Off-Boarding von Hybrididentitäten mit Microsoft Entra ID

Im Kontext der „Hybrididentität mit Microsoft Entra ID“ bezieht sich die Synchronisation von Identitäten (Benutzer, Gruppen, Geräte, Kontakte und öffentliche Ordner) auf die Verbindung zwischen dem lokalen Verzeichnisdienst eines Microsoft Netzwerks (Active Directory, AD) und dem Verzeichnisdienst der Microsoft Cloud (früher Azure AD, jetzt Microsoft Entra).

Wenn aktive Identitäten, die sich im Identitäts-Hybrid befinden, im lokalen AD gelöscht werden, kann es zu verwaisten Identitäten in der Microsoft Cloud (orphaned objects in Azure AD) kommen, was grundsätzlich vermieden werden sollte.

Ein klar definierter Prozess bzw. Workflow „Off-Boarding von Identitäten im Identitäts-Hybrid“ kann hier Abhilfe schaffen. Dieser sieht wie folgt aus:

  1. Entfernen der Identität aus dem Identitäts-Hybrid.
  2. Abwarten eines Synchronisations-Intervalls des Identitäts-Hybrids.
  3. Danach kann die lokale Identität problemlos gelöscht werden.

Wie könnt ihr verwaiste Identitäten erkennen?

  • Über die Verwaltungswebseite Directory sync errors im Microsoft 365 Admin Center.
  • Per PowerShell-Befehl: Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict.
  • Über den Synchronization Service Manager.

Wie könnte Ihr die verwaisten Identitäten entfernen

hier würde ich gerne auf eine externe Quelle verweisen, die das ausführlich beschreibt

Quelle [16.1.2024] https://janbakker.tech/how-to-deal-with-orphaned-objects-in-azure-ad-connect/

RDCMan Error > There ware problems decrypting some credentials

Der Remote Desktop Manager (RDCMan) von Microsoft ist ein praktikables und kostenloses Tool von Microsoft, um mehrere Remote-Desktop-Verbindungen zu verwalten.

Leider gibt es Probleme beim verschlüsseln von Sub-Account und es kommt zu folgender Fehlermeldung

folgenden Workflow haben ich im Netz gefunden, um das Problem zu beheben

Fortunately the fix is to edit the configuration files and strip out the credentials:

  1. Close Remote Desktop Connection Manager
    1. if you don’t close RDC Manager first, your changes will not stick
  2. Right click on any RDG file and open it with your favorite plain text editor like Notepad or Notepad++
  3. Delete everything between <CREDENTIALSPROFILES> and </ CREDENTIALSPROFILES>
  4. Save the file
  5. Be happy

Quelle [26.07.2024] SOLVED: VIDEO: Fix RDCMan Error – Problems Decrypting Some Credentials – Up & Running Inc – Tech How To’s (urtech.ca)

Zurücksetzen des Software Key von Windows Hello for Business (WHfB)

Windows Hello bzw. for Business macht Passwörter überflüssig. Hierzu werden PIN’s, Zertifikate, FIDO2 oder Biometrische Anmeldeoptionen eingerichtet. Windows Hello ist für den Privathaushalt und Windows Hello for Business (WHfB) eine managebare Lösung für den Business Bereich.

Bei WHfB wird ein Key erzeugt und im Fall, dass es ein Software Key ist, wird der Key in einem Container des lokalen Zertifikatsmanagement hinterlegt. Manchmal ist es Notwendig den WHfB Container für den Anwender auf dem Rechner zurückzusetzen.

folgender Befehlt macht das möglich > certutil -DeleteHelloContainer

Hier zwei Quellen [2024-05-04] zu dem Thema:

Energie-Kosten im Haushalt verstehen

wie in der nachfolgenden Abbildung zu erkennen ist, liegen die Energie-Kosten für einen Computer zwischen 32,70 € – 163,52 € im Jahr, nun gibt es aber ja auch noch andere Geräte im Haushalt und die Kosten multiplizieren sich.

fdgfdgfdg
[Quelle 2024-05-04] Stromkosten im Alltag – der große Vergleich (stromverbrauchinfo.de)

Auf folgender Seite (Stromkosten im Alltag – der große Vergleich (stromverbrauchinfo.de) kann man sich schnell und einfach eine Überblick über mögliche Kosten machen, die durch Elektrische Geräte im Haushalt erzeugt werden.

