blog.icewolf.ch

Let's talk about IT!
posts - 1771, comments - 295, trackbacks - 0

My Links

Archives

Post Categories

icewolf

Tuesday, April 27, 2021

Stop synchronizing thumbnailPhoto with Azure Active Directory Connect

Hallo zusammen,

Standardmässig wird das Attribut thumbnailPhoto von AAD Connect nach Azure Active Directory synchronisiert. In diesem Blog Artikel zeige ich euch, wie man diese synchronisation stoppt.

Ich aktiviere "Azure AD app and Attribute filtering"

Und wähle "i want to restrict the list of applications"

Nun selektiere ich nur "Exchange Online"

Erstmal lasse ich alle Attribute aktiviert.

Um ein Foto im AD zu speichern nutze ich AD Photo Edit.

Wie man sieht, ist nun das AD Attribut "thumbnailPhoto" mit Daten befüllt.

Bevor ich die Synchronisation starte, schaue ich mir den AzureAD User an

Connect-AzureAD
$user = Get-AzureADUser -SearchString hans.muster@serveralive.ch
$user.ExtensionProperty

Nun starte ich den AD Sync

Import-Module ADSync
Start-ADSyncSyncCycle -PolicyType Delta

Im Syncronization Service Manager sieht man den Update

Das thumnailPhoto wird von leer mit Daten befüllt.

Schauen wir uns jetzt nochmal den Azure AD User an. Es gibt da neue thumbnailPhoto Attribute

Connect-AzureAD
$user = Get-AzureADUser -SearchString hans.muster@serveralive.ch
$user.ExtensionProperty

Nun deaktiviere ich im Azure AD Connect die Synchronisation vom thumnailPhoto

Wieder wird die synchronisation angestossen

Das bereits synchronisierte thumbnailPhoto bleibt bestehen

Sieht man auch im M365 Admin Center

Die Metadaten vom Foto kann man sich auch mit dem Befehl Get-AzureADUserThumbnailPhoto ansehen

$user = Get-AzureADUser -SearchString hans.muster@serveralive.ch
$user.ObjectId
Get-AzureADUserThumbnailPhoto -ObjectId <ObjectID>

Oder das thumnailPhoto herunterladen

Get-AzureADUserThumbnailPhoto -ObjectID <ObjectID> -Filepath <Driveletter:\path> -Filename <filename>

Es ist jedoch nicht möglich, das thumnailPhoto irgendwie zu löschen oder mit einem leeren Array zu überschreiben

Habs auch über den Microsoft Graph Exlorer versucht

https://graph.microsoft.com/v1.0/users/hans.muster@serveralive.ch?$select=thumbnailphoto

Fazit:

Mit dieser Konfiguration bleiben die bisher synchronisierten thumbnailPhotos bestehen, werden jedoch nicht gelöscht. Das könnte womöglich über den AAD Connect Rules Editor erzielt werden.

Diese Möglichkeit habe ich jedoch nicht weiter untersucht.

Grüsse
Andres Bohren

posted @ Wednesday, April 28, 2021 12:52 AM | Filed Under [ O365 Azure ]

Office 365 ATP Recommended Configuration Analizer (ORCA) 1.10.6

Hallo zusammen,

Seit ich das letzte mal über den Office 365 ATP Recommended Configuration Analizer (ORCA) gebloggt habe, hat sich einiges verändert:

  • Es gibt keine unschönen Fehler mehr, wenn man keine E5 oder Microsoft Defender for Office 365 Lizenzen besitzt
  • Das Layout vom Report hat sich angepasst und es gibt jetzt einen Configuration Health Index
  • In Exchange online gibt es jetzt die Konfigurationsanalyse

 Ich habe noch ein altes ORCA PowerShell Modul installiert und muss dieses zuerst aktualisieren.

Anzeigen des aktuell installierten Moduls

Get-Module ORCA -ListAvailable
Anzeigen des akuellen Moduls aus der PowerShell Gallery
Find-Module ORCA

Das alte Modul deinstallieren

Uninstall-Module ORCA

Das aktuelle Modul von der PowerShell Gallery installieren

Install-Module ORCA

Installiertes Modul anzeigen

Get-Module ORCA -ListAvailable

Befehle vom Modul anzeigen

Get-Command -Module ORCA

ORCA Report ausführen und mit einem Account mit der Rolle "Exchange Administrator" anmelden.

Get-ORCAReport

So sieht es aus, wenn das Script läuft

Das Resultat wird dann als HTML abgespeichert. Auch gut zu Dokumentationszwecken. Neu ist der "Configuration Health Index".

Ich habe in meiner Policy die Enduser Spam notification auf 1 Tag statt der empfohlenen 3 Tage festgelegt

Der Fehler beim DKIM kommt von der Domain, welche für den Teams SIP Trunk verwendet wird. Also kein Problem und kann ignoriert werden.

Grüsse
Andres Bohren

posted @ Tuesday, April 27, 2021 11:57 AM | Filed Under [ Security Exchange ]

Powered by:
Powered By Subtext Powered By ASP.NET