Azure AD & Windows Hello For Business : Error “Esta opción no esta disponible temporalmente” al usar PIN u otro metodo de WHfB

En un evento reciente me toco ver algunos equipos con Windows Hello for Business habilitados por Device Manager de Azure AD en un ambiente de sincronización de directorios, en los cuales al momento de realizar el registro o activar algún método de autenticación para WHfB se realizaba con éxito, pero luego el usuario no podía iniciar sesión con ninguno de los métodos registrados. Solo permitía al usuario ingresar con sus credenciales del dominio.

Al intentar iniciar sesión con los métodos de WHfB seleccionados se obtiene el siguiente error.

+

Al validar internamente en las configuración de WHfB dentro de Windows nos indica que los métodos no están disponibles.

 

Entre muchos Workaround se realizó lo siguentes :

  • Revisión de REGEDIT.
  • Deshabilitación y habilitación de GPO's relacionadas.
  • Forzar por politicas locales los metodos biometricos en windows.

Finalmente, se le dio una revisión hacia la cuenta y a no a la configuración de WHfB o Windows como tal. Al analizar los Logs de Seguridad dentro del equipo, se detecta al iniciar sesión con los métodos registrados de WHfB el evento 4625 como autenticación fallida.

Lo interesante de este error es que la autenticación es denegada por que la cuenta no existe o la contraseña es incorrecta, cuando sabemos que ambos son correctos, pero el detalle importante es el id. de seguridad con el valor "NULL SID".

Al realizar el registro de algunos métodos de WHfB como el PIN, se realiza una conexión hacia Azure AD para almacenar información relevante a la cuenta y al equipo. Parte de esta información es el atributo de Active Directory msDs-KeyCredentialLink el cual es sincronizado desde AD Connect hacia nuestro AD on premises por Azure AD Connect.

Al validar la cuenta de Active Directory de un usuario con WHfB funcionando con normalidad, el campo msDs-KeyCredentialLink se encuentra poblado correctamente, pero al mirar el usuario del ejemplo con problemas este campo se encuentra vacío.

Este es un indicador de que la cuenta tiene algún problema de sincronización desde Azure AD hacia nuestro Active Directory On premises. Así que para saber si efectivamente se trata de esto, vamos a nuestro servidor de Azure AD Connect y validamos las ultimas sincronizaciones ejecutadas.

AL mirar el resultado del export desde Azure AD hacia AD on premises, encontramos que hay cuentas con problemas de sincronización por permisos. (Permission-issue).

Esto quiere decir que la cuenta que realiza la sincronización por alguna razón no tiene los privilegios necesarios para escribir esos atributos. En el caso de la cuenta de ejemplo, se había creado en una OU que no tenía herencia activada desde el dominio, por lo cual la cuenta de sincronización no tenia todos los permisos necesarios, así que se modificaron las configuración de herencia de la cuenta para que obtuviera los permisos delegados desde el dominio.

Luego al realizar una nueva sincronización del directorio, la cuenta no tiene problemas para actualizarse y ahora el campo msDs-KeyCredentialLink está poblado.

Una vez resulto este problema los usuarios pueden iniciar sesión en WHfB sin problemas con cualquier método seleccionado.

Saludos,
Samuel.

Microsoft 365 Security: Simulación de ataques y entrenamiento parte 1 – Phishing.

Microsoft ha remplazado la experiencia del simulador de ataques, con uno mas completo y con una nueva estructura de uso. Vamos a revisar paso a paso como hacer una campaña de ataque de phishing y entrenamiento.

Prerrequisitos

El primer y obvio prerrequisito es contar con el licenciamiento adecuado, para esta versión del simulador, Microsoft indica el siguiente licencimiento :

  • Licencia de Microsoft 365 E5,E3 o Microsoft Defender for Office 365 Plan 2 (ATP Plan 2)

Una vez validado el licenciamiento, también necesitamos agregar permisos al usuario. En esta versión del simulador los permisos deben ser asignados directamente a través del portal Azure AD. Los permisos necesarios son :

  • Organization Management. (Administrador de Exchange)
  • Security Administrator (Administrador de Seguridad)
  • Attack Simulator Administrators (Administrador de simulaciones de ataques)
  • Attack Payload Author (Autor de cargas de ataques)

Si vamos a https://security.microsoft.com/attacksimulator sin tener los permisos asignados, veremos el siguiente mensaje.

Configuración de permisos

Entonces, para configurar los permisos requeridos, abrimos una nueva ventana del navegador y vamos a https://aad.portal.azure.com, luego desde ahi a Usuarios y seleccionamos el usuario que utilizaremos para crear los ataques. Una vez dentro de las propiedades del usuario damos clic en "Roles Asignados" y luego "Agregar asignaciones".

Dentro de la pestaña asignaciones, seleccionamos los permisos indicados y damos clic en "Agregar"

Una vez asignados los permisos debemos verlos asignados al usuario.

Configuración del ataque

Una vez asignados los permisos al usuario ya estamos en condiciones de generar una simulación de ataque. para esto abrimos una nueva ventana del navegador y vamos a https://security.microsoft.com/attacksimulator.

En esta ventana damos clic en "Simulaciones" y luego "Iniciar una simulación".

En el asistente para la nueva simulación, en el apartado de selección de técnica, elegimos que ataque queremos simular. Para este ejemplo usaremos "Cosecha de credenciales" que es el objetivo común del "Phishing" y damos clic en siguiente.

 

En el siguiente paso, damos un nombre descriptivo a la simulación mas una breve descripción del mismo y damos clic en Siguiente.

Ahora debemos seleccionar la "carga" o payload que será enviado a los usuarios, y esto en este escenario no es mas que el correo que recibirá el usuario. Por defecto el simulador ya viene precargado con ejemplos de carga en español, por lo cual solo debemos ordenar por idioma la ventana y seleccionar alguna de las cargas en español. Al momento del post, para cosecha de credenciales están disponible las siguientes cargas:

  • Renovación de dominio.
  • Inicio de sesión en cuenta Microsoft desde un dispositivo desconocido.
  • Encuesta de satisfacción.
  • Actualización de dispositivo cuenta "Scotiabank".
  • Cuota de buzón excedida.
  • Expiración de contraseña.

Puedes tener una vista previa de cada correo seleccionándolo. También desde esta misma pagina puedes crear una carga personalizada para tu empresa y puedes enviar el mensaje de prueba.

 

Para este ejemplo, seleccionaremos la carga "Inicio de sesión en cuenta Microsoft desde un dispositivo desconocido." y daremos clic en siguiente.

Ahora debemos agregar los usuarios a los cuales se les hará el envío de los mensajes simulados. Podemos seleccionar a todos los usuarios o grupos y usuarios específicos. Una vez agregados los usuarios damos clic en siguiente.

 

Esta nueva versión del simulador nos permite asignar entrenamiento a los usuarios participantes de la simulación. En esta etapa les recomiendo usar las opciones por defecto y permitir que Microsoft asigne automáticamente el entrenamiento recomendado a los usuarios post evento, aun que ustedes también tienen la opción de seleccionar el entrenamiento manualmente. Adicionalmente les recomiendo mantener el plazo de vencimiento para los entrenamiento en 30 días después de la finalización de la simulación.

