
Na een niet al te beste nacht slapen (#jetlag) ging de wekker dan toch echt om 6.30, zodat we rond 7 uur de bus naar het Convention Center konden nemen, voor een dag zonder keynotes en alleen maar inhoudelijk sessies. Samen met mijn collega's Remco, Edward, Martin en Richard geven we weer een samenvatting van hetgeen we hebben gezien.
De presentatie waar we erg naar uitkeken, was die van Sami Laiho. Helaas ging deze sessie eigenlijk over basis principes van security. Ondanks dat het niet (of nauwelijks) over Azure ging was de sessie toch super interessant. Het gaf ons de kans alle basis zaken door te nemen en deze te spiegelen met de inrichtingen van Proxsys. We liepen dan ook wel met gepaste trots de sessie uit dat alle onderwerpen die werden behandeld standaard aan staan en zijn geconfigureerd in onze dienstverlening. Op sommige punten kunnen we deze op basis van deze sessie verder aanscherpen.
Sami gaf het volgende lijstje van zaken waar je allemaal mee rekening moet houden als het gaat om het beveiligen van je omgeving;
In deze sessie werden er 10 aanbevelingen gedaan om je Azure tenant te beveiligen. Een interessante blik op de prioriteiten vanuit Microsoft! Hieronder een samenvatting van de Top 10:
Azure AD vormt de kern van alles wat op het gebied van moderne IT gebeurd. De identiteit is hierin de schakel en dient als control panel om alle toegang te kunnen bepalen. Om een zo hoog mogelijk compatibiliteit te behalen met externe tools en applicaties is Azure AD volledig gebaseerd op open standaarden:
Ondertussen maken er 250 miljoen personen actief gebruik van de Azure AD. Een behoorlijk indrukwekkend aantal wat aangeeft wat het belang van de Azure AD is. Om de betrouwbaarheid en beschikbaarheid van AAD te waarborgen hanteert Microsoft een aantal design principles bij het ontwikkelen van Azure AD:
er werden ook een aantal aankondigingen gedaan rondom Azure AD. Zo vormt SCIM een belangrijke rol in het provisionen van gebruikers in gekoppelde tools en applicaties. Onder andere Facebook Workplace en Slack zijn applicaties die ondersteuning bieden voor SCIM. Microsoft zal in de loop van komend jaar ook voor andere applicaties ingebouwde ondersteuning bieden voor deze functionaliteit. Dit zal ook van toepassing worden voor on-premise applicaties.
Op het gebied van Azure AD Connect is 'Connect Cloud Provisioning' een nieuwe toevoeging. Deze nieuwe feature werkt op basis van een lightweight agent die geen volwaardige server meer vereist om users te kunnen synchroniseren van meerdere lokale AD's naar één AAD tenant. Een public preview hiervoor komt deze maand beschikbaar.
Gisteren ook al aan bod gekomen, maar nieuwe features voor firstline workers in AAD komen ook beschikbaar. Hiermee wordt een manager in staat gesteld zelf nieuwe gebruikers aan te maken en telefoonnummers te updaten zodat de firstline workers daadwerkelijk kunnen inloggen. Dit kan allemaal geregeld worden via het 'My Staff' portal.
Een aanvullende manier om in te loggen is op basis van telefoonnummer. In plaats van het invullen van de gebruikersnaam kan in hetzelfde veld een telefoonnummer ingevoerd worden waarna een SMS gestuurd wordt naar dat nummer. Vervolgens kan de code in de verzonden SMS gebruikt worden om in te loggen.
Verder zijn er verschillende manieren om externe gebruikers van bevriende organisaties toegang te geven tot informatie in de eigen tenant:
Een andere interessante update is de mogelijkheid om Conditional Access te activeren voor B2C-accounts. Denk hierbij dus aan Google- of Microsoftaccounts die toegang verleend moeten worden tot resources in de eigen tenant. Door het activeren van Condtional Access voor dit soort accounts kan de beveiliging naar een hoger niveau getild worden. Conditional Access kent tegenwoordig overigens ook een 'report-only' mode. Hiermee kan de impact van policies op voorhand geëvalueerd worden voordat policies daadwerkelijk toegepast worden.
Het zonder wachtwoord in kunnen loggen blijft ook nog steeds een aandachtsgebied vanuit Microsoft. Grofweg worden hierin drie mogelijkheden geboden:
Het gebruik van FIDO2 in combinatie met hybride setups (AAD + AD) is een scenario wat vanaf begin volgend jaar door Microsoft ondersteunt zal gaan worden.
Verder zijn nog een hoop andere updates gegeven: multi-geo support voor AAD Application Proxy, nieuw myapps portal, inzicht in sign-ins op de myaccount portal.
Een terrein waar Microsoft flink op inzet is Artificial Intelligence (AI). AI vereist echter specifieke kennis die behoorlijk schaars is. Vanuit dit uitgangspunt heeft Microsoft flink wat stappen gezet om AI breder inzetbaar te maken door het toegankelijker maken van deze technologie.
Eén van de manieren waarop dit gerealiseerd is, is door de introductie van AI Builder. Door middel van AI Builder kunnen standaard AI scenario's eenvoudig toegepast worden binnen organisaties en bestaande processen binnen deze organisaties. Scenario's die in de AI Builder ondersteund worden zijn:
Op basis van deze scenario's zijn binnen AI Builder een aantal standaard modellen geïntroduceerd. Op basis van deze modellen kan data die al binnen organisaties beschikbaar is verder benut worden en daadwerkelijk toegepast worden. Hierbij wordt het 'low code / no code' principe toegepast. Gebruikers die op basis hiervan te werk gaan worden overigens 'citizen developers' genoemd. De AI Builder maakt onderdeel uit van het Power Platform.
Modellen die als standaardbouwblokken beschikbaar zijn:
Vandaag is Azure Bastion GA (general available) geworden. Vanuit de traditionele IT worden virtuele machines vaak achter een firewall geplaatst om zo RDP en SSH te beschermen tegen misbruik van kwetsbaarheden of ‘brute password attacks’. In Azure werd meestal bij gebrek aan een site2site tunnel een VM direct gekoppeld aan het internet. Hierdoor werd de betreffende VM een potentieel doelwit. Dit probleem was redelijk eenvoudig te tackelen door een zogenaamde ‘jump-box’ te implementeren. Deze server hangt dan aan het internet en via deze server kan men dan toegang krijgen tot achterliggende servers. Het beheer en onderhoud van deze ‘jump-box’ ligt dan bij de eigenaar. Deze oplossing kost voor een kleine onderneming best wat geld en is enkelvoudig uitgevoerd.
Met de komst van Azure Bastion is dat verleden tijd. Met deze PaaS dienst is het mogelijk om VM’s in Azure via SSL te benaderen zonder dat deze machines zelf direct aan het internet hangen. Via de webbrowser krijg je eenvoudig toegang tot RDP of SSH van de betreffende server. Doordat Azure Bastion een PaaS dienst is zal Microsoft zorgdragen voor het onderhoud. De kosten beginnen bij +/- 20euro per maand.
Het viel ons wel op dat ‘remote Powershell’ en MFA authenticatie voor nu ontbreken.
Voor Exchange Online is vanaf nu een nieuwe Powershell module "Exo powershell v2" beschikbaar als public preview. MFA wordt nu 'out of the box' ondersteund en bij het ophalen van bulkgegevens is deze module vele malen sneller dan zijn voorganger. Ook wordt er hard gewerkt om Exchange Admin Center (EAC) van nieuwe functionaliteiten te voorzien en gelijk te trekken aan de look-and-feel van portal.office.com. Een mooie vernieuwing is dat zowel normale als shared mailboxen in het zelfde overzicht weergegeven en gefilterd kunnen worden. Tevens zal er een "migration onboarding" tool binnen het nieuwe EAC beschikbaar komen waarmee onder andere G-suite en on-premise Exchange omgevingen makkelijk gemigreerd kunnen worden naar Exchange online.
Een sneak peek van de nieuwe EAC is op de volgende URL te vinden https://admin.exchange.microsoft.com/ In de eerste helft van 2020 wordt de eerste public preview verwacht.
Met de komst van Powershell V7 komen zowel de namen "Windows Powershell" als "Powershell core" te vervallen. Er blijft maar één benaming over en dat is "Powershell". Powershell V7 is beschikbaar voor Windows, Linux en MacOs. De Powershell V7 preview is nu uit, GA zal januari 2020 zijn.
Hieronder een greep uit de verbeteringen van Powershell V7:
Wellicht bij velen al bekend, ISE is passé. Visual studio code is nu dé tool om Powershell scripts mee te ontwikkelen.
Gisteren hebben we al aangegeven dat Intune, SCCM en Desktop Analytics verder gaan in Microsoft Endpoint Manager (MEM). Wat we vergeten waren is dat ook Autopilot onder MEM zal komen te vallen. Gisteren gaven we ook aan dat Intune gebruikt mag worden als SCCM co-management. Vandaag werd aangegeven dat hier dan wel een SCCM Software Assurance en Azure AD Premium P1 voor nodig zijn. Ook werd er vandaag wat dieper ingegaan op MEM. Zo is het met MEM bijvoorbeeld mogelijk om ook SCCM policies te vernieuwen en applicaties direct te laten deployen. Ook kunnen Intune clients gebruik gaan maken van content die op SCCM distributie punten staat.
Ook werd de nieuwe Microsoft Endpoint Manager portal getoond. In vergelijking met de Intune portal zijn alle punten beter gegroepeerd en daardoor oogt het opgeruimder. Zo zijn bijvoorbeeld alle beveiligingsopties nu gegroepeerd onder Endpoint Security.
Eerder dit jaar gaf Microsoft dat alle features vanuit Microsoft Bitlocker Administration and Management (MBAM) overgezet zullen worden naar SCCM en Intune en nu dus MEM. Hierdoor is het nu ook mogelijk om een rollover van je Bitlocker keys te doen. Daarnaast heeft Microsoft ook het opslaan van je Keyvault key in MEM toegevoegd. Ook hierbij kan je eenvoudig een rollover doen vanuit de portal.
Een niet compleet nieuwe feature (een paar weken geleden al aangekondigd) is Policy Sets. Met Policy Sets is het mogelijk om MEM policies, apps en enrollment settings samen te voegen tot één set en deze uit te rollen. Dit is vooral handig als je bijvoorbeeld verschillende sets wil maken per afdeling.
Zoals eerder aangeven is ook Autopilot een onderdeel van MEM. Autopilot vervangt het traditionele image proces. Hierbij is het mogelijk om je apparaten in te laden in MEM, een profiel te maken en deze uit te rollen. Het apparaat wordt dan tijdens de eerste keer opstarten klaar gemaakt voor gebruik binnen de betreffende organisatie. Zo worden de policies en apps op dat moment doorgevoerd.
Het is de bedoeling dat het inladen van de apparaten in MEM al bij de distributeur van de hardware gebeurt. Niet elke distributeur ondersteunt dit helaas. Hierdoor is Microsoft met een barcode op de doos gekomen welke gescand kan worden en met de hand kan worden ingeladen in de tenant.
Het troubleshooten van Autopilot is altijd een probleem geweest. Gelukkig heeft Microsoft dit ook gezien en wordt er reporting toegevoegd, zodat eventuele issues makkelijker te troubleshooten zijn.
In de toekomst wil Microsoft Autopilot vooral verder ontwikkelen op de onderstaande punten:
Laten we het een hype van de laatste tijd noemen. Het volplakken van je laptop-cover met stickers. Tijdens de keynote was hier speciale aandacht voor, er was een heuse "sticker exchange" op de beursvloer en een koffer die rondging op het evenement, waar je als je de kans had je sticker op moest plakken. We hadden stickers meegekregen van onze collega Cor den Boer, van zijn blog website www.2azure.nl, dus we waren 'on a mission'. Met gepaste trots kunnen we zeggen 'mission accomplished'!
Op het gebied van Microsoft Stream zijn ook een hoop (kleinere) verbeteringen te melden. Eén van het meest in het oog springende verbeteringen is de mogelijkheid om audio in video's automatisch te verbeteren. Hierin is bijvoorbeeld achtergrondgeluid en -ruis weg te filteren.
Andere toevoegingen zijn onder andere het kunnen trimmen van video's, het kunnen vervangen van video's, een prullenbak waarin verwijderde video's tijdelijk blijven, een screen recorder vanuit de webinterface, integratie met Microsoft Search, analytics en rapportages op video's en ondersteuning voor eDiscovery op content in Stream.
De roadmap voor Stream is hier te vinden: https://aka.ms/StreamRoadmap
Project Cortex is één van de paradepaardjes van Microsoft. Hierin draait het om het boven water krijgen van kennis die al binnen een organisatie beschikbaar is. De uitgangspunten hierbij zijn:
Project Cortex gaat over het inzichtelijk krijgen van de juiste kennis en ervaring van collega’s. Het draait feitelijk om het automatisch verrijken van metadata en vervolgens die metadata op een gebruiksvriendelijke manier terug laten komen in verschillende tools en apps.
Project Cortex vereist geen aanvullende tools of invoer van informatie op een andere locaties. Het maakt primair gebruik van alle inhoud in Microsoft 365 en houdt daardoor ook rekening met de security boundaries die daarbinnen gedefinieerd zijn.
Project Cortex komt in de loop van volgend jaar beschikbaar. Meer informatie en de laatste updates hierover zijn te vinden op https://aka.ms/projectcortex.
Na een intensieve dag nog even een biertje gedronken op de beursvloer (The Hub) om vervolgens in de stromende regen en onweer terug naar het hotel te gaan, morgen dag 3!
Kom je 19 november ook een biertje drinken? We praten je dan in een avond bij over al het nieuws vanuit Orlando!
"We do business, not IT" Natuurlijk worden wij gelukkig van het geluid van een zacht suizende server en van de laptop die razendsnel opstart. We beseffen ons echter dat dit voor u niet belangrijk is. U wilt gewoon uw werk kunnen doen. Wij garanderen u hiervoor de best denkbare werkplek, voor nu en in de toekomst.