From c5a1a3072e0466fcc838259b9c0b7d03a72a17b4 Mon Sep 17 00:00:00 2001 From: diecknet Date: Mon, 23 Dec 2024 16:28:53 +0000 Subject: [PATCH] deploy: 3d8f0a9293cd0af7789a85be100e317fbfceb585 --- .../Exchange-Mailbox-Creation-Date/index.html | 12 +- .../index.html | 12 +- .../06/05/Azure-AD-Connect-Video/index.html | 11 +- .../Set-File-Date-with-PowerShell/index.html | 36 +++++- .../index.html | 2 +- .../index.html | 12 +- .../index.html | 12 +- .../powershell-check-admin-rights/index.html | 21 +++- .../index.html | 23 +++- de/2024/03/05/powershell-profiles/index.html | 9 +- .../09/powershell-suppress-output/index.html | 28 ++++- .../index.html | 8 +- de/2024/04/29/powershell-null/index.html | 33 +++++- .../powershell-multiline-commands/index.html | 41 ++++++- .../index.html | 2 +- .../index.html | 17 ++- .../09/12/powershell-array-plus/index.html | 12 +- de/2024/09/20/powershell-wmi/index.html | 2 +- .../11/02/powershell-cancel-loops/index.html | 12 +- de/feed.xml | 99 +++++++++++++--- de/index.html | 14 ++- de/legal/index.html | 15 ++- de/page/2/index.html | 15 ++- de/page/3/index.html | 8 +- de/page/4/index.html | 5 +- de/page/5/index.html | 11 +- de/page/6/index.html | 12 +- de/page/7/index.html | 2 +- de/posts/feed.xml | 99 +++++++++++++--- de/posts/index.html | 13 ++- de/posts/page/2/index.html | 10 +- de/posts/page/3/index.html | 6 +- de/posts/page/4/index.html | 6 +- de/tags/activedirectory/feed.xml | 3 + de/tags/activedirectory/index.html | 2 +- de/tags/admin-rights/feed.xml | 7 +- de/tags/admin-rights/index.html | 3 +- de/tags/apple/feed.xml | 4 +- de/tags/apple/index.html | 1 + de/tags/azuread/feed.xml | 7 +- de/tags/azuread/index.html | 3 +- de/tags/azureadconnect/feed.xml | 3 + de/tags/azureadconnect/index.html | 2 +- de/tags/customization/feed.xml | 3 +- de/tags/customization/index.html | 1 + de/tags/environment-variables/feed.xml | 9 +- de/tags/environment-variables/index.html | 3 +- de/tags/exchange/feed.xml | 8 +- de/tags/exchange/index.html | 4 +- de/tags/exchange2013/feed.xml | 4 +- de/tags/exchange2013/index.html | 3 +- de/tags/exchangeonline/feed.xml | 4 +- de/tags/exchangeonline/index.html | 1 + de/tags/hybrid/feed.xml | 3 + de/tags/hybrid/index.html | 2 +- de/tags/hybrididentity/feed.xml | 3 + de/tags/hybrididentity/index.html | 2 +- de/tags/ios/feed.xml | 4 +- de/tags/ios/index.html | 1 + de/tags/iphone/feed.xml | 4 +- de/tags/iphone/index.html | 1 + de/tags/microsoft-teams/feed.xml | 8 +- de/tags/microsoft-teams/index.html | 2 + de/tags/microsoft365/feed.xml | 7 +- de/tags/microsoft365/index.html | 3 +- de/tags/ntfs/feed.xml | 17 ++- de/tags/ntfs/index.html | 5 +- de/tags/office365/feed.xml | 7 +- de/tags/office365/index.html | 3 +- de/tags/powershell/feed.xml | 84 +++++++++++-- de/tags/powershell/index.html | 14 ++- de/tags/powershell/page/2/index.html | 9 +- de/tags/powershell/page/3/index.html | 7 +- de/tags/powershellsnips/feed.xml | 12 +- de/tags/powershellsnips/index.html | 4 +- de/tags/profiles/feed.xml | 3 +- de/tags/profiles/index.html | 1 + de/tags/security-identifiers/feed.xml | 7 +- de/tags/security-identifiers/index.html | 3 +- de/tags/teams-audio-conferencing/feed.xml | 4 +- de/tags/teams-audio-conferencing/index.html | 1 + de/tags/teams-channel-retention/feed.xml | 4 +- de/tags/teams-channel-retention/index.html | 1 + de/tags/teams-dial-in-number/feed.xml | 4 +- de/tags/teams-dial-in-number/index.html | 1 + de/tags/teams/feed.xml | 8 +- de/tags/teams/index.html | 2 + de/tags/windows/feed.xml | 16 ++- de/tags/windows/index.html | 6 +- de/tags/windowsserver/feed.xml | 12 +- de/tags/windowsserver/index.html | 4 +- .../Exchange-Mailbox-Creation-Date/index.html | 12 +- .../index.html | 2 +- .../index.html | 12 +- .../08/18/TeamsAutoUpgrade-fail/index.html | 2 +- .../13/PowerShell-Task-Scheduler/index.html | 87 ++++++++++++-- .../PowerShell-Regular-Expression/index.html | 38 +++++- .../index.html | 24 +++- .../12/ntfy-sh-with-homeassistant/index.html | 60 +++++++++- .../index.html | 2 +- .../index.html | 2 +- .../index.html | 2 +- en/2024/09/24/tryhackme-blueprint/index.html | 12 +- .../25/powershell-show-adba-infos/index.html | 21 +++- en/feed.xml | 110 ++++++++++++++---- en/index.html | 10 +- en/page/2/index.html | 5 +- en/page/3/index.html | 10 +- en/page/4/index.html | 5 +- en/posts/feed.xml | 110 ++++++++++++++---- en/posts/index.html | 8 +- en/posts/page/2/index.html | 3 +- en/posts/page/3/index.html | 8 +- en/posts/page/4/index.html | 3 +- en/tags/Active-Directory/feed.xml | 7 +- en/tags/Active-Directory/index.html | 4 +- en/tags/accessrights/feed.xml | 24 ++-- en/tags/acl/feed.xml | 24 ++-- en/tags/adba/feed.xml | 7 +- en/tags/adba/index.html | 4 +- en/tags/cyber-security/feed.xml | 4 +- en/tags/cyber-security/index.html | 1 + en/tags/exchange/feed.xml | 4 +- en/tags/exchange/index.html | 3 +- en/tags/exchange2013/feed.xml | 4 +- en/tags/exchange2013/index.html | 3 +- en/tags/filename/feed.xml | 12 +- en/tags/filename/index.html | 3 +- en/tags/fslogix/feed.xml | 24 ++-- en/tags/git/feed.xml | 8 +- en/tags/git/index.html | 3 +- en/tags/home-assistant/feed.xml | 20 +++- en/tags/home-assistant/index.html | 3 +- en/tags/homeassistant/feed.xml | 20 +++- en/tags/homeassistant/index.html | 3 +- en/tags/microsoft-teams/feed.xml | 4 +- en/tags/microsoft-teams/index.html | 1 + en/tags/named-groups/feed.xml | 12 +- en/tags/named-groups/index.html | 3 +- en/tags/notification/feed.xml | 20 +++- en/tags/notification/index.html | 3 +- en/tags/ntfs/feed.xml | 24 ++-- en/tags/ntfy.sh/feed.xml | 20 +++- en/tags/ntfy.sh/index.html | 3 +- en/tags/powershell/feed.xml | 82 ++++++++++--- en/tags/powershell/index.html | 7 +- en/tags/powershell/page/2/index.html | 10 +- en/tags/regex/feed.xml | 12 +- en/tags/regex/index.html | 3 +- en/tags/regexp/feed.xml | 12 +- en/tags/regexp/index.html | 3 +- en/tags/regular-expressions/feed.xml | 12 +- en/tags/regular-expressions/index.html | 3 +- en/tags/task-scheduler/feed.xml | 27 ++++- en/tags/task-scheduler/index.html | 4 +- en/tags/teams-channel-retention/feed.xml | 4 +- en/tags/teams-channel-retention/index.html | 1 + en/tags/teams/feed.xml | 4 +- en/tags/teams/index.html | 1 + en/tags/tryhackme/feed.xml | 4 +- en/tags/tryhackme/index.html | 1 + en/tags/windows/feed.xml | 27 ++++- en/tags/windows/index.html | 4 +- en/tags/windowsvirtualdesktop/feed.xml | 24 ++-- 164 files changed, 1640 insertions(+), 402 deletions(-) diff --git a/de/2020/01/25/Exchange-Mailbox-Creation-Date/index.html b/de/2020/01/25/Exchange-Mailbox-Creation-Date/index.html index fb1a1314..322ac2f7 100644 --- a/de/2020/01/25/Exchange-Mailbox-Creation-Date/index.html +++ b/de/2020/01/25/Exchange-Mailbox-Creation-Date/index.html @@ -9,7 +9,9 @@ -">

Exchange - Wann wurde das Postfach WIRKLICH erstellt?

Wenn du herausfinden möchtest, wann ein Exchange Postfach erstellt wurde, wirst du wahrscheinlich über das Active Directory-Benutzer Attribut MSExchWhenMailboxCreated stolpern. Um den Wert auszulesen, kannst du PowerShell oder Active Directory-Benutzer und -Computer (ADUC) verwenden.

1
+
+MSExchWhenMailboxCreated enthält nicht die ganze Wahrheit
+Das könnte schon das Ende der Geschichte sein. ABER das Attribut ist nicht, was du vielleicht denkst. Das Attribut wird nur propagiert wenn der Benutzer DAS ERSTE MAL ein Postfach erhält. Wenn das Postfach zwischenzeitlich deaktiviert und dann später neuerstellt wurde, bleibt trotzdem der Zeitstempel der ersten Postfacherstellung.">

Exchange - Wann wurde das Postfach WIRKLICH erstellt?

Wenn du herausfinden möchtest, wann ein Exchange Postfach erstellt wurde, wirst du wahrscheinlich über das Active Directory-Benutzer Attribut MSExchWhenMailboxCreated stolpern. Um den Wert auszulesen, kannst du PowerShell oder Active Directory-Benutzer und -Computer (ADUC) verwenden.

1
 
Get-ADUser -Properties MSExchMaiboxWhenCreated
 

Get MSExchWhenMailboxCreated attribute using PowerShell

MSExchWhenMailboxCreated enthält nicht die ganze Wahrheit

Das könnte schon das Ende der Geschichte sein. ABER das Attribut ist nicht, was du vielleicht denkst. Das Attribut wird nur propagiert wenn der Benutzer DAS ERSTE MAL ein Postfach erhält. Wenn das Postfach zwischenzeitlich deaktiviert und dann später neuerstellt wurde, bleibt trotzdem der Zeitstempel der ersten Postfacherstellung.

Überprüfung des MSExchWhenMailboxCreated Attributs per PowerShell, nach einer Postfach-Neuerstellung

Das wirkliche Datum der Postfacherstellung herausfinden

Wenn die Postfacherstellung erst kürzlich geschehen ist, kannst du eventuell einen entsprechenden Eintrag im Ereignislog des Exchange Servers finden. Wenn du das MSExchange Management Event Log manuell nach Postfacherstellungen durchsuchst (STRG+F und nach “Enable-Mailbox” suchen), findest du eventuell das tatsächliche Datum der Postfacherstellung. Der PowerShell Weg wäre:

1
 
Get-EventLog -Source "MSExchange CmdletLogs" -LogName "MSExchange Management" -ComputerName <Servername> -Message "*Enable-Mailbox*test.user*"
diff --git a/de/2020/05/10/Apple-Internet-Accounts-Office365/index.html b/de/2020/05/10/Apple-Internet-Accounts-Office365/index.html
index 108f0800..99b3fa33 100644
--- a/de/2020/05/10/Apple-Internet-Accounts-Office365/index.html
+++ b/de/2020/05/10/Apple-Internet-Accounts-Office365/index.html
@@ -3,15 +3,21 @@
 
 Administratorgenehmigung erforderlich
 Apple Internet Accounts
-Apple Internet Accounts benötigt, um auf Ressourcen in Ihrer Organisation zugreifen zu können, eine Berechtigung, die nur ein Administrator erteilen kann. Bitten Sie einen Administrator, die Berechtigung für diese App zu erteilen, damit Sie die App verwenden können.">

Exchange Online: Apple Internet Accounts - Administratorgenehmigung erforderlich

Als sich der erste User mit seinem iPhone an Office 365 angemeldet hat, um seine Kontakte und Kalender zu synchronisieren, wurde ihm folgende Meldung angezeigt:

Administratorgenehmigung erforderlich
Apple Internet Accounts
Apple Internet Accounts benötigt, um auf Ressourcen in Ihrer Organisation zugreifen zu können, eine Berechtigung, die nur ein Administrator erteilen kann. Bitten Sie einen Administrator, die Berechtigung für diese App zu erteilen, damit Sie die App verwenden können.

Die App hieß früher übrigens “iOS Accounts” und wurde anscheinend Anfang 2020 umbenannt. Die bisherige AppID ist allerdings gleich geblieben.

Ursache

Folgende Ursachen haben für diese Meldung gesorgt:

  1. Die App “Apple Internet Accounts” wird von Apple iOS für den Zugriff auf die Office 365 Ressourcen des Benutzers benötigt. Ein Zugriff auf Ressourcen eines Office 365 Tenants durch eine Drittanbieter App ist nur nach expliziter Genehmigung möglich.
  2. Es wurde bisher noch keine Benutzer- oder Administrator-Genehmigung für Apple Internet Accounts in diesem Tenant erteilt.
  3. Die Benutzer-Genehmigung ist tenantweit deaktiviert. Diese empfehlenswerte Einstellung kann gesetzt werden, damit Endanwender nicht einfach Drittanbieter-Apps für den Zugriff auf Unternehmensdaten berechtigen können.

Die Einstellung zu 3. ist in Azure AD unter “Enterprise applications” -> “User settings” zu finden. Die Option lautet “Users can consent to apps accessing company data on their behalf”. Diese Einstellung sollte auf “No” belassen werden! Dass der Endanwender nicht einfach irgendwelche Apps erlauben darf (und deshalb hier nicht weiterkommt), ist ja genau was man möchte um die Unternehmensdaten vor unberechtigtem Zugriff zu schützen.

Lösung

Es gibt mehrere Lösungsmöglichkeiten, ohne dass einfach alle Drittanbieter-Apps freigeschaltet werden.

Lösungsmöglichkeit 1: Apple Internet Accounts tenantweit erlauben

Update 2022-06-20: Das manuelle Zusammensetzen der URL ist in der Regel nicht mehr notwendig. Stattdessen kann einfach folgender Link aufgerufen werden: https://aka.ms/ConsentAppleApp. Die Schritte 1 und 2 können dann übersprungen werden.

Schritt 1: TenantID herausfinden

Als Erstes muss die Tenant ID des Azure AD Tenants herausgefunden werden. Diese ist auf “Overview Seite in Azure Active Directory” zu finden (im nachfolgenden Screenshot rot markiert).

Die Tenant ID ist in Azure Active Directory auf der Overview Seite zu finden.

Schritt 2: URL zusammensetzen und aufrufen

Der Platzhalter <TenantID> muss in der nachfolgenden URL durch die Tenant ID aus Schritt 1 ersetzt werden. Anschließend kann die erstellte URL mit Tenant Admin (Global Administrator) Rechten aufgerufen werden. Die in der URL enthaltene client_id ist die ID von Apple Internet Accounts.

1
+Apple Internet Accounts benötigt, um auf Ressourcen in Ihrer Organisation zugreifen zu können, eine Berechtigung, die nur ein Administrator erteilen kann. Bitten Sie einen Administrator, die Berechtigung für diese App zu erteilen, damit Sie die App verwenden können.
+
+Die App hieß früher übrigens “iOS Accounts” und wurde anscheinend Anfang 2020 umbenannt. Die bisherige AppID ist allerdings gleich geblieben.">

Exchange Online: Apple Internet Accounts - Administratorgenehmigung erforderlich

Als sich der erste User mit seinem iPhone an Office 365 angemeldet hat, um seine Kontakte und Kalender zu synchronisieren, wurde ihm folgende Meldung angezeigt:

Administratorgenehmigung erforderlich
Apple Internet Accounts
Apple Internet Accounts benötigt, um auf Ressourcen in Ihrer Organisation zugreifen zu können, eine Berechtigung, die nur ein Administrator erteilen kann. Bitten Sie einen Administrator, die Berechtigung für diese App zu erteilen, damit Sie die App verwenden können.

