Granikos Technology Blog

Am 18. Juni 2019 trifft sich die Microsoft Teams Meetup Gruppe Berlin zu ihrem vierten Treffen.

Bei unseren Meetup-Treffen sprechen wir über Microsoft Teams als universelle Plattform zur Zusammenarbeit als Teil einer Modern Workplace Strategie. Hierzu gehören das Teilen und gemeinsame Arbeiten an Dokumenten, Audio- und Video-Kommunikation, Telefonie und die Erweiterbarkeit durch Applikation, Bots und weitere Schnittstellen.

Agenda

• Microsoft Teams als Entwicklungsplattform für Unternehmensanwendungen
• Neuigkeiten rund um Microsoft Teams
• Entwicklung von Erweiterungen für Microsoft Teams

Termin

• 21. Juni 2019
• 18:00 Uhr
• Semtation GmbH
  Geschwister-Scholl-Straße 38
  14471 Potsdam
  (Google Maps)
   
• Registrierung via Meetup

Links

• Mitglied der Microsoft Teams Meetup Gruppe Berlin werden

Viel Spaß mit Microsoft Teams!

Das Blog Cumulative Update für Mai 2019 (CU0519) fasst interessante Themen rund um Cloud Sicherheit, Exchange Server, Office 365, Azure und Skype for Business des Monats Mai 2019 zusammen.

Exchange Server

• [STICKY] Outlook License Requirements for Exchange Features
• Deactivate Offline Address Book Download
• Outlook Addin for exporting Email to EML from Outlook on the Web
• Exchange Hybrid TLS negotiation failed with error NoCredentials
• Export Mailbox Delegates and SMTP Forwarding Information
• HCW Organization Configuration Transfer breaks Outlook connectivity to Office 365

Microsoft 365 | OneDrive | Exchange Online | and more

• [STICKY] Office 365 Network Performance Tool
• [STICKY] Office 365 Support and Recovery Assistant (aka SaRA)
• [STICKY] Office 365 URLs and IP address ranges
• [STICKY] Office 365-Trust Center
• How Long Does it Take to Migrate to Office 365?
• Azure Cloud Shell Now Supports Exchange Online
• Managing Office 365 Group Membership with PowerShell
• OneDrive announcements – SharePoint Conference 2019
• SharePoint Saturday Cologne | Migrating legacy public folders to modern public folders and to Office 365 Groups
• Review and Audit Offensive Language in Office 365 Communications
• SharePoint: Restore of files from document libraries
• Office 365 Retention, Disposal & Archiving - Frequently Asked Questions (And We've Got the Answers!)
• Auditing Inbox rules with EWS and the Graph API in Powershell

Microsoft Teams

• [STICKY] Surface Hub update history
• [STICKY] Instructor-led training for Microsoft Teams
• The New Microsoft Teams Auto Attendants & Call Queues Part 3a: PowerShell
• Add Teams Channel as an Exchange Mail Contact
• How to: Enable Yealink Microsoft Teams Phone Hybrid Mode
• Teams Now Tells You About Planner Task Assignments
• Security & Compliance in Microsoft Teams (Videos)
• The New Auto Attendants & Call Queues
• Teams Calendar Fails To On-Premises Mailbox
• How to avoid the Microsoft Teams "Island Mode" trap

Skype for Business Server | Communications

• [STICKY] Download: Skype for Business Network Assessment Tool
• Sending a Cloud Voice mail using the Microsoft Graph or EWS from Powershell
• Lync 2013 / SfB 2015 Client Update - May 2019
• SfB 2015 Server Update - May 2019

Microsoft Azure

• [STICKY] Virtual Machines Licensing FAQ
• [STICKY] Azure Architecture Center
• [STICKY] Microsoft Azure Trust Center

