Microsoft Ignite 2019 logo

Microsoft Ignite 2019 - Dag 3

07 november 2019 door Erik Loef

Dag 3 is aangebroken! Met veel zin zijn we opgestaan, want deze dag heeft veel interessante sessies in petto, drie sessies van Paul J., Apple iOS management en een diepere kijk op een aantal nieuwe features in Microsoft 365 om 'insider threats' te detecteren en te mitigeren. Dit overzicht van de hoogtepunten heb ik opgesteld samen met Remco, Martin, Richard en Edward.

Op dinsdagavond 19 november ben je van harte welkom om in een comfortabele setting al het nieuws vanuit Orlando persoonlijk van ons gepresenteerd te krijgen. De eerste 10 inschrijvers krijgen een gratis kaartje! Gebruik hiervoor de promotiecode HAPPYFEW.

De kosten van Azure

De dag begon met een interessante sessie over de kosten in Azure. Een levendig onderwerp bij elke klant die iets met Azure doet. In deze sessie een aantal takeways waar je op moet letten van begin tot het eind.

Allereerst; stel vast wie is er verantwoordelijk voor de kosten, zonder duidelijke eindverantwoordelijke gaat dit een keer mis.

Stel voordat je iets gaat doen een goed design op en stel deze samen in de Azure cost calculator, zodat je een goed beeld hebt (op voorhand) van de te verwachten kosten.

Een tweede takeway was dat je bij elke change ook rekening moet houden op de impact van de kosten. Denk hierbij aan serverless en PaaS diensten en "event driven facturatie".

Er is tevens ook nog een Azure total costs of ownership calculator, waarmee je een complete case kan doorrekenen. Hiermee wordt inzichtelijk of het hosten in Azure goedkoper, danwel duurder is. Uiteraard werd deze tip begeleid door een mooie voorbeeldcase die wel 8x goedkoper uitkwam in heet voordeel van Azure ;-).

Dan wellicht wat open deuren, maar goed dit even op te sommen. Het is van groot belang dat je je RBAC rollen (wie mag wat in de tenant) goed te definiëren, anders kan het dweilen met de kraan open zijn (als er overal resources aangemaakt worden) dit uitzoeken kost ook weer tijd (=geld). Zorg ook dat elke resource een goede TAG krijgt. Verzorg hiervoor ook een goede naamconventie strategie.

Daar overheen dien je nog Azure Policy te definiëren, dat je bijvoorbeeld dure Azure Resources niet mag toepassen, dat is meer om fouten te voorkomen. Dan heb je nog diverse opties om budgetten te definiëren, waarbij je alerts kan instellen of harde limieten. Met Azure Advisor kun je aanbevelingen krijgen hoe kosten kunnen zakken en er is ook een Azure Consumption Power BI content pack

Microsoft Edge [Applaus]

Eerder deze week hadden we al laten weten dat er een nieuwe versie van Edge komt met een nieuw logo. Deze versie van Edge is gebouwd op de Chromium engine (net als Google Chrome).

De bedoeling is dan ook dat Edge net zo snel is als Chrome en ook de extensies van Chrome ondersteunt. Zelf maak ik al een tijdje gebruik van deze versie van Edge (in preview) en ben hier erg tevreden over.

Microsoft gaf aan dat 60% van de zakelijke gebruikers 2 of meer browsers gebruikt voor compatibiliteit. Edge is ontwikkeld om dit weg te nemen. Zo zit er een Internet Explorer mode in waardoor websites die alleen werken in IE ook in Edge werken. Microsoft geeft zelfs aan dat als een website niet werkt in Edge maar wel in IE11 je ze mag bellen en ze Edge aanpassen! Overigens blijft IE wel nodig voor deze functie en blijft daardoor ook gewoon meegeleverd met Windows 10.

