Intune und die Verwendung von ADMX GPO Einstellungen

Bis vor einer noch nicht so langer Zeit, gab es eine große Hürde bei der Einführung von Intune in Unternehmen, es war nämlich nicht möglich Gruppenrichtlinien (GPO´s) auf den Intune verwalteten Geräten zu verteilen. Dieses Defizit wurde nun von Microsoft behoben, mit den ADMX backed policies ist es nun möglich, diese Lücke zu füllen.

 

GPO in Intune sind nun möglich

Für viele Unternehmen stellte sich beim Einsatz von Intune – z.B. zur Gewährleistung von Compliance Anforderung – bisher die Hürde, dass keine Gruppenrichtlinien bzw. Registry-Einträge durch Intune möglich waren. Gerade wenn eine Mischumgebung aus hybrid-verwalteten Geräten und Geräten mit reinem Azure AD join zum Einsatz kamen.

 

In diesem Fall musste eine Doppelpflege vorgenommen werden, auf der einen Seite On-Premise in Form von GPO Einstellungen und auf der anderen Seite Einstellungen in Intune. Die Problematik dabei ist nur, das mit den GPO´s mehr Einstellungen möglich sind.

 

MODERNE RICHTLINIEN & MONITORING

Mit den in Windows 10 integrierte Microsoft Configuration Service Providers (CSPs), welche nun im Systemkern vorhanden sind, womit die Anwendung von OMA-URI-Einstellungen (Open Mobile Alliance Uniform Resource Identifier), wie in den mobilen Plattformen Android und iOS, ermöglicht werden.

 

Dieses Verfahren hat einen großen Vorteil: Richtlinienanwendungen – bzw. eine Einstellung daraus – lässt sich nun zentral über die Intune-Console monitoren.

 

Microsoft Intune setzt hierbei zudem auf ein mehrstufiges Verfahren zur Richtlinien-Prüfung: Zum einen meldet der Client zurück, ob eine Richtlinie erfolgreich angewendet werden konnte. Über eine separate Konformitätsrichtlinie wird zudem geprüft, ob das Endgerät zu den Richtlinien kompatibel ist, die man zur Wahrung eines Sicherheitsstands im Unternehmen definiert hat. Ist das Gerät aus der Sicht der Security nicht kompatibel – etwa weil es nicht verschlüsselt ist oder ein Viren-Infekt nicht behoben werden konnte –, so wird es z.B. von den Office 365 Diensten ausgesperrt.

 

Eine Konfigurationsprüfung und die Konformität zu trennenstellt sich durchaus als sinnvoll dar: Es wäre falsch, einen Nutzer auszusperren, nur weil vielleicht das Hintergrundbild falsch gesetzt wurde.

 

Das Intune bietet zwar schon recht viele Einstellungen an, die auch über Schalter aktiviert werden können, aber über die ADMX backed policies werden diese Möglichkeiten nun deutlich erweitert.

 

Einstellungen in Microsoft Intune

Microsoft führt eine umfangreiche Dokumentation bereits importierter CSP-Einstellungen. Für diese CSP-Settings ist beschrieben in welcher Windows Version sie zur Verfügung stehen, in welcher ADMX-Datei sie zu finden sind und wie die ID der einzelnen Optionen lauten. 

mehr lesen 0 Kommentare

Erstellen und Bereitstellen von PFX-Zertifikatsprofilen in Microsoft Intune

In vielen Kundensituationen kommt es immer wieder vor, das Kunden Zertifikate an mobile Geräte senden möchten, um mit Ressourcenzugriffsprofilen (WLAN, S / MIME etc.) zu arbeiten und den Zugriff über ein Zertifikat aus der internen CA abzusichern. Aus der Sicht der Sicherheit aber nicht den NDES (Network Device Enrollment Server), der ja über das SCEP Protokoll arbeitet, über eine URL im Internet publizieren möchten.

 

Microsoft Intune verfügt hierfür über eine weniger bekannte PKCS # 12 (PFX) -basierte Zertifikatsbereitstellung, die in diesem Szenario verwendet werden kann

 

In den vorherigen Versionen musste ein Administrator eine PFX-Datei bereitstellen, die dann auf dem Gerät eingebunden werden musste. Dies hat sich nun in Intune geändert, die PFX Datei muss nun nicht mehr bereitgestellt werden. Mit der  Hilfe des Intune Certificate Connector, können nun Geräte ein Zertifikat aus der lokalen Zertifizierungsstelle automatisiert erhalten. Hierfür wird der NDES Service nicht mehr benötigt.

mehr lesen 0 Kommentare

Microsoft Global Datacenters and Network Infrastructure

Ein kleiner Überblick über das Microsoft Rechenzentrum.

mehr lesen 0 Kommentare

Whitespace in einer Microsoft Exchange Datenbank entfernen

Wenn Daten zu einer Exchange-Datenbank hinzufügt werden, erhöht sich damit zwangsläufig die Größe der Microsoft Exchange Datenbank. Wenn jedoch Postfächer gelöscht werden, nimmt die Größe der Microsoft Exchange-Datenbank nicht unbedingt ab - sie bleibt gleich.

mehr lesen 2 Kommentare

Standortübergreifende Postfachdelegierung in Hybrid Office 365

Eine häufige Anforderung von Kundenseite ist die Frage nach einer Delegierung von Postfachberechtigungen zwischen OnPremise und Cloud-Benutzern. Bislang konnte dies nur verneint werden, bislang denn seit Ende April wird diese Funktion im Office 365 Tenanten freigegeben.

mehr lesen 0 Kommentare

Outlook Sync mit den Aufgaben in Microsoft Planner deaktivieren

Eine der wichtigsten Anforderungen seit der Veröffentlichung von Microsoft Planner war es, die Möglichkeit Planner-Aufgaben mit Outlook zu synchronisieren. 

Der naheliegendste Ort zum Synchronisieren einer Planner-Aufgabe wären die Outlook-Aufgaben. Aber im ersten Quartal dieses Jahres, gab Microsoft bekannt, dass Planner-Aufgaben als iCalendar-Feed zum Outlook Kalender hinzugefügt werden können und die Funktion ist standardmäßig aktiviert.

Die Planner- sowie Outlook-Aufgaben können zwar auch mit Flow integriert werden, aber das wäre ja eine Integration über einen Umweg. Microsoft steuert alle Installationen am Back-End, um die Integration von Outlook und Planner zu ermöglichen, aber die Frage ist, ist der User mit wenig Erfahrung in der Lage mittels Flow eine Synchronisierung herzustellen. Der iCalendar-Feed bietet eine eingeschränkte Ansicht von Planner-Aufgaben basierend auf ihrem Fälligkeitsdatum. Das Kalenderelement enthält nur wenige Details, es jedoch durch den Planner navigiert werden, um mit der Aufgabe zu interagieren.

Benutzer können ihre Aufgaben in der Ansicht "Meine Aufgaben" von Planner veröffentlichen. Was ein großes Risiko in sich birgt, ist die Tatsache dass der iCalendar-Feed für jeden zugänglich ist, der die URL kennt. Selbst wenn Sicherheitsmechanismen, wie Multi-Faktor-Authentifizierung oder Claim-Based Access, eingerichtet sind, hat das keinen Einfluss darauf wer auf diese Daten zugreifen kann.

Das Risiko in dieser Situation ist wahrscheinlich ziemlich gering. Der iCalendar-Link ist eine obskure URL, die schwer zu erraten wäre. Und die im iCalendar-Feed enthaltenen Informationen sind minimal. Beispielsweise sind Beschreibungen, Teilaufgaben und Kommentare zu einer Planner-Aufgabe, die möglicherweise vertrauliche Informationen enthalten, nicht im iCalendar-Feed enthalten.  Dieses potential gilt es individuell zu bewerten.

Glücklicherweise kann die iCalendar-Veröffentlichungsoption deaktiviert werden. Microsoft hat dazu einen Supportartikel (https://support.office.com/en-us/article/turn-off-outlook-calendar-sync-in-planner-for-your-organization-e961c98c-a93c-4bda-959d-962c4eab719c) mit den Schritten veröffentlicht, mit denen die Konfiguration überprüft oder auch die Outlook-Kalender-synchronisierung aktiviert bzw. deaktiviert werden kann.

