Alle Aktivitäten

Ha... da ist was wahres dran Danke euch!

@Stromer2025 Hallo und Willkommen on Board! Für dein Problem solltes Du im App-Store oder in einem Userforum passend zu deinem Smartphone-OS suchen. Zudem hat dir das Board vor dem Posten einen Warnhinweis bezüglich des Themenalters angezeigt. Dieser Hinweis existiert aus gutem Grund, bitte in Zukunft beachten. Danke. Hier schließe ich ab. VG Damian

Ich suche auf meinem Handy nach gelöschten Apps. Hat jemand nen Tip für mich?

Das stimmt. :)

@gpersberger Hallo und Willkommen on Board! Vor dem Posten wurde Dir ein Warnhinweis bezüglich des Themenalters angezeigt. Dieser Hinweis existiert nicht ohne Grund, daher beim nächsten Mal beachten. Danke. Hier schließe ich ab. VG Damian

Da bin ich bei dir. Allerdings wäre das der Grund, warum die User gesynced werden (sollten). Ohne Sync habe ich dann online ja keinen Mailuser (Kontakt). Das könntest du dadurch abfangen, dass du "Register security information" per Conditional Access bspw. nur aus trusted Locations erlaubst.

User ohne Lizenz haben sie ein Postfach on prem. Die synchronisierten User können sich aber anmelden bei M365 (vermutlich nichts machen, aber dennoch b***d) und das ohne MFA. Sollte ich für die MFA erzwingen, könnte jeder "Böse" das auch einrichten, wenn er das PW hat. Stecke irgendwie in der Zwickmühle.

Nö, genau dann brauchst du KEINE Cloudlizenz.

Wenn wir beim Thema "Lizenzen" sind, müssten die User aber doch mindestens eine Entra Id P1 Lizenz haben, da sie an der Anmeldung mittels Conditional Access gehindert werden. Ein Grund wäre hier doch, falls sie eine Mailbox auf dem lokalen Exchange haben sollten. Ansonsten müsste man die akzeptierte(n) Domäne(n) ja auf non-authoritative konfigurieren.

Hey HerrPaschulke, wir hatten genau die gleiche Anforderung – GAL-Kontakte offline und aktuell auf iPhones, ohne dass die Leute irgendwas klicken müssen. Die manuellen Methoden waren bei uns einfach zu fehleranfällig, und mit CiraSync & Co. hatten wir auf Dauer auch keine saubere Lösung. Wir sind dann irgendwann auf sync.blue® gestoßen. Läuft seitdem stabil, DSGVO ist kein Thema (gehostet in DE), und wir konnten das direkt ins Exchange-Postfach syncen. Funktioniert auch mit anderen Quellen, nicht nur GAL. Seitdem ist das Thema bei uns durch – keine Rückfragen mehr. Kann man glaibe ich sogar hier testen, war für uns die beste Lösung nach langem Suchen.

Ach bei dir war der vorher...

Und warum synchronisierst du die dann? Wenn ein User keine Lizenz hat, hat er sowieso keinen Zugriff auf irgendwelche Ressourcen (in der Cloud), oder überseh ich grad was Offensichtliches?

Ok danke, gucke ich mir an. Und ja, er ist nicht Mitglied der Gruppe.

Das System habe ich von jemanden Übernommen, welcher keine Ahnung hatte. Im alten Terminalserver sind z.B. in den lokalen GPOs Einstellungen gemacht. Die GPO ist von 2019, keine Ahnung ob das mal benutzt wurde. @daabm vielen Dank. Habe Lösung 1 verwendet und den Eintrag geleert, da nur dieses bei gPCUserExtensionNames verwendet wurde. [{25537BA6-77A8-11D2-9B6C-0000F8080861}{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}] Fehler ist jetzt aus der Ereignisanzeige verschwunden. Nur noch I´s

Okay, wir reden nicht über "SecPol", wir reden über Conditonal Access Policies. Ist der Sync User in der "AllUser_NoLicence"? Falls ja, würde ich ihn aus dem dynamischen Filter ausschließen und testen. Ansonsten mit "What If" oder den Sign In Logs einmal prüfen, ob es tatsächlich an dieser Policy scheitert.

Allen Usern ohne Lizenz wird der Zugriff auf jegliche Ressource verweigert. Bei AUSSCHLIEßEN ist der Sync-User ausgeschlossen. Sobald die Regel aktiviert wird, kann der Sync-User nicht mehr syncen. Vielleicht gibt es auch einen besseren Weg?

Hi, wo hast du denn hier eine "SecPol" erstellt bzw. was verstehst du hier gerade unter "SecPol"? Und wie steht es um den "On-Premises Directory Synchronization Service Account"? Gruß Jan

Über Replikation -> Distributor-> Datenbanken kannst du die Datenbank anhaken. Dann kannst du die Abos bzw. Verteiler konfigurieren

Ich habe mir eine VM erstellt und die Systemanforderung an Windows 11 für TPM und SecureBoot während der Installation umgangen. Leider greift diese Einstellung nicht. Der Kioskbenutzer kann auf alle Ordner zugreifen. Ich weiß, dass ich jetzt keinen Support von Microsoft habe. Aber ich habe keine andere Wahl, um die Einstellungen zu testen, weil mir die passende Hardware fehlt.

Hallo Danke für die Rückmeldung. Und wie hast Du das Problem lösen können? VG Damian

Hallo zusammen, ich stehe vor folgender Herausforderung. Aktuell besteht eine AD <-> Azure Synchronisation und wir migrieren unseren Exchange Server in Exchange Online. Viele synchronisierte User haben eine Lizenz, leider haben viele User aber auch keine Lizenz. Lizenzlose User würde ich gerne per SecPol in Gänze erstmal aussperren. Ich habe mir eine dynamische Gruppe gebaut, die alle User enthält, die KEINE Lizenz haben. Mit dieser Gruppe habe ich dann eine SecPol erstellt, die diesen User den Zugriff auf ALLE Ressourcen verbietet. Zusätzlich wird in dieser Pol eine Gruppe ausgeschlossen, die Tenant-Admins enthält. In der Theorie funktioniert dies auch, leider bricht dann trotz Ausschluss die Synchronisation per Azure Connect ab, weil der User keinen Zugriff mehr hat (Obwohl er definitiv bei dieser Secpo ausgeschlossen wird!) Hat jemand eine Idee oder vielleicht Verbesserungsvorschläge? Vielen Dank im Voraus!

Danke an alle, habe das Problem gelöst.

Moin an Board, auf geht es in den Tag - ich koche Kaffee (gestern hat keiner Kaffee gekocht...) Allen einen guten Donnerstag, bleibt gesund! Hier derzeit klar bei 3°C, es wird ein schöner Tag bis etwa 19°C

Guten Morgen, ich habe folgendes Problem, bzw. Phänomen. Account 1 ist mit Office 2021 lizensiert und nutzt zur Anmeldung die Mail Adresse 1. Account 2 ist mit Office 2021 lizensiert und nutzt zur Anmeldung die Mail Adresse 2. Wenn ich die Lizenz von Account 2 mit der Mail Adresse 2 auf PC 2 anmelde, wird das Gerät im Account 1 angezeigt. Wenn ich die Lizenz von Account 1 mit der Mail Adresse 1 auf PC 1 anmelde, meldet das System, dass der Account schon benutzt wird und keine weitere Anmeldung möglich ist. Ursprünglich wurden sogar beide Geräte im Account 1 angezeigt, aber durch Gerät entfernen und neu versuchen, habe ich die gültigen Anmeldeversuche wohl ausgereizt. Microsoft ist mittlerweile involviert. Zur Frage, wie es denn sein kann, dass ich im Office einen eindeutigen Account zuweise und die Verbindung zu einem anderen Account hergestellt wird? Kann mir das jemand erklären? BG Dutch_OnE

Du kannst die Folder Redirection CSE aus der DDP "herausoperieren", wenn da wirklich nichts drin ist und es auch sonst nichts dazu gibt. Dazu musst Du nur das Attribut gPCUserExtensionNames des groupPolicyContainer Objekts in AD bearbeiten, dort den Abschnitt in eckigen Klammern identifizieren, der die FR CSE enthält und den entfernen Get-GPO "<Name der GPO>" - das liefert dir die GUID. dsa.msc - Erweiterte Features aktivieren - Domain - System - Policies - <GUID>, Rechtsklick "Eigenschaften". Bei Dir gibt es jetzt hier noch die gPCUserExtensionNames. Doppelklick und in notepad kopieren. Dann nach der FR CSE GUID suchen - {25537BA6-77A8-11D2-9B6C-0000F8080861} (https://evilgpo.blogspot.com/2012/11/guids-guids-guids-2.html) Die entfernst Du inklusive der [] am Anfang und Ende und allem, was da sonst noch zwischen diesen Klammern steht (da ist noch die Snapin-CSE dabei und manchmal noch weitere). Oder Du machst es Dir einfach, nimmst dcgpofix (stellt die Originalversion der DDP wieder her) und machst für das, was Du anders brauchst, eine eigene GPO am Domain Head. Oder Du machst es Dir noch einfacher und ignorierst diese unsinnige Fehlermeldung einfach.