Die App hieß früher übrigens “iOS Accounts” und wurde anscheinend Anfang 2020 umbenannt. Die bisherige AppID ist allerdings gleich geblieben.

Ursache

Folgende Ursachen haben für diese Meldung gesorgt:

  1. Die App “Apple Internet Accounts” wird von Apple iOS für den Zugriff auf die Office 365 Ressourcen des Benutzers benötigt. Ein Zugriff auf Ressourcen eines Office 365 Tenants durch eine Drittanbieter App ist nur nach expliziter Genehmigung möglich.
  2. Es wurde bisher noch keine Benutzer- oder Administrator-Genehmigung für Apple Internet Accounts in diesem Tenant erteilt.
  3. Die Benutzer-Genehmigung ist tenantweit deaktiviert. Diese empfehlenswerte Einstellung kann gesetzt werden, damit Endanwender nicht einfach Drittanbieter-Apps für den Zugriff auf Unternehmensdaten berechtigen können.

Die Einstellung zu 3. ist in Azure AD unter “Enterprise applications” -> “User settings” zu finden. Die Option lautet “Users can consent to apps accessing company data on their behalf”. Diese Einstellung sollte auf “No” belassen werden! Dass der Endanwender nicht einfach irgendwelche Apps erlauben darf (und deshalb hier nicht weiterkommt), ist ja genau was man möchte um die Unternehmensdaten vor unberechtigtem Zugriff zu schützen.

Lösung

Es gibt mehrere Lösungsmöglichkeiten, ohne dass einfach alle Drittanbieter-Apps freigeschaltet werden.

Lösungsmöglichkeit 1: Apple Internet Accounts tenantweit erlauben

Update 2022-06-20: Das manuelle Zusammensetzen der URL ist in der Regel nicht mehr notwendig. Stattdessen kann einfach folgender Link aufgerufen werden: https://aka.ms/ConsentAppleApp. Die Schritte 1 und 2 können dann übersprungen werden.

Schritt 1: TenantID herausfinden

Als Erstes muss die Tenant ID des Azure AD Tenants herausgefunden werden. Diese ist auf “Overview Seite in Azure Active Directory” zu finden (im nachfolgenden Screenshot rot markiert).

Die Tenant ID ist in Azure Active Directory auf der Overview Seite zu finden.

Schritt 2: URL zusammensetzen und aufrufen

Der Platzhalter <TenantID> muss in der nachfolgenden URL durch die Tenant ID aus Schritt 1 ersetzt werden. Anschließend kann die erstellte URL mit Tenant Admin (Global Administrator) Rechten aufgerufen werden. Die in der URL enthaltene client_id ist die ID von Apple Internet Accounts.

1
 
https://login.microsoftonline.com/<TenantID>/oauth2/authorize?client_id=f8d98a96-0999-43f5-8af3-69971c7bb423&response_type=code&redirect_uri=https://example.com&prompt=admin_consent
 

Schritt 3: Berechtigung administrativ für den gesamten Tenant erteilen

Die Abfrage “Angeforderte Berechtigungen für Ihre Organisation zustimmen - Apple Internet Accounts” muss per “Akzeptieren” bestätigt werden.

Administrativer Zustimmungsdialog: Angeforderte Berechtigung für Ihre Organisation zustimmen - Apple Internet Accounts - Diese Anwendung wird nicht von Microsoft oder Ihrer Organisation veröffentlicht. Diese App benötigt folgende Berechtigungen: Über Exchange Active Sync auf Postfächer zugreifen, Als angemeldeter Benutzer über Exchange-Webdienste auf Postfächer zugreifen, Anmelden und Benutzerprofil lesen

Falls die URL wie in Schritt 1 und 2 manuell zusammengesetzt wurde, wird anschließend ein Fehler angezeigt, da die hinterlegte Redirect URL auf https://example.com verweist. Der Fehler AADSTS900561 kann in diesem Fall ignoriert werden.

Fehler: Leider können wir Sie nicht anmelden. AADSTS900561: The endpoint only accepts POST requests. Received a GET request. Kann in diesem Fall auf Grund der hinterlegten Redirect URL ignoriert werden.

