ATA Installation

Hallo Allerseits,

wie bereits angekündigt hier nun ein Blogeintrag zum Thema ATA Installation. Die zu installierenden Komponenten sind ja ATA Center, ATA Gateway und ATA Lightweight Gateway.
Die Komponenten werden in einer produktiven Installation idealerweise voneinander getrennt aufgebaut.

Das ATA Center wird unihomed erstellt (eine NIC), aber idealerweise mit zwei IPs. Das ATA Gateway wird dualhomed (zwei NICs) aufgebaut, jede NIC bekommt eine IP. Da eine NIC beim Gateway “nur” als Capture-Adapter aufgebaut wird kann hier auch eine IP verwendet werden, welche nicht in den LAN-IP-Bereichen verwendet wird. Das ATA Lightweight Gateway wird AUF einem DC installiert und benötigt somit keine eigene Serverstruktur. Allerdings muss der betroffene DC über die geforderten Leistungsdaten verfügen, hierzu ist die Kapazitätsplanung das A und O (https://docs.microsoft.com/de-de/advanced-threat-analytics/plan-design/ata-capacity-planning)!

Zuerst wird das ATA-Center installiert, dann die Gateways. Zur weiteren Orientierung ist folgender Technet-Artikel interessant: https://docs.microsoft.com/de-de/advanced-threat-analytics/deploy-use/install-ata-step1

Center Installation:

clip_image001

Hier seht ihr, wie ich auf meiner Testinstanz für das ATA Center doch nur eine IP, aber unterschiedliche Sockets etabliert habe (443 + 444). Bei den Installationspfaden kann darüber nachgedacht werden die DB auf andere Partitionen zu legen und diese aus dem AV auszuschließen.

clip_image002

Rufen Sie nicht uns an, wir rufen Sie an:

clip_image003

Fertig:

clip_image004

Nach der Installation kann auf das Webfrontend des ATA Centers zugegriffen werden. Es wird sich entweder mit einem lokalen Admin authentifiziert (Workgroup-Szenario) oder mit einem Admin aus dem AD (Domain-Szenario):

clip_image005

Die Installation ist zunächst zeitlich limitiert, bis eine passende Seriennummer eingegeben worden ist.

clip_image006

Unter Configuration wird ein Benutzeraccount für einen AD-Connector angeben, hier reicht ein normaler Domain-User aus.

Danach führt ein beherzter Klick auf "Download ATA Gateway Setup" zu den ATA Gateway Installationsdateien. In dem heruntergeladenen Zip-Archiv befindet sich eine personalsierte .json-Datei, insofern ist die Installation nur für das jeweilige Center als Backend geeignet:

clip_image007

Gateway Installation:

clip_image008

Für die Gateway Registrierung wird ein Admin-Account benötigt. Neben Self-signed Zertifikaten können auch Zertifikate der internen PKI verwendet werden, so vorhanden. Weitere Informationen dazu findet ihr hier: https://technet.microsoft.com/de-de/library/mt429319.aspx

clip_image009

Und wieder geht die Installation auf die Reise:

clip_image010

rdy:

clip_image011

Nach der ATA Gateway Installation meldet man sich im ATA Center an, um dann den zu überwachenden DC anzugeben, sowie die Capture-NIC definieren:

clip_image012

Speichern und Synchronisation abwarten bis:

clip_image013

Kontrolle ob folgende Dienste auf den jeweiligen Servern gestartet sind (hier ist zu Testzwecken das Center + Gateway auf einem Server installiert):

clip_image015

Wenn die AD Anbindung sauber läuft, dann sollte in der ATA Center Konsole eine Suche etwas zutage fördern:

clip_image016

Oder:

clip_image018

Schick, ATA lernt:

clip_image019

Lightweight Gateway Installation:

Seit der ATA Version 1.6 gibt es neuerdings sogenannte ATA Lightweight Gateways. Diese werden verwendet, wenn die Infrastruktur z.B. nicht die Möglichkeit bietet Spiegelports zu verwenden. Dies ist unter anderem in Cloud-Umgebungen wie Azure der Fall. Ein ATA Lightweight Gateway wird direkt auf den betroffenen DCs installiert. Voraussetzung hierfür ist das .Net Framework in der Version 4.6.1 (oder höher).

