Granikos Technology Blog

Vom 4. - 8. November fand die diesjährige Microsoft Ignite Konferenz statt. Ein großes Thema war die Absicherung von Identitäten und Applikationen und die sichere Zusammenarbeit im Rahmen von Modern Workplace und Modern Life.
 

Die folgenden Liste bietet einen Überblick über die wichtigsten Sessions zum Thema Azure Active Directory. Der jeweilige Link führt Sie zu den detaillierten Session-Informationen, inklusive der Session-Aufzeichnung und PowerPoint-Präsentation, falls vorhanden. Hinter jedem Titel ist der Themenlevel für die Zielgruppe vermerkt.
 

• TK03 | Microsoft's roadmap for security, compliance, and identity | Intermediate (200)
  In dieser Technology Keynote erfahren Sie, wie Ihnen Microsoft helfen kann, den Sicherheits-, Identitäts- und Complianceanforderungen im Unternehmen gerecht zu werden. Kirk Koenigsbauer spricht über Microsofts Strategie und mit Ann Johnson (Microsoft Cybersecurity Solutions Group) und Bret Arsenault (Microsoft CISO) über die zukünftigen Investitionen auf diesen Gebiente.
   
• BRK013 | Identity: The control plane for your digital transformation, now and into the future | Foundational (100)
  Als Anbieter der weltweit größten Identitätsplattform trägt Microsoft Verantwortung dafür, dass Unternehmenstechnologien, auf die sich jeden Tag Milliarden von Menschen verlassen, stetig sicherer und mobiler werden. Microsoft entwickelt Identitätsprodukte und -services gemeinsam mit Kunden und stellt so sicher, dass jederzeit ein sicherer Zugriff auf Applikationen und Dienste möglich ist, unabhängig davon, ob der Zugriff auf lokale oder Claud-basierte Ressourcen erfolgt. In dieser Session erfahren Sie durch konkrete Kundenbeispiele, wie leicht modernes Identitätsmanagement ist und wie die Vision für Azure Active Directory aussieht.
   
• BRK2130 | Azure Active Directory: New features and roadmap | Intermediate (200)
  Wenn Sie an der Identitäts- und Zugriffsverwaltung in der Cloud arbeiten oder sich mit ihr beschäftigen möchten, können Sie in dieser unumgänglichen Sitzung im nächsten Jahr Updates zu Azure Active Directory und unseren Visions- und Roadmapbereichen für die Identitätsverwaltung abrufen.
   
• BRK2232 | Zero Hype – Taking practical steps towards Zero Trust | Intermediate (200)
  In den letzten Jahren gab es eine Menge Hype um Zero Trust, wobei der Schwerpunkt auf der herstellerspezifischen Implementierung lag.
   
• BRK3105 | Connect your workforce to all the apps they need with Azure Active Directory | Advanced (300)
  Azure AD ist der Ort für alle Ihre Applikationen. Aber wissen Sie, wie Sie das umfangreiche Sicherheitsökosystem optimal nutzen können? In dieser Session erfahren Sie, was Microsoft für Ihre Unternehmensapplikationen anbietet, um den Zugriff sicher zu gestalten.
   
• BRK3106 | Eliminate your weakest link with passwordless authentication | Advanced (300)
  Der neue Standard für eine sichere Authentifizierung ist kennwortlos. In dieser Session erfahren Sie, wie Sie mit der Verwendung und Bereitstellung der kennwortfreien Lösungen von Microsoft Ihre Benutzer und Ihr Unternehmen vor Kennwortspray, Phishing und anderen Angriffen schützen können. Mit FIDO2, Windows Hello und Microsoft Authenticator in Verbindung mit Azure Active Directory werden Kennwörter zu einem Relikt der Vergangenheit.
   
