StefanWe

Ich habe es jetzt mit New-RemoteMailbox probiert. User wurde on Premise angelegt, taucht im Exchange als Office 365 Postfach auf, ist aber nach 5 Minuten noch nicht im Office 365 Portal, noch im Exchange Online sichtbar. (Vermutlich ist der Sync noch nicht gelaufen) Was ich jetzt aber nicht schlimm finde. Jetzt aber doof gefragt, durch das *-RemoteMailbox erhält der User die Attribute für Exchange. Würde also doch bedeuten, sobald irgendwann der Sync läuft, wird das Exchange Online Postfach eingerichtet. Es kann mir aber nicht passieren, das ein Ex Online Postfach eingerichtet wird, der On Premise Exchange dies aber nicht mitbekommt. Richtig?

Das ist genau der Punkt. Der User muss im Active Directory angelegt werden. Er kommt in eine Gruppe. Durch den ADConnect wird der User synchronisiert, und die Lizenz automatisch durch die Gruppe zugewiesen. Das dauert. Die Frage ist ja, wenn ich einen User erstelle im Active Directory, kann ich diesem doch nicht sofort eine Remote Mailbox erstellen. Oder doch?

Hallo, wir betreiben derzeit Exchange als hybride Lösung. Nur wenige Benutzer sind online. Das soll auch so bleiben, erstmal. Dennoch, wenn ein neues Postfach benötigt wird, muss dieses ja on premise angelegt werden, bevor es verschoben werden kann. Dabei ist der jeweils Sync von adconnect zu beachten. wie legt ihr die Postfächer an, am besten gescripted, damit diese in eins in die cloud wandern und man nicht sich ewig mit der Erstellung und dem Verschieben beschäftigt?

ich glaube ich konnte das Problem selbst lösen. MFA mit conditional Access ist sofort aktiv, sobald die erste Regel erstellt und für einen User / Gruppe greift. Sobald man MFA per User aktiviert, wird conditional Access deaktiviert und MFA ist für alle Dienste aktiv.

Hallo, ich bin gerade dabei und teste bzw. bereite den Rollout für Azure MFA vor. Aktuell habe ich einen kleinen Personenkreis auserkohren und diese in der per User MFA Konsole auf "erzwungen" gesetzt. Im selben Schritt möchte ich eine Cloud Anwendung für MFA erzwingen. Daher habe ich Conditional Access so konfiguriert, das nur diese User und nur für diese Cloud App MFA genutzt werden soll. Es handelt sich bei der Cloud App NICHT um Teams. Dennoch, verlangt nun Teams bei jeder Anmeldung eine MFA Authentifizierung. Auch, als ich eben auf das portal.azure.com zugegriffen habe, musste ich mich mittels MFA authentifizieren. Ich frage mich, woher kommt das. Ist das by Design? Ich möchte zur Zeit erstmal nur die eine Cloud App mittels MFA absichern, sonst nichts.

Ist ja mit Always On VPN auch genau so mies. Keine schöne Lösung.

Genau. Es reicht die lokale, interaktive Anmeldung. Von diversen Anbietern, richtig. Aber durch unseren vorhandenen M365 Vertrag und der bereits im Einsatz befindetn MS MFA Lösung, würden wir diese natürlich auch gerne für die lokale Anmeldung mit nutzen, um nicht noch ein weiteres MFA Produkt kaufen zu müssen.

Hallo, bei uns kam die Frage auf, ob wir mittels MFA die interaktive Anmeldung von kritischen Personen absichern können. Bspw. der HR Abteilung. Dafür müsste es ja einen Credential Provider von MS geben. Ich habe da aber bis jetzt nichts gefunden. Ist euch so etwas bekannt?

Hallo, wir betreiben einen ADFS 2016 welcher für uns die Device Registration übernimmt. Dies funktioniert soweit auch. Also die Geräte sind in Azure registriert und da wo wir testweise Hello for Business verwenden, funktioniert dies einwandfrei. Ich sehe aber im Eventlog vom Device Registration Server die folgende Fehlermeldung mit Error Code 144 No certificate could be found on the Device Registration Service object that can be used as the issuing certificate. Ein Get-AdfsDeviceRegistration ergibt folgendes PS C:\> Get-AdfsDeviceRegistration DrsObjectDN : CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=hen,DC=de DevicesPerUser : 0 MaximumInactiveDays : 0 DeviceObjectLocation : CN=RegisteredDevices,DC=hen,DC=de IsAdfsServiceAuthorizationReady : True IsDirectoryConfigured : True IsDeviceAuthenticationReady : True IssuanceAuthorizationRules : IssuanceTransformRules : @RuleName = "Pass through all claims but group SIDs" c:[Type !~ "^(?i).+(group|primarygroup)+sid$"] => issue(claim = c); @RuleName = "Issue Permit Device Registration claim" => issue(Type = "http://schemas.microsoft.com/authorization/claims/PermitDeviceRegistration", Value = "true"); @RuleName = "Issue Custom Quota to Administrators" [Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "^(?i)S-1-5-21-\d{1,10}-\d{1,10}-\d{1,10}-512$"] => issue(Type = "http://schemas.microsoft.com/authorization/claims/deviceregistrationquota", Value = "2147483647"); @RuleName = "Issue Account Store Claim" c:[Type == "http://schemas.microsoft.com/ws/2014/01/identity/claims/accountstore"] => issue(Type = "http://schemas.microsoft.com/authorization/claims/accountStore", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType); @RuleName = "Issue Inside Corp Network Claim" c:[Type == "http://schemas.microsoft.com/ws/2014/01/identity/claims/insidecorporatenetwork"] => issue(Type = "http://schemas.microsoft.com/authorization/claims/insidecorporatenetwork", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType); @RuleName = "MFA for Domain Joined Machines" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "515$"] => issue(Type = "http://schemas.microsoft.com/ws/2012/01/accounttype", Value = "DJ"); @RuleName = "Object identifier" c1:[Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", Value == "DJ", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"] && c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/identity/claims/objectidentifier"), query = ";objectguid;{0}", param = c2.Value); @RuleName = "On-Prem Object GUID" c1:[Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", Value =~ "DJ", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"] && c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/identity/claims/onpremobjectguid"), query = ";objectguid;{0}", param = c2.Value); @RuleName = "Primary SID" c1:[Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", Value =~ "DJ", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"]&& c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"] => issue(claim = c2); AllowedAuthenticationClassReferences : {ngcmfa, wiaormultiauthn} AdditionalAuthenticationRules : AccessControlPolicyName : Permit everyone and require MFA, allow automatic device registration AccessControlPolicyParameters : ResultantPolicy : RequireFreshAuthentication:False IssuanceAuthorizationRules: { Permit users with 'http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid' claim regex matches '-515$' in the request; Permit users and when authentication includes MFA except with 'http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid' claim regex matches '-515$' in the request; Permit users with 'http://schemas.microsoft.com/claims/authnmethodsreferences' claim equals to 'http://schemas.microsoft.com/claims/wiaormultiauthn' in the request } PS C:\> Im Internet finde ich dazu eigentlich gar nichts. Ansonsten funktioniert auch alles auf dem ADFS, Ist jemand schon mal über den Fehler gestolpert, bzw. hat Ideen, wo man zwecks Fehlersuche starten kann?

Hallo, wir haben ein über 20 Jahre gewachsenes Active Directory und File Services. Mittlerweile sind dort eine Menge an Gruppen entstanden, die vermutlich zum Teil gar nicht mehr genutzt werden. Kennt ihr ein Tool, welches Fileserver durchsucht und die Verzeichnisse auflistet, auf der die Gruppe berechtigt ist? Ich finde leider immer nur Tools die einen Report erzeugen, welche Gruppen auf welchen Verzeichnissen berechtigt sind, aber in diesem Fall soll der Suche ja über die Gruppe laufen.

Im Grunde ist das genau das was wir haben. Allerdings sind die Zertifikate aktuell auf den DC's und die betroffenen Anwender geben ihr Kennwort richtig ein. Sonst würden sie ja auch nirgends drauf zugreifen können.

Hallo, wir analysieren seit einiger Zeit unsere Security Logs der Domänencontroller und sehen immer wieder viele Events vom Typ 4771 Statios 0x18 "kerberos pre authentication failed". Gerade aktuell haben wir ein Benutzer, welcher einen mobilen Laptop nutzt. Er hat letzte Woche sein Kennwort geändert und danach das Gerät auch neugestartet. Hier haben wir ca. pro Stunde 600 solcher Events. Sein Konto wird aber nicht gesperrt und auch ansonsten ist er überhaupt nicht eingeschränkt. Einzig, wir sehen die Fehler Events. Ab und zu haben wir dieses Verhalten eben auch bei anderen Accounts. Nun ist die Frage, woher kommende diese Meldungen? Und vor allem, warum?

Eigentlich die Smartcards selbst. Gemalto immernoch ok. Die kenn ich ja ;) sonst noch Alternativen? Ggf. Welche Manager?

Hallo, bin am überlegen, für die Admin Accounts Smartcards zu beschaffen. Aus der Vergangenheit kenn ich hier ganz gut Safenet Authentication Manager. ist allerdings etwas oversized. Hintergrund ist die Abschaffung der Kennwörter für diese Accounts. Welche Cards bzw. Verwaltung kennt ihr und könnt ihr empfehlen?