Una vez conforme con la configuración damos clic en siguiente.

 

Ahora debemos seleccionar la pagina de aterrizaje donde serán redirigidos los usuarios al finalizar el ejercicio. Mi recomendación es utilizar alguna de las incluidas por Microsoft, pero puedes crear una propia o utilizar una existente a través de la URL. Para este ejemplo utilizaremos la pagina de aterrizaje predeterminada de Microsoft. 

También podemos subir nuestro logo para personalizar la pagina de aterrizaje de Microsoft. Una vez escogidas la pagina de aterrizaje podemos dar clic en "Abrir panel de vista previa" para mirar la pagina que verán los usuarios.

Marcamos la opción indicadores de carga y damos clic en siguiente si esta todo correcto.

 

Continuando con el proceso de simulación y entrenamiento, tenemos la opción de notificar a los usuarios que de manera correcta reportaron el ataque de phishing a través de Outlook o Outlook Online. En la opción "Seleccionar notificación de usuario final" marcamos la casilla "Notificación predeterminada de Microsoft", luego seleccionamos el idioma, en nuestro caso "español".

En preferencias de entrega de la notificación seleccionamos la oportunidad en la que se entregaran estos mensajes, puede ser durante la campaña o una vez finalizada. Para este este ejemplo enviaremos los mensajes durante la campaña y damos clic en siguiente.

Si quieres ver la vista previa del mensaje de notificación puedes hacer clic en el icono del ojo al final de la selección, bajo el menú Acciones.

Y ahora solo resta iniciar la simulación o programarla para una fecha futura. Para este ejemplo iniciaremos la simulación inmediatamente y finalizara luego de 2 días.

 

Finalmente hacemos una revisión rápida y si es todo correcto damos clic en Enviar para iniciar el ataque simulado a nuestros usuarios. Si tenemos dudas podemos hacer un envío de prueba dando clic en "Enviar una prueba".

 

Experiencia del usuario

Una vez enviado el ataque el usuario recibirá el correo en su bandeja de entrada.

Si el usuario da clic en "Haga clic aquí", será llevado a una pagina de inicio sesión similar a la de Microsoft 365 para capturar los datos.

Si el usuario finalmente entrega los datos será enviado a la pagina de aterrizaje que configuramos indicando que ha caído en un evento simulado de Phishing e indicándole sugerencias para detectar los correos y ataques de este tipo en el futuro.

También, dentro de la misma pagina y acorde a lo configurado se entrega el enlace para la capacitación recomendada al usuario.

Adicionalmente, se envían los enlaces para la formación al correo electrónico del usuario.

La formación son cursos sencillos y didácticos para ayudar a los usuarios a entender el tema en cuestión.

Análisis de la simulación y resultados.

Para poder conocer los resultados de la simulación, debemos volver al panel de Entrenamiento de simulación de ataque, y damos clic en la simulación a revisar.

Aquí podemos observar los resúmenes de la actividad, como por ejemplo los usuarios.

Con estos sencillos pasos podemos poner a prueba a nuestros usuarios, saber cuales son los mas vulnerables a este tipo de ataque y poner el foco en el entrenamiento de manera directa desde la campaña.

Si necesitas realizar este tipo de ataques con mas detalles y todas las funcionalidades para tu empresa o cualquier tipo de trabajos o proyectos en Microsoft 365 puedes contactarme en samuel@samuelcampos.cl.

Saludos,
Samuel. 🙂

Outlook 2013 : Loop de solicitud de credenciales con autenticación moderna por bloqueo de autenticación básica en Office 365/Exchange Online.

El problema

Al aplicar a uno o mas usuarios una política de autenticación, prohibiendo el acceso mediante autenticación básica, Outlook comienza permanentemente a solicitar contraseña, incluso no es posible volver a crear un nuevo perfil ya que Outlook insiste en utilizar autenticación basica.

La razón

Outlook insiste en utilizar la autenticación básica, por que la suite completa de Office 2013 por defecto no es compatible con autenticación moderna, para esto se debe actualizar Office 2013, mínimo hasta la versión del 8 de diciembre 2015 KB3114333.

Estos KB son la linea de base para el funcionamiento de la autenticación moderna de Office 2013.

https://support.microsoft.com/en-us/kb/3085480
https://support.microsoft.com/en-us/kb/3085504
https://support.microsoft.com/en-us/kb/3085509
https://support.microsoft.com/en-us/kb/3085495
https://support.microsoft.com/en-us/kb/3055000

De todas maneras y para evitar cualquier tipo de problemas es recomendable agregar Office a las actualizaciones de Windows Update y mantener nuestro software actualizado.

Proceso y verificación.

En mi escenario, tengo un usuario (yukihira@mscloudpro.cl) al cual le aplique la política de autenticación para bloquear la autenticación básica para todos los protocolos de Exchange Online. La política tiene la siguiente configuración.

Por lo tanto al tener la autenticación básica deshabilitada o bloqueada al intentar conectar al buzón o crear un nuevo perfil, el usuario recibe la solicitud de contraseñas sin poder ingresar. 

Entonces, ahora según el  KB de Microsoft , estas son las llave de registro que debemos crear para soportar autenticación moderna :

Llave de registroTipoValor
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADALREG_DWORD1
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\VersionREG_DWORD1
HKCU\SOFTWARE\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover REG_DWORD1

Luego de creadas las llaves de registro reiniciamos el equipo y volvemos a probar iniciar sesión o crear un nuevo perfil. En mi caso, luego de reiniciar el equipo sigue pidiendo las credenciales de la misma forma que antes de crear las llaves.

Al validar la versión de Office que tengo instalada vemos que es la 15.0.4569.1506 y la versión del cliente Outlook es las 15.0.4569.1503, si miramos la fecha de las versiones estas fueron liberadas en Febrero de 2014 por lo cual no es compatible con autenticación moderna aun que generemos las llaves de registro.

En mi caso, yo active las actualizaciones de Windows para dejar Office 2013 actualizado al día. Luego de actualizado las versiones se muestran de la siguiente manera.

Tras la actualización de Office, la versión general no cambia, pero si la versión del producto si miramos el cliente Outlook. Reiniciamos el equipo para probar nuevamente.

Al iniciar sesión y tratar de configurar el perfil luego de actualizado Office 2013 y de agregados los registros necesarios, ya nos solicita la autenticación moderna y podemos configurar de manera correcta.

Una vez finalizado el asistente, ya tenemos nuestro correo funciona, sin solicitudes de contraseñas.

Saludos
Samuel. 🙂

Microsoft 365 Unified Labeling: Habilitar etiquetas de confidencialidad para Teams, sitios de Sharepoint y grupos de Office 365.

Si al momento de crear tus primeras etiquetas de confidencialidad en Microsoft 365, la opción para aplicar las etiquetas se encuentra deshabilitada, primero debemos activar la característica de etiquetas en grupos de Office 365 en Azure Ad.