• BRK3110 | Winning strategies for identity security and governance | Advanced (300)
  Cybersicherheitsvorfälle sind regelmäßig in den Nachrichten. Die Abwehr solcher Angriffe ist für Unternehmen eine immer schwieriger werdende Aufgabe, da die Angriffe immer raffinierter und komplexer werden. Trotz hoher Ausgaben für Sicherheitslösungen und -ressourcen ist eine stetig steigende Anzahl an Angriffe zu verzeichnen. Der Schlüssel für ein erfolgreiches Identitätsmanagement liegt in der Entwicklung einer identitätsorientierten Sicherheitsstrategie. In dieser Session werden einige der Erfolgsstrategien für ein effektives Identitätsmanagement diskutiert.
   
• BRK3113 | New frontiers in identity standards | Advanced (300)
  Interessieren Sie sich für die zukünftigen Entwicklung der Identitätsbranche? Begeben Sie sich mit Pamela Dingle auf eine unterhaltsame Tour durch die Arbeiten, die derzeit in Normungsgremien wie IETF, W3C, ISO und der OpenID Foundation stattfinden.  
   
• BRK3114 | Building trust into digital experiences with decentralized identities | Advanced (300)
  Unternehmen suchen nach Wegen, um das Vertrauen in digitale Erlebnisse zu stärken. Diese Bemühungen können schneller umgesetzt werden, indem Menschen befähigt werden, ihre persönliche Identität zu besitzen, zu kontrollieren und zu verifizieren. Erfahren Sie in dieser Session, wie welche Vorteile eine Decentralized Identity gegenüber vorhandenen kontobasierten Systemen hat.
   
• BRK4007 | Microsoft identity platform best practices for developers | Expert (400)
  In dieser Session werden die Details zur Funktionsweise der Microsoft-Identitätsplattform für die Authentifizierung und Autorisierung beschrieben. Sie erfahren, wie Softwareentwickler ihre Lösungen für die bestmögliche Benutzererfahrung entwickeln, sowie Best Practices für Funktionsberechtigungen und -genehmigungen sowie Debugging-Techniken für Authentifizierung und Autorisierung implementieren können.
  
   
• THR3079 | Govern access for employees and partners with Azure Active Directory Identity Governance | Advanced (300)
  Azure Active Directory verfügt über neue Funktionen zur Identitätsverwaltung und -Governance, mit denen Sie die Zugriffsverwaltung für Ihre gesamte Belegschaft, einschließlich externer Partner, kontrollieren und steuern können. Informieren Sie sich in dieser Theater-Session über die neuesten Funktionen rund um Access Reviews und Entitlement Management.
  
   
• THR3080 | Gain fine-grained access controls of your administrative roles with Azure Active Directory custom roles | Advanced (300)
  In dieser Theater-Session erfahren Sie, wie Sie den Zugriff auf Azure Active Directory mithilfe von Azure AD-Verwaltungsrollen steuern, einschließlich Funktionen wie benutzerdefinierten RBAC-Steuerelementen, und welche Funktionen für zukünftige Rollen und Zugriffssteuerungen vorgesehen sind.
   
• THR3136 | Streamline your business processes and development with Azure Active Directory APIs in Microsoft Graph | Intermediate (200)
  Die Verfügbarkeit von Azure AD-APIs in Microsoft Graph hat im letzten Jahr zugenommen, um Entwicklern das Erstellen von Anwendungsszenarien in Azure Active Directory zu erleichtern. Tatsächlich sind jetzt alle Azure AD Graph-APIs in Microsoft Graph verfügbar, das für alle Office 365-Workloads noch mehr Funktionen bietet. In dieser Theater-Session erfahren Sie, wie Sie Azure AD-APIs in Microsoft Graph für das Onboarding von Benutzern und die dynamische Gruppenbereitstellung verwenden, die Verwaltung mit Privileged Identity Management aktivieren und eine detailliertere Zugriffssteuerung mit Azure AD RBAC ermöglichen.
   
• WRK3029 | Secure and manage your identities with Azure Active Directory | Advanced (300)
  Mit der Identität als Kontrollebene haben Sie eine bessere Übersicht und Kontrolle darüber, wer unter welchen Bedingungen auf die Anwendungen und Daten Ihres Unternehmens zugreift. In diesem Workshop erhalten Sie praktische Erfahrungen mit Azure Active Directory, einer universellen Identitätsplattform, mit der Sie die produktive und sichere Zusammenarbeit Ihrer Mitarbeiter und externen Benutzer umsetzen können und gleichzeitig die Unternehmensrichtlinien einhalten und Ihre Daten vor Bedrohungen schützen können.
   