Cloud | Cloud Sicherheit

• [STICKY] Microsoft Security TechCenter
• Föderierte Authentifizierung für Office 365
• Discover Shadow IT across IaaS and PaaS with Microsoft's CASB
• Demystifying Password Hash Sync
• Simplified iOS device management with Microsoft's Intune for Education
• CISA Report Only Scratches Surface of Securing Office 365
• Register For Azure AD MFA From On-Premises Or Known Networks Only
• Ovum recommends Microsoft security to safeguard your hybrid and multi cloud environments
• 3 investments Microsoft is making to improve identity management
• AAD Connect 1.3.21.0 fixes two vulnerabilities
• May 2nd 2019 Office 365 and Azure Global Outage Recap
• Azure AD Connect v1.3.20.0 offers the next level of identity synchronization
• Identity enhancements to support the more than 1 million active third-party applications on our platform

Docs | Knowledge Base | TechNet

• [STICKY] Getting started with the Cloud Adoption Framework

Allgemein

• [STICKY] Microsoft Products Reaching End of Support for 2019
• The World Surrounding Us: Are You Interested in Environmental Monitoring?
• GDPR’s first anniversary: A year of progress in privacy protection
• 5 Thoughts on Digital Minimalism
• Microsoft expands BitLocker management capabilities for the enterprise
• Building the inclusive workplace we imagine, together
• Building the inclusive workplace we imagine, together
• Rollenbasierte Microsoft Zertifizierungen
• Protecting democratic elections through secure, verifiable voting

Replay

• Juni 2015: Exchange and Office 365: Mail Forwarding
• April 2019: Floating Mailbox Databases in Exchange 2019: Pros & Cons

Podcast Empfehlungen

• Exchange Exposed

Tools

• ADFS Rapid Restore Tool
• Active Directory Migration Tool version 3.2
• Microsoft Azure, Cloud and Enterprise Symbol / Icon Set - Visio stencil, PowerPoint, PNG, SVG
• ISESteroids - PowerTheShell
• Mailscape 365 - Exchange Online Monitoring und Reporting
• Mailscape - Exchange Monitoring und Reporting
• Uniscope - Lync Monitoring und Reporting
• Compass - Active Directory Monitoring und Reporting
• ForeSite - SharePoint Monitoring und Reporting

Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.

Sie denken über einen vollständigen Wechsel zu Office 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und neutral über die Möglichkeiten der Office 365 Plattform und Microsoft 365.

Sie möchten mehr über Exchange Server 2019 erfahren? Wir empfehlen das Standardwerk zu Exchange Server 2019 von Thomas Stensitzki "Exchange Server 2019 - Das Handbuch für Administratoren".

Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder Sie kontaktieren direkt unser Vertriebsteam: info@granikos.eu

Identitätsmodelle

Office 365 unterstützt grundsätzlich drei unterschiedliche Modelle von Benutzeridentitäten, kurz Identitäten, für die Authentifizierung. Ohne eine erfolgreiche Authentifizierung ist eine Nutzung der zugewiesen Produkte und Dienste nicht möglich. Sie müssen sich für mindestens eine der drei Indentitätsmodelle entscheiden.

Die drei unterstützten Formen der Identität sind

• Cloud-Identität
  Bei dieser Identität gibt es keine Verbindung zu einem möglicherweise vorhanden Benutzerkonto im lokalen Active Directory. Die Verwaltung erfolgt vollständig in Office 365. Ebenso erfolgt die Authentifizierung durch Azue Active Directory (Azure AD) in der Cloud.
   
• Synchronisierte Identität
  Bei dieser Identität erfolgt eine Synchronisierung von Active Directory Benutzerobjekten und dem jeweiligen Kennwort-Hash. Auf Basis des synchronisierten Kennwort-Hashes erfolgt eine Authentifizierung durch Azure AD. 
  Synchronisierte Identitäten existieren in Azure AD parallel zu vorhandenen Cloud-Identitäten.
   
