13 kwietnia 2021

Kwietniowe poprawki bezpieczeństwa dla Exchange

Dzisiaj kolejny patch tuesday i pojawiły się poprawki dla Exchange. Po trzęsieniu ziemi, jakie miało miejsce na początku marca i ataku na wiele tysięcy organizacji Exchange, mam nadzieję, że administratorzy systemów pocztowych zaktualizowali swoje serwery i teraz będzie nieco spokojniej. Poprawki zabezpieczają systemy przed czterema podatnościami (jak na razie dosyć niejasno opisanymi w komunikatach bezpieczeństwa). Jak Microsoft twierdzi są to jak na razie zagrożenia teoretyczne (nie ma jeszcze w sieci exploitów wykorzystujących te podatności), ale lepiej nie czekać i łatać przed atakiem. Poniżej linki do paczek instalacyjnych (należy instalować w kontekście administratora):

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU19 and CU20
  • Exchange Server 2019 CU8 and CU9
Warto pamiętać również o przydatnym skrypcie, udostępnionym na Githubie do weryfikacji zabezpieczeń serwerów Exchange - nie tylko zainstalowanych poprawek ale również konfiguracji interface'ów sieciowych, sterowników i innych parametrów konfiguracji serwerów - https://aka.ms/ExchangeHealthChecker

17 marca 2021

I znowu poprawki dla Exchange

 Dla tych, którzy nie zdążyli zainstalować ostatnio opublikowanych poprawek bezpieczeństwa, a nie padli jeszcze ofiarą ataku, mam dobrą wiadomość - Microsoft wydał właśnie najnowsze pakiety Cumulative Updates dla Exchange 2016 i 2019. Dla Exchange 2016 CU20 to oficjalnie ostatni pakiet poprawek, chociaż jednocześnie zespół produktowy zapowiada jeszcze jeden "definitywnie ostatni" w przyszłym kwartale. No cóż, pożyjemy - zobaczymy.

Wymagania wstępne nie zmieniły się, nadal obowiązuje .Net Framework 4.8, dobrze jest również sprawdzić, czy schemat naszego AD nie wymaga aktualizacji (setup /PrepareAD). No i oczywiście nadal trzeba uważać na Execution Policy w Powershell, czy mamy dobrze ustawione (koledzy z Redmond zalecają mieć na serwerach ustawioną polisę na Unrestricted). Więcej szczegółów w artykule na blogu zespołu produktowego.

10 marca 2021

Jeszcze więcej poprawek do serwerów Exchange

Nie cichnie wrzawa po wykryciu w ostatnich dniach podatności w systemach Exchange Server. Pisałem już w poprzednim poście o poprawkach, które Microsoft wydał dokładnie tydzień temu, wiele organizacji Exchange zostało do dziś zaatakowanych - bez wątpienia był to największy atak na najczęściej używany na świecie komercyjny system pocztowy. Podstawowym problemem, jaki mieli administratorzy, którzy chcieli zabezpieczyć swoje serwery Exchange, był w wielu przypadkach brak aktualnych wersji poprawek Cumulative Updates (grupa produktowa Exchange wydaje poprawki bezpieczeństwa tylko dla dwóch ostatnich wersji CU), których z różnych względów firmy nie mogły lub nie chciały zainstalować.

Dlatego też, ze względu na fakt, jak krytyczne są wykryte podatności, Microsoft opublikował dodatkowo poprawki dla trzech poprzednich wersji CU, zarówno dla Exchange 2016 jak i Exchange 2019. Dodatkowe poprawki łatają tylko wykryte w marcu podatności, ale dzięki ich instalacji, firmy będą mogły lepiej przygotować się do instalacji najnowszych aktualizacji zbiorczych, nie będąc narażonymi na ataki. Więcej informacji na blogu grupy produktowej Exchange.

Warto również sprawdzić, czy na naszym serwerze Exchange nie ma podejrzanych plików, świadczących o dokonanym ataku. Microsoft udostępnił skrypt Test-ProxyLogon.ps1, który szuka takich danych.

W przypadku, gdy serwer jednak padł ofiarą ataku, Microsoft zaleca reinstalację systemu. W takiej sytuacji warto pamiętać o parametrze instalacyjnym /recoverserver dzięki któremu w trakcie instalacji konfiguracja zostanie pobrana z Active Directory, co na pewno znacząco ułatwia życie. Dokładniejszą instrukcję, jak odbudować serwer umieścił na swoim blogu Jaap Veselius.


03 marca 2021

Krytyczne poprawki bezpieczeństwa dla serwerów Exchange

Kilka godzin temu zespół produktowy Exchange opublikował informację o wykryciu exploitów, mogących atakować wszystkie wersje Exchange. W związku z tym została opublikowana krytyczna poprawka bezpieczeństwa, którą należy jak najszybciej zainstalować, zwłaszcza na serwerach wystawionych do internetu.