Die App sollte nun in Azure AD unter “Enterprise applications” -> “All applications” aufgelistet sein.

Auflistung erlaubter Enterprise Applications in Azure AD

Schritt 4: Funktion überprüfen

Anschließend sollten die Anwender per iOS Kalender/Kontakte auf ihre in Exchange Online hinterlegten Daten zugreifen können.

Lösungsmöglichkeit 2: Administrator-Anfragen aktivieren

Alternativ kann aktiviert werden, dass Anwender die Genehmigung einer App beantragen können. Dies ist auch ergänzend zu der einmaligen administrativen Freigabe aus Lösung 1 möglich.

Als Administrator in Azure AD “Enterprise applications” -> “User settings” aufrufen. Unter “Admin consent requests (Preview)” kann die Option “Users can request admin consent to apps they are unable to consent to” aktiviert werden. Anschließend auf “Select admin consent request reviewers” klicken und die Administratoren auswählen, die die Requests bestätigen sollen. Bei Bedarf kann die Benachrichtigung des Administrators per E-Mail deaktiviert/aktiviert werden. Standardmäßig laufen die Anfragen nach 30 Tagen ab, was bei Bedarf auch angepasst werden kann.

Aktivieren von Enterprise Application Admin Consent Request in Azure AD

Schritt 2: Benutzer fragt Administrator-Zustimmung an

Wenn ein Benutzer nun eine neue Applikation nutzen möchte, erscheint die Meldung “Genehmigung erforderlich”. Die notwendigen Berechtigungen der Applikation werden aufgelistet. Der Benutzer muss eine Begründung für die Anfrage der Applikation eingeben. Anschließend kann die Genehmigungsanforderung abgesendet werden.

Hinweis für Endanwender bei Benutzung der App - Genehmigung erforderlich. Die Rechte der App werden aufgeführt. Es muss eine Begründung für die Anfrage eingegeben werden.

Schritt 3: Administrator prüft die Genehmigungsanforderung

Die ausgewählten Administratoren erhalten eine E-Mail, in der Details zur Anforderung aufgeführt werden. In der E-Mail kann auf “Anforderung überprüfen” geklickt werden, um die Anfrage zu bearbeiten. Falls bis zum Ablaufdatum nicht reagiert wird, wird die Anfrage automatisch zurückgewiesen.

E-Mail mit einem Enterprise Application - Admin consent requests

Alternativ kann der Administrator auch die Liste der offenen Anfragen in Azure AD aufrufen. Hierzu “Enterprise applications” -> “Admin consent requests” anklicken.

Auflistung von Enterprise Application - Admin consent requests

Es können Details wie Name, Homepage URL, verwendete Reply URLs angezeigt werden. Unter “Requested by” wird angezeigt, welcher Benutzer die App angefragt hat. Der Administrator kann nun wahlweise die Berechtigungen prüfen und genehmigen (“Review permissions and consent”), oder die Anfrage per “Deny” ablehnen. Falls die Applikation dauerhaft gesperrt werden soll, damit keine Anfragen mehr zu dieser App eingereicht werden können, kann “Block” angeklickt werden.

Abruf von Details zum Enterprise Application Admin consent request

Falls die Applikation nicht gestattet wurde, würde der Benutzer bei der nächsten Anmeldung die Meldung AADSTS7000112 erhalten.

Applikation wurde durch den Administrator blockiert oder nicht genehmigt: AADSTS7000112 application is disabled

Schritt 4: Funktion überprüfen nach erfolgter Administratorgenehmigung

Anschließend sollten die Anwender die angefragte und genehmigte App verwenden können.

Deaktivieren einer zuvor erlaubten App

Wenn eine App bereits erlaubt ist, kann sie bei Bedarf auch wieder deaktiviert werden. Hierzu die Applikation aus “Enterprise applications” raussuchen und unter “Properties” die Option “Enabled for users to sign-in” auf “No” setzen. Falls man hier stattdessen auf “Delete” klickt, können die Benutzer wieder erneut eine Genehmigung beantragen.

Deaktivieren einer bereits bestehenden Enterprise App: Enabled for users to sign-in auf No setzen.