blog.icewolf.ch

Let's talk about IT!
posts - 2154, comments - 295, trackbacks - 0

My Links

Archives

Post Categories

icewolf

Azure

Azure
Azure PowerShell Module Az 8.3.0 released

Hi All, Yesterday Microsoft has released the Version 8.3.0 from the AZ PowerShell Module Az 8.3.0 https://www.powershellgallery.com/packages/AZ/8.3.0 Check your current installed Module and what is available on PowerShell Gallery Get-InstalledModule AZ Find-Module AZ I've published a Script in my GitHub Repo to uninstall the old Modules and install the new Modules https://github.com/BohrenAn/GitHub_PowerShellScripts/blob/main/AzureAD/Microsoft.Graph_HowToStart.ps1 Or you can run the Script below to directly execute that Script #Run Script directly from GitHub $ScriptFromGitHub = Invoke-WebRequest "https://raw.githubusercontent.com/BohrenAn/GitHub_PowerShellScripts/main/Azure/Cleanup-AZModules.ps1" Invoke-Expression $($ScriptFromGitHub.Content) Check the Modules Get-InstalledModule AZ Get-InstalledModule AZ.* Regards Andres Bohren

posted @ Wednesday, September 7, 2022 9:02 AM | Filed Under [ PowerShell Azure ]

Azure Information Protection Unified Labeling (AIP UL) 2.14.90

Hi All, A few days ago, Microsoft has released a new Version of the Microsoft Azure Information Protection labeling client. Microsoft Azure Information Protection 2.14.90.0 https://www.microsoft.com/en-us/download/details.aspx?id=53018 After the Restart of Outlook i had to sign in to Microsoft Azure Information Protection (AIP) A new version of Azure Information Protection Viewer is also installed Regards Andres Bohren

posted @ Saturday, September 3, 2022 10:21 AM | Filed Under [ Microsoft365 Azure ]

AzureADAssessement and PowerBI Reports

Hi All, Recently i came across an interessting Project. Now i had some Time to check it out. Microsoft Azure AD Assessment https://github.com/AzureAD/AzureADAssessment ## Install Module Install-Module AzureADAssessment ## Authenticate using a Global Admin or Global Reader account. Connect-AADAssessment ## Export data to "C:\AzureADAssessment" into a single output package. Invoke-AADAssessmentDataCollection It's important to say, that you have to use PowerShell 7. Seems to be that you need to have an Azure Active Directory P2 License to gather all the Logs. This generates the follinwing Output Now you can create the Reports with these Files Complete-AADAssessmentReports -Path C:\AzureADAssessment\AzureADAssessmentData-icewolfch.onmicrosoft.com.aad -OutputDirectory C:\AzureADAssessment\icewolfch\Report PowerBI Reports Let's open up AzureADAssessement.pbit You have to fis some Settings to use the Report Now the PowerBI...

posted @ Saturday, September 3, 2022 9:55 AM | Filed Under [ Security Azure ]

New Microsoft Authenticator settings in AzureAD

Hi All, I've seen some Posts about the new Microsoft Authenticator settings in AzureAD. Here is how you get there. Go to the Azure Active Directory Portal https://aad.portal.azure.com and select "Security" On the Security Page open "Authentication methods" On Authentication methods select "Microsoft Authenticator" On Microsoft Authenticator Settings select "Configure" Here you can change some settings that are already available quite for a while, but now you have a GUI to it. How to use number matching in multifactor authentication (MFA) notifications (Preview) - Authentication Methods Policy https://docs.microsoft.com/en-us/azure/active-directory/authentication/how-to-mfa-number-match How to use additional context in Microsoft Authenticator notifications (Preview) - Authentication methods policy https://docs.microsoft.com/en-us/azure/active-directory/authentication/how-to-mfa-additional-context These Settings can be found in the Graph API https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator Regards Andres...

posted @ Saturday, September 3, 2022 9:32 AM | Filed Under [ Security Azure ]

Microsoft Azure Active Directory Connect 2.1.16.0 and Auto-Upgrade

Hi All, On beginning of August, Microsoft had released AAD Connect 2.1.16.0. I was exited, because that is the first 2.x version that did support "auto-upgrade" Azure AD Connect: Version release history https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history Microsoft Azure Active Directory Connect Download https://www.microsoft.com/en-us/download/details.aspx?id=47594 I've checked the Version of AAD Connect on the Server with Powershell Import-Module ADSync (Get-Item "C:\Program Files\Microsoft Azure AD Sync\Bin\miiserver.exe").VersionInfo Set-ADSyncAutoUpgrade -AutoUpgradeState Enabled Get-ADSyncAutoUpgrade After a while i've realized that the AutoUpgrade was reseted to suspended. So i removed the Custom Rules i had created earlyer https://blog.icewolf.ch/archive/2021/12/11/aad-connect-create-custom-sync-rule-with-powershell.aspx And enabled Autoupgrade again Get-ADSyncAutoUpgrade Set-ADSyncAutoUpgrade -AutoUpgradeState Enabled That did not help. So i looked into Eventviewer According to the Return Value it looked like the new version was installed. Windows Installer...

posted @ Monday, August 29, 2022 11:48 AM | Filed Under [ Microsoft365 Azure ]

Azure PowerShell Module Az 8.2.0 released

Hi All, Yesterday Microsoft has released the Azure PowerShell Module AZ v8.2.0 Az 8.2.0 https://www.powershellgallery.com/packages/AZ/8.2.0 Check your current installed Module and what is available on PowerShell Gallery Get-InstalledModule AZ Find-Module AZ I've published a Script in my GitHub Repo to uninstall the old Modules and install the new Modules https://github.com/BohrenAn/GitHub_PowerShellScripts/blob/main/AzureAD/Microsoft.Graph_HowToStart.ps1 Or you can run the Script below to directly execute that Script #Run Script directly from GitHub $ScriptFromGitHub = Invoke-WebRequest "https://raw.githubusercontent.com/BohrenAn/GitHub_PowerShellScripts/main/Azure/Cleanup-AZModules.ps1" Invoke-Expression $($ScriptFromGitHub.Content) Regards Andres Bohren

posted @ Wednesday, August 3, 2022 1:02 PM | Filed Under [ PowerShell Azure ]

Azure Active Directory Connect 2.1.15.0 released

Hi All, Just a few Hours ago, Microsoft has released a new Version of Azure Active Directory Connect with a lot of Butfixes and some Functional changes. Azure AD Connect: Version release history https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history Microsoft Azure Active Directory Connect Download https://www.microsoft.com/en-us/download/details.aspx?id=47594 On the M365 Admin Center in the Health > Directory Sync Status you can find the new Version Number https://admin.microsoft.com/#/dirsyncmanagement Regards Andres Bohren

posted @ Thursday, July 7, 2022 5:05 AM | Filed Under [ Microsoft365 Azure ]

Azure PowerShell Module Az 8.1.0 released

Hi All, A few Hours ago, Microsoft has released the Azure PowerShell Module AZ v8.1.0 Az 8.1.0 https://www.powershellgallery.com/packages/Az/8.1.0 Azure PowerShell release notes https://docs.microsoft.com/en-us/powershell/azure/release-notes-azureps?view=azps-8.1.0 Check your current installed Module and what is available on PowerShell Gallery Get-InstalledModule AZ Find-Module AZ I've published a Script in my GitHub Repo to uninstall the old Modules and install the new Modules https://github.com/BohrenAn/GitHub_PowerShellScripts/blob/main/AzureAD/Microsoft.Graph_HowToStart.ps1 Or you can run the Script below to directly execute that Script #Run Script directly from GitHub $ScriptFromGitHub = Invoke-WebRequest "https://raw.githubusercontent.com/BohrenAn/GitHub_PowerShellScripts/main/Azure/Cleanup-AZModules.ps1" Invoke-Expression $($ScriptFromGitHub.Content) Check the Modules Get-InstalledModule AZ Get-InstalledModule AZ.* Regards Andres Bohren

posted @ Wednesday, July 6, 2022 7:59 AM | Filed Under [ PowerShell Azure ]

Azure Active Directory Connect GroupWritebackV2

Hi All, It's been a while since i blogged about Group Writeback. Now there are some new Scenarios in the Preview: AAD Connect GroupWritebackV2. Group writeback in the Azure Active Directory admin center (preview) https://docs.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-write-back-portal Azure AD Connect group writeback https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-group-writeback-v2 I have GroupWriteback enabled and it looks like this Let's check the current Settings Import-Module  'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1' Get-ADSyncAADCompanyFeature Let's enable GroupWritebackV2 Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true In Azure AD Admin Center you have to add the Columns I've also added a Filter with "Source: Cloud" Started the AAD Connect Configuration Group Writeback was already enabled. I could not select "Writeback Group Distinguished Name with Cloud Display Name" After the next SyncCycle i can see the...

posted @ Saturday, July 2, 2022 1:30 PM | Filed Under [ Azure ]

Analyze Azure Active Directory Sign-in Location

Hi All, Azure Active Directory Sign-in Logs is really helpful, when analyzing Sign-in Problems. But it also can be very helpful, when analyzing the overall Sign-ins or looking out for strange behavior. One of the Tips would be th Filter for Location and use the CountryCode and Status of Sucess I have set up Azure Active Directory Diagnostics to save the Sign-In Logs to a LogAnalytics Workspace. Here you can Query the Logs with KQL. Let's search for Logins that come from Outside Switzerland. SigninLogs | where TimeGenerated > ago(30d) | where LocationDetails.countryOrRegion <> "CH" //| where Status.errorCode <> "0" //Not Sucessful Logins | project UserPrincipalName, Status.errorCode, Status.failureReason,AppDisplayName, ResourceDisplayName, LocationDetails.countryOrRegion It's...

posted @ Thursday, May 26, 2022 8:12 AM | Filed Under [ Security Azure ]

Azure File Sync Agent 15.0 has been released

Hi All, I had almost forgotten, that on the Microsoft Patchday also a new Version of Azure FileSyncAgent was available. When i look at the Azure Storage Sync Service i see that the Registered Server runs FileSyncAgent 14.1 Azure File Sync Agent v15.0 https://www.microsoft.com/en-us/download/details.aspx?id=57159 I've downloaded the MSI but was not able to install, without uninstalling the Software first Instead i used the Windows Update Package After a Reboot i can see the new Azure File Sync Agent Version in Azure Portal Regards Andres Bohren

posted @ Tuesday, May 24, 2022 9:35 PM | Filed Under [ Azure ]

Azure PowerShell Module Az 8.0.0 released

Hi All, A few Hours ago, Microsoft has released the Azure PowerShell Module AZ v8.0.0 Microsoft Azure PowerShell AZ 8.0.0 https://www.powershellgallery.com/packages/AZ/8.0.0 Release Notes not yet udated https://docs.microsoft.com/en-us/powershell/azure/release-notes-azureps?view=azps-7.5.0 Check your current installed Module and what is available on PowerShell Gallery Get-InstalledModule AZ Find-Module AZ I've published a Script in my GitHub Repo to uninstall the old Modules and install the new Modules https://github.com/BohrenAn/GitHub_PowerShellScripts/blob/main/AzureAD/Microsoft.Graph_HowToStart.ps1 Or you can run the Script below to directly execute that Script #Run Script directly from GitHub $ScriptFromGitHub = Invoke-WebRequest "https://raw.githubusercontent.com/BohrenAn/GitHub_PowerShellScripts/main/Azure/Cleanup-AZModules.ps1" Invoke-Expression $($ScriptFromGitHub.Content) Check the Modules Get-InstalledModule AZ Get-InstalledModule AZ.* Regards Andres Bohren

posted @ Tuesday, May 24, 2022 11:51 AM | Filed Under [ PowerShell Azure ]

Update Modules on Azure Automation with AZ PowerShell

Hi All, As you probably know, i am a big Fan of Azure Automation to run some Automation Scripts for M365 in Azure. When you try to install a new Microsoft Graph Module in Azure Automation from the Gallery it will fail, due its dependency for Microsoft.Graph.Authentication, because an older Version is installed. I've tried to figure out, how to update the Modules with PowerShell (too much clicking for doing it manually). By the way it's worth mentioning, that you only see the PowerShell 5.1 Modules. Anyone knows how to display the PowerShell 7 Modules? Connect-AzAccount $AutomationAccount = Get-AzAutomationAccount -Name icewolfautomation -ResourceGroup RG_DEV $AutomationModules[0] $AutomationModules | where {$_.Name...

