Zitat Trust of the root CA is best established by deploying a trusted certificate profile to the same group that receives the SCEP certificate profile. […] To use a SCEP certificate profile, a device must have also received the trusted certificate profile that provisions it with your Trusted Root CA certificate. Diese beiden Sätze in der Intune Dokumentation sind sehr wichtig wenn man ein SCEP Profil verteilen möchte.

Artikelübersicht Dies ist Teil vier der sechsteiligen Serie zum Thema “Legacy Authentication kontrolliert abschalten”. Vorwort Modern Authentication aktivieren Voraussetzungen schaffen Einblicke gewinnen Die ersten 90% Die nächsten 9% Abschaltung Wiederholung In den ersten drei Teilen der Serie wurden die Voraussetzungen (1/2) für die Abschaltung geschaffen und anhand von Azure AD Workbooks und Kusto-Abfragen die ersten Benutzer identifiziert. AAD Gruppe mit Leben füllen Um direkt durchstarten zu können muss die Azure AD Gruppe CAPolicy-Include-Block-Legacy-Authentication mit den Benutzern aus der letzten Abfrage befüllen.

Artikelübersicht Dies ist Teil drei der sechsteiligen Serie zum Thema “Legacy Authentication kontrolliert abschalten”. Vorwort Modern Authentication aktivieren Voraussetzungen schaffen Einblicke gewinnen Die ersten 90% Die nächsten 9% Abschaltung Wiederholung Im ersten Teil wurde Modern Authentication aktiviert und im Zweiten wurden die Vorrausetzungen geschaffen ausführliche Reports zu erstellen und Legacy Authentication für einzelne Benutzer zu deaktiveren. Conditional Access Policy Logik Um besser zu verstehen wie es jetzt möglich ist einzelne Benutzer zu blockieren, werfen wir einen Blick auf die erstellten Conditional Access Policies und die damit verbundene Login.

Artikelübersicht Dies ist Teil drei der sechsteiligen Serie zum Thema “Legacy Authentication kontrolliert abschalten”. Vorwort Modern Authentication aktivieren Voraussetzungen schaffen Einblicke gewinnen Die ersten 90% Die nächsten 9% Abschaltung Wiederholung Im ersten Teil der Reihe wurde Modern Authentication für alle Microsoft 365 Dienste aktiviert und kann nun genutzt werden. In diesem Teil geht es darum, die Vorrausetzungen zu schaffen, einen detailierten Einblick in die Nutzung der verschiedenen Authentifizierungsmethoden zu gewinnen und es zu ermöglichen Legacy Authentication pro Benutzer deaktivieren zu können.

Artikelübersicht Dies ist Teil zwei der sechsteiligen Serie zum Thema “Legacy Authentication kontrolliert abschalten”. Vorwort Modern Authentication aktivieren Voraussetzungen schaffen Einblicke gewinnen Die ersten 90% Die nächsten 9% Abschaltung Modern Authentication aktivieren Dieser Schritt mag komisch anmuten, jedoch ist in alten Tenants Modern Authentication für Exchange Online und Skype for Business Online nicht zwingend aktiviert. Exchange Online Für Exchange Online muss das Exchange Online PowerShell V2 module installiert werden um Modern Authentication zu aktivieren.

In einer Azure AD Umgebung ist Legacy Authentication die Achillesferse der Security. Während moderne Clients Conditional Access Policies und Multifaktor-Authentifizierung berücksichtigen, reißt der Einsatz von alte Clients und damit verbundenen Protokollen wie SMTP, IMAP oder Exchange ActiveSync eine gern übersehene Lücke in diese Absicherung. Da diese Protokolle nicht mit Conditional Access kompatibel sind, “umgehen” Sie, wenn nicht anders definiert, die dort hinterlegten Regeln. Das ist keine Sicherheitslücke bei Microsoft, sondern eine Designentscheidung und die Auswirkungen auf die eigene Umgebung sollte man daher genau kennen.