Kategorie: Microsoft Azure

Die Bedeutung von Multifaktorauthentifizierung

22. Dezember 202316. Dezember 2023 Daniel Lensing Keine Kommentare

In einer Welt, die zunehmend von digitalen Technologien geprägt ist, steht die Sicherheit unserer persönlichen Informationen an vorderster Stelle. Die ständig wachsende Bedrohung durch Cyberkriminalität erfordert innovative Lösungen, um unsere digitalen Identitäten zu schützen. In diesem Zusammenhang spielt die Multifaktorauthentifizierung (MFA) eine entscheidende Rolle.

Die herkömmliche Methode der Authentifizierung, die auf Benutzername und Passwort basiert, ist anfällig für verschiedene Arten von Angriffen. Phishing, Brute-Force-Angriffe und gestohlene Passwörter sind nur einige Beispiele für die Gefahren, denen wir täglich ausgesetzt sind. Hier setzt die Multifaktorauthentifizierung an, indem sie eine zusätzliche Sicherheitsebene hinzufügt und die Wahrscheinlichkeit von unbefugtem Zugriff erheblich reduziert.

Das grundlegende Prinzip der MFA besteht darin, dass der Benutzer sich nicht nur mit seinem Passwort anmelden muss, sondern auch einen zusätzlichen Faktor vorweisen muss. Dieser zusätzliche Faktor kann etwas sein, das der Benutzer weiß (Wissen), wie ein PIN-Code, etwas, das der Benutzer hat (Besitz), wie ein Smartphone oder ein Sicherheits-Token, oder etwas, das der Benutzer ist (Biometrie), wie Fingerabdrücke oder Gesichtserkennung.

Ein wichtiger Vorteil der Multifaktorauthentifizierung besteht darin, dass sie den menschlichen Faktor berücksichtigt. Selbst das stärkste Passwort kann durch Nachlässigkeit oder Unachtsamkeit gefährdet werden. MFA minimiert dieses Risiko, da selbst bei Kenntnis des Passworts zusätzliche Authentifizierungsmethoden erforderlich sind, um auf ein Konto oder System zuzugreifen.

Viele Unternehmen und Organisationen bieten bereits MFA als Option an. Durch die Aktivierung der Multifaktorauthentifizierung tragen wir nicht nur zur eigenen Sicherheit bei, sondern auch zum Schutz unserer persönlichen Daten und der digitalen Infrastruktur im Allgemeinen.

Es ist wichtig zu verstehen, dass die Multifaktorauthentifizierung nicht nur für Unternehmen relevant ist, sondern auch für den persönlichen Gebrauch. Unsere Online-Identitäten sind genauso wertvoll wie die Informationen von Unternehmen, und wir sollten dieselbe Sorgfalt walten lassen, um sie zu schützen.

In Zeiten zunehmender digitaler Vernetzung und fortschreitender Technologien müssen wir proaktiv handeln, um unsere Sicherheit zu gewährleisten. Die Multifaktorauthentifizierung ist ein einfaches und effektives Werkzeug, das uns dabei unterstützt, einen weiteren Schritt in Richtung einer sichereren digitalen Zukunft zu gehen.

Amazon AWS, Arbeitszimmer, Client, Cloud, Internet, Leben Beruf und Gesundheit, Microsoft Azure, Office 365, Telekommunikation, Windows 10, Windows 11

Aus „Azure Active Directory“ wird „Microsoft Entra“

12. Juli 202312. Dezember 2023 Daniel Lensing Keine Kommentare

Ausgestreckter Arm, der eine Visitenkarte vorzeigt – Photo by Pixabay

Am 11.07.2023 hat Microsoft verkündet das der Name „Azure Active Directory“ bzw. „Azure AD“ oder „AAD“ von Microsoft durch die Bezeichnung „Microsoft Entra“ bis Ende des Jahres ersetzt wird.

Alte Bezeichnung	*Neue Bezeichung*
Azure AD tenant	Microsoft Entra tenant
Azure AD account	Microsoft Entra account
Azure AD External Identities	Microsoft Entra External ID
Azure AD joined	Microsoft Entra joined
Azure AD single sign-on	Mcrosoft Entra single sign-on
Azure AD Conditional Access	Microsoft Entra Conditional Access
Azure AD Free	Microsoft Entra ID Free
Azure AD Premium P1	Microsoft Entra ID P1
Azure AD Premium P2	Microsoft Entra ID P2

In der Lizensierung „Microsoft 365 E3“ wird automatisch „Microsoft Entra ID P1“ enthalten sein. Das gleiche Prinzip wird auch für die „Microsoft Entra ID P2“ und der Lizensierung „Microsoft 365 E5“ angewandt.

