30 maja 2021

Konferencja K@SSK i Majowe Mrozy - warsztat Azure AD

 Wczoraj miałem przyjemność prowadzić warsztat dla szkolnych administratorów Office 365 na temat "Azure AD – konfiguracja zabezpieczeń i monitorowanie użytkowników". Warsztat był częścią konferencji K@SSK & Majowe Mrozy, dotyczącej nowoczesnej edukacji, a przeznaczonej dla nauczycieli i pracowników szkolnictwa. Ostatni rok dosyć gwałtownie zmienił nasze spojrzenie na narzędzia chmurowe i korzystanie z platform takich jak Microsoft 365, ważna jednak świadomość, jak robić to w sposób bezpieczny, szczególnie, gdy jesteśmy odpowiedzialni za administrowanie takim środowiskiem.

Godzina to mało czasu, żeby przekazać tyle wiedzy ile bym chciał, dlatego też chciałem nieco rozwinąć informacje, na temat zabezpieczania i weryfikacji środowiska Office 365, które chciałem przekazać przy okazji tych warsztatów. Microsoft niestety w planie EDU A1 włącza tylko niewielką część komponentów umożliwiających zabezpieczenie środowiska Microsoft 365 i Azure AD, nie oznacza to jednak że nie można zrealizować podstawowych zaleceń. Postaram się zatem przypomnieć elementy najważniejsze wg. Microsoft i mnie, które nawet przy ograniczonych możliwościach, ułatwiają pracę administratorów:

Po pierwsze - uwierzytelnianie wieloskładnikowe (MFA) jest potrzebne, przynajmniej dla administratorów. Już ponad rok Microsoft dla nowych organizacji chmurowych włącza tzw. Domyślne wartości zabezpieczeń (Security Defaults), czyli wymuszanie zabezpieczania logowania do chmury poprzez dodatkowy składnik, powiązany z telefonem komórkowym - konieczność dodatkowego zabezpieczenia logowania poprzez kod przesyłany SMS lub użycie aplikacji Microsoft Authenticator zainstalowanej na telefonie.











Ustawienie możemy zmienić, poprzez panel administracyjny Azure AD, wchodząc we właściwości naszej organizacji. Zdecydowania większość placówek oświatowych wyłącza to ustawienie i o ile rozumiem takie podejście w stosunku do uczniów, to przynajmniej szkolni administratorzy i osoby z delegowanymi dodatkowymi uprawnieniami powinni mieć takie zabezpieczenie włączone.

Konfiguracja jest naprawdę bardzo prosta, chociaż nie zawsze oczywista. Jak skonfigurować sobie MFA? Każdy użytkownik usługi Office 365 ma swoją stronę profilową My Account, na której może wskazać metody związane z zabezpieczaniem dostępu i samodzielnym resetowaniem hasła (Informacje zabezpieczające).














Powinniśmy tam zapisać nasz numer telefonu i prywatny adres mailowy, do celów awaryjnych. Możemy również dodać weryfikację konta właśnie poprzez aplikację Authenticator.

Po drugie - korzystając na co dzień z panelu administracyjnego Microsoft 365 - https://admin.microsoft.com, warto do ekranu startowego dodać kafelki komponentów, z których często korzystamy, lub które szybko pokażą nam problemy ze środowiskiem.











Po trzecie - Warto korzystać z panelu administratora Azure AD, gdzie możemy sprawdzić np. kiedy użytkownik logował się po raz ostatni i z jakiego adresu IP, kiedy i przez kogo został usunięty zespół w Teams, oraz znaleźć wiele innych informacji na temat aktywności użytkowników. Niestety portal Azure AD pokazuje logi z ostatnich siedmiu dni. Jeżeli chcielibyśmy mieć dłuższą historię logowań, to możemy utworzyć bezpłatną subskrypcję Azure i wypróbować takie usługi jak Log Analitics czy Azure Sentinel.

Można wyliczać jeszcze długo, ale zachęcam do poznawania Microsoft 365 i Azure AD, po to by odkrywać kolejne możliwości i lepiej zarządzać swoim środowiskiem.



Konferencje i wyzwania edukacyjne

Dopiero co skończyła się konferencja Microsoft Build, na której poza ciekawymi sesjami Microsoft ogłosił również sporo nowości technologicznych, nie tylko dla developerów. Przy okazji konferencji Microsoft - jak od pewnego czasu ma w zwyczaju, uruchomił również kolejne wyzwanie szkoleniowe (Cloud Skills Challenge), dostępne dla osób zarejestrowanych na konferencji. Po raz kolejny zarejestrowałem się na takie wyzwania (bo wyzwań tak naprawdę jest pięć i dotyczą różnych obszarów tworzenia aplikacji webowych i chmurowych) i choć czasu jest mało (tylko 9 dni), to jest to naprawdę ciekawa możliwość.

Czym są Cloud Skills Challenge i dlaczego warto w nich uczestniczyć? Pisałem już na swoim blogu o rozwijanym przez Microsoft portalu szkoleniowym Learn. Warto tam zaglądać, systematycznie dodawane są lub aktualizowane moduły szkoleniowe z technologii chmurowych, można również, korzystając z bezpłatnych modułów szkoleniowych przygotować się do certyfikacji chmurowych Microsoft. Jednak samo istnienie portalu szkoleniowego nie dla wszystkich jest wystarczającą zachętą do nauki. Przy okazji kolejnych konferencji, np. Ignite czy Build przygotowywane są właśnie wyzwania szkoleniowe, po ukończeniu których w określonym czasie, można wylosować nagrodę pieniężną, rzeczową czy po prostu dostać bezpłatny voucher na jeden z wielu egzaminów chmurowych Microsoft. Jak dla mnie mnie możliwość poszerzenia wiedzy połączona z pewnym współzawodnictwem i nagrodą w postaci vouchera była w ostatnich miesiącach wystarczającą zachętą do udziału. A przy okazji możliwością zdobycia kilku certyfikatów bez ponoszenia kosztów. Co więcej, wyzwania grupują moduły szkoleniowe z kilku ścieżek dydaktycznych, co dodatkowo pozwala utworzyć sobie własną kolekcję szkoleniową (stosunkowo świeża funkcjonalność portalu Learn). Ja właśnie na podstawie dwóch ostatnich wyzwań - związanego z Microsoft Graph, który skończył się w połowie maja oraz jednego z aktualnych wyzwań konferencji Build utworzyłem swoją pierwszą kolekcję szkoleniową. Zachęcam do nauki.

29 maja 2021

Majowe poprawki bezpieczeństwa dla Exchange

Mam nadzieję, że wszyscy zainstalowali już majowe poprawki dla serwerów Exchange. W poprzednim artykule wspominałem o tym, że tylko część wykrytych na przełomie marca i kwietnia podatności została uwzględniona w kwietnowym zestawie poprawek, w maju opóźnienia zostały nadrobione. Poprawki można znaleźć na stronach Microsoftu:

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU19 and CU20
  • Exchange Server 2019 CU8 and CU9
Więcej informacji na temat podatności oraz problemów występujących po zainstalowaniu poprawek można znaleźć na blogu zespołu produktowego Exchange.
Warto również pamiętać o używaniu (i systematycznej aktualizacji) skryptu Exchange Health Checker wskazującego nam nie tylko brak poprawek w naszym środowisku Exchange ale również inne potencjalnie ułomne opcje konfiguracyjne.