Microsoft Ignite 2019

Microsoft Ignite 2019 - Dag 2

06 november 2019 door Erik Loef

Na een niet al te beste nacht slapen (#jetlag) ging de wekker dan toch echt om 6.30, zodat we rond 7 uur de bus naar het Convention Center konden nemen, voor een dag zonder keynotes en alleen maar inhoudelijk sessies. Samen met mijn collega's Remco, Edward, Martin en Richard geven we weer een samenvatting van hetgeen we hebben gezien.

Microsoft Ignite 2019 - Dag 2

Microsoft Ignite 2019 bus

Sami Laiho over Azure Security

De presentatie waar we erg naar uitkeken, was die van Sami Laiho. Helaas ging deze sessie eigenlijk over basis principes van security. Ondanks dat het niet (of nauwelijks) over Azure ging was de sessie toch super interessant. Het gaf ons de kans alle basis zaken door te nemen en deze te spiegelen met de inrichtingen van Proxsys. We liepen dan ook wel met gepaste trots de sessie uit dat alle onderwerpen die werden behandeld standaard aan staan en zijn geconfigureerd in onze dienstverlening. Op sommige punten kunnen we deze op basis van deze sessie verder aanscherpen.

Sami gaf het volgende lijstje van zaken waar je allemaal mee rekening moet houden als het gaat om het beveiligen van je omgeving;

  • zorg dat de omgeving altijd beter beveiligd is dan die van je buren;
  • zorg dat niemand administrator op de werkplek is (door het weghalen hiervan ben je gelijk >85% minder vatbaar voor hacks);
  • zet altijd Bitlocker aan, op alle systemen (dus ook vaste PC's) het is naast encryptie ook integriteit! En gebruik het bij voorkeur met TPM (geen pin of USB);
  • managen van servers via RDP is volgens de documentatie alleen voor 'emergency purposes', probeer dus steeds meer en meer met RSAT tools of remote powershell zaken op te lossen (ook vanuit een security perspectief);
  • zet MFA aan voor admin accounts (eis!) (bij voorkeur voor iedereen);
  • gebruik een black/white list voor applicaties, de voorkeur van sami is Applocker er zijn diverse tools en scripts om te checken of je het goed geïmplementeerd hebt.

In deze sessie werden er 10 aanbevelingen gedaan om je Azure tenant te beveiligen. Een interessante blik op de prioriteiten vanuit Microsoft! Hieronder een samenvatting van de Top 10:

  1. Operational security score; er komt een uitgebreidere secure score voor je Azure omgeving. Zorg dat je deze periodiek bijhoudt en de score zo hoog mogelijk krijgt.
  2. MFA of passwordless implementeren voor alle administrators.
  3. Segmentation & zero trust; het probleem van segmenteren is als dat de netwerkmannen vaak te veel subnets maken en het security team, dit op basis van identities en RBAC rollen doet, welke weinig tot geen relatie hebben. Het is daarom beter om een Enterprise Segmentation Strategy te voeren.
  4. Monitor for Attacks; voor elke dienst in Azure die je aanzet moet je monitoren wat ermee gebeurt. Of er wordt ingelogd, hoe lang, waar vandaan, etc.
  5. Secure devops; https://www.microsoft.com/en-us/securityengineering/devsecops
  6. Assign and publish roles/responsibilities; denk aan wie is verantwoordelijk voor o.a. network/server/incident and response etc.
  7. Choose firewall strategy; kies de Azure Standard Firewall, of een third party firewall, deze is nog steeds nodig!
  8. Implement WAF, Web Application Firewall. een WAF zit in de Azure Application Gateway. Hiermee inspecteer en beveilig je het verkeer richting je systeem op bijvoorbeeld SQL injecties.
  9. DDoS preventie; DDoS aanvallen zijn goedkoop (800 euro voor 1 maand een site platleggen), met Azure DDoS Standard (of een derde partij zoals Akkamai) kun je je hier tegen beschermen.
  10. Stop met legacy netwerk zaken; hij doelde hier op IDS/IPS, gezien tegenwoordig al het verkeer encrypted is, zijn deze systemen niet zo effectief meer, denk eerder aan een CASB oplossing.

