29 mag 2022

Configurare Microsoft Defender for Office 365 & Best Practice

Durante la scorsa #APERITEAMS CONFERENCE #ACDSD21 purtroppo non sono riuscito a concludere la sessione "Configurare Microsoft Defender for Office 365 & Best Practice" a causa mia :-) ma per la complessità dell'argomento. Come al solito sono piuttosto allergico alle sessioni livello 100/200, mi piace dettagliare, per questo non sono riuscito a concludere per tempo.

In pratica son dovuto scappare dal palco per evitare che sciagure e tragedie si abbattessero su di me :-)
Dunque ecco pubblicate le slide per i presenti che sono rimasti a bocca asciutta e per tutti coloro fossero interessati

D4_DFO_Configurare Microsoft Defender for Office 365 & Best Practice_… (slideshare.net)

22 mag 2022

The Last Exchange: Rimozione dell'ultimo Exchange Server in configurazione ibrida

 

The Last Exchange ci ricorda i mitici The Eagles con la loro The Last Resort.

La rimozione dell’ultimo server Exchange in una configurazione ibrida è sempre stato un problema spinoso che si annida tra necessità, funzionante e supportato. Quasi un sogno per molti IT-Pro.

Con gli ultimi cumulative update "H1" di Exchange Server 2019, sono stati introdotti alcuni miglioramenti da parte di Microsoft tra cui, finalmente la possibilità di rimuovere l'ultimo Exchange Server da un ambiente ibrido.

È importante notare però che NON è necessario disinstallarlo, sebbene lo si rimuova in modo permanente utilizzando le istruzioni di Microsoft.

In questo articolo Microsoft dettaglia come effettuare la gestione tramite PowerShell, una volta rimosso l’ultimo Exchange Server

Cosa aspettarsi dalla rimozione dell'ultimo Exchange Hybrid 2019

I clienti che hanno migrato tutte le proprie caselle di posta sul cloud hanno da sempre espresso il desiderio (giustamente) di poter rimuovere quell'ultimo Server Exchange, per giunta svuotato di tutto. Anche se la procedura in effetti può nascondere una piccola delusione è sicuramente un passo in avanti.

Come funziona?

Si avrà a disposizione un sottoinsieme di cmdlet di gestione per i recipient di Exchange, destinati agli oggetti AD che rappresentano i destinatari cloud e la loro configurazione ed inoltre il supporto a domini e criteri degli indirizzi di posta elettronica. Sono stati resi disponibili anche istruzioni e script per consentire di rimuovere delicatamente la configurazione per il server e relativi componenti ibridi, dopo aver spento l'ultimo Exchange Server.

Sarà comunque necessario gestire la configurazione dei destinatari “in locale” per gli oggetti gestiti da AD con gli stessi limiti a cui siamo abituati. Ad esempio, aggiornare gli indirizzi di posta elettronica per un utente locale o aggiornare le impostazioni della mailbox, come ad esempio le autorizzazioni del destinatario in Exchange Online.


Figura 1: Nuovi cmdlet per la gestione dei destinatari

 

Non è tutto oro quello che luccica. Non si avrà la possibilità di cambiare la fonte dell'autorità per quegli oggetti, cosa a cui Microsoft alludeva in passato. 

Il Mail Relay rimane ciò di cui tutti sanno ma di cui nessuno parla e mentre Microsoft ha annunciato che per Exchange Server 2019 si possono ancora ottenere licenze ibride gratuite e che è possibile distribuire Exchange su Windows Server 2022, ciò si applica solo ed esclusivamente al ruolo Mailbox su un server aggiunto a un dominio ma non alla distribuzione del server Edge Transport.

Edge Trasport come inoltro SMTP autonomo ha il potenziale per essere un papabile sostituto drop-in inserito in una DMZ, che consente l'inoltro della posta da server per le applicazioni legacy utilizzando le regole del connettore di ricezione precedentemente configurate. Per ora, almeno, si dovrà mantenere aggiornato l'ultimo Exchange Server, utilizzare un MTA diverso o lavorare sulla configurazione delle applicazioni per l’adattamento all’inoltro ad Exchange Online.