posted @ Tuesday, May 24, 2022 9:11 AM | Filed Under [ PowerShell Azure ]

Azure PowerShell Module Az 7.5.0 released

Hi All, Yesterday the AZ PowerShell Module 7.5.0 has been released AZ PowerShell Module 7.5.0 https://www.powershellgallery.com/packages/az/7.5.0 I have used my Cleanup-AZModules.psy from my GitHub Repo to update the Modules https://github.com/BohrenAn/GitHub_PowerShellScripts/blob/main/Azure/Cleanup-AZModules.ps1 Get-InstalledModule AZ Get-InstalledModule AZ.* Regards Andres Bohren

posted @ Wednesday, April 27, 2022 8:15 AM | Filed Under [ PowerShell Azure ]

MSIdentityTools PowerShell Module v2.0.10 released

Hi All, Today Microsoft has released a new Version of the MSIdentityTools PowerShell Module MSIdentityTools 2.0.10 https://www.powershellgallery.com/packages/MSIdentityTools/2.0.10 Find-Module MSIdentityTools If you have already installed a Version of the PowerShell Module Uninstall-Module MSIdentityTools Install the PowerShell Module Install-Module MSIdentityTools Get-Command -Module MSIdentityTools Get-MsIdAzureIpRange | measure Connect-MgGraph Resolve-MsIdTenant -TenantValue icewolfch.onmicrosoft.com Regards Andres Bohren

posted @ Thursday, April 21, 2022 10:08 PM | Filed Under [ Azure ]

M365 group-based License (step-by-step)

Hi All, Most Organizations i know use M365 group-based Licensing. It fit's theyr provisioning Processes because it's just adding a User to another Active Directory Group. As they are already used to do. What is group-based licensing in Azure Active Directory? https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-licensing-whatis-azure-portal Licensing requirements You must have one of the following licenses for every user who benefits from group-based licensing: Paid or trial subscription for Azure AD Premium P1 and above Paid or trial edition of Microsoft 365 Business Premium or Office 365 Enterprise E3 or Office 365 A3 or Office 365 GCC G3 or Office 365 E3 for GCCH...

posted @ Saturday, April 9, 2022 4:37 PM | Filed Under [ Azure ]

Deploy Azure SQL Database with ARM Template (Part 3)

Hi All, Finally i have some time to do a Project i've always wanted to do. In a Series of Blog Article i will create a SQL Server / SQL Database in Azure and compare diffrent Deployment Methods. Let's start with an ARM Template. First i started creating a SQL Database in the Azure Portal. Under "Review + create" you can download the Template. The Template consists of a template.json and parameters.json This Script is also available on my GitHub Repo https://github.com/BohrenAn/GitHub_PowerShellScripts/blob/main/Azure/Demo03-SQLDB-ARM.ps1 ############################################################################### # Demo03-SQLDB-ARM.ps1 # Create SQL Server / Firewall Rule / SQL Database with ARM Template (JSON) # 05.04.2022 - Initial Version - Andres Bohren ############################################################################### ############################################################################### # Connect AzAccount ############################################################################### Connect-AzAccount ############################################################################### #...

posted @ Wednesday, April 6, 2022 10:30 PM | Filed Under [ Azure ]

Deploy Azure SQL Database with AZ CLI (Part 2)

Hi All, Finally i have some time to do a Project i've always wanted to do. In a Series of Blog Article i will create a SQL Server / SQL Database in Azure and compare diffrent Deployment Methods. Let's start with the AZ CLI https://docs.microsoft.com/en-us/cli/azure/install-azure-cli-windows?tabs=azure-cli The Script can also be found on my GitHub Repo https://github.com/BohrenAn/GitHub_PowerShellScripts/blob/main/Azure/Demo02-SQLDB-AzCli.ps1 ############################################################################### # Demo02-SQLDB-Az.ps1 # Create SQL Server / Firewall Rule / SQL Database with AZ CLI # 05.04.2022 - Initial Version - Andres Bohren ############################################################################### ############################################################################### # Login with AzureCLI ############################################################################### az login ############################################################################### # Create Demo Resource Group # https://docs.microsoft.com/en-us/cli/azure/group?view=azure-cli-latest#az-group-create ############################################################################### $ResourceGroup = "RG_Demo02" $Location = "westeurope" az group create --location $Location --name $ResourceGroup ############################################################################### # Create SQL Server Object # https://docs.microsoft.com/en-us/cli/azure/sql/server?view=azure-cli-latest#az-sql-server-create ############################################################################### $SQLServerName = "icewolfsqldemo02" $AdminUser = "sqladmin" $AdminPassword =...

posted @ Wednesday, April 6, 2022 10:59 AM | Filed Under [ Azure ]

Deploy Azure SQL Database with AZ PowerShell Module (Part 1)

Hi All, Finally i have some time to do a Project i've always wanted to do. In a Series of Blog Article i will create a SQL Server / SQL Database in Azure and compare diffrent Deployment Methods. Let's start with the PowerShell AZ Module Install-Module AZ The Script can also be found on my GitHub Repo https://github.com/BohrenAn/GitHub_PowerShellScripts/blob/main/Azure/Demo01-SQLDB-Az.ps1 ############################################################################### # Demo01-SQLDB-Az.ps1 # Create SQL Server / Firewall Rule / SQL Database with AZ.* Powershell Modules # 05.04.2022 - Initial Version - Andres Bohren ############################################################################### ############################################################################### # Connect AzAccount ############################################################################### Connect-AzAccount ############################################################################### # Set Subscription ############################################################################### Set-AzContext [SubscriptionID/SubscriptionName] ############################################################################### # Create Resource Group # https://docs.microsoft.com/en-us/powershell/module/az.resources/new-azresourcegroup?view=azps-7.4.0 ############################################################################### $ResourceGroup = "RG_Demo01" $Location = "westeurope" New-AzResourceGroup -Name $ResourceGroup -Location $Location ############################################################################### # Create SQL Server Object # https://docs.microsoft.com/en-us/powershell/module/az.sql/new-azsqlserver?view=azps-7.3.2 ############################################################################### $Credential = Get-Credential $SQLServerName = "icewolfsqldemo01" $MinimalTLSVersion...

posted @ Wednesday, April 6, 2022 10:47 AM | Filed Under [ Azure ]

Azure Active Directory Connect 2.1.1.0 released

Hi All, Two Days ago, Microsoft has released a new Version of Azure AD Connect that fixes an Error, when there is a model db corruption. Resolve Model database corruption in SQLLocalDB https://docs.microsoft.com/en-us/troubleshoot/azure/active-directory/resolve-model-database-corruption-sqllocaldb Azure AD Connect: Version release history https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history Microsoft Azure Active Directory Connect 2.1.1.0 https://www.microsoft.com/en-us/download/details.aspx?id=47594 On the M365 Admin Center in the Health > Directory Sync Status you can find the new Version Number https://admin.microsoft.com/#/dirsyncmanagement Regards Andres Bohren

posted @ Saturday, March 26, 2022 7:16 AM | Filed Under [ Microsoft365 Azure ]

Protect your Azure SQL Database with Firewall Rules

Hi All, In this Blog Article, i want to talk about how to protect your Azure SQL Databases with Firewall Rules at Server or Database level. Azure SQL Database and Azure Synapse IP firewall rules https://docs.microsoft.com/en-us/azure/azure-sql/database/firewall-configure The Server Level you can find on your Server Object You can also find this when query the master Database --Database: master SELECT * FROM sys.firewall_rules At the Database level use this sp_set_firewall_rule (Azure SQL Database) https://docs.microsoft.com/en-us/sql/relational-databases/system-stored-procedures/sp-set-firewall-rule-azure-sql-database?view=azuresqldb-current --Database: db_home_icewolf Select * FROM sys.database_firewall_rules To allow Azure Services add the following -- Enable Azure connections.   EXECUTE sp_set_database_firewall_rule N'Allow Azure', '0.0.0.0', '0.0.0.0'; to add a custom IP or IP Range use these -- Create database-level firewall setting for only IP 0.0.0.4   EXECUTE...

posted @ Saturday, March 19, 2022 9:45 AM | Filed Under [ Security SQL Azure ]

New Azure Active Directory Diagnostic settings

Hi All, Did you notice that there are new Azure AD Diagnostic Settings in AzureAD? NetworkAccessTrafficLogs RiskyServicePrincipals ServicePrincipalRiskEvents After the Change i've checked the LogAnalytics - did not see any change. Checked again a few days later and could only see that the Table "AzureDiagnostics" has been addet. But no Data in it. What is your Experience?Do you see new Tables? Is there Data in it? Regards Andres Bohren

posted @ Friday, March 18, 2022 9:48 PM | Filed Under [ Azure ]

Azure Active Directory recommendations (Preview)

Hi All, Did you notice you can enable Azure Active Directory Preview Features? Since February 2022 you can enable Azure AD Recommendations. As soon as i had enabled it, the followin Info was shown under Overview > Recommendations Detail View of the Recommendation So i have changed the MFA Service Settings https://account.activedirectory.windowsazure.com/UserManagement/MfaSettings.aspx?BrandContextID=O365 Regards Andres Bohren

posted @ Tuesday, March 15, 2022 10:34 PM | Filed Under [ Azure ]

Azure Automation: PSGallery Version Check

Hi All, I don't check daily if there are any new PowerShell modules in PSGallery. So i wrote me a Script of my most used Modules to Inform me if there are any new Modules available. With the following Code i check for the current Version of the Modules and put them into a PSCustomObject with the Attributes Release, Module, Version (for GA and Prerelease Versions). ############################################################################### # Check PSGallery Modules ############################################################################### #Create Empty Array $MyArray = @() $Modules = @("AZ","MSOnline", "AzureADPreview", "ExchangeOnlineManagement", "Icewolf.EXO.SpamAnalyze", "MicrosoftTeams", "Microsoft.Online.SharePoint.PowerShell","PnP.PowerShell" , "ORCA", "O365CentralizedAddInDeployment", "MSCommerce", "WhiteboardAdmin", "Microsoft.Graph", "MSAL.PS", "MSIdentityTools" ) foreach ($Module in $Modules) {     #Check GA Version     $Result = Find-Module -Name $Module     $Version = $Result.Version   ...

posted @ Monday, March 14, 2022 11:42 PM | Filed Under [ PowerShell Azure ]

Check your M365 Licenses with Azure Automation V2 (with Microsoft Graph)

Hi All, Over a Year ago i did wrote a Azure Automation Script to check your M365 Licenses. Check your M365 Licenses with Azure Automation https://blog.icewolf.ch/archive/2021/04/18/check-your-m365-licenses-with-azure-automation.aspx I did rewrite that code to support Microsoft Graph for query the Licenses and also send the Mail via Microsoft Graph. Setup Environement I first created a new AzureAD Application (just to make a clear separation of Graph Permissions for the purpose of this Demo). Then i uploaded a Certificate wich i also use for several other Azure AD Apps This Script will need the following Microsoft Graph Permissions with Admin Consent Directory.Read.All Mail.ReadWrite ...

posted @ Wednesday, March 2, 2022 3:40 PM | Filed Under [ PowerShell Azure ]

Azure Cost Management anomaly detection Preview

Hi All I have tested the Azure Cost Management anomaly detection Preview. Public preview: Cost Management anomaly detection for subscriptions https://azure.microsoft.com/en-us/updates/preview-cost-management-anomaly-detection-for-subscriptions-2/ Regards Andres Bohren

posted @ Saturday, February 26, 2022 11:08 AM | Filed Under [ Azure ]

Export Azure SQL database and import on local SQL Server

Hi All, In this Blog Article i show how you can Export an Azure SQL Database and import it back on your local SQL Server In the Azure Portal go to your SQL database and hit "Export" You need to set the Storage Target for your Export I create a new container at my Storage Account Once the export starts it takes a while until the Data is exportet Wait until its completed Then check your Azure Storage Now you are able to download the *.bacpac File If you add *.zip do the *.bacpac File you can see that it is actually a ZIP File that contains the...