Oczywiście, jak zawsze Microsoft udostępnia aktualizacje tylko dla dwóch ostatnich wersji Cumulative Update, więc jak ktoś nie ma, to powinien również zainstalować najnowszy pakiet poprawek. Poprawka bezpieczeństwa nie wymusza restartu serwera, ale powinien on zostać wykonany.
Więcej informacji o zagrożeniach związanych z podatnością  można znaleźć na blogu Microsoft Security Response Center oraz tutaj.

02 stycznia 2021

Podsumowanie roku 2020

"O roku ów! kto ciebie widział w naszym kraju!" jak pisał kiedyś wieszcz Adam. Rok 2020 był bardzo specyficzny dla wszystkich przez pandemię, ale to truizm. Dla mnie był na pewno szczególny, ze względu na 50 urodziny, 25 rocznicę ślubu i 18 urodziny młodszej córki. Niestety, właśnie pandemia nieco pokrzyżowała plany dotyczące świętowania tych rocznic. Podobnie z planami wyjazdowymi. Udało mi się co prawda wybrać z rodziną w ferie zimowe do Rzymu, ale inne plany wyjazdowe się posypały. Z 12 miesięcy większość czasu spędziłem na pracy zdalnej, więc kolejne miesiące od połowy marca do końca roku zlały mi się w jeden ciąg, ale warto parę rzeczy podsumować.

Udało mi się zdać kilka egzaminów Microsoft, chociaż niestety mniej niż bym chciał, ale nadmiar pracy trochę utrudniał przygotowanie do egzaminów. Poprowadziłem również kilka sesji na konferencjach (lub byłem moderatorem dyskusji) i kilka szkoleń, niektóre nawet zagościły na stałe:

Administracja platformą Office 365 dla nauczycieli - 

https://youtu.be/KFbOdIINdZ8

Expert Summit 2020 https://www.youtube.com/watch?v=LI4SzKN2rvo

Akademia cyfrowego Administratora Office 365 https://www.youtube.com/watch?v=5LuITtJ2srs

Muszę również wspomnieć o dwóch istotnych dla mnie kwestiach. Po pierwsze od początku zdalnego nauczania w Polsce starałem się wspierać szkolnictwo. Co prawna nie miałem tak spektakularnych wyników jak Mariusz Kędziora, ale przeprowadziłem czy też pomogłem we wdrożeniu Office 365 w kilkunastu placówkach edukacyjnych, przeprowadziłem również kilka szkoleń online dla nauczycieli (wszystko to w wolnym czasie). Starałem się również pomagać poprzez porady na grupach Facebook'owych i posty na tym blogu.

Zmieniłem również pracę, pozostając nadal w sektorze bankowym. Można powiedzieć, że zmiana pracy w tak trudnych czasach to wyzwanie, jednak nadal czuję potrzebę nowych wyzwań i rozwoju, więc skorzystałem z ciekawej możliwości.

Co przyniesie Nowy Rok? Mam nadzieję, że kolejne ciekawe projekty i możliwość dalszego rozwoju zawodowego. Microsoft ma wprowadzić w drugiej połowie roku nowe wersje serwerów Exchange, Sharepoint i Skype for Business, pomimo tego, że krążyło w ostatnich latach wiele pogłosek o wycofaniu tych produktów. Na pewno będą również rozwijane produkty chmurowe. Mam nadzieję również, że w tym roku po zaszczepieniu będzie znowu można uczestniczyć w stacjonarnych konferencjach. Konferencje online są świetne, jednak możliwość spotkania z kolegami i specjalistami z branży jest bardzo ważna.

31 grudnia 2020

Rok z książkami

 Warto czasem zrobić retrospekcję i pochylić się nad tym co się zrobiło lub przeczytało. Od zawsze byłem pasjonatem książek i przynajmniej ta pasja przeszła na moje córki. Rok temu wspominałem o serwisach, z których korzystam, żeby rejestrować listę książek, które przeczytałem lub przesłuchałem w przeszłości. Rok 2020 w moim przypadku sprzyjał słuchaniu książek - większą cześć roku spędziłem na home office, więc po całym dniu pracy na komputerze, starałem się odbyć chociaż krótki spacer ze słuchawkami na uszach, sięgając po książki z różnych obszarów, żeby nie tylko oderwać się od rzeczywistości z literaturą rozrywkową, ale również żeby czegoś się nauczyć, czy też po prostu poznać historię. Serwis Goodreads, oprócz własnych rankingów książek w różnych kategoriach, przygotował również indywidualne podsumowanie roku dla każdego z użytkowników. O kilku książkach, które przeczytałem myślę że warto wspomnieć nieco więcej, zachęcając innych do ich lektury. Nie ukrywam, że nie wszystkie mnie zachwyciły, ale na szczęście było to tylko kilka pozycji. W tym roku trochę bardziej starałem się śledzić różnego rodzaju konkursy literackie (np. Nike), starając się czytać także książki laureatów takich konkursów, jak również sięgnąć po utwory noblistów. I tak moja subiektywna lista kilku książek (kolejność przypadkowa), które mnie w tym roku oczarowały, wzruszyły czy też po prostu skłoniły do głębszej refleksji:

  • Permanent Record Edwarda Snowdena - bardzo ciekawa autobiografia kontrowersyjnej osoby, znanej zarówno z ujawnienia wstydliwych tajemnic amerykańskiego wywiadu jak i z prac nad siecią Tor.
  • Everybody Lies Setha Stevensa-Davidowitza - ciekawe przypadki związane z analizą danych masowych i ich interpretacją (autor ma duże doświadczenia praktyczne z serwisu Google).
  • Strup, Hiszpania rzdrapuje rany Katarzyny Kobylarczyk - seria reportaży z Hiszpanii pokazujących nieznane w Polsce fakty związane z wojną domową i rozliczaniem się z nie zawsze wygodną historią
  • Trylogia Jakuba Szamałka Ukryta sieć, która co prawda jest z jednej strony tylko dobrym kryminałem, ale również pokazuje zagrożenia związane z korzystaniem z Internetu i dostępnością naszych danych
  • Ballada ptaków i węży Susanne Collins - świetna powieść fantasy, będąca prequelem do Igrzysk Śmierci, która należy do ulubionych lektur mojej rodziny.
  • Wojna nie ma w sobie nic z kobiety Swietłany Aleksijewicz - bardzo smutna historia wielu kobiet, które walczyły w Armii Radzieckiej w czasie II wojny światowej.
  • 27 śmierci Toby'ego Obeda Joanny Gierak-Onoszko to z kolei ponura historia Kanady i jej polityki wyniszczania rdzennych mieszkańców, procesów i odszkodowań oraz niestety kolejny raz pokazanej ciemnej strony Kościoła, który skrzywdził wiele dzieci, oderwanych od rodzin i zmuszonych do nauki w szkołach z internatem.

27 grudnia 2020

Grudniowe aktualizacje dla serwerów Exchange

W trakcie przygotowań do Świąt jakoś umknęła mi publikacja pakietów aktualizacji dla Exchange. Jak wspominałem w jednym z poprzednich postów, zgodnie z ogłoszeniem grupy produktowej, dla Exchange 2016 to już ostatni Cumulative Update. Chociaż zobaczymy, co przyszły rok przyniesie.

Wersja

Build

KB

Download

UMLP

Aktualizacja Schematu

PrepareAD

Exchange 2019 CU8

15.2.792.3

KB4588885

VLSC

 

Nie

Tak

Exchange 2016 CU19

15.01.2176.002

KB4588884

Download

UMLP

Nie

Tak

Jak widać, pakiety CU nie wymagają zmian w schemacie AD, jednak należy wykonać przygotowanie lasu (setup /PrepareAD). Podobnie jak poprzednie poprawki, niezbędnym wymogiem do instalacji jest .NetFramework 4.8.

Pakiety zawierają poprawki bezpieczeństwa dla pięciu ogłoszonych przez Microsoft zagrożeń - CVE-2020-17117CVE-2020-17132CVE-2020-17141CVE-2020-17142CVE-2020-17143, więc powinno się rozważyć wdrożenie aktualizacji bez zbędnych opóźnień. Oprócz poprawek bezpieczeństwa aktualizacje również zawierają kilka poprawek funkcjonalnych.

Ciekawe aplikacje w Microsoft Teams

Jednym z ciekawych tematów, o który czasami jestem pytany to aplikacje dostępne dla uczniów i nauczycieli w Microsoft Teams. Część z nich jest oczywista, część zależy od posiadanych licencji (np. aplikacje z grupy Microsoft Dynamics powiązane z zarządzaniem kadrami), możemy również dodawać własne aplikacje.

W przypadku planów edukacyjnych, dosyć specyficzną aplikacją są Zadania (Assignments), które niejako przymusowo są dodawane do paska szybkiego wyboru oraz jako zakładka do zespołów klasowych. Aplikacja ta ma wiele ciekawych zastosowań, więc na pewno w klasach wyższych dobrze jest ją używać - więcej informacji o aplikacji znajdziemy tutaj.















Co jednak w przypadku, kiedy placówka edukacyjna (np. przedszkole) lub konkretne klasy nie powinny używać Zadań?

Jak widać na powyższym ekranie, w zasadach konfiguracji aplikacji możemy dodać lub usunąć aplikacje, które powinny być przypięte w aplikacji Teams ucznia lub nauczyciela. W ten sposób możemy w konsoli administracyjnej Teams, w sekcji Aplikacje Teams->Zasady konfiguracji, poprzez globalne zasady konfiguracji lub nowe zasady utworzone dla specyficznej grupy użytkowników, dodać aplikację, którą uznanmy za potrzebną. Analogicznie możemy inną aplikację usunąć z listy domyślnie przypinanych dla użytkownika, jednak jak pokazuje powyższy rysunek, na liście przypiętych aplikacji nie widać Zadań. Jest za to ostrzeżenie, że aplikacja ta jest dodawana obowiązkowo w ramach planów edukacyjnych. Czy jednak możemy ją usunąć z tej listy?

Nie jest to takie oczywiste, ale możemy. Jednak w tym celu musimy zablokować aplikację całkowicie, poprzez konfigurację w innej sekcji konsoli administracyjnej - Aplikacje Teams->Zasady Uprawnień. W tym miejscu administrator może zablokować konkretne aplikacje, pozwalając na używanie wszystkich innych, bądź też pozwolić na używanie tylko wybranych aplikacji.

Dla przedszkola możemy zablokować aplikację Zadania (w wyszukiwarce aplikacji należy użyć angielskiej nazwy Assignments) w zasadzie globalnej, jednak w szkole, gdy np. chcemy zablokować tylko użycie Zadań w klasach 1-3, bo uzgodniliśmy, że ta grupa uczniów nie będzie z niej korzystać, to powinniśmy utworzyć nową zasadę i przypisać ją do wybranej grupy uczniów (rysunki poniżej). Po zapisaniu zasady aplikacja zniknie zarówno z paska szybkiego dostępu jak i z zakładek zespołów klasowych.




































W styczniu mają pojawić się kolejne, ciekawe aplikacje, które Microsoft udostępni dla użytkowników Teams, napiszę o nich oddzielnie.

25 grudnia 2020

Ograniczenie dostarczania poczty w organizacji Office 365

Jednym z tematów, który cyklicznie się przewija w dyskusjach z nauczycielami i administratorami szkolnymi jest ograniczanie możliwości wysyłania i otrzymywania maili na szkolne skrzynki pocztowe. W końcu Office 365 dostępny dla szkół to nie tylko Teams ale i najpopularniejszy na świecie system pocztowy Microsoft Exchange. Oczywiście umożliwia on różnego rodzaju operacje na wiadomościach pocztowych w trakcie ich wysyłki lub odbierania poprzez reguły transportowe.

Jak zatem dobrze i sprawnie przygotować regułę, która zablokuje możliwość wysyłania poczty przez uczniów do odbiorców mających skrzynki poza domeną szkolną? Najprościej byłoby utworzyć dynamiczną grupę dla wszystkich kont z licencją ucznia, ale niestety w planie EDU A1 możliwość tworzenia dynamicznych grup zabezpieczeń nie jest dostępna. Trzeba zatem poradzić sobie inaczej. Można to zrobić dosyć szybko z poziomu powłoki Powershell, ale da się to również zrobić z konsoli webowych. Można wyobrazić sobie kilka różnych scenariuszy, ja pokażę ten, który jest wg. mnie najprostszy.

Pierwszym krokiem oczywiście jest utworzenie grupy (rysunek poniżej). Używam do tego konsoli administracyjnej systemu pocztowego Microsoft Exchange. Od niedawna dostępna jest nowa konsola administracyjna jeszcze nie do końca spolonizowana.


















W regułach transportowych możemy używać pojedynczych kont lub grup posiadających adresy mailowe, utworzę więc dynamiczną grupę dystrybucyjną, tworzoną na podstawie wybranych atrybutów konta. Jeżeli zadbamy, żeby wszyscy uczniowie mieli w polu Departament mieli wpisaną wartość "uczniowie", to taka grupa będzie spełniać nasze założenia (kolejne rysunki".



























Po przejściu całego kreatora utworzy nam się potrzebna w dalszej konfiguracji grupa dynamiczna. Kolejnym krokiem jest utworzenie reguły transportowej. Reguły transportowe nadal są konfigurowane wyłącznie w starszej wersji konsoli, ale niebawem się to zmieni.















Tworzymy zatem nową regułę transportową, gdzie jako warunki ustawiamy, że jeżeli odbiorca poczty jest poza naszą organizacją i nadawca należy do odpowiedniej grupy dystrybucyjnej, to wiadomość jest odrzucana, możemy również dodać wyjątek (np. pozwalający wysyłać maile do konkretnej domeny). Tworzymy regułę i gotowe. Możemy również utworzyć analogiczną regułę dla poczty przychodzącej - nadawca poza organizacją, odbiorca należy do grupy.



























































13 grudnia 2020

Witryny administracyjne Office 365

Kolejny temat, który często pojawia się w dyskusjach z administratorami Office 365 lub poszczególnych komponentów chmurowych jest dostęp do portali administracyjnych poszczególnych usług, zwłaszcza, że część usług ewoluuje, zmienia nazwy (np. zamiast konsoli administracyjnej Intune w portalu administracyjnym Azure, pojawił się specjalizowany portal Endpoint Management), lub pojawiają się nowe rozszerzenia. Dostęp do poszczególnych portali zależny jest również od posiadanych przez naszą organizację licencji. Ponieważ nie zawsze nazwy te są łatwe do znalezienia, chciałem podsumować nazwy usług z których często korzystam, oraz tych z których korzystam sporadycznie.

Pierwszą witryną, z której korzystają wszyscy administratorzy Office 365 jest https://admin.microsoft.com, czyli podstawowy portal zarządzania naszą organizacją Office 365. Bardzo wielu administratorów często korzysta z tej witryny również jako miejsce pośredniczące w dostępie do portali administracyjnych innych usług, jednak nie wszystkie portale są dostępne z tego poziomu, jak widać na poniższym rysunku. Jednak w ten sposób tracimy sporo czasu (zwłaszcza na słabych komputerach, lub połączonych słabym łączem) i lepiej otwierać od razu łącze bezpośrednie. Możemy sobie również dodać takie urle do ulubionych i mieć je pod ręką, kiedy ich potrzebujemy.


 











I tak po kolei (kolejność przypadkowa):

Zarządzanie ustawieniami związanymi z funkcjami bezpieczeństwa i zgodnością z regulacjami jest obecnie rozbite na trzy portale:

W przypadku organizacji edukacyjnych, dodatkowym portalem administracyjnym jest portal usługi School Data Service - https://sds.microsoft.com/

Jeżeli nasza organizacja ma licencje Enterprise Mobility + Security lub Microsoft E3/E5, to dostępne są również dodatkowe portale związane z zaawansowanymi funkcjami bezpieczeństwa

18 listopada 2020

Teams - Współpraca z użytkownikami zewnętrznymi

 Jednym z tematów, który często pojawia się w pytaniach dotyczących Microsoft Teams jest dołączanie do spotkań lub do zespołów osób spoza naszej organizacji Office 365. Żeby omówić ten temat, najpierw musimy wiedzieć, jakie typy użytkowników mamy do dyspozycji i jakie są ich uprawnienia/możliwości pracy w Teams naszej organizacji/szkoły. Tak więc mamy 3 typy użytkowników zewnętrznych:

  • Użytkownik sfederowany - użytkownik z innej organizacji Microsoft Teams - jeżeli nasza organizacja ma włączoną federację (współpracę) z innymi organizacjami Teams, to możemy połączyć się bezpośrednio z takim użytkownikiem, zarówno głosowo jak i poprzez chat. Jeżeli federacja jest typu natywnego (obie organizacje pracują w trybie Teams Only), to również możemy zobaczyć status dostępności takiej osoby. Użytkownik tego typu nie ma dostępu do naszych zespołów, ale może być zapraszany na spotkania.
  • Użytkownik anonimowy - można zapraszać taką osobę na spotkania/lekcje, wysyłając zaproszenie mailem na adres pocztowy danej osoby. W zależności od zdefiniowanych polityk spotkań użytkownik anonimowy może tylko uczestniczyć w spotkaniu, ale może również być prezenterem. Administrator może również zablokować możliwość dołączania użytkowników anonimowych.
  • Gość - Użytkownik z innej organizacji Teams, Skype for Business, a nawet z innej platformy jak np. Google. Goście mogą należeć do zespołów Teams, mieć dostęp do witryn Sharepoint oraz wybranych aplikacji. W zależności od ustawień na poziomie administracyjnym możemy pozwolić wszystkim pracownikom zapraszać gości do swoich zespołów Teams, możemy to również ograniczyć, pozwalając tylko administratorom dodawać gości na poziomie organizacji, a do zespołów Teams dodawać tylko wcześniej utworzone konta gości.
Jak widać, w zależności od potrzeb, możemy skorzystać do różnych celów z różnego typu kont zewnętrznych, jednak właściciel zespołu, a nawet część administratorów nie zawsze wie, jak zmienić ustawienia w zakresie ograniczeń pracy gości czy użytkowników anonimowych. Gdzie szukać rozwiązania naszych problemów?
W przypadku użytkowników anonimowych, zablokowanie dostępu do spotkań jest proste - wystarczy w ustawieniach spotkań (konsola administracyjna Teams), wyłączyć dostęp anonimowy - jak widać na poniższym rysunku.

















Zezwolenie na udział użytkowników globalnych jest ustawieniem globalnym, co może ograniczać możliwość zapraszanie użytkowników zewnętrznych zarówno uczniom jak i nauczycielom - zaproszenie na spotkanie wyślemy, ale użytkownik niezalogowany do Teams nie dołączy do spotkania. Jednak w przypadku, gdy mamy włączoną federację, a zaproszona osoba ma konto w innej organizacji Teams, to będzie mogła dołączyć do spotkania jako użytkownik sfederowany. Żeby ograniczyć również tą możliwość musimy na poziomie organizacji ograniczyć federację z innymi organizacjami. Domyślnie w ustawieniach organizacji Teams współpraca federacyjna z innymi organizacjami Teams i Skype for Business oraz Skypem konsumenckim jest włączona (rysunek poniżej).





