La rapida evoluzione di Microsoft 365

Data la dinamicità di M365 certo non ci potevamo aspettare una soluzione perfetta, soprattutto dopo tutto questo tempo e tra le false promesse di Microsoft. 
Negli ultimi anni, la realtà è che un numero crescente di organizzazioni sta effettivamente rimuovendo la propria dipendenza da Active Directory (On Premises) e sempre più organizzazioni hanno oramai abbracciato la filosofia Cloud First rendendo superfluo un eventuale sistema di writeback degli oggetti AD relativi ad Exchange Server.

Se davvero non si vuole che gli attributi di Exchange siano gestiti in un AD locale nemmeno da un subset di strumenti di gestione dei destinatari di Exchange, allora sarà davvero necessario iniziare a pensare a come rimuovere AD. Naturalmente in via ufficiosa è sempre possibile gestire i destinatari direttamente dagli strumenti avanzati in ADUC.

E Quindi?

La soluzione per rimuovere l'ultimo Exchange Server è senza dubbio una soluzione che si adatta a coloro che:

·       Non necessitano dell'inoltro della posta tramite Exchange o le LOB supportano già EOL

·       Era rimasto un solo server

·       Sono consapevoli di dover usare PowerShell per la gestione

·       Non hanno in programma di sbarazzarsi di AD in tempi brevi.

 

13 mar 2022

Teams Meeting Room: Un malinteso comune

 

Un malinteso comune è che dovrebbe essere possibile inoltrare riunioni di Teams esterne all'account della meeting room (Teams Room). Questo non funziona “out of the box” ed il motivo è che ProcessExternalMeetingMessages è impostato su $false per impostazione predefinita.

 



Quando si inoltra una riunione di Teams esterna alla Meeting Room per prenotarla, ciò che accade è che la persona esterna la invita direttamente

Per risolvere questo problema, ProcessExternalMeetingMessages deve essere impostato su $true. Ciò consentirà a chiunque di inviare inviti alla Meeting Room.

Per abilitare la funzionalità, eseguire il seguente cmdlet:

Set-CalendarProcessing -Identity mr-01@mytenant.onmicrosoft.com -ProcessExternalMeetingMessages $true


 


Potrebbe verificarsi che l'invito alla riunione inoltrato arrivi all'MTR, ma non sia presente il pulsante di partecipazione (Join). Ciò potrebbe essere dovuto al modo in cui funziona l'elaborazione dei collegamenti sicuri (Safe Links) di Microsoft Defender for Office 365

Sarà necessario creare un'eccezione per i dispositivi MTR che non riscriva i link https://teams.microsoft.com/*. 




8 feb 2022

DANE e DNSSEC arrivano su Exchange Online

Exchange Online aggiungerà il supporto per due nuovi standard Internet specifici per il traffico SMTP il cui deploy avverrà in due fasi, la prima (outbound) tra febbraio e marzo 2022 e la seconda (inbound) inizierà entro la fine del 2022.  

Si tratta di DNSSEC (Domain Name System Security Extensions) e DANE for SMTP (DNS-based Authentication of Named Entities), due standard nati rispettivamente del 2005 e 2015.

Un po’ di storia

Prima di entrare in dettaglio sulle caratteristiche di questi nuovi standard non possiamo non possiamo non ricordare qualche cenno storico sul protocollo SMTP. È stato progettato molto tempo fa (40 anni) conservando ancora oggi il primato per il protocollo/standard informatico più longevo della storia, quando la consegna dei messaggi era considerata più importante della sicurezza. Con il passare del tempo, quando la sicurezza e la privacy sono diventate sempre più importanti, sono emersi diversi nuovi standard e uno di questi è RFC 3207: “SMTP Service Extension for Secure SMTP over Transport Layer Security (TLS)”. Questo è spesso indicato come TLS opportunistico o STARTTLS. Il TLS opportunistico fornisce la crittografia per le connessioni SMTP e, anche se rappresenta un grande miglioramento rispetto al semplice SMTP, presenta ancora un numero significativo di vulnerabilità.

continua su Windowserver.it