posted @ Saturday, February 26, 2022 9:24 AM | Filed Under [ SQL Azure ]

Azure AD cross-tenant access settings Preview

Hi All, Microsoft recently announced the Azure AD cross-tenant access settings Preview Collaborate more securely with new cross-tenant access settings https://techcommunity.microsoft.com/t5/azure-active-directory-identity/collaborate-more-securely-with-new-cross-tenant-access-settings/ba-p/2147077 Overview: Cross-tenant access with Azure AD External Identities (Preview) https://docs.microsoft.com/en-us/azure/active-directory/external-identities/cross-tenant-access-overview The settings can be found in Azure Active Directory > External Identities If you click on "Default settings" and then edit the defaults you will see the details I find this one of the most interesting Settings. If you have already done MFA in your home Tenant - i can trust that Setting. Something i would recommend for example. There is also a Workbook that shows the cross-tenant Activity This gives you already a good overview...

posted @ Sunday, February 20, 2022 10:53 AM | Filed Under [ Azure ]

PowerShell Script to check for AAD Apps with expiring ClientSecrets and Certificates

Hi all, I guess we all wrote Applications or Scripts that use AAD Applications and used ClientSecrets or Certificates to Authenticate. But what will happen when the Certificate or ClientSecret will expire? Simple - the Application won't work anymore, because the Authentication will fail. So i searched for a way to check if the ClientSecret or Certificate will soon expire. Let me show an Application that has multiple ClientSecrets and Certificates. Here's the Overview of an AAD Application in the Azure AD Portal https://aad.portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps There are two ClientSecrets There are two Certificates Make sure there is an Owner of the Application with an Emailaddress All you need is...

posted @ Friday, January 28, 2022 11:52 AM | Filed Under [ PowerShell Azure ]

Azure File Sync Agent 14.1 has been released

Hi all, On the last Microsoft Patchday, i've seen, that a new Azure File Sync Agent has been released. The Title is "Azure File Sync Agent v14.1 Release - November 2021 (KB5001873)" - but when you check the download Link it is from mid December. When i check the Storage Sync Service in Azure Portal, i can see that i'm using the Agent Verion 13.0. The Download Link to the New Version also comes handy. Azure File Sync Agent 14.1.0.0 https://www.microsoft.com/en-us/download/details.aspx?id=57159 I've installed the new Agent via Windows update. After a Reboot i can see that the new Version of Azure File Sync Agent is...

posted @ Tuesday, January 25, 2022 7:35 AM | Filed Under [ Azure ]

Azure Active Directory Connect 2.0.91.0 released

Hi all, Microsoft has released a new version of Azure Active Directory Connect (AAD Connect). AAD Connect Health Component is now FIPS compliant. Azure AD Connect: Version release history https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history In the Microsoft 365 Admin Center you will see also the new Version https://admin.microsoft.com/Adminportal/Home#/dirsyncmanagement Regards Andres Bohren

posted @ Friday, January 21, 2022 10:07 AM | Filed Under [ Microsoft365 Azure ]

Azure Information Protection Unified Labeling (AIP UL) 2.13.49

Hi everybody I've just seen that a new version of Microsoft Azure Information Protection (AIP UL) Client was released. Apart from a few updates, fixes, and enhancements the new Client will only support x64 Plattform. Azure Information Protection unified labeling client - Version release history and support policy https://docs.microsoft.com/en-us/azure/information-protection/rms-client/unifiedlabelingclient-version-release-history Microsoft Azure Information Protection https://www.microsoft.com/en-us/download/details.aspx?id=53018 Regards Andres Bohren

posted @ Thursday, January 13, 2022 2:35 PM | Filed Under [ Microsoft365 Azure ]

Azure Active Directory Connect 2.0.89.0 released

Hallo zusammen, Es gab einen Fehler in AAD Connect 2.0.88.0 bei dem unter umständen die Shared Mailboxen nicht mehr syncronisiert wurden. Deshalb gibt es jetzt eine neue Version. AAD Connect 2.0.88.0 breaks Shared Mailboxes for Exchange hybrid customers https://blog.expta.com/2021/12/aad-connect-20880-breaks-shared.html?m=1 Azure AD Connect: Version release history https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history   Microsoft Azure Active Directory Connect 2.0.89.0 https://www.microsoft.com/en-us/download/details.aspx?id=47594 Im Microsoft 365 Admin Center sieht man auch die neue Version https://admin.microsoft.com/Adminportal/Home#/dirsyncmanagement Shared Mailboxes are synced again Liebe Grüsse Andres Bohren

posted @ Wednesday, December 22, 2021 9:49 PM | Filed Under [ Microsoft365 Azure ]

Azure Active Directory Connect 2.0.88.0 released

Hallo zusammen, Seit ein paar Tagen gibt es wieder eine neue Version von Microsoft Azure Active Directory Connect (AAD Connect). Azure AD Connect: Version release history https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history   Microsoft Azure Active Directory Connect 2.0.88.0 https://www.microsoft.com/en-us/download/details.aspx?id=47594 Im Microsoft 365 Admin Center sieht man auch die neue Version https://admin.microsoft.com/Adminportal/Home#/dirsyncmanagement Ich war erst etwas beunruhigt, weil der Passwort Sync über eine Stunde lang nicht synchronisiert hat. Aber danach hat dann alles wie gewohnt funktioniert. Liebe Grüsse Andres Bohren

posted @ Tuesday, December 21, 2021 9:48 PM | Filed Under [ Microsoft365 Azure ]

Azure Information Protection Unified Labeling (AIP UL) Preview 2.13.47

Hallo zusammen, Ich habe gerade gesehen, dass es seit kurzem einen neuen Public Preview vom Azure Information Protection Unified Labeling (AIP UL) Client gibt. Azure Information Protection unified labeling client - Version release history and support policy https://docs.microsoft.com/en-us/azure/information-protection/rms-client/unifiedlabelingclient-version-release-history   Microsoft Azure Information Protection https://www.microsoft.com/en-us/download/details.aspx?id=53018 Liebe Grüsse Andres Bohren

posted @ Saturday, December 11, 2021 12:08 PM | Filed Under [ Microsoft365 Azure ]

AAD Connect - Create Custom Sync Rule with Powershell

Hallo zusammen, Ich habe kürzlich einen Blog Artikel geschrieben, wie man Custom Sync Rules im AAD Connect erstellt. Nun habe ich mir gedacht, es wäre auch noch nett, diese Sync Rules mit PowerShell zu erstellen. Leider gibt es dazu keine so gute Dokumentation Online. Folgende zwei Webseiten haben mir aber geholfen. https://dirteam.com/sander/2020/06/08/an-overview-of-azure-ad-connects-powershell-modules-and-cmdlets/ https://blog.kloud.com.au/2014/10/23/adsync-cmdlets/ Import-Module ADSync Get-ADSyncRule | ft Identitifier, Name, Direction, Precedence Schauen wir uns doch mal die Custom Sync Rules an (1-99) welche ich kürzlich erstellt habe Get-ADSyncRule | where {$_.Precedence -lt 100} Konzentrieren wir uns mal auf eine Custom Sync Rule und schauen uns die Details dazu an $SyncRules = Get-ADSyncRule | where {$_.Precedence -lt 100} $SyncRules[0] $SyncRules[0].ScopeFilter.ScopeConditionList $SyncRules[0].AttributeFlowMappings Nun benötige ich noch...

posted @ Saturday, December 11, 2021 10:02 AM | Filed Under [ PowerShell Azure ]

Azure AD Connect - Custom Sync Rule for preferredLanguage

Hallo zusammen, Ich habe kürzlich von einem Kunden die Anforderung erhalten, Sync Rules für AAD connect zu erstellen, welche das Setting vom Active Directory in einen vom Azure Active Directory unterstützten wert übersetzt. How to set language and region settings for Office 365 https://docs.microsoft.com/en-us/office365/troubleshoot/access-management/set-language-and-region   Automatisieren der Office 365 Language Settings https://www.ioz.ch/blog/automatisieren-der-o365-language-settings/ Dies war die Ausgangslage beim Kunden Active Directory Azure Active Directory ...

posted @ Friday, December 3, 2021 3:26 PM | Filed Under [ Azure ]

Azure AD Signins KQL Query für Legacy TLS

Hallo zusammen, Im folgenden Artikel vom Azure Active Directory Identity Blog wird nochmals darauf hingewiesen, dass ab 31. Januar keine TLS 1.0 und TLS 1.1 Verbindungen mehr möglich sein werden Act fast to secure your infrastructure by moving to TLS 1.2! https://techcommunity.microsoft.com/t5/azure-active-directory-identity/act-fast-to-secure-your-infrastructure-by-moving-to-tls-1-2/ba-p/2967457 Am besten kann man das über ein KQL Query in einem Azure Log Analytics Workspace machen. Wie man so einen einrichtet habe ich bereits hier gebloggt https://blog.icewolf.ch/archive/2020/03/17/integrate-azure-ad-signins-into-azure-log-analytics-workspace.aspx Ihr braucht folgendes KQL Query: SigninLogs | where TimeGenerated > ago(30d) | extend a = parse_json(AuthenticationProcessingDetails) | where a[0].key startswith "Legacy TLS" and a[0].value == "True" | extend LowLTS = a[0].value | project-away a | summarize count() by UserPrincipalName, UserAgent, AppDisplayName | order...

posted @ Wednesday, November 24, 2021 10:13 PM | Filed Under [ Security Azure ]

Beta: Location und App im Microsoft Authenticator anzeigen

Hallo zusammen, Ich bin kürzlich über den folgenden Blog Artikel gestolpert: https://c7solutions.com/2021/10/adding-location-to-azure-ad-mfa Ich habe das in meinem Tenant durchgespielt. In Azure AD Security > Authentication Methods > Microsoft Authenticator auswählen. Dabei ist es wichtig, dass eine Gruppe für den Authenticator aktiviert ist. Holt man sich nun die Einstellungen via Graph Explorer BETA API. Dazu benötigt man die "Policy.ReadWrite.AuthenticationMethod" Berechtigungen. Die kann man allenfalls im "Modify Permissions (Preview)" Tab gewähren. https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/microsoftAuthenticator Die Antwort kopiert man nun nach oben und wählt bei der Methode "PATCH" aus. Die Eigenschaft "displayAppInformationRequiredState" habe ich von "default" auf "enabled" verändert. Beim Anmelden sieht die Meldung nun anders aus. Man sieht die App und...

posted @ Monday, November 1, 2021 3:48 PM | Filed Under [ Security Azure ]

Yubikey Bio - FIDO Key with Fingerprint

Hallo zusammen, Ich habe ja schon länger den Yubikey 5 NFC. Wie man das genau einrichtet habe ich damals schon beschrieben https://blog.icewolf.ch/archive/2020/03/13/azure-ad-authentication-with-fido2-security-key.aspx Seit letzter Woche gibt es den FIDO2 Yubikey Bio. Ich habe mir natürlich gleich mal zwei Keys bestellt. Die gibt es in der Variante mit USB-A oder USB-C und haben einen Fingerprint Sensor eingebaut. Die Kosten für so einen Key liegen etwa bei 80 Euro. https://www.yubico.com/der-yubikey/?lang=de Nun ist der Yubikey Bio bei mir eingetroffen Um den bei meinem Azure Active Directory Tenant zu registrieren, logge ich mich in Office 365 ein https://portal.office.com und klicke oben rechts auf mein Konto und wähle "View account"...

posted @ Friday, October 15, 2021 11:38 AM | Filed Under [ Azure ]

Azure AD Admin Consent Workflow

Hallo zusammen, Heute habe ich mal den "Admin Consent Request" Workflow ausprobiert. Configure the admin consent workflow https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/configure-admin-consent-workflow Ich habe die Option "Users can request admin consent to apps they are unable to consent to" auf "Yes" gestellt und dann einen Reviewer ausgewählt. Wenn der Benutzer nun einen Request macht, bei welchem die User oder Admin Consent notwendig ist, so wird folgender Dialog angezeigt. Erst mit einem Kommentar geht es weiter Der Benutzer erhält die Information, dass die Anfrage gesendet wurde Der eingestellte Reviewer erhält dien Consent request per Mail (Default) Im Azure AD Admin Portal kann man dann den Request bearbeiten Nun prüft man die Berechtigungen und gibt...