Jeżeli chcemy ograniczyć współpracę z innymi organizacjami, możemy po prostu dodać domenę zaufanej organizacji, a nawet wyłączyć całkowicie współpracę federacyjną.
Jednak najwięcej możliwości współpracy daje nam konto gościa - tylko ten typ użytkownika zewnętrznego może być dodany do zespołu i np. wspólnie współpracować edytując dokumenty projektowe udostępnione w danym zespole. Domyślnie wszyscy mogą dodawać gości na poziomie zespołu (kolejny rysunek).














Jednak ze względów bezpieczeństwa dobrze jest ograniczyć możliwość dodawania gości, tak, żeby tylko administratorzy organizacji mogli dodawać nowe konta. Należy to zrobić z konsoli Azure Active Directory->Użytkownicy->Ustawienia Użytkownika->Zarządzaj ustawieniami współpracy zewnętrznej.




























Dobrze jest również rozważyć jakie możliwości powinni mieć goście w zespole. Właściciel zespołu może zablokować lub zezwolić gościom na tworzenie i kasowanie kanałów (kolejny rysunek), administrator może również ograniczyć opcje gościa (ustawienia globalne organizacji Teams w panelu administracyjnym Teams) dotyczące prowadzenia rozmów, konwersacji i udziału w spotkaniach (ostatni rysunek).


















07 listopada 2020

Lista obecności spotkania w Teams

W poprzednim artykule pisałem o użyciu pakietów polis w Teams, jednak nadal nie wszystkie ustawienia można wyklikać w panelu administracyjnym.

Jednym z często pojawiających się zagadnień jest brak listy obecności na spotkaniu, co potrzebne jest wielu organizatorom spotkań, a zwłaszcza nauczycielom. W tym wypadku niezbędne jest przypisanie organizatorom spotkań (czyli na przykład nauczycielom) ustawienia, które wymusza dodawanie listy obecności z poziomu powershella. Jak zrobić to najprościej?

Zacznijmy od sprawdzenia jak wyglądają istniejące polisy spotkań. Tak jak wspomniałem, ustawienie nie jest widoczne w panelu administracyjnym, więc musimy skorzystać z Powershella. W tym celu musimy zainstalować (jeżeli jeszcze nie mamy) moduł administracyjny Skype for Business Online (moduł MicrosoftTeams jeszcze nie obsługuje Meeting Policy). Potem łączymy się do naszej organizacji Office 365

$cred = Get-Credential

$sfbsession = New-CsOnlineSession -Credential $cred

Import-PSSession $sfbsession -AllowClobber

(rysunek poniżej).






i sprawdzamy, jak skonfigurowany jest parametr odpowiadający za listę uczestników (kolejny rysunek).

Get-CsTeamsMeetingPolicy | select Identity,AllowEngagementReport









Jak widać, domyślnie polityka "Education_Teacher" ma wyłączone raportowanie listy uczestników. Jeżeli taka polityka jest przypisana do nauczycieli, to wystarczy teraz zmienić ustawienia polityki, wykonując komendę:

Set-CsTeamsMeetingPolicy -Identity Tag:Education_Teacher -AllowEngagementReport Enabled

(kolejny rysunek) i gotowe.



31 października 2020

Tworzenie pakietów zasad w Microsoft Teams

 Kilka miesięcy temu pokazywałem w ramach podstaw automatyzacji dla Edu, jak przypisywać uczniom pakiet polityk. Jednak temat problemów z odpowiednimi ustawieniami polityk w Teams pojawia się ostatnio tak często, że postawiłem poświęcić nieco więcej czasu temu zagadnieniu. Microsoft przygotował pakiety zasad, w culu pomocy administratorom w przypisywaniu niezbędnych polityk w zależności od typu użytkowników Microsoft.Teams. Jeżeli wejdziemy w panel administracyjny Teams i klikniemy w lwym menu pozycję"Pakiety Zasad" pojaiw nam się lista predefiniowanych przez Microsoft pakietów. Jak widać na rysunku poniżej, część z nich bezpośrednio odnosi się do środowisk szkolnych.











Jeżeli wejdziemy we właściwości danego pakietu, zobaczymy, że składa się on z kilku polityk, adresujących konfigurację poszczególnych obszarów funkcjonalnych (rysunek poniżej).












Jeżeli spojrzymy na konkretny pakiet, np. Edukacja (uczeń szkoły średniej). To możemy sprawdzić, jakie ustawienia możemy uczniowi przydzielić, a jakie zablokować.

Pierwszym obszarem jest obsługa wymiany wiadomości - tutaj możemy przede wszystkim blokować możliwość korzystania z konwersacji indywidualnej (chatów), kasowania wysłanych wcześniej wiadomości, korzystania z obrazów Giphy i naklejek w konwersacjach - np. w pakiecie "Edukacja (uczeń szkoły podstawowej korzystający z nauki na odległość)", korzystanie z chatów jest wyłączone.





















