de-DEen-GB
 
rss

Granikos Technology Blog

Am 22. Februar 2018 fand im Microsoft Accelerator Berlin das Q1 2018 Treffen der Exchange User Group Berlin statt.

Mein Vortrag zum Thema Bessere Zusammenarbeit mit OneDrive for Business | Moderne Dateianhänge mit Exchange 2016 und Office 365 steht als PowerPoint Präsenation bei Slideshare bereit und kann dort direkt heruntergeladen werden.

 

 

Links

Follow

Weiterlesen »
On Februar 9, 2018
90 Views
The blog post in English has been published at ENow's Solution Engine (ESE) blog.


Die Nutzung von Office 365 Diensten erfordert eine korrekte Namensauflösung für die verwendeten Dienste. Ohne eine funktionierende Namensauflösung können Anwender aus dem Unternehmensnetzwerk oder direkt aus dem Internet nicht auf Office 365-Dienste zugreifen. Das "Finden" der Office 365-Dienste erfolgt auf Basis des Anmeldenamens des Anwenders. Dieser Anmeldename (UPN) und die Haupt-E-Mail-Adresse sind im Idealfall identisch. Die Hintergründe für diese Anforderung hat Joe Palichario bereits 2015 in seinem Blog veröffentlicht. In meinem Beispiel folgen die Anmeldenamen dem Schema Vorname.Nachname@granikoslabs.de, der ADFS Authentifizierungsserver ist unter dem Namen adfs.granikoslabs.de veröffentlicht.

Unter einer Split-DNS Konfiguration versteht man den Betrieb der DNS-Zone, in einer internen und einer externen Konfiguration. Die interne DNS-Zone wird auf DNS-Servern bereitgestellt, die von Clientsystemen aus dem Unternehmensnetzwerk angefragt werden. Die externe DNS-Zone wird entweder auf eigenen DNS-Servern, die aus dem Internet erreichbar sind, oder auf DNS-Servern eines Internet DNS-Anbieters bereitgestellt. Diese Split-DNS Aufteilung ist wichtig, um Clientsystemen entweder die interne IP-Adresse oder die öffentliche IP-Adresse eines Dienstendpunktes bereitzustellen. In einer Hybrid-Konfiguration mit Office 365 ist solch eine Split-DNS Konfiguration dringend empfohlen. Wenn Sie Office 365 im reinen Cloudbetrieb nutzen, ist diese Konfiguration nicht notwendig.

Das folgende Schaubild verdeutlicht die DNS Konfiguration für die Split-DNS Implementierung inklusive ADFS-Server und ADFS-Proxy.

Übersicht Split-DNS und ADFS mit Office 365

Ein interner Client, der auf Ressourcen von Office 365 zugreifen möchte, muss sich am internen ADFS-System authentifizieren . Hierzu wird der Client zum ADFS-Server umgeleitet.

  1. Das interne Clientsystem fragt den internen DNS-Server nach der IP-Adresse für adfs.granikoslabs.de und erhält die interne IP-Adresse des ADFS-Servers
  2. Das interne Clientsystem verbindet sich zum internen ADFS-Server, wird authentifiziert und kann, falls berechtigt, auf die gewünschte Office 365 Ressource zugreifen

Ein externer Client, der auf Ressourcen von Office 365 zugreifen möchte, muss sich ebenfalls am internen ADFS-System authentifizieren. Jedoch ist dieses System nicht direkt aus dem Internet erreichbar, sondern über einen ADFS-Proxy veröffentlicht.

  1. Das externe Clientsystem fragt den DNS-Server des Internet DNS-Anbieters nach der IP-Adresse für adfs.granikoslabs.de und erhält die öffentliche IP-Adresse des ADFS-Proxy-Servers
  2. Der externe Client verbindet sich über den ADFS-Proxy-Server mit dem internen ADFS-Server, wird authentifiziert und kann, falls berechtigt, auf die gewünschte Office 365 Ressource zugreifen

Es ist wichtig, dass neben den individuellen Adressen für die benutzerdefinierte Domäne des Office 365-Tenant auch alle weiteren, von Microsoft bereitgestellten, öffentlichen Adressen für Office 365 auflösbar sein müssen. Die öffentlichen Office 365 Endpunkte werden über CNAME, SRV und TXT Einträge in der internen und externen DNS-Zone definiert. 

