SamuelCampos.cl

Onedrive for business : solicitud de archivos.

Microsoft a liberado una nueva funcionalidad para solicitar archivos para los usuarios de OneDrive for business.

Los pasos para utilizar este feature son bastante sencillos. Primero iniciamos sesión en nuestro portal de OneDrive. Seleccionamos una carpeta y en el menú, presionamos el botón “Solicitar archivos”.

Se abrirá un nuevo dialogo donde podemos indicar que archivos o documentos estamos solicitando. Luego de escribir el nombre, damos clic en siguiente.

Luego se generará el enlace para que puedan cargar el archivo en nuestro OneDrive. Aquí tenemos la opción de copiar el enlace y compartirlo (1), enviar directamente un correo electrónico (2) y escribir un mensaje (3). para continuar damos clic en “Enviar”.

Luego de enviar la solicitud se nos mostrara una confirmación.

El usuario al cual solicitamos el archivo recibirá un correo con el enlace para poder cargar el o los archivos. damos clic en el botón “Cargar Archivos”

Seguimos los pasos del asistente, presionando “Seleccionar Archivos”

Una vez seleccionado el archivo, ingresamos nuestro nombre y apellido, y damos clic en “Subir”.

Si nuestra carga finaliza con éxito tendremos el siguiente mensaje.

Cuando el usuario carga el archivo, se nos enviara un correo notificando la subida.

y si ingresamos a la carpeta de nuestro OneDrive, veremos el archivo cargado con el nombre y el apellido del usuario como parte del archivo.

Con estos sencillos pasos se facilita la adopción y el uso de OneDrive para nuestros usuarios.

Saludos Samuel. 🙂

Exchange Online : Usar Network upload para importar PST a buzón de Office 365.

Con este sencillo procedimiento podemos realizar la importación de archivos PST de forma centralizada como administrador de Office 365 y sin necesitar alguna licencia adicional o software de terceros.

Como primer paso, debemos asignar el rol de “Import/Export”,   copiar la URL SAS de la organización e instalar Azure AzCopy, para esto realizamos lo siguiente.

Asignar rol de “Import/Export”

Iniciamos sesión en https://outlook.office365.com/ecp como administrador de exchange,  vamos a “permisos”  y en  “roles de administrador” damos doble clic en “Organization Management”.  En la nueva ventana seleccionamos el botón “+” bajo Roles, luego seleccionamos “Mailbox Import Export”, presionamos en “agregar” y luego “Aceptar” y finalmente “Guardar”. Desde que asignamos el permiso pueden pasar hasta 24 horas antes de poder utilizar el rol.

Obtener URL SAS, generar trabajo de importación.

Para obtener la URL SAS de nuestra organización iniciamos sesión en https://protection.office.com, con el rol de mailbox import/export asignado, en el panel de la izquierda seleccionamos “Gobierno de datos” y luego  “Importación”. En el panel derecho damos clic en “Import PST Files”.

En la siguiente ventana damos clic en “+ Nuevo trabajo de importación”

Asignamos un nombre al trabajo y presionamos siguiente.

En la nueva ventana, seleccionamos “Cargar los datos” y damos clic en “Siguiente”.

Ahora presionamos el enlace “Mostrar dirección URL de carga en la red de SAS”

Luego de unos minutos se mostrara la URL completa, la copiamos en el porta papeles y presionamos el enlace “Descargar Azure AzCopy”, sin cerrar la ventana.

Ejecutamos el instalador y damos clic en “Next”,  aceptamos los términos de la licencia y damos clic nuevamente en “Next”, “Next” y finalmente “Install”. El software no requiere mayor configuración adicional.

Cargar archivo PST.

Una vez instalado, iniciamos Azure AZCopy y ejecutamos el siguiente comando para realizar la subida del archivo PST

AzCopy.exe /Source:”ubicación share PST” /Dest:”URL SAS” /V:”ubicación share LOGS” /Y

En el ejemplo, el archivo pst esta en el path \\DESKTOP-TV8Q9DQ\PST\Samuel y en el mismo path guardaremos el log. en este ejemplo el archivo PST contiene solo un cuantos items, por lo cual la subida es rapida. En este paso deben considerar la utilización del enlace de Internet y que TODOS los archivos que estén dentro del directorio serán cargados. No es posible especificar un archivo PST.

Finalizada la carga del archivo, descargamos Azure storage explorer desde este enlace https://go.microsoft.com/fwlink/p/?LinkId=544842  para validar la correcta carga del archivo. La instalación es sencilla y no requiere mayor configuración. Una vez instalado lo ejecutamos y en la ventana principal damos clic derecho en “Storage Account” y seleccionamos “Connect to Azure Storage”.

En la siguiente ventana damos clic en “Use a shared access signature SAS URI” y presionamos “Next”

Asignamos un nombre y pegamos nuestra SAS URL en el cuadro URI, damos clic en “Next”, y en la siguiente ventana damos clic en “Connect”.