Kolejnym obszarem funkcjonalnym jest udział w spotkaniach, gdzie możemy zezwalać na planowanie spotkań, współdzielenie ekranu, zapraszanie gości, automatyczne wpuszczanie (lub zatrzymywanie w lobby) uczestników i inne opcje związane z prowadzeniem spotkań. W zależności od poziomu szkoły i tego czy polityka dotyczy uczniów czy nauczycieli ustawienia są inne, ale oczywiście możemy ustawić własne wartości. Kolejne rysunki pokazują politykę konfiguracji spotkań tego samego pakietu, co wcześniejsze rysunki.










































Kolejna polityka dotyczy konfiguracji aplikacji i umożliwia zarówno blokowanie konkretnych aplikacji, blokowanie własnych aplikacji jak i rozmieszczanie konkretnych aplikacji na pasku nawigacyjnym aplikacji Teams (w planach edukacyjnych aplikacja Zadania jest automatycznie przypinana do paska, chociaż nie ma jej na liście wyboru).



















Kolejne polityki, dostępne w ramach pakietu nie znajdą zastosowania w bezpłatnych planach A1, jednak dla placówek, które mogą korzystać z wyższych planów, mogą mieć zastosowanie. Jedna z nich dotyczy rozmów głosowych, a zwłaszcza rozmów telefonicznych (bo Teams obsługują również integrację z siecią telefoniczną).


















Ostatni komponent, dla którego polityka jest zawarta w pakiecie zasad, to spotkania na żywo. Konfiguracja jest tutaj najprostsza, więc i ilość opcji, które możemy zablokować/włączyć jest również bardzo mała.











Modyfikując lub tworząc pakiety zasad, a niastępnie przypisując je poszczególnym grupom użytkowników, możemy dosyć elastycznie kształować uprawnienia użytkowników.

28 października 2020

Jak odzyskać skasowany zespół Teams?

 Jedno z pytań, które ostatnio powtarza się cyklicznie na grupach związanych ze zdalnym nauczaniem jest możliwość odzyskania skasowanego zespołu w Microsoft Teams. Czy można? Oczywiście. A jak to zrobić? Rozwiązanie jest bardzo proste, niestety nie do końca oczywiste. Żeby odzyskać skasowany zespół Teams, musimy przejść do konsoli administracyjnej usługi Azure AD (konsolę można wywołać z portalu administracyjnego Office 365, ale najszybciej jest otworzyć bezpośrednio - https://aad.portal.azure.com. Następnie przechodzimy do zarządzania grupami - opcja usunięte grupy i po zaznaczeniu wybranej grupy możemy zespół odzyskać klikając na przycisk "Przywróć grupę" (rysunek poniżej).

Portal Azure Ad - usunięte grupy







Po kilkunastu minutach (chociaż czasem trzeba trochędłużej poczekać) zespół powinien pojawić się ponownie w Teams. Jak widać na obrazku, mamy informację kiedy zespół został skasowany i kiedy zostanie skasowany całkowicie (po 30 dniach). Jeżeli chcemy dowiedzieć się, kto skasował zespół, to możemy sprawdzić zmiany wykonywane na grupach w ciągu ostatnich 7 dni wybierając punkt menu "Dziennik inspekcji" w tej samej konsoli, jak pokazuje poniższy obrazek. Jeżeli zespół skasowany był wcześniej, to niestety w prosty sposób tego nie sprawdzimy (przynajmniej w ramach licencji A1).

Dziennik inspekcji grup


26 września 2020

Nowości dla Exchange - Ignite 2020


W czwartek zakończyła się, tym razem nieco krótsza, wirtualna, ale za to całkowicie bezpłatna konferencja Microsoft Ignite 2020. Jak zwykle Microsoft ogłosił setki nowych funkcjonalności w swoich produktach, oraz informacje o zmianach w liniach produktowych.

Dla administratorów środowisk lokalnych, gdzie często nawet handlowcy Microsoftu wmawiali firmom, że już nie będzie lokalnych wersji Exchange i Skype for Business, na pewno dużym (lecz zapewne przyjemnym) zaskoczeniem jest informacja, o zaplanowanej premierze nowych wersji serwerów i aplikacji Office. Exchange vNext ma  być dostępny w drugiej połowie 2021 roku, podobnie Skype for Business. Co ciekawe możliwy będzie upgrade aplikacji, a prawo do aktualizacji będzie dotyczyło firm, posiadających licencje subskrypcyjne. W przypadku Exchange 2019 upgrade będzie realizowany tak jak instalacja kolejnego Cumulative Update, możliwa będzie przez kolejne dwa lata i co ciekawe koegzystencja będzie dostępna nadal dla wersji Exchange 2013, 2016 i 2019 (wszystkie poprzednie wersje Exchange pozwalały na koegzystencję tylko dwie wersje wstecz). Więcej informacji w nagraniu sesji dostępnej na żądanie - Exchange Here, There and Everywhere.

Dużo zmian i aktualizacji ogłoszono w Exchange Online.

