de-DEen-GB
rss

Granikos Technology Blog

Wenn Sie Microsoft 365 in Ihrem Unternehmen einführen, möchten Sie auch wissen, ob die von Ihnen erworbenen Lizenzen optimal genutzt werden oder ob es z.B. außergewöhnliche Ereignisse bei der Nutzung von Exchange oder SharePoint Online gibt. Mit den von Microsoft bereitgestellten Bordmitteln, verteilt über unzählige Portale, gestaltet sich diese Aufgabe schwierig. 

Als verantwortlicher Administrator stehen Sie vor der großen Aufgabe, sowohl Ihren Microsoft 365 Mandanten im Blick zu haben und gleichzeitig in Lage sein zu müssen, Auswertungen zur Nutzung und Sicherheitslage bereitstellen zu können. Sie können sich aus PowerShell-Beispielen selber Berichte erstellen, jedoch ist diese Option nicht für jeden Administrator der passende Ansatz.

Abhilfe schaffen hier Reporting-Lösungen, wie z.B. AdminDroid.

 

AdminDroid

AdminDroid ist eine webbasierte Reporting-Lösung, die auf einem Windows System in Ihrer lokalen IT-Infrastruktur installiert wird. Die Authentifizierung ist an Azure AD gekoppelt und erfordert für die Ersteinrichtung die Nutzung eines globalen Administrator Kontos. 

Nach der Registrierung als Unternehmensapplikation in Azure AD bietet Ihnen AdminDroid in der Dashboard-Übersicht einen schnellen Überblick über die Situation in Ihrem im Mandanten.

Der folgende Screenshot zeigt die Bird's Eye View-Ansicht.

AdminDroid Bird's Eye View

 

AdminDroid hilft Ihnen bei der Auswertung zur Nutzung der Microsoft 365 Workloads und bei der Identifikation von Audit-relevanten Ereignissen. Es stehen Ihnen weit mehr als 900 unterschiedliche Reports zur Verfügung,auf die Sie, trotz der hohen Anzahl, schnell und einfach Zugriff haben.

Ein gutes Beispiel für einen Bericht zur Azure AD Sicherheit ist die Übersicht der fehlgeschlagenen Anmeldungen, wie der folgende Screenshot zeigt.

AdminDroid Bericht über nicht erfolgreiche Anmeldungen

 

Ein weiterer sehr nützlicher Bericht ist die Übersicht der im Mandanten vorhandenen Lizenzen. In einer einheitlichen Übersicht erhalten Sie nicht nur Informationen zur Nutzung jeder einzelnen Lizenz, sondern auch zum Status der Lizenz. Als Status wird Ihnen angezeigt, ob die Lizenz aktiv ist, abgelaufen oder in Warnung. Ebenso sehen Sie, zu welchem Datum die nächste Aktion im Lebenszzyklus der Lizenz erfolgt.

Der folgende Screenshot zeigt die Lizenzübersicht eines aktiven Microsoft 365 Mandanten.

AdminDroid Lizenzübersicht

AdminDroid hilft Ihnen beim täglichen Betrieb Ihres Microsoft 365 Mandanten. Die Software, als Free Edition, ist für reines Azure AD Reporting kostenlos. Mit der Free Edition können Sie die Basis-Funktionen ohne Risiko kennenlernen. Wenn Sie weitere Funktionen zur Überwachung und zum Reporting für Ihren Microsoft 365 Mandanten benötigen, können Sie die benötigten Komponenten lizensieren. Reporting und Auditing werden als separate Komponenten angeboten.

Ich nutze AdminDroid seit einem Jahr und kann die Software uneingeschränkt empfehlen.

Links

 

 

 

 

 

 

 

Weiterlesen »

ImageDie Dienste von Microsoft 365 machen es Anwender leicht, sich mit Ihrer beruflichen E-Mail-Adresse anzumelden. Anwender werden regelrecht dazu verführt, eine für sie interessante Lösung auszuprobieren.

Lösungen wie Microsoft Teams, Power BI und andere benötigen für ihre Funktion Azure AD und damit einen Microsoft 365 Mandanten. Wenn sich nun ein Anwender mit einer beruflichen E-Mail-Adresse bei einer ausgewählten Lösung anmeldet, ob die E-Mail-Domäne bereits eine, existierenden Mandaten zugeordnet ist. Ist dies der Fall, erfolgt die Authentifizierung und weitere Nutzung auf Basis der Einstellungen des entsprechenden Mandanten.

Was aber passiert, wenn die E-Mail-Domäne keinem Mandanten zugeordnet ist?

In diesem Fall erstellt Microsoft 365 einen sog. Schattenmandanten, dem die E-Mail-Domäne des Anwender als Schattendomäne zugeordnet wird. Hierzu erhält der Anwender kein Feedback, da die Nutzung der ausgewählten Lösung im Vordergrund steht.

Das Problem einer Schattendomäne trifft Sie, als Administrator eines Microsoft 365 Mandanten erst dann, wenn Sie diese Domäne einem regulär aktiviertem Mandanten hinzufügen möchten. Oder wenn Sie dies als Berater für einen Ihrer Kunden durchführen möchten. In diesem Fall führt Sie der Einrichtungsassistent des Microsoft 365 Admin Centers zu einem  Übernahmeprozess der Domäne per E-Mail. 

In diesem Prozess kann aus ganz unterschiedlichen Gründen zu Problemen kommen. Einfacher ist es, die Schattendomäne mit Hilfe von PowerShell zu übernehmen. Hierzu benötigen Sie das MSOnline-PowerShell Modul und Zugriff auf die DNS-Verwaltung der betroffenen Domäne. 

Führend Sie folgenden Schritte durch.

# Falls nicht installiert
Install-Module -Name MSOnline

# Falls installiert
Update-Module MSOnline -Force


# Anmeldung am Microsoft 365 Mandanten als globaler Administrator
Connect-MSOnline

# Hinzufügen der Schattendomäne (Beispiel varunagroup.de)
New-MSOLDomain -Name varunagroup.de

# Prüfung des Domain Status der nicht verifizierten Domäne
Get-MSOLDomain

# Abfrage des Wertes zur Überprüfung per TXT-Eintrag
Get-MSOLDomainVerificationDns -DomainName varunagroup.de -Mode DnsTxtRecord

 

Als Ausgabe erhalten Sie die Informationen für einen TXT-Eintrag in der Form MS=xxxxxxx. Dieser Wert muss in der DNS-Verwaltung als namenloser TXT-Eintrag für die Schattendomäne eingetragen werden. Geben Sie den DNS-Servern ein paar Minuten Zeit, um die Änderung zu übernehmen.

Führen Sie nun in der gleichen PowerShell-Session die Überprüfung des TXT-Eintrages durch. Wichtig ist hierbei der zusätzliche Parameter ForceTakeOver.

# Überprüfung des DNS-Eintrages und Übernahme der Domäne
Confirm-MSOLDomain -DomainName varunagroup.de -ForceTakeover Force

# Prüfung des Domain-Status
Get-MSOLDomain

Die Prüfung kann einen Moment Zeit in Anspruch nehmen. Der Status der neuen Domäne muss von Unverified zu Verfied wechseln.

Damit haben Sie eine Schattendomäne übernommen und zu einem bestehenden Mandanten hinzugefügt.

 

Viel Spaß mit Microsoft 365!

 

 

 

 

 

 

 

 

 

Weiterlesen »

Folge 10

Heute wurde die zehnte Folge von Thomas' Tech Talk veröffentlicht.

Das Thema des Talks ist:

  • Exchange und hybride Identitäten

Mit der Implementierung von Azure AD Connect werden deaktiviert Azure AD die Bearbeitung von Exchange-relevanten Benutzerattributen. Grund hierfür ist, dass das lokale Active Directory als Source of Authority gilt. Selbst wenn Sie nur Exchange Online verwenden, jedoch Benutzerkonten aus dem lokalen AD synchronisieren, befinden Sie sich in einem Hybrid-Betrieb und müssen alle Anforderungen hierzu berücksichtigen.

Was dies bedeutet und welche Auswirkungen dies für Ihre lokale AD-Umgebung hat, erfahren Sie in diesem Tech Talk.

 

 

Links

 

Ressourcen

 

Viel Spaß.

 

 

Weiterlesen »

Logo Azure ADFür eine ausfallsicheren Betrieb der Azure AD Pass-Through Authentifizierung (PTA) ist der Betrieb von mehreren Authentifizierungsagenten empfohlen. Als Empfehlung gilt der Betrieb von mindestens drei PTA-Agenten.

Nach dem Herunterladen und der Installation des PTA-Agenten kann die finale Registrierung bei Azure AS u.U. fehlschlagen. Dieses Problem tritt hauptsächlich in Netzwerkinfrastrukturen auf, in denen die Nutzung eines Proxy-Servers für ausgehenden Verbindungen zu den Microsoft 365 Endpunkte Pflicht ist. Die Gründe für einen Fehler bei der Registrierung sind entweder ein falsch konfigurierter Proxy oder fehlende Einträge in der Internet Explorer Zonenkonfiguration für die vertraute Websites.

Wenn dieser Fehler in Ihrer Umgebung auftritt, empfehlen ich Ihnen, die Installation des PTA-Agenten und die Registrierung bei Azure AD in zwei getrennten Schritten durchzuführen. Um diese Schritte durchführen zu können, benötigen Sie ein Azure AD Benutzerkonto, das Mitglied der Rolle "Global Administrator" ist.

  1. Laden Sie zuerst den aktuellen Release des PTA-Agentern herunter: https://aka.ms/getauthagent
  2. Kopieren Sie die Installationsdatei auf den Server, auf dem der PTA-Agent betrieben werden soll
  3. Öffnen Sie ein administratives Kommandozeilenfenster und installieren Sie die Software im Silent-Modus ohne automatische Registrierung des Agenten:
AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q
  1. Öffnen Sie eine administrative PowerShell-Session, navigieren Sie zum Standardinstallationspfad und registrieren Sie den PTA-Agentenmanuell
# Navigation zum Standardinstallationspfad
cd "C:\Program Files\Microsoft Azure AD Connect Authentication Agent"

# Eingabe der Anmeldeinformationen des Globalen Administrators
$cred = Get-Credential

# Registrierung des PTA-Agenten mit Hilfes des RegisterConnector.ps1 Skriptes
# Mehrzeiliges Beispiel:
.\RegisterConnector.ps1 `
-ModulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" `
-ModuleName "PassthroughAuthPSModule" `
-AuthenticationMode Credentials ` 
-UserCredentials $cred `
-Feature PassthroughAuthentication

# Einzeiliges Beispiel
.\RegisterConnector.ps1 -ModulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -ModuleName "PassthroughAuthPSModule" -AuthenticationMode Credentials -UserCredentials $cred -Feature PassthroughAuthentication

 

Die Schnellstart-Anleitung des Azure AD Pass-Through Agenten beinhaltet ein Beispiel für die automatische Installation des PTA-Agenten als Teil einer automatischen Server-Provisionierung. Das aktuelle Beispiel referenziert das falsche PowerShell-Modul mit dem Namen AppProxyPSModule. Das aktuellte Release des PTA-Agenten beinhaltet kein PowerShell-Modul mit diesem Namen. Sie müssen das PowerShell-Modul PassthroughAuthPSModule, wie im o.g. Beispiel, für die Registrierung verwenden.

 

Links

 

Viel Spaß mit Azure AD!

 

 

Weiterlesen »

Azure AD Connect ist das Werkzeug der Wahl, wenn Sie in Microsoft 365 mit hybriden Benutzerkonten Logo Azure ADarbeiten möchten.

Gerade für kleine und mittlere Unternehmen empfiehlt Microsoft die Nutzung von Azure AD Connect mit Express-Einstellungen. Dies soll Ihnen dabei helfen, möglichst schnell und einfach zu Microsoft zu wechseln.

Die Nutzung der Express-Einstellungen ist bei der Einrichtung in der Oberfläche sehr prägnant platziert. Leider werden durch die Express-Einstellung unnötige Konten zu Azure AD synchronisiert, die in der Cloud keinerlei Verwendung finden.

 

Problem mit Azure AD Connect 1.5.30

In der aktuellen Version von Azure AD Connect 1.5.30 gibt es ein Problem mit der Synchronisation von technischen Benutzerkonten für den Betrieb von Exchange Server. Exchange Server erstellt Postfächer und zugehörige Benutzerkonten, um den stabilen Betrieb sicherzustellen, die sog. Health-Mailboxen.

Bei einer aktuellen Implementierung von Azure AD Connect 1.5.30 wurden diese Postfächer und weitere Exchange-Systemkonten zu Azure AD synchronisiert.

Der folgende Screenshot verdeutlicht das Problem.

Screenshot - Azure AD nach Synchronisation von Azure AD Connect


Interessanterweise werden andere Exchange System Objekte, wie Discovery-, Federation- und die System-Postfächer nicht synchronisiert.

 

Empfehlung

Verwenden Sie immer die erweitere Installation, um nur die gewünschten Objekte mit Azure AD zu synchronisieren und unnötige Systemobjekte, die nur in der lokalen Active Directory Gesamtstruktur benötigt werden, nicht zu übertragen. Dies gilt insbesondere dann, wenn Sie eine lokale Exchange Organisation betreiben.

 

Links

 

 

Viel Spaß mit Microsoft 365.

 

 

Weiterlesen »