viernes, 31 de marzo de 2023

Extraer Chats y contenido de Teams en auditoría.

 

Hola, 

Para extraer el contenido de chats de Teams de usuarios, tenéis que realizar los siguientes pasos:

1. Portal.office.com / Compliance / Búsqueda de contenido.


2. Crear nueva búsqueda




3. Activar Buzones de Exchange (Chat de Teams se almacena en el buzón de Exchange).

4. Usar la query: kind:im AND kind:microsoftteams y a ser posible reducir la búsqueda con condición de fecha.



Descargar el resultado.















viernes, 3 de marzo de 2023

Azure AD Connect Health - Monitorizar Windows Active Directory

 

Hola, 

Azure AD Connect health, es un servicio ofrecido en Azure que monitoriza tres escenarios y servicios diferentes. 

Los servicios que podemos monitorizar con Azure Ad Connect Health, son; 

  • Sync services: Esto es la sincronización que nos proporciona AdConnect como servicio MIM entre Active Directory Domain Services (ADDS, no confundir con Azure Active Directory Domain Services AADDS)  y Azure AD.
  • AD FS Services: Este agente es el ideal para monitorizar el servicio ADFS, si cuentas con él en tu organización.
  • AD DS Services: Este agente monitorizará nuestro Windows Active Directory Clásico y es el que veremos hoy como poner en marcha.

En esta entrada, os hablaré de la monitorización desde Azure AD Connect Health  ADDS.


Requisitos
  • Instalar un agente, requiere una licencia Azure AD P1 o superior
    • Instalar un segundo agente, requiere 25 licencias Azure AD P1 o superior (en total 26).
    • Resto de agentes, requieren 25 licencias Azure AD P1 o superior, cada uno de ellos.
  • Cuenta Azure AD con role de administrador de identidad
    • La cuenta es desechable una vez se haya instalado el agente.
  • Cuenta con privilegios de administrador en la máquina en la que se ha va a instalar el agente
  • Equipos con agente, requieren salida a internet.
    • La versión última, lanzada de agente solo requiere puerto 443. Ya no se requiere el puerto 5671 como aparece en la documentación.
    • Salida de internet a estas URls:
      • login.microsoftonline.com
      • secure.aadcdn.microsoftonline-p.com
      • login.windows.net
      • aadcdn.msftauth.net
  • Powershell 5.0 o superior.
  • Inspección TLS con inspección deshabilitada en la salida a internet.
  • Servidor Windows Server excepto Windows Server Core.
Actualización y mantenimiento
En cuanto al mantenimiento. El agente se auto actualizará, con cada versión. 

Instalación 
  • Instalación desatendida, la podéis ver en el siguiente link
  • Configuración de salida a través de Proxy, la podéis ver en el siguiente Link
Proceso de instalación manual

1. El agente lo podéis descargar desde vuestro tenant y este link


2. Una vez tengáis este agente descargado y copiado en el servidor donde lo vais a instalar, el proceso de instalación es el siguiente:


Llegado este punto, tendréis que validaros en Azure AD con la cuenta creada con privilegios indicados en los requisitos.


Monitorización de resultado en consola










Comprobación de funcionamiento

Comando de powershell:  Test-AzureADConnectHealthConnectivity -Role ADDS


Saludos















miércoles, 1 de marzo de 2023

Common problems publishing an app with Verified publisher

 

As Microsoft explain here.

Publisher verification gives app users and organization admins information about the authenticity of the developer's organization, who publishes an app that integrates with the Microsoft identity platform.

When an app has a verified publisher, this means that the organization that publishes the app has been verified as authentic by Microsoft. Verifying an app includes using a Microsoft Cloud Partner Program (MCPP), formerly known as Microsoft Partner Network (MPN), account that's been verified and associating the verified PartnerID with an app registration.

Keep in mind that the verified publisher is always a business who is part of the Microsoft Partner ecosystem and also, behind the MPN partnering there is, at least, an Azure tenant.

My post of today collects and explains you how to solve every problem that can appear during the process of getting the blue verified badge indicating the trusted publisher of the app.

This is the representation of the steps you have to keep for getting the registration made successfully. The known problems (in red) are explained below in this article:



Some obstacles that I usually find are so common in the scenario:

1. Lot of times you are publishing an app from different tenant that is associated to the MPN, may be from a tenant of your developers.

2. The above situation leads us to deduce that the domain filled in the MPN partnering as an email contact of your business, is not added in the secondary tenant too. Because a domain is only able to be added in one tenant as a custom domain. therefore. the domain .onmicrosoft.com cannot be used in this process and this domain cannot be the domain of the user who makes the registration (Problem in the steps 2 & 4).

3. Sending an invitation as guest is some times complicated, because the identity that you want to invite, doesn't has a mailbox and the invitation is sent as email. 


The ways to get over the difficulties shown above are:

1. You decide don't make the registration from the main tenant, it needs you to add this second tenant in the MPN Center.

2. You have to verify the domain used in the mail contact filled in MPN Partner Center- organization  profile - Legal Info using a microsoft-identity-association.json 

And the user who makes the registration needs to be a user with a custom domain, in the login name.  So you have to add a custom domain in your tenant previously. 

