Monthly archives: november, 2017

Skicka SMTP mail via Office 365

I samtliga Office 365 projekt så måste man hantera alla enheter som skickar mail via SMTP, till exempel 3e parts applikationer och multifunktionsskrivare. Det är inte alltid lätt att hitta alla enheter som skickar SMTP-mail men att slå på loggning på befintliga SMTP-gateway (ofta Exchange) kan hjälpa dig identifiera dem.

Ett alternativ är att fortsätta ha en lokal SMTP-gateway på det interna nätverket, men många väljer att avveckla alla sådana och helt förlita sig på Office 365 och skicka SMTP-mail direkt till Office 365. Det finns tre sätt att göra det på och beskrivs i detalj i följande artikel hos Microsoft. Nedan följer en sammanfattning på dessa sätt.



Citrix changing default ICA Protocol from TCP to UDP Q4 2017

For XenApp/XenDesktop versions released in Q4 2017 or later (version 7.16 or newer), the default protocol for ICA traffic will be changed from ICA TCP to Enlightened Data Transport (EDT). EDT is a recently-developed protocol from Citrix and is UDP based, unlike traditional ICA which is is TCP based. One of the reasons Citrix developed EDT is because TCP protocols have some drawbacks related to Congestion Control, leading to sub par performance in certain scenarios.

Citrix realizes however that UDP traffic is not always allowed, or configured, in Citrix environments, so they added a new feature called ‘Adaptive Transport’ which will try EDT protocol (UDP) first, and if that does not work it will fallback to using regular ICA over TCP.



Azure Automation – Running scripts locally on VM through runbooks

I was tasked to create a powershell script to run on a schedule on a Azure VM. Normally this would be running as a scheduled task on the VM but seeing as we’re working with AzureVM and schedule tasks are legacy I wanted to explore the possibilities of running the schedule and script in Azure to keep the VM clean and the configuration scalable.

After some research the best option would be running the powershell script as a CustomScriptExtension on the VM, and the schedule would be handled by a Process Automation Runbook (using Automation Accounts).

What I ended up with is the script below. It’s fairly easy to configure and contains almost all the required configuration in the parameters.



Recursively search Azure Ad group members

When working with on-premise Active Directory an administrator often has to recursively search AD groups, this is easy using the ActiveDirectory module with cmdlet ”Get-AdGroupMember <Group> -Recusive”.
For the AzureAD equivalent this is no longer an option, the cmdlet Get-AzureADGroupMember has three parameters.

PARAMETERS
-All <Boolean>
If true, return all group members. If false, return the number of objects specified by the Top parameter
-ObjectId <String>
Specifies the ID of a group in Azure AD.
-Top <Int32>
Specifies the maximum number of records to return.



Just enough Administration & RDS

The Problem?

Microsoft RDS has limitations when delegating access, in fact there is no built-in access delegation whatsoever!

The solution? Powershell!

A Just enough Administration (JEA) endpoint, also known as a Constrained Powershell Endpoint.

I’ve created a powershell app to list and logoff users I also created a simple tool in powershell to connect to connection brokers and search users. All without delegating users access to any RDS servers.

  1. Connection broker/Endpoint connection
  2. Collection field, used to search and filter. Multiple collections can be selected at once
  3. Wildcard search field, can be blank (list all users)
  4. User information & selection are
  5. Press to logoff all selected users

How does this work? Constrained Powershell Endpoint.

The endpoint is restricted to only access List collection, list users and subsequently force logoff users. The endpoint configuration to only accept users from a certain AD group.

To configure endpoint, run the following code on all connection brokers. The script is somewhat generalized for easy adaptability. The main parts are in the parameters where we configure who can run, using which account and also what cmdlet are available in the constrained session.

The frontend application code is not posted in the blog.