Wat we wel merken is dat we echt in de VS zitten. Soms had ik het gevoel bij een Apple keynote te zitten. Elke zin werd ongeveer beantwoord met gejuich en applaus. 😊

Een hot topic op dit moment is authenticatie op basis van wachtwoorden, MFA en het compleet weghalen van wachtwoorden (passwordless). Tijdens deze Ignite wordt hier uiteraard ook aandacht aan besteed.

Wat betreft het wachtwoordbeleid is het mogelijk om een ‘banned password list’ op te geven met woorden die niet gebruikt mogen worden in wachtwoorden. Daarnaast raadt Microsoft aan om wachtwoorden niet meer te laten verlopen, omdat dat alleen maar voor zorgt dat gebruikers hun wachtwoorden eenvoudig houden (dus een 1 vervangen voor een 2 enz). Wat Microsoft wel adviseert is Multi Factor Authenticatie (MFA).

99,9% van de hacks op je identity zijn te voorkomen met MFA. Wel is het belangrijk om MFA ook weer niet te veel te laten plaatsvinden, anders wordt er te makkelijk op accepteren gedrukt. Zo blijken er op Android al apps in de omloop te zijn die automatisch je MFA verzoek accepteren.

Ook is het belangrijk om zoveel wachtwoordvelden van applicaties weg te nemen. Dit kan door middel van Single Sign On (SSO). Zo kunnen er applicaties aan Azure AD gekoppeld worden zodat de authenticatie al reeds verzorgd is door Azure AD. De applicatie vertrouwd dan Azure AD als identity provider en Azure AD zorgt er dus voor dat je dan ook automatisch inlogt op je applicatie.

Het inloggen in Azure AD kan zonder wachtwoorden. Dit kan met Windows Hello for Business (biometrische gegevens), Microsoft authenticator app en FIDO2 usb keys. Microsoft heeft vandaag ook aangekondigd dat FIDO2 ook gebruikt kan gaan worden in hybride omgevingen. Deze optie lijkt op het eerste oog alleen niet multi tenant te zijn en daardoor door de meeste klanten niet gebruikt te kunnen worden.

Azure AD Cloud Authentication

Een sessie die vandaag op het programma was ging over de mogelijkheden van authenticatie in combinatie met Azure AD. Ook scenario's waarbij nog een on-premise AD in gebruik was - een zogenoemde hybride omgeving - werd tijdens deze sessie besproken.

Password Hash Synchronization (PHS) en Passthrough Authentication (PTA) waren twee methodes die toegelicht werden voor het realiseren van SSO. Bij de eerste variant wordt een hash-van-een-hash-van-de-hash van het wachtwoord gesynchroniseerd vanuit de on-premise AD naar Azure AD. Wanneer password writeback wordt ingeschakeld worden ook wijzigingen van het wachtwoord in de Azure AD teruggeschreven naar de on-premise AD. Bij PTA draait er op de on-premise omgeving een agent. De best practice vanuit redundantie oogpunt hierin is overigens 3 agents te draaien. Deze agent gebruikt de LogonUser API om loginpogingen te authentiseren.

Door middel van een domein hint kan bij een login poging meegegeven worden op welke tenant ingelogd probeert te worden. Hiermee kan voorkomen worden dan een gebruiker zelf nog een keuze moet maken met welke gebruikersnaam hij of zij probeert in te loggen.

Nog een graadje veiliger is het gebruik van passwordless methodes. Windows Hello en de Microsoft Authenticator app is hierin een mooi voorbeeld. Een nog mooiere toepassing van wachtwoordloos is het gebruik van FIDO2, en dan met name de hardware keys die hiermee gemoeid zijn. De private key wordt op de hardware key opgeslagen. De resource waarop ingelogd moet gaan worden krijgt de public key. Door het ondertekenen van een login poging met de private key kan een resource bepalen of dit allemaal klopt op basis van de public key die de resource, waarop ingelogd wordt, heeft.

