Robinho1986 1 Geschrieben Donnerstag um 11:29 Melden Geschrieben Donnerstag um 11:29 Hallo zusammen, ich stehe vor folgender Herausforderung. Aktuell besteht eine AD <-> Azure Synchronisation und wir migrieren unseren Exchange Server in Exchange Online. Viele synchronisierte User haben eine Lizenz, leider haben viele User aber auch keine Lizenz. Lizenzlose User würde ich gerne per SecPol in Gänze erstmal aussperren. Ich habe mir eine dynamische Gruppe gebaut, die alle User enthält, die KEINE Lizenz haben. Mit dieser Gruppe habe ich dann eine SecPol erstellt, die diesen User den Zugriff auf ALLE Ressourcen verbietet. Zusätzlich wird in dieser Pol eine Gruppe ausgeschlossen, die Tenant-Admins enthält. In der Theorie funktioniert dies auch, leider bricht dann trotz Ausschluss die Synchronisation per Azure Connect ab, weil der User keinen Zugriff mehr hat (Obwohl er definitiv bei dieser Secpo ausgeschlossen wird!) Hat jemand eine Idee oder vielleicht Verbesserungsvorschläge? Vielen Dank im Voraus! Zitieren
testperson 1.784 Geschrieben Donnerstag um 11:50 Melden Geschrieben Donnerstag um 11:50 Hi, wo hast du denn hier eine "SecPol" erstellt bzw. was verstehst du hier gerade unter "SecPol"? Und wie steht es um den "On-Premises Directory Synchronization Service Account"? Gruß Jan Zitieren
Robinho1986 1 Geschrieben Donnerstag um 12:15 Autor Melden Geschrieben Donnerstag um 12:15 (bearbeitet) Am 3.4.2025 um 11:50 schrieb testperson: Hi, wo hast du denn hier eine "SecPol" erstellt bzw. was verstehst du hier gerade unter "SecPol"? Und wie steht es um den "On-Premises Directory Synchronization Service Account"? Gruß Jan Mehr Allen Usern ohne Lizenz wird der Zugriff auf jegliche Ressource verweigert. Bei AUSSCHLIEßEN ist der Sync-User ausgeschlossen. Sobald die Regel aktiviert wird, kann der Sync-User nicht mehr syncen. Vielleicht gibt es auch einen besseren Weg? bearbeitet Donnerstag um 12:24 von Robinho1986 Zitieren
testperson 1.784 Geschrieben Donnerstag um 12:32 Melden Geschrieben Donnerstag um 12:32 Okay, wir reden nicht über "SecPol", wir reden über Conditonal Access Policies. Ist der Sync User in der "AllUser_NoLicence"? Falls ja, würde ich ihn aus dem dynamischen Filter ausschließen und testen. Ansonsten mit "What If" oder den Sign In Logs einmal prüfen, ob es tatsächlich an dieser Policy scheitert. Zitieren
Robinho1986 1 Geschrieben Donnerstag um 12:50 Autor Melden Geschrieben Donnerstag um 12:50 Am 3.4.2025 um 12:32 schrieb testperson: Okay, wir reden nicht über "SecPol", wir reden über Conditonal Access Policies. Ist der Sync User in der "AllUser_NoLicence"? Falls ja, würde ich ihn aus dem dynamischen Filter ausschließen und testen. Ansonsten mit "What If" oder den Sign In Logs einmal prüfen, ob es tatsächlich an dieser Policy scheitert. Mehr Ok danke, gucke ich mir an. Und ja, er ist nicht Mitglied der Gruppe. Zitieren
NorbertFe 2.189 Geschrieben Donnerstag um 13:18 Melden Geschrieben Donnerstag um 13:18 Am 3.4.2025 um 11:29 schrieb Robinho1986: Viele synchronisierte User haben eine Lizenz, leider haben viele User aber auch keine Lizenz. Mehr Und warum synchronisierst du die dann? Am 3.4.2025 um 12:15 schrieb Robinho1986: Allen Usern ohne Lizenz wird der Zugriff auf jegliche Ressource verweigert. Mehr Wenn ein User keine Lizenz hat, hat er sowieso keinen Zugriff auf irgendwelche Ressourcen (in der Cloud), oder überseh ich grad was Offensichtliches? 1 Zitieren
testperson 1.784 Geschrieben Donnerstag um 13:41 Melden Geschrieben Donnerstag um 13:41 Wenn wir beim Thema "Lizenzen" sind, müssten die User aber doch mindestens eine Entra Id P1 Lizenz haben, da sie an der Anmeldung mittels Conditional Access gehindert werden. Am 3.4.2025 um 13:18 schrieb NorbertFe: Und warum synchronisierst du die dann? Mehr Ein Grund wäre hier doch, falls sie eine Mailbox auf dem lokalen Exchange haben sollten. Ansonsten müsste man die akzeptierte(n) Domäne(n) ja auf non-authoritative konfigurieren. Zitieren
NorbertFe 2.189 Geschrieben Donnerstag um 13:46 Melden Geschrieben Donnerstag um 13:46 Am 3.4.2025 um 13:41 schrieb testperson: Ein Grund wäre hier doch, falls sie eine Mailbox auf dem lokalen Exchange haben sollten. Ansonsten müsste man die akzeptierten Domänen ja auf non-authoritative konfigurieren. Mehr Nö, genau dann brauchst du KEINE Cloudlizenz. Zitieren
Robinho1986 1 Geschrieben Donnerstag um 13:54 Autor Melden Geschrieben Donnerstag um 13:54 User ohne Lizenz haben sie ein Postfach on prem. Die synchronisierten User können sich aber anmelden bei M365 (vermutlich nichts machen, aber dennoch b***d) und das ohne MFA. Sollte ich für die MFA erzwingen, könnte jeder "Böse" das auch einrichten, wenn er das PW hat. Stecke irgendwie in der Zwickmühle. Zitieren
testperson 1.784 Geschrieben Donnerstag um 13:55 Melden Geschrieben Donnerstag um 13:55 Am 3.4.2025 um 13:46 schrieb NorbertFe: Nö, genau dann brauchst du KEINE Cloudlizenz. Mehr Da bin ich bei dir. Allerdings wäre das der Grund, warum die User gesynced werden (sollten). Ohne Sync habe ich dann online ja keinen Mailuser (Kontakt). Am 3.4.2025 um 13:54 schrieb Robinho1986: Sollte ich für die MFA erzwingen, könnte jeder "Böse" das auch einrichten, wenn er das PW hat. Stecke irgendwie in der Zwickmühle. Mehr Das könntest du dadurch abfangen, dass du "Register security information" per Conditional Access bspw. nur aus trusted Locations erlaubst. Zitieren
NorbertFe 2.189 Geschrieben Donnerstag um 16:23 Melden Geschrieben Donnerstag um 16:23 Am 3.4.2025 um 13:55 schrieb testperson: Da bin ich bei dir. Allerdings wäre das der Grund, warum die User gesynced werden (sollten). Ohne Sync habe ich dann online ja keinen Mailuser (Kontakt). Mehr Das stimmt. :) Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.