Hier mal eine triviale Beispielrechnung für einen Singlehaushalt mit minimaler Ausstattung

Beispielminimalmaximaldurchschnitt
Was kostet Fernsehen?1 x TV im Haushalt3,04 €204,40 €103,72 €
Stromkosten für einen Computer?2 x PC im Haushalt65,40 €327,04 €196,22 €
Was kostet Wäschewaschen?1 x waschen pro Woche10,50 €20,24 €15,37 €
Was kostet Wäschetrocknen?1 x trocknen pro Woche20,68 €65,37 €43,03 €
Was kostet Licht?Glühlampen a 6h15,33 €61,32 €38,31 €
Stromkosten für einen Kühlschrank?1 Kühlschrank23,51 €124,68 €74,10 €
466,75 €
aktuell verbrauche ich als Singlehaushalt mit viel Homeoffice als IT’ler lt. Energieversorger, wobei ich schon auf unnötigen Verbrauch achte, ca. 1500 kWh, was meiner Beispielrechnung nah kommt
lt. Statistik liegen ich also mit meinem Verbrauch zwischen gering und normal, was mich schon ein bisschen Stolz macht, aber ausbaufähig ist

Wer gerne seine IT bzgl. Energie-Verbrauch optimieren möchte, dem empfehle ich folgenden Artikel zu lesen > Stomsparender, energieeffizienter PC – Anleitung und Tipps zum Aufbau (stromverbrauchinfo.de)

Throttling and Blocking Email from Persistently Vulnerable Exchange Servers to Exchange Online

neuerdings häufen sich die Meldungen, dass der E-Mailverkehr zwischen Exchange OnPrem (also lokal installierte Exchange Server) und Exchange Online geblockt werden. Folgende Meldungen tauchen auf

450 4.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online throttled for 5 mins/hr. For more information see https://aka.ms/BlockUnsafeExchange.

550 5.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online blocked for 10 mins/hr. For more information see https://aka.ms/BlockUnsafeExchange.

Hintergrund: der Exchange OnPrem ist in den meisten Fällen End of Life, also ist von Microsoft abgekündigt

Quelle 2024-03-24 : Throttling and Blocking Email from Persistently Vulnerable Exchange Servers to Exchange Online – Microsoft Community Hub

AIP Client bzw. Microsoft Information Protection Client Fehler in Version 2.17.66.0

beim öffnen des Clients über das Kontextmenü der Maus oder wie auch immer, wird die die View des Clients verzerrt so das er unbrauchbar ist.

Quelle die das bestätigt [2024-03-07] : Microsoft Information Protection Client – Fehler bei der Januar Version – RaKöllner (rakoellner.de)

Schnelle Lösung: ein Rollback auf die alte Version

EnableMIPLabels

Azure Information Protection (AIP) für Microsoft 365-Gruppen und SharePoint-Websites lässt sich nicht aktivieren (EnableMIPLabels)

EnableMIPLabels
Darstellung des Problems

mit folgenden Powershell Schnipsel könnt Ihr die Option „EnableMIPLabels“ auf „Group.Unified“ aktivieren

Status abfragen
$grpUnifiedSetting = (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ)
$Setting = $grpUnifiedSetting
$grpUnifiedSetting.Values
wenn EnableMIPLabels = false
$Setting["EnableMIPLabels"] = "True"
#prüfen
$Setting.Values
#speicher
Set-AzureADDirectorySetting -Id $grpUnifiedSetting.Id -DirectorySetting $Setting

Quelle[2022-06-25] Zuweisen von Vertraulichkeitsbezeichnungen zu Microsoft 365-Gruppen in Azure Active Directory

schlägt die obere Anleitung fehlt, muss das richtige Template geladen werden, um der Wert zu setzen

$setting=(Get-AzureADDirectorySetting | where -Property DisplayName -Value “Group.Unified” -EQ)
if ($setting -eq $null)
{
$template = Get-AzureADDirectorySettingTemplate -Id 62375ab9-6b52-47ed-826b-58e47e0e304b
$setting = $template.CreateDirectorySetting()
$setting[“EnableMIPLabels”] = “True”
New-AzureADDirectorySetting -DirectorySetting $setting
}
else
{
$setting[“EnableMIPLabels”] = “True”
Set-AzureADDirectorySetting -Id $setting.Id -DirectorySetting $setting
}

Quelle[26.06.22] https://www.rakoellner.de/2019/12/sensitive-labeling-fuer-groups-und-sharepoint-sites-ist-nun-verfuegbar/

Koexistenz Modus „Teams Only“ lässt sich nicht einschalten

Beschreibung des Phänomen:

  1. externe Teams User sehen mich als Offline, wobei ich eigentlich Online bin
  2. externe Teams User sehen mich in Teams als Skype User
  3. ich kann keine Externen in meine Kontaktliste einfügen bzw. finden
  4. der „Coexistence mode“ lässt sich nicht auf „Teams Only“ umstellen

Falls es irgendwelche Rudimente gib, die auf eine Skype for Bussiness oder Lync Implementierung hinweisen, schalte Teams sofort auf Stur und lässt dich als Skype User nach draußen erscheinen, auch wenn du kein Skype eigentlich nutzt.

Eine Lösung steckt im Koexistenz Modus von Teams – mehr dazu unter: https://docs.microsoft.com/de-de/microsoftteams/teams-and-skypeforbusiness-coexistence-and-interoperability

Wenn Ihr hier Global auf Teams Only umschaltet, sollte primäre nur Teams seinen Status kommunizieren.