FSLogix Profile Containers – Enkel och snabb profilhantering

FSLogix har en intressant produkt som heter Profile Containers, den tar hand om huvudvärken som profiler ofta skapar i fleranvändarmiljöer. Det är idag komplext att sätta upp en fleranvändarmiljö som erbjuder en bra upplevelse för användarna. En utav de stora utmaningarna är inloggningstiden för användaren eftersom storleken på profilen ofta är en stor faktor. Det krävs mycket tid till att exkludera så mycket som möjligt för att hålla nere användarens profilstorlek, vilket måste underhållas om t.ex. när nya applikationer introduceras i miljön. Det är dessutom väldigt standardiserad lösningar som inte tar hänsyn till varje persons unika behov vilket också försämrar upplevelsen.

Faktum är att Office 365 Containers som jag har skrivit om tidigare är en ”light-version” av Profiles Containers som löser några av de största problemen relaterade till Office 365 i en fleranvändarmiljö. Profile Containers fungerar nästan precis likadant som deras lite lättare produkt Office 365 Profile Containers som skapades just för att kunna nyttja några av de största fördelarna i Office 365 i en fleranvändarmiljö.

Precis som Office 365 Containers skapas en personlig VHD-fil för varje användare som lämpligtvis finns på en lagringsyta med hög tillgänglighet. VHD-filen kommer att anslutas till användarens session och hela profilen finns nu tillgänglig för systemet, ingenting behöver kopieras över, vilket är en mycket stor fördel. Det spelar ingen roll om profilen är 100 MB eller 5 GB, det kommer alltid ta samma tid för VHD-filen att ansluta till din session vilket innebär att inloggningstiden kommer ligga konstant, och det är runt ca 15 sek. Vi behöver alltså inte skapa komplexa regler för vad som ska finnas i profilen längre, användaren kan ha kvar allt och bibehåller då alla sina inställningar och data. Nedan kan du se skillnaden mellan FSLogix och andra metoder för att peka om profilen.

För att läsa mer om FSLogix Profile Containers och deras övriga produkter kan ni läsa mer på deras officiella sida www.fslogix.com

Vill ni veta mer om denna produkten tveka inte att kontakta oss för en mer detaljerad beskrivning om hur denna produkt kan hjälpa er!



Secure Score – säkrat upp din Office 365 tenant

Att säkra upp sin Office 365 tenant är otroligt viktigt. Om en obehörig användare tar sig in kan de komma åt mycket känslig data, men var börjar man? Vissa självklara inställningar kan göras, till exempel aktivera MFA (Multi Factor Authentication), speciellt för administratörer, men sedan?

Secure Score har tagits fram av Microsoft för att göra det lättare. Secure Score analyserar din Office 365 tenant och utifrån dina aktiviteter och säkerhetsinställningar och jämför det med en baseline Microsoft har och du får ett Secure Score som kan vara allt från högt till lågt:

Om du sedan vill förbättra din säkerhet så kan du få en lista på åtgärder för att höja ditt Secure Score. Till exempel att slå på MFA för administratörer och till och med alla användare skulle höja det avsevärt:

Du kan klicka på respektive åtgärd föratt få mer information, vad ändringen innebär och hur det kommer påverka användarna:

Du kan även få historik hur ditt Secure Score förändrats över tid och vad snittet är över alla tenants:

Du kan klicka på respektive punkt för att se vad som ändrades denna dag och hur det påverkade ditt Secure Score.

Secure Score bör vara en av de aktiviteter som bör undersökas med jämna mellanrum då värdet inte är statiskt. Det räcker med att en administratör skapas där det glöms bort att aktivera MFA för att sänka säkerheten rejält. Genom att ha kontinuerlig översikt på sitt Secure Score kan man vara säker på att man gjort de åtgärder som krävs för att säkra upp sin Office 365 tenant.

Du kan lätt komma åt din Secure Score genom att logga in som administratör i er Offie 365 tenant och gå till https://securescore.office.com. Du kan även lägga till en widget i Office 365 Security and Compliance center.