Een extra reminder voor het activeren van MFA werd ook gedaan: volgens onderzoeken voorkomt het 99,9% van alle aanvallen. Andere wetenswaardigheden zijn:

  • Schakel legacy authenticatie uit
  • Beste manier om MFA aan te zetten is op basis van conditional access
  • Het is nu ook mogelijk 3rd party mfa providers toe te voegen / te gebruiken in conditional access
  • Conditonal access wordt geherevalueerd bij het ophalen van een nieuwe access token obv een refresh token (standaard ieder uur)

Quantum Computing

Een bijna wetenschappelijke sessie was de sessie over Quantum Computing. Hierin werd ingegaan op de basis van quantum computing waarbij toegelicht werd wat qubits, superpositie en entanglement zijn. Een (groot) deel van hetgeen over deze basis verteld werd was behoorlijk complex, maar de toepassingen zijn tastbaarder.

Zo kan door middel van de rekenkracht die quantum levert een aantal problemen eenvoudiger geanalyseerd en opgelost worden:

  • Koolstofdioxide uitstoot
  • Machine learning

Daarbij dient gemeld te worden dat quantum computing niet voor ieder vraagstuk een oplossing biedt. Voor sommige toepassingen zal de 'traditionele' computer nog steeds een efficientere oplossing kunnen leveren dan dat quantum kan.

Een uitdaging die quantum met zich meebrengt is de snelheid waarmee bestaande versleutelingsalgoritmes gekraakt kunnen worden. Met de traditionele computers kan een RSA key van 2048 bits in geen 100 miljoen jaar gekraakt worden. Door middel van quantum met de benodigde qubits kan dit binnen 100 seconden gebeurd zijn. Conclusie is dus dat hier alternatieven voor moeten komen. Microsoft heeft als roadmap opgesteld dat zij voor 2030 alternatieve algoritmes moeten hebben die bestand zijn tegen 'quantumaanvallen'.

Op het gebied van Android Management is één van de grote vernieuwingen de laatste tijd, de ondersteuning voor fully-managed devices.

De scenario's die binnen Android Enterprise bekend zijn, zijn de volgende:

  • Personally owned: Android app management
  • Personally owned: AE work profile
  • Company owned: AE dedicated (kiosk)
  • Company owned: AE Fully Managed
  • Company owned: Fully managed with work profile (COPE) - wacht nog op Google - nog niet beschikbaar

Fully managed devices kunnen enrolled worden door Google Android Zero Touch, Samsung KME, QR code scan en NFC bump.

OEMconfig kan gebruikt worden in combinatie met OEM's die eigen configuratiemogelijkheden bieden, bovenop de mogelijkheden die Android Enterprise zelf biedt. Voorbeelden hiervan zijn Zebra en Samsung devices die daadwerkelijk aanvullende configuratiemogelijkheden kennen.

Verder zal er afscheid genomen gaan worden van de 'oude' manier van het managen van Android devices op basis van Device Administrator. Rond zomer 2020 moeten hier vergaande stappen in gezet zijn wanneer Android 11 uitgebracht is. Functie voor functie zal Device Administrator uitgekleed worden.

Tijdens een van de laatste sessies van vandaag werden een aantal tips en tricks gegeven bij het gebruik van de Microsoft Graph. Graph is Microsoft's stekkerdoos waarmee zij op een uniforme wijze een API aanbieden waarachter zo'n beetje alle Microsoft diensten gekoppeld zitten. In plaats van dat je per Microsoft dienst een losse API endpoint moet gebruiken kun je door middel van de Microsoft Graph één endpoint hanteren voor alles wat je wil doen in één van de achterliggende diensten.