• Föderierte Identität - auch als Verbundidentität bezeichnet
  Diese Form der Identität ist eine Sonderform der synchronisierten Identität. Es erfolgt keine Synchronisierung der Kennwort-Hashes. Die Authentifizierung erfolgt durch Komponenten, die zusätzlich in der lokalen IT-Infrastruktur bereitgestellt werden müssen.
  Föderierte Identitäten existieren in Azure parallel zu vorhanden synchronisierten und Cloud-Identitäten.

Das folgende Schaubild verdeutlicht die Unterschiede der drei Identitätsmodelle.

Authentifizierung

Die Authentifizierung von synchronisierten Benutzerkonten aus dem lokalen Active Directory mit Azure AD sind drei unterschiedliche Authentifizierungsmethoden möglich.

Die drei Methoden sind:

• Kennwortsynchronisierung
  • Hierbei werden Kennwort-Hashes über AAD Connect zu Azure AD synchronisiert
  • Mit Self-Password-Reset können Benutzer ihr Kennwort in Azure AD ändern und mit aktiviertem Password-WriteBack wird die Änderung ins lokale AD zurückgeschrieben
  • Neben einem System, auf dem AAD Connect installiert ist, sind keine weiteren Systeme in der lokalen IT-Infrastruktur -Premises erforderlich

• Federation Services
  • Hierbei werden in der IT-Infrastruktur sog. Federation Server und, für den Zugriff aus dem Internet, Reverse Proxy Systeme im Perimeter-Netzwerk installiert
  • Mögliche Federation Software-Lösungen:
    • ADFS, Ping Federate, Shibboleth, u.a.
  • Neben einem System für AAD Connect werden zusätzliche Serversysteme benötigt
    Beispiel für ADFS
    • Minimum: 1x ADFS im LAN, 1x ADFS-Proxy im Perimeter-Netzwerk
    • Redundanz: 2x ADFS im LAN, 2x ADFS-Proxy im Perimeter-Netzwerk
  • Mit einer Federation-Implementierung können weitere Applikationen, zusätzlich zu Office 365, mit einer föderierten SSO-Anmeldung angebunden werden
    • Intern: z.B. Jira, Intranet, u.a.
    • Extern: z.B. Hosted SAP, u.a. 
  • Zusätzlich wird mindestens eine öffentliche IP-Adresse und eingehende HTTPS-Verbindungen benötigt
  • Hinweis:
    • Normalerweise werden Federation Services eingeführt, um KEINE Kennwort-Hashes mit Azure AD zu synchronisieren
    • MIT synchronisierten Kennwort-Hashes, ist ein längerer Ausfall der Federation Server leicht kompensierbar, da die UPN-Domäne in Office 365 nur von "federated" auf "standard" umgestellt werden muss

• Azure AD Connect Pass-through
  • Hierbei wird auf mindestens einem internem System (Domain Member) der Azure AD Connect Pass-through-Agent installiert
  • Der Agent baut eine ausgehende Verbindung zu Azure AD auf
  • Ein höhere Verfügbarkeit wird durch die Installation mehrerer Azure AD Connect Pass-through-Agenten erreicht
  • Der Agent kann auf bestehenden Systemen installiert werden
  • Eine SSO-Anbindungen ist für interne Applikation nur u.U. möglich. 

Hinsichtlich der Vor- und Nachteile dieser drei Optionen müssen Sie Ihre Anwendungsszenarien kennen. Alle drei Methoden haben ganz unterschiedliche Anforderungen. Gerade im Hinblick auf gewünschte SSO-Anbindungen von Lösungen jenseits von Office 365 (Azure AD) fallen eventuell einzelne Optionen weg.

Es dürfen aber nicht nur die Authentifizierungsart und die Applikationen betrachtet werden. Die verwendeten Clients (Desktop OS, Mobile OS, Applikationen) müssen für die ausgewählte Authentifizierungsart geeignet sein. Idealerweise sind natürlich Windows 10 und Office 2016/2019 oder Office 365 ProPlus im Einsatz. Ältere Softwarekomponenten müssen Sie separat evaluieren.

