What is Microsoft Enterprise Mobility + Security (EM+S)?

Enterprise Mobility + Security is a Microsoft solution specially developed for management and securing users, company data and applications. This gives you and your users always secured access to your company information without ever worrying about security!

With EM+S we are moving from a managed device to data management and security. This means that it will not only protect your device, but most important, it will take care of security on a document level where you can prevent that confidential data is readable by unauthorized persons.

By using this security suite you can prevent abuse of stolen credentials when one of your users is tricked by a phishing email. You can limit access to company data to only trusted devices (Company and BYOD) by using the Intune portal. But we can limit access to it as well with IP black / white listing. This includes Geoblocking as well, it is impossible to travel from the Netherlands to Russia for example in 5 minutes.

To protect your valuable company data I recommend to always use EM+S for optimal protection. If you want the security to be at its best, E5 is your way to go!

Main features

  • Simple management and security of your devices
  • Multifactor authentication (MFA)
  • Selfservice portal for password reset en securitygroep management
  • Application company portal
  • Mobile device management (MDM)
  • Integrated device management (Laptop/Desktop)
  • Securing company data en restrict access to company data
  • Conditional access (geo-blocking and more)
  • Advanced Threat Protection with reporting
  • Risk-Based conditional access (E5 only)
  • Privileged identity management (E5 only)
  • Intelligent data classification and labeling (E5 only)
Continue reading “What is Microsoft Enterprise Mobility + Security (EM+S)?”

Uninstall Office 365 Click-To-Run Updates

There are cases where you want or need to uninstall an Office update. Office 365 installations use a different update than the old Office 2013 & 2016 installations. Where the old installations are a point in time installation, click-to-run always downloads the latest version and then runs the setup. You can revert to an older version but its different than in the past where you could just uninstall an KB update.

Steps

Step 1: Check build number and find previous build number

In one of your office programs go to the options menu and go to Office Account. Find your current and previous version on the Microsoft website: Update history Office365 ProPlus by date

Continue reading “Uninstall Office 365 Click-To-Run Updates”

Sync existing office 365 tenant with local active directory

Recently we created an AAD tenant that has no on-premises AD domain counterpart.
Now we are facing an issue where we want to be able to use the identities in this tenant to log into some servers. It would appear that we would need to domain join these servers, but we can’t do this without AD. The question is, how can we continue to setup these servers?

If the servers are hosted on the Azure IaaS platform you can choose to go ahead with Azure AD Domain services as I wrote before:
https://www.cordenboer.nl/2019/04/22/azure-ad-domain-services-an-option-or-not/

But today we are going to install a new domain on-premise. The domain name isn’t relevant for the sync with Azure AD / Office 365. But the UPN for the end users is important! So first we can add the UPN domains by going to the Domain and Trusts console. Add the required domain names.

Continue reading “Sync existing office 365 tenant with local active directory”

Azure MFA NPS extension replacing MFA Server

Within Azure there are multiple ways to setup MFA. Where you would install MFA server in the past, there is a new extension. Microsoft is going to leave the MFA server behind in the near future (security updates will remain being published for now).

Besides the NPS extension and the MFA on-premise server the best practice is to run MFA from the Azure cloud where possible. But that isn’t always an option. So let’s move on to the NPS extension. Lets start with the requirements.

Requirements:
– Server 2016/2019 with ADFS version 4
– Server 2016/2019 hosting NPS services which performs Radius authentication.
– Users must be synchronized between local Active directory and Azure Active Directory
– Azure AD Premium or EM+S license must be assigned to the user
– NPS Extension for Azure MFA (Download link: https://aka.ms/npsmfa)

Continue reading “Azure MFA NPS extension replacing MFA Server”

Azure virtual machines SLA explained

Recently I received an comparison from Azure with competitors. In the comparison there was stated that by default Azure provides an SLA of 99.95%. However, this is not entirely correct. By default a single basic virtual machine has no SLA at all!

I hear you thinking, what??? let me explain what the options are. First we need to know a bit more of the setup in Azure. For this explanation I will use West & North Europe. These regions do have Availability zones, but this might not always be the case. In the picture below you can review the Azure regions with their options.

Click on the picture to enlarge

So lets zoom in a bit further. In the picture below we have our 2 regions (West & North Europe). Within Region 1 we have 3 separated buildings, creating 3 availability zones.

So lets move on the SLA rules.

Continue reading “Azure virtual machines SLA explained”

Azure AD Domain Services an option or not?

Frequently I get the question, how are we going to manage our legacy Azure IaaS servers? Should we deploy domain controllers? or should we setup a VPN connection with our on-premise environment?

