Bis vor einer noch nicht so langer Zeit, gab es eine große Hürde bei der Einführung von Intune in Unternehmen, es war nämlich nicht möglich Gruppenrichtlinien (GPO´s) auf den Intune verwalteten Geräten zu verteilen. Dieses Defizit wurde nun von Microsoft behoben, mit den ADMX backed policies ist es nun möglich, diese Lücke zu füllen.

GPO in Intune sind nun möglich

Für viele Unternehmen stellte sich beim Einsatz von Intune – z.B. zur Gewährleistung von Compliance Anforderung – bisher die Hürde, dass keine Gruppenrichtlinien bzw. Registry-Einträge durch Intune möglich waren. Gerade wenn eine Mischumgebung aus hybrid-verwalteten Geräten und Geräten mit reinem Azure AD join zum Einsatz kamen.

In diesem Fall musste eine Doppelpflege vorgenommen werden, auf der einen Seite On-Premise in Form von GPO Einstellungen und auf der anderen Seite Einstellungen in Intune. Die Problematik dabei ist nur, das mit den GPO´s mehr Einstellungen möglich sind.

MODERNE RICHTLINIEN & MONITORING

Mit den in Windows 10 integrierte Microsoft Configuration Service Providers (CSPs), welche nun im Systemkern vorhanden sind, womit die Anwendung von OMA-URI-Einstellungen (Open Mobile Alliance Uniform Resource Identifier), wie in den mobilen Plattformen Android und iOS, ermöglicht werden.

Dieses Verfahren hat einen großen Vorteil: Richtlinienanwendungen – bzw. eine Einstellung daraus – lässt sich nun zentral über die Intune-Console monitoren.

Microsoft Intune setzt hierbei zudem auf ein mehrstufiges Verfahren zur Richtlinien-Prüfung: Zum einen meldet der Client zurück, ob eine Richtlinie erfolgreich angewendet werden konnte. Über eine separate Konformitätsrichtlinie wird zudem geprüft, ob das Endgerät zu den Richtlinien kompatibel ist, die man zur Wahrung eines Sicherheitsstands im Unternehmen definiert hat. Ist das Gerät aus der Sicht der Security nicht kompatibel – etwa weil es nicht verschlüsselt ist oder ein Viren-Infekt nicht behoben werden konnte –, so wird es z.B. von den Office 365 Diensten ausgesperrt.

Eine Konfigurationsprüfung und die Konformität zu trennenstellt sich durchaus als sinnvoll dar: Es wäre falsch, einen Nutzer auszusperren, nur weil vielleicht das Hintergrundbild falsch gesetzt wurde.

Das Intune bietet zwar schon recht viele Einstellungen an, die auch über Schalter aktiviert werden können, aber über die ADMX backed policies werden diese Möglichkeiten nun deutlich erweitert.

Einstellungen in Microsoft Intune

Microsoft führt eine umfangreiche Dokumentation bereits importierter CSP-Einstellungen. Für diese CSP-Settings ist beschrieben in welcher Windows Version sie zur Verfügung stehen, in welcher ADMX-Datei sie zu finden sind und wie die ID der einzelnen Optionen lauten. 

In vielen Kundensituationen kommt es immer wieder vor, das Kunden Zertifikate an mobile Geräte senden möchten, um mit Ressourcenzugriffsprofilen (WLAN, S / MIME etc.) zu arbeiten und den Zugriff über ein Zertifikat aus der internen CA abzusichern. Aus der Sicht der Sicherheit aber nicht den NDES (Network Device Enrollment Server), der ja über das SCEP Protokoll arbeitet, über eine URL im Internet publizieren möchten.

Microsoft Intune verfügt hierfür über eine weniger bekannte PKCS # 12 (PFX) -basierte Zertifikatsbereitstellung, die in diesem Szenario verwendet werden kann. 

In den vorherigen Versionen musste ein Administrator eine PFX-Datei bereitstellen, die dann auf dem Gerät eingebunden werden musste. Dies hat sich nun in Intune geändert, die PFX Datei muss nun nicht mehr bereitgestellt werden. Mit der  Hilfe des Intune Certificate Connector, können nun Geräte ein Zertifikat aus der lokalen Zertifizierungsstelle automatisiert erhalten. Hierfür wird der NDES Service nicht mehr benötigt.

Ein kleiner Überblick über das Microsoft Rechenzentrum.

