Das hier herauszufinden und zu verstehen hat mich einiges an Zeit gekostet. Ich hoffe euch diese Zeit ersparen zu können. Ihr wollt mittels PowerShell automatisiert und außerhalb des Userkontextes „Dinge“ via REST API in Azure machen? Hier das passende Tutorial. Vorab: Um etwas machen zu können, muss man sich trotzdem irgendwie authentifizieren… Das machen wir Read more about PowerShell und REST API: Teil 1[…]
Bei einer gewachsenen Struktur kann es schon mal vorkommen, dass man die Übersicht über die Rollen im Azure AD verliert. Mit diesem Script kann man sich einen Report anzeigen lassen:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
Import-Module AzureAD Connect-AzureAD $AllAzureADDirectoryRoles = Get-AzureADDirectoryRole $Table = @() Foreach ($AzureADDirectoryRole in $AllAzureADDirectoryRoles){ Foreach($User in ($AzureADDirectoryRole | Get-AzureADDirectoryRoleMember)){ $Row = "" | Select DirectoryRole,UserPrincipalName $Row.DirectoryRole = $AzureADDirectoryRole.DisplayName $Row.UserPrincipalName = $User.UserPrincipalName $Table += $Row } } $Table | Out-GridView |
“Safety first”… Naja, Security first passt hier besser. Es gibt zwei Möglichkeiten MFA im Microsoft Cloud Umfeld zu triggern: Conditional Access Direkt auf dem Benutzerobjekt im Azure AD Hat man nun bsplw. eine Firmenpolicy die vorgibt, dass alle administrativen Accounts MFA im Benutzerobjekt aktiviert haben müssten, hilft dieses Script:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
Import-Module MSOnline Connect-MsolService # SearchString für eigene Zwecke anpassen. # Ggf. noch einen Filter dazu nehmen $AllMsolUsersADM = Get-MsolUser -All -SearchString admin Foreach ($MsolUser in $AllMsolUsersADM){ $StrongAuthenticationRequirement = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement $StrongAuthenticationRequirement.RelyingParty = "*" $StrongAuthenticationRequirementArray = @($StrongAuthenticationRequirement) $MsolUser | Set-MsolUser -StrongAuthenticationRequirements $StrongAuthenticationRequirementArray } |
Dieses Script kann man nun Read more about MFA für alle Azure AD User aktivieren[…]
Es kann nötig sein einen Azure AD Gast”richtig” zu behandeln. D.h. ihm beispielsweise ein O365 Lizenz zu geben. In unserem Fall war es nötig einen User als vollwertiges Mitglied in 2 Azure AD Tenants zu haben, um eine VSTS Subscription auf einen anderen Tenant umzuziehen. Der Vorgang ist so simpel: User als Gast einladen (es Read more about Azure AD Gast zu Mitglied konvertieren[…]
Ein Kollege hatte das Problem, dass er einige Tausend Mails weiterleiten musste und die Outlook-Regel nicht gegriffen hat. dafür habe ihm ein kleines Script geschrieben, welches alle Mails in Posteingang an eine definierte Zieladresse weiterleitet:
|
1 2 3 4 5 6 7 8 9 10 |
Add-Type -Assembly "Microsoft.Office.Interop.Outlook" $Outlook = New-Object -ComObject Outlook.Application $Namespace = $Outlook.GetNameSpace("MAPI") $Posteingang = $Namespace.Folders.Item('Joachim@PowerShell24.de').Folders.Item('Posteingang').Items Foreach($mail in $Posteingang){ $NewMail = $mail.Forward() $NewMail.To = "NewRecipient@PowerShell24.de" $NewMail.Send() } |
Man kann mit “Folders.Item(‘…’).Folder.Item(‘…’)…etc….” weiter durch die Ordnerstruktur browsen. Im Internet finden sich noch weitere Befehle, die man im Read more about Weiterleitung von Mails via PowerShell[…]