Die ATA Setup-Routine installiert das Framework selbständig, falls fehlend:

clip_image001[1]

Die Installation des ATA Lightweight Gateways ist recht einfach:

clip_image002[1]

Im Vorfeld genügend Ressourcen besorgen (Stichwort: Kapazitätsplanung, s.o.!), ansonsten kommt eine Hinweismeldung:

clip_image003[1]
clip_image004[1]
clip_image005[1]
clip_image006[1]

Nach der Installation sieht man das Lightweight Gateway natürlich auch in der ATA-Konfiguration:

image

Damit ATA aber einwandfrei lernen kann sind noch ein paar Basiskonfigurationen nötig. Dazu mehr im nächsten Artikel.

Gruß,

Karsten Hentrup aka Jens Mander…

<j-j>

DirectAccess Manage Out | Probleme mit Windows 10

Hallo Allerseits,
in 4 verschiedenen DirectAccess-Umgebungen haben wir Probleme von internen Windows 10 Clients festgestellt welche externe DirectAccess Clients via Manage Out (Stichwort: ISATAP) verwalten wollen. Die Problematik lässt sich auf das Nicht-Funktionieren der Namensauflösung einschränken. Wenn z.B. von einer der betroffenen internen Maschinen ein Ping (oder RDP oder sonstiges Protokoll) auf den NetBios-Namen des externen DA-Clients abgesetzt wird kommt ein “Host unbekannt” zurück – und das obwohl der externe Client sich korrekt (mit seiner v6-IP) am internen DNS registriert hat.
Im folgenden Screenshot kann man erkennen, das ein NSLOOKUP auf einen NetBios-Namen korrekt aufgelöst wird, der direkt folgende Ping auf denselben Namen scheitert:
clip_image002
Richard Hicks hat über dieses Verhalten/Phänomen bereits im November 2015 berichtet und auch einen Workaround in Form von Registry-Hacks online gestellt:
https://directaccess.richardhicks.com/2015/11/10/directaccess-manage-out-from-windows-10-does-not-work/
Einer unserer Kunden hat nun ein Ticket bei Microsoft geöffnet um eine Aussage des Herstellers dazu zu erhalten. Dort wurde uns signalisiert das dieser Case nun als Bug klassifiziert wurde.
Im übrigen kann das Verhalten als Workaround auch mit einem einzelnen Registry-Key gelöst werden und zwar wie folgt, hier ein Ausschnitt aus der Ticket-Konversation:
***********************************************
Hallo Herr Hentrup,
ich habe weitere Informationen.
Für das von mir in der vorigen Email angesprochene Verhalten (der Client sendet keine AAAA Queries) ist die aktuelle Lösung diesen Registry Key zu setzten.
HKLM\System\CCS\Services\DNSCACHE\Parameters
REG_DWORD "AddrConfigControl "
Value: 0
New-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\” -Name AddrConfigControl -PropertyType dword -Value 0 -Force
Die anderen beiden Registry Keys können somit auf Ihren Standartwerten bleiben. Wenn Sie sie zurücksetzten wollen:
New-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\” -Name DisableParallelAandAAAA -PropertyType dword -Value 0 -Force
New-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\” -Name DisableServerUnreachability -PropertyType dword -Value 0 -Force
Testen Sie das doch bitte.
Wenn es auch so funktioniert haben wir sicherlich das Problem. Dieses Verhalten zeigt auch Win10 1511.
Haben wir getestet – funktioniert!
Gruß,
Karsten Hentrup
 

Windows 10 im Unternehmensumfeld - SSO, "Hybrid" und andere Mysterien (Teil 2)

Hier folgt nun die versprochene Fortsetzung. Im 1. Teil haben wir uns über das Szenario "Windows Store for Business" (WSfB) dem Thema "Automatische Azure AD-Registrierung (für domain-joined Computer)" genähert. Man kann festhalten, dass diese der Schlüssel für den bequemen und unternehmenstauglichen Zugriff auf Microsoft Online Ressourcen ist. Durch die AAD Auto-Registrierung wird echtes SSO ermöglicht und sie läuft für den User vollkommen transparent (d.h. ohne jegliche Interaktion) ab.