Najnowsza wersja modułu administracyjnego ExchangeOnlineManagement (2.0.3) pozwala na uwierzytelnianie certyfikatem (opcja zalecana dla cyklicznie uruchamianych skryptów), a kolejna, (na razie dostępna jako preview - 2.0.4) może być uruchamiana również na platformie Linux.

Dawno oczekiwana możliwość migracji między tenantami pojawiła się, jak na razie w wersji Preview, ale można już z niej skorzystać. Proces opisany jest w dokumentacji - Cross-tenant mailbox migration, process overview. Równolegle ruszyły programy migracyjne dla Sharepointa i OneDrive.

Zaprezentowano również nowe centrum administracyjne Exchange Online.

Administratorów konfiguracji hybrydowych zainteresuje również nowy kreator konfiguracji hybrydowej, który ma wspierać połączenie lokalnej organizacji do maksymalnie 5 tenantów.

Więcej nowości w oficjalnych ogłoszeniach:

Wrześniowe aktualizacje dla Exchange 2016 i 2019

Minął kolejny kwartał i jak zwykle zespół produktowy, opublikował pakiety aktualizacji dla Exchange. Jak wspominałem w jednym z poprzednich postów, zgodnie z ogłoszeniem grupy produktowej, dla Exchange 2016 to już przedostatni Cumulative Update.

Wersja

Build

KB

Download

UMLP

Aktualizacja Schematu

PrepareAD

Exchange 2019 CU7

15.2.721.2

KB4571787

VLSC

 

Nie

Tak

Exchange 2016 CU18

15.1.2106.2

KB4571788

Download

UMLP

Nie

Tak

Jak widać, pakiety CU nie wymagają zmian w schemacie AD, jednak należy wykonać przygotowanie lasu (setup /PrepareAD). Podobnie jak poprzednie poprawki, niezbędnym wymogiem do instalacji jest .NetFramework 4.8.

Co nowego w aktualizacjach?

Poprawki zawarte w Exchange 2019 CU7:

  • 4570248 Get-CASMailbox uses wrong LDAP filter for ECPEnabled in Exchange Server 2019
  • 4576652 Updates for Exchange Server 2019 Sizing Calculator version 10.5
  • 4570252 Intermittent poison messages due to NotInBagPropertyErrorException in Exchange Server 2019
  • 4576649 System.InvalidCastException when you change passwords in Outlook on the web in Exchange Server 2019
  • 4570251 Inbox rule applying a personal tag doesn’t stamp RetentionDate in Exchange Server 2019
  • 4570245 ESEUtil /p fails if any long value (LV) is corrupted in Exchange Server 2019
  • 4570255 NullReferenceException occurs when running TestFederationTrust in Exchange Server 2019
  • 4576650 Can’t add remote mailbox when setting email forwarding in Exchange Server 2019 Hybrid environment
  • 4570253 CompletedWithErrors without details for mailbox migration batches in Exchange Server 2019
  • 4570247 CSV log of Discovery export fails to properly escape target path field in Exchange Server 2019
  • 4570246 EdgeTransport crashes with Event ID 1000 (exception code 0xc00000fd) in Exchange Server 2019
  • 4570254 MSExchangeMapiMailboxAppPool causes prolonged 100% CPU in Exchange Server 2019
  • 4563416 Can’t view Online user free/busy status in Exchange Server 2019
  • 4576651 Can’t join Teams meetings from Surface Hub devices after installing Exchange Server 2019 CU5
  • 4577352 Description of the security update for Microsoft Exchange Server 2019 and 2016: September 8, 2020

Poprawki zawarte w Exchange 2016 CU18:

  • 4570248 Get-CASMailbox uses wrong LDAP filter for ECPEnabled in Exchange Server 2016
  • 4570252 Intermittent poison messages due to NotInBagPropertyErrorException in Exchange Server 2016
  • 4576649 System.InvalidCastException when you change passwords in Outlook on the web in Exchange Server 2016
  • 4570251 Inbox rule applying a personal tag doesn’t stamp RetentionDate in Exchange Server 2016
  • 4570245 ESEUtil /p fails if any long value (LV) is corrupted in Exchange Server 2016
  • 4570255 NullReferenceException occurs when you run TestFederationTrust in Exchange Server 2016
  • 4576650 Can’t add remote mailbox when setting email forwarding in Exchange Server 2016 Hybrid environment
  • 4570253 CompletedWithErrors without details for mailbox migration batches in Exchange Server 2016
  • 4570247 CSV log of Discovery export fails to properly escape target path field in Exchange Server 2016
  • 4570246 EdgeTransport crashes with Event ID 1000 (exception code 0xc00000fd) in Exchange Server 2016
  • 4570254 MSExchangeMapiMailboxAppPool causes prolonged 100% CPU in Exchange Server 2016
  • 4563416 Can’t view Online user free/busy status in Exchange Server 2016
  • 4576651 Can’t join Teams meetings from Surface Hub devices after installing Exchange Server 2016 CU16
  • 4577352 Description of the security update for Microsoft Exchange Server 2019 and 2016: September 8, 2020