Um innerhalb vom Azure Resource Manager granularere Berechtigungen zu verteilen, braucht man customized Rollen. Dieses lassen sich per Shell erstellen. In diesem Beispiel möchte ich den Kollegen Contributor Rechte auf deren ResourceGroups geben, jedoch verhindern, dass sie irgendetwas am Netzwerk-Stack ändern können:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 |
# Laden und anmelden Import-Module AzureRM Login-AzureRMAccount # Die Konfig muss als JSON gespeichert werden um sie dann zu übergeben $TempJsonFile = "C:\temp\RBAC.json" # Die Contributor Rolle als Vorlage nehmen $Role = Get-AzureRmRoleDefinition "Contributor" # Wunschnamen definieren $Role.Name = "Custom-Contributor" # Markieren, dass es eine Custom Role ist $Role.IsCustom = $True # Eine passende Beschreibung vergeben $Role.Description = "Custom Contributor group with access to anything but changing network settings" # Auflisten was alles noch verboten werden soll $Role.NotActions.Add("Microsoft.Network/*/Action") $Role.NotActions.Add("Microsoft.Network/*/Write") $Role.NotActions.Add("Microsoft.Network/*/Delete") # Die Subscription ID für den Scope raussuchen $SubID = (Get-AzureRmSubscription).ID # Den Default Scop von Azure löschen und unsere Subscription eintragen $Role.AssignableScopes.Remove("/") $Role.AssignableScopes.Add("/subscriptions/$SubID") # Die Konfig als JSON speichern, ohne ID, denn die muss neu generiert werden $Role | select * -ExcludeProperty ID | ConvertTo-Json | Out-File $TempJsonFile # Neue Role erstellen New-AzureRmRoleDefinition -InputFile $TempJsonFile # Jason File wieder löschen Remove-Item $TempJsonFile |
Möchte man nun nicht nur Befehle ausschließen, sondern in weiteren Rollen auch Read more about Custom RBAC Role in Azure[…]
Noch ein Module das der moderne Microsoft Admin braucht: AzureAD Shell als Admin öffnen:
|
1 2 |
Find-Module AzureAD | Install-Module Connect-AzureAD |
Und auch hier wird MFA unterstützt. Eine Liste aller Befehle bekommt man z.B. mit:
|
1 |
Get-Command *AzureAD* |
Man merkt, dieses MFA Thema macht es einem manchmal etwas schwieriger… Aber naja, Sicherheit ist selten bequem. Um die gesamte Palette Office 365 Security & Compliance Center also auch bei aktiviertem MFA mittels Powershell zu managen, muss man einen Umweg gehen. Zuerst bitte diesem Beitrag folgen: Exchange Online PowerShell mit MFA Wenn das erledigt ist, Read more about Office 365 Security & Compliance Center mittels PowerShell verwalten, wenn MFA aktiviert ist[…]
Wer MFA in Azure oder O365 aktiviert hat und von dem Auth-Code, dem Anruf oder der SMS genervt ist, kann sich per Push benachrichtigen lassen. Die Default Einstellung für MFA ist unter folgendem Link zu finden: https://account.activedirectory.windowsazure.com/Proofup.aspx Sofern die Autheticator-App konfiguriert wurde, kann man oben im Drop-Down Menü “Mich durch die App benachrichtigen” auswählen. Das Read more about Standard MFA Abfrage Typ ändern[…]
Wer im Azure Resource Manager mit PowerShell arbeiten will, muss sich zuerst das korrekte Modul herunterladen und installieren. Dank Microsofts Online-Repository ist das recht simpel. Eine Shell per Admin ausführen:
|
1 |
Find-Module AzureRM | Install-Module |
Bestätigen Ab sofort kann das Modul einfach importiert werden. Anschl. noch anmelden. Schön ist, dass hier auch MFA Anmeldungen funktionieren:
|
1 2 |
Import-Module AzureRM Login-AzureRMAccount |
Der Rest ist Read more about AzureRM PowerShell Module installieren[…]