Wenn Daten zu einer Exchange-Datenbank hinzufügt werden, erhöht sich damit zwangsläufig die Größe der Microsoft Exchange Datenbank. Wenn jedoch Postfächer gelöscht werden, nimmt die Größe der Microsoft Exchange-Datenbank nicht unbedingt ab - sie bleibt gleich.

Eine häufige Anforderung von Kundenseite ist die Frage nach einer Delegierung von Postfachberechtigungen zwischen OnPremise und Cloud-Benutzern. Bislang konnte dies nur verneint werden, bislang denn seit Ende April wird diese Funktion im Office 365 Tenanten freigegeben.

Die E-Mail-Sicherheit sollte für jedes Unternehmen grundsätzlich die oberste Priorität haben. Da das SMTP-Protokoll von Hause aus wenig bis gar keine Sicherheit bietet, wird auf Frameworks und Erweiterungen vertraut, um die Sicherheitsfunktionen bereitzustellen. Nachfolgend erfahren Sie, welche das sind, wie sie funktionieren und wie Sie damit Ihr Unternehmen schützen können.

Eine der wichtigsten Anforderungen seit der Veröffentlichung von Microsoft Planner war es, die Möglichkeit Planner-Aufgaben mit Outlook zu synchronisieren. 

Der naheliegendste Ort zum Synchronisieren einer Planner-Aufgabe wären die Outlook-Aufgaben. Aber im ersten Quartal dieses Jahres, gab Microsoft bekannt, dass Planner-Aufgaben als iCalendar-Feed zum Outlook Kalender hinzugefügt werden können und die Funktion ist standardmäßig aktiviert.

Die Planner- sowie Outlook-Aufgaben können zwar auch mit Flow integriert werden, aber das wäre ja eine Integration über einen Umweg. Microsoft steuert alle Installationen am Back-End, um die Integration von Outlook und Planner zu ermöglichen, aber die Frage ist, ist der User mit wenig Erfahrung in der Lage mittels Flow eine Synchronisierung herzustellen. Der iCalendar-Feed bietet eine eingeschränkte Ansicht von Planner-Aufgaben basierend auf ihrem Fälligkeitsdatum. Das Kalenderelement enthält nur wenige Details, es jedoch durch den Planner navigiert werden, um mit der Aufgabe zu interagieren.

Benutzer können ihre Aufgaben in der Ansicht "Meine Aufgaben" von Planner veröffentlichen. Was ein großes Risiko in sich birgt, ist die Tatsache dass der iCalendar-Feed für jeden zugänglich ist, der die URL kennt. Selbst wenn Sicherheitsmechanismen, wie Multi-Faktor-Authentifizierung oder Claim-Based Access, eingerichtet sind, hat das keinen Einfluss darauf wer auf diese Daten zugreifen kann.

Das Risiko in dieser Situation ist wahrscheinlich ziemlich gering. Der iCalendar-Link ist eine obskure URL, die schwer zu erraten wäre. Und die im iCalendar-Feed enthaltenen Informationen sind minimal. Beispielsweise sind Beschreibungen, Teilaufgaben und Kommentare zu einer Planner-Aufgabe, die möglicherweise vertrauliche Informationen enthalten, nicht im iCalendar-Feed enthalten.  Dieses potential gilt es individuell zu bewerten.

Glücklicherweise kann die iCalendar-Veröffentlichungsoption deaktiviert werden. Microsoft hat dazu einen Supportartikel (https://support.office.com/en-us/article/turn-off-outlook-calendar-sync-in-planner-for-your-organization-e961c98c-a93c-4bda-959d-962c4eab719c) mit den Schritten veröffentlicht, mit denen die Konfiguration überprüft oder auch die Outlook-Kalender-synchronisierung aktiviert bzw. deaktiviert werden kann.

Nach Überprüfung der Möglichkeiten durch Microsoft, stellt sich aber raus das die Dokumentation scheinbar ein kleines Problem hat. Die Durchführung der von Microsoft empfohlenen Schritte haben im ersten Moment nicht funktioniert, Microsoft empfiehlt ja das Powershell Modul SetPlannerTenantSettings.psm1 und die Manifestdateien SetPlannerTenantSettings.psd1 zu benennen. Mit diesen Bezeichnungen hat die Ausführung einen Fehler ausgeworfen, eine erneute Umbenunng in SetTenantSettings.psm1 und  SetTenantSettings.psd1 führte dann zum Erfolg. Was dabei auch beachtet werden sollte, Dateien die aus dem Internet heruntergeladen werden, können gesperrt sein, daher auch hier darauf achten, das die Daten vorher entsperrt werden.