En teoría son algunos sencillos pasos que debemos seguir en los enlaces que MS nos entrega, pero que en algunos casos podrían generar mas dificultad de la esperada.

Habilitar soporte para etiquetas de confidencialidad en AzureAd.

Para realizar la habilitación necesitamos tener instalado el modulo Powershell de Azure AD Preview. Según la documentación de Microsoft, deberíamos poder instalarlo desde una ventana de Powershell en modo administrador, con el comando Install-module AzureAdPreview, pero en mi caso al ya tener instalado el modulo normal de Azure AD, se me genera el siguiente error.

La primera y mas obvia recomendación es remover el modulo normal de Azure Ad e instalar el modulo de preview. En mi caso, no quiero desinstalar el modulo normal, así que instale ambos de la siguiente, ejecutando el comando con algunos modificadores.

Install-Module AzureAdPreview -Force -AllowClobber

Una vez instalado y confirmado el modulo de Azure AD Preview, conectamos la sesión de Azure Ad y ejecutamos el siguiente comando para validar el estado.

$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id

 

En mi caso, al ejecutar el comando, tengo un error indicando que el campo "Id" esta vacío. El id en mi comando es el resultado del valor "Group.Unified" es decir que no esta realizada la configuración para grupos en Azure AD.  

Para crear la configuración de grupos a nivel del directorio, primero debemos mirar que templates están disponibles. Para ello, ejecutamos 

Get-AzureADDirectorySettingTemplate

Aqui podemos observar todos los templates disponibles, pero para nuestro escenario usaremos el template "Group.Unified", que es la misma configuración que en el comando anterior se encontraba vacia. Para esto ejecutamos los siguiente comandos para crear las variables de la activación

$TemplateId = (Get-AzureADDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ

Ahora creamos el nuevo objeto de configuración tomando los datos del template

$Setting = $Template.CreateDirectorySetting()

Una vez creado el objeto de configuración necesitamos activar las etiquetas de sensibilidad dentro de la configuración del objeto

$Setting["UsageGuidelinesUrl"] = "https://guideline.example.com"  // Esta línea es opcional, en caso que tengas publicada las guías de uso de las etiquetas.
$Setting["EnableMIPLabels"] = "True"

Y ahora aplicamos todas las configuraciones al tenant.

New-AzureADDirectorySetting -DirectorySetting $Setting

Una vez guardada la configuración , podemos validarla escribiendo

$Settings.Values

Con este ultimo paso, ya tenemos activada la integración de las etiquetas de sensibilidad con Azure Ad y los grupos de Office 365.

Validando cambios

Para finalizar y validar los cambios y su correcto funcionamiento, volvemos al centro de seguridad y cumplimiento y creamos una nueva etiqueta de sensibilidad y ya estara disponible la utilización de las etiquetas en los sitios de Sharepoint, en Teams y en los grupos de Office 365.

Saludos
Samuel 🙂

Azure AD / Office 365 : Personalizar inicio de sesión de usuarios con imagen corporativa y menú de navegación Office 365 con logos.

Este post es bastante sencillo pero con un impacto importante en la experiencia de nuestros usuarios al personalizar con la imagen de nuestra empresa el inicio de sesión a las apps que utilicen Azure Ad como servicio de autenticación. Si bien es algo que esta bastante documentado, como es parte de otros paso a paso que estoy realizando lo documento por si es de utilidad para alguien.

Configurando Imagen Corporativa en Azure Ad.

Para comenzar iniciamos sesión en el portal de Azure AD en https://aad.portal.azure.com.

Como podemos apreciar, la experiencia del inicio de sesión para nuestros usuarios es bastante genérica y no permite asociar los servicios utilizados como parte de la empresa a nivel de personalización e imagen corporativa.

Entonces, para iniciar con la configuración y establecer una imagen corporativa, una vez iniciada la sesión en el portal de Azure AD, en el menú izquierdo seleccionamos Azure Active Directory, luego personalización de la marca y presionamos el botón Configurar.

 

Para continuar con el proceso, se mostrara una nueva ventana de configuración donde se nos solicitaran las imágenes necesarias para la personalización y algunos textos.

La primera imagen que se nos solicitara es el fondo de pantalla del inicio de sesión, y este debe ser una imagen de 1920x1080px en formato png/jpg y menos de 300 KB. En mi caso, el fondo era bastante mas "pesado" que 300 KB por lo necesitaba comprimir la imagen y utilice TinyJpg. (https://tinyjpg.com/)

 

 

Una vez seleccionado nuestro fondo necesitamos seleccionar una imagen para el banner. Esta imagen se mostrara en la caja de inicio de sesión de M365 y Azure y debe tener un tamaño máximo de 280x60px y no mas de 10KB de peso.  Adicionalmente tenemos la opción de indicar una sugerencia de nombre de usuario basada en nuestra email address policy, por ejemplo samuel.campos@dominio.cl o samuel@dominio.cl y también podremos indicar un texto de bienvenida, disclaimer o ayuda que será mostrado a los usuarios al momento de iniciar sesión.

 

 

Ahora, podemos configurar algunas opciones adicionales o "avanzadas". Una de ellas es el color de fondo de la pantalla en caso de que un error o una conexión lenta impida que se muestre la imagen de fondo personalizada por nosotros en el primer paso y este debe estar en formato hexadecimal, por ejemplo #DCDCDC.

 

Luego debemos seleccionar dos logo cuadrado con las medidas 240x240px y no mas de 50KB. Uno es el logo para los temas normales y otro para los temas oscuros, por lo cual debemos considerar la combinación de colores de forma correcta.

 

Siguiendo el proceso, tenemos la opción para permitir a los usuarios la opción de "mantener la sesión iniciada" entre todos los servicios de 365 y evitar múltiples solicitudes de contraseña. Esta es una opción que dependerá mucho de sus políticas de seguridad pero si en tu organización existe un alto nivel de usos de los servicios mediante acceso web se recomienda habilitarlo para facilitar la experiencia de trabajo de nuestros usuarios.

 

Una vez que todo este en orden, finalizamos el botón Guardar.

 

Verificación del cambio y experiencia de usuario.

Una vez guardado los cambios, en algunos minutos nuestros usuarios ya verán reflejados los cambios en su inicio de sesión.

Aquí podemos ver el logo seleccionado, el texto y la opción de mantener la sesión iniciada, tal cual como fue configurado.

Logos en menú de Office 365.

Como podrán apreciar al momento de iniciar sesión y entrar a algún servicio de Office 365, por ejemplo OneDrive/OWA, notaran que el logo no se muestra en los menús. Para esto debemos hacer una pequeña modificación a nivel de la organización de M365 para el tema por defecto.

 

Para modificar esto, debemos ingresar como administrador a https://admin.microsoft.com.

Ahora seguimos la siguiente ruta, En el menú izquierdo seleccionamos Configuración -> Configuración de la organización -> Perfil de la organización -> Temas personalizados y en la ventana que se despliega seleccionamos +Agregar tema.