• SECO10 | Secure your enterprise with a strong identity foundation | Intermediate (200)
  Die drei Vorteile, die Microsoft von Azure Active Directory Kunden am häufigsten hört, sind die Reduzierung der Kosten, die Verbesserung der Sicherheit und die Steigerung der Benutzerproduktivität. Diese Lernpfadsession richtet sich in erster Linie an Unternehmen, die über eine Modernisierung ihrer Identitäts- und Sicherheitslösungen nachdenken und Azure AD noch nicht rpoduktiv einsetzen oder an bestehende Kunden, die eine Auffrischung der angesprochenen Kundenszenarien benötigen.
   
• SECI10 | Identity and access management best practices from around the world | Intermediate (200)
  Treten Sie dem Azure Active Directory Customer Success Team bei und erfahren Sie, wie Hunderte von Kunden auf der ganzen Welt durch Identitäts- und Zugriffsverwaltung die digitale Transformation beschleunigen konnten.
   
• SECI20 | Shut the door to cybercrime with identity-driven security | Advanced (300)
  Heutzutage gibt es in den meisten Organisationen eine Fülle von Sicherheitslösungen. Was sie tatsächlich sicher macht, bleibt jedoch im Dunkeln. In dieser Session erhalten Sie die dringend benötigten Antworten, damit Sie die notwendigen Schritte, um sich vor den häufigsten aktuellen und aufkommenden Bedrohungen zu schützen, schnell umsetzen können.
  
   

Legende

TK = Technical Keynote
WRK = Workshop Session
THR = Theater Session (20 Minuten)
BRK = Breakout Session (45 Minuten)
SECO = Session (45 Minuten)

Viel Spaß mit Microsoft 365 und Azure Active Directory.

Sie benötigen Hilfe bei der Entscheidung für oder gegen einen Wechsel zu Office 365 oder Microsoft 365? Unser Microsoft Cloud Workshop hilft Ihnen, die für Ihr Unternehmen passenden Entscheidungen zu treffen. Melden Sie sich bei uns: info@granikos.eu

Migration and consolidation projects in the IT field face technical challenges individual to each infrastructure. Internal IT projects can be executed following well established organizational processes and requirements.

Projects related to M&A programs face additonal and very unique requirements and constraints. These contraints tend to be agile and require to work outside of the well established processes valid for internal projects. Especially the constraints provided by the M&A process itself might require immediate adjustments or major changes.

Our real-world experiences from global M&A IT consolidations can help you to lead your M&A program to success. Whether it is an internal infrastructure consolidation handling get-well activities in preparation for a takeover or merging of global IT landscapes in the context of a corporate takeover, our professional program team will assist you from establishing the technical design to project planning, execution and monitoring.

Some of our experiences have been summarized in a PowerPoint slidedeck. The scenario shows

• Internal consolidation of a global IT infrastructure
  • Active Directory landscape which included more than 20 Active Directory domains and more than 7,000 accounts
  • Exchange landscape which included more five different Exchange organizations (partially hosted at an external provider) in preparation of an Office 365 Migration

• Merging of two global IT infrastructures as part of a global M&A program
  • Migration of all user accounts to a new single Active Directory domain
  • Migration of more than 13,000 Exchange mailboxes to Office 365
  • Launch of a new single email Domain across seven Exchange organizations
  • Migration of regional file server data to central data centers
  • Rollout of a network infrastructure to each acquired regional Office, including new VPN Solutions
  • Rollout of new client hardware for all employees in the aquired enterprise
  • Rollout of a global data backup solution, including cloud storage
  • Consolidation of regional service desks into a single global service desk team

The following pictures demonstrate the situation pre merger:

We are keen to share our experiences to help you to bring your migration activites to a success. Ask for a workshop today: info@granikos.eu

IT Migrationen und Konsolidierungen haben ihre ganz eigenen technischen Herausforderungen. Bei internen Projekten gibt es betriebliche Anforderungen, die den Rahmen solcher Projekte durch etablierte Prozesse abstecken.