Nach Überprüfung der Möglichkeiten durch Microsoft, stellt sich aber raus das die Dokumentation scheinbar ein kleines Problem hat. Die Durchführung der von Microsoft empfohlenen Schritte haben im ersten Moment nicht funktioniert, Microsoft empfiehlt ja das Powershell Modul SetPlannerTenantSettings.psm1 und die Manifestdateien SetPlannerTenantSettings.psd1 zu benennen. Mit diesen Bezeichnungen hat die Ausführung einen Fehler ausgeworfen, eine erneute Umbenunng in SetTenantSettings.psm1 und  SetTenantSettings.psd1 führte dann zum Erfolg. Was dabei auch beachtet werden sollte, Dateien die aus dem Internet heruntergeladen werden, können gesperrt sein, daher auch hier darauf achten, das die Daten vorher entsperrt werden.

Wenn die Vorbereitungen abgeschlossen sind, können dann die Einstellungen per Powershell-Funktionen Set-PlannerConfiguration und Get-PlannerConfiguration verwaltet werden.

Ein wenig ärgerlich ist aber das jedesmal  eine Authentifizierung erfolgen muss, wenn eine der Funktionen ausgeführt werden soll. Die Kalenderfreigabe ist die einzige Plannereinstellung, die mit diesen Funktionen verwaltet werden kann. Vielleicht wird es in Zukunft ein voll funktionsfähiges und einfacher zu bedienendes PowerShell-Modul geben.

 

0 Kommentare

Microsoft veröffentlicht Update für Sicherheitsanfälligkeit durch Exchange-Speicherbeschädigung

In Microsoft Exchange-Software liegt eine Sicherheitslücke bezüglich Remotecodeausführung vor, wenn die Software Objekte im Speicher nicht ordnungsgemäß verarbeitet werden. Ein Angreifer, der die Sicherheitslücket erfolgreich ausnutzt, kann im Kontext des Systembenutzers beliebigen Code ausführen. Ein Angreifer könnte damit dann Programme installieren; Anzeigen, Ändern oder Löschen von Daten oder neue Konten erstellen.

mehr lesen 0 Kommentare

Erzwingen der MFA für Administratoren Konten in Office 365

Eine aktuelle Umfrage zeigt das nur ein Bruchteil der Office 365 Administratoren die MFA fürs Office 365 einsetzen bzw. aktiviert haben.

Der Hauptgrund dafür das die MFA aktiviert wird ist, dass die MFA dem Endbenutzer ein Ärgernis ist. Viele Administratoren beschweren sich auch darüber das es eine fehlende MFA-Unterstützung in den verschiedenen PowerShell-Modulen gibt. Dieses Problem ist meines Erachtens ein mittlerweile gelöstes Problem. Die Unternehmen die die MFA für ihre Benutzer eingeführt haben, sind auch diejenigen, die den Störfaktor für ihre Benutzer reduziert haben, indem sie unter bestimmten Umständen MFA umgehen lassen. Das Umgehen von MFA für vertrauenswürdige Netzwerkspeicherorte ist ebenso üblich wie das Umgehen von MFA für vertrauenswürdige Geräte .

 

Die Umgehung der MFA würden normalerweise auch für administrative Anmeldungen gelten, was aber nicht zu empfehlen ist, da diese Konten besonders schützenswerte Konten sind. Eine mögliche Lösung für dieses Problem könnte sein, in Azure AD eine Richtlinie für den bedingten Zugriff zu erstellen, die die MFA für Administratorenkonten zwingend voraussetzt. Wenn jedoch eine Richtlinie für bedingten Zugriff auf alle Mitglieder der Gruppe der globalen Administratoren angewendet werden soll, muss in Azure AD eine zusätzliche Sicherheitsgruppe erstellt werden, die dieselben Benutzerkonten enthält wie die Gruppe der globalen Administratoren . Diese Doppelarbeit macht die laufende Administration offensichtlich schwieriger und fehleranfällig.

 

Nun hat Microsoft den bedingten Zugriffsrichtlinien von Azure Active Directory neue Funktionen hinzugefügt, um das Targeting von Richtlinien auf Verzeichnisrollen zu ermöglichen. Zum jetzigen Zeitpunkt ist das noch eine Beta Funktion, was sich aber schnell ändern kann.

mehr lesen 0 Kommentare

Einblicke in den Mailflow sind nun im Security & Compliance Center verfügbar

Microsoft hat nun mitgeteilt dass das Mail-Flow Insights in Kürze im Office 365 Security & Compliance Center verfügbar sein wird. Des weiteren soll die Mail-Flow Insights optimiert werden, um die Produktivität von Administratoren zu verbessern. Derzeit befindet sich Microsoft noch in der  Bereitstellungsphase. Ab dem 14. Mai soll die Funktion bereitstehen.

