Conditional Access (hybrid Umgebung inkl. Mac)

Ausgangslage Conditional Access

In diesem Blog beschreiben wir Conditional Access mit Microsoft Intune in einer hybriden Umgebung. Als Ausgangslage dient eine Umgebung, die hybrid betrieben wird und noch den einen oder anderen Apple Mac PC beinhaltet. Die bestehenden File-Server wurden durch SharePoint Online abgelöst. Nun muss jedoch sichergestellt werden, dass die Bibliotheken nur auf Firmengeräten synchronisiert werden dürfen. Wie lässt sich dies unter diesen Voraussetzungen sicherstellen?

Was ist die Lösung?

Die Lösung hierfür lautet Conditional Access. Mit der Verwendung von Conditional Access Policies lassen sich entsprechende Zugriffskontrollen erstellen. Dabei lassen sich weit komplexere und umfassendere Policies erstellen, als wir es in diesem Beispiel tun.

Lizenzierung

Um Conditional Access verwenden zu können, müssen die erforderlichen Benutzer mindestens über eine Azure AD Premium P1 Lizenz verfügen. (*Azure AD Premium P1 steht auch mit Microsoft 365 Business Premium zur Verfügung.)

Ziel

Das Ziel ist es, sicherzustellen, dass ein Benutzer der auf eine SharePoint Online Bibliothek zugreift, diese nur mit OneDrive synchronisieren kann, wenn sein Gerät der Firma gehört. Somit soll verhindert werden, dass Firmenbibliotheken auf privaten, unsicheren Computern synchronisiert werden.

Mancher denkt sich jetzt, «ist ja einfach und lässt sich ganz simpel im SharePoint Admin Center einstellen» Sicher ja, dies könnte es sein. Doch eine Umgebung, bei welcher einige Geräte Azure AD joined sind, andere sich in der lokalen Active Directory befinden und zusätzlich noch Apple Macs existieren, wird es dann doch etwas komplizierter. Aus diesem Grund kommt eine Lösung mit Conditional Access zum Zug.

Übersicht Zugriffe

In folgender Tabelle abgebildet ist die Zugriffsübersicht.

  Zugriff
Gerät (Besitzer) Browser OneDrive-Client
Desktop (Firma) Ja Ja
Laptop (Firma) Ja Ja
iMac (Firma) Ja Ja
Desktop (Privat) Ja Nein
Laptop (Privat) Ja Nein
iMac (Privat) Ja Nein
Übrige (Privat) Ja Nein

Conditional Access Policy

Basierend auf vorgehender Tabelle, wird nun eine Conditional Access Policy erstellt, die den Zugriff auf SharePoint Online regelt.

Dafür wird eine neue Policy erstellt, die auf alle Benutzer angewandt wird. Weiters wird die Policy auf die Cloud App Office 365 SharePoint Online angewandt, und zwar für jedes Device von jeder Location. Der Browser wird ausgeschlossen. Was nun wichtig ist: Die Richtlinie wird für alle Device states gesetzt, ausgenommen werden aber Geräte die a) Hybrid Azure AD joined oder b) als «compliant» markiert sind. Dazu im nächsten Abschnitt mehr. Weiters wählen wir Block access und !WICHTIG! erst einmal «Report only». Dadurch sperren wir uns nicht gleich selbst aus und können erst einmal mit What-if ein paar Szenarien prüfen.

Folgend ein paar Szenarien im Test. (Benutzer im Azure AD)

 

  • Zugriff von privatem Windows 10 Gerät via Browser: Erlaubt
What-if private Windows 10 Browser
  • Zugriff von privatem Windows 10 Gerät via OneDrive: Blockiert
What-if private Windows 10 OneDrive
  • Zugriff von Firmengerät, Windows 10 via OneDrive: Erlaubt
What-if company Win 10 OneDrive

Device State compliant oder Hybrid Azure AD joined

Wichtig ist, dass die Firmengeräte einer dieser beiden Status erhalten. Hybrid Azure AD joined erhält ein Gerät, wenn es aus der lokalen AD ins Azure AD synchronisiert wird. Somit wird davon ausgegangen, dass diese Geräte auch der Firma gehörten. Was aber nun mit den Azure AD joined-Geräten und den Macs, die sich nicht in der lokalen AD befinden?

Intune

Da kommt nun Intune zum Einsatz. In Intune wird eine Device Compliance Policy erstellt und anschliessend wird bei allen Azure AD-joined Geräte eine MDM-Registrierung durchgeführt. Für das Enrollment der iMacs und MacBooks muss erst ein Apple MDM Push certificate erstellt werden, worauf sich aber auch die Mac-Geräte im Intune registrieren lassen. Da alle diese Geräte nun compliant sind (sofern sie die Kriterien der Policy erfüllen), können die SharePoint Bibliotheken nun ebenfalls auf diesen Geräten synchronisiert werden.

Device Compliance Intune with iMac

Fazit

Mit dem Einsatz von Conditional Access lässt sich auch in einer gemischten Umgebung der Zugriff auf SharePoint Bibliotheken einschränken. Klar, in dem beschriebenen Szenario könnte der Mitarbeiter den Ordner auch im Browser öffnen und die Datei lokal herunterladen. Es könnte sogar noch weiter gegangen werden und auch den Zugriff via Browser verboten werden, wenn es sich nicht um ein Firmengerät handelt. Wie restriktiv die angewandten Richtlinien sind, hängt immer von der Firma und ihrer Philosophie ab.

Windows Autopilot? Flugzeug, Schiff und Auto

Windows Autopilot? Flugzeug, Schiff und Auto​Willkommen zu unserem ersten Blog Beitrag aus der TwinCap 100% Cloud Blog-Serie.

Das Thema: Windows Autopilot.
Überall ist über das Thema zu lesen, doch was bedeutet das eigentlich und wie kann das ein Schweizer KMU ohne grosse interne IT Ressourcen nutzen?

Flugzeug, Schiff und Auto ist ja ok, aber warum brauchts den Windows Autopilot?

Ganz einfach, damit das Windows 10 Gerät beim Installieren selbst nach Hause findet.

Vereinfacht gesagt, soll ein Windows 10 Gerät beim OOBE Setup (out of the box experience) und einer aktiven Netzwerkverbindung wissen, zu welcher  Firma (sprich Azure AD Tenant) es gehört und was es machen soll, wenn sich ein Benutzer dieser Firma das erste Mal während der OOBE Phase anmeldet.

Hier sprechen wir von einem sogenannten User-Driven Autopilot Deployment und ich werde weiter unten darauf eingehen. Neu und aktuell im Preview gibt es ein Self-Deploying, bei welchem auf den zweiten Schritt der Benutzeranmeldung verzichtet werden kann. Das Gerät wird hier automatisch im zugehörigen Azure AD und der konfigurierten MDM Lösung registriert.

Zurück zum User-Driven Autopilot. Das Gerät zeigt dem Benutzer während des OOBE Setups eine Login-Maske der eigenen Firma an. Nach erfolgter Anmeldung des Benutzers wird dieses automatisch «Azure AD joined», im Intune registriert und die zugewiesenen Profile werden appliziert und Applikationen werden installiert. Ready…

Windows Autopilot

Anmeldung mit dem Benutzerkonto

Windows Autopilot

Gerät bleibt gesperrt bis alle Sicherheitsrichtlinien appliziert wurden und die Mandatory-Apps installiert wurden

Windows Autopilot

Ready… Benutzer kann arbeiten.

Ok, aber so was macht meine IT Abteilung heute ja auch schon?

Genau, aber die Idee ist ja nun, dass eben nicht mehr die IT Abteilung dies machen muss, sondern der Endbenutzer dies selbst machen kann. Zweitens soll das Windows 10 Gerät selbst nicht mehr zwingend in der IT Abteilung vorbeimüssen, sondern der Endbenutzer kann dies bequem, von jedem beliebigen Ort aus, mit einer aktiven Internetverbindung, selber durchführen. Bedeutet auch, dass das Gerät eigentlich vom Hersteller oder Distributor direkt an den Endbenutzer oder die Aussenstelle versendet werden kann.