posted @ Tuesday, October 5, 2021 9:53 PM | Filed Under [ Microsoft365 Azure ]

Azure Active Directory Connect 2.0.28.0 released

Hallo zusammen, Es gibt schon wieder eine neue Version vom AAD Connect. Azure AD Connect: Version release history https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history Im Microsoft 365 Admin Center sieht man auch die neue Version https://admin.microsoft.com/Adminportal/Home#/dirsyncmanagement Liebe Grüsse Andres Bohren

posted @ Sunday, October 3, 2021 11:45 AM | Filed Under [ Microsoft365 Azure ]

Integrate OnPrem Server in Azure with Azure Arc

Hallo zusammen, Ich habe kürzlich eine Präsentation zu Azure Arc-Enabled Servers gesehen. In diesem Blog Artikel probiere ich das selbst mal mit einem meiner OnPrem Server aus. What is Azure Arc-enabled servers? https://docs.microsoft.com/en-us/azure/azure-arc/servers/overview Damit wird ermöglicht, Server ausserhalb von Azure in Azure zu integrieren mit Azure Policy Azure Security Center Azure Sentinel Azure Automation Azure Automanage VM Extensions Azure Monitor Nach "Servers - Azure Arc" suchen Nun den Service erstellen Ich fange erst mal klein mit einem Server an Subscription, Resource Group, Region, Betriebssystem und Endpoint...

posted @ Friday, September 24, 2021 3:40 PM | Filed Under [ Azure ]

Azure AD access review

Hallo zusammen, Ich habe mich vor ein paar Wochen mit Azure AD Access Review beschäftigt. Nun habe ich es endlich geschafft, den Blog Artikel fertigzustellen und zu veröffentlichen. What are Azure AD access reviews? https://docs.microsoft.com/en-us/azure/active-directory/governance/access-reviews-overview Dazu benötigt man jedoch eine Azure AD Premium P2 Lizenz. Ich habe mich dazu Entschieden, den Access Review für eine M365 Group/Teams durchzuführen Darin sind folgende 5 Mitglieder drin Nun setze ich das Access Review auf mit "New access review" Wähle "Teams + Groups" aus Wähle die M365 Group / Team für den Access review aus Entscheide ob nur Gäste oder alle Member überprüft werden sollen Wähle aus, wer denn Reviewen soll Wie lange das Review dauern...

posted @ Friday, September 17, 2021 5:21 PM | Filed Under [ Azure ]

Azure File Sync Agent 13.0.0.0 released

Hallo zusammen, Wie man Azure File Sync einrichtet, habe ich schon vor ein paar Monaten gebloggt. Gestern habe ich in Windows Update gesehen, dass es einen neuen Azure File Sync Client gibt. Den Client kann man jedoch auch herunterladen. Azure File Sync Agent 13.0.0.0 https://www.microsoft.com/en-us/download/details.aspx?id=57159 Windows Update hat den Job erfolgreich erledigt und nun ist die Version 13 installiert. Liebe Grüsse Andres Bohren

posted @ Wednesday, September 15, 2021 9:44 PM | Filed Under [ Azure ]

Azure Active Directory Connect 2.0.25.1 released

Hallo zusammen, Es gibt einen Hotfix für die AAD Connect. Azure AD Connect: Version release history https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history Liebe Grüsse Andres Bohren

posted @ Wednesday, September 15, 2021 9:28 PM | Filed Under [ Microsoft365 Azure ]

Azure Active Directory - Einstellen ob Benutzer Gruppen erstellen dürfen

Hallo zusammen, Ich habe kürzlich davon gehört, dass ein Benutzer Security Gruppen im Azure Active Directory erstellen konnte und bin dem ein bisschen nachgegangen. Dokumentiert wird das ganze auch hier: https://docs.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-self-service-management Wie man auf dem folgenden Screenshot sieht, habe ich keine Azure AD Rollen zugewiesen und bin ganz normaler Benutzer. Im Azure AD Portal unter den Gruppeneinstellungen gibt es eine Einstellung, welche erlaubt als Benutzer Gruppen zu erstellen. Diese ist Standardmässig aktiviert, was bedeutet, dass Benutzer Security Gruppen im Azure AD erstellen können. Ich habe das natürlich gleich ausprobiert Security Gruppen ausgewählt und eine neue Gruppe angelegt Wie man sieht, wurde die AAD Gruppe erstellt Das selbe...

posted @ Wednesday, August 25, 2021 11:20 AM | Filed Under [ Microsoft365 Azure ]

Azure Active Directory Connect 2.0.10.0 released

Hallo zusammen, Ich habe gestern den Tweet von Yusuf Dikmenoglu gesehen, dass wieder eine neue Version vom AAD Connect zur Verfügung steht. Anscheinend kann es zu Problemen im Zusammenhang mit PWH Sync kommen, wenn die Domäne mal umbenennt wurde (was wohl nicht sehr häufig in der Produktion geschehen ist). Azure AD Connect: Version release history https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history  Microsoft Azure Active Directory Connect 2.0.10.0 https://www.microsoft.com/en-us/download/details.aspx?id=47594 Grüsse Andres Bohren

posted @ Friday, August 20, 2021 12:41 PM | Filed Under [ Microsoft365 Azure ]

Azure Active Directory Connect 2.0.9.0 released

Hallo zusammen, Es gibt seit gestern einen Bugfix für AADConnect.  Azure AD Connect: Version release history https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history Ich habe mir die neue Version heruntergeladen und installiert Microsoft Azure Active Directory Connect 2.0.9.0 https://www.microsoft.com/en-us/download/details.aspx?id=47594 Nach der Installation startet der AAD Connect Upgrade Wizard Und auch im M365 Admincenter unter der Verzeichnissynchronisierung sieht man die neue Version https://admin.microsoft.com/Adminportal/Home#/dirsyncmanagement Grüsse Andres Bohren

posted @ Wednesday, August 18, 2021 12:45 PM | Filed Under [ Microsoft365 Azure ]

Azure Active Directory Connect 2.0.8.0 released

Hallo zusammen, Für den AAD Connect gibt es neue Versionen welche gegen die CVE-2021-36949 abgesichert sind. Azure AD Connect: Version release history https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history   Sicherheitsanfälligkeit bei Microsoft Azure Active Directory Connect bezüglich der Umgehung der Authentifizierung https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36949 Ich habe mir die neuste Version vom AAD Connect heruntergeladen und installiert Microsoft Azure Active Directory Connect 2.0.8.0 https://www.microsoft.com/en-us/download/details.aspx?id=47594 Auch im M365 Admin Center sieht man die neue Version https://admin.microsoft.com/Adminportal/Home#/dirsyncmanagement Grüsse Andres Bohren

posted @ Wednesday, August 11, 2021 3:44 PM | Filed Under [ Microsoft365 Azure ]

Azure Information Protection Unified Labeling (AIP UL) 2.12.26 GA

Hallo zusammen, Gestern wurde angekündigt, dass der Azure Information Protection Unified Labeling (AIP UL) Client 2.12.62 nun als Generally Available (GA) veröffentlicht wurde. Microsoft Azure Information Protection https://www.microsoft.com/en-us/download/details.aspx?id=53018   Azure Information Protection unified labeling client - Version release history and support policy https://docs.microsoft.com/en-us/azure/information-protection/rms-client/unifiedlabelingclient-version-release-history#version-212620   Grüsse Andres Bohren

posted @ Tuesday, August 3, 2021 11:46 PM | Filed Under [ Microsoft365 Azure ]

Installation des AzPreview PowerShell Moduls

Hallo zusammen, Diesen Monat ist eine neue Version vom AzPreview PowerShell Modul veröffentlicht worden https://www.powershellgallery.com/packages/AzPreview/6.2.1 Ich habe schon ein paar AZ PowerShell Module installiert Get-Module az.* -ListAvailable Nun suchen wir das AzPreview PowerShell Modul in der PowerShell Gallery Find-Module AzPreview Find-Module AzPreview | fl Mit dem folgenden Befehl werden die AZ.* PowerShell Module installiert. Install-Module -Name AzPreview Das dauert sehr lange... Einfach abwarten bis man wieder den Command Prompt sieht. Ich lasse mir mal die Anzahl der Module anzeigen. Get-Module az.* -ListAvailable | measure Get-Module az.* -ListAvailable Ich verbinde mich mit Azure Connect-AzAccount Und lasse mir dann die virtuellen Maschinen anzeigen Get-AzVM Grüsse Andres Bohren

posted @ Saturday, July 31, 2021 8:53 AM | Filed Under [ PowerShell Azure ]

Azure Active Directory Connect 2.0.3.0 released

Hallo zusammen, Gestern wurde eine neue Version vom Azure Active Directory (AAD) Connect veröffentlicht. Azure AD Connect: Version release history https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history Ein paar der Highlights Die lokale DB wurde auf SQL 2019 Komponenten aktualisiert TLS 1.2 wird enforced AAD Connect kann nun die neue Rolle "Hybrid Identity Administrator" verwenden statt "Global Administrator" Verwendet nun MSAL statt ADAL ...

posted @ Wednesday, July 21, 2021 5:24 PM | Filed Under [ Microsoft365 Azure ]

AAD Delegated Login fix Error: AADSTS500113: No reply address is registered for the application

Hallo zusammen, Kürzlich hatte ich ein Problem mit einer Azure Active Directory Applikation beim interaktiven Login mit Delegated Permissions. AADSTS500113: No reply address is registered for the application Die Azure AD Authentication and authorization error codes haben mich auch nicht weiter gebracht https://docs.microsoft.com/en-us/azure/active-directory/develop/reference-aadsts-error-codes Die Lösung war eigentlich recht einfach. In den Azure Active Directory Application --> Authentifizierung --> Plattformkonfiguration hinzufügen Mobilgerät- und Desktopanwendungen auswählen Dort die Umleitungs-URI's aktivieren https://login.microsoftonline.com/common/oauth2/nativeclient msal<AppID>://auth Grüsse Andres Bohren

posted @ Tuesday, July 6, 2021 8:37 PM | Filed Under [ Azure ]

Azure File Sync

Hallo zusammen, Da ich meinen Server mit dem Blog nicht sichere, habe ich mir gedacht, ich könnte doch immerhin die Bilder nach Azure synchronisieren. Habe mir dafür mal den Azure File Sync angeschaut. Das ganze ist hier gut beschrieben: Deploy Azure File Sync https://docs.microsoft.com/en-us/azure/storage/file-sync/file-sync-deployment-guide?tabs=azure-portal%2Cproactive-portal In Kurzform: In Azure einem Storage Account erstellen Im Storage Account einen File Share erstellen In Azure den Storage Sync Service anlegen Auf dem Fileserver den Azure File Sync Agent installieren Den File Sync Agent beim Storage Sync Service registrieren In Azure...

posted @ Thursday, May 20, 2021 4:42 PM | Filed Under [ Azure ]

M365 Azure AD dynamic groups

Hallo zusammen, Ich habe mir mal die Dynamic Groups in Azure Active Directory angeschaut. Für Gruppen Mit Benutzern werden Azure AD Premium P1 benötigt. Mindestens die selbe Anzahl von Azure AD Premium P1 Lizenzen wie Mitglieder der grössten Gruppe werden vorausgesetzt. Bei Dynamic Groups mit Devices werden keine Lizenzen benötigt. Create or update a dynamic group in Azure Active Directory https://docs.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-create-rule Im Azure Active Directory admin center eine neue Gruppe anlegen Einen Gruppennamen vergeben und bei "Membership Type" den Eintrag "Dynamic User" auswählen. Nun können die Filter für die Mitgliedschaft der Gruppe angepasst werden. In diesem Beispiel nutze ich das Feld "Company" (user.companyName -eq "Icewolf") Nach dem anlegen der...