Die nachfolgende Liste gibt einen Überblick der DNS-Namen für den Office 365 Tenant mit der benutzerdefinierten Domäne granikoslabs.de.

Übersicht DNS-Einträge einer benutzerdefinierten Domäne in Office 365

Die vollständige Liste der erforderlichen DNS-Namen finden Sie in der Administrationsoberflache von Office 365. Für jede benutzerdefinierte Domäne sind separate Einträge in der jeweiligen DNS-Zone erforderlich, wenn diese Domäne zur Anmeldung an Office 365 und als E-Mail Domäne verwendet wird.

Grundsätzlich unterstützt Office 365 auch eine Konfiguration, bei der der Anmeldename nicht identisch mit der primäre SMTP-Adresse oder SIP-Adresse ist. Jedoch erhöht eine solche Konfiguration den Supportaufwand im Fehlerfall und führt zu einer verwirrenden Benutzererfahrung. Auf den unterschiedlichen Anmeldeseiten der Office 365 Dienste wird der Anwender mal aufgefordert, die E-Mail-Adresse oder den Anmeldenamen einzugeben. Gleichzeitig bietet eine solch individuelle Konfiguration keinerlei Vorteile hinsichtlich der IT-Sicherheit. Eine bessere Absicherung wird vielmehr durch den Einsatz einer Multi-Faktor-Authentifizierung und Zugriffsfilterung (Conditional Access) erreicht.

Viel Spaß mit Office 365!

 

 

Weiterlesen »

Am 1. Februar hatte ich die Gelegenheit, im Rahmen der Veranstaltungsserie IT-Meetup des Bechtle Systemhauses Münster, einen Vortrag über OneDrive for Business zu halten.

Hier ist Slidedeck zu OneDrive for Business als PDF-Download.

OneDrive for Business | Präsentation als PDF Download

Vielen Dank an alle Teilnehmer für die rege Diskussion zum Thema sichere Zusammenarbeit in Office 365 mit OneDrive for Business und SharePoint. Ein besonderer Dank geht an das ganze Orga-Team in Münster für die gelungene Abendveranstaltung.

Links

 

 

Weiterlesen »
On Januar 29, 2018
100 Views

Microsoft Intune ermöglicht die Verwaltung von iOS-, Android-, Windows- und macOS-Geräte sicher über eine einheitliche mobile Lösung. Die Verwaltung von iOS- und macOS-Geräten erfordert die Verwendnung eines von Apple ausgestellten Push-Zertifkates, das immer ein Jahr gültig ist. Vor Ablauf des Zertifkates erhalten Sie eine Benachrichtung durch das Intune-Portal. 
 

Hinweis

Nutzen Sie im Unternehmensumfeld als Administrator einer Mobile Device Managementlösung nie Ihr persönliches Apple-ID Konto für die Erstellung eines Apple-Push-Zertifkats. Stellen Sie sicher, dass hierzu eine eigene generische Apple-ID erstellt wird. 

 

Die nachfolgenden Schritte beschreiben die Erneuerung des Apple-Push Zertifkates in der Intune-Verwaltungsoberfläche von Microsoft Azure.

Erneuerung des Apple Push Zertikates

  1. Melden Sie sich Microsoft Azure Portal an
  2. Öffnen Sie das Blade Microsoft Intune > Geräteregistrierung > Apple-Registrierung
  3. Wählen Sie Apple-MDM-Push-Zertifikat
  4. Laden Sie den neuen Certificate Request (CSR) für die Austellung des neuen Apple-Push-Zertifkates herunter

    MDM-Push-Zertifikat CSR herunterladen
     
  5. Melden Sie sich am Apple Push Certificates Portal an

    Anmeldung am Apple Push Certificates Portal
     
  6. Wählen Sie für das zu verlängernde Zertifikat die Aktion Renew

    Auswahl Apple-Push-Zertifikat
     
  7. Wählen Sie die in Schritt 4 heruntergeladene Datei IntuneCSR.csr aus und laden diese mit der Aktion Upload zum Apple Server

