Wednesday, April 14, 2021
Hallo zusammen,
Es gibt wieder ein Security Update für Exchange Server 2016 CU20.
Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: April 13, 2021 (KB5001779)
https://support.microsoft.com/de-de/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-april-13-2021-kb5001779-8e08f3b3-fc7b-466c-bbb7-5d5aa16ef064
Security Update For Exchange Server 2016 CU20 (KB5001779)
https://www.microsoft.com/en-us/download/details.aspx?id=103002
Grüsse
Andres Bohren
Saturday, April 10, 2021
Hallo zusammen,
Vor zwei Tagen wurde die x64 Version von OneDrive im Public Preview angekündigt
OneDrive sync 64-bit for Windows now in public preview
https://techcommunity.microsoft.com/t5/microsoft-onedrive-blog/onedrive-sync-64-bit-for-windows-now-in-public-preview/bc-p/2264939
Ich habe mir die Version heruntergeladen und installiert. Bei der Installation wird OneDrive kurz gestoppt und danach wieder gestartet.
Eigentlich sollte danach in den Einstellungen bei der Version danach x64 stehen. Scheint aber ein GUI Bug zu sein, wenn die Systemsprache nicht Englisch ist.
Schaut man sich die Exe im Sysinternals Prozessexplorer an, so sieht man, dass es sich um die x64 Variante handelt
Grüsse
Andres Bohren
Thursday, April 8, 2021
Hallo zusammen,
Als ich wieder ein paar Screenshots von meinem Android Smartphone machen wollte, habe ich mich gefragt, ob es nicht einfacher geht, als ich das Zurzeit mache. Screenshots machen und dann auf OneDrive hochladen.
Habe dann eine Anleitung gefunden und das ausprobiert. Einfach in Windows 10 unter Optional Features "Wireless Display" installieren.
Danach die Connect App öffnen
Der Computer und das Android Smartphone muss sich natürlich im selben WLAN befinden.
Auf dem Smartphone "Drathlos Projektion" aktivieren
Und den Computernamen auswählen
Den Wizard kann man überspringen
Nun wird das Display per WLAN auf den Computer gestreamt
Der Authenticator lässt das jedoch nicht standardmässig zu. Erst wenn man "Bildschirmerfassung" aktiviert und die Authenticator App neu startet.
Siehe da, nun klappt es auch mit dem Authenticator
Liebe Grüsse
Andres Bohren
Hallo zusammen,
Ich habe mir mal das Login ohne Passwort mit der Authenticatior App angeschaut.
Enable passwordless sign-in with the Microsoft Authenticator app
https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-phone
Im Azure AD Portal unter Security muss man die Authentication Methods auswählen. Dort die Authenticator App markieren und bei den drei punkten auf "Configure" klicken.
Ich habe Number Matching aktiviert
Bei der Authentication Method stehen "Any, Passwordless oder Push" zur Verfügung.
Ich habe hier Passwordless ausgewählt.
$
Danach muss das ganze gespeichert werden
In der Authenticator App nun "Anmeldung per Telefon einrichten" auf dem entsprechenden Konto auswählen
Dann werden die Prüfungen durchgeführt
Man muss sich anmelden und es erfolgt eine MFA abfrage (stellt bitte vorher sicher, dass die Combined Security info Registration erfolgreich abgeschlossen ist)
Mein Smartphone ist noch nicht im Azure AD als Device registriert
Das kann man in den Einstellungen der Authenticator App erledigen
Auch hier muss man sich mit MFA anmelden
Danach kann die Passwortlose Anmeldung konfiguriert werden
So sieht es aus, wenn alles erfolgreich eingerichtet ist
Wie man sieht ist das Device in Azure AD registriert
Nun Teste ich das ganze mit einem Browser Login auf https://office.com. Nach dem Eingeben vom Benutzernamen wähle ich "Stattessen die App verwenden" aus.
Nun wird mir eine Nummer angezeigt
Diese muss ich nun auf der Authenticator App bestätigen
Grüsse
Andres Bohren
Hallo zusammen,
Ich habe mir Anfangs Februar eine zusätzliche Beleuchtung für die Teams Besprechungen gekauft. Meine Wahl ist auf eine Nanlite PavoTube II 6C gefallen. Dieser Leuchtstab kostet knapp 100 Franken.
Nebst der Leuchte ist eine Stoffhülle, ein Bändel mit dem gägigen 1/4" Gewinde, einem USB Kabel und der Bedienungsanleitung. Ausserdem sind zwei kleine Metallplättchen dabei, welche irgendwo aufgeklebt werden können und dann die Leuchte magnetisch festhalten.
An beiden Seiten der Leuchte befinden sich die Gewinde für ein Stativ oder eben den Bändel anzubringen.
Ich benutze die Leuchte meist mit einer Farbtemperatur von ca 3000K und 25-30% laufen.
Ich kann die Leuchte ohne die Plättchen oben auf meinen Monitor stellen.
Ohne Beleuchtung
Mit Beleuchtung ist mein Gesicht viel Besser ausgeleuchtet.
Fazit:
Ich finde die Leuchte in Ordnung. Schade dass der Akku nur etwa zwei bis drei Stunden durchhält. Danach muss die Leuchte wieder geladen werden. Deshalb würde ich mir diese Leuchte wohl nicht nochmals anschaffen.
Liebe Grüsse
Andres Bohren
Hallo zusammen,
Ich habe eine Benachrictigung erhalten, dass die neue Version 2.1.0 vom Kuando Busylight von Plenom veröffentlicht wurde. Die Software kann man hier herunterladen https://www.plenom.com/downloads/download-software/
Man lädt ein ZIP File herunter, welches die *.msi Installationsfiles für x86 und x64 enthält
Das Menü hat nun deutlich mehr zu bieten als noch vor einem Jahr. Da werden nun in Teams die Benachrichtigungen ebenfalls akustisch und mit einem Blinken dargestellt.
Grüsse
Andres Bohren
Wednesday, April 7, 2021
Hallo zusammen,
Microsoft Viva besteht aus vier Komponenten. In diesem Artikel zeige ich euch, wie man die Insights in Microsoft Teams aktiviert.
Introducing Microsoft Viva, the Employee Experience Platform in Microsoft Teams
https://techcommunity.microsoft.com/t5/microsoft-teams-blog/introducing-microsoft-viva-the-employee-experience-platform-in/ba-p/2111481
- Microsoft Viva Insights
- Microsoft Viva Topics
- Microsoft Viva Learning
- Microsoft Viva Connections
In Teams links auf die drei Punkte klicken und dann auf "Weitere Apps" klicken.
In den Apps nach "Insights" suchen
Insights App hinzufügen
Anschliessend ist die Insights App Links im Menü verfügbar.
Das Teammitglied wird mir vorgeschlagen, weil ich im Active Directory als ihr Manager eingetragen bin
Man kann sich freie Timeslots im Kalender für Fokuszeit buchen lassen.
Fazit:
Im Prinzip ist das einfach die Teams Version von MyAnalytics.
Grüsse
Andres Bohren
Hallo zusammen,
Vor ein paar Tagen wurde das AzureADPreview 2.0.2.134 Module veröffentlicht.
Get-Module AzureADPreview -ListAvailable
Find-Module AzureADPreview
Um das Modul zu installieren, muss man die PowerShell als Administrator starten. Damit nicht das PowerShell Profile geladen wird starte ich das aus einem CMD welches als Administrator gestartet wurde
start PowerShell -noprofile -nologo
Dann wird zuerst das alte Modul deinstalliert
Uninstall-Module AzureADPreview
Nun kann das neue Modul installiert werden
Install-Module AzureADPreview
Get-Module AzureADPreview -ListAvailable
Grüsse
Andres Bohren
Tuesday, April 6, 2021
Hallo zusammen,
Vor ein paar Wochen habe ich ein bisschen mit der EwsAllowList / EwsBlockList in der Exchange OrganizationConfig herumgespielt.