 

 

Una vez dentro de agregar tema, tenemos la configuración del tema por defecto para la organización. En la pestaña general para este ejemplo vamos a dejar un tema forzado, por lo cual debemos impedir que los usuarios puedan cambialo, así que activamos el primer checkbox.

También vamos a mostrar el Display name de los usuarios en la barra de menú, por lo cual activamos el segundo checkbox.

 

 

Ahora, vamos a la pestaña Logotipos y en logotipo personalizado seleccionamos Cargar y subimos el logo. Este logo debe tener un tamaño máximo de 200X30px.

También debemos subir un logo para el modo oscuro, pero este debemos tenerlo disponible en alguna ubicación publica de internet con el mismo tamaño que el anterior.

Para finalizar la configuración de los logos indicamos la URL donde deben dirigir a los usuarios al presionar en el.

 

 

 

Continuamos el proceso y nos dirigimos a la pestaña Colores.

Si al observar la ventana de ejemplo nuestro logo y los colores pre definidos combinan, no modificamos nada y damos clic en el botón guardar. En mi caso, los colores del logo y los por defecto no se mostraban de buena manera por lo cual hice algunos cambios.

 

Una vez guardados con éxito los cambios, esperamos un minutos para la replicación de los cambios en todos los servicios de Office 365. Normalmente para que estos cambios estén disponibles para los usuarios puede tomar entre 5 minutos y una hora, pero como buena practica recomiendo para cualquier cambio en los servicios de M365 considerar siempre 24 horas.

Revisión final

Para validar el correcto funcionamiento, iniciamos sesión nuevamente en Office 365 y ya podemos ver los logos dentro de los servicios de Office 365, sumado obviamente a la personalización del inicio de sesión.

Con esto damos un estilo personalizado con nuestra marca al tenant de manera rápida y efectiva.

Aprovecho de contarte que si tienes algún proyecto en Office 365 que estés planificando para implementar, o no sabes como sacar el mejor provecho de tus servicios de Microsoft 365 y estas buscando un partner para apoyarte, envíame un correo a samuel@samuelcampos.cl y conversemos.

Saludos!
Samuel.

Exchange : Obtener listado de versiones de Outlook usadas en la organización.

En un escenario de migración o de actualización de nuestros servidores Exchange, necesitaremos por temas de compatibilidad y para mantener el correcto funcionamiento para nuestros usuarios, obtener las versiones de Outlook utilizadas.

Si bien no es un proceso complejo, si requiere ejecutar un análisis de los logs de RPC en los servidores que utilizamos con Client Access. Para esto , primero necesitamos conocer la ubicación de la instalación de Exchange. Para esto basta con ejecutar el siguiente comando en una ventana de PowerShell.

$env:exchangeinstallpath

 

 

Ahora que tenemos la ubicación, agregamos a la misma la ubicación de los logs de RPC, que se encuentran por defecto dentro de la instalación de Exchange en la carpeta "\Logging\RPC Client Access",  y lo guardamos como una variable de la siguiente manera.

 

$rpcLogs = "D:\Program Files\Microsoft\Exchange Server\V14\Logging\Rpc Client Access"

Ahora que ya tenemos los logs como variable, filtramos para obtener un resultado mas acotado, por ejemplo los últimos 14 días. Para eso ejecutamos el siguiente código.

$archivos = Get-ChildItem $rpcLogs | Where-Object {$_.LastWriteTime -ge (Get-Date).AddDays(-14)}

Una vez ejecutado el comando, validamos que la información fue filtrada de manera correcta viendo el contenido de la variable con el comando Write-Output.

 

 

Ahora que ya tenemos los archivos a analizar, debemos importar la data para procesarla. ejecutamos el siguiente comando

$logs = $archivos | ForEach {Get-Content $_.FullName} | Where-Object {$_ -notlike '#*'}

A continuación necesitamos convertir los datos importados desde los logs a objetos de Powershell

$resultados = $logs | ConvertFrom-Csv -Header date-time,session-id,seq-number,client-name,organization-info,client-software,client-software-version,client-mode,client-ip,server-ip,protocol,application-id,operation,rpc-status,processing-time,operation-specific,failures

Y ahora, para obtener la información, filtramos y agrupamos la información de los clientes Outlook utilizados. Este proceso puede tardar varios minutos dependiendo de la cantidad de días analizados y a la cantidad de usuarios/buzones de la organización.

$resultados | Where-Object {$_.'client-software' -eq 'OUTLOOK.EXE'}|group client-software-version

Una vez completado el proceso, podemos ver la cantidad de conexiones y la versión del cliente Outlook utilizado.

 

En este ejemplo podemos ver que se utilizan las versiones principales 14/15 y 16 con algunas variaciones por las actualizaciones. Los números de compilación por versión son los siguientes.

Versión OutlookNumero Compilación
14.0.XXXOutlook 2010
15.0.XXXOutlook 2013
16.0.XXXOutlook 2016

Con este proceso podremos entonces saber si dentro de la organización tenemos clientes utilizando versiones de Outlook desactualizadas o versiones que no serán soportadas posterior al proceso de migración.


Saludos.
Samuel 🙂

Microsoft 365: Descargar y visualizar logs de auditoria con SPLUNK.

Es posible conectar Microsoft 365 a Splunk para descargar los LOGS de auditoria y también visualizarlos a través de una App. en el siguiente video les dejo el paso a paso del procedimiento.

Por favor, si llegaron hasta acá, dejen su mensaje para saber si les gusta el formato en video, que cosas se podrían mejorar y que otros temas les guastaría revisar en el Blog.

Saludos,
Samuel. 🙂

Exchange Online : Exportar buzón a PST con eDiscovery (Update 2021).

En el blog ya existía una versión de este procedimiento, pero debido a los cambios y actualizaciones de PowerShell para EXO han dejado de funcionar. Aquí les entrego la opción para hacer el mismo procedimiento de manera mas fácil en 2021.

Permisos

Antes de poder realizar este procedimiento, debemos validar que la cuenta de administrador que vamos a usar tiene los roles de supervisor o administrador de eDiscovery . Para esto nos conectamos el portal de seguridad  cumplimiento, luego en permisos y seleccionamos eDiscovery Manager. En la tarjeta de opciones damos clic en Elegir Roles y validamos que los que están en la imagen estén en tu tenant también.

Luego validamos que nuestra cuenta de administrador se encuentra en alguno de los roles, administrador o supervisor nos permitirán realizar la tarea, así que si nuestra cuenta no esta, la agregamos al nivel de permiso que estimemos. Damos clic en guardar para continuar.

El Proceso

Ahora que tenemos los permisos necesarios , podemos comenzar. 

En el menú de centro de seguridad y cumplimiento seleccionamos "Buscar" y luego seleccionamos "Búsqueda de contenido".

En la ventana de búsqueda de contenido, damos clic en "+ nueva búsqueda", si queremos descargar todo el contenido a PST en el las "Palabras clave" no escribimos nada. En ubicaciones seleccionamos "Ubicaciones especificas" y luego "Modificar..."

En la tarjeta de modificación de ubicaciones, seleccionamos "Elegir usuarios, grupos o equipos" y buscamos el buzón que queremos exportar.