posted @ Tuesday, May 18, 2021 10:20 PM | Filed Under [ Microsoft365 Azure ]

AzureADExporter PowerShell Module

Hallo zusammen, Ich habe mir mal das AzureADExporter PowerShell Module angeschaut. Find-Module AzureADExporter Install-Module AzureADExporter Get-Command -Module AzureADExporter Nach dem Installieren verbindet man sich mit AzureAD mit einem DeviceLogin und einem Account (In meinem Fall Global Admin). Connect-AzureADExporter Eine erfolgreiches Login sieht dann so aus. Nun exportiere ich die Konfiguration. Der angegebene Ordner im Paf ("AzureADExport" in meinem Fall) wird angelegt, sofern dieser noch nicht existiert. Export-AzureAD -Path E:\Temp\AzureADExport\ -Type Config Im Windows Explorer sieht das dann so aus. In den Ordnern befinden sich Json Files Und so sieht beispielsweise ein conditional Access JSON File aus Fazit: Man kann die Konfiguration nur exportieren und muss sich in der Ordnerstruktur und mit den JSON Files...

posted @ Monday, May 17, 2021 2:46 PM | Filed Under [ Azure ]

Azure AD Conditional Access - Named locations based on GPS (Preview)

Hallo zusammen, Neu ist es in den Named Locations möglich, den Standort aufgrund von GPS Koordinaten zu bestimmen. New Azure AD Capabilities for Conditional Access and Azure VMs at RSA 2021 https://techcommunity.microsoft.com/t5/azure-active-directory-identity/new-azure-ad-capabilities-for-conditional-access-and-azure-vms/ba-p/1942482 Danach habe ich mir eine Conditional Access Policy für DevOPS erstellt Habe die SwissGPS Named Location ausgewählt Und beim Grant Control MFA ausgwählt. Beim Login ins DevOps wähle ich den Account fürs Login aus Nun erscheint ein anderer Dialog. Mein Standort wird von der MFA App angefordert. In der Authenticator App, werde ich nun aufgefordert, meinen Standort mit der App zu teilen. Ich habe hier "Nur bei Nutzung der App" ausgewählt Die App braucht das jedoch immer. Das kann man...

posted @ Thursday, May 13, 2021 10:39 AM | Filed Under [ Azure ]

Continuous Access Evaluation in Azure AD (public preview)

Hallo zusammen, Heute habe ich gelesen, dass Continous Access Evaluation im Public Preview ist. Ich habe das in meinem Tenant mal aktiviert. Continuous Access Evaluation in Azure AD is now in public preview! https://techcommunity.microsoft.com/t5/azure-active-directory-identity/continuous-access-evaluation-in-azure-ad-is-now-in-public/ba-p/1751704   Continuous access evaluation https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/concept-continuous-access-evaluation Grüsse Andres Bohren

posted @ Tuesday, May 11, 2021 5:36 PM | Filed Under [ Microsoft365 Azure ]

Microsoft Azure Information Protection Client 2.11.58 available

Hallo zusammen, Ich hatte kürzlich ein Problem mit dem Microsoft Azure Information Protection (AIP) Client auf meiner Testumgebung. Die Richtlinie konnte nicht heruntergeladen werden. Normalerweise ist der erste Schritt hier die "Einstellungen zurücksetzen". Ich habe aber gleich noch geprüft, ob es denn eine neue Version vom AIP Client gibt und tatsächlich gab es schon wieder ein Update https://www.microsoft.com/en-us/download/details.aspx?id=53018 Installation durchgeführt Und nach dem Anmelden war alles wieder in Ordnung Grüsse Andres Bohren

posted @ Thursday, May 6, 2021 4:25 PM | Filed Under [ Microsoft365 Azure ]

Stop synchronizing thumbnailPhoto with Azure Active Directory Connect

Hallo zusammen, Standardmässig wird das Attribut thumbnailPhoto von AAD Connect nach Azure Active Directory synchronisiert. In diesem Blog Artikel zeige ich euch, wie man diese synchronisation stoppt. Ich aktiviere "Azure AD app and Attribute filtering" Und wähle "i want to restrict the list of applications" Nun selektiere ich nur "Exchange Online" Erstmal lasse ich alle Attribute aktiviert. Um ein Foto im AD zu speichern nutze ich AD Photo Edit. Wie man sieht, ist nun das AD Attribut "thumbnailPhoto" mit Daten befüllt. Bevor ich die Synchronisation starte, schaue ich mir den AzureAD User an Connect-AzureAD $user = Get-AzureADUser -SearchString hans.muster@serveralive.ch $user.ExtensionProperty Nun starte ich den AD Sync Import-Module ADSync Start-ADSyncSyncCycle -PolicyType Delta Im Syncronization Service...

posted @ Wednesday, April 28, 2021 12:52 AM | Filed Under [ Microsoft365 Azure ]

Check your M365 Licenses with Azure Automation

Hallo zusammen, Meines Wissens gibt es keine automatischen Warnungen, wenn die Anzahl der zugewiesenen Lizenzen überschritten werden. Auch ist es nicht möglich eine Art Schwellwert für eine Warnung anzugeben, um allenfalls neue Lizenzen zu bestellen. Die gekauften M365 Lizenzen lassen sich ja mit dem AzureAD PowerShell Modul gut auslesen. Connect-AzureAd Get-AzureADSubscribedSku | Select -Property Sku*,ConsumedUnits -ExpandProperty PrepaidUnits | ft Ich habe das ganze mal mit einem Azure Automation Account umgesetzt. Dazu braucht es das AzureAD oder AzureADPreview Module aus der Gallery Nun kann das Runbook vorbereitet werden. Mit "Edit" gelangt man in den SourceCode Editor Ich habe folgendes PowerShell Script geschrieben. Mit dem Hashtable $MinLicenses kann man...

posted @ Sunday, April 18, 2021 10:38 AM | Filed Under [ Microsoft365 Azure ]

Passwordless sign-in with Authenticator App and Number matching

Hallo zusammen, Ich habe mir mal das Login ohne Passwort mit der Authenticatior App angeschaut. Enable passwordless sign-in with the Microsoft Authenticator app https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-phone Im Azure AD Portal unter Security muss man die Authentication Methods auswählen. Dort die Authenticator App markieren und bei den drei punkten auf "Configure" klicken. Ich habe Number Matching aktiviert Bei der Authentication Method stehen "Any, Passwordless oder Push" zur Verfügung. Ich habe hier Passwordless ausgewählt. $ Danach muss das ganze gespeichert werden In der Authenticator App nun "Anmeldung per Telefon einrichten" auf dem entsprechenden Konto auswählen Dann werden die Prüfungen durchgeführt Man muss sich anmelden und es erfolgt eine MFA abfrage (stellt bitte vorher sicher,...

posted @ Thursday, April 8, 2021 1:54 PM | Filed Under [ Microsoft365 Azure ]

PowerShell Module AzureADPreview 2.0.2.134 has been released

Hallo zusammen, Vor ein paar Tagen wurde das AzureADPreview 2.0.2.134 Module veröffentlicht. Get-Module AzureADPreview -ListAvailable Find-Module AzureADPreview Um das Modul zu installieren, muss man die PowerShell als Administrator starten. Damit nicht das PowerShell Profile geladen wird starte ich das aus einem CMD welches als Administrator gestartet wurde start PowerShell -noprofile -nologo Dann wird zuerst das alte Modul deinstalliert Uninstall-Module AzureADPreview Nun kann das neue Modul installiert werden Install-Module AzureADPreview Get-Module AzureADPreview -ListAvailable Grüsse Andres Bohren

posted @ Wednesday, April 7, 2021 12:30 PM | Filed Under [ Microsoft365 Azure ]

Use Azure Automation for Exchange Online PowerShell Script - Part 2

Hallo zusammen, Nach dem ersten Teil des Artikels, folgt nun der zweite. Ich wollte noch ein paar Komponenten dazufügen: Import CSV von einem Azure Storage Ein Logfile erstellen und in Azure Storage abspeichern Als einfaches Beispiel habe ich das cmdlet Set-CASMailbox genommen, bei dem ein paar Mailboxen über ein CSV exkludiert werden sollten Zuerst einmal müssen die Variablen für Storage Account und Storage Key erfasst werden. Den Storage Key kann man Encrypted abspeichern. Diese Variablen lassen sich einfach im Script wieder auslesen $StorageAccountName = Get-AutomationVariable -Name "StorageAccountName" "StorageAccountName --> $StorageAccountName" $StorageAccountKey = Get-AutomationVariable -Name "StorageAccountKey" "StorageAccounKey --> $StorageAccountKey" Danach habe ich das ganze Script...

posted @ Monday, April 5, 2021 2:47 PM | Filed Under [ Exchange Azure ]

Use Azure Automation for Exchange Online PowerShell Script - Part 1

Hallo zusammen, Stellt euch mal folgendes Szenario vor: Ein Kunde hat einen Microsoft 365 Tenant und Cloud Only Identities. Es gibt also keine OnPrem Active Directory und Exchange Server mehr, auf welchen noch irgendwelche Scripts für die Automatisierung oder regelmässige Scripts für Exchange Online laufen könnten. Ich habe mir mal Azure Automation angeschaut und versucht damit ein Script gegen Exchange Online laufen zu lassen. Als erstes muss man einen Azure Automation Service erstellen Der Automation Account braucht einen Namen, eine Subscription und eine ResourceGroup Das erstellen vom RunAsAccount ist fehlgeschlagen (weil ich im AzureAD mit meinem Benutzer keine Rechte habe eine Azure AD Application anzulegen) Der...

posted @ Sunday, April 4, 2021 11:12 AM | Filed Under [ Azure ]

M365 new or updated Admin Roles

Hallo zusammen, Kürzlich gab es im M365 Admin Center einen Hinweis, dass neue Rollen zur Verfügung stehen. Ich habe mir das angeschaut und folgende Rollen sind neu oder aktualisiert worden: Attack payload author --> Can create attack payloads that an administrator can initiate later.  Attack simulation administrator --> Can create and manage all aspects of attack simulation campaigns.  Authentication policy administrator --> Can create and manage all aspects of authentication methods...

posted @ Thursday, April 1, 2021 11:33 AM | Filed Under [ Microsoft365 Azure ]

Azure AD Temporary Access Pass

Hallo zusammen, An der Ignite wurde Azure AD "Temporary Access Pass" vorgestellt, welche sich nun im Preview befindet. Configure Temporary Access Pass in Azure AD to register Passwordless authentication methods (Preview) https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-temporary-access-pass Wer sich mit einem Temporary Access Pass (TAP) anmeldet, ist quasi mit MFA authentifiziert. Das heisst, dies ermöglicht Szenarien, ohne erst MFA einzurichten, direkt einen FIDO Key zu registrieren. Einrichten Zuerst muss die Authentifizierungsmethode Temporary Access Pass im Azure AD aktiviert werden. Azure Active Directory --> Security Dort zu "Authentication Methods" wechseln Nun kann dort "Temporary Access Pass" konfiguriert werden Ich aktiviere das und wähle als Target zwei Benutzer aus Zusätzlich können weitere Einstellungen gemacht werden Administrator View Wie stellt...

posted @ Sunday, March 7, 2021 11:16 AM | Filed Under [ Security Azure ]

Microsoft Ignite 2021 - Cloud Skills Challenge

Hallo zusammen, Zur diesjährigen Ignite wurde eine "Cloud Skills Challenge" gestartet. Man kann sich dabei einer oder mehreren Cloud Skills Challenges stellen. Das sind zwischen 20 bis 40 Microsoft Learn Module. Hat man die Module erfolgreich bis Ende März abgeschlossen, so lockt eine gratis Microsoft Zertifizierung. Microsoft Cloud Skills Challenge https://www.microsoft.com/en-us/learncloudchallenge   The Microsoft Ignite Cloud Skills Challenge https://csc.docs.microsoft.com/ignite/registration/March2021   Cloud Skills Challenge - Official Rules https://csc.docs.microsoft.com/ignite/OfficialRules/March2021 Grüsse Andres Bohren

posted @ Thursday, March 4, 2021 7:57 AM | Filed Under [ Microsoft365 Azure ]