Aber was ist nun konkret zu tun, um die Automatische Azure AD Registrierung zu etablieren?

Voraussetzungen für die AAD Auto-Registrierung

Microsoft stellt eine Vielzahl von Anleitungen zur Verfügung wie z.B. diese oder auch jene.

In der Praxis hat sich aber gezeigt, dass es oftmals im Detail hapert - mal fehlt in der einen Anleitung dieser Punkt, mal in der anderen jener… hier eine Zusammenfassung der wichtigsten Schritte:

  1. Sofern noch nicht geschehen, AADConnect und ADFS implementieren, öffentliche Domäne in AAD registrieren, Federation herstellen, UPN der Benutzer im on-premises AD sollte gleich der SMTP-Adresse sein
  2. Alle Benutzer, die Cloud Ressourcen nutzen, müssen ins AAD synchronisiert werden
  3. Zusätzlich: Alle (relevanten) Windows 10 Computer-Objekte müssen ebenfalls ins AAD synchronisiert werden
  4. Erstellen eines Service Connection Point im on-premises AD, damit Windows 10 Computer ermitteln können, wohin sie sich wenden müssen, um zum AAD zu gelangen. Dieser SCP wird in der Configuration Partition per Skript angelegt, es sind Enterprise Admin Rechte erforderlich
  5. Aktivieren des sog. ADFS Endpoint namens "windowstransport". Dieser wird benötigt, damit Windows 10 Computer sich bei ADFS authentifizieren können
  6. Mindestens drei neue Claim Rules (ohne "SupportMultipleDomains") in der Relying Party Konfiguration für "Microsoft Office 365 Identity Platform", mit denen die on-premises objectGuid, accounttype ("DJ" = domain joined) und die primarysid via ADFS an AAD übermittelt werden
  7. Aktivieren von Windows Integrated Authentication als Alternative zu MFA in der o.a. Relying Party

Ablauf der AAD Auto-Registrierung

Auf allen domain-joined Windows 10 Computern existiert ein Scheduled Task unter \Microsoft\Windows\Workplace Join namens "Automatic-Device-Join". Dieser Task läuft im SYSTEM-Kontext und wird bei jedem Anmelden eines Benutzers gestartet. Bei Windows 10 (Build 1511) war dieser Task noch deaktiviert und musste z.B. per GPO aktiviert werden. Bei Windows 10 (Build 1607) ist er hingegen out-of-the-box aktiviert. Wenn alle o.g. Punkte erledigt sind, bewirkt der Task eine Vielzahl von Aktionen. Die genaue Beschreibung würde den Rahmen dieses Beitrags definitiv sprengen - es werden Schlüsselpaare erstellt, der TPM Chip zum Schutz der Schlüssel verwendet, Zertifikate von Azure AD ausgestellt, der Computer erstellt ein Device Object, AAD Connect korreliert dieses mit dem on-premises Computer-Objekt, etc. Genug Stoff für einen zukünftigen separaten Blog Beitrag :-)

Hier der vereinfachte Ablauf:

  1. Computer identifiziert über den SCP den passenden AAD Tenant und baut eine dorthin Verbindung auf. Achtung: Damit dies funktionieren kann, benötigt der Computer uneingeschränkten Zugriff auf mehrere URLs!
  2. Computer wird umgeleitet zu ADFS und authentifiziert sich. Dabei erhält er von ADFS die oben erwähnten Claims
  3. Mit diesen Claims im Gepäck erstellt der Computer nun ein neues Device Object für sich in AAD. Die Werte aus den Claims werden in Attribute des neuen Objekts übertragen
  4. AAD stellt ein Zertifikat für den Computer aus, mit dem dieser sich künftig authentifiziert
  5. Das PRT findet ebenso seinen Weg auf den Computer
  6. AADConnect verknüpft das neue Device Object beim nächsten Lauf mit dem existierenden Computer-Objekt im on-premises AD. Hierdurch wird das on-premises Computer-Objekt autoritativ - d.h. wenn es z.B. gelöscht wird, wird auch das Device Object in AAD gelöscht!

Greift der Benutzer nun auf z.B. Sharepoint Online oder OneDrive for Business zu, werden mithilfe des PRT die Access Tokens beantragt. Falls Sie Kerberos kennen: Im Prinzip kann man sich das PRT ein wenig wie ein Ticket Granting Ticket vorstellen und Access Tokens wie Session Tickets.

Mithilfe der Tokens erfolgt nun die Authentifizierung bei der Zielressource.

Tipps

  • Nutzen Sie beim Erstellen der Federation (convert-MsolDomainToFederated) möglichst nicht die Option "SupportMultipleDomains", sofern kein akuter Bedarf besteht. Hierdurch werden zusätzliche Claim Rules erforderlich und deren Konfiguration ist in diesem Fall alles andere als trivial
  • Sie wollen nicht alle Windows 10 Computerobjekte ins AAD synchronisieren? Keine Sorge, das passiert auch gar nicht. Selbst, wenn Sie keine Filter konfigurieren, erstellt AADConnect für die on-premises AD Computer-Objekte keine neuen Device Objects in AAD, sondern korreliert nur bereits existierende zwecks Life cycle management. Nicht AADConnect erstellt neue Device Objects - sondern das machen die Computer selbst während der Auto-Registrierung!
  • Achten Sie darauf, dass alle Claims auch tatsächlich in ADFS definiert sind, für die Sie Claim Rules erstellen. Eine Claim Rule macht noch keinen Claim ;-)
  • Falls Sie einen Forward Proxy mit User Authentifizierung einsetzen: Machen Sie sich auf Probleme gefasst… Der Zugriff des Computers auf das AAD zwecks Registrierung erfordert Zugriff auf mindestens diese URLs:
    • enterpriseregistration.windows.net und
    • login.microsoftonline.com

Und zwar erfolgt der Zugriff im Kontext des Computerkontos, da der Scheduled Task als SYSTEM läuft. Oftmals empfiehlt es sich, den Zugriff auf diese URLs auf der Firewall (nicht authentifiziert) zu erlauben oder einen geeigneten ggf. transparenten Proxy ohne Authentifizierung zu verwenden. Das Thema Proxy & Authentifizierung holt einen übrigens spätestens beim Windows Store for Business wieder ein, soviel sei schon mal verraten.

Fazit

Wenn Sie Windows 10 und Cloud-Ressourcen wie Office 365 oder Windows Store for Business unternehmenstauglich einsetzen und verwalten wollen, dann sollten Sie definitiv die automatische Azure AD Registrierung ihrer Domain-joined Computer etablieren. Diese ist der Schlüssel zum bequemen und sicheren Zugriff auf Microsoft Online Ressourcen. Sie schaffen hierdurch die Grundlage für echtes SSO und weitere interessante Enterprise Features. Eine saubere und adäquate Einrichtung von ADFS und DirSync/AADConnect ist die Basis für SSO, die Sie entweder selber betreiben oder bei Bedarf auch als Komplettpaket bzw. Managed Service bei iteracon buchen können. Wie man unschwer erkennen kann, ist die gesamte Thematik alles andere als simpel und die Einrichtung nicht trivial. Das Ergebnis kann sich allerdings mehr als sehen lassen! Aus Sicht des Endanwenders könnte es kaum simpler sein: An Windows anmelden, auf Ressourcen Zugreifen, fertig! :)

Und das gilt sogar auch für die Store App mit dem Windows Store for Business. Aber dazu wie gesagt später mehr.

Viele Grüße

Alexander Zarenko

Windows 10 im Unternehmensumfeld - SSO, "Hybrid" und andere Mysterien (Teil 1)

Wenn man sich mit Windows 10 und seinem Einsatz in Enterprise-Umgebungen beschäftigt, stellen sich viele Fragen - u.a. zur Verwaltbarkeit und Cloud-Anbindung. Beim Versuch, diese Fragen zu klären, wird man mit einer Vielzahl von Begriffen konfrontiert. Vermutlich haben Sie von Azure AD Join und Workplace Join gehört. Hinzu kamen dann vermutlich recht bald Single Sign On, ADFS, DirSync/AADConnect, MDM Autoenrollment, Intune, SCCM und noch vieles mehr. Ein weites Feld…

Letzten Endes geht es darum, Windows 10 unternehmenstauglich einzusetzen und zu verwalten. Aber wie geht das und was heißt das eigentlich? Es herrscht teils große Verunsicherung, wie einige neue Entwicklungen einzuordnen sind und manche Veranstaltungen oder Kommentare von Leuten, die es eigentlich wissen sollten, schüren diese Verunsicherung noch. Wie etwa: Wird Domain Join bald abgeschafft? Heißt die Zukunft Azure AD Join? Ist die klassische Verwaltung mit Tools wie SCCM tot und läuft künftig alles über MDM wie z.B. Intune?

Ich kann sie beruhigen. Ich bin zwar kein Orakel, aber bin mir mittlerweile (das war nicht immer so!) sehr sicher, dass all diese zugegebenermaßen überspitzt formulierten Fragen für die absehbare Zukunft mit "Nein" beantwortet werden können. Denn: Mit kleinen Einschränkungen ist alles da und es passt alles zusammen (auch das war nicht immer so!). Man muss nur die richtigen Teile miteinander kombinieren. Aber welche sind das, für welches Szenario?

Dieser und zukünftige Artikel rund um Windows 10 sollen etwas Licht ins Dunkel bringen. Zunächst greifen wir einen wichtigen Teilaspekt auf, der im Zusammenhang mit dem Thema "Cloud-Anbindung" steht.

Ein Beispielszenario, der Aufhänger für diesen Beitrag: Ihr Unternehmen möchte gewappnet sein für etwaige Anfragen der Benutzer à la "Ich bin viel mit meinem Surface Pro 4 unterwegs und benötige für Präsentationen die PowerPoint App aus dem Windows Store".

Eine häufige Antwort der IT-Verantwortlichen: "Windows Store? Den haben wir gesperrt. Das ist eine auf Privatpersonen zugeschnittene Geschichte, die wir im Unternehmensumfeld nicht unterstützen."

Und das ist dann das Ende vom Lied - so war es oft mit Windows 8.1.

Nun gibt es aber seit einiger Zeit den Windows Store for Business (WSfB), mit dem sich ein unternehmensspezifischer Bereich innerhalb des Windows Store definieren lässt, der allen Mitarbeitern offen steht. Der Zugriff auf diesen "Private Store" erfolgt mit denjenigen Anmeldedaten, mit denen die Benutzer bereits am Rechner angemeldet sind - sofern einige Voraussetzungen erfüllt sind. Welche dies konkret sind und welche Möglichkeiten WSfB bietet, ist genug Stoff für einen eigenen Blog-Beitrag… an dieser Stelle deshalb nur eine Zusammenfassung - Sie brauchen:

  • Einen konfigurierten WSfB Private Store mit den gewünschten Apps, die den Benutzern zur Verfügung stehen bzw. zur Installation angeboten werden sollen. Das Resultat sieht z.B. so aus:
2016-11-04_22h29_13
  • Eine Instanz von Dirsync (d.h. AADConnect) zur Synchronisation der Benutzerobjekte zwischen dem eigenen AD und Azure AD
  • Optional (aber in aller Regel dringend empfohlen) ADFS und eine Federation zu Microsoft, damit Anmeldedaten ihr Unternehmen nicht verlassen.

Anmerkung: Da die Mehrzahl unserer Kunden der o.a. Empfehlung folgt, liegt der Fokus dieses Beitrags auf dem Szenario inkl. ADFS und Federation zu Microsoft.

Sie kommen also zu dem Entschluss, dass der WSfB eine sehr nützliche Sache ist und beginnen mit der Einrichtung von ADFS, Dirsync und konfigurieren WSfB. Diese Einrichtung ist nicht ganz trivial, aber nach einiger Zeit haben Sie es geschafft. Ein Testzugriff auf SharePoint Online oder OneDrive for Business läuft für den Benutzer so, wie man es sich wünscht: Keine Authentifizierungsdialoge - Drin! Das war ja einfach… (kennt jemand noch den alten AOL Spot mit Boris Becker? Ein Klassiker :-)) OK, nun zum Store… Schade, wie kommt man denn nun an den Private Store? Antwort: Hierzu muss der Work Account hinzugefügt werden, was auch als "Workplace Join" gezeichnet wird.

Standardmäßig passiert dies nicht automatisch. Was nun?

Es gibt an dieser Stelle eigentlich nur eine offensichtliche Möglichkeit:

  • Benutzer fügen Ihren Work Account selbst hinzu. Hierzu starten sie die "Einstellungen" App, wählen dort "Auf Arbeits- oder Schulkonto zugreifen", klicken auf "Verbinden", geben ihren UPN (in der Regel ist dieser identisch mit der Email-Adresse) ein. Daraufhin erfolgt eine Umleitung zu ADFS. Im darauf folgenden Formular muss der Benutzer zum Abschluss noch sein Kennwort eingeben. Nun kann der Benutzer die Store App starten und sein Work Account ist bereits dort hinterlegt. Der Zugriff erfolgt also im Kontext des Work Account und der Private Store wird angezeigt. Ziel erreicht.

Aber ist das unternehmenstauglich?

Vermutlich antworten Sie reflexartig "Nein, ganz bestimmt nicht" oder "Also bei uns nicht" und damit sind Sie in bester Gesellschaft. Tatsächlich wird auch Microsoft dies so unterschreiben. Denn "Workplace Join" ist nicht für Unternehmens-PCs gedacht, sondern für BYOD Szenarien. Was aber tun bei Unternehmens-PCs?

Unternehmens-PCs (Corporate owned devices) mit Windows 10 werden in 2 Klassen unterteilt:

  • Domain-joined Computer. Das sind die klassischen PCs, Notebooks, Tablets oder Hybrid-Geräte, die z.B. mit SCCM oder einem Tool ihrer Wahl aufgesetzt und verwaltet werden. Sie sind Mitglied des on-premises AD und werden üblicherweise ganz klassisch mit SCCM und Group Policies konfiguriert.
  • Azure AD-joined Computer. Für Benutzer, die hauptsächlich mit Cloud Ressourcen arbeiten und Ihren Arbeitsplatz nicht im Unternehmen haben, kann dies eine interessante Alternative sein. Azure AD-joined Computer können im Anschluss an den AAD-join automatisch in die bestehende MDM-Lösung eingebucht werden (z.B. Intune oder SCCM/Intune hybrid) und über diese verwaltet werden. Dieses Feature wird als "MDM Autoenrollment" bezeichnet. Im Vergleich zur Verwaltung von Domain-joined Computern mit SCCM (via installiertem SCCM-Client) und Group Policies wird hier oft von "MDM Channel" und "Lightweight Management" gesprochen.

Nochmal zum Festhalten: Nein, Domain-join wird nicht durch Azure AD Join abgelöst. Zumindest nicht heute und auch nicht morgen. Die Zielgruppen für die Join-Arten sind verschieden. Und SCCM und GPOs sind weiterhin die Mittel der Wahl zur Verwaltung für Domain-joined Computer! Über den MDM Channel wird Lightweight Management gemacht - und zwar für Smartphones generell, für BYOD-Computer oder für heavy-Cloud-User, die ihren Computer ggf. von der Stange kaufen (Kosten übernimmt der Arbeitgeber) und via Self Service zu Azure AD hinzufügen (Azure AD Join) - dies ist ein Beispiel für den sog. COPE-Ansatz (Corporated Owned, Personally Enabled).

Wir wollen uns an dieser Stelle auf Domain-joined Computer konzentrieren, da diese für viele deutlich relevanter sind - schließlich existieren etliche Millionen davon auf der Welt. Microsoft hat seit einiger Zeit ein Verfahren etabliert, das auf Deutsch ungefähr "Automatische Azure AD Registrierung" (Kurzform im Folgenden: "AAD Auto-Registrierung") heißt. Hierdurch wird ermöglicht, dass Domain-joined Computer automatisch in Azure AD registriert werden. Dies bietet u.a. die folgenden Vorteile:

  • Für den Benutzer ist der Vorgang komplett transparent, es ist keinerlei Benutzer(inter)aktion notwendig
  • Die Registrierung passiert automatisch, sobald sich Benutzer an den Computer anmelden
  • Work Accounts der sich anmeldenden Benutzer werden automatisch hinzugefügt

     

  • Die Store App ist fertig vorkonfiguriert und zeigt den Private Store
  • "Enhanced" SSO beim Zugriff auf Ressourcen

"Normales" SSO versus "Enhanced" SSO

Work Accounts werden automatisch hinzugefügt? Keinerlei Benutzerinteraktion, alles vollautomatisch… klingt schon mal super! Aber was ist mit "Enhanced" SSO gemeint? Vorweg: Den Begriff haben wir uns selbst ausgedacht - um diese besondere Form von SSO abzugrenzen zu dem, was wir üblicherweise unter SSO verstehen. Eine Beschreibung des Ablaufs von "normalem" SSO am Beispiel von SharePoint Online können Sie hier finden: http://iteracon.de/sso#a4

Um bei diesem Beispiel zu bleiben: Greift ein Benutzer also im LAN auf SharePoint Online zu, geschieht die "Magie" unter Mitwirkung von ADFS normalerweise vollautomatisch im Hintergrund. Wenn der Benutzer aufmerksam die Adresszeile des Browsers beobachtet, sieht er lediglich die verschiedenen URLs durch die Umleitungen aufblitzen und ist im nächsten Moment schon authentifiziert bei der Zielressource angelangt.

Wir halten aber fest: Bei "normalem" SSO ist zwingend ADFS involviert.

Das heißt umgekehrt auch: Wenn ADFS gerade nicht verfügbar ist (Ausfall, Wartung, etc.), ist kein Zugriff auf MS Online Ressourcen möglich!

Das ist bei "Enhanced SSO" anders:

  • Nur beim ersten Zugriff läuft alles "normal"
  • Anschließend wird ein Primary Refresh Token (PRT) und darauf aufbauend Access Tokens zur Authentifizierung verwendet
  • ADFS wird fortan umgangen. Die Authentifizierung erfolgt mithilfe der o.a. Tokens direkt gegen Azure AD

Die Vorteile des erweiterten SSO liegen auf der Hand:

  • Der Zugriff auf MS Online Ressourcen funktioniert auch unabhängig von ADFS und dessen Verfügbarkeit
  • Es ist keine Eingabe von Anmeldedaten erforderlich, egal ob der Client im LAN steht oder im Internet
  • Die Authentifizierung erfolgt mit weniger Umwegen und läuft daher noch schneller

Einige weitere Vorteile der AAD Auto-Registrierung (Store App mit dem Work Account vorkonfiguriert, WSfB zeigt Private Store an, etc.) habe ich ja bereits oben erwähnt.

Darüber hinaus ist die AAD (Auto-)Registrierung übrigens die Grundlage für weitere interessante Features wie Windows Hello for Business, Enterprise State Roaming und Conditional Access - Details hierzu folgen in zukünftigen Blog-Einträgen.

Damit erst einmal genug für heute… In Teil 2 klären wir, welche Voraussetzungen für die AAD Auto-Registrierung erfüllt sein müssen und es gibt einen Überblick über den Ablauf. Ein paar Tipps zur Implementierung sind auch noch mit dabei, also: "Stay tuned" :-)

Viele Grüße

Alexander Zarenko

ATA Planung

Hier nun wie angedroht ein weiterer Artikel zum Microsoft Advanced Threat Analytics (ATA).

Die Idee: zu ATA werden die Active Directory Daten gespiegelt, ausgewertet und auf möglichen Missbrauch bzw. Auffälligkeiten hin untersucht. Hierzu ist ein Setup von sogenannten ATA (Lightweight) Gateways nötig, welche die gespiegelten AD-Daten aufnehmen. ATA lernt nun die Umgebung kennen, wertet diese aus und meldet sicherheitsrelevante Informationen über das ATA Center. Auf dem ATA Center ist eine Timeline von Alarmen einsehbar, inklusive erster Empfehlungen der weiteren Vorgehensweise.

Die wichtigsten Infos vorab:

- ATA wird größtenteils on-premises aufgebaut. DCs in Azure oder anderen public Clouds werden mittels ATA Lightweight Gateways eingefangen (ab ATA V1.6).
- Idealerweise werden sämtliche DCs eines AD überwacht, dies erfordert sicherlich den Aufbau mehrerer ATA (Lightweight) Gateways.
- Den ATA Gateways werden die AD-Daten mittels Spiegelports von Switchen (real, virtuell) übermittelt. Die Platzierung der ATA Gateways stellt somit die erste (und größte) Herausforderung dar.
- Eine Alternative ist seit Version 1.6 das sogenannte ATA Lightweight Gateway. Dieses wird auf einem DC installiert und insofern ist kein dediziertes Gateway erforderlich. Bei beiden Gateway-Varianten sind die Systemanforderungen zu beachten!
- Sind die ATA (Lightweight) Gateways einmal platziert, dann beginnt automatisch ein Selbstlernprozess. Es ist NICHT erforderlich eine aufwendige Baseline zu erstellen, das System startet nach Positionierung vollkommen autark los.
- ATA kann in einem Workgroup Szenario aufgebaut werden.
- Die Auswertung/Interpretation der von ATA angezeigten Vorkommnisse stellt die zweite Herausforderung dar, da hierfür ggf. “Personen Tage” reserviert werden müssen.
- ATA kann unter anderem durch EMS (Microsoft Enterprise Mobility Suite) lizenziert werden. EMS ist im Vergleich zu den einzelnen Produkten recht günstig, fragt hierzu einen Cloud Solution Provider. Zur Not kann ich einen CSP empfehlen Smiley http://iteracon.de/public-site/news/show?e=19

ATA Topologie:

image
https://docs.microsoft.com/de-de/advanced-threat-analytics/plan-design/ata-prerequisites

ATA Kapazitätsplanung:

Für ATA kann je nach Umgebung einiges an Ressourcen gefordert sein:

https://docs.microsoft.com/de-de/advanced-threat-analytics/plan-design/ata-capacity-planning

ATA Test:

ATA Center und ATA Gateway kann zu Test- oder Laborzwecken auf einem Server installiert werden. Für den produktiven Einsatz sei eine Trennung aber empfohlen. Einen ersten Eindruck erhält man sicherlich auch, wenn nur ein DC überwacht wird. Für den produktiven Einsatz dürfte diese Sichtweise aber zu eingeschränkt sein.

Im nächsten Artikel zeige ich die Installation von ATA Center + (Lightweight) Gateways, stay tuned.

Gruß,

Karsten Hentrup…

>>