Una vez agregado el o los buzones, damos clic en "Guardar y ejecutar", donde deberemos dar un nombre a la búsqueda para poder iniciarla. Se mostrara el estado buscando en la ventana principal.

Una vez finalizada la búsqueda, se mostrara una vista previa de los resultados en la ventana de búsquedas.

Ahora, presionamos el enlace "Volver a las búsquedas guardadas" y en el listado, seleccionamos la que queremos exportar y en la tarjeta damos clic en "Exportar resultados".

En la configuración de la exportación , indicamos la configuración que necesitamos. En el caso de este ejemplo, vamos a exportar todos los elementos, menos los cifrados o no indexados y vamos a exportar 1 PST por buzón. Con esta configuración damos clic en "Exportar".

Ahora, vamos a la pestaña "Exportaciones" y seleccionamos la exportación que acabamos de crear. En la tarjeta que se muestra, seleccionamos "Descargar resultados". Si es primera vez que realizamos esta acción se instalara la aplicación "eDiscovery Export Tool", esta aplicación solo se instalara desde Edge o Internet Explorer. Una vez instalada se abrirá la ventana de Export tool.

Aquí, en export tool, debemos pegar la clave de nuestra exportación, la cual copiamos en la tarjeta y le indicamos una ubicación con espacio suficiente en disco. Presionamos Start para continuar.

Si bien el proceso se inicia de manera automática, la descarga de archivos se iniciara a tan pronto finalice la preparación de los datos por parte de 365.

Al abrir el archivo PST descargado, se incluye el buzón principal y el Buzón de Archivo.

Saludos,
Samuel. 🙂

Exchange Online : Recuperar contenido de buzón eliminado a un buzón de archivo o buzón compartido.

 

1.- Buzón eliminado (soft deleted) a Buzón de Archivo

Para restaurar el contenido de un buzón eliminado (soft deleted) al buzón de archivo de un usuario activo realizamos los siguientes pasos.

En el paso numero uno, nos conectamos a una sesión de PowerShell de Exchange Online y  obtenemos un listado con buzones eliminados en el tenant con el siguiente comando.

Get-Mailbox -SoftDeletedMailbox

Como paso numero dos, obtenemos el DistinguishedName del buzón eliminado que queremos recuperar. Para ello ejecutamos el siguiente comando.

Get-Mailbox -Identity AliasBuzónARecuperar -SoftDeletedMailbox | select DistinguishedName

El usuario para este ejemplo es tstark por lo cual el comando queda de la siguiente manera

Ahora que ya tenemos el DistinguishedName del buzón eliminado, podemos generar el comando para restaurar el contenido al buzón de archivo del usuario activo. Obviamente el buzón de archivo debe estar activado en el buzón de destino.

New-MailboxRestoreRequest -SourceMailbox "DistinguishedNameDelBuzónEliminado" -TargetMailbox "BuzónDeDestino" -TargetIsArchive -TargetRootFolder "CarpetaDeDestino" -AllowLegacyDNMismatch

En el ejemplo, para la restauración del buzón Tstark al buzón de archivo de samue@samuelcampos.cl dentro de la carpeta "Tstark" el comando quedaría de la siguiente manera.

Para validar el estado de la restauración, podemos ejecutar el siguiente comando

Get-MailboxRestoreRequest | Get-MailboxRestoreRequestStatistics

En el caso del ejemplo, el comando quedaria de la siguiente manera.

Una vez finalizado el proceso, si revisamos el buzón de archivo de samuel@samuelcampos.cl , tendremos la carpeta "Tstark" con el contenido del buzón eliminado.

 

 

2.- Buzón eliminado (soft deleted) a Buzón Compartido.

Para restaurar el contenido a un buzón compartido, debemos ejecutar los pasos hasta obtener el DistinguishedName del buzón eliminado.

Luego creamos un nuevo Buzón compartido mediante el ECP o Powershell.

New-mailbox -Shared -Name "NombreDelBuzón" -DisplayName "NombreParaMostrar" -Alias alias

Para nuestro ejemplo el comando quedaría de la siguiente manera.

Una vez creado el buzón compartido, generamos el comando para la restauración. Es bastante similar al ya utilizado, pero para este escenario seria asi.

New-MailboxRestoreRequest -SourceMailbox "DistinguishedNameDelBuzónEliminado" -TargetMailbox "BuzónCompartido" -AllowLegacyDNMismatch

Para nuestro ejemplo, el comando seria el siguiente.

Una vez finalizada la restauración, tendremos los correos en la misma estructura en el buzón compartido.

Saludos
Samuel.

Exchange Online : Habilitar Free/Busy (disponibilidad) entre 2 tenants de Microsoft 365.

Es posible compartir la información de la disponibilidad (Free/Busy) de los usuarios en sus calendarios de Exchange Online (EXO) con otros tenants de empresas parte del mismo holding o empresas partners para tener una mejor experiencia a la hora de programar reuniones.

Procedimiento

Para este ejemplo usaremos el dominio samuelcampos.cl y ogmioschile.cl. Como primer paso vamos al ECP del dominio Samuelcampos.cl en https://outlook.office.com/ecp con nuestro usuario administrador del servicio EXO o nuestra cuenta de admin global.

Una vez dentro del ECP vamos a "Organización" , "Uso compartido" y luego presionamos el botón "+" bajo "Uso compartido de la organización".

Luego en la ventana de configuración de la nueva relación organizativa, Indicamos un nombre descriptivo. El los dominios para compartir, indicamos cual es el o los dominios del tenant externo con los cuales queremos compartir la información de la disponibilidad, en este ejemplo, ogmioschile.cl y marcamos la casilla "habilitar el uso compartido de la información de disponibilidad de calendario".

Ahora debemos seleccionar que cantidad de información le estamos permitiendo a los usuarios compartir como base. Para este ejemplo permitiremos que se comparta la disponibilidad completa seleccionando "Disponibilidad de calendario con hora, asunto y ubicación".

Si queremos que la información de todos los usuarios de nuestro tenant esten disponibles para visualizar desde el tenant externo, seleccionamos "Todos en tu organización". Si requieres que solo un grupo de usuarios pueda ser visualizado, sleccionamos "un grupo de seguridad especificado" e indicamos el grupo del que son miembros los usuarios a compatir. Para este ejemplo seleccionamos todos los usuarios de nuestro tenant y finalmente damos clic en guardar.

y con los mismos pasos, realizamos la relación organizativa en el otro tenant. Este paso solo es necesario si queremos que puedan verse en ambas direcciones. Si lo necesitamos en una via lo realizamos solo en el tenant que necesitamos visualizar. Para este ejemplo queremos que puedan ver la disponibilidad entre ambos tenants, por lo cual creamos la relación en ambos.

Validar resultados

Luego de algunos minutos, iniciamos sesión en nuestro casilla de EXO, seleccionamos el calendario, generamos una nueva cita y abrimos el asistente de disponibilidad.

Al agregar el usuario del tenant federado, vemos su disponibilidad sin problemas.

Si por algun motivo, solo es visible el estado y la hora, se debe modificar la configuración del calendario del usuario en la organización. Para esto, en OWA, vamos al calendario, luego seleccionamos el botón "Compartir" y luego en la ventana de uso compartido y permisos, para las personas de mi organización seleccionamos el nivel de acceso, en este caso "Puede ver todos los detalles".

Con estos simples pasos habilitamos la visualización de la disponibilidad de nuestros usuarios entre 2 tenants de Microsoft 365.

Saludos
Samuel 🙂

Exchange Online : Modificar limites de throttling EWS para escenarios de migración.

Si has trabajado en algún proyecto de migración a Exchange Online, habrás notado que se generar algunos errores relacionados al Throttling en EWS de Exchange Online.

Esta funcionalidad limita la cantidad de recursos a los cuales un usuario o aplicación en especifico pueden acceder dentro del ambiente de Exchange para asegurar el correcto funcionamiento. En algunos escenarios de migración necesitamos remover estos limites por un tiempo especifico para facilitar el proceso, y esto se realizaba a través de un ticket de soporte a Microsoft.

Hoy se automatizo este proceso en algunos simples pasos. Primero vamos al portal de administración de Microsoft 365 en Https://admin.microsoft.com .

Desde allí vamos a Soporte -> Nueva solicitud de servicio y en la ventana de ¿Necesita Ayuda? escribimos "EWS throttling". En los resultados se muestra una tarjeta con el botón "Ejecutar pruebas" damos clic en el para comenzar el proceso de revisión.

El análisis dura cerca de un minuto y no debemos cerrar el navegador durante la ejecución del proceso o de lo contrario deberemos iniciar nuevamente.

Una vez finalizado el análisis, tendremos la opción de modificar la configuración removiendo los limites para las conexiones. Podemos seleccionar un plazo de 30 a 90 días.

En este ejemplo utilizaremos 90 días, marcamos el check reconociendo que entendemos que se aplicara un cambio en la configuración del tenant y damos clic en "Actualizar configuración".

 

Si todo se ejecuta sin problemas obtendremos el mensaje indicando el éxito de la operación. Ahorra podemos cerrar la ventana y volver al panel de administración.

 

Dentro de un máximo de 15 minutos ya tendremos la nueva configuración activa y podemos continuar con el proceso de migración sin tener errores asociados al Throttling en EWS.

Una vez cumplido el plazo especificado, la política volverá a su estado normal automáticamente.

 

Happy Migration!

 

 

Saludos
Samuel.

Microsoft 365 : Utilizar el analizador de configuración para seguridad de Exchange Online y ATP.

Microsoft ha agregado una nueva herramienta dentro del centro de seguridad y cumplimiento, el Analizador de configuraciones.

Esta herramienta realizara una evaluación de las mejores practicas de seguridad para Office 365 ATP, o ahora Microsoft Defender para Office 365 en ls siguientes categorías :

  • SPAM
  • Phishing
  • Malware
  • Adjuntos seguros. (Safe Attachments)
  • Vinculos seguros. (Safe Links)

Su ejecución es muy sencilla y recomendada. Para iniciar vamos a https://protection.office.com. Una vez alli nos dirigimos a las opciones de "Administrción de amenazas" y luego a las "directivas" y damos clic en "Analizador de configuración".

Una vez presionado el botón, comenzara automáticamente el análisis de la configuración de las políticas mencionadas para cumplir con las mejores practicas.

Las políticas mas urgentes de modificar, se muestras en rojo y las menos en amarillo. Para conocer y resolver el problema, damos clic en la categoría y podremos ver las distintas políticas que se recomienda modificar.

Recuerden siempre que estas son RECOMENDACIONES si no aplican a su ambiente o requerimientos de trabajo, no deben ser implementadas de forma obligatoria.

Para este ejemplo, veremos en la categoría SPAM, la acción para la derección de Phishing. En mi caso, la accion es mover el correo a la carpeta de correo no deseado del usuario, pero la mejor practica es enviar a cuarentena el item.

Si la recomendación tiene sentido dentro de nuestra organización y no afecta el trabajo de los usuarios, damos click en ADOPTAR para modificar la política a la configuración recomendada. En la advertencia damos clic en Confirmar.

Una vez ejecutado el cambio, vemos en la política el mensaje "Recomendaciones adoptadas correctamente"

 

Y eso es todo. una manera rápida y fácil para cumplir con el estándar base de seguridad en Exchange Online y Defender para Office 365. (ATP)


Saludos!
Samuel.

Exchange Online : Agregar advertencia de correo externo en asunto y cuerpo del correo.(opción 2)

Este es un update de este POST anterior para agregar una advertencia de correo externo visible para nuestros usuarios en Exchange Online.

En esta versión no solo agregaremos el mensaje en el cuerpo del correo , sino también en el asunto del mensajes dentro de la misma regla de transporte, y evitando que se agregue en cada nuevo mensaje de una conversación.

Crear regla de transporte

Lo primero que debemos hacer es crear una regla de transporte en exchange online, para eso iniciamos sesión en https://outlook.micrososft.com/ecp y vamos a "flujo de correo", luego a "reglas" y creamos una nueva regla.

Luego dentro de la regla, configuramos lo siguiente :

Le asignamos un nombre descriptivo (1), luego en "Aplicar esta regla si..." seleccionamos "El remitente esta ubicado" y luego "Fuera de la organización" (2). Presionamos el botón "Agregar condición" (si no lo vemos, presionamos en el texto "Mas opciones..." al final de la ventana) y seleccionamos para la nueva condición "El destinatario...", luego "es externo o interno" con el valor "Dentro de la organización" (3).

En las acciones (hacer lo siguiente..) seleccionamos como primera opción (4) "Aplicar una declinación de responsabilidad al mensaje" y "anteponer una renuncia de responsabilidad". Luego en "Escribir Texto" agregamos el siguiente HTML. (puedes cambiar el texto)

<p><div style=”background-color:#FFEB9C; width:100%; border-style: solid; border-color:#9C6500; border-width:1pt; padding:2pt; font-size:10pt; line-height:12pt; font-family:’Calibri’; color:Black; text-align: left;”><span style=”color:#9C6500″; font-weight:bold;>ATENCIÓN:</span> Este correo electrónico se originó fuera de la organización. No haga clic en enlaces ni abra archivos adjuntos a menos que reconozca al remitente y sepa que el contenido es seguro..</div><br></p> 

en la acción de reserva seleccionamos "Encapsular".

Damos clic en el botón "Agregar acción" y seleccionamos "Anteponer al asunto del mensaje" y en este caso agregaremos "[EXTERNO]" (5).

Y para asegurarnos que se adjunte a solo el primer correo y no a las respuestas, presionamos el botón "Agregar excepción" y seleccionamos "El asunto o el cuerpo..." y luego "El asunto incluye cualquiera de las siguientes palabras", finalmente escribimos [EXTERNO] presionamos el boton "+" y "Aceptar"(6).

Para terminar, modificamos el nivel de la auditoria y lo dejamos en "medio" y guardamos la regla.