Una  vez conectado, observamos que el archivo se encuentra en la raíz de la conexión. una vez validada la subida del archivo cerramos “Azure Storage Explorer”.

Crear archivo CSV para importación.

Ahora, para continuar descargamos el archivo de asignación de PST, desde este enlace https://go.microsoft.com/fwlink/p/?LinkId=544717. Lo abrimos para editar en excel y completamos los siguientes datos

  • Workload : Exchange
  • Name : SamuelCampos.PST (nombre del archivo PST cargado a la URL SAS)
  • Mailbox : Buzón de destino.
  • IsArchive : FALSE
  • TargetRootFolder : /PSTSamuel (nombre de la carpeta donde iran los correos importados desde el PST)

Guardamos el archivo.

Finalizar trabajo de importación PST.

Ahora, volvemos al centro de seguridad y cumplimiento y  marcamos las opciones “He terminado la carga de archivos”  y “Tengo acceso al archivo de asignación” y presionamos “Siguiente”.

En la siguiente ventana, presionamos “+ Seleccionar el archivo de asignación” y subimos nuestro archivo CSV. Damos clic en validar y esperamos el mensaje de validación correcta. Luego presionamos “Guardar”.

Finalmente damos clic en “Guardar”.

Al cerrar la venta anterior, veremos nuevamente el panel principal de la importación de PST, donde ya se ha creado nuestro trabajo. En primera instancia se mostrar por unos minutos con el mensaje “Analisis en curso”

Una vez finalizado el análisis se mostrar el mensaje “Preparado para importar a Office 365”, damos clic en el.

En la nueva ventana, seleccionamos no filtrar los datos antes de importar marcando “No, deseo importar todo” y presionamos “Next”.

En la ventana siguiente, validamos el tamaño del archivo PST. Si todo es correcto damos clic en “importar datos”

Finalmente en la siguiente ventana, validamos que se haya importado de forma correcta y  presionamos “Cerrar”

Nuevamente, en el panel del proceso de importación, vemos nuestro trabajo ahora con el mensaje “Importación en curso”.

Una vez finalizado el proceso de importación del PST, se mostrara con estado completado y progreso 100%.

 

Validar carga de PST en buzón.

Una finalizado el proceso, ingresamos al buzón y podemos ver la carpeta generada con los items del archivo PST cargados. En este ejemplo la carpeta “PSTSamuel”

 

Y eso es todo!, con una herramienta provista por Microsoft , podemos hacer la carga o migración de los archivos PST de nuestros usuarios sin adquirir una licencia de terceros o un software migrador.

 

 

Saludos!
Samuel! 🙂

Office 365 : Usar SharePoint Migration Tool para migrar información equipo local/FS a OneDrive for Bussines – Usuario único.

Si necesitas migrar datos locales o de file servers a SharePoint o Onedrive,  no es necesario comprar algún software de terceros para poder realizar esta tarea tan solicitada. Basta con seguir los siguientes pasos :

Primero descargamos SharePoint Migration Tool desde el siguiente enlace :

https://spmtreleasescus.blob.core.windows.net/install/default.htm

Una vez instalado, lo ejecutamos y nos solicitara credenciales, estas deben ser las del usuario de destino de la migración, luego  presionamos el botón “Start your first migration”

Luego en la siguiente ventana, seleccionamos el tipo de migración. Para este ejemplo seleccionamos FIle Share y damos clic en “Next”.

Ahora, debemos seleccionar la ubicación de los archivos a cargar, presionamos en “Choose folder”, luego seleccionamos la carpeta que contiene los archivos que queremos migrar, para este ejemplo, 6 certificados. Para continuar damos clic en “Next”

En la siguiente ventana, debemos seleccionar el destino, en este caso, debemos escribir la URL de OneDrive del usuario. Una vez ingresado el OneDrive cargara el listado de carpetas, y  deberemos seleccionar  donde queremos migrar el contenido. Una vez seleccionado, damos clic en “Next”

En esta ventana revisamos la configuración que realizamos para la migración, podemos agregar mas carpetas o fuentes para la migración presionando el botón “+ Add another source”. si todo es correcto presionamos el botón “Next”.

en la siguiente ventana mantenemos las opciones por defecto y presionamos “Migrate” para iniciar el proceso. (en la parte 2 veremos su uso y utilidad)

La ventana se actualizara para mostrar el estado de la migración.

Una vez finalizada la migración tendremos el resultado. en esta etapa presionamos “Save” para guardar la migración en caso de que quisiéramos realizar un incremental más adelante. Si no será necesario damos clic en “No thanks” para terminar.

También podemos dar clic en “View report”, para ver el reporte completo de la migración.

