläche her ähnlich aussehen wird wie Microsoft Exchange 2013 Service Pack 3, wenn es denn kommt.
In diesem Stadium können über folgende Annahmen spekuliert werden, was sich in Microsoft Exchange 2019 wiederfindet:
Was sicherlich nicht zu erwarten ist, ist das die cross-service Collaboration-Funktionen von Microsoft Office 365 für On-Premise Installationen Einzug erhält. Sicherlich ist die Vorstellung dass Office 365 Groups eine lokale Funktion angenehm, es wird aber sehr unwahrscheinlich werden das das umgesetzt wird. Die Gruppen verlassen sich auf Cloud-Only-Dienste (z. B. Azure AD, Planner, Teams) und daher ist anzunehmen das die Entwicklungskosten für die Gruppen, damit diese auf eine hybride Art mit lokalen Exchange-Postfächern funktionieren, einfach zu hoch sind. Selbst wenn es möglich wäre, die Gruppen lokal zu haben und nicht von den kontinuierlichen Entwicklungen und Verbesserungen in der Cloud zu profitieren, würde sie eine abgespeckte Variante bleiben. Es ist besser, Gruppen in der Cloud zu belassen, in denen Microsoft das gesamte Ökosystem steuert und schneller anpassen kann.
Mit der Nachrichten von Microsoft Exchange Server 2019 zeigt uns, dass Microsoft sich weiterhin dafür einsetzt, den beträchtlichen On-Premise-Kundenstamm zu bedienen, indem es weiterhin ein On-Prem-Server-Produkt entwickelt, während es Innovationen in der Cloud vorantreibt.