Identititeit in Azure AD

Azure AD vormt de kern van alles wat op het gebied van moderne IT gebeurd. De identiteit is hierin de schakel en dient als control panel om alle toegang te kunnen bepalen. Om een zo hoog mogelijk compatibiliteit te behalen met externe tools en applicaties is Azure AD volledig gebaseerd op open standaarden:

  • Oauth 2 en Open ID Connect.
  • Passwordless op basis van de FIDO2 standaard.
  • SCIM voor moves, adds en changes wat betreft gebruikers.
  • Toegang tot data door middel van API's en Odata.

Ondertussen maken er 250 miljoen personen actief gebruik van de Azure AD. Een behoorlijk indrukwekkend aantal wat aangeeft wat het belang van de Azure AD is. Om de betrouwbaarheid en beschikbaarheid van AAD te waarborgen hanteert Microsoft een aantal design principles bij het ontwikkelen van Azure AD:

  • Hoog redundant: in ieder datacenter staat je data 9x opgeslagen. Daarnaast is dezelfde data in meerdere datacenters opgeslagen.
  • Geen enkel single-point-of-failure
  • Meerdere niveaus van security isolatie
  • Dynamisch schalen op basis van vraag
  • Veilige deployment
  • Moderne verificatie
  • Fijnmazig: fysiek gescheiden domeinen om op zo'n laag mogelijk niveau impact van storingen te verlagen

er werden ook een aantal aankondigingen gedaan rondom Azure AD. Zo vormt SCIM een belangrijke rol in het provisionen van gebruikers in gekoppelde tools en applicaties. Onder andere Facebook Workplace en Slack zijn applicaties die ondersteuning bieden voor SCIM. Microsoft zal in de loop van komend jaar ook voor andere applicaties ingebouwde ondersteuning bieden voor deze functionaliteit. Dit zal ook van toepassing worden voor on-premise applicaties.

Op het gebied van Azure AD Connect is 'Connect Cloud Provisioning' een nieuwe toevoeging. Deze nieuwe feature werkt op basis van een lightweight agent die geen volwaardige server meer vereist om users te kunnen synchroniseren van meerdere lokale AD's naar één AAD tenant. Een public preview hiervoor komt deze maand beschikbaar.

Gisteren ook al aan bod gekomen, maar nieuwe features voor firstline workers in AAD komen ook beschikbaar. Hiermee wordt een manager in staat gesteld zelf nieuwe gebruikers aan te maken en telefoonnummers te updaten zodat de firstline workers daadwerkelijk kunnen inloggen. Dit kan allemaal geregeld worden via het 'My Staff' portal.

Een aanvullende manier om in te loggen is op basis van telefoonnummer. In plaats van het invullen van de gebruikersnaam kan in hetzelfde veld een telefoonnummer ingevoerd worden waarna een SMS gestuurd wordt naar dat nummer. Vervolgens kan de code in de verzonden SMS gebruikt worden om in te loggen.

Verder zijn er verschillende manieren om externe gebruikers van bevriende organisaties toegang te geven tot informatie in de eigen tenant:

  • Het is mogelijk een 1-op-1 federatie op te bouwen met een specifiek organisatie. Technieken die hiervoor gebruikt kunnen worden zijn SAML of WS-Fed.
  • Daarnaast is Google Identity Federation een manier om externe Google accounts toegang te kunnen geven tot resources
  • Een derde methode is het gebruik van een 'email code'. Gebruikers die nergens een account hebben wat ze kunnen hergebruiken om toegang te krijgen tot resources kunnen op basis van zo'n email code alsnog toegang krijgen.