Si validamos nuestro OneDrive de destino, vemos los archivos y carpetas ya migrados.

Con este simple proceso ya logramos migrar los archivos. En una próxima entrada veremos la migración de múltiples usuarios y repositorios utilizando un archivo CSV o JSON.

 

Slds
Samuel. 🙂

Office 365 Seguridad : Habilitación de Identity Management y Access Management para JIT en Microsoft 365. – Parte 1

Dentro de las medidas de cumplimiento y seguridad en Microsoft 365, existe hoy la opción de trabajar con las cuentas administrativas en modo Just in Time Access o JIT. pero ¿que es JIT?

Básicamente JIT es la entrega o activación de roles de administración privilegiados o de los permisos para ejecutar comando administrativos sensibles, solo en demanda y por periodos de tiempos finitos y previa autorización del manager.

Por ejemplo, uno de nuestros administradores debe realizar modificaciones en Exchange, para esto, debe solicitar la activación del rol de administrador de Exchange por el tiempo necesario. Luego esta solicitud es enviada a los aprobadores, quienes aprueban la solicitud y se asignan los permisos. Una vez expirado el plazo de activación el administrador pierde los privilegios y debe solicitar nuevamente la activación del Rol.

Adicionalmente podemos agregar una segunda capa de protección de comando privilegiados dentro del rol, es decir, puedes activar el rol de administrador de Exchange, pero las tareas sensibles como por ejemplo una búsqueda eDiscovery, se bloquean y necesitan elevación de permisos para poder ser realizadas.

 

¿Que me ofrece Microsoft 365 para lograr esto?

Dentro de Microsoft 365, tenemos 2 características o productos para habilitar JIT. El primero asociado al control de la asignación o activación de roles es Privileged Identity Management o desde ahora PIM. El segundo dirigido al control de la ejecución de comandos administrativos es Privileged Access Management y en conjunto ambas PIM y PAM nos permitirán tener un mejor control sobre los administradores y sobre las tareas que ejecutan dentro del tenant.

¿Que licenciamiento necesito?

Siempre la recomendación es ir al máximo nivel de licenciamiento para poder contar con todas las características de seguridad, dentro de Microsoft 365 este licenciamiento es “Microsoft 365 E5”, aun que si tenemos otro tipo de Office 365, podemos agregar estas caracteristicas con los siguientes complementos o SKU.

  • Privileged Identity Management : Azure AD Premium P2
  • Privileged Access Management :  Advanced Compliance.

Habilitación de Privileged Indentity Management (PIM)

Para habilitar PIM, debemos ir al portal de Azure en https://portal.azure.com/#home. en el buscador superior escribimos Privileged y seleccionamos Azure AD Privileged Identity Management.

Una vez dentro del panel principal de PIM, presionamos el botón “Consent to PIM”

Si nuestro usuario no tiene activo MFA, se nos pedira verificar nuestra identidad forzando la activación. Para continuar damos clic en “Verificar mi identidad” y realizamos el proceso de enrolamiento.

Una vez finalizado el proceso de MFA  tendremos este mensaje de éxito .

Luego presionamos “Consent” y luego presionamos “si”  en el warning para continuar.

Una vez finalizado este proceso volvemos al panel principal de PIM y esta sera su vista.

Una vez activado PIM procedemos a configurar los roles, para bajo Administrar,  hacemos clic en Roles de Azure AD. Luego presionamos en la opción “Registrar PIM para roles de Azure AD”.

Luego, presionamos registrase

Comenzara el proceso de registro y una vez completado nos llevara de vuelta al panel principal del PIM. En este paso recomiendo esperar 1 minutos y actualizar la pagina desde el navegador para refrescar los cambios realizados.

Finalizado este proceso, ya nos encontramos en condiciones de configurar y asignar roles. Antes de realizar esta tarea haremos una validación de las cuentas dentro de nuestro tenant que ya cuentan con permisos administrativos para poder realizar las modificaciones necesarias para PIM. Para realizar esto desde el panel de administración, bajo “Administrar” damos clic en “miembros”.

En la imagen anterior, podemos ver que todos los administradores del tenant están con activación permanente. para este ejemplo, usaremos el usuario Samuel Campos, quien es administrador de Exchange  permanente  y ahora lo convertiremos en “Apto” para ser administrador de Exchange y no tener los permisos de forma fija, Para esto damos clic en el usuario para ver las opciones. en la tarjeta siguiente presionamos el botón, “Establecer como apto” para remover la asignación permanente del rol de administrador de Exchange, con este simple paso logramos el objetivo.

Ahora debemos configurar las características del rol para la asignación, es decir,  cual es la activación máxima en horas para el rol, las notificaciones, solicitar un numero de ticket asociado a la activación y configurar si el rol requiere aprobación o sera de activación automática. Para realizar esto, bajo “Administración” damos clic en “Configuración” y luego en “