Schauen wir uns doch den heutigen «altbewährten» Prozess kurz an:

Windows Autopilot

 

Mit Windows Autopilot kann der Schritt über die interne IT Abteilung ausgelassen werden. Der Hersteller / Distributor kann das neue Geräte direkt im Tenant des jeweiligen Kunden registrieren und das Gerät direkt dem Endbenutzer im In- oder Ausland zustellen:

Windows Autopilot

Optimal für Firmen beliebiger Grösse, welche Aussendienstmitarbeiter, Consultants usw. oder kleinere Offices ohne IT vor Ort haben. Der zusätzliche Schritt über die interne IT entfällt.

Wenn ich jetzt aber nur so wenig Geräte bestelle, dass der Hersteller mir keinen Autopilot Support anbietet?

Aktuell bieten nicht alle Hersteller Autopilot Support. Und auch diese nur für eine gewissen Anzahl bestellter Geräte. Hier kommt der lokale Distributor wie zum Beispiel Brack.ch ins Spiel.

Sie erstellen selbst oder lassen durch uns ein Autopilot-spezifisches Powershell-Script erstellen, welches auf einem neuen Gerät im Admin-Mode während der OOBE Phase ausgeführt werden kann, und die gewünschten Autopilot Informationen direkt in ihren Tenant schreibt. Für einen Aufpreis wird ihr Distributor die neuen Geräte für sie öffnen, das Powershell-Script ausführen und das Gerät an den Endbenutzer senden. Voila…

Gut, was habe ich sonst noch für Vorteile?

Im Vergleich zu einer normalen OOBE Setup Phase eines Windows 10 Gerätes, bietet Windows Autopilot vor allem folgende Vorteile:

  • Administrative Rechte können gesteuert werden: Bei einem normalen «Azure AD join» ist der aktuelle Benutzer immer auch lokaler Administrator
  • Account Optionen nicht anzeigen, sondern nur den Azure AD join mit einem Benutzerkonto der Firma erlauben. Normalerweise kann ein Standard Windows 10 OOBE Setup über folgende Pfade abgeschlossen werden:
    – Es wird ein lokaler Account erstellt und verwendet (Windows 10 standalone)
    – Ein «Active Directory join» wird durchgeführt (Windows domain joined)
    – Ein «Azure AD join» wird durchgeführt (Azure AD joined)
  • Gerät sperren, bis die Konfiguration abgeschlossen ist. Nach der Benutzeranmeldung wird das Gerät gesperrt bis alle Firmenpolicies appliziert sind und alle Mandatory-Apps installiert wurden.
Windows Autopilot

Aha, aber eigentlich, wenn ich das Setup schon dem Benutzer delegiere, könnte er auch Admin-Rechte haben?

Stimmt und ja, unterstützen wir voll und ganz! Die Kunst besteht darin, dass 100% Cloud Client Setup so zu konfigurieren, dass der Benutzer jederzeit sein Gerät wieder zurücksetzen kann (Windows 10 Reset) und im Anschluss wieder beim Autopilot Setup landet.
Dadurch erhält er wieder einen Standard Windows 10 Client «out-of-the-Box», inkl. persönlicher Daten, Drucker, Applikationen usw.

Das tönt interessant, wo starte ich?

Nehmen Sie Kontakt mit uns auf. Wir beraten Sie gerne über alle nötigen Schritte und Lizenzen, um mit Ihrem spezifischen Autopilot Setup starten zu können…

Nächster Blog in unserer 100% Cloud Serie: Der TwinCap 100% Cloud Client.

Tip-Of-The-Week 2 Schnellzugriff

Tip-Of-The-Week 2 Schnellzugriff: Es ist schon wieder soweit, seit unserem letzten «Tip of the Week», ist bereits wieder eine Woche vergangen. Diese Woche erschlagen wir gleich zwei Fliegen mit einer Klappe!

Beim heutigen Tip-Of-The-Week 2 Schnellzugriff geht es darum,

  1.  Wie man die Standard Ansicht beim Öffnen des Windows Explorers von «Schnellzugriff» auf «Dieser PC» ändern kann.
  2.  Sowie gleichzeitig einfach und schnell eine hübsche Schritt für Schritt Anleitung mit Screenshots dazu erstellt, ohne viel Zeit zu verlieren.

Als Vergleich sehen Sie hier im ersten Screenshot die von Windows standardmässig geöffnete Ansicht.

Tip Of The Week 2 Schnellzugriff

Alternativ gibt es die Möglichkeit, diese auf die klassische Ansicht «Dieser PC» zurück zu stellen. Auf diese Weise öffnen sich direkt Ihre Laufwerke und Sie müssen nicht jedes Mal zuerst auf «Dieser PC» klicken, um zu Ihren Laufwerken zu gelangen. Perfekt für Personen wie mich, welche gerne die Kontrolle über Ihre Dateien und dessen Speicherorte haben.

Tip Of The Week 2 Schnellzugriff

Als IT-Concierge betreuen wir viele Geschäftskunden rund um Ihre IT-Lösungen. Da kommt, auch mal die Frage auf, wie man die Laufwerksübersicht im Windows Explorer wieder als Standard zurück bekommt.

Deshalb haben wir eine Schritt für Schritt Anleitung mit eindeutigen Screenshots für unsere Kunden und auch Blog Leser erstellt. Doch das Erstellen einer Doku kann unter Umständen auch sehr zeitaufwändig sein, besonders wenn man noch die entsprechenden Schaltflächen farbig umranden möchte etc.

Um bei diesem Problem Abhilfe zu schaffen, respektive Zeit zu gewinnen, haben wir das bereits in Windows integrierte Tool «Steps Recorder» (Deutsch: Schrittaufzeichnung – einfach im Start Menu «Steps Recorder» oder «Schrittaufzeichnung» eingeben) verwendet. Das Tool wurde eigentlich dazu entwickelt, um gewisse Computerprobleme zu reproduzieren und aufzuzeichnen, es lassen sich aber auch einfach und effizient Anleitungen erstellen, wenn man weiss wie.

Damit Sie sich auch darunter etwas vorstellen können, zeigen wir Ihnen gleich ein Beispiel, wie eine solche Anleitung aussehen könnte. Hinweis: Die Anleitung hat mehrere Seiten, nutzen Sie zum wechseln der Seiten bitte die Pfeiltasten am Ende des eingebetteten Dokumentes.

PSR Explorer

 

Wie Sie sehen, haben wir also eine Anleitung mit 10 Schritten bzw. 10 Mausklicks welche durch den Benutzer ausgeführt werden. D.h. 10 Screenshots inklusive grüner Umrandung. Und das beste daran? Das ganze hat uns nur ca. 10 Minuten gekostet.

Wer schon einmal eine Anleitung in Word erstellt hat, kennt bestimmt auch das lästige Verhalten, dass die farbigen Rahmen, welche man zuvor mühevoll hinzugefügt hat, beim nächsten Zeilenumbruch sich wieder selbstständig machen und verrutschen (ausser man macht es richtig natürlich, aber das ist auch aufwändig).

Dies kann wirklich frustrierend sein, so frustrierend, dass man sich vielleicht sogar dazu entscheidet, die Rahmen gänzlich weg zu lassen. Dies zu Lasten des Lesers der Anleitung. Mit der Screenshot-Funktion der Schrittaufzeichnung passiert Ihnen das jeden Falls nicht mehr.

Wer nun die Anleitung einem Kunden oder im Intranet zur Verfügung stellen möchte, braucht aber dennoch etwas zusätzliche Arbeit zu leisten um die erstellten Screenshots, Beschreibungen und evtl. auch das Corporate Design etwas zu optimieren. Wie die Anleitung oben vor dem bearbeiten ausgesehen hat, also die Ausgabe der Schrittaufzeichnung in unbearbeiteter Form, sehen Sie hier:

Schrittaufzeichnung Ausgabe (Unbearbeitet)

 

Da die Schrittaufzeichnung (Step Recorder) wie gesagt, eigentlich dazu entwickelt wurde um Probleme aufzuzeichnen, werden verschiedenste Log Informationen mit ins Dokument geschrieben. Diese sind aber eher unschön und die Anleitung wirkt unpersönlich. Wie Sie auch diesen Task im Handumdrehen meistern können und die überflüssigen Informationen entfernen oder abändern können – so wie dies der Fall in der ersten Anleitung ist, zeigen wir Ihnen gerne in einem weiteren Blog Post. Natürlich kann man schlussendlich auch nur die automatisch erstellten Screenshots verwenden um diese in eine allenfalls schon vorhandene Anleitungsvorlage einzufügen. Wir hoffen, das Ihnen dieser kleine «Geheimtipp» auch in Ihrem Alltag weiterhilft.