Example.: user@contosoapp.onmicrosoft.com is not allowed.


It fix this problem: 

The target application's Publisher Domain (publisherDomain) either doesn't match the domain used to perform email verification in Partner Center (pcDomain) or has not been verified. Ensure these domains match and have been verified then try again.


3. After the invitation to a guest has been sent, you are able to get the link that has to be accepted, going to the guest object, and clicking on the Resend Invitation.




lunes, 27 de febrero de 2023

Planificación y características avanzadas Azure AD APP Proxy

 Hola, 

A través de este artículo, voy a recopilar toda la información importante a tener en cuenta sobre el conector y escenario a construir con Azure AD Application Proxy.


Planificación e instalación

  • Requisito en cuanto a licenciamiento Azure AD P1
  • Requisito de entorno entorno AD sincronizado a través de AD Connect.
  • Windows Server 2012 R2 o superior
  • En cuanto a requisito de capacidades en el sevidor, tenéis aquí el capacity planner:
  • El conector, se puede instalar en un servidor en Workgroup. No obstante, si queremos tener Single Sign On, tenemos que tener el equipo en dominio con el fin de poder hacer Kerberos Constrained Delegation.
  • Comando para desplegar el conector de forma silenciosa: AADApplicationProxyConnectorInstaller.exe REGISTERCONNECTOR="false" /q
    • Comando para registrar el conector de forma silenciosa: 
    • $User = "<username>"
    • $PlainPassword = '<password>'
    • $SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
    • $cred = New-Object –TypeName System.Management.Automation.PSCredential –ArgumentList $User, $SecurePassword
    • .\RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft AAD App Proxy Connector\Modules\" -moduleName "AppProxyPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature ApplicationProxy
  • El servidor puede estar en un dominio que tenga relación de confianza con otro e incluso con solo acceso a un Read Only Domain Controller.
  • Es importante instalar Azure AD APP proxy procurando una muy buena comunicación con las aplicaciones internas que publicará (Network topology considerations for Azure Active Directory Application Proxy - Microsoft Entra | Microsoft Learn)
  • No instales Azure AD App proxy en el mismo servidor que hayas instalado Azure AD Password Protection
  • Las identidades que vayan a validarse localmente y las que vayan a validarse en cloud, han de estar sincronizadas vía AD Connect.
  • En Windows Server 2019, tras la instalación de Azure APP proxy has de lanzar estos comandos: 
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]  "EnableDefaultHTTP2"=dword:00000000
    • Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0
  • TLS 1.2 ha de estar habilitado en el servidor, previamente a la instalación de Azure AD Application proxy: 
    • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
    • reiniciar el servidor.
  • Azure AD App Proxy connector, necesita conectividad a internet:
  • Instala más de un Azure AD App Proxy en tu entorno para proveer al sistema de HA y englóbalos en un grupo. Publish apps on separate networks via connector groups - Azure Active Directory - Microsoft Entra | Microsoft Learn
    • Trata de publicar cada Azure AD App Proxy Connector detrás de una salida a internet distinta para evitar un punto de fallo
    • Cada conector está limitado a 200 salidas concurrentes






  • En línea también con la hibridación con servicios Azure, podemos publicar nuestra app a través de Azure Waf: 


Mantenimiento y Remediación



En próximas entradas, hablaremos sobre la validación SSO.

lunes, 20 de febrero de 2023

Publicación de url interna a tavés de Azure AD Application Proxy

 

Hola, 

De forma muy básica, pero muy efectiva, os voy a enseñar como publicar una web no SSL (http://) que podríamos llamar Antigua y que en este caso además, no cuenta ni con validación de usuario, a través de Azure Ad Application proxy, publicando esta web en el portal de Myapps e incluso con una URL directa, que nos pedirá validación de usuarios Azure AD previo a mostrar la página. 

La página en cuestión es esta:




Para publicar esta web, en primer lugar, nos descargaremos el software de Azure AD App Proxy y lo instalaremos en un servidor con acceso a internet, que nos valdrá de Proxy inverso. De hecho es aconsejable instalar el complemento en dos servidores para dotar al servicio de publicación de alta disponibilidad. 

Como curiosidad, destacar algo evidente en cuanto a seguridad. El servidor con el complemento Azure AD APP proxy, no tiene que tener puerto alguno abierto. El servidor con la web, tampoco ha de tener ningún puerto abierto desde internet.

Instalación de complemento:




Tras instalar el paquete y tener ya nuestro servidor APP Proxy.  Nos queda dar de alta la aplicación, generando un nombre público e indicando a Azure AD, la url interna de la web:


Comprobaremos que la web está creada como APP registrada y la podemos ver también en Aplicaciones empresariales de Azure AD:




Nos quedará ahora, solamente asociar a los usuarios que pueden tener acceso a ella:





Y ahora solo nos queda visitar la URL Pública:


y aquí podéis ver, como no tengo publicado el puerto 443 ni 80, del servidor que tiene la Web: