Robinho1986 1 Geschrieben Gestern um 11:29 Melden Geschrieben Gestern um 11:29 Hallo zusammen, ich stehe vor folgender Herausforderung. Aktuell besteht eine AD <-> Azure Synchronisation und wir migrieren unseren Exchange Server in Exchange Online. Viele synchronisierte User haben eine Lizenz, leider haben viele User aber auch keine Lizenz. Lizenzlose User würde ich gerne per SecPol in Gänze erstmal aussperren. Ich habe mir eine dynamische Gruppe gebaut, die alle User enthält, die KEINE Lizenz haben. Mit dieser Gruppe habe ich dann eine SecPol erstellt, die diesen User den Zugriff auf ALLE Ressourcen verbietet. Zusätzlich wird in dieser Pol eine Gruppe ausgeschlossen, die Tenant-Admins enthält. In der Theorie funktioniert dies auch, leider bricht dann trotz Ausschluss die Synchronisation per Azure Connect ab, weil der User keinen Zugriff mehr hat (Obwohl er definitiv bei dieser Secpo ausgeschlossen wird!) Hat jemand eine Idee oder vielleicht Verbesserungsvorschläge? Vielen Dank im Voraus! Zitieren
testperson 1.782 Geschrieben Gestern um 11:50 Melden Geschrieben Gestern um 11:50 Hi, wo hast du denn hier eine "SecPol" erstellt bzw. was verstehst du hier gerade unter "SecPol"? Und wie steht es um den "On-Premises Directory Synchronization Service Account"? Gruß Jan Zitieren
Robinho1986 1 Geschrieben Gestern um 12:15 Autor Melden Geschrieben Gestern um 12:15 (bearbeitet) vor 33 Minuten schrieb testperson: Hi, wo hast du denn hier eine "SecPol" erstellt bzw. was verstehst du hier gerade unter "SecPol"? Und wie steht es um den "On-Premises Directory Synchronization Service Account"? Gruß Jan Allen Usern ohne Lizenz wird der Zugriff auf jegliche Ressource verweigert. Bei AUSSCHLIEßEN ist der Sync-User ausgeschlossen. Sobald die Regel aktiviert wird, kann der Sync-User nicht mehr syncen. Vielleicht gibt es auch einen besseren Weg? bearbeitet Gestern um 12:24 von Robinho1986 Zitieren
testperson 1.782 Geschrieben Gestern um 12:32 Melden Geschrieben Gestern um 12:32 Okay, wir reden nicht über "SecPol", wir reden über Conditonal Access Policies. Ist der Sync User in der "AllUser_NoLicence"? Falls ja, würde ich ihn aus dem dynamischen Filter ausschließen und testen. Ansonsten mit "What If" oder den Sign In Logs einmal prüfen, ob es tatsächlich an dieser Policy scheitert. Zitieren
Robinho1986 1 Geschrieben Gestern um 12:50 Autor Melden Geschrieben Gestern um 12:50 vor 17 Minuten schrieb testperson: Okay, wir reden nicht über "SecPol", wir reden über Conditonal Access Policies. Ist der Sync User in der "AllUser_NoLicence"? Falls ja, würde ich ihn aus dem dynamischen Filter ausschließen und testen. Ansonsten mit "What If" oder den Sign In Logs einmal prüfen, ob es tatsächlich an dieser Policy scheitert. Ok danke, gucke ich mir an. Und ja, er ist nicht Mitglied der Gruppe. Zitieren
NorbertFe 2.186 Geschrieben Gestern um 13:18 Melden Geschrieben Gestern um 13:18 vor 1 Stunde schrieb Robinho1986: Viele synchronisierte User haben eine Lizenz, leider haben viele User aber auch keine Lizenz. Und warum synchronisierst du die dann? vor einer Stunde schrieb Robinho1986: Allen Usern ohne Lizenz wird der Zugriff auf jegliche Ressource verweigert. Wenn ein User keine Lizenz hat, hat er sowieso keinen Zugriff auf irgendwelche Ressourcen (in der Cloud), oder überseh ich grad was Offensichtliches? 1 Zitieren
testperson 1.782 Geschrieben Gestern um 13:41 Melden Geschrieben Gestern um 13:41 Wenn wir beim Thema "Lizenzen" sind, müssten die User aber doch mindestens eine Entra Id P1 Lizenz haben, da sie an der Anmeldung mittels Conditional Access gehindert werden. vor 21 Minuten schrieb NorbertFe: Und warum synchronisierst du die dann? Ein Grund wäre hier doch, falls sie eine Mailbox auf dem lokalen Exchange haben sollten. Ansonsten müsste man die akzeptierte(n) Domäne(n) ja auf non-authoritative konfigurieren. Zitieren
NorbertFe 2.186 Geschrieben Gestern um 13:46 Melden Geschrieben Gestern um 13:46 vor 5 Minuten schrieb testperson: Ein Grund wäre hier doch, falls sie eine Mailbox auf dem lokalen Exchange haben sollten. Ansonsten müsste man die akzeptierten Domänen ja auf non-authoritative konfigurieren. Nö, genau dann brauchst du KEINE Cloudlizenz. Zitieren
Robinho1986 1 Geschrieben Gestern um 13:54 Autor Melden Geschrieben Gestern um 13:54 User ohne Lizenz haben sie ein Postfach on prem. Die synchronisierten User können sich aber anmelden bei M365 (vermutlich nichts machen, aber dennoch b***d) und das ohne MFA. Sollte ich für die MFA erzwingen, könnte jeder "Böse" das auch einrichten, wenn er das PW hat. Stecke irgendwie in der Zwickmühle. Zitieren
testperson 1.782 Geschrieben Gestern um 13:55 Melden Geschrieben Gestern um 13:55 vor 8 Minuten schrieb NorbertFe: Nö, genau dann brauchst du KEINE Cloudlizenz. Da bin ich bei dir. Allerdings wäre das der Grund, warum die User gesynced werden (sollten). Ohne Sync habe ich dann online ja keinen Mailuser (Kontakt). vor 5 Minuten schrieb Robinho1986: Sollte ich für die MFA erzwingen, könnte jeder "Böse" das auch einrichten, wenn er das PW hat. Stecke irgendwie in der Zwickmühle. Das könntest du dadurch abfangen, dass du "Register security information" per Conditional Access bspw. nur aus trusted Locations erlaubst. Zitieren
NorbertFe 2.186 Geschrieben vor 21 Stunden Melden Geschrieben vor 21 Stunden vor 2 Stunden schrieb testperson: Da bin ich bei dir. Allerdings wäre das der Grund, warum die User gesynced werden (sollten). Ohne Sync habe ich dann online ja keinen Mailuser (Kontakt). Das stimmt. :) Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.