Comportamiento en el cliente

Luego, el usuario recibe el correo externo con el asunto con el texto seleccionado, en este caso [EXTERNO] y el disclaimer dentro del cuerpo.

    

Si iniciamos una conversación, la alerta de [EXTERNO] solo se agregara en el primer correo y no en las iteraciones.

Si necesitas ayuda con alguna configuración de Microsoft 365 estoy en Fiverr en este enlace, https://www.fiverr.com/samuelcamposv/configurare-microsoft-365-y-sus-caracteristicas-por-ti.

También si este u otro articulo del blog te han ayudado, estaría mas que feliz de tomarme un café en tu nombre, puedes invitarme en este enlace.

Buy Me A Coffee

Saludos
Samuel

Exchange Online : Activar Add-in de reporte de mensajes.

El Add-in de reportes para Outlook y OWA, entrega la capacidad a los usuarios para reportar los falsos positivos/negativos a Microsoft para el analisis y mejora del servicio. Es posible habilitarlo por parte de un grupo de usuarios directamente o podemos activarlo de manera general en la organización.

Requisitos

  • Outlook on the web
  • Outlook 2013 SP1 o superior.
  • Outlook 2016 para Mac.
  • Outlook 365.
  • Si se habilitara a nivel de la organización debe tener activo Oauth.
  • Permisos de Administrador Global. (Para habilitación a nivel de Org)

Habilitación a nivel de organización.

Como usuario, iniciamos sesión en admin.office.com y luego pegamos el siguiente enlace en el navegador.

https://admin.microsoft.com/AdminPortal/Home#/Settings/ServicesAndAddIns#%2F

Se abrirá automáticamente una ventana flotante con la opcion de implementar un nuevo complemento para la organización, damos clic en "Siguiente". Si no se abre la ventana presionamos en "+ Implementar un complemento"

Ahora , seleccionamos "Elegir en la tienda"

Luego, en la tienda, buscamos "Message Report", y seleccionamos "Agregar"

Aceptamos la licencia y presionamos "Continuar"

Luego, configuramos el complemento, seleccionando para que usuarios se activara el complemento y en que forma, Fijo, para que se muestre siempre por defecto, Disponible, para que los usuarios puedan implementar el complemento desde la tienda y Opcional para que el usuario pueda remover el complemento.

Una vez configurado el complemento, tendremos los mensajes informativos de la implementación, y luego el mensaje de exito.

Y eso es todo! con esos simples pasos damos a los usuarios la capacidad de reportar los falsos positivos/negativos directo a Microsoft para mejorar los procesos de detección en el tenant, desde su bandeja de entrada.

Este proceso, puede tomar hasta 12 horas en estar replicado dentro de M365 y estar disponible para los usuarios.

Experiencia del usuario

Al revisar un correo en OWA, en las opciones del mensaje, encontramos el complemento "Report Message" y sus opciones.

Al abrir el cliente Outloook, y revisar un correo, el usuario encontrara la opción en la barra superior.

Este comportamiento puede variar dependiendo de las actualizaciones de Office.

Saludos
Samuel 🙂

Microsoft 365 : Habilitar inicio de sesión sin contraseña con Microsoft Authenticator.

Un cliente me realizo la consulta sobre si es posible configurar un grupo de usuarios para autenticarlos en Microsoft 365 con algún método que no requiera contraseña para evitar que estas cuentas puedan ser comprometidas.

Y claro, existen un método llamado "passwordless sign-in" que nos permtira ese comportamiento utilizando Azure MFA y Microsoft Authenticator.

PRE REQUISITOS

  • Azure MFA con "notificaciones a través de Aplicación Móvil" permitido en la configuración.
  • Un dispositivo móvil con Android 6.0 o IOS 8.0 para instalar Microsoft Authenticator.

PASOS DE CONFIGURACIÓN MFA y PASSWORDLESS SIGN-IN

Primero debemos iniciar sesión en https://portal.azure.com, entonces buscamos y seleccionamos Azure Active Directory .

Una vez dentro de Azure AD, seleccionamos "Usuarios" y dentro de usuarios, seleccionamos el boton "Multi-Factor Authentication".

Luego en la ventana de MFA, buscamos el o los usuarios a activar con MFA y en el costado inferior derecho, seleccionamos "Habilitar"

Confirmamos la habilitación de MFA para el o los usuarios.

Una vez realizada la activación de MFA, volvemos al portal de Azure AD y ahora seleccionamos , desde el menu "Administrar", la opción "Seguridad"

Luego dentro de "Seguridad" seleccionamos, "Métodos de autenticación"

Dentro de métodos de autenticación seleccionamos "Directiva de metodos de autenticación", luego desde el listado, seleccionamos "Inicio de sesión sin contraseña de Microsoft Authenticator", habilitamos la opción y en "Destino" presionamos "Seleccionar Usuarios" y luego en "Agregar usuarios y grupos".

En la ventana de selección de usuarios, buscamos el o los usuarios/grupos se seguridad que queremos activar y damos clic en "Agregar. Para terminar, damos clic en guardar.

PASOS DE CONFIGURACIÓN USUARIO

En este ejemplo, es primera vez que se habilita MFA para el usuario, por lo cual al iniciar sesión , se le solicitara realizar el registro.

El primer paso para el registro es descargar Microsoft Authenticator en tu dispositivo móvil, una vez realizado damos clic en "Siguiente"

En la pantalla siguiente seleccionamos "Siguiente"

A continuación se nos presenta un código QR que debemos escanear con la aplicación Microsoft Autheticator.

En Microsoft Authenticator, seleccionamos el menu con 3 puntos en la esquina superior derecha y luego seleccionamos "Agregar cuenta".

A continuación seleccionamos "Cuenta de trabajo o educativa" y luego escaneamos el código QR.

En el navegador, la ventana cambiara de estado a "Probemos" y enviara una notificación a Microsoft Authenticator.

Damos clic en "Aprobar" en Microsoft Authenticator

Si esta permitido, luego del registro del MFA, se nos dara la opción de crear una password de aplicación.

Una vez finalizado el proceso tendremos un resumen de lo realizado y para finalizar presionamos "Listo" o "Done".

Luego, en Microsoft Authenticator, buscamos la cuenta, y presionamos en la flecha que aparece en la derecha y seleccionamos "Activar inicio de sesión en teléfono", en la siguiente etapa, presionamos "Continuar" y obtendremos el mensaje de cuenta actualizada con exito y ya estamos listos.

Ahora, vamos a cualquier navegador e iniciamos sesión en Microsoft 365, al ingresar nuestro correo, se remplaza la petición de contraseña por el envio de una notificación al telefono.

Se actualizara la ventana del navegador mostrando un numero que debemos seleccionar en Authenticator.

En la Aplicación, seleccionamos el numero del inicio de sesión y presionamos "Aprobar". Ahi se nos solicitara confirmar el metodo de autenticación del telefono PIN, Huella, Iris o el que tengamos configurado.

Una vez validado, accedemos a Microsoft 365,

Saludos!
Samuel 🙂

Microsoft Teams : Habilitar descarga de reportes de asistentes a una reunión.