Im Rahmen einer Unternehmensübernahme kommen zusätzliche Anforderungen und Zwänge hinzu, die die Planung und Ausführung, im direkten Vergleich mit rein internen Projekten, verschärfen.

Unsere Erfahrungen aus globalen IT Konsolidierungen in M&A Situationen, können Ihnen helfen ein solches Programm erfolgreich auszuführen. Ob es sich um eine interne Konsolidierung zur Vorbereitung einer Übernahme oder um das Zusammenführen im Rahmen der Unternehmensübernahme selber handelt, unser kompetentes Programm-Team unterstützt Sie von der technischen Planung bis zur Ausführung und Projektüberwachung.

Wir haben unsere Erfahrungen in einer Präsentation zusammengefasst, die folgendes Szenario beschreibt:

• Interne globale Konsolidierung von
  
  • mehr als 20 Active Directory Domänen mit insgesamt 7.000 Benutzerkonten
  • fünf Exchange Organisationen und Vorbereitung zur Office 365 Migration
• Globale IT Konsolidierung im Rahmen eines M&A mit
  • Migration aller Benutzerkonten in ein neues Active Directory
  • Migration von mehr als 13.000 Exchange Postfächern nach Office 365
  • Einführung einer einheitlichen E-Mail Domäne über sieben Exchange Organisationen
  • Migration aller Dateiserver Daten in zentrale Rechenzentren
  • Implementierung neuer Netzwerk-Infrastruktur in allen übernommenen Standorten
  • Implementierung einer zentralisierten globalen Lösung zur Datensicherung

Die nachfolgenden Bilder demonstrieren die Situationen vor der Migration:

Haben wir Ihr Interesse geweckt? Gerne teilen wir unsere Erfahrungen im Rahmen eines Workshops, um Ihrer Migration zum Erfolg zu verhelfen. Kontaktieren Sie uns unter info@granikos.eu.

Problem

While trying to synchronize a new device with an Exchange mailbox, you receive an error with your new mobile phone partnership.

The Exchange Server 2010 Default Throttling Policy is configured to accept 10 ActiveSync devices per mailbox only.

You can validate this setting by using EMS

Get-ThrottlingPolicy def* | Select Name,EASMaxDevices

Solution

Use a scheduled PowerShell script to delete old ActiveSync Device partnerships that have not been used for a defined period of time.

Script

Find the most recent version on TechNet Gallery and Github, following the links provided in the Links section.

Modifiy the script path variables to fit your requirements. The variables are configured in the ### BEGIN Variables section.

Steps being executed:

1. Fetch all user mailboxes
2. Iterate through each user mailbox and determines the number of ActiveSync devices and the number of devices which have not synchronized since 150 days
3. Delete ActiveSync device registration, if a user has more than 4 devices in total and a minimum of 1 device that have not synced within 150 days

<#
    .SYNOPSIS
    Remove Exchange Server 2010 ActiveSync Device Partnerships 
   
   	Sebastian Rubertus / Thomas Stensitzki
	
	THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE 
	RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE USER.

    Send comments and remars to: support@granikos.eu
	
	Version 1.0, 2015-04-09
 
    .LINK  
    More information can be found at http://www.rubertus.net/Blog/tabid/85/EntryId/41/Scripted-removing-of-ActiveSync-Device-Partnerships.aspx 
	
    .DESCRIPTION

    THis script removes ActiveSync device association from user mailboxes
    that have been inactive for more than 150 days.

