Stichwort Suche

Monat: November 2018

AzureAD Immutable ID to HEX + GUID to ImmutableID

GUID to ImmutableID

https://gallery.technet.microsoft.com/scriptcenter/Convert-between-Immutable-e1e96aa9

 

Immutable ID to HEX (mS-DS-ConsistencyGuid)

1) ImmutableID auslesen

Get-MsolUser -UserPrincipalName john@cesarhara.com | select ImmutableID ImmutableID: kKfL2wwI+0W+rN0kfeaboA==

2) ImmutableID konvertieren

[system.convert]::FromBase64String(“kKfL2wwI+0W+rN0kfeaboA==”) | %{$a += [System.String]::Format(“{0:X}”, $_) + ” “};$result = $null;$result = $a.trimend();$result

Microsoft Intune und Apple DEP Teil 1

Microsoft Intune und das Apple DEP Programm bilden zusammen eine wunderbare Mobile Device Management Lösung. Leider gibt es aktuell keine leicht verständliche Erklärung zu dem Aufbau und Abhängigkeiten der beiden Systeme. Somit ist es für neuankömmlinge relativ schwer zu verstehen. Um etwas Licht ins Dunkle zu bringen habe ich mir gedacht, ich schreibe mal einen Blogeintrag mit den wichtigsten Basics dazu.

 

Um Intune in vollenzügen ausreizen zu können werden ein Intune oder Microsoft 365 Abonnement, sowie Apple DEP, Apple VPP, Apple Push Zertifikat und eine Apple Unternehmens ID benötigt. Zudem können weitere Features wie Conditional Access, Company Portal App und der Apple Supervisor Mode genutzt werden.

Ganz schön viele Begriffe wird man nun denken – dazu ersteinmal ein kurzer Abriss.

 

Intune / Microsoft 365 Abonnement

Das reine Intune Abonnement ist untergliedert in Intune, Intune Enterprise Mobility + Security E3 und Intune Enterprise Mobility + Security E5.

 

Microsoft 365 ist ein All-in-One-Paket, das die Office 365-Suite, Windows 10 Pro und Enterprise Mobility+Security beinhaltet.

Dies darf nicht mit Office 365 verwechselt werden.

Office 365 ist Eine Cloud Services-Plattform, die vertraute Microsoft-Produkte wie Word, Excel, PowerPoint und OneDrive zusammen mit anderen Produktivitätsdiensten über einen Abonnementplan zur Verfügung stellt. Office365 enthält zwar ein Mobile Device Management, das ist jedoch etwas abgespeckter als Intune. Intune muss also dazu abonniert werden.

 

Apple Unternehmens ID

Die Apple Unternehmens ID ist ein Konto, dass benötigt wird um die Apple Bereitstellungsprogamme Apple DEP und Apple VPP nutzen zu können. Das ganze befindet sich aktuell im umbruch und wird in Zukunft wohl Apple Business Manager heißen. Jedoch wird in den Docs und Intune Einstellungen noch die Bezeichung Apple Unternehmens ID genutzt.

Die ID kann über die Apple Seite beantragt werden. Dazu wird u.a. eine  DUNS-Nummer benötigt.

 

Apple DEP

Das Apple Device Enrollement Programm bietet die Möglichkeit iOS-Geräte im Unternehmen schnell und sicher bereitstellen. Die iOS-Geräte müssen über einen autorisierten Apple Partner bezogen werden und können von diesem dann mit einer Apple DEP ID, dass mit der Apple Unternehmes ID verknüpft ist hinterlegt werden. In dem Apple DEP Konto, können für die jeweiligen iOS-Geräte MDM Server hinterlegt werden. So verbindet sich das Gerät nach dem ersten einschalten, automatisch und direkt mit dem MDM Service (Intune) und erhält seine Konfigurationen.

 

Apple Supervisor Mode

Der überwachte Modues erlaubt weitere Konfigurationseinstellungen am Gerät vorzunehmen. Der Modus kann nur genutzt werden, wenn das Gerät über Apple DEP eingerichtet wurde.

 

Apple VPP

Ohne Apple ID funktioniert bei einem iOS-Gerät nicht viel. Die Einrichtung des Gerätes ist nicht möglich und Apps können auch nicht installiert werden. Damit nun nicht jeder Mitarbeiter eine Apple ID erstellen muss ist es empfehlenswert das Apple VPP Programm zu nutzen. Das Apple Volume Purchase Program ermöglicht es Unternehmen, Apps zu kaufen und an ihre Benutzer zu verteilen.