Setzt man einen Wert (User Agent) in die EwsBlockList, so ist alles erlaubt, ausser dieser UserAgent. Setzt man einen Wert (User Agent) in die EwsAllowList, so ist nur dieser UserAgent erlaubt, alles andere ist nicht erlaubt.
Set-OrganizationConfig
https://docs.microsoft.com/en-us/powershell/module/exchange/set-organizationconfig?view=exchange-ps
Get-OrganizationConfig | fl *ews*
Der Anbieter eines 3rd Party Kalender Displays für Meeting Rooms hat das ganz gut zusammengefasst.
How to Limit Third-Party Application Access to Exchange & Office 365 Services via EwsApplicationAccessPolicy, EnforceAllowList, and EnforceBlockList
https://blog.meetingroom365.com/how-to-limit-third-party-application-access-to-exchange-office-365-services-via-ewsapplicationaccesspolicy-enforceallowlist-and-enforceblocklist/
Set-OrganizationConfig -EwsAllowList @{add='MeetingRoom365/*'}
Get-OrganizationConfig | fl *ews*
Danach habe ich mich versucht über ein PowerShell Script und der EWS Managed API mit meiner Mailbox zu verbinden.
Hinweis: Dafür muss Basic Auth in der Conditional Access Policy für diesen User zugelassen sein und die Authentication Policy muss dies ebenfalls für diese Mailbox erlauben
In den Azure AD Sign-ins findet man zwar die Anmeldung, aber nicht, dass es wegen der EwsAllowList nicht geklappt hat. Aber man findet dort den UserAgent: ExchangeServicesClient/15.00.0913.015
Also tragen wir den mal ein
Set-OrganizationConfig -EwsAllowList @{add='ExchangeServicesClient/*'}
Get-OrganizationConfig | fl *ews*
Nun klappt die Abfrage der Folder mit dem PowerShell und der EWS Managed API.
Allerdings habe ich dann festgestellt, dass beim Teams im WebBrowser der Kalender nicht mehr funktioniert.
Und auch auf dem Teams Desktop Client war der Kalender verschwunden.
Dann bin ich auf folgenden Artikel gestossen, da sind mehrere UserAgents angegeben, welche freigeschaltet werden müssen.
Troubleshoot Microsoft Teams and Exchange Server interaction issues
https://docs.microsoft.com/en-us/microsoftteams/troubleshoot/known-issues/teams-exchange-interaction-issue
Set-OrganizationConfig -EwsAllowList @{Add="MicrosoftNinja/*","*Teams/*","SkypeSpaces/*"}
Set-OrganizationConfig -EwsAllowList @{Add="*SchedulingService*"}
Set-OrganizationConfig -EwsAllowList @{Add="*Microsoft.Skype.Presence.App/*"}
Leider sieht man in den AzureAD Sign-Ins unter dem Filter "Exchange Web Services" nur Legacy Authentications. Nicht aber Clients mit Modern Authentication.
Einige alte Office Versionen melden sich ja auch noch mit Legacy Auth an und auf die Exchange Web Services greifen alle Outlook Versionen zu.
Folglich müssen da ganz viele UserAgents freigeschaltet werden.
#Change
Get-OrganizationConfig | fl *ews*
Set-OrganizationConfig -EwsAllowList @{Add="MicrosoftNinja/*"}
Set-OrganizationConfig -EwsAllowList @{Add="*Teams/*"}
Set-OrganizationConfig -EwsAllowList @{Add="*SchedulingService*"}
Set-OrganizationConfig -EwsAllowList @{Add="SkypeSpaces/*"}
Set-OrganizationConfig -EwsAllowList @{Add="UCCAPI/*"}
Set-OrganizationConfig -EwsAllowList @{Add="OC/*"}
Set-OrganizationConfig -EwsAllowList @{Add="*Microsoft.Skype.Presence.App/*"}
Set-OrganizationConfig -EwsAllowList @{Add="Outlook-Android/*"}
Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*"}
Set-OrganizationConfig -EwsAllowList @{Add="Microsoft Office/*"}
Set-OrganizationConfig -EwsAllowList @{Add="Microsoft+Office/*"}
Set-OrganizationConfig -EwsAllowList @{Add='ExchangeServicesClient/*'}
#Set-OrganizationConfig -EwsAllowList @{Remove='ExchangeServicesClient/*'}
Set-OrganizationConfig -EwsAllowOutlook $true
Fazit:
Es gibt zwar eine Möglichkeit hier EWS Applikationen anhand von UserAgents zuzulassen oder zu blockieren. Das Troubleshooting dazu ist aber sehr schwierig bis unmöglich.
Ausserdem habe ich einige Applikationen gesehen, welche wie ich das EWS Managed API mit dem UserAgent "ExchangeServicesClient/*" benutzen. Da wird es schwierig, einzelne Applikationen zu blockieren, wenn sie keinen eindeutigen UserAgent haben.
Aus diesen Gründen würde ich hier eher empfehlen die Finger davon zu lassen und auf MFA und Azure AD Application Authentication zu setzen.
Grüsse
Andres Bohren
Hallo zusammen,
Kürzlich habe ich mich mit dem Sender Rewriting Scheme (SRS) auseinandergesetzt. In diesem Artikel beschreibe ich meine Erkenntnisse.
Bisschen schade ist, dass Microsoft vom "P1 From" spricht. Erklärt dann aber, dass es sich um das Envelope From handelt.
Sender Rewriting Scheme (SRS) in Office 365
https://docs.microsoft.com/en-us/office365/troubleshoot/antispam/sender-rewriting-scheme
Sender Rewriting Scheme (SRS) coming to Office 365 (06-15-2018)
https://techcommunity.microsoft.com/t5/exchange-team-blog/sender-rewriting-scheme-srs-coming-to-office-365/bc-p/2237609#M30033
Sender Rewriting Scheme
https://en.wikipedia.org/wiki/Sender_Rewriting_Scheme
Grundlagen
Emails sind wie bei einem Brief aufgebaut. Es gibt den Umschlag mit Absender und Empfänger. Das ist das, was der Postbote oder eben der Mailserver für die Zustellung benutzt. Gegenüber dieser Absenderadresse wird dann auch der SPF Record (Sender Policy Framework) geprüft.
Dann gibt es noch den Brief oder eben den Header. Das ist der Absender und Empfänger im Briefkopf oder eben das, was der Mailclient (beispielsweise Outlook) darstellt.
Konkret sind die folgenden Attribute für den Umschlag (also für den Mailserver)
mail from:
rcpt to:
Die folgenden Attribute werden vom Mailclient benutzt (beispielsweise Outlook)
From:
To:
Reply-To:
Bildquelle: https://www.proofpoint.com/de/corporate-blog/post/how-does-email-spoofing-work-and-why-it-so-easy
Tests mit Exchange Online
Ich habe das ganze mal mit Exchange Online geprüft und die verschiedenen Arten von Weiterleitungen ausprobiert.
SMTP Forwarding
Als erstes habe ich das SMTP Forwarding gesetzt
Set-Mailbox m.muster@icewolf.ch -ForwardingSMTPAddress "smtp:andres.bohren@isolutions.ch"
Get-Mailbox m.muster@icewolf.ch | fl *Forward*
Authentication-Results: spf=pass (sender IP is 40.107.13.129)
smtp.mailfrom=icewolf.ch; isolutions.ch; dkim=pass (signature was verified)
header.d=icewolfch.onmicrosoft.com;isolutions.ch; dmarc=fail action=none
header.from=isolutions.ch;compauth=pass reason=130
From: Andres Bohren <Andres.Bohren@isolutions.ch>
To: "m.muster@icewolf.ch" <m.muster@icewolf.ch>
Subject: Forward SMTP
Return-Path: Max.Muster@icewolf.ch
Forwarding mit MailContact
Get-Contact -Identity aboIsol | fl Identity, RecipientTypeDetails, WindowsEmailAddress
Set-Mailbox m.muster@icewolf.ch -ForwardingAddress aboIsol -ForwardingSMTPAddress $Null
Authentication-Results: spf=pass (sender IP is 40.107.8.100)
smtp.mailfrom=icewolf.ch; isolutions.ch; dkim=pass (signature was verified)
header.d=icewolfch.onmicrosoft.com;isolutions.ch; dmarc=fail action=none
header.from=isolutions.ch;compauth=pass reason=130
From: Andres Bohren <Andres.Bohren@isolutions.ch>
To: "m.muster@icewolf.ch" <m.muster@icewolf.ch>
Subject: Forward to Mailcontact
Return-Path: Max.Muster@icewolf.ch
Weiterleitung über Exchange Transport Rule
Zuerst müssen natürlich mal die bestehenden Forwardings gelöscht werden.
Set-Mailbox m.muster@icewolf.ch -ForwardingAddress $null -ForwardingSMTPAddress $null
Get-Mailbox m.muster@icewolf.ch | fl *Forward*
Dann habe ich eine Exchange Transport Regel erfasst
Hier wird der SRS Header im Return-Path gesetzt. Allerdings sind maximal 600 Transport Rules möglich.
Authentication-Results: spf=pass (sender IP is 40.107.4.120)
smtp.mailfrom=icewolfch.onmicrosoft.com; isolutions.ch; dkim=pass (signature
was verified) header.d=icewolfch.onmicrosoft.com;isolutions.ch; dmarc=fail
action=none header.from=isolutions.ch;compauth=pass reason=130
From: Andres Bohren <Andres.Bohren@isolutions.ch>
To: "m.muster@icewolf.ch" <m.muster@icewolf.ch>
Subject: Forward Transport Rule
Return-Path: bounces+SRS=DvlLD=JD@icewolfch.onmicrosoft.com
Weiterleitung über eine Verteilerliste mit externen Teilnehmern
Ich habe eine Verteilerliste erstellt mit dem externen Mail User als Mitglied
Damit ich von Extern an die Verteilerliste senden kann, muss man dies noch hier einstellen
Auch hier wird der SRS Header im Return-Path gesetzt.
Authentication-Results: spf=pass (sender IP is 40.107.13.97)
smtp.mailfrom=icewolfch.onmicrosoft.com; isolutions.ch; dkim=pass (signature
was verified) header.d=icewolfch.onmicrosoft.com;isolutions.ch; dmarc=fail
action=none header.from=isolutions.ch;compauth=pass reason=130
From: Andres Bohren <Andres.Bohren@isolutions.ch>
To: "GroupWithExternalMembers@icewolf.ch"
<GroupWithExternalMembers@icewolf.ch>
Subject: Test Forwarding Group 3
Return-Path: bounces+SRS=DvlLD=JD@icewolfch.onmicrosoft.com
Outlook Regeln
Das Forwarding mit den Outlook Regeln hat nicht geklappt, wie man auf den folgenden Screenshots sehen kann
Fazit
Wie ich in meinen Tests festgestellt habe, wird der SRS Header nur bei den Transport Rules und den Verteilerlisten gesetzt. Bei der SMTP und MailContact/MailUser Weiterleitung wird der Header schon anderweitig umgeschrieben, so dass SRS nicht mehr notwendig ist.
Man kann dazu absolut nichts konfigurieren. Funktioniert einfach so out of the Box. Aber dann doch nicht ganz so, wie in den beiden ersten Links beschrieben.
Liebe Grüsse
Andres Bohren