Falls das aber fehlschlägt, wie nachfolgende Abbildung das zeigt

mit Powershell sieht das so aus und zusätzlich gibt es noch einen Hinweis dazu, der nicht unwesentlich ist

Meine Lösung

Entweder Ihr beseitigt nun die Rudimente und versucht das nochmal über den globalen Schalter oder Ihr nutzt folgenden Powershell Schnipsel, um alle User manuell umzustellen. 

$userlist = Get-CSOnlineUser
foreach($User in $userlist)
{
 Grant-CsTeamsUpgradePolicy -PolicyName UpgradeToTeams -Identity $User.SipAddress
}

Achtung der Schnipsel beseitig nicht die Ursache

Ich nehme keine Gewährleitung für meine Anleitung … bleibt Gesund und macht schön eure Backup’s

Directory Status in Teams unknown – Incorrect status in teams

in zahlreichen Foren zum Thema aus der Headline gibt es diverse Ansätze, um das Problem irgendwie einzugrenzen bzw. in Griff zu bekommen. Nun musste ich mich gezwungener Maßen auch damit beschäftigen und bin der Sache mal auf den Grund gegangen, weil ich nicht wirklich auf Informationen im Netz gestoßen bin, die das Phänomen wirklich analytisch beschreiben und einen Lösungsweg kommunizieren.

Hier nun meine Analyse und Lösung:

Grundsätzlich war mir schon klar, dass es irgendwie mit der Identität zu tun haben musste. Dementsprechend habe ich mit Powershell (MsolService) eine funktionierende Identität aus der Azure AD mit einer Identität, die nicht funtioniert, verglichen und schon einen AHA Effekt gehabt.

In mehreren Foren antwortete Microsoft auf die Fragen der User zum Thema sehr oft, sich mit dem „Koexistend Modus“ (Coexistence mode) im Teams Admin Center zu beschäftigen.

Hmm … was bedeutet das?

Wer sich mit dieser Option auseinander setzen soll, hat definitiv vor, von Skype Business auf Teams umzusteigen oder einen zwischenzeitlichen Parallelbetrieb beider Tools einzurichten.

Oder ihr habt irgendwann mal versucht, Skype for Business als Unternehmensanwendung mit euren AD-Usern zu verknüpfen.

So, das sollte als Vorgeschichte reichen … nun zur Analyse:

Was ihr hier seht, sind MSOluser Attribute von zwei Identitäen, mit einer starken Auffälligkeit bzgl. SIP Parameter

msRTCSIP Atrribute hängen mit der Skype Welt zusammen, wer mehr Informationen braucht, kann auf den folgenden Link klicken: Schemaattribute und Beschreibungen in Skype for Business Server

Hier meine Lösung

bereinigt die oben aufgeführten msRTCSIP Attribute (besten bereinigt gleich alle msRTCSIP Attribute), falls das Rudimente aus eine alten Skype for Business Implementierung sind.

Achtung: bitte vor dem löschen bzw. bereinigen immer fragen ob die Attribute nicht doch einen höheren Sinn haben.

Attribute einer User Identität im AD OnPrem

Dann einfach mit AADC die Identitäten synchronisieren und schon sollte der Status korrekt angezeigt werden.

Ich nehme keine Gewährleitung für meine Anleitung

… bleibt Gesund und macht schön eure Backup’s

Azure Active Directory-Sicherheitsstandards

Seit einiger Zeit ist die MFA (Multi-Faktor-Athentifizierung) als Default in einem neuen 365 Tennant aktiviert, was zur folgenden Meldung führt:

Microsoft hat die Sicherheitsstandards aktiviert, um Ihr Konto zu schützen
Helfen Sie uns, Ihr Konto zu schützen.

Warum braucht man diese Einstellung?

Warum braucht man diese Einstellung: Die Multifaktor-Authentifizierung leistet gerade bei Cloud-Diensten einen wichtigen Schutz gegen den unbefugten Zugang zu Daten und gegen Identitätsdiebstahl. Sie ist daher auch in Office 365 verfügbar und lässt sich recht einfach durch den Admin aktivieren. Anpassen muss sie dann der Benutzer aber selbst. Quelle 25.01.2021

Lösung: Diese Default Einstellung findet Ihr auf portal.azure.com im Azure Active Directory > Eigenschaftes (Mandanten Eigenschaften) > Sicherheitsstandards verwalten

wenn ihr hier die Option „Sicherheitsstandards aktivieren“ auf NEIN schaltet, wird die Meldung erstmal verschwinden. Grundsätzlich sollte ihr diese Option wieder aktivieren, um eure Daten zu schützen.

Mehr Informationen erhaltet Ihr unter: https://docs.microsoft.com/de-de/azure/active-directory/fundamentals/concept-fundamentals-security-defaults