Ebenso brauch der Mitarbeiter keine private Apple ID um das Gerät einzurichten.

Nach erfolgreicher VPP Registrierung, kann das Apple VPP Konto mithilfe eines VPP-Token mit Intune verknüpft werden.

 

Apple Push Zertifikat

Um Konfigurationsprofile von Intune direkt an das iOS-Gerät pushen zu können wird ein Apple Push Zertifikat benötigt. Dieses wird dann mit dem Intune Konto verknüpft.

 

Company Portal App

Die Company Portal App (Unternehmens Portal App) ist nach der Geräte Einrichtung der Dreh und Angelpunkt zwischen dem iOS-Gerät und Intune. Die App kann direkt nach der Geräte Einrichtung automatisch gepushed werden. Über diese App können die Mitarbeiter Apps, welche von dem Unternehmen über Apple VPP bereitgestellt werden, in dem Unternehmenseigenen App Store herunterladen und installieren. Somit wird keine eigenen Apple ID benötigt. Handelt es sich um kostenpflichtige Apps, werden diese vorab über Apple VPP gekauft.

 

Conditional Access

Von Haus aus können in Intune zwar Geräte Compliance-Richtlinie erstellt werden – z.B. Prüfung auf Betriebssystemversion, oder ggf. auf Jailbreaks, aber dies hat keine Auswirkungen auf den Zugriff auf Intune und Unternehmensressourcen. Es wird lediglich in der Verwaltungskonsole als Ereignis dargestellt, dass das Gerät nicht mehr den Compliance Richtlinien entspricht.

Erst mit Conditional Access ist es möglich z.B. Geräte mit Jailbreak den Zugriff auf Intune und Unternehmensressourcen zu sperren.

Der bedingte Zugriff ist eine Erweiterung für das Intune Abonnement. Dafür wird der Azure Active Directory Plan 1 oder 2 benötigt.

Conditional Access ermöglicht es u.a. Multifaktor Authentifizierung, Regelbasierte Richtlinie und Bedingungen zu erstellen und Idenditäten zu prüfen.

 

 

In Teil 2 zeige ich euch die Einrichtung eines iOS-Gerät mit DEP und erkläre noch die besonderheiten bei bereits eingerichteten Geräte und die alternative des Self Enrollements und erläutere die Funktion des Apple Configurator.

Cloudflare und Strato Webspace

Cloudflare bietet einen umfassenden Schutz für die eigene Homepage. Es gibt kostenlose Pakete, die z.B. für einen eigenen Blog durchaus ausreichend sind.

Dazu zählen u.a.:

  • DDoS-Schutz

  • Web Application Firewall

  • Reverse-Proxy

  • Content Delivery Network

Der Mechanismus dieser Dienste greift vor dem eigentlichen Zugriff auf die jeweilige Homepage. Um dies zu erreichen muss die Domain so angepasst, das die DNS Server von Cloudflare genutzt werden. So wird erreicht, dass vor Website zugriff zuerst die Cloudflare Dienste angesprochen werden und anschließen man auf die eigentliche Homepage umgeleitet wird.

Dies funktioniert mit einem Strato Webspace leider nicht. Grund dafür ist, das die Homepage keine feste IP Adresse besitzt, sondern eine dynamische die sich täglich ändert. Cloudflare benötigt jedoch für die DNS A-Records eine feste IP Adresse und kann mit dynamischen IP Adressen nicht umgehen.

 

Auszug von Strato FAQ

Kann ich eine feste IP-Adresse bekommen?

Die technische Plattform von STRATO verwendet die beim Webhosting für viele Millionen Kunden übliche Methode des IP-Sharings und der Lastverteilung. Unsere Kunden profitieren dadurch von dem Umstand, dass Anfragen an ihre Webpräsenz an unseren gesamten Gerätepark so verteilt werden, dass immer der gerade “schnellste” Rechner die Anfrage beantwortet.
Durch diese Architektur ist es im Shared Webhosting nicht möglich, einem Kunden eine einzelne IP-Adresse zur Verfügung zu stellen.

Möchten Sie Dienste unter einer festen IP Adresse anbieten, können Sie einen Dedizierten Server bestellen. In vielen Paketen stehen Ihnen sogar zwei kostenlose IP-Adresse zur Verfügung. Bitte informieren Sie sich über die STRATO Server auf unserer  Homepage.