Die folgenden Bezeichnungen werden nicht verändert:

Microsoft Authentication Libary (MSAL)
Microsoft Graph
Microsoft Graph Powershell
Windows Server Active Directory
Active Directory (AD)
Active DirectoryFederation Services (AD FS)
Active Directory Domain Services (AD DS)
Azure Active Directory B2C

Diese beschreiben entweder On-Premise-Applikationen bzw. Services, die nicht direkt mit dem „Indentity and Access Management“ der Microsoft Entra zusammenhägen.

Weitere Informationen gibt es im Artikel von Microsoft.

Cloud, IT-Nachrichten, Microsoft Azure, Windows Server

Azure Active Directory – User-Papierkorb

8. September 20228. September 2022 Daniel Lensing 1 Kommentar

Standardmäßig gibt es im Azure Active Directory einen „Papierkorb“ für gelöschte Benutzer. Dieser hält gelöschte Userobjekte für 30 Tage mit allen Eigenschaften zur Verfügung.

Zum Beispiel können über Access Reviews oder weitere Methoden Anwender automatisch oder samt eines Genehmigungsprozesses bereinigt werden. Die entsprechend bearbeiteten Objekte werden entsprechend in die Option „Gelöschte Benutzer“ überführt.

Aus diesem können auch die User im Falle eines ungewollten Löschens wieder zur Verfügung gestellt werden. Es gibt allerdings auch die Möglichkeit Userobjekte vor dem Ablauf der 30 Tage endgültig zu löschen.

Endgültig gelöschte Benutzer können allerdings nicht wiederhergestellt werden. Dieses gilt auch für den Microsoft-Support.

Microsoft Azure

Powershell: Kopieren von AzureAD-Gruppe des Typs Sicherheit

7. Januar 20226. Januar 2022 Daniel Lensing Keine Kommentare

Im Rahmen einer größeren Migration mussten Gruppen in der AzureAD kopiert werden, um diese neu zu berechtigen.

Mit dem folgenden Skript werden bei Gruppen, bei denen die Mitgliedschaften zugewiesen werden, die Besitzer (Owner) sowie die Mitglieder (Member) übernommen. Bei Gruppen mit dynamischer Mitglieder-Zuordnung wird das entsprechende Regelwerk übernommen und aktiviert.

#Variablen-Definition
$SourceGroup ="Gruppe_1A"
$DestinationGroup ="Gruppe_2A"

### Skript-Start
#Verbindungsaufbau zum Azure AD
Connect-AzureAD

#Ermittlung der Standard-Parameter der Source-Gruppe
$SourceObjectStatic = Get-AzureADGroup -Filter "DisplayName eq '$SourceGroup'"
$SourceObjectDynamic = Get-AzureADMSGroup -Filter "DisplayName eq '$SourceGroup'"

#Abfrage nach Gruppentyp "Dynamisch"
if ($SourceObjectDynamic.GroupTypes -eq "DynamicMembership") {
### Gruppentyp "Zugewiesen"

#Erstellung der neuen AzureAD-Gruppe
New-AzureADMSGroup -MembershipRule $SourceObjectDynamic.MembershipRule -DisplayName $DestinationGroup -SecurityEnabled $SourceObjectStatic.SecurityEnabled -MailEnabled $SourceObjectStatic.MailEnabled -MailNickname $SourceObjectStatic.MailNickName -MembershipRuleProcessingState "On" -GroupTypes @("DynamicMembership")

}

else {
### Gruppentyp "Zugewiesen"

#Erstellung der neuen AzureAD-Gruppe
New-AzureADGroup -DisplayName $DestinationGroup -MailEnabled $SourceObjectStatic.MailEnabled -SecurityEnabled $SourceObjectStatic.SecurityEnabled -MailNickName $SourceObjectStatic.MailNickName -Description $SourceObjectStatic.Description