 

Wofür dient es?

Administratoren können das Mail-Flow-Dashboard im Office 365 Security & Compliance Center verwenden, um Trends und Einblicke zu erkennen und Maßnahmen zu ergreifen, um Probleme im Zusammenhang mit dem Nachrichtenfluss in ihrer Office 365-Organisation zu beheben.

 

Wo finde ich dieses Dashbord?

Rufen Sie das Office 365 Security & Compliance Center unter https://protection.office.com auf .

Erweitern Sie Mailflow und wählen  Dashboard.

mehr lesen 0 Kommentare

Microsoft Exchange 2019

Auf der Ignite 2017 Konferenz kündigte Microsoft seine Pläne für die nächste Version des lokalen Microsoft Exchange-Servers an. Die neue Version wird Microsoft Exchange 2019 heißen und Ende 2018 auf den Markt kommen.

 

Eine Vorschau auf Exchange 2019 wird irgendwann Mitte 2018 verfügbar sein, und die Veröffentlichung ist für die zweite Hälfte 2018 vorgesehen. Dies folgt dem typischen 3 Jahres Veröffentlichungsrythmus für Exchange Server, mit RTM einer neuen Version kurz vor dem Jahr mit dem es gebrandmarkt ist.

  • Exchange 2016 wurde Ende 2015 veröffentlicht
  • Exchange 2013 wurde Ende 2012 veröffentlicht
  • Exchange 2010 wurde Ende 2009 veröffentlicht.

Die Entwicklung des lokalen Microsoft Exchange Servers erfolgt nach dem Muster, das neue Features, erst in Microsoft Exchange Online , dann dann über kumulative Updates oder als eine vollständige neue Version auf den Markt umgesetzt werden. Aber einige Cloud Verbesserungen sind in der Microsoft Exchange 2013 Version solange nicht auf den Markt gekommen, bis Microsoft Exchange 2016 auf dem fertig war.

 

Obwohl Microsoft zu diesem Zeitpunkt keine spezifischen Ankündigungen macht, kann nur zu spekuliert werden, was in Exchange 2019 zu sehen sein wird. Es wird spekuliert das die Anpassungen und Neuerungen für Microsoft Exchange Server 2019 auf die Bereiche Cloud-Verbesserungen basieren und Funktionen in die lokale Infrastruktur umzusetzen. Mit Erscheinen der Microsoft Exchange 2016 Version, wurde diese ja eher als ein Servicepack für Microsoft Exchange 2013 gesehen, als eine vollständige Version. Intern gesehen, hat sich Microsoft Exchange 2016 ja auch als Microsoft Exchange 15.2 installiert. Also ist davon auszugehen das Microsoft Exchange 2019 von der Oberfläche her ähnlich aussehen wird wie Microsoft Exchange 2013 Service Pack 3, wenn es denn kommt.

 

In diesem Stadium können über folgende Annahmen spekuliert werden, was sich in Microsoft Exchange 2019 wiederfindet:

  • Die Mindestanforderungen für das Betriebssystem sowie des Active Directorys schließen alle Versionen aus, die nicht im Mainstream-Support von Microsoft enthalten sind. Dies würde Windows Server 2012 R2 zum minimalen Betriebssystem und AD für Exchange 2019 machen, wenn Exchange RTM vor Oktober 2018 erscheint und wenn Windows 2012 R2 in die erweiterte Support-Unterstützung geht. Wenn später Exchange 2019 RTMs angezeigt werden, wird möglicherweise die Mindestanforderungen für Windows Server 2016 vorliegen.
  • Funktionen die in Exchange 2016 veraltet sind, werden in Exchange 2019 vollständig entfernt. Dies bedeutet das Ende von RPC-over-HTTP, das stattdessen durch das verbesserte MAPIhttp-Protokoll ersetzt wurde. Da MAPIhttp von allen Outlook-Clients unterstützt wird, die sich heute noch im  Mainstream- oder erweiterten Support befinden, muss RPC-over-HTTP nicht beibehalten werden. Server-seitig könnte dies auch bedeuten, dass "Outlook Anywhere" als konfigurierbarer Client Access-Namespace entfernt wird, wobei das virtuelle MAPI-Verzeichnis den Job übernimmt.
  • Die Unterstütze Client Version für Microsoft Exchange 2019 wird dann mit großer Wahrscheinlichkeit Microsoft Outlook 2013 und höher sein. Microsoft Office 2013 wird möglicherweise bis zum Erscheinen der Exchange 2019 RTM Version nicht mehr im Mainstream-Support sich befinden, aber es wird wahrscheinlich seitens Microsoft unterstützt. Es ist die eine Sache das neueste Betriebssystem für eine neue Microsoft Exchange-Version einzufordern, es ist aber eine ganz andere Sache, dass Kunden die gesamte Office-Clientbereitstellung aktualisieren müssen. Es ist sicherlich davon auszugehen, dass Microsoft Office 2019 nicht früh genug veröffentlicht wird, damit Microsoft N-1-Clients für Microsoft Exchange 2019 benötigt. Daher wird es weiterhin Unterstützung für Microsoft Outlook 2013 geben,  möglicherweise mit einem Update für beste Kompatibilität und Leistung.
  • Outlook im Web wird auf die neueste Exchange Online-Benutzererfahrung aktualisiert (sie sind heute ziemlich nah dran, aber die EXO-Version wird sich zwischenzeitlich weiterentwickeln).
  • Microsoft wird einige Leistungsverbesserungen aus der Datenbank-Engine herausholen. Microsoft Exchange 2016 hat die Speicher-IOPS und die Suchleistung verbessert und kürzlich die maximale Hardwarespezifikation erhöht, mit der die einzelnen Exchange-Server skaliert werden können. Angesichts des Umfangs, in dem Exchange Online läuft, arbeitet Microsoft zweifellos ständig an der Möglichkeiten, diese noch weiter zu verbessern, und auch lokale Installationen können davon profitieren.
  • Die Server-Rollenarchitektur bleibt unverändert. Die Datenbankverfügbarkeitsgruppe (Data Availability Group, DAG) ist seit Exchange 2010 das Hochverfügbarkeits- und Standortausfallsicherheitsmodell und die Basis für HA / SR in Exchange Online. Edge Transport bleibt auch eine verfügbare Rolle, um die Bedürfnisse der Kunden zu erfüllen .
  • Die Skalierbarkeit für öffentliche Ordner wird sich verbessern (obwohl die Grenzen heutzutage ziemlich gut sind ), aber sie werden merkmalsmäßig weitgehend gleich bleiben.
  • Die standortübergreifenden Herausforderungen hybrider Bereitstellungen (z. B. Kalenderfreigabe, Postfachberechtigungen, Stellvertretungen usw.) werden sich weiter verbessern.
  • Die Migrationen werden nahtlos verlaufen, wie wir es mit der Side-by-Side-Fähigkeit von Exchange 2013 und 2016 gesehen haben.

Was sicherlich nicht zu erwarten ist, ist das die cross-service Collaboration-Funktionen von Microsoft Office 365 für On-Premise Installationen Einzug erhält. Sicherlich ist die Vorstellung dass Office 365 Groups eine lokale Funktion angenehm, es wird aber sehr unwahrscheinlich werden das das umgesetzt wird. Die Gruppen verlassen sich auf Cloud-Only-Dienste (z. B. Azure AD, Planner, Teams) und daher ist anzunehmen das die Entwicklungskosten für die Gruppen, damit diese auf eine hybride Art mit lokalen Exchange-Postfächern funktionieren, einfach zu hoch sind. Selbst wenn es möglich wäre, die Gruppen lokal zu haben und nicht von den kontinuierlichen Entwicklungen und Verbesserungen in der Cloud zu profitieren, würde sie eine abgespeckte Variante bleiben. Es ist besser, Gruppen in der Cloud zu belassen, in denen Microsoft das gesamte Ökosystem steuert und schneller anpassen kann.

 

Mit der Nachrichten von Microsoft Exchange Server 2019 zeigt uns, dass Microsoft sich weiterhin dafür einsetzt, den beträchtlichen On-Premise-Kundenstamm zu bedienen, indem es weiterhin ein On-Prem-Server-Produkt entwickelt, während es Innovationen in der Cloud vorantreibt.

 

0 Kommentare