Entra ID: YubiKey Pre-Provisioning – Part 2

In meinem vorhergehenden Blog-Beitrag zum Thema Vorprovisionierung der FIDO2 Sticks von Yubico ging es um die vorbereitenden Tätigkeiten in Entra ID. In diesem Teil der Blog-Reihe geht es um die Einrichtung der Admin Workstation, welche für das Pre-Provisioning genutzt wird. Für mich als blutiger Python Newbie war das der komplizierteste Teil, welcher auch zugleich Motivation

Entra ID: YubiKey Pre-Provisioning – Part 1

YubiKeys und die FIDO2-Authentifizierung stehen schon seit einiger Zeit im Fokus der IT-Sicherheitswelt. Bisher lag die Bereitstellung dieser Sicherheitsschlüssel jedoch größtenteils in der Verantwortung der Endanwender. Mit der Veröffentlichung der APIs zur Vorprovisionierung von FIDO2-Schlüsseln durch Microsoft im dritten Quartal 2024 ist es nun erstmals möglich, Sicherheitsschlüssel direkt in Entra ID als Authentifizierungsmethode im Namen

Exchange Online: Domain-Spoofing mit DKIM erschweren

Exchange Online bietet im Vergleich zu seinem OnPremises-Gegenstück die Möglichkeit, seine akzeptierten Domänen neben einem SPF-Record auch mittels DKIM (DomainKeys Identified Mail) zu schützen. Dadurch wird es Angreifern erschwert Phishing- oder Spam-Mails im Namen von Domains (und damit Unternehmen) zu versenden, welche diesen nicht gehören. DKIM ist eine Erweiterung, die beim Versenden einer E-Mail von

ADFS: Certificate-Binding wird nicht korrekt ersetzt

Neben der klassischen Kombination aus Benutzername und Passwort zur Authentifizierung beherrschen die Active Directory Federation Services (ADFS) auch die Anmeldung per Nutzerzertifikat. Hierzu wird von Microsoft empfohlen, dem ADFS Service-Communications-Certificate den alternativen DNS-Namen (SAN) certauth.adfs.meinedomäne.tld hinzuzufügen. Während der ADFS-Konfiguration wird dieser Endpunkt entsprechend erstellt und das Zertifikat auf Port 443 gebunden. Enthält das Zertifikat diesen SAN

Azure: Hub-Spoke in Tenant-übergreifenden VNet-Peerings

In meinem Blogpost zum Thema Tenant-übergreifendes VNet-Peering habe ich aufgezeigt, wie man zwei Azure Tenants mit einem VNet Peering verbinden kann. Zum Zeitpunkt, als ich den Artikel verfasst habe, gab es noch die Einschränkung, das die zu verbindenden VNets in den zwei Tenants in der selben Azure Region laufen müssen.   Ich habe mir diese

Teams: E-Mail-Kommunikation in Kanälen anzeigen

Microsoft Teams ist in seinem Segment als “eierlegende Wollmilchsau” wohl einer der größten und gelungensten Würfe der IT-Branche in den letzten Jahren! MS Teams hat sich so stark in meinen Arbeitsalltag integriert, das ich es nicht mehr missen möchte und vermutlich auch gar nicht kann. Ich bin bereits in Q4 2018 den Weg gegangen und

Azure: Tenant-übergreifendes VNet-Peering

Peerings zwischen virtuellen Netzwerken in Azure sind eine tolle Sache: Einfach zu konfigurieren, schnell bereitgestellt und die Performance ist ebenfalls klasse! Zum Verbinden von virtuellen Netzwerken aus verschiedenen Azure Active Directory Tenants, wie es beispielsweise in Unternehmensgruppen der Fall ist, mussten bis vor Kurzem noch VPN-Gateways bereitgestellt werden. Jetzt ist es möglich VNet-Peerings Tenant-übergreifend zu

Azure AD: UPN eines Hybrid-Users ändern

Als wir vor Kurzem einen neuen Kollegen eingestellt haben, wünschte dieser sich einen kürzeren Anmeldenamen (UPN) für Office 365 und Co. Da ich natürlich vorbildlich bereits vor seinem Dienstantritt das Active Directory-Konto erstellt habe, änderte ich einfach den UPN am AD-Objekt und auch die neue Adresse im ProxyAdresses-Attribut wurde veröffentlicht und als primär festgelegt. Als

Azure Automation: Anfordern eines Ad-Hoc SAS Tokens

Wer mit Azure Storage arbeitet, kommt über kurz oder lang nicht daran vorbei die Verarbeitung von Dateien zu automatisieren. Was über die Web-UI so einfach geht, ist via PowerShell nicht ganz so trivial. In einem Container mit dem AccessLevel “private” wird ein SAS Token benötigt um auf die Dateien zuzugreifen und mit diesen zu arbeiten.

Exchange Online: Auf welche Shared Mailboxes hat ein User Zugriff?

Erst kürzlich erhielt ich einen Anruf mit der Frage: “Sehe ich eigentlich irgendwo auf welche Shared Mailboxes ich Zugriff habe?” Beunruhigende Stille machte sich auf meiner Seite der Leitung breit… “Da muss ich nachsehen”, sagte ich und sicherte zu mich zeitnah zu melden. Mir waren die Möglichkeiten bewusst die ein Nutzer hat um die Mitgliedschaft