blog.icewolf.ch

Let's talk about IT!
posts - 1753, comments - 295, trackbacks - 0

My Links

Archives

Post Categories

icewolf

Wednesday, April 14, 2021

Exchange 2016 CU20 Security Update KB5001779

Hallo zusammen,

Es gibt wieder ein Security Update für Exchange Server 2016 CU20.

Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: April 13, 2021 (KB5001779)

https://support.microsoft.com/de-de/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-april-13-2021-kb5001779-8e08f3b3-fc7b-466c-bbb7-5d5aa16ef064

 

Security Update For Exchange Server 2016 CU20 (KB5001779)

https://www.microsoft.com/en-us/download/details.aspx?id=103002

Grüsse
Andres Bohren

posted @ Wednesday, April 14, 2021 1:34 AM | Filed Under [ Exchange ]

Saturday, April 10, 2021

OneDrive sync x64 in Public Preview

Hallo zusammen,

Vor zwei Tagen wurde die x64 Version von OneDrive im Public Preview angekündigt

OneDrive sync 64-bit for Windows now in public preview
https://techcommunity.microsoft.com/t5/microsoft-onedrive-blog/onedrive-sync-64-bit-for-windows-now-in-public-preview/bc-p/2264939

Ich habe mir die Version heruntergeladen und installiert. Bei der Installation wird OneDrive kurz gestoppt und danach wieder gestartet.

Eigentlich sollte danach in den Einstellungen bei der Version danach x64 stehen. Scheint aber ein GUI Bug zu sein, wenn die Systemsprache nicht Englisch ist.

Schaut man sich die Exe im Sysinternals Prozessexplorer an, so sieht man, dass es sich um die x64 Variante handelt

Grüsse
Andres Bohren

posted @ Saturday, April 10, 2021 10:13 AM | Filed Under [ O365 ]

Thursday, April 8, 2021

Stream your Android Display wireless to a Windows 10 Computer

Hallo zusammen,

Als ich wieder ein paar Screenshots von meinem Android Smartphone machen wollte, habe ich mich gefragt, ob es nicht einfacher geht, als ich das Zurzeit mache. Screenshots machen und dann auf OneDrive hochladen.

Habe dann eine Anleitung gefunden und das ausprobiert. Einfach in Windows 10 unter Optional Features "Wireless Display" installieren.

Danach die Connect App öffnen

Der Computer und das Android Smartphone muss sich natürlich im selben WLAN befinden.

Auf dem Smartphone "Drathlos Projektion" aktivieren

Und den Computernamen auswählen

Den Wizard kann man überspringen

Nun wird das Display per WLAN auf den Computer gestreamt

Der Authenticator lässt das jedoch nicht standardmässig zu. Erst wenn man "Bildschirmerfassung" aktiviert und die Authenticator App neu startet.

Siehe da, nun klappt es auch mit dem Authenticator

Liebe Grüsse
Andres Bohren

posted @ Thursday, April 8, 2021 3:02 PM | Filed Under [ Windows UM/Mobile ]

Passwordless sign-in with Authenticator App and Number matching

Hallo zusammen,

Ich habe mir mal das Login ohne Passwort mit der Authenticatior App angeschaut.

Enable passwordless sign-in with the Microsoft Authenticator app
https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-phone

Im Azure AD Portal unter Security muss man die Authentication Methods auswählen. Dort die Authenticator App markieren und bei den drei punkten auf "Configure" klicken.

Ich habe Number Matching aktiviert

Bei der Authentication Method stehen "Any, Passwordless oder Push" zur Verfügung.

Ich habe hier Passwordless ausgewählt.

$

Danach muss das ganze gespeichert werden

In der Authenticator App nun "Anmeldung per Telefon einrichten" auf dem entsprechenden Konto auswählen

Dann werden die Prüfungen durchgeführt

Man muss sich anmelden und es erfolgt eine MFA abfrage (stellt bitte vorher sicher, dass die Combined Security info Registration erfolgreich abgeschlossen ist)

Mein Smartphone ist noch nicht im Azure AD als Device registriert

Das kann man in den Einstellungen der Authenticator App erledigen

Auch hier muss man sich mit MFA anmelden

Danach kann die Passwortlose Anmeldung konfiguriert werden

So sieht es aus, wenn alles erfolgreich eingerichtet ist

Wie man sieht ist das Device in Azure AD registriert

Nun Teste ich das ganze mit einem Browser Login auf https://office.com. Nach dem Eingeben vom Benutzernamen wähle ich "Stattessen die App verwenden" aus. 

Nun wird mir eine Nummer angezeigt

Diese muss ich nun auf der Authenticator App bestätigen

Grüsse
Andres Bohren

posted @ Thursday, April 8, 2021 1:54 PM | Filed Under [ O365 Azure ]

Testbericht Nanlite PavoTube für Teams Meetings

Hallo zusammen,

Ich habe mir Anfangs Februar eine zusätzliche Beleuchtung für die Teams Besprechungen gekauft. Meine Wahl ist auf eine Nanlite PavoTube II 6C gefallen. Dieser Leuchtstab kostet knapp 100 Franken.

Nebst der Leuchte ist eine Stoffhülle, ein Bändel mit dem gägigen 1/4" Gewinde, einem USB Kabel und der Bedienungsanleitung. Ausserdem sind zwei kleine Metallplättchen dabei, welche irgendwo aufgeklebt werden können und dann die Leuchte magnetisch festhalten.

An beiden Seiten der Leuchte befinden sich die Gewinde für ein Stativ oder eben den Bändel anzubringen.

Ich benutze die Leuchte meist mit einer Farbtemperatur von ca 3000K und 25-30% laufen.

Ich kann die Leuchte ohne die Plättchen oben auf meinen Monitor stellen.

Ohne Beleuchtung

Mit Beleuchtung ist mein Gesicht viel Besser ausgeleuchtet.

Fazit:

Ich finde die Leuchte in Ordnung. Schade dass der Akku nur etwa zwei bis drei Stunden durchhält. Danach muss die Leuchte wieder geladen werden. Deshalb würde ich mir diese Leuchte wohl nicht nochmals anschaffen.

Liebe Grüsse
Andres Bohren

posted @ Thursday, April 8, 2021 10:46 AM | Filed Under [ Hardware Teams ]

Updated Software Kuando Busylight for Microsoft Teams

Hallo zusammen,

Ich habe eine Benachrictigung erhalten, dass die neue Version 2.1.0 vom Kuando Busylight von Plenom veröffentlicht wurde. Die Software kann man hier herunterladen https://www.plenom.com/downloads/download-software/

Man lädt ein ZIP File herunter, welches die *.msi Installationsfiles für x86 und x64 enthält

Das Menü hat nun deutlich mehr zu bieten als noch vor einem Jahr. Da werden nun in Teams die Benachrichtigungen ebenfalls akustisch und mit einem Blinken dargestellt.

Grüsse
Andres Bohren

posted @ Thursday, April 8, 2021 9:23 AM | Filed Under [ Teams ]

Wednesday, April 7, 2021

Microsoft Viva Insights in Microsoft Teams

Hallo zusammen,

Microsoft Viva besteht aus vier Komponenten. In diesem Artikel zeige ich euch, wie man die Insights in Microsoft Teams aktiviert.

Introducing Microsoft Viva, the Employee Experience Platform in Microsoft Teams
https://techcommunity.microsoft.com/t5/microsoft-teams-blog/introducing-microsoft-viva-the-employee-experience-platform-in/ba-p/2111481

  • Microsoft Viva Insights
  • Microsoft Viva Topics
  • Microsoft Viva Learning
  • Microsoft Viva Connections

In Teams links auf die drei Punkte klicken und dann auf "Weitere Apps" klicken.

In den Apps nach "Insights" suchen

Insights App hinzufügen

Anschliessend ist die Insights App Links im Menü verfügbar.

Das Teammitglied wird mir vorgeschlagen, weil ich im Active Directory als ihr Manager eingetragen bin

Man kann sich freie Timeslots im Kalender für Fokuszeit buchen lassen.

Fazit:

Im Prinzip ist das einfach die Teams Version von MyAnalytics.

Grüsse
Andres Bohren

posted @ Wednesday, April 7, 2021 3:49 PM | Filed Under [ Teams ]

PowerShell Module AzureADPreview 2.0.2.134 has been released

Hallo zusammen,

Vor ein paar Tagen wurde das AzureADPreview 2.0.2.134 Module veröffentlicht.

Get-Module AzureADPreview -ListAvailable
Find-Module AzureADPreview

Um das Modul zu installieren, muss man die PowerShell als Administrator starten. Damit nicht das PowerShell Profile geladen wird starte ich das aus einem CMD welches als Administrator gestartet wurde

start PowerShell -noprofile -nologo

Dann wird zuerst das alte Modul deinstalliert

Uninstall-Module AzureADPreview

Nun kann das neue Modul installiert werden

Install-Module AzureADPreview
Get-Module AzureADPreview -ListAvailable

Grüsse
Andres Bohren

posted @ Wednesday, April 7, 2021 12:30 PM | Filed Under [ O365 Azure ]

Tuesday, April 6, 2021

Be careful with the EwsAllowList / EwsBlockList in Exchange OrganizationConfig

Hallo zusammen,

Vor ein paar Wochen habe ich ein bisschen mit der EwsAllowList / EwsBlockList in der Exchange OrganizationConfig herumgespielt.

Setzt man einen Wert (User Agent) in die EwsBlockList, so ist alles erlaubt, ausser dieser UserAgent. Setzt man einen Wert (User Agent) in die EwsAllowList, so ist nur dieser UserAgent erlaubt, alles andere ist nicht erlaubt.

Set-OrganizationConfig

https://docs.microsoft.com/en-us/powershell/module/exchange/set-organizationconfig?view=exchange-ps

Get-OrganizationConfig | fl *ews*

Der Anbieter eines 3rd Party Kalender Displays für Meeting Rooms hat das ganz gut zusammengefasst.

How to Limit Third-Party Application Access to Exchange & Office 365 Services via EwsApplicationAccessPolicy, EnforceAllowList, and EnforceBlockList

https://blog.meetingroom365.com/how-to-limit-third-party-application-access-to-exchange-office-365-services-via-ewsapplicationaccesspolicy-enforceallowlist-and-enforceblocklist/

Set-OrganizationConfig -EwsAllowList @{add='MeetingRoom365/*'}

Get-OrganizationConfig | fl *ews*

Danach habe ich mich versucht über ein PowerShell Script und der EWS Managed API mit meiner Mailbox zu verbinden.

Hinweis: Dafür muss Basic Auth in der Conditional Access Policy für diesen User zugelassen sein und die Authentication Policy muss dies ebenfalls für diese Mailbox erlauben

In den Azure AD Sign-ins findet man zwar die Anmeldung, aber nicht, dass es wegen der EwsAllowList nicht geklappt hat. Aber man findet dort den UserAgent: ExchangeServicesClient/15.00.0913.015

Also tragen wir den mal ein

Set-OrganizationConfig -EwsAllowList @{add='ExchangeServicesClient/*'}

Get-OrganizationConfig | fl *ews*

Nun klappt die Abfrage der Folder mit dem PowerShell und der EWS Managed API.

Allerdings habe ich dann festgestellt, dass beim Teams im WebBrowser der Kalender nicht mehr funktioniert.

Und auch auf dem Teams Desktop Client war der Kalender verschwunden.

Dann bin ich auf folgenden Artikel gestossen, da sind mehrere UserAgents angegeben, welche freigeschaltet werden müssen.

 

Troubleshoot Microsoft Teams and Exchange Server interaction issues

https://docs.microsoft.com/en-us/microsoftteams/troubleshoot/known-issues/teams-exchange-interaction-issue

Set-OrganizationConfig -EwsAllowList @{Add="MicrosoftNinja/*","*Teams/*","SkypeSpaces/*"}
Set-OrganizationConfig -EwsAllowList @{Add="*SchedulingService*"}
Set-OrganizationConfig -EwsAllowList @{Add="*Microsoft.Skype.Presence.App/*"}

Leider sieht man in den AzureAD Sign-Ins unter dem Filter "Exchange Web Services" nur Legacy Authentications. Nicht aber Clients mit Modern Authentication.

Einige alte Office Versionen melden sich ja auch noch mit Legacy Auth an und auf die Exchange Web Services greifen alle Outlook Versionen zu.

Folglich müssen da ganz viele UserAgents freigeschaltet werden.

#Change

Get-OrganizationConfig | fl *ews*

Set-OrganizationConfig -EwsAllowList @{Add="MicrosoftNinja/*"}

Set-OrganizationConfig -EwsAllowList @{Add="*Teams/*"}

Set-OrganizationConfig -EwsAllowList @{Add="*SchedulingService*"}

Set-OrganizationConfig -EwsAllowList @{Add="SkypeSpaces/*"}

Set-OrganizationConfig -EwsAllowList @{Add="UCCAPI/*"}

Set-OrganizationConfig -EwsAllowList @{Add="OC/*"}

Set-OrganizationConfig -EwsAllowList @{Add="*Microsoft.Skype.Presence.App/*"}

Set-OrganizationConfig -EwsAllowList @{Add="Outlook-Android/*"}

Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*"}

Set-OrganizationConfig -EwsAllowList @{Add="Microsoft Office/*"}

Set-OrganizationConfig -EwsAllowList @{Add="Microsoft+Office/*"}

Set-OrganizationConfig -EwsAllowList @{Add='ExchangeServicesClient/*'}

#Set-OrganizationConfig -EwsAllowList @{Remove='ExchangeServicesClient/*'}

Set-OrganizationConfig -EwsAllowOutlook $true

Fazit:

Es gibt zwar eine Möglichkeit hier EWS Applikationen anhand von UserAgents zuzulassen oder zu blockieren. Das Troubleshooting dazu ist aber sehr schwierig bis unmöglich.

Ausserdem habe ich einige Applikationen gesehen, welche wie ich das EWS Managed API mit dem UserAgent "ExchangeServicesClient/*" benutzen. Da wird es schwierig, einzelne Applikationen zu blockieren, wenn sie keinen eindeutigen UserAgent haben.

Aus diesen Gründen würde ich hier eher empfehlen die Finger davon zu lassen und auf MFA und Azure AD Application Authentication zu setzen.

Grüsse
Andres Bohren

posted @ Tuesday, April 6, 2021 11:48 PM | Filed Under [ Exchange O365 ]

Sender Rewriting Scheme (SRS) in Exchange Online

Hallo zusammen,

Kürzlich habe ich mich mit dem Sender Rewriting Scheme (SRS) auseinandergesetzt. In diesem Artikel beschreibe ich meine Erkenntnisse.

Bisschen schade ist, dass Microsoft vom "P1 From" spricht. Erklärt dann aber, dass es sich um das Envelope From handelt.

Sender Rewriting Scheme (SRS) in Office 365
https://docs.microsoft.com/en-us/office365/troubleshoot/antispam/sender-rewriting-scheme

Sender Rewriting Scheme (SRS) coming to Office 365 (06-15-2018)
https://techcommunity.microsoft.com/t5/exchange-team-blog/sender-rewriting-scheme-srs-coming-to-office-365/bc-p/2237609#M30033

Sender Rewriting Scheme
https://en.wikipedia.org/wiki/Sender_Rewriting_Scheme

Grundlagen

Emails sind wie bei einem Brief aufgebaut. Es gibt den Umschlag mit Absender und Empfänger. Das ist das, was der Postbote oder eben der Mailserver für die Zustellung benutzt. Gegenüber dieser Absenderadresse wird dann auch der SPF Record (Sender Policy Framework) geprüft.

Dann gibt es noch den Brief oder eben den Header. Das ist der Absender und Empfänger im Briefkopf oder eben das, was der Mailclient (beispielsweise Outlook) darstellt.

Konkret sind die folgenden Attribute für den Umschlag (also für den Mailserver)

mail from:
rcpt to:
Die folgenden Attribute werden vom Mailclient benutzt (beispielsweise Outlook)
From:
To:
Reply-To:

Bildquelle: https://www.proofpoint.com/de/corporate-blog/post/how-does-email-spoofing-work-and-why-it-so-easy

Tests mit Exchange Online

Ich habe das ganze mal mit Exchange Online geprüft und die verschiedenen Arten von Weiterleitungen ausprobiert.