Links

• What is password hash synchronization with Azure AD?
• What is Azure Active Directory Pass-through Authentication?
• What is federation with Azure AD?

Viel Spaß mit Microsoft 365 und Azure AD.

Microsoft Teams bietet zahlreiche Möglichkeiten zur Konfiguration und Kontrolle der Sicherheits- und Complianceeinstellungen. Matt Soseman, Security Architekt bei Microsoft, hat zum Thema Security & Compliance in Microsoft Teams eine Youtube Playlist erstellt.

Hier ist eine Übersicht der wichtigsten Videos:

• Security & Compliance in Microsoft Teams: Identity & Access Management

How do I secure access to Microsoft Teams and ensure only authorized individuals can use the tool? Join us as we explore how Azure Active Directory Conditional Access and Identity Protection can provide a new level of security for Microsoft Teams.

• Security & Compliance in Microsoft Teams: Data Loss Prevention

How do I enforce policy to ensure my users cannot share sensitive data in a Microsoft Teams private chat or channel conversation? Join us as we explore how Office 365 Data Loss Prevention can block users from sharing sensitive data in Microsoft Teams – and be alerted when a violation occurs!

• Security & Compliance in Microsoft Teams: Windows Information Protection

How do I enforce policy to ensure my users cannot copy/paste or download sensitive data out of Microsoft Teams and into a non-approved application/website? Join us as we explore how Windows Information Protection can help enforce compliance and ensure corporate data stays within Microsoft Teams or approved applications.

• Security & Compliance in Microsoft Teams: Cloud App Security and Azure Active Directory

How do I enforce policy when a user accesses Microsoft Teams from a personal (non-managed) computer? Join us as we explore how Microsoft Cloud App Security and Azure Active Directory Conditional Access can block downloads of files in Microsoft Teams to a non-managed computer.

• Security & Compliance in Microsoft Teams: Office 365 Advanced Threat Protection

How can I protect my end users from malicious files that are uploaded to Microsoft Teams? Join us as we explore how the Office 365 Advanced Threat Protection Safe Attachments feature detonates files uploaded to Microsoft Teams and blocks those files from being executed.

• Security & Compliance in Microsoft Teams: Microsoft Intune Mobile Application Management

How can I protect the Microsoft Teams app when used on a non-managed personal smartphone? Join us as we explore how Microsoft Intune Mobile Application Management capabilities allow you to control the Microsoft Teams app (and other corporate apps) and enforce compliance – all without managing the device.

• Security & Compliance in Microsoft Teams: Cloud App Security & 3rd Party Storage

How can I enforce compliance when a 3^rd party storage is used in Microsoft Teams? Join us as we explore how to monitor/audit and enforce policy using Microsoft Cloud App Security on 3^rd party storage in Microsoft Teams.

Links

• Security & Compliance in Teams Playlist 
• Microsoft Teams
• Blog von Matt Soseman

When you configure an Outlook profile to use Cached Mode the client software uses a special address book to resolve email addresses and other information. This address book is named Offline Address Book (OAB) and is built and provided by the Exchange Organisation hosting the mailbox. The client downloads OAB changes when Outlook starts and checks for further OAB changes in intervals. 

OAB provides address resolver capabilities when there is no network connection to Exchange Server or a domain controller available. In addition to resolver capabilities, the OAB contains other important information, e.g., send-as permissions and information regarding public folders.

For security reasons it might be necessary to disallow the download of the Offline Address Book by an Outlook Client. In this case, you control the download functionality with the Windows System Registry. You can disable the OAB download using the following registry key:

Path: HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Outlook\Cached Mode
Value type: REG_DWORD
Value name: DownloadOAB
Value: 0 to not download the OAB

Replace <version> with the appropriate Office version number.

With a deactivated OAB download name resolution in Outlook Cached Mode requires network access to an Exchange Server

Links 

• Administering the offline address book in Outlook

Enjoy Exchange Server.