Welche Authentifizierungsmethoden gibt es in Microsoft Entra ID und welche Abhängigkeiten bestehen zwischen ihnen? Part 1 erklärt, warum selbst bei passwortloser Strategie bestimmte Fallback-Methoden unverzichtbar sind.
Continue reading...Microsoft Entra ID Registration Campaign und Hardware TOTP – Ein Konflikt in der Praxis
Du hast in deinem Unternehmen Hardware TOTP Token ausgerollt, um Usern ohne Smartphone oder mit besonderen Sicherheitsanforderungen eine zuverlässige MFA-Methode zu bieten? Perfekt! Aber dann das: Deine User werden trotzdem ständig zur Installation des Microsoft Authenticators aufgefordert. Beim nächsten Sign-In wieder. Und wieder. Und wieder. Willkommen in der Welt der Microsoft Entra ID Registration Campaign – einem Feature, das eigentlich hilfreich sein soll, aber bei Hardware Token Usern zu einem echten Praxisproblem wird. In diesem Artikel zeige ich dir, warum das passiert und wie du es mit wenigen Handgriffen lösen kannst. Was ist die Microsoft Authenticator Registration Campaign? Die Registration...
Continue reading...Windows Hello for Business SSO – Cloud Kerberos Trust – Part 2
Nachdem wir im ersten Teil dieser Serie die Grundlagen und Konzepte von Windows Hello for Business mit Cloud Kerberos Trust behandelt haben, widmen wir uns nun der praktischen Umsetzung. In diesem Teil zeige ich dir Schritt für Schritt, wie du Cloud Kerberos Trust in deiner Umgebung einrichtest und konfigurierst. Voraussetzungen Bevor wir mit der Konfiguration starten, solltest du sicherstellen, dass deine Umgebung die folgenden Voraussetzungen erfüllt: Wichtige Einschränkung: Benutzer, die Mitglieder von privilegierten integrierten Sicherheitsgruppen sind (z.B. Domain Admins, Enterprise Admins), können Cloud Kerberos Trust nicht verwenden. Dies ist eine Sicherheitsmaßnahme, um potenzielle Angriffsvektoren von Microsoft Entra ID zum lokalen...
Continue reading...macOS & iOS Updates mit Intune per DDM effizient verwalten
In diesem Beitrag zeige ich, wie sich Softwareupdates für macOS und iOS ab Version 14 bzw. 17 mithilfe von Microsoft Intune und Apple DDM gezielt steuern lassen. Definierte Deferrals, Zielversionen und forcierten Deadlines ermöglichen ein kontrolliertes Update-Management in produktiven Umgebungen. Klassische MDM-basierte Update-Richtlinien werden ab Apple OS-Version 26 offiziell abgelöst – DDM ist daher nicht nur Best Practice, sondern perspektivisch zwingend erforderlich.
Continue reading...Intune – Custom Compliance-Policy
Da durch BIOS-Updates oft schwerwiegende Sicherheitslücken geschlossen werden, gibt es die Anforderung, ein Gerät nur als Compliant zu taggen, wenn eine bestimmte BIOS Version installiert ist. Dies kann derzeit nicht mit den integrierten Funktionen von Intune überprüft werden. Dafür bedienen wir uns einer Custom Compliance-Richtlinie. Zusätzlich können auch weitere Anforderungen an die Compliance des Gerätes geprüft werden, was ich in diesem Beispiel ebenfalls zeigen möchte. Es gibt natürlich auch Compliance-Richtlinien für andere Betriebssysteme, ich beziehe mich hier aber auf die Möglichkeiten unter Windows. Dieser Artikel ist im Dezember 2024 mit der zu dem Zeitpunkt aktuellen Intune Version erstellt worden. Wie...
Continue reading...Best Practices – M365 Break Glass Account
Wie stellt man sicher, dass im absoluten Notfall jederzeit ein Zugriff zum Tenant möglich ist? Dafür konfiguriert man einen „Break Glass“ Account für den Notfallzugriff. Wie dieser konfiguriert wird und was dabei zu beachten ist, wird in diesem Artikel ausführlich erklärt.
Continue reading...Windows Hello for Business SSO – Cloud Kerberos Trust – Part 1
Wenn du noch nie von Cloud Kerberos Trust (CKT) gehört hast, dann solltest du definitiv weiterlesen! Denn wer einmal verstanden hat, was CKT ist, wie es funktioniert und vor allem, welchen enormen Nutzen es für das Unternehmen bietet, der wird es auf jeden Fall im Unternehmen nutzen wollen. CKT ist die aktuell letzte Ausbaustufe der Single-Sign-On (SSO) Lösungen für Windows Clients. In diesem ersten Artikel zum Thema Cloud Kerberos Trust möchte ich zunächst die Grundlagen beschreiben und etwas in die Tiefe gehen. Im zweiten Teil geht es dann um die Einrichtung. Im letzten Part des Artikels beschäftige ich mich mit...
Continue reading...Microsoft 365 und das Netzwerk – Part 1: DNS
Dieser Artikel ist der erste Teil einer mehrteiligen Serie zum Thema Netzwerkvoraussetzungen bei Microsoft 365. Part 1 beschäftigt sich mit dem Thema Namensauflösung. Eine gut funktionierende Namensauflösung bei den Microsoft 365 Diensten ist unumgänglich für einen reibungslosen Betrieb der Microsoft Dienste. In diesem Artikel erkläre ich anhand von ein paar Beispielen, worauf speziell zu achten ist. Normalerweise möchte man sich bei der Nutzung von Cloud Diensten keine Gedanken um das Thema Netzwerk machen. Man kauft ja schließlich fertige Dienste ein, bei denen der Anbieter schon dafür sorgt, dass Netzwerkseitig alles passt. Oft braucht man das auch nicht, da in kleineren...
Continue reading...Intune Compliance Policy – Nur Auswertung?
Compliance Policys in Microsoft 365 Intune sind ein wichtiges Mittel, um die Sicherheit im Unternehmen zu gewährleisten. Durch Festlegen einiger Parameter wird sichergestellt, dass ein Gerät auch den Anforderungen des Unternehmens entspricht. Die Festplatte muss verschlüsselt sein, Defender soll aktiviert sein, eine bestimmte OS-Version wird erfordert, etc. Die eigentliche Magie passiert aber erst, wenn Compliance Policys in Verbindung mit Conditional Access genutzt werden. Denn dann kann aktiv einem Gerät, welches nicht compliant ist, der Zugang zu bestimmten Unternehmensressourcen untersagt werden, bis das Gerät wieder den Anforderungen des Unternehmens entspricht. Aber was macht eine Compliance Policy eigentlich? Immer wieder stelle ich...
Continue reading...Einrichtung von LAPS mit Microsoft Intune
Der sichere Umgang mit privilegierten Zugriffsrechten auf Windows-Geräten stellt eine ständige Herausforderung dar. In meinem aktuellen Blogartikel erörtere ich, wie Microsoft LAPS in Kombination mit Intune eine effektive Lösung bietet. Welche Sicherheitsvorteile LAPS bringt und wie es die Verwaltung von Administratorkonten revolutionieren kann, dazu mehr in meinem Blogartikel. 🔐✨
Continue reading...