SMTP Forwarding

Als erstes habe ich das SMTP Forwarding gesetzt

Set-Mailbox m.muster@icewolf.ch -ForwardingSMTPAddress "smtp:andres.bohren@isolutions.ch"
Get-Mailbox m.muster@icewolf.ch | fl *Forward*

Authentication-Results: spf=pass (sender IP is 40.107.13.129)
 smtp.mailfrom=icewolf.ch; isolutions.ch; dkim=pass (signature was verified)
 header.d=icewolfch.onmicrosoft.com;isolutions.ch; dmarc=fail action=none
 header.from=isolutions.ch;compauth=pass reason=130
From: Andres Bohren <Andres.Bohren@isolutions.ch>
To: "m.muster@icewolf.ch" <m.muster@icewolf.ch>
Subject: Forward SMTP
Return-Path: Max.Muster@icewolf.ch

Forwarding mit MailContact

Get-Contact -Identity aboIsol | fl Identity, RecipientTypeDetails, WindowsEmailAddress
Set-Mailbox m.muster@icewolf.ch -ForwardingAddress aboIsol -ForwardingSMTPAddress $Null

Authentication-Results: spf=pass (sender IP is 40.107.8.100)
 smtp.mailfrom=icewolf.ch; isolutions.ch; dkim=pass (signature was verified)
 header.d=icewolfch.onmicrosoft.com;isolutions.ch; dmarc=fail action=none
 header.from=isolutions.ch;compauth=pass reason=130
From: Andres Bohren <Andres.Bohren@isolutions.ch>
To: "m.muster@icewolf.ch" <m.muster@icewolf.ch>
Subject: Forward to Mailcontact
Return-Path: Max.Muster@icewolf.ch

Weiterleitung über Exchange Transport Rule

Zuerst müssen natürlich mal die bestehenden Forwardings gelöscht werden.

Set-Mailbox m.muster@icewolf.ch -ForwardingAddress $null -ForwardingSMTPAddress $null
Get-Mailbox m.muster@icewolf.ch | fl *Forward*

Dann habe ich eine Exchange Transport Regel erfasst

Hier wird der SRS Header im Return-Path gesetzt. Allerdings sind maximal 600 Transport Rules möglich.

Authentication-Results: spf=pass (sender IP is 40.107.4.120)
 smtp.mailfrom=icewolfch.onmicrosoft.com; isolutions.ch; dkim=pass (signature
 was verified) header.d=icewolfch.onmicrosoft.com;isolutions.ch; dmarc=fail
 action=none header.from=isolutions.ch;compauth=pass reason=130
From: Andres Bohren <Andres.Bohren@isolutions.ch>
To: "m.muster@icewolf.ch" <m.muster@icewolf.ch>
Subject: Forward Transport Rule
Return-Path: bounces+SRS=DvlLD=JD@icewolfch.onmicrosoft.com

Weiterleitung über eine Verteilerliste mit externen Teilnehmern

Ich habe eine Verteilerliste erstellt mit dem externen Mail User als Mitglied

Damit ich von Extern an die Verteilerliste senden kann, muss man dies noch hier einstellen

Auch hier wird der SRS Header im Return-Path gesetzt.

Authentication-Results: spf=pass (sender IP is 40.107.13.97)
 smtp.mailfrom=icewolfch.onmicrosoft.com; isolutions.ch; dkim=pass (signature
 was verified) header.d=icewolfch.onmicrosoft.com;isolutions.ch; dmarc=fail
 action=none header.from=isolutions.ch;compauth=pass reason=130
From: Andres Bohren <Andres.Bohren@isolutions.ch>
To: "GroupWithExternalMembers@icewolf.ch"
 <GroupWithExternalMembers@icewolf.ch>
Subject: Test Forwarding Group 3
Return-Path: bounces+SRS=DvlLD=JD@icewolfch.onmicrosoft.com

Outlook Regeln

Das Forwarding mit den Outlook Regeln hat nicht geklappt, wie man auf den folgenden Screenshots sehen kann

Fazit

Wie ich in meinen Tests festgestellt habe, wird der SRS Header nur bei den Transport Rules und den Verteilerlisten gesetzt. Bei der SMTP und MailContact/MailUser Weiterleitung wird der Header schon anderweitig umgeschrieben, so dass SRS nicht mehr notwendig ist.

Man kann dazu absolut nichts konfigurieren. Funktioniert einfach so out of the Box. Aber dann doch nicht ganz so, wie in den beiden ersten Links beschrieben.

Liebe Grüsse
Andres Bohren

posted @ Tuesday, April 6, 2021 3:29 PM | Filed Under [ Exchange O365 ]

Powered by:
Powered By Subtext Powered By ASP.NET