#Ermittlung der Standard-Parameter der Destination-Gruppe
$DestinationObject = Get-AzureADGroup -Filter "DisplayName eq '$DestinationGroup'"

#Ermittlung der Mitglieder
$SourceMembers = Get-azureadgroupmember -Objectid $SourceObjectStatic.ObjectId -all $true

#Setzen der Mitglieder in Ziel-Gruppe
Foreach ($Destinationmember in $Sourcemembers){
Add-AzureADGroupMember -ObjectId $DestinationObject.ObjectId -RefObjectId $destinationmember.ObjectId
}

#Ermittlung der Besitzer
$SourceOwners = Get-azureadgroupOwner -Objectid $SourceObjectStatic.ObjectId -all $true

#Setzen der Mitglieder in Ziel-Gruppe
Foreach ($DestinationOwner in $SourceOwners){
Add-AzureADGroupOwner -ObjectId $DestinationObject.ObjectId -RefObjectId $DestinationOwner.ObjectId
}


}

Microsoft Azure, Powershell

Powershell: Auslesen von Gruppen aus Azure-Unternehmensanwendungen

13. Oktober 202113. Oktober 2021 Daniel Lensing Keine Kommentare

Im Rahmen einer Aktualisierung mussten die Anwender von mehreren Unternehmensapplikationen ermittelt werden.

Dazu wollte ich allerdings nur den Applikationsnamen definieren und eine entsprechenden CSV-Export erhalten. Bei meiner ersten Analyse fiel mir dann direkt auf, dass bei den betroffenen Zuordnungen nur Gruppen Definiert sind. Entsprechend ist das Skript aktuell nur auf diesen Sachverhalt abgestimmt.

#Definition der Azure-Unternehmensanwendung
$app_name = "Demo App"

#Definition der Exportdatei
$ExportFileCsv = "E:\DemoCompany\Export\AppUsers.csv"

### ----- Beginn Skripting ----- ###

#Verbindung zur AzureAD aufbauen
Connect-AzureAD

#Ermittlung der Applikationsdaten
$sp = Get-AzureADServicePrincipal -Filter "displayName eq '$app_name'"

#Ermittlung der Angebundenen Azure AD-Gruppen
$assignments = Get-AzureADServiceAppRoleAssignment -ObjectId $sp.ObjectId -All $true

#Verarbeitung der eingetragenen Gruppen
$groupMembers = foreach ($group in $assignments){

    #Ermittlung der Daten zur aktuellen Gruppe 
    $AzureADgroup = Get-AzureADGroup -SearchString $group.PrincipalDisplayName
            
    #Definition der ObjectID der aktuellen Gruppe
    $ObjectId = $AzureADgroup.ObjectId
    #Definition des Displaynames der aktuellen Gruppe
    $GroupName = $AzureADgroup.DisplayName

    #Kurze Pause...
    Start-Sleep -Milliseconds 200

    #Ermittlung der Mitglieder der aktuellen Gruppe
    Get-AzureADGroupMember -ObjectId $ObjectId | Select-Object -Property @{Name = 'GroupName'; Expression= {$GroupName}}, DisplayName, UserPrincipalName

}
#Export der ermittelten Daten in das Export-CSV
$groupMembers | Export-Csv -Path $ExportFileCsv -NoTypeInformation -Append -Encoding UTF8 -Delimiter ";"

Eine Erweiterung, so dass neben den Gruppen auch die Benutzer ermittelt werden, ist bereits auf dem ToDo-Zettel und wird eine V2.

Microsoft Azure, Powershell

Power Automate: Terminübersicht per Mail zusenden

3. Januar 202027. Dezember 2019 Daniel Lensing 3 Kommentare

Für mich ergibt es in vielen Situationen Sinn, dass ich eine kurze Übersicht der aktuellen Termine aus dem Microsoft Outlook für die kommenden Stunden bekomme. Diese lasse ich mir gerne per Mail zustellen. Außerdem kann ich diese Liste entsprechend weiterleiten, so dass auch weitere Personen davon partizipieren können.

Dazu habe ich mir unter „Microsoft Power Automate“ (ehemals Microsoft Flow) einen Ablauf gebaut. Für mich persönlich macht es am meisten Sinn ihn als Schaltfläche zu starten. Es ist aber auch möglich diesen anzupassen, um diesen zu einer gewissen Uhrzeit zu starten.