En Microsoft Teams, podemos dar a los organizadores de una reunión la capacidad de exportar un listado de asistentes en formato CSV. Esta opción viene des habilitada por defecto y la única manera de activarla es a través de un comando PowerShell.

Como primer paso debemos conectar una sesión de Powershell de Skype for Business On Line y ejecutamos el siguiente comando para conocer el estado de la configuración. En este ejemplo usaremos la politica global, pero puedes crear una nueva politica y asignar el comportamiento y lo usuarios a esta.

Get-CsTeamsMeetingPolicy -Identity Global | Select Identity,AllowEnga*

Por defecto el valor de esta configuración esta deshabilitado.

Si miramos el cliente Teams durante una reunión y abrimos el panel de las personas conectadas a la reunión solo veremos los botones para cerrar el panel y modificar los permisos y configuración de la reunión.

Entonces para habilitar la opción de descargar un reporte de los asistentes a una reunión ejecutamos el siguiente comando :

Set-CsTeamsMeetingPolicy -Identity Global -AllowEngagementReport Enabled

para validar que el comando se ejecuto correctamente, validamos nuevamente con el comando

Get-CsTeamsMeetingPolicy -Identity Global | Select Identity,AllowEnga*

y ahora el estado de la configuración es Enabled.

Y tambien podemos comprobarlo en la reunión, en el panel de personas conectadas se habilita el botón de descarga del reporte. (puede demorar hasta 30 minutos el cambio)

El archivo CSV resultante tiene el siguiente formato

Para los usuarios internos, se muestra el nombre completo y para los externos, el nombre que ingresen al unirse a la reunión.

Para este reporte se debe considerar lo siguiente :
- Solo el organizador de la reunión podrá descargar el listado.
- Solo se podrá descargar durante la reunión. (snapshot)

Saludos
Samuel 🙂



Microsoft Teams : Agregar fondos personalizados.

Desde hace unas semanas ya esta disponible de manera general en todos los tenant de Microsoft 365, la característica para remplazar nuestro fondo, por un set de 24 imágenes incluidas en Teams.

Pero, ¿Puedo poner mi propia imagen de fondo? SI, y de forma super rapida.

En tu equipo, debes dirigirte a la capeta "%APPDATA%\Microsoft\Teams\Backgrounds\Uploads " y copiar en esta ubicación tu fondo personalizado. Si estas en Mac, debes copiar las imagenes en "Library/Application Support/Microsoft/Teams/Backgrounds"

Luego, ingresamos a nuestro cliente Teams y en el listado de imágenes, se agrega nuestro nuevo fondo y ya lo podemos usar de inmediato.

Saludos
Samuel 🙂

Exchange Online : Habilitación masiva de respuestas automáticas en buzones.

Es posible activar por parte del administrador una respuesta automatica en los buzones de Exchange Online de forma masiva. Esto lo logramos desde una sesion de powershell y un pequeño script.

El comando a utilizar es Set-MailboxAutoReplyConfiguration , por ejemplo para configurar la respuesta automática de un buzón se utilizaría el siguiente comando completo.

Set-MailboxAutoReplyConfiguration -identity samuel -AutoReplyState Scheduled -StartTime "04/11/2020 8:00 AM" -EndTime "04/15/2020 20:00 PM" -InternalMessage "Estaré haciendo uso de mis vacaciones desde..." -ExternalMessage "Estaré haciendo uso de mis vacaciones desde..."

También podemos hacerlo, de manera gráfica entrando al panel de administración de Microsoft 365 en admin.microsoft.com, en la sección de usuarios activos , seleccionamos el usuario a modificar y en las opciones de correo activamos las respuestas automáticas.

Pero como podemos hacerlo para 10? 20? o mas buzones?

Para eso podemos generar un pequeño script con el siguiente formato

$Usuarios = Get-Content C:\PSScript\OOF\Usuarios.txt

$(foreach ($Usuario in $Usuarios) {

Set-MailboxAutoReplyConfiguration $Usuario –AutoReplyState Scheduled –StartTime “05/11/2020 8:00 AM” –EndTime “05/15/2020 20:00 PM” –ExternalMessage “Estaré haciendo uso de mis vacaciones desde...” –InternalMessage “Estaré haciendo uso de mis vacaciones desde...”

})

En el archivo txt, solo deben escribirse los alias de los buzones y uno por linea.

Saludos
Samuel 🙂

Exchange Online : Outlook 365/2019/2016/2013 solicita App Password o solicita credenciales luego habilitar MFA.

En algunas ocaciones, incluso teniendo una versión de Office compatible con MFA, al activarlo, el cliente Outlook en nuestro equipo no hace el "desafío"o la petición de MFA y en cambio solicita multiples veces la contraseña o debemos generar una application password.

Esto la mayoría de las veces se debe a una falta de configuración sencilla de resolver. Lo primero que debemos confirmar es el estado de la configuracion de la autenticación moderna en la organización de Exchange Online, sin esto el cliente outlook no usara autenticación moderna y por ende no usara MFA.

Para esto conectamos a una sesión de poweshell a Exchange online y ejecutamos el siguiente comando :

Get-OrganizationConfig | select Name, OAuth2ClientProfileEnabled

Si el resultado de la ejecución del comando en Oauth2ClientProfileEnabled es false, encontramos al culpable de nuestro problema. Desde aqui tenemos 2 opciones para realizar el cambio, la primera y mas rapida es desde el mismo powershell ejecutamos el siguente comando :

Set-OrganizationConfig -OAuth2ClientProfileEnabled $True

la otra opcion es ir la panel de administracipon de office 365 en https://admin.microsoft.com y en el menu izquierdo seleccionar "Configuración" luego "Configuración" nuevamente, luego seleccionamos "Autenticación Moderna" y habilitamos la opción.

Una vez habilitada la autenticacion moderna, no existiran problemas con el uso de MFA y el cliente Outlook.

Saludos
Samuel. 🙂

Microsoft Teams : Usuarios no pueden crear un evento en vivo publico.

Esto sucede en la configuración por defecto de Microsoft Teams y solo permite los eventos en vivo dentro de la organización. Esto es fácilmente remediable desde el panel de administración de Teams.

Para esto vamos a https://admin.teams.microsoft.com/ y en el menú izquierdo, seleccionamos "Reuniones" luego "Directivas de eventos en vivo" y finalmente editamos la política que esta aplicada al usuario con el "problema".

Para este ejemplo editaremos la configuración global por lo cual los eventos en vivo públicos están disponibles para toda la organización.

Dentro de la configuración de la política de eventos en vivo tenemos la opción "Quienes puede unirse a eventos en directo programados", esta, por defecto está configurada solo para miembros de su organización.

En esta opción también podemos elegir usuarios seleccionados, pero en el caso de este ejemplo seleccionamos "TODOS" para permitir que cualquier usuario con el vínculo del evento pueda acceder.

Una vez guardada la configuración, en mi caso, después de 15 minutos la configuración ya estaba replicada para los usuarios y ya era posible generar eventos en vivo públicos.

Saludos
Samuel