Een andere interessante update is de mogelijkheid om Conditional Access te activeren voor B2C-accounts. Denk hierbij dus aan Google- of Microsoftaccounts die toegang verleend moeten worden tot resources in de eigen tenant. Door het activeren van Condtional Access voor dit soort accounts kan de beveiliging naar een hoger niveau getild worden. Conditional Access kent tegenwoordig overigens ook een 'report-only' mode. Hiermee kan de impact van policies op voorhand geëvalueerd worden voordat policies daadwerkelijk toegepast worden.

Het zonder wachtwoord in kunnen loggen blijft ook nog steeds een aandachtsgebied vanuit Microsoft. Grofweg worden hierin drie mogelijkheden geboden:

  • Het gebruik van Windows Hello, logischerwijs enkel van toepassing op Windows devices
  • De Authenticator app
  • Het gebruik van FIDO2 beveiligingssleutels. Eigenlijk de meest veilige manier om hardwarematig je identiteit met je mee te dragen. Met de aankondiging van bijvoorbeeld de Yubikey Bio -waarbij een fingerprint sensor op de key zelf aanwezig is - is dit best een interessante optie om gebruikers te authenticeren.

Het gebruik van FIDO2 in combinatie met hybride setups (AAD + AD) is een scenario wat vanaf begin volgend jaar door Microsoft ondersteunt zal gaan worden.

Verder zijn nog een hoop andere updates gegeven: multi-geo support voor AAD Application Proxy, nieuw myapps portal, inzicht in sign-ins op de myaccount portal.

AI Builder

Een terrein waar Microsoft flink op inzet is Artificial Intelligence (AI). AI vereist echter specifieke kennis die behoorlijk schaars is. Vanuit dit uitgangspunt heeft Microsoft flink wat stappen gezet om AI breder inzetbaar te maken door het toegankelijker maken van deze technologie.

Eén van de manieren waarop dit gerealiseerd is, is door de introductie van AI Builder. Door middel van AI Builder kunnen standaard AI scenario's eenvoudig toegepast worden binnen organisaties en bestaande processen binnen deze organisaties. Scenario's die in de AI Builder ondersteund worden zijn:

  • Prediction
  • Form processing
  • Object detection
  • Text classification

Op basis van deze scenario's zijn binnen AI Builder een aantal standaard modellen geïntroduceerd. Op basis van deze modellen kan data die al binnen organisaties beschikbaar is verder benut worden en daadwerkelijk toegepast worden. Hierbij wordt het 'low code / no code' principe toegepast. Gebruikers die op basis hiervan te werk gaan worden overigens 'citizen developers' genoemd. De AI Builder maakt onderdeel uit van het Power Platform.

Modellen die als standaardbouwblokken beschikbaar zijn:

  • Business card reader
  • Sentiment analysis
  • Key phrase extraction
  • Language detection
  • Text processing

Azure Bastion

Vandaag is Azure Bastion GA (general available) geworden. Vanuit de traditionele IT worden virtuele machines vaak achter een firewall geplaatst om zo RDP en SSH te beschermen tegen misbruik van kwetsbaarheden of ‘brute password attacks’. In Azure werd meestal bij gebrek aan een site2site tunnel een VM direct gekoppeld aan het internet. Hierdoor werd de betreffende VM een potentieel doelwit. Dit probleem was redelijk eenvoudig te tackelen door een zogenaamde ‘jump-box’ te implementeren. Deze server hangt dan aan het internet en via deze server kan men dan toegang krijgen tot achterliggende servers. Het beheer en onderhoud van deze ‘jump-box’ ligt dan bij de eigenaar. Deze oplossing kost voor een kleine onderneming best wat geld en is enkelvoudig uitgevoerd.

Met de komst van Azure Bastion is dat verleden tijd. Met deze PaaS dienst is het mogelijk om VM’s in Azure via SSL te benaderen zonder dat deze machines zelf direct aan het internet hangen. Via de webbrowser krijg je eenvoudig toegang tot RDP of SSH van de betreffende server. Doordat Azure Bastion een PaaS dienst is zal Microsoft zorgdragen voor het onderhoud. De kosten beginnen bij +/- 20euro per maand.