Wenn die Vorbereitungen abgeschlossen sind, können dann die Einstellungen per Powershell-Funktionen Set-PlannerConfiguration und Get-PlannerConfiguration verwaltet werden.

Ein wenig ärgerlich ist aber das jedesmal  eine Authentifizierung erfolgen muss, wenn eine der Funktionen ausgeführt werden soll. Die Kalenderfreigabe ist die einzige Plannereinstellung, die mit diesen Funktionen verwaltet werden kann. Vielleicht wird es in Zukunft ein voll funktionsfähiges und einfacher zu bedienendes PowerShell-Modul geben.

In Microsoft Exchange-Software liegt eine Sicherheitslücke bezüglich Remotecodeausführung vor, wenn die Software Objekte im Speicher nicht ordnungsgemäß verarbeitet werden. Ein Angreifer, der die Sicherheitslücket erfolgreich ausnutzt, kann im Kontext des Systembenutzers beliebigen Code ausführen. Ein Angreifer könnte damit dann Programme installieren; Anzeigen, Ändern oder Löschen von Daten oder neue Konten erstellen.

Eine aktuelle Umfrage zeigt das nur ein Bruchteil der Office 365 Administratoren die MFA fürs Office 365 einsetzen bzw. aktiviert haben.

Der Hauptgrund dafür das die MFA aktiviert wird ist, dass die MFA dem Endbenutzer ein Ärgernis ist. Viele Administratoren beschweren sich auch darüber das es eine fehlende MFA-Unterstützung in den verschiedenen PowerShell-Modulen gibt. Dieses Problem ist meines Erachtens ein mittlerweile gelöstes Problem. Die Unternehmen die die MFA für ihre Benutzer eingeführt haben, sind auch diejenigen, die den Störfaktor für ihre Benutzer reduziert haben, indem sie unter bestimmten Umständen MFA umgehen lassen. Das Umgehen von MFA für vertrauenswürdige Netzwerkspeicherorte ist ebenso üblich wie das Umgehen von MFA für vertrauenswürdige Geräte .

Die Umgehung der MFA würden normalerweise auch für administrative Anmeldungen gelten, was aber nicht zu empfehlen ist, da diese Konten besonders schützenswerte Konten sind. Eine mögliche Lösung für dieses Problem könnte sein, in Azure AD eine Richtlinie für den bedingten Zugriff zu erstellen, die die MFA für Administratorenkonten zwingend voraussetzt. Wenn jedoch eine Richtlinie für bedingten Zugriff auf alle Mitglieder der Gruppe der globalen Administratoren angewendet werden soll, muss in Azure AD eine zusätzliche Sicherheitsgruppe erstellt werden, die dieselben Benutzerkonten enthält wie die Gruppe der globalen Administratoren . Diese Doppelarbeit macht die laufende Administration offensichtlich schwieriger und fehleranfällig.

Nun hat Microsoft den bedingten Zugriffsrichtlinien von Azure Active Directory neue Funktionen hinzugefügt, um das Targeting von Richtlinien auf Verzeichnisrollen zu ermöglichen. Zum jetzigen Zeitpunkt ist das noch eine Beta Funktion, was sich aber schnell ändern kann.

Microsoft hat nun mitgeteilt dass das Mail-Flow Insights in Kürze im Office 365 Security & Compliance Center verfügbar sein wird. Des weiteren soll die Mail-Flow Insights optimiert werden, um die Produktivität von Administratoren zu verbessern. Derzeit befindet sich Microsoft noch in der  Bereitstellungsphase. Ab dem 14. Mai soll die Funktion bereitstehen.

Wofür dient es?

Administratoren können das Mail-Flow-Dashboard im Office 365 Security & Compliance Center verwenden, um Trends und Einblicke zu erkennen und Maßnahmen zu ergreifen, um Probleme im Zusammenhang mit dem Nachrichtenfluss in ihrer Office 365-Organisation zu beheben.

Wo finde ich dieses Dashbord?

Rufen Sie das Office 365 Security & Compliance Center unter https://protection.office.com auf .

Erweitern Sie Mailflow und wählen  Dashboard.