Before we can start answering these questions we will need to learn more about AD DS.

Azure AD Domain Services provides managed domain services such as domain join, group policy, LDAP, Kerberos/NTLM authentication that are the same as traditional domain controllers. You can consume these domain services without the need for you to deploy, manage, and patch domain controllers in the cloud. Azure AD Domain Services integrates with your existing Azure AD tenant, thus making it possible for users to log in using their corporate credentials. The AD DS is available in a VNet of your choice.

Azure AD Domain Services Overview

AD DS works with cloud-only or synced with on-premise AD. Important to know is that Password hash synchronization is mandatory for hybrid organizations to use Azure AD domain services. This requirements is because users credentials are needed in the managed domain to authenticate using NTML or Kerberos.

Continue reading “Azure AD Domain Services an option or not?”

Re-establish trust with Active Directory domain

If you ever had to restore a domain joined machine, or a laptop/desktop that didn’t connect to the domain in a long time, it might happen that the domain relationship is broken. When you try to logon you get the following error:

“The trust relationship between this workstation and the primary domain failed.”

What you can do is leave the domain, and rejoin the domain, however, it is better to reestablish the trust relationship. Log in on the computer with a local admin account and run in a privileged PowerShell window the below script. After running a reboot should do the trick.

Use the following command to re-establish the trust with the domain:

$domaincontroller = “Name of the domain controller”
$credential = Get-Credential

Reset-ComputerMachinePassword -Credential $cred -Server $domaincontroller

Outlook 2016 search not working

Recently I was notified by a customer that Outlook search wasn’t working anymore as expected (Search not working at all, or missing results). After some searching I found out that this was caused by a Windows 10 Update where a shared DLL was updated: KB4467684

In the the end there is a quick fix by running a simple command that repairs the effected MSWB7.dll file.: sfc/scannow (run as administrator)

Continue reading “Outlook 2016 search not working”

Microsoft Advanced Threat Protecion

Microsoft bied op verschillende diensten Advanced Threat protection aan. Helaas zit er marketing technisch nog steeds hier en daar de naam Defender aan vast, waar het onder water een compleet ander product is. Het is inmiddels geen simpel antivirus pakket meer, maar een all-in-one oplossing tegen aanvallen van buitenaf en binnenuit. Dit gebeurt door Windows ATP voor bescherming van je device, Office 365 ATP voor bescherming van je Email, SharePoint, OneDrive en teams data en als laatste Azure ATP voor bescherming van alle identiteiten.

Als kers op de taart is er voor on-premise omgevingen is het Azure Security center ontworpen, die net als Windows, constant in contact staat met de Microsoft Azure datacenters om data en informatie uit te wisselen. Inmiddels zijn alle bedreigingen zo uitgebreid en geavanceerd geworden dat 1 enkele computer de rekenkracht ontbreekt om alles te analyseren. De kracht van de Cloud komt hier om de hoek kijken. Informatie die verzameld is bij andere klanten wordt gebruikt om jouw omgeving en apparaat veilig te houden. Het mooie is dat de ATP client standaard in Windows 10 is ingebouwd waardoor er relatief weinig hoeft te gebeuren om het in te zetten.

Continue reading “Microsoft Advanced Threat Protecion”

Azure monitoring

Monitoring is het allerbelangrijkste wat er is. Dit is het fundamenteel punt in de hele keten, al dan niet het belangrijkste punt. Wat is er nu uiteindelijk belangrijk als je gaat monitoren? Bekijk alles vanuit de eindgebruiker, houd dat altijd als start punt! Uiteindelijk draait het niet om een SPN record wat ontbreekt, maar of een gebruiker nu wel of niet kan werken.

Met Azure Monitoring kan je heel veel componenten in de gaten houden. Maar waar het uiteindelijk om draait is hoe en wat je opneemt. Als je heel veel opneemt betekend het dat je dat allemaal in de gaten moet houden. Dit genereerd ook heel veel meldingen waardoor je een overvloed aan meldingen krijgt en de relevantie niet goed kan bepalen met als gevolg dat er uiteindelijk niet gemonitord wordt. Daarom is het cruciaal om alleen de componenten op te nemen die er toe doen, hou het klein, schoon en doe het doordacht.

Continue reading “Azure monitoring”

Infrastructure as code

Als we kijken naar de traditionele manier van beheren van systemen, dan zien we daar vaak de volgende manieren van werken terugkomen:

  • Ticket gebaseerd
  • NOCs (Network Operations Centers)
  • Gescheiden rollen (Operations en ontwikkelaars)
  • Op grafische schil gebaseerd beheer
  • Grote wijzigingen per keer (Waterval principe)
  • Moeilijk schaalbaar (alles moet handmatig worden uitgebreid)

Hierin zien we duidelijk uitdagingen naar voren komen. Zo is werken met een GUI lastig te automatiseren en te repeteren. Een keer verkeerd klikken zorgt al voor afwijking. Hoe gaat dat dan veranderen met nieuwe cloud technieken?

  • We gaan uitrollen en uitbreiden via een API, niet met een werkbon
  • We gaan uitfaseren via een API, niet met een change formulier
  • Netwerk connectiviteit word ook uitgerold via een API
  • Applicaties worden uitgerold via API, niet aan de hand van Word document
Continue reading “Infrastructure as code”

Set or clear immutable ID

Below are the 2 options to reset or change the immutable ID. These are sometimes required when you want to sync your users, or when you receive a sync error.

Calculate and set immutable ID (Recommended)

This method is the best way to make sure that AD Connect gets a proper sync. We are going to connect to the on-premise AD, and calculate and set the immutable ID in Azure AD / Office 365. So first we connect to Active Directory.

Import-Module ActiveDirectory

Now, lets grab the GUID of the user and create the ImmutableId

$userUPN = "testuser@2azure.nl" 
$guid = [guid]((Get-ADUser -LdapFilter "(userPrincipalName=$userUPN)").objectGuid)
$immutableId = [System.Convert]::ToBase64String($guid.ToByteArray())

Now connect to Office 365:

Connect-MsolService 

The last command will be used to write the ImmutableId to the AAD / Office 365 user:

Get-MsolUser -UserPrincipalName $userUPN | Set-MsolUser -ImmutableId $immutableId

Clear immutable ID in Office 365 (Not advised)

The easy way is to clear the immutable ID in Azure AD/ Office 365. This will let AD Connect think that the account has never been synchronized and will sync it based on a soft match. However I wouldn’t recommend it. But if you ever need to do it, here is the commands to do it.

Clear ImmutableId for only 1 user:

Get-MsolUser -UserPrincipalName testuser@2azure.nl | Set-MsolUser -ImmutableId $null

Clear ImmutableId for all users:

Get-MsolUser -All | Set-MsolUser -ImmutableId $null 

Modernizeer je identiteits en toegangs beheer met Azure AD

Door Azure AD als je centrale Identiteit opslag te gebruiken word beheer een stuk makkelijker en veiliger. Door Azure AD te gebruiken kan je voortaan makkelijk samen werken met andere bedrijven. Door gebruikers van een andere organisatie uit te nodigen, is het niet meer noodzakelijk om deze ook nog is lokaal in je eigen AD aan te maken. Mocht een medewerker van een ander bedrijf uit dienst gaan hoeft deze alleen nog maar uitgeschakeld te worden in de partner organisatie. Doordat er alleen een koppeling is vanuit jouw Azure AD wordt ook automatisch de toegang ontzegt tot de data van jouw organisatie.


Hoe zorg je er voor dat je huidige Active Directory modern beschikbaar komt?

Microsoft heeft een tool beschikbaar gesteld waarmee je alle identiteiten, of een selectie daarvan, kan synchroniseren naar Azure AD. Deze tool heet AD Connect en dient lokaal geïnstalleerd te worden op een server. Er zijn 3 mogelijke synchronisatie scenario’s.

Continue reading “Modernizeer je identiteits en toegangs beheer met Azure AD”

Automatiseer je Builds & Deployments met Azure DevOps

Wat is er gaver dan al je ontwikkelingen automatisch te laten uitrollen naar Azure? Door gebruik te maken van Azure DevOps (voorheen VSTS of TFS on-premise) kan je al je builds en deployments volledig automatiseren. Azure DevOps is niet alleen geschikt voor ontwikkelaars, maar ook voor IT Systeem beheerder/specialisten. Door projecten aan te maken in Azure DevOps kun je gebruiken maken van de Templates welke reeds beschikbaar zijn. Van het uitrollen van Virtuele machines met complete netwerken en loadbalancers tot Kubernetes en dockercontainers.


Het mooiste is dat Azure DevOps voor publieke projecten volledige gratis is. Als je een prive project aanmaakt is het tot 5 gebruikers gratis. Daarna is er een licentie vereist voor iedere additionele gebruiker.

Ook is er een nauwe integratie met andere resources. Zo kan een project gekoppeld worden aan GitHub, Slack, teams, Chocolaty, maar ook nog vele andere, opensource, maar ook Azure Automation en Azure DSC zijn volledig ondersteund. Wil je automatiseren en taken vereenvoudigen, dan kan dat zeker! Heb je een OTAP straat en wil je die consistent uitrollen? Ook dat kan eenvoudig opgezet worden door alle artifacts te hergebruiken voor iedere omgeving die voorzien zijn van eigen variablen.

Microsoft Secure Score

Microsoft Secure Score is een manier om te meten hoe veilig je organisatie is in Office 365, Windows 10 en EM+S (Enterprise Management + Security). Hiermee kan je zien hoe veilig je organisatie is ten opzichte van het door Microsoft geadviseerde beleid, als ook andere bedrijven in dezelfde sector.

Microsoft laat met deze tool, die beschikbaar is via EM+S E3 of E5, zien hoe veilig je organisatie nu is, maar ook in het verleden. Door analyses en trends te bekijken kunnen er specifieke aanbevelingen voor jouw organisatie gemaakt worden waardoor je snel ziet hoe je je beveiliging kan verbeteren.

Door de aanbevelingen van Microsoft op te volgen kunnen we de ideale bedrijf score bepalen en deze samen behalen. Het kan soms wenselijk zijn om een aanbeveling niet op te volgen omdat dit de bedrijfsprocessen teveel beperken. In alle aanbevelingen word ook aangegeven wat de mogelijke gebruiksimpact kan zijn door een impact classificatie: Low, Medium en High.

Continue reading “Microsoft Secure Score”

Kies je de juiste plek voor je data opslag in Azure

In Microsoft Azure zijn er meerdere manieren om je data op te slaan. Hierbij is het van belang om de juiste locatie te kiezen. Er zijn meerdere factoren van belang voor de keuze. Om te kunnen kiezen is belangrijk om te weten welke opslag mogelijkheden er zijn in Azure. Een kort overzicht:

Om te bepalen waar de data komt te staan zullen we moeten inzoomen op de data zelf. Wat voor data is het eigenlijk? En wat zijn de eigenschappen? Voor beide vragen zijn er 3 opties:

Continue reading “Kies je de juiste plek voor je data opslag in Azure”

Regelmatig je wachtwoord wijzigen, zinvol of niet?

Mensen blijken zich op een voorspelbare wijze te gedragen wanneer ze een wachtwoord moeten maken wat aan bepaalde vereisten voldoet. Op deze manier werken de eisen die we stellen aan de wachtwoorden die ze bedenken contraproductief, en worden de wachtwoorden dus zwakker.

Afdwingen van lange wachtwoorden werkt niet

Vereisen dat een wachtwoord minimaal 10 karakters lang is, heeft tot gevolg dat wachtwoorden eenvoudiger te raden worden. Mensen hebben namelijk de nijging om korte woorden te herhalen tot de vereiste lengte. Denk aan combinaties als “loginlogin”, “abcabcabc” en “passwordpassword”.

Continue reading “Regelmatig je wachtwoord wijzigen, zinvol of niet?”

Azure AD exclude user from password experation policy

Connect to Azure AD with PowerShell:

Connect-azuread

Now we would like to get an overview of all users, run the following command:

Get-azureAduser

If you have the UserPrincipalName or email address we might shorten the list to just that single user bij adding a filter:

Get-AzureADUser -ObjectId <UserPrincipleName> 

Next task is to link the default password policy without a password expiration to this user. Run the following command:

Set-AzureADUser -ObjectId <UserPrincipalName> -PasswordPolicies DisablePasswordExpiration

Once this has been completed, verify if the policy has been set correctly with the following command:

Get-AzureADUser -ObjectId <UserPrincipalName> | fl UserPrincipalName,passwordpolicies

Connect to Azure AD with PowerShell

On your Windows device open a PowerShell prompt. To be able to connect we first need to make sure that the PowerShell module has been installed. Run the following command and confirm all questions with yes

Install-Module -Name AzureAD

Now we are ready to connect to Azure AD. Because of the different Office 365 clouds, it might be required to add the option -AzureEnvironmentName. Please review your environment below, by default you are hosted in Worldwide.

Office 365 cloud Command
Office 365 Worldwide (+GCC) Connect-AzureAD
Office 365 operated by 21 Vianet Connect-AzureAD
-AzureEnvironmentName AzureChinaCloud
Office 365 Germany Connect-AzureAD
-AzureEnvironmentName AzureGermanyCloud
Office 365 U.S. Government Connect-AzureAD
-AzureEnvironmentName AzureUSGovernment

Run the command:

Connect-AzureAD

You will now be prompted with a sign-in prompt. After sign-in you are connected

Log in screen