Het viel ons wel op dat ‘remote Powershell’ en MFA authenticatie voor nu ontbreken.

Exchange online

Voor Exchange Online is vanaf nu een nieuwe Powershell module "Exo powershell v2" beschikbaar als public preview. MFA wordt nu 'out of the box' ondersteund en bij het ophalen van bulkgegevens is deze module vele malen sneller dan zijn voorganger. Ook wordt er hard gewerkt om Exchange Admin Center (EAC) van nieuwe functionaliteiten te voorzien en gelijk te trekken aan de look-and-feel van portal.office.com. Een mooie vernieuwing is dat zowel normale als shared mailboxen in het zelfde overzicht weergegeven en gefilterd kunnen worden. Tevens zal er een "migration onboarding" tool binnen het nieuwe EAC beschikbaar komen waarmee onder andere G-suite en on-premise Exchange omgevingen makkelijk gemigreerd kunnen worden naar Exchange online.

Een sneak peek van de nieuwe EAC is op de volgende URL te vinden https://admin.exchange.microsoft.com/ In de eerste helft van 2020 wordt de eerste public preview verwacht.

Powershell V7

Met de komst van Powershell V7 komen zowel de namen "Windows Powershell" als "Powershell core" te vervallen. Er blijft maar één benaming over en dat is "Powershell". Powershell V7 is beschikbaar voor Windows, Linux en MacOs. De Powershell V7 preview is nu uit, GA zal januari 2020 zijn.

Hieronder een greep uit de verbeteringen van Powershell V7:

  • Parallel foreach loops;
  • Duidelijkere foutmeldingen met een visuele weergave;
  • Installatie zonder Admin rechten;
  • Beschikbaar in de Windows store;
  • Secret management integraties met derden.

Wellicht bij velen al bekend, ISE is passé. Visual studio code is nu dé tool om Powershell scripts mee te ontwikkelen.

Microsoft Endpoint Manager

Gisteren hebben we al aangegeven dat Intune, SCCM en Desktop Analytics verder gaan in Microsoft Endpoint Manager (MEM). Wat we vergeten waren is dat ook Autopilot onder MEM zal komen te vallen. Gisteren gaven we ook aan dat Intune gebruikt mag worden als SCCM co-management. Vandaag werd aangegeven dat hier dan wel een SCCM Software Assurance en Azure AD Premium P1 voor nodig zijn. Ook werd er vandaag wat dieper ingegaan op MEM. Zo is het met MEM bijvoorbeeld mogelijk om ook SCCM policies te vernieuwen en applicaties direct te laten deployen. Ook kunnen Intune clients gebruik gaan maken van content die op SCCM distributie punten staat.

Ook werd de nieuwe Microsoft Endpoint Manager portal getoond. In vergelijking met de Intune portal zijn alle punten beter gegroepeerd en daardoor oogt het opgeruimder. Zo zijn bijvoorbeeld alle beveiligingsopties nu gegroepeerd onder Endpoint Security.

Eerder dit jaar gaf Microsoft dat alle features vanuit Microsoft Bitlocker Administration and Management (MBAM) overgezet zullen worden naar SCCM en Intune en nu dus MEM. Hierdoor is het nu ook mogelijk om een rollover van je Bitlocker keys te doen. Daarnaast heeft Microsoft ook het opslaan van je Keyvault key in MEM toegevoegd. Ook hierbij kan je eenvoudig een rollover doen vanuit de portal.

Een niet compleet nieuwe feature (een paar weken geleden al aangekondigd) is Policy Sets. Met Policy Sets is het mogelijk om MEM policies, apps en enrollment settings samen te voegen tot één set en deze uit te rollen. Dit is vooral handig als je bijvoorbeeld verschillende sets wil maken per afdeling.