Microsoft biedt sinds enige tijd een Software Development Kit (SDK) in verschillende programmeertalen waarmee op eenvoudige wijze de Microsoft Graph gebruikt kan worden in eigen applicaties en tools. De sessie ging met name in op de handigheidjes en features die in deze SDK aanwezig zijn. Meer informatie hierover is te vinden op: Https://github.com/microsoftgraph/msgraph-sdk-design

Insider Risk Management

Een nieuwe tool basis van de "moderne werkplek". Het stelt de werknemers in staat om eenvoudig en dynamisch te communiceren. Alles draait hier natuurlijk om vertrouwen. Toch zijn hier risico’s aan verbonden. Werknemers kunnen ook slechte bedoelingen hebben, zo kunnen ze bijvoorbeeld discrimineren, bewust data lekken of IP (Intellectual Property) naar buiten brengen. Insider Risk Management kan door middel van de strakke integratie met o.a. Azure, Windows, maar ook Office 365 diensten als Exchange, Sharepoint en Teams realtime signalen ontvangen van vele activiteiten en gebeurtenissen. Afhankelijk van de gekoppelde acties wordt een gebruikersaccount uitgeschakeld of wordt HR/IT Admin op de hoogte gebracht. In eerste instantie is de verdachte geanonimiseerd om er voor te zorgen dat de beoordelaar (beheerder) zo neutraal mogelijk naar de acties kijkt en daar actie op onderneemt.

Het grote voordeel van de tool is dat er een audittrail bijgehouden wordt. Zo kan het zijn dat een gebruiker eerder een aantal acties uitgevoerd heeft met lage impact, maar dat later bijvoorbeeld financiële data op een USB disk gezet is zonder toestemmen van het management. Na een bepaalde score is de maat vol en zal HR/IT Admin op de hoogte gebracht worden. Deze informatie kan eenvoudig in een rapport aan een jurist aangeleverd worden indien nodig.

Insider Risk Management bewaart op dit moment maximaal 1 jaar aan audit informatie.

Microsoft Compliance Score

Het wordt steeds belangrijker om de kennis en hulpmiddelen te hebben om 'compliant' te worden met regelgevingen als AVG/GDPR maar ook ISO of PCI. Microsoft heeft de openbare preview van Microsoft Compliance Score aangekondigd, waarmee je eenvoudiger compliant kunt worden en risico's kunt verminderen. Dit gebeurd door puntsgewijs aan te geven welke stappen ondernomen moeten worden om naar een bepaald resultaat te gaan.

Real time detection stories

Vandaag werden we getrakteerd op echte verhalen van aanvallen en hoe Microsoft Threath Protection (MTP) deze aanvallen heeft afgeweerd.

Tegenwoordig vertrouwen aanvallers evenveel op de cloud voor kwaadaardige doeleinden als gebruikers op de bescherming hiervan. Hybride aanvallen die afkomstig zijn van cloudservices en zich verspreiden naar fysieke computers zijn geen uitzonderlijke verhalen meer. Wie heeft kwaadaardige software nodig wanneer een e-mailregel uit de cloud toegang tot een fysieke computer kan voortbrengen? We hebben vandaag kunnen luisteren naar echte verhalen over dergelijke aanvallen en de technieken erachter kunnen zien. Microsoft Threat Protection kan een compleet beeld vormen van aanvallen op computers, identiteiten en cloudservices om zo uw hele domein te kunnen beveiligen en bedreigingen bloot te leggen met behulp van het MITRE ATT&CK framework.

Wederom werd weer eens aangestipt dat de meeste aanvallen simpel voorkomen hadden kunnen worden door MFA in te schakelen!

SWAG

19 november doen we een back from ignite sessie in de Hollywoud bioscoop en we hebben vandaag op de beursvloer her en der wat 'SWAG' verzameld om tijdens die avond uit te delen.

De blog van morgen en vrijdag zullen we samenvoegen. We hebben morgenavond een feestje van Microsoft waar we waarschijnlijk pas 1 uur 's nachts van terug zullen zijn... 😊

Delen via

Altijd en overal Ongestoord en ongemerkt veilig werken

De beste ICT leveren, dat doen we niet alleen