Azure Active Directory Enhanced group management preview

Hallo zusammen, Habe per Zufall diese Woche das "Enhanced group management" Preview gesehen und aktiviert. Search groups and members (preview) in Azure Active Directory https://docs.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-members-owners-search Mit dem Suchbegriff "icewolf" findet man die Gruppe "AAD-IcewolfUsers" nicht Aktiviert man die Preview So wird mit der Suche die Gruppe ebenfalls gefunden. Deshalb: Sofort aktivieren und benutzen! Liebe Grüsse Andres Bohren

posted @ Sunday, February 21, 2021 10:52 AM | Filed Under [ Azure ]

Import Loganalytics Data into Power BI Report

Hallo zusammen, Kürzlich habe ich ja einen Blog Artikel darüber geschrieben, wie man Basic Authentications in Azure AD aufspürt. Nun habe ich mir gedacht, das Resultat könnte man ja auch in PowerBI darstellen. Dabei hat mir folgende Anleitung geholfen: Import Azure Monitor log data into Power BI https://docs.microsoft.com/en-us/azure/azure-monitor/visualize/powerbi Im Log Analytics Workspace das Query eingeben und dann unter Export auf "Export to Power BI (M Query)" klicken. Es wird dann einen .txt Datei mit dem Query und der Anleitung heruntergeladen In Power BI Desktop eine "Leere Abfrage" erstellen Im Query Editor den "Erweiterter Editor" aufrufen Dort die Abfrage aus dem .txt File einfügen Am besten der Abfrage noch einen guten Namen...

posted @ Thursday, February 18, 2021 10:30 AM | Filed Under [ Azure ]

Hunting for Basic Authentication in AzureAD

Hallo zusammen, Im Exchange Team Blog wurde bereits vor fast einem Jahr die Abschaltung der Basic Authentication für die zweite Jahreshälfte 2021 angekündigt. Es wird also Zeit, die Applikationen und Clients mit Basic Authentication zu jagen und auf neuere Authentication Methoden umzustellen. Basic Authentication and Exchange Online – April 2020 Update https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-and-exchange-online-april-2020-update/ba-p/1275508 Gerade als ich den Artikel geschrieben habe, gab es ein Update: Basic Authentication and Exchange Online – February 2021 Update https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-and-exchange-online-february-2021-update/ba-p/2111904 In Azure Active Directory unter Sign-Ins kann man mit "Add Filter" nach "Client App" filtern. Nun werden die ClientApps mit Legacy Authentication (sprich: Basic Auth) angezeigt. Im letzten Monat hat sich zweimal der ewservice@icewolf.ch...

posted @ Thursday, February 4, 2021 10:07 PM | Filed Under [ Security Azure ]

Azure AD Connect Prevent accidential deletes

Hallo zusammen, Im Azure Active Directory Connect (AAD Connect) ist eine Option aktiviert, welche Massenlöschungen verhindert. Standardmässig ist die auf 500 eingestellt. Azure AD Connect sync: Prevent accidental deletes https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sync-feature-prevent-accidental-deletes Gründe für Massenlöschungen könnten sein: Änderungen der OU Filterung vom AAD Connect Alle Objekte in einer OU werden gelöscht Eine OU wird umbenennt Ein Fehlerhaftes Script, welches Objekte im AD löscht Ab dem Standardschwellwert von 500 Objekten, stoppt AAD Connect und verhindert, dass noch mehr Objekte gelöscht werden. Damit erhält der Admin Zeit zu prüfen, was los ist und kann den Fehler...

posted @ Wednesday, January 27, 2021 8:22 AM | Filed Under [ Microsoft365 Azure ]

Let's Encrypt SSL Certificate with Azure App Service

Hallo zusammen, In diesem Blog Artikel zeige ich euch, wie man Let's Encrypt SSL Zertifikate für eine Website unter Azure App Service benutzen kann. App Registration Als erstes braucht es dazu eine App Registration im Azure Active Directory Ich nenne die Applikation "Let's Encrypt" und füge die Website an.  Anschliessend sollte man sich die Application- / Client ID sowie die Tenant ID in ein Notepad kopieren. Ich lege mir noch ein Client Secret an und kopiere das ebenfalls ins Notepad Berechtigung auf der Azure Resource Group Nun muss die eben erstellte Applikation im Azure Portal berechtigt werden. Ich füge die Applikation als Contributor dazu. So sieht das danach aus Storage Account Nun...

posted @ Saturday, January 23, 2021 9:05 PM | Filed Under [ Azure ]

Export AAD Connect config and read it with PowerShell

Hallo zusammen, In diesem Blog Artikel erkläre ich euch, wie man die Konfiguration von Azure Active Directory Connect exportiert und mit PowerShell die XML Files durchsucht und die Konfiguration anzeigt. Als erstes muss auf dem AAD Connect Server die Konfiguration exportiert werden Import-Module ADSync Get-ADSyncServerConfiguration -Path C:\Install\AADicewolf\ Im Verzeichnis werden drei weitere Ordner angelegt "Connectors", "GlobalSettings" und "SynchronizationRules". In den Connectors gibt es zwei. Einen für Azure AD und den anderen für Active Directory. In den Global Settings gibt es nur ein XML In den Synchronization Rules gibt es ganz viele XML Files Schauen wir uns mal die Connectoren an. Wie man sieht, handelt es sich um den...

posted @ Monday, January 18, 2021 9:38 PM | Filed Under [ PowerShell Azure ]

Azure Cost analysis, Budget and Cost alerts

Hallo zusammen, Heute Morgen habe ich eine Azure Budget Warnung von meiner Azure Subscription erhalten. Azure Budget dient nur der Überwachung der Kosten und verhindert keine hohen Kosten. Aber wenn man rechtzeitig gewarnt wird, so kann man noch reagieren, bevor etwaige Kosten explodieren. Tutorial: Create and manage Azure budgets https://docs.microsoft.com/en-us/azure/cost-management-billing/costs/tutorial-acm-create-budgets Also schaue ich mir die Kostenanalyse im Azure Portal auf der Subscription an. Wie es Aussieht, werden da bis Ende Monat Kosten von etwa CHF108 erwartet. Also passe ich das Azure Budget entsprechend an. Ich finde die untenstehende Grafik super. So sieht man gleich, wann die Warnungen versendet werden. Wie man sieht, habe ich im November einen...

posted @ Saturday, January 16, 2021 12:02 PM | Filed Under [ Azure ]

Start Azure VM's with Powershell

Hallo zusammen, In diesem Artikel zeige ich euch, wie man mit der Azure PowerShell Virtuelle Maschinen starten kann. Zunächst braucht es dazu das AZ PowerShell Modul. Install Azure PowerShell https://docs.microsoft.com/en-us/powershell/azure/install-az-ps?view=azps-5.3.0 Allerdings, darf dafür das Module AzureRM nicht installiert sein, weil die beiden Module inkompatibel sind. Das kann man mit dem folgenden PowerShell Befehl prüfen Get-Module -Name AzureRM -ListAvailable Oder gleich das installationsscript benutzen (Dazu muss die PowerShell als Administrator gestartet werden) if ($PSVersionTable.PSEdition -eq 'Desktop' -and (Get-Module -Name AzureRM -ListAvailable)) {     Write-Warning -Message ('Az module not installed. Having both the AzureRM and ' +       'Az modules installed at the same time is not supported.') } else {     Install-Module...

posted @ Thursday, January 14, 2021 9:57 PM | Filed Under [ Azure ]

Create and publish ASP.NET Website with Visual Studio 2019 to Azure

Hallo zusammen, Ich habe mir die Visual Studio 2019 Community IDE heruntergeladen um meine ASP.NET WebForms Website zu überarbeiten und nach Azure zu deployen. Dazu habe ich mir ein neues Projekt angelegt Und eine ASP.NET Webanwendung ausgewählt Der Projektname wird dann auch gleich zum Ordner wo das Projekt abgelegt wird. Da ich schon eine Website habe, welche nur migriert werden muss, habe ich eine leere Projektvorlage ausgewählt.  Auf dem Filesystem sieht das dann so aus. Ich habe mir aus der vorhandenen Website die *.aspx und weiteren benötigten Dateien ins neue Projektverzeichnis kopiert. Danach in der IDE vorhandene Elemente hinzugefügt. So sieht das danach im Projektmappen-Explorer aus. Die zwei Klassen aus...

posted @ Thursday, December 31, 2020 4:10 PM | Filed Under [ Dotnet Azure ]

How to create and deploy a website on Azure

Hallo zusammen, Im folgenden Blog habe ich dokumentiert, wie man eine Website in Azure publiziert. Als erstes braucht es dazu einen "App Service Plan" Beim anlegen des App Service Plan sollte man sich Gedanken über den Plan machen, denn das definiert die Funktionalitäten und Kosten. Für Tests habe ich den F1 (Free Plan) benutzt. Für die jetzige Website habe ich mich für B1 entschieden, da dieser Plan auch Custom Domains und SSL Zertifikate unterstützt. Der App Service Plan ist nun angelegt. Nun braucht es eine "Web App" Bei der Web App wird ein App Service Plan benötigt. Den haben wir ja schon angelegt. Nun steht die Website mit...

posted @ Sunday, December 20, 2020 11:04 AM | Filed Under [ Azure ]

Migrate SQL Database to Azure and change the connectionstring in web.conf

Hallo zusammen, In den letzten Blog Artikeln habe ich eine SQL Datenbank in Azure angelegt und dann das SQL Server Management Studio installiert. In diesem Artikel geht es darum, die Datenbank nach Azure zu migrieren. Ich habe den gestrigen Abend damit verbracht die Tabellen als CSV Dateien zu speichern und ein Import PowerShell Script zu schreiben. Dabei geht das ganz einfach mit dem SQL Server Management Studio... Mit der Azure SQL Datenbank verbinden Nun sieht man auch, was für eine Machine dahinter steckt (CPU und Storage) Im Azure Portal sieht man in der Resource Group, dass eine neue Datenbank angelegt wurde Kurz mal prüfen ob da...

posted @ Wednesday, December 9, 2020 11:44 PM | Filed Under [ SQL Azure ]

Install SQL Server Management Studio (SSMS) and connect to Azure SQL Database

Hallo zusammen, Ich habe mir das SQL Server Management Studio installiert, um auf die Azure Datenbank zuzugreifen, welche ich im vorherigen Blog Artikel angelegt habe. Download SQL Server Management Studio (SSMS) https://docs.microsoft.com/en-us/sql/ssms/download-sql-server-management-studio-ssms?view=sql-server-ver15   Create SQL Database in Azure http://blog.icewolf.ch/archive/2020/12/06/create-sql-database-in-azure.aspx Grüsse Andres Bohren

posted @ Sunday, December 6, 2020 4:23 PM | Filed Under [ SQL Azure ]

Create SQL Database in Azure

Hallo zusammen, Ich habe mir in Azure eine SQL DB zum testen angelegt. Für den Compute und RAM braucht es dazu einen Server Ich habe mir dabei eine Basic Instanz ausgewählt Allerdings ist mir das mit den DTU noch nicht so ganz klar. Diensttarife beim DTU-basierten Kaufmodell https://docs.microsoft.com/de-de/azure/azure-sql/database/service-tiers-dtu   What the heck is a DTU? https://sqlperformance.com/2017/03/azure/what-the-heck-is-a-dtu?WT.mc_id=dataexposed-c9-niner Mit dem Query Editor kann man sich durch das erstellte Login auf die Datenbank verbinden. Mit folgendem Befehl lege ich eine Tabelle an. CREATE TABLE tUsers     (     fID INT PRIMARY KEY NOT NULL IDENTITY(1,1),     fVorname varchar(50) NOT NULL,     fNachname varchar(50) NOT NULL,     ) Grüsse Andres Bohren

posted @ Sunday, December 6, 2020 4:15 PM | Filed Under [ SQL Azure ]