Der Ablauf sieht wie folgt aus:

Löst einen Flow manuell aus
Es ist keine Eingabe erforderlich
Kalenderansicht der der Termine abrufen (V3)
Kalender-ID: Kalender
Startzeit: Ausdruck „utcNow()“
Endzeit: Ausdruck „addHours(utcnow(),10)“
Mit der 10 werden die Stunden angegeben, welche im Kalender abgefragt werden
Array filtern
von: „value“
Im erweiterten Modus bearbeiten „@not(equals(item()?[‚isAllDay‘], True))“
Damit werden die ganztägigen Termine aus der Übersicht ausgeschlossen
Variable initialisieren
Name: „EventLists“
Typ: Array

Ab hier wird das Array abgearbeitet:

- Auf alle anwenden
  Ausgabe von vorherigen Schritten: „Körper“
- Html to text (Vorschau)
  Content: „Text“
- Zeitzone konvertieren
  Objekt wurde umbenannt in „KONV Starttime“
  Basiszeit: „Startzeit“
  Formatzeichenfolge: „dd.MM.yyyy HH:mm“
  Quellzeitzone: „(UTC) Koordinierte Weltzeit
  Zielzeitzone (UTC+01:00) Amsterdamm, Berlin, Bern, Rom Stockholm, Wien
  Damit bekommt man die korrekte Zeit in einem gekürzten Format übertragen

- Zeitzone konvertieren
  Objekt wurde umbenannt in „KONV Endtime“
  Basiszeit: „Endzeit“
  Formatzeichenfolge: „dd.MM.yyyy HH:mm“
  Quellzeitzone: „(UTC) Koordinierte Weltzeit
  Zielzeitzone (UTC+01:00) Amsterdamm, Berlin, Bern, Rom Stockholm, Wien
  Damit bekommt man die korrekte Zeit in einem gekürzten Format übertragen

Verfassen
{
„Terminname“: „Betreff“,
„Startzeit“: „Konvertierte Zeit“ aus „KONV Starttime“,
„Endzeit“: „Konvertierte Zeit“ aus „KONV Endtime“,
„Ort“: „Standort“
}
Am Arrayvariable anfügen
Name: „EventLists“
Wert: „Ausgaben“

Ab hier wird das Array verarbeitet:

- HTML-Tabelle erstellen
  Von: „EventLists“
  Spalten: „Automatisch“
- E-Mail senden (V2)
  An: „E-Mail-Adresse des Benutzers“ aus „Löst einen Flow manuell aus“
  Betreff: „[MPA] Terminliste“
  Ich tagge alle Mails aus automatisierten Prozessen gern, um diese schneller wiederzufinden.
  Text: „Ausgabe“ aus „HTML-Tabelle erstellen“
  Priorität: „Normal“
  Ohne Angabe der Priorität wird diese auf „Niedrig“ definiert.

Somit erhält man eine schnelle Übersicht der Termine per Mail.
Zusätzlich war dieser Ablauf ein Test für einen neuen Prozess, den ich in Zukunft erstellen und dann ebenfalls vorstellen möchte.

Microsoft Azure, Power Automate

Intune: Begrenzung bei Benachrichtigungsvorlage

4. November 20193. November 2019 Daniel Lensing Keine Kommentare

Sollte zum Beispiel Aktualisierungen auf dem System fehlen, werden Zugriffe auf die Online-Dienste gesperrt. Es können automatisch Mails an die Endanwender versandt werden, wenn ein Gerät entsprechd nicht mehr den Definitionen entspricht.

Über den Zustand des Systems wird ein definiertes Template versandt. Diese Vorlage beinhaltet eine Betreffzeile sowie den Nachrichtenblock im Textformat sowie Möglichkeiten für Kopf- und Fußzeilen. Bei der Erstellung eines kundenspezifischen Textes fiel mir auf, dass ich auf eine Fehlermeldung stieß.

Die Fehlermeldung benannte mir, dass ich zu viele Zeichen nutzen würde. Im Bereich der Microsoft Dokumentation wurde ich leider nicht fündig. Nach einem eigenen Test kann ich nun mitteilen, dass das Feld auf 2000 Zeichen begrenzt wird.

Vielleicht hilft diese Information anderen. Generelles findet man unter dem Link in den Microsoft Docs.

Microsoft Azure