    .NOTES 
    Requirements 
    - Exchange Server 2010
    - Windows Server 2008 R2 SP1, Windows Server 2012 or Windows Server 2012 R2  

    Revision History 
    -------------------------------------------------------------------------------- 
    1.0     Initial community release 
    
    .EXAMPLE
    Remove-ActiveSyncDevicePartnership
    	
    #>

### BEGIN SnapIns -------------------------------------------------------------

# Add Exchange SnapIn if not already loaded
if ( (Get-PSSnapin -Name Microsoft.Exchange.Management.PowerShell.E2010 -ErrorAction SilentlyContinue) -eq $null )
{
    Add-PsSnapin Microsoft.Exchange.Management.PowerShell.E2010 -ErrorAction SilentlyContinue
   
    if ( (Get-PSSnapin -Name Microsoft.Exchange.Management.PowerShell.E2010 -ErrorAction SilentlyContinue) -eq $null )
    {
        Write-Host "Microsoft.Exchange.Management.PowerShell.Admin could NOT be loaded!" -ForegroundColor Red
        Write-Host "Verify that the Exchange 2010 Management is installed on this computer!" -ForegroundColor Red
    }
}

### END SnapIns ---------------------------------------------------------------

### BEGIN Variables | EDIT ACCORDING TO YOUR NEEDS ----------------------------

# ScriptPath
$scriptPath = "C:\Scripts\Remove-ActiveSync-Devices\"

# Logfile
$logfile = "C:\Scripts\Remove-ActiveSync-Devices\Logs\$(get-date -format yyyy-MM-dd___HH-mm-ss)___Logname.log"

### END Variables -------------------------------------------------------------


### BEGIN Functions -----------------------------------------------------------

Function Log
{
   Param ([string]$logstring)
   Add-content $logfile -value "$(get-date -format yyyy-MM-dd___HH-mm-ss) $logstring "
}

### END Functions -------------------------------------------------------------

### BEGIN Main ----------------------------------------------------------------

# Create a new log file
Write-Host
Write-Host "Script started, creating Log File."
Log "Script started."
Write-Host

# Query User Mailboxes and Device Statistics
Write-Host "Querying User Mailboxes, please wait a few seconds..." -ForeGroundColor green
Log "Querying User Mailboxes."
Write-Host
$Mailboxes = Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize Unlimited -WarningAction SilentlyContinue
$NumberOfMailboxes = $Mailboxes.count
Write-Host "Number of Mailboxes: $NumberOfMailboxes "
Log "Number of Mailboxes: $NumberOfMailboxes "
Write-Host

# Iterate each User Mailbox
ForEach ($Mailbox in $Mailboxes)
{
    $MailboxAlias = $Mailbox.Alias
    Write-Host
    Write-Host "================================================================================="
    Write-Host
    Write-Host "Getting ActiveSync Devices from user $MailboxAlias..."
    Log "Getting ActiveSync Devices from user $MailboxAlias. "
    $AllDevicesFromSpecificUser = Get-ActiveSyncDevice -Mailbox $MailboxAlias -Result Unlimited  -WarningAction SilentlyContinue | Get-ActiveSyncDeviceStatistics -WarningAction SilentlyContinue
    $AllDevicesFromSpecificUserNotSynchronizedSince150Days = Get-ActiveSyncDevice -Mailbox $MailboxAlias -Result Unlimited  -WarningAction SilentlyContinue | Get-ActiveSyncDeviceStatistics  -WarningAction SilentlyContinue | Where {$_.LastSuccessSync -le (Get-Date).AddDays("-150")}
    Write-Host
    $CountAllDevicesFromSpecificUser = $AllDevicesFromSpecificUser.Count
    $CountAllDevicesFromSpecificUserNotSynchronizedSince150Days = $AllDevicesFromSpecificUserNotSynchronizedSince150Days.Count
   
    If ($CountAllDevicesFromSpecificUser -lt 5)
    {
        Write-Host "User $MailboxAlias has only $CountAllDevicesFromSpecificUser ActiveSync Devices. Nothing to delete!" -ForegroundColor Green
        Log "User $MailboxAlias has only $CountAllDevicesFromSpecificUser ActiveSync Devices. Nothing to delete!"
    }
   
    If (($CountAllDevicesFromSpecificUser -gt 4) -and ($CountAllDevicesFromSpecificUserNotSynchronizedSince150Days -gt 1))
    {
        Write-Host "User $MailboxAlias has $CountAllDevicesFromSpecificUser devices. $CountAllDevicesFromSpecificUserNotSynchronizedSince150Days have not synced for more than 150 days." -ForegroundColor Red
        Log "User $MailboxAlias has $CountAllDevicesFromSpecificUser devices. $CountAllDevicesFromSpecificUserNotSynchronizedSince150Days have not synced for more than 150 days."
       
        ForEach ($Device in $AllDevicesFromSpecificUserNotSynchronizedSince150Days)
        {
            $DeviceType = $Device.DeviceType
            $DeviceFriendly = $Device.FriendlyName
            $DeviceID = $Device.DeviceID
            $DeviceFirstSyncTime = $Device.FirstSyncTime
            $DeviceLastSuccessSync = $Device.LastSuccessSync
            Write-Host
            Write-Host "ActiveSync Device 2 delete Properties: "
            Write-Host "-------------------------------------- "
            Write-Host "Type         : $DeviceType "           
            Write-Host "Friendly Name: $DeviceFriendly "
            Write-Host "ID           : $DeviceID "
            Write-Host "Last Sync    : $DeviceLastSuccessSync " -ForegroundColor Red
            Log "Removing Device $DeviceType with ID $DeviceID ..."
            Write-Host
            Write-Host "Removing Device $DeviceID ..." -ForegroundColor Red
            $Device | Remove-ActiveSyncDevice -WarningAction SilentlyContinue
        }
    }
}

# Script finished
Write-Host
Write-Host "Script finished!"
Write-Host
Log "Script finished!"

### END Main ------------------------------------------------------------------

Links

• Remove-ActiveSyncDevicePartnership Script at TechNet Gallery
• Remove-ActiveSyncDevicePartnership Script at GitHub

You need assistance with your Exchange Server setup? You have questions about your Exchange Server infrastructure and going hybrid with Office 365? Contact us at office365@granikos.eu or visit our website http://www.granikos.eu.

In einem Video (EN) zeigen wir Ihnen, wie die Auswertungen und Berichte von COMPASS dazu betragen, die Sicherheit in Ihrer Active Directory Umgebung zu erhöhen.

Kostenloser 21-Tage Test und weitere Informationen: http://www.granikos.eu/de/Compass

Office 365 arbeitet mit drei unterschiedlichen Identitätsmodellen zur Authentifizierung von Benutzerkonten. Diese sind:

• Cloudidentität (Cloud Identity)
  Hierbei erfolgt die Verwaltung der Benutzerkonten vollständig in Office 365 und es sind keine lokalen Server erforderlich.
   
• Synchronisierte Identität (Synchronized Identity)
  Bei dieser Form erfolgt eine Synchronisierung der lokalen Benutzerkonten mit Office 365. Die Verwaltung der Benutzerkonten erfolgt lokal. Kennworte können ebenfallls synchronisiert werden, damit Benutzer sowohl lokal als auch in der Cloud über das gleiche Kennwort verfügen. Für die Nutzung von Office 365 Diensten ist allerdings eine erneute Anmeldung erforderlich
   
• Verbundidentität (Federated Identity)
  Bei dieser Form erfolgt ebenfalls eine Synchronisierung der lokalen Benutzerkonten mit Office 365 und die Verwaltung erfolgt ebenfalls lokal. Es erfolgt keine Synchronisierung von Kennworten. Lokal angemeldete Anwender können Office 365 Dienste ohne weitere Anmeldungen transparent nutzen. Für diese Form müssen zusätzlich Verbundserver bereitgestellt werden.

Bei der Auswahl eines Identitätsmodells müssen die technische Komplexität und die Kosten für Einführung und Betrieb detailliert abgewogen werden. Die Anforderungen an eine Office 365 Integration sind für jedes Unternehmen unterschiedlich. 

Das nachfolgende Video (EN) verdeutlicht die drei Identitätsmodelle sehr anschaulich.

Links

• Grundlegendes zu Office 365-Identitäten und Azure Active Directory