Zoals eerder aangeven is ook Autopilot een onderdeel van MEM. Autopilot vervangt het traditionele image proces. Hierbij is het mogelijk om je apparaten in te laden in MEM, een profiel te maken en deze uit te rollen. Het apparaat wordt dan tijdens de eerste keer opstarten klaar gemaakt voor gebruik binnen de betreffende organisatie. Zo worden de policies en apps op dat moment doorgevoerd.

Het is de bedoeling dat het inladen van de apparaten in MEM al bij de distributeur van de hardware gebeurt. Niet elke distributeur ondersteunt dit helaas. Hierdoor is Microsoft met een barcode op de doos gekomen welke gescand kan worden en met de hand kan worden ingeladen in de tenant.

Het troubleshooten van Autopilot is altijd een probleem geweest. Gelukkig heeft Microsoft dit ook gezien en wordt er reporting toegevoegd, zodat eventuele issues makkelijker te troubleshooten zijn.

In de toekomst wil Microsoft Autopilot vooral verder ontwikkelen op de onderstaande punten:

  • Verbeteren van logging en troubleshooting.
  • Migratie van apps en settings vanaf oud device.
  • Verhogen van performance / snelheid.
  • Configuratie van Windows 10 preferences en defaults.
  • Device lifecycle management verbeteringen.
  • Verbeterde ondersteuning voor talen.

Laten we het een hype van de laatste tijd noemen. Het volplakken van je laptop-cover met stickers. Tijdens de keynote was hier speciale aandacht voor, er was een heuse "sticker exchange" op de beursvloer en een koffer die rondging op het evenement, waar je als je de kans had je sticker op moest plakken. We hadden stickers meegekregen van onze collega Cor den Boer, van zijn blog website www.2azure.nl, dus we waren 'on a mission'. Met gepaste trots kunnen we zeggen 'mission accomplished'!

Microsoft Stream

Op het gebied van Microsoft Stream zijn ook een hoop (kleinere) verbeteringen te melden. Eén van het meest in het oog springende verbeteringen is de mogelijkheid om audio in video's automatisch te verbeteren. Hierin is bijvoorbeeld achtergrondgeluid en -ruis weg te filteren.

Andere toevoegingen zijn onder andere het kunnen trimmen van video's, het kunnen vervangen van video's, een prullenbak waarin verwijderde video's tijdelijk blijven, een screen recorder vanuit de webinterface, integratie met Microsoft Search, analytics en rapportages op video's en ondersteuning voor eDiscovery op content in Stream.

De roadmap voor Stream is hier te vinden: https://aka.ms/StreamRoadmap

Project Cortex is één van de paradepaardjes van Microsoft. Hierin draait het om het boven water krijgen van kennis die al binnen een organisatie beschikbaar is. De uitgangspunten hierbij zijn:

  • Het beschikbaar stellen van kennis aan medewerkers binnen de organisatie.
  • Automatisch verbinden en organiseren van kennis.
  • Het beheren en beveiligen van inhoud door middel van AI.

Project Cortex gaat over het inzichtelijk krijgen van de juiste kennis en ervaring van collega’s. Het draait feitelijk om het automatisch verrijken van metadata en vervolgens die metadata op een gebruiksvriendelijke manier terug laten komen in verschillende tools en apps.

Project Cortex vereist geen aanvullende tools of invoer van informatie op een andere locaties. Het maakt primair gebruik van alle inhoud in Microsoft 365 en houdt daardoor ook rekening met de security boundaries die daarbinnen gedefinieerd zijn.

Project Cortex komt in de loop van volgend jaar beschikbaar. Meer informatie en de laatste updates hierover zijn te vinden op https://aka.ms/projectcortex.

Biertje?

Na een intensieve dag nog even een biertje gedronken op de beursvloer (The Hub) om vervolgens in de stromende regen en onweer terug naar het hotel te gaan, morgen dag 3!

Kom je 19 november ook een biertje drinken? We praten je dan in een avond bij over al het nieuws vanuit Orlando!

Delen via

Altijd en overal Ongestoord en ongemerkt veilig werken

De beste ICT leveren, dat doen we niet alleen