    Renew Push Certificate | IntuneCSR hochladen
     
  8. Laden Sie anschließend das Zertifikat über die Aktion Download herunter

    Download des ausgestellten Apple-Push-Zertifikates
     
  9. Geben Sie im Microsoft Azure Intune Blade Apple-MDM-Push-Zertifikat die verwendete Apple-ID ein, wählen Sie die in Schritt 8 heruntergeladene Zertifikatsdatei aus und wählen Hochladen, um die Erneuerung des Apple-Push-Zertifkates abzuschließen.

    Apple-Push-Zertifikat in Microsoft Intune hochladen
     


Viel Spaß mit Microsoft Intune.

Links

 

 

Weiterlesen »
On Januar 12, 2018
176 Views

Problem

Wie kann ich eine Cloud-Only Shared Mailbox in Office 365 in eine AAD Connect synchronisierte User Mailbox konvertieren, deren Anmeldung anschließend über ADFS erfolgt?

Lösung

Verbinden Sie sich mit der Exchange Online PowerShell und prüfen Sie zuerst, ob das anzupassende Postfach vom Typ SharedMailbox ist. Dies erkennen Sie daran, dass das Attribut RecipientTypeDetails den Wert SharedMailbox hat.

Screenshot 1 - Konvertierung Cloud-Only SharedMailbox zu AD UserMailbox

Anschließend wird die Shared Mailbox in den Typ UserMailbox umgewandelt. Dies erfolgt mit Hilfe von

Set-Mailbox -Identity MAILBOXNAME -Type Regular 

Die erneute Prüfung zeigt den neuen RecipientTypeDetails Typ UserMailbox.

Screenshot 2 - Konvertierung Cloud-Only SharedMailbox zu AD UserMailbox

Nun wird im lokalen Active Directory (AD) der entsprechende User mit dem gleichen User Pricipal Name wie der Cloud-Only User neu angelegt.

Screenshot 3 - Konvertierung Cloud-Only SharedMailbox zu AD UserMailbox

Nachdem der neue Benutzer im AD erstellt ist, muss diesem nun die Default SMTP Adresse eingetragen werden. Die Adresse wird bei den User Attributen unter proxyAddresses eingetragen. Um die Attribute sehen und bearbeiten zu können, müssen in der Active Directory Users and Computers Management Console die Advanced Features aktiviert werden. 

Screenshot 4 - Konvertierung Cloud-Only SharedMailbox zu AD UserMailbox

Der Reiter Attribute Editor erscheint nur, wenn der entsprechende User in der OU aufgerufen wird, in dem er gespeichert ist. Wenn der User über die Such-Funktion aufgerufen wird, erscheint der Reiter leider nicht. Wo der User im AD liegt kann man im Reiter Object sehen.

Rufen Sie im Reiter Attribute Editor das Attribute proxyAddresses auf und tragen den entsprechenden SMTP Eintrag ein. Wichtig ist, dass SMTP in Großbuchstaben geschrieben wird. Nur dann ist es die Default oder primäre SMTP Adresse. In Kleinbuchstaben wäre es ein Alias bzw. eine zusätzliche Empfangsadresse und das passt nicht zum Eintrag in Office 365. AAD Connect matcht über die primäre SMTP Adresse.

Screenshot 5 - Konvertierung Cloud-Only SharedMailbox zu AD UserMailbox

Nach dem Speichern des Eintrages muss der AAD Connect Sync abgewartet werden und dem User in Office 365 noch eine passende Lizenz zugewiesen werden, damit die Mailbox auch aktiv wird.

Viel Spaß mit Office 365


Sichern Sie Ihre E-Mail Kommunikation mit PGP oder S/MIME und nutzen Sie sichere E-Mail Verschlüsselung am Gateway mit NoSpamProxy Encryption | E-Mail Security Made in Germany | Wir beraten Sie gerne: info@granikos.eu

 

 

Weiterlesen »