Friday, September 24, 2021
Hallo zusammen,
Ich habe kürzlich eine Präsentation zu Azure Arc-Enabled Servers gesehen. In diesem Blog Artikel probiere ich das selbst mal mit einem meiner OnPrem Server aus.
What is Azure Arc-enabled servers?
Damit wird ermöglicht, Server ausserhalb von Azure in Azure zu integrieren mit
- Azure Policy
- Azure Security Center
- Azure Sentinel
- Azure Automation
- Azure Automanage
- VM Extensions
- Azure Monitor
Nach "Servers - Azure Arc" suchen
Nun den Service erstellen
Ich fange erst mal klein mit einem Server an
Subscription, Resource Group, Region, Betriebssystem und Endpoint auswählen
Nun muss man auf "Register Server" klicken und das Script herunterladen.
Auf dem Server habe ich das Script mit einer PowerShell ausgeführt
Man muss sich mit einem Browser über ein DeviceLogin anmelden (das muss übrigens nicht mal auf dem Server selbst passieren) und den Code eingeben
Dann bei Azure anmelden
Und den Connect bestätigen
Wenn man nicht schnell genug ist (fürs die Screenshots der Dokumentation), wird ein neuer Code erstellt.
Nun ist mein OnPrem Server in Azure sichtbar
Für die Insights (Performance Dashboard) braucht es einen Log Analytics Workspace
Den Log Analytics Workspace lege ich vorher an
Nun kann der Log Analytics Workspace für die Insights ausgewählt werden.
Dauert dann 5 bis 10 Minuten, bis alles eingerichtet ist
Danach sieht man die Performance in den Insights
Grüsse
Andres Bohren
Hallo zusammen,
Sicher kennen einige von euch die folgende Website https://www.whatismytenantid.com/
Damit kann man anhand einer Domain herausfinden, ob diese Firma einen Azure Active Directory Tenant besitzt und damit vermutlich M365 einsetzt.
erhält man eine Guid zurück, handelt es sich dabei um die Azure AD Tenant ID
Diese TenantID sieht man auch im Azure Active Directory
Wie das mit PowerShell geht, zeige ich euch hier
#Get-TenantID with TenantName
$TenantName = "Icewolfch.onmicrosoft.com"
$TenantID = (Invoke-WebRequest https://login.windows.net/$TenantName/.well-known/openid-configuration|ConvertFrom-Json).token_endpoint.Split('/')[3]
$TenantID
#Get-TenantID with Domain
$Domain = "icewolf.ch"
$TenantID = (Invoke-WebRequest -UseBasicParsing https://login.windows.net/$($Domain)/.well-known/openid-configuration|ConvertFrom-Json).token_endpoint.Split('/')[3]
$TenantID
#OpenID Configuration
$OIDConfig =Invoke-WebRequest –URI "https://login.microsoftonline.com/$TenantID/v2.0/.well-known/openid-configuration"
$OIDConfig.Content | ConvertFrom-Json
Liebe Grüsse
Andres Bohren
Thursday, September 23, 2021
Hallo zusammen,
Kürzlich wurde ein Patch für VMware vCenter veröffentlicht.
Workaround Instructions for CVE-2021-22005 (85717)
Das Update kann man entweder von der Website herunterladen https://customerconnect.vmware.com/patch/
Als ich mich auf der VCSA einloggen wollte, habe ich folgende Fehlermeldung erhalten https://vcsa.corp.icewolf.ch:5480/
Anscheinend ist einfach das Passwort abgelaufen und wenn man sich über SSH einloggt, muss man das Passwort aktualisieren.
Danach klappt das Einloggen über den Browser
Nun kann man das Update auch von hier downloaden, bereitstellen und installieren
Liebe Grüsse
Andres Bohren
Friday, September 17, 2021
Hallo zusammen,
Ich habe mich vor ein paar Wochen mit Azure AD Access Review beschäftigt. Nun habe ich es endlich geschafft, den Blog Artikel fertigzustellen und zu veröffentlichen.
What are Azure AD access reviews?
Dazu benötigt man jedoch eine Azure AD Premium P2 Lizenz.
