blog.icewolf.ch

Let's talk about IT!
posts - 1616, comments - 295, trackbacks - 0

My Links

Archives

Post Categories

icewolf

Azure

Azure
Privileged Identity Management

Hallo zusammen, Den meisten dürfte der Ausdruck "Least Privilege" bekannt sein. Dabei geht es darum, nur die für die Arbeit benötigten Berechtigungen zu besitzen und nicht mehr. Normalerweise werden dazu RBAC Rollen angelegt und der Account zu dieser Gruppe hinzugefügt. Privileged Identity Management geht hier noch einen Schritt weiter, bei dem es Möglich ist, gewisse Rechte nur temporär zu aktivieren und nicht permanent zugewiesen zu haben. Das alles führt dazu, dass die Angriffsfläche kleiner wird und damit Risiko sinkt. Es können M365 und Azure Rollen darüber verwaltet werden. What is Azure AD Privileged Identity Management? https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/pim-configure#:~:text=Privileged%20Identity%20Management%20(PIM)%20is,Microsoft%20365%20or%20Microsoft%20Intune.   Deploy Azure AD Privileged Identity Management (PIM) https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/pim-deployment-plan Man benötigt dazu...

posted @ Tuesday, October 20, 2020 10:42 PM | Filed Under [ Security O365 Azure ]

AAD Connect and Conditional Access Error

Hallo zusammen, Als ich mich gestern ins M365 Admin Center eingeloggt habe, wurde ich von einer Fehlermeldung vom Azure AD Connect (AAD Connect) begrüsst. Die Synchronisierung zwischen dem lokalen Active Directory und dem Azure Active Directory funktioniert nicht mehr. Also habe ich mich kurz auf dem Server eingeloggt, wo AAD Connect installiert ist und einen Sync Versuch gestartet Start-ADSyncSyncCycle -PolicyType delta Das wurde aber mit heftigen Fehlermeldungen beantwortet Start-ADSyncSyncCycle : System.Management.Automation.CmdletInvocationException: System.InvalidOperationException: Showing a modal dialog box or form when the application is not running in UserInteractive mode is not a valid operation. Specify the Service Notification or DefaultDesktopOnly style to display a notification from a...

posted @ Tuesday, October 06, 2020 8:36 AM | Filed Under [ O365 Azure ]

How Identity Protection blocked Skype for Business Sign-In

Hallo zusammen, Kürzlich hatte ich einen interessanten Fall. Ein Benutzer konnte sich mit Skype for Business bei Microsoft 365 nicht mehr anmelden. Alle anderen Office 365 Applikationen (Office, SharePoint, Teams) haben einwandfrei funktioniert. Das sieht man auch im Azure Active Directory unter Sign-ins beim User. Ausserdem sieht den Sign-in Error Code und den Grund Was der Code genau bedeutet kann man hier rausfinden https://login.microsoftonline.com/error Dort gibt es gleich auch den Hinweis, wie man einen User wieder unblocken kann https://docs.microsoft.com/azure/active-directory/identity-protection/howto-unblock-user Das Problem war, dass die Identity Protection ein Risky Sign-In festgestellt hat. Tipp: Bei der Anfrage den Username in den Filter aufnehmen Grüsse Andres Bohren

posted @ Sunday, September 06, 2020 11:07 AM | Filed Under [ O365 Azure ]

Setup SendGrid Mail Service in Azure

Hallo zusammen, In diesem Blogbeitrag beschreibe ich, wie man einen SendGrid Account in Azure aufsetzt um Mails Script zu versenden. How to Send Email Using SendGrid with Azure https://docs.microsoft.com/en-us/azure/sendgrid-dotnet-how-to-send-email In einer bestehenden Subscription in einer Resourcegroup auf "+ Add" klicken. Im Suchfeld dann "SendGrid" eingeben Nun auf "Create" klicken. Wie man sieht, können bis zu 25'000 Mails pro Monat gratis versendet werden. Nun müssen einige Informationen eingegeben werden. Die Email welche hier angegeben wird, muss später den Account verifizieren. Nachdem die Resource in Azure erstellt wurde, kann man direkt zum Objekt. Um SendGrid zu verwalten muss man oben auf "Manage" klicken. Dort landet man auf der https://app.sendgrid.com/ Website ohne sich nochmals...

posted @ Friday, August 21, 2020 3:59 PM | Filed Under [ Azure ]

Azure Active Directory My Staff (Preview)

Hallo zusammen, Kürzlich habe ich mir mal "My Staff" angeschaut. Dazu habe ich mir ein paar Screenshots zur Erklärung gemacht. Manage your users with My Staff (preview) https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/my-staff-configure Das Setting muss in den "User feature Previews" aktiviert werden. Ich habe "Selected" ausgewählt und eine Gruppe ausgewählt in der ich Mitglied bin. Das ganze basiert auf den Azure Active Directory Administrative Units - darüber habe ich bereits in folgendem Blog Artikel berichtet http://blog.icewolf.ch/archive/2020/04/24/azure-active-directory-administrative-units-preview.aspx In der "TestOU" befinden sich zwei Accounts. Ein CloudOnly Account und ein mit AAD Connect synchronisierter Account aus dem lokalen Active Directory. Der delegierte Admin kann also nur das Passwort und die Telefonnummer anpassen. Grüsse Andres Bohren

posted @ Monday, August 17, 2020 10:22 PM | Filed Under [ Azure ]

How AAD Connect calculates ImmutableId

Hallo zusammen, Wie die ImmutableId vom AAD Objekt mit dem synchronisierten Objekt im Active Directory zusammenhängt, habe ich in untenstehender Grafik versucht zu verdeutlichen. Aber alles mal der Reihe nach.... Bis zur Version 1.1.486.0 wurde von AAD Connect das AD Attribut objectGUID als sourceAnchor verwendet. Ab der Version 1.1.542.0 und später wird das AD Attribut ms-DS-ConsistencyGuid als sourceAnchor verwendet. Beim Upgrade gab es ein entsprechendes Prozedere um den sourceAnchor anzupassen. Azure AD Connect: Design concepts https://docs.microsoft.com/en-us/azure/active-directory/hybrid/plan-connect-design-concepts Wir schauen uns mal die objectGUID von meinem Active Directory User Objekt an. In der HEX Ansicht sieht das so aus Wir vergleichen das mit dem AD Attribut ms-DS-ConsistencyGuid ebenfalls in...

posted @ Saturday, July 18, 2020 10:40 AM | Filed Under [ O365 Azure ]

Azure Storage / Azure Storage Explorer / AzCopy

Hallo zusammen, In diesem Blog Artikel habe ich mich etwas mit Azure Storage, dem Azure Storage Explorer und dem Command Line Tool AzCopy befasst. Erstellen vom Azure Storage Account In den folgenden Screenshots wird der Storage Account im Azure Portal erstellt https://portal.azure.com Azure Storage Explorer Azure Storage Explorer https://azure.microsoft.com/en-us/features/storage-explorer/ Ist schon eine Weile her, dass ich den Storage Explorer das letzte mal benutzt habe. Da hat sich einigest getan. Man kann sich mit verschiedenen Möglichkeiten einloggen. Ich habe mich dafür entschieden, das Azure Konto hinzuzufügen. Habe dann einen Container "icewolf-container" hizugefügt. Dann kann man ein File hochladen. Nach dem Hochladen kann man sich den AzCopy Befehl herunterladen. Im Azure Portal...

posted @ Wednesday, July 15, 2020 11:11 PM | Filed Under [ Azure ]

Microsoft Azure Active Directory Connect 1.5.42.0 (Import/Export Preview)

Hallo zusammen, Erst vor ein paar Tagen ist eine neue Version vom AAD Connect veröffentlicht worden. Neu ist dabei, dass man die Konfiguration als JSON exportieren und importieren kann. Das ist allerdings erst im Preview. Azure AD Connect: Version release history https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history Microsoft Azure Active Directory Connect 1.5.42.0 https://www.microsoft.com/en-us/download/details.aspx?id=47594 Danach kann man im M365 Admin Portal prüfen ob der Sync immer noch funktioniert und die neue Version angezeigt wird. https://admin.microsoft.com/AdminPortal/Home#/dirsyncmanagement Wie bereits erwähnt, kann man die AAD Connect Konfiguration als JSON Exportieren. Importing and exporting Azure AD Connect configuration settings (Public Preview) https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-import-export-config Das File befindet sich dann hier: C:\ProgramData\AADConnect Grüsse Andres Bohren

posted @ Tuesday, July 14, 2020 11:12 PM | Filed Under [ O365 Azure ]

Visual Studio Code and Azure DevOps Repo

Hallo zusammen, Kürzlich habe ich einen Blog Artikel geschrieben, wie man mit Visual Studio Code ein Version Control Repository in GitHub verwaltet. In diesem Artikel zeige ich euch Azure DevOps und wie man hier Code in einem Repository verwalten kann. Für die ersten fünf Benutzer ist Azure DevOps kostenlos. Danach kostet der Basci Plan 5.91 pro Benutzer und Monat. Für meine Zwecke reicht der Basis Plan. https://azure.microsoft.com/de-de/pricing/details/devops/azure-devops-services/ Nun muss man die Region auswählen Der Organisation einen Namen vergeben - ich übernehme den Vorschlag Die DevOps Organisation ist vorbereitet. Nun kann man ein Projekt erstellen. Ich erstelle ein privates Projekt um dort Code zu verwalten. Es gibt aber noch...

posted @ Sunday, July 12, 2020 8:51 AM | Filed Under [ Powershell Azure ]

Get SamAccountName from Azure Active Directory by PowerShell

Hallo zusammen, Für ein Projekt musste ich aus dem Azure Active Directory den SamAccountName auslesen. Das Problem ist nur, dass dieses Property nicht so einfach über die PowerShell Module abgefragt werden kann. Hier das Beispiel vom MSOnline Modul Get-MsolUser -UserPrincipalName a.bohren@icewolf.ch | fl Auch beim PowerShell Modul AzureAD gibt es dieses Property nicht. Get-AzureADUser -SearchString "a.bohren@icewolf.ch" | fl Man kann dies jedoch über den Graph Explorer, sprich über das Graph API abfragen. https://graph.microsoft.com/v1.0/users/a.bohren@icewolf.ch?$select=userPrincipalName,onPremisesSamAccountName Um das ganze mit PowerShell abzufragen braucht es eine App Registration im Azure AD. Dort benötigt man das "User.Read.All" recht und einen Admin Consent.  Mit folgendem Code holt man sich den Accesstoken $AppId = '449e6fed-e858-437e-ba9f-769773106786' $AppSecret = 'geheimesAppSecret' $Scope...

posted @ Monday, June 22, 2020 11:23 PM | Filed Under [ Powershell Azure ]

Full Azure Archive

Powered by:
Powered By Subtext Powered By ASP.NET