Hallo, wir haben zig Surface pro 5 und 7 als i5 und 8 gb RAM Edition angeschafft. Seit längerem klagen die Anwender massiv über Performance Probleme und der Akku würde keine 4 Stunden halten. derzeit es Win 1909 deployed und als AV Schutz Trend Micro Apex One. Gerade MS Teams macht den Geräten zu Schaffen. Ein vergleichbarer Dell 5400 mit i5 und 8gb RAM kommt deutlich performanter rüber. kennt ihr das Problem? Liegt es einfach an der Bauweise vom Gerät? Wie ist eure Erfahrung mit den Geräte ?

Hallo, wir hatten vor ca. 2 Jahren den Versuch unternommen, Windows Hello (nicht Hello for Business) auf unseren Geräten zu aktivieren. Das hat soweit auch funktioniert. Nun haben wir schon seit längerer Zeit festgestellt, dass beim Wechsel des Kennwortes es immer wieder zu Problemen kommt. Daher haben wir in der GPO Windows Hello deaktiviert. Es kann also bei neuen Geräten nicht mehr aktiviert werden. Aber alle Bestandsgeräte, die es einmalig aktiviert haben, können es weiterhin nutzen. Kennt ihr eine Möglichkeit, Windows Hello (PIN + Biometrie) restlos zu deaktivieren?

Hallo, wir wollen einen Gesamtüberblick unserer Umgebung haben und möchten gerne alle sicherheitsrelevanten eventlog ids einsammeln und prüfen. anfangen würden wir mit den Domänen Controllern und adfs. gibt es da von Microsoft eine Best Practise Liste? Ist euch etwas bekannt? Ggf. irgendwo ein Blog Eintrag?

Es scheint der folgende Regkey zu helfen. HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\AutoDiscover Create a DWORD named ExcludeExplicitO365Endpoint Set value to 1 Restart Outlook Die Frage ist nur, verbauen wir uns damit etwas wenn wir später mal auf exchange online migrieren.

Hallo, wir betreiben einen Exchange 2016 DAG Cluster mit CU 18. Authentifizierung am Exchange (Outlook Anywhere) steht auf Kerberos, bzw. Negotiate. In Vorbereitung auf die neue Office 2019 Version haben wir einige Benutzer schon umgestellt. Diese erhalten manchmal, aber einige auch immer beim Start von Outlook 2019 eine Kennwortabfrage, so wie man sie von Basic Authentication kennt. Bei Outlook 2016 war alles gut. Wir haben schon im Windows Anmeldespeicher alle alten gespeicherten Kennwörter entfernt, dennoch kommt immer mal wieder diese Meldung. Woran liegt das? Bzw. wie bekommen wir das abgestellt?

Hallo, ich versuche gerade etwas Grundlagenwissen aufzubauen im Bereich oauth und Azure b2c. Wir möchten gern ein b2c aufbauen und dort verschiedene Applikationen anbinden. Das b2c soll als zentrale Authentifizierungsstelle dienen. die Anwendungen sind Web Apps oder Rest Webservices. Ich kann im b2c Applikationen registrieren und die Authentifizierung funktioniert. aber wie steuere ich nun, welcher Benutzer welche Anwendung/Webservice bzw. Endpunkt nutzen darf.

Aber damit würdest du dann ja auch auf dem Admin PC surfen und das ist ja nicht gewollt.

Habs mir schon gedacht. Werden wir dann wohl so umsetzen. Danke.

Hallo, es macht ja nur Sinn, seine tägliche Arbeit als Administrator mit einem normalen Benutzer durchzuführen und nicht mit seinem Admin Benutzer. Nun möchte man manchmal Dateien auf oder von einem Server kopieren und nutzt dafür die Dateifreigabe. Manchmal gern auch die Adminfreigabe wie c$. Windows erlaubt die Anmeldung an einem entfernten System nur mit einem Benutzer. Daher kommt es häufig vor, dass man eine "aktive" Anmeldung am Server mit seinem normalen Benutzer hat und sich dann nicht mit seinem Admin Benutzer auf die c$ Freigabe zugreifen kann. Hier hilft nur abmelden vom Client und neuanmelden, was ziemlich nervt. Kennt jemand eine alternative Lösung ?

Ist vielleicht etwas Off topic dazu, aber womit würdest du solch einen einfaches Webservice erstellen?

Danke, über die Customization Page bin ich auch schon gestoßen. Schön ist das mit dem Description Text nicht. Habt ihr die Anforderung noch nie bekommen ? Woher soll der Anwender auch wissen, was als Komplexität gilt, wenn es ihm nicht angezeigt wird?