Ich habe mich dazu Entschieden, den Access Review für eine M365 Group/Teams durchzuführen
Darin sind folgende 5 Mitglieder drin
Nun setze ich das Access Review auf mit "New access review"
Wähle "Teams + Groups" aus
Wähle die M365 Group / Team für den Access review aus
Entscheide ob nur Gäste oder alle Member überprüft werden sollen
Wähle aus, wer denn Reviewen soll
Wie lange das Review dauern soll und wie oft
Und zuletzt, wann das Review starten soll
Dieser Screenshot zeigt die Standard Werte
Ich will, dass die Resultate automatisch angewendet werden und die Mitglieder dann entfernt werden
Zum Schluss gibt es noch eine übersicht
Als Reviewer (schliesslich bin ich der Owner der M365 Gruppe/Teams) erhalte ich ein Mail, welches mich mit einem Link zum Access Review auffordert.
Ich genehmige vier der fünf Personen
Als Admin sehe ich noch ein bisschen mehr Details
Ich sehe besipielsweise, dass bereits vier Accounts reviewed und bestätigt wurden
Und auch die Resultate wer denn bestätigt oder noch nicht angeschaut wurde
Und im Audit Log sieht man, wann das geschehen ist
Nun verweigere ich den Zugriff für den Bluewin Guest
Drei Tage danach (so wie in den Einstellungen festgelegt) sind dann die Benutzer bereinigt.
Liebe Grüsse
Andres Bohren
Hallo zusammen,
Ich habe mich mit mal mit den PowerShell Module Microsoft.PowerShell.SecretManagement und Microsoft.PowerShell.SecretStore befasst.
Zuerst müssen die Module mal installiert werden. Dazu muss die PowerShell "Als Administrator" gestartet werden.
Find-Module Microsoft.PowerShell.SecretManagement, Microsoft.PowerShell.SecretStore
Install-Module Microsoft.PowerShell.SecretManagement, Microsoft.PowerShell.SecretStore -Scope AllUsers
Schauen wir uns nun mal die Commandlets der beiden Module an
Get-Command -Module Microsoft.PowerShell.SecretManagement
Get-Command -Module Microsoft.PowerShell.SecretStore
Nun Muss erst mal ein Vault (Tresor) angelet werden
Get-SecretVault
#File Vault
Register-SecretVault -Name SecretStore -ModuleName Microsoft.PowerShell.SecretStore -DefaultVault
Get-SecretVault
Wo liegen denn die Secrets? Diese Frage beantwortet folgendes Command
Get-ChildItem $env:LocalAppData\Microsoft\PowerShell\secretmanagement
Per Default hat der Vault ein Passwort. Natürlich kann das auch entfernt werden
Get-SecretStoreConfiguration
$SecureString = ConvertTo-SecureString "PasswordToTheVault" -AsPlaintext -Force
Unlock-SecretStore -Password $SecureString
#Remove Password from SecretStore
Set-SecretStoreConfiguration -Authentication None
Beim ersten Eintrag muss das Passwort für den Vault festgelegt werden
Set-Secret -Name m.muster@icewolf.ch -Secret 'Pa$$sw0rd'
Und so holt man sich die Secrets wieder heraus
Get-Secret -Name Password1
Get-Secret -Name Password1 -AsPlainText
Es können sogar Metadaten hinzugefügt werden
Get-SecretInfo
Set-SecretInfo -Name m.muster@icewolf.ch -Metadata @{Environement = "Prod"}
Get-SecretInfo | Select-Object name, Metadata
Bisher haben alle Beispiele auf einem lokalen FileVault basiert. Aber man kann auch Azure KeyVault benutzen.
Ich benutze hier den Azure Key Vault mit dem Namen "IcewolfDevKeyVault". Wie man sieht kann man dort auch Keys und Zertifikate benutzen.
Hierbei nutze ich das "Vault Access Policy" Permission Modell
Installieren der benötigen Module
Install-Module Az.Accounts
Install-Module Az.KeyVault
Registrieren von Azure Keyvault
Import-Module Az.Accounts
Import-Module Az.KeyVault
Connect-AzAccount
$VaultParameters = @{AZKVaultName = "IcewolfDevKeyVault"; SubscriptionId = "42ecead4-eae9-4456-997c-1580c58b54ba"}
Register-SecretVault -Module Az.Keyvault -Name KeyVaultStore -VaultParameters $VaultParameters
Get-SecretVault
Nun zeige ich mal die Secrets im KeyVaultStore an
Get-SecretInfo -Vault KeyVaultStore
Get-Secret -Name MyPassword
Get-Secret -Name MyPassword -AsPlainText
Wie man sieht, ist das das Passwort aus dem Azure Key Vault
Grüsse
Andres Bohren
Hallo zusammen,
Es gibt wieder eine neue Version von Jabra Direct (Version 5.8.49513).
Die Details dazu gibt es in den Release Notes
Grüsse
Andres Bohren
Thursday, September 16, 2021
Hallo zusammen,
Im Teams Admin Center unter Voice > Auto attendands kann man nachschauen, wohin ein Call weitergeleitet wird.
In meinem Fall wird der Call an eine Call Queue (CallQueueDemo01) weitergeleitet.
Aber wie fragt man das per PowerShell ab?
$Demo01 = Get-CsAutoAttendant -NameFilter AutoAttendantDemo01
$Demo01
$Demo01.DefaultCallFlow
$Demo01.DefaultCallFlow.Menu
$Demo01.DefaultCallFlow.Menu.MenuOptions
$Demo01.DefaultCallFlow.Menu.MenuOptions.CallTarget.Id
Was da nun für ein Resource Account dahinter steckt, kann man mit der AzureAD PowerShell herausfinden
Get-AzureADUser -ObjectId f41fc08c-b9f8-40ca-ae86-a9dbdcb2fd01
Oder noch einfacher mit Get-CsOnlineUser
Get-CsOnlineUser f41fc08c-b9f8-40ca-ae86-a9dbdcb2fd01 | fl ObjectID, DisplayName, UserPrincipalName,InterpretedUserType, LineURI, OnPremLineUri, SIPAddress
Grüsse
Andres Bohren
Wednesday, September 15, 2021
Hallo zusammen,
Heute gab es einen ziemlichen Wirbel, weil Microsoft Passwordless für Microsoft Accounts angekündigt hat. Dabei wird das Passwort komplett entfernt.
Introducing password removal for Microsoft Accounts
Zuerst meldet man sich bei seinem Microsoft Account an https://account.live.com. Unter Sicherheit > Zusätzliche Sicherheitsoptionen können die Einstellungen verwaltet werden.
Als erstes aktiviere ich die Zweifaktorautentifizierung
Nun startet ein Wizard
Den Wiederherstellungscode sollte man an einem sicheren Ort aufbewahren. Vorzugsweise ein Passwortmanager.
Ein App Kennwort ist für die Outlook App nicht erforderlich. Die Erklärungen sind hier meiner Ansicht nach etwas zu ungenau.
Auch funktioniert Modern Authentication ohne Probleme mit Outlook 2016 / Microsoft 365 Apps for Enterprise.
Zweifaktor oder Multifaktor Authentifizierung (MFA) ist nun aktiv. 
Beim verknüpften Account in Windows musste ich mich danach nochmals mit der Authenticator App anmelden
Das selbe gilt für den OneDrive Sync Client.
Nun aktiviere ich das "Kennwortlose Konto" (Passwortless).
Das Kennwort ist nun verschwunden. Es gibt nur noch den Code per Authenticator App, per Email oder per SMS.
Grüsse
Andres Bohren
Hallo zusammen,
Wie man Azure File Sync einrichtet, habe ich schon vor ein paar Monaten gebloggt.
Gestern habe ich in Windows Update gesehen, dass es einen neuen Azure File Sync Client gibt. Den Client kann man jedoch auch herunterladen.
Azure File Sync Agent 13.0.0.0
Windows Update hat den Job erfolgreich erledigt und nun ist die Version 13 installiert.
Liebe Grüsse
Andres Bohren
Hallo zusammen,
Es gibt einen Hotfix für die AAD Connect.
Azure AD Connect: Version release history
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history
Liebe Grüsse
Andres Bohren