New Logs available in Azure AD Diagnostic Settings

Hallo zusammen, Im März habe ich einen Blog Artikel geschrieben, wie man die Azure AD Signins im Azure Log Analytics Workspace speichert. Als ich mir kürzlich die Settings angeschaut habe, habe ich gesehen, dass man nun viel mehr loggen kann. Beispielsweise auch Service Principal und Managed Identity Signins. Im Unterschied dazu die Settings vom März. Grüsse Andres Bohren

posted @ Sunday, December 6, 2020 11:42 AM | Filed Under [ Azure ]

Use Powershell to activate Privileged Identity Management Role

Hallo zusammen, Wie Privileged Identity Management funktioniert, habe ich bereits hier beschrieben. Nun dachte ich, vielleicht gibt es ja mit PowerShell eine einfache Möglichkeit die PIM Rollen zu aktivieren. Es gibt PIM Commands im AzureAD Modul (denke es muss die Preview Version sein) PowerShell for Azure AD roles in Privileged Identity Management https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/powershell-for-azure-ad-roles Get-Command *AzureADMSPrivilegedRole* Mit folgendem Command verbindet man sich mit dem AzureAD Import-Module AzureAD Connect-AzureAD Mit folgendem Befehl kann man sich die Rollen welche "Eligible" sind anzeigen lassen Get-AzureADMSPrivilegedRoleAssignment -ProviderId "aadRoles" -ResourceId "46bbad84-29f0-4e03-8d34-f6841a5071ad" | where {$_.AssignmentState -eq "Eligible"} Leider steht da dann nicht wie was für eine Rolle das ist, sondern man muss mit der ID die Rollendefinition abfragen Get-AzureADMSPrivilegedRoleDefinition...

posted @ Tuesday, November 24, 2020 4:28 PM | Filed Under [ PowerShell Azure ]

Azure AD Identity Protection in Action

Hallo zusammen, In OneDrive wurde ich kürzlich aufgefordert, mein Passwort zu wechseln. Wie man sieht, hat hier Identity Protection eingegriffen Beim Risk state sollte man alle Zustände auswählen. In meinem Fall war das ja schon wieder gelöst. Der Passwortwechsel hat hier gleich wieder zu einer "Remediation" geführt. Ist doch cool oder Grüsse Andres Bohren

posted @ Sunday, November 22, 2020 12:20 PM | Filed Under [ Microsoft365 Azure ]

Monitor Signin of a specific AAD Account with LogAnalytics Alert Rule

Hallo zusammen, Wie man die Azure AD Signins in einem Log Analytics Workspace speichert habe ich, ja schon in einem früheren Blog Artikel erklärt.  Integrate Azure AD Signins into Azure Log Analytics Workspace http://blog.icewolf.ch/archive/2020/03/17/integrate-azure-ad-signins-into-azure-log-analytics-workspace.aspx In diesem Artikel will ich das Login eines speziellen Accounts per KQL abfragen. In diesem Fall ist das der Admin (Global Admin) Account. SigninLogs | where UserPrincipalName == "admin@icewolfch.onmicrosoft.com" | where TimeGenerated > ago(30m) Leider gibt es kein Attribut, mit welchem man erkennen kann, ob der User welcher sich da gerade einloggt Global Admin ist (jedenfalls habe ich keines gefunden, das Standardmässig da wäre). Mit diesem KQL Query lege ich nun einen...

posted @ Saturday, October 31, 2020 12:16 PM | Filed Under [ Azure ]

Privileged Identity Management

Hallo zusammen, Den meisten dürfte der Ausdruck "Least Privilege" bekannt sein. Dabei geht es darum, nur die für die Arbeit benötigten Berechtigungen zu besitzen und nicht mehr. Normalerweise werden dazu RBAC Rollen angelegt und der Account zu dieser Gruppe hinzugefügt. Privileged Identity Management geht hier noch einen Schritt weiter, bei dem es Möglich ist, gewisse Rechte nur temporär zu aktivieren und nicht permanent zugewiesen zu haben. Das alles führt dazu, dass die Angriffsfläche kleiner wird und damit Risiko sinkt. Es können M365 und Azure Rollen darüber verwaltet werden. What is Azure AD Privileged Identity Management? https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/pim-configure#:~:text=Privileged%20Identity%20Management%20(PIM)%20is,Microsoft%20365%20or%20Microsoft%20Intune.   Deploy Azure AD Privileged Identity Management (PIM) https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/pim-deployment-plan Man benötigt dazu...

posted @ Tuesday, October 20, 2020 10:42 PM | Filed Under [ Security Microsoft365 Azure ]

AAD Connect and Conditional Access Error

Hallo zusammen, Als ich mich gestern ins M365 Admin Center eingeloggt habe, wurde ich von einer Fehlermeldung vom Azure AD Connect (AAD Connect) begrüsst. Die Synchronisierung zwischen dem lokalen Active Directory und dem Azure Active Directory funktioniert nicht mehr. Also habe ich mich kurz auf dem Server eingeloggt, wo AAD Connect installiert ist und einen Sync Versuch gestartet Start-ADSyncSyncCycle -PolicyType delta Das wurde aber mit heftigen Fehlermeldungen beantwortet Start-ADSyncSyncCycle : System.Management.Automation.CmdletInvocationException: System.InvalidOperationException: Showing a modal dialog box or form when the application is not running in UserInteractive mode is not a valid operation. Specify the Service Notification or DefaultDesktopOnly style to display a notification from a...

posted @ Tuesday, October 6, 2020 8:36 AM | Filed Under [ Microsoft365 Azure ]

How Identity Protection blocked Skype for Business Sign-In

Hallo zusammen, Kürzlich hatte ich einen interessanten Fall. Ein Benutzer konnte sich mit Skype for Business bei Microsoft 365 nicht mehr anmelden. Alle anderen Office 365 Applikationen (Office, SharePoint, Teams) haben einwandfrei funktioniert. Das sieht man auch im Azure Active Directory unter Sign-ins beim User. Ausserdem sieht den Sign-in Error Code und den Grund Was der Code genau bedeutet kann man hier rausfinden https://login.microsoftonline.com/error Dort gibt es gleich auch den Hinweis, wie man einen User wieder unblocken kann https://docs.microsoft.com/azure/active-directory/identity-protection/howto-unblock-user Das Problem war, dass die Identity Protection ein Risky Sign-In festgestellt hat. Tipp: Bei der Anfrage den Username in den Filter aufnehmen Grüsse Andres Bohren

posted @ Sunday, September 6, 2020 11:07 AM | Filed Under [ Microsoft365 Azure ]

Setup SendGrid Mail Service in Azure

Hallo zusammen, In diesem Blogbeitrag beschreibe ich, wie man einen SendGrid Account in Azure aufsetzt um Mails Script zu versenden. How to Send Email Using SendGrid with Azure https://docs.microsoft.com/en-us/azure/sendgrid-dotnet-how-to-send-email In einer bestehenden Subscription in einer Resourcegroup auf "+ Add" klicken. Im Suchfeld dann "SendGrid" eingeben Nun auf "Create" klicken. Wie man sieht, können bis zu 25'000 Mails pro Monat gratis versendet werden. Nun müssen einige Informationen eingegeben werden. Die Email welche hier angegeben wird, muss später den Account verifizieren. Nachdem die Resource in Azure erstellt wurde, kann man direkt zum Objekt. Um SendGrid zu verwalten muss man oben auf "Manage" klicken. Dort landet man auf der https://app.sendgrid.com/ Website ohne sich nochmals...

posted @ Friday, August 21, 2020 3:59 PM | Filed Under [ Azure ]

Azure Active Directory My Staff (Preview)

Hallo zusammen, Kürzlich habe ich mir mal "My Staff" angeschaut. Dazu habe ich mir ein paar Screenshots zur Erklärung gemacht. Manage your users with My Staff (preview) https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/my-staff-configure Das Setting muss in den "User feature Previews" aktiviert werden. Ich habe "Selected" ausgewählt und eine Gruppe ausgewählt in der ich Mitglied bin. Das ganze basiert auf den Azure Active Directory Administrative Units - darüber habe ich bereits in folgendem Blog Artikel berichtet http://blog.icewolf.ch/archive/2020/04/24/azure-active-directory-administrative-units-preview.aspx In der "TestOU" befinden sich zwei Accounts. Ein CloudOnly Account und ein mit AAD Connect synchronisierter Account aus dem lokalen Active Directory. Der delegierte Admin kann also nur das Passwort und die Telefonnummer anpassen. Grüsse Andres Bohren

posted @ Monday, August 17, 2020 10:22 PM | Filed Under [ Azure ]

How AAD Connect calculates ImmutableId

Hallo zusammen, Wie die ImmutableId vom AAD Objekt mit dem synchronisierten Objekt im Active Directory zusammenhängt, habe ich in untenstehender Grafik versucht zu verdeutlichen. Aber alles mal der Reihe nach.... Bis zur Version 1.1.486.0 wurde von AAD Connect das AD Attribut objectGUID als sourceAnchor verwendet. Ab der Version 1.1.542.0 und später wird das AD Attribut ms-DS-ConsistencyGuid als sourceAnchor verwendet. Beim Upgrade gab es ein entsprechendes Prozedere um den sourceAnchor anzupassen. Azure AD Connect: Design concepts https://docs.microsoft.com/en-us/azure/active-directory/hybrid/plan-connect-design-concepts Wir schauen uns mal die objectGUID von meinem Active Directory User Objekt an. In der HEX Ansicht sieht das so aus Wir vergleichen das mit dem AD Attribut ms-DS-ConsistencyGuid ebenfalls in...

posted @ Saturday, July 18, 2020 10:40 AM | Filed Under [ Microsoft365 Azure ]

Azure Storage / Azure Storage Explorer / AzCopy

Hallo zusammen, In diesem Blog Artikel habe ich mich etwas mit Azure Storage, dem Azure Storage Explorer und dem Command Line Tool AzCopy befasst. Erstellen vom Azure Storage Account In den folgenden Screenshots wird der Storage Account im Azure Portal erstellt https://portal.azure.com Azure Storage Explorer Azure Storage Explorer https://azure.microsoft.com/en-us/features/storage-explorer/ Ist schon eine Weile her, dass ich den Storage Explorer das letzte mal benutzt habe. Da hat sich einigest getan. Man kann sich mit verschiedenen Möglichkeiten einloggen. Ich habe mich dafür entschieden, das Azure Konto hinzuzufügen. Habe dann einen Container "icewolf-container" hizugefügt. Dann kann man ein File hochladen. Nach dem Hochladen kann man sich den AzCopy Befehl herunterladen. Im Azure Portal...

posted @ Wednesday, July 15, 2020 11:11 PM | Filed Under [ Azure ]

Microsoft Azure Active Directory Connect 1.5.42.0 (Import/Export Preview)

Hallo zusammen, Erst vor ein paar Tagen ist eine neue Version vom AAD Connect veröffentlicht worden. Neu ist dabei, dass man die Konfiguration als JSON exportieren und importieren kann. Das ist allerdings erst im Preview. Azure AD Connect: Version release history https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history Microsoft Azure Active Directory Connect 1.5.42.0 https://www.microsoft.com/en-us/download/details.aspx?id=47594 Danach kann man im M365 Admin Portal prüfen ob der Sync immer noch funktioniert und die neue Version angezeigt wird. https://admin.microsoft.com/AdminPortal/Home#/dirsyncmanagement Wie bereits erwähnt, kann man die AAD Connect Konfiguration als JSON Exportieren. Importing and exporting Azure AD Connect configuration settings (Public Preview) https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-import-export-config Das File befindet sich dann hier: C:\ProgramData\AADConnect Grüsse Andres Bohren

posted @ Tuesday, July 14, 2020 11:12 PM | Filed Under [ Microsoft365 Azure ]

Visual Studio Code and Azure DevOps Repo

Hallo zusammen, Kürzlich habe ich einen Blog Artikel geschrieben, wie man mit Visual Studio Code ein Version Control Repository in GitHub verwaltet. In diesem Artikel zeige ich euch Azure DevOps und wie man hier Code in einem Repository verwalten kann. Für die ersten fünf Benutzer ist Azure DevOps kostenlos. Danach kostet der Basci Plan 5.91 pro Benutzer und Monat. Für meine Zwecke reicht der Basis Plan. https://azure.microsoft.com/de-de/pricing/details/devops/azure-devops-services/ Nun muss man die Region auswählen Der Organisation einen Namen vergeben - ich übernehme den Vorschlag Die DevOps Organisation ist vorbereitet. Nun kann man ein Projekt erstellen. Ich erstelle ein privates Projekt um dort Code zu verwalten. Es gibt aber noch...

posted @ Sunday, July 12, 2020 8:51 AM | Filed Under [ PowerShell Azure ]

Get SamAccountName from Azure Active Directory by PowerShell

Hallo zusammen, Für ein Projekt musste ich aus dem Azure Active Directory den SamAccountName auslesen. Das Problem ist nur, dass dieses Property nicht so einfach über die PowerShell Module abgefragt werden kann. Hier das Beispiel vom MSOnline Modul Get-MsolUser -UserPrincipalName a.bohren@icewolf.ch | fl Auch beim PowerShell Modul AzureAD gibt es dieses Property nicht. Get-AzureADUser -SearchString "a.bohren@icewolf.ch" | fl Man kann dies jedoch über den Graph Explorer, sprich über das Graph API abfragen. https://graph.microsoft.com/v1.0/users/a.bohren@icewolf.ch?$select=userPrincipalName,onPremisesSamAccountName Um das ganze mit PowerShell abzufragen braucht es eine App Registration im Azure AD. Dort benötigt man das "User.Read.All" recht und einen Admin Consent.  Mit folgendem Code holt man sich den Accesstoken $AppId = '449e6fed-e858-437e-ba9f-769773106786' $AppSecret = 'geheimesAppSecret' $Scope...

posted @ Monday, June 22, 2020 11:23 PM | Filed Under [ PowerShell Azure ]

Azure Support Plans

Hallo zusammen, Ich habe mir meine Azure Rechnungen genauer angeschaut und konnte diese Rechnung nirgendwo richtig zuordnen. Die Abbonement-ID (Subscription) habe ich auch nirgendwo gefunden. Auflisten der Subscriptions Get-AzSubscription Irgendwann wurde ich dann bei den Azure Support Plans fündig. Also habe ich auf "Change Plan" geklickt https://portal.azure.com/#blade/Microsoft_Azure_Support/HelpAndSupportBlade/supportPlans Und bin dann im Uralt Azure Portal gelandet. Dort war diese Subscription sichtbar und habe sie angeklickt. https://account.azure.com/Subscriptions Und das Abonement (Subscription) gekündigt So sieht das schon besser aus. Fazit: Ich habe also seit November 2019 einen Support Plan bezahlt. Gut dass ich den gefunden und gelöscht habe. Brauche ich nämlich nicht. Habe also rund CHF 215 für etwas ausgegeben, was ich gar nicht...

posted @ Wednesday, June 3, 2020 2:51 PM | Filed Under [ Azure ]

Azure Cloud Shell in Windows Terminal

Hallo zusammen, Über das Windows Terminal habe ich ja schon mal gebloggt, als es noch in der Preview war. Mittlerweile benutze ich das Windows Terminal öfters. Hier zeige ich euch, wie man die Azure Cloud Shell benutzt. Für die Device Authentication muss man den Code im Browser eingeben. Danach kann man Entscheiden, ob die Verbindung gespeichert werden soll. Die Einstellungen sind in einem JSON File abgelegt und kann über das Menü geöffnet werden. Wer die transparente Einstellung nicht mag, kann das ganz einfach mit folgender Zeile deaktivieren. Das wird sofort angewendet und erfordert keinen neustart der Shell oder Verbindung. "useAcrylic" : false So sieht das dann aus. Wer lieber...

posted @ Tuesday, May 26, 2020 9:43 PM | Filed Under [ Azure ]

Azure - New Virtual Machine Wizard

Hallo zusammen, Ich habe ja meine LAB Umgebung vom ESX nach Azure Migriert. Nun brauche ich eine weitere VM und habe davon gleich ein paar Screenshots gemacht. Ich habe ja bereits eine entsprechende Subscription und eine Resourcegroup. Man muss einen Benutzernamen und ein Passwort mit 12 Stelleneingeben. Ich nutze nur die OS Disk und keine weiteren Data Disks. Die OS Disk habe ich auf eine Standard SSD heruntergestuft. Das VNET, das Subnet und die NSG besteht schon. Einzig die Public IP habe ich hinzugefügt. Ich habe Azure Active Directory aktiviert. Dadurch wurde auch die Identity auf On gestellt. Ausserdem habe ich gleich das Auto-shutdown konfiguriert. Nach ein paar...

posted @ Wednesday, May 13, 2020 4:47 PM | Filed Under [ Azure ]

Microsoft Graph REST API - Outlook Calendar with Powershell

Hallo zusammen, Ich habe ja in der Vergangenheit viele Dinge über PowerShell und die Exchange Webservices Management API gemacht. Mit der Abschaltung von Basic Authentication wird das aber immer schwieriger. Früher gab es ja noch die Outlook REST API. Aber selbst die Outlook REST API V2.0 wird anscheinend nicht mehr weiterentwickelt. https://developer.microsoft.com/en-us/office/blogs/migrating-from-outlook-rest-api-v1-0-to-microsoft-graph/ Version 1.0 of the Outlook REST API was launched in 2015 to provide API access to mail, calendar, contacts, and other data from Exchange Online, with support for Basic Authentication.  Over time, we’ve released major enhancements in Outlook REST API v2.0 and Microsoft Graph, both of which provide richer features, and better...

posted @ Wednesday, April 29, 2020 9:44 PM | Filed Under [ PowerShell Azure ]

O365 Kombinierte registration für MFA und Self-Service-Passwort-Reset (SSPR)

Hallo zusammen, Mich hat kürzlich ein Kollege auf die kombinierte Registration von MFA und Self-Service-Passwort-Reset (SSPR) aufmerksam gemacht. Combined security information registration overview https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-registration-mfa-sspr-combined   Enable combined security information registration in Azure Active Directory https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-registration-mfa-sspr-combined   Im Azure Active Directory unter User Settings --> User feature previews muss die Option "Users can use preview Features for registering and managing security info - enhanced" aktiviert sein. Ich hatte das bereits für meinen Blog Artikel gebraucht: Azure AD Authentication with FIDO2 security key Nachfolgend nochmals die MFA Einstellungen zur Dokumentation Wie die Conditional Access Policy aussehen muss, ist hier dokumentiert. User Experience Und so sieht es dann für den Benutzer aus Ach ja, vielleicht sollte ich...

posted @ Saturday, April 25, 2020 11:28 AM | Filed Under [ Microsoft365 Azure ]

Azure Active Directory Administrative Units Preview

Hallo zusammen, Ich habe mir mal die Preview von Administrative Units in Azure Active Directory angeschaut. Administrative units management in Azure Active Directory (preview) https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/directory-administrative-units In Azure Active Directory ist die Hierarchie bisher flach - sprich es gibt nicht wie aus dem OnPrem Acitve Directory bekannte Organisational Units. Ich habe mir mal eine "TestOU" erstellt - müsste eigentlich korrekterweise "Test AU" heissen. Und dieser OU dann einen Cloud User und einen via AAD Connect synchronisierten Benutzer hinzugefügt. Bisher werden folgende Szenarios unterstützt Ich habe mir mal über den Graph Explorer das Userobjekt angeschaut. Mit dem "beta" API sieht man nirgends die Administrative Unit des Objekts. Man sieht einzig die...

posted @ Friday, April 24, 2020 7:11 AM | Filed Under [ Azure ]

Azure DNS Zone

Hallo zusammen, Nachdem ich nun mein LAB erfolgreich nach Azure migriert habe, stellt sich nun die Frage, ob auch der DNS Server in Azure gehostet werden kann. In diesem Blog Artikel, habe ich in Azure eine DNS Zone erstellt und die DNS Records dort erstellt. Dokumentation zu Azure DNS https://docs.microsoft.com/de-de/azure/dns/ Nun besteht eine mehr oder weniger leere DNS Zone. Die Einträge von NS und SOA können nicht verändert werden. Es können jedoch neue Records hinzugefügt werden. Wäre aber langweilig, wenn man das nicht auch per CloudShell bearbeiten könnte. Mit folgendem Befehl kann man DNS Records abfragen. Get-AzDnsRecordSet -ZoneName serveralive.ch -ResourceGroupName LAB -RecordType NS Nun müssen ja neue DNS Records in...

posted @ Friday, March 27, 2020 11:20 PM | Filed Under [ Azure ]

Migrate VM from ESX to Azure - Part 3

Hallo zusammen, In den vorangegangenen Blog Artikeln habe ich erklärt, wie man eine VM von ESX nach Azure migriert. Migrate VM from ESX to Azure - Part 1 Migrate VM from ESX to Azure - Part 2 Nun gibt es noch ein paar Settings, welche gemacht werden müssen, damit man sich auf die VM's verbinden kann. Denn die laufen ja in einem VNET mit einer Privaten IP Adresse. Eine Möglichkeit wäre den VPN Gateway zu benutzen oder man könnte Azure Bastion verwenden. Und vermutlich gibt es noch einige andere Möglichkeiten. Ich habe mich jedoch für einen anderen Weg...

posted @ Tuesday, March 24, 2020 10:38 PM | Filed Under [ Virtualisation Azure ]

Migrate VM from ESX to Azure - Part 2

Hallo zusammen, Dies ist der Part 2 vom Artikel. Den Part 1 könnt ihr hier nachlesen. Ich starte ein Assessment und wähle die vier Server aus und fasse sie zu einer Gruppe zusammen. Das Resultat sieht dann so aus. Man sieht, welche VM's ohne Probleme migriert werden können und wo es vielleicht noch Issues gibt. Ausserdem wird eine Schätzung der Kosten abgegeben. Ich schaue mir den Server mit "Ready with conditions" an und sehe, dass es sich um ein EUFI stat BIOS boot handelt, welches jedoch während der Migration konvertiert werden kann. In den Cost Details sieht man, welche Typen VM und Storage vom Assessment...

posted @ Friday, March 20, 2020 5:13 PM | Filed Under [ Virtualisation Azure ]

Migrate VM from ESX to Azure - Part 1

Hallo zusammen, Mein HP ML350e Server ist nun auch schon fast 7 Jahre alt. Deshalb habe ich beschlossen ein paar VM's nach Azure zu verschieben. Um erstmal ein paar Erfahrungen zu sammeln, migriere ich die vier Virtual Machines aus meinem LAB. Ich habe mich entschieden, die VM's mit Azure Migrate zu migrieren. Ich habe Azure Migrate in meiner Subscription in die Resource Group "LAB" hinzugefügt. Mit "Add Tools" ein Migrations Projekt erstellen. Nun muss die Subscription und die Resource Group ausgewählt werden. Ausserdem einen Namen für das Migrationsprojekt vergeben werden und eine Region ausgewählt werden. Fürs Assessment "Azure Migrate: Server Assessment" auswählen Für die Migration "Azure Migrate: Server Migration"...

posted @ Friday, March 20, 2020 4:38 PM | Filed Under [ Virtualisation Azure ]

Integrate Azure AD Signins into Azure Log Analytics Workspace

Hallo zusammen, Im folgenden Artikel erkläre ich euch, wie man die Azure AD Signins in einen Azure Log Analytics Workspace integriert. Ich habe mir in Azure eine Resource Gruppe "LogAnalytics" angelegt. In dieser Resourcegruppe habe ich mir dann ein Log Analytics Workspace angelegt. In Azure Active Directory im Menü das Menü "Diagnostic Settings" auswählen. Dort dann "Add diagnostic setting" auswählen Nun können die AuditLogs und die SigninLogs an den LogAnalytics Workspace weitergeleitet werden. Anschliessend sind im Azure Active Directory unter "Workbooks" ein paar Querys vorhanden. Beispielsweise kann man sich die Details der Logins anschauen. Wer selbst Abfragen machen möchte, kann dies im Azure LogAnalytics Workspace unter "Logs" tun. Beispielsweise...

posted @ Tuesday, March 17, 2020 8:55 PM | Filed Under [ Microsoft365 Azure ]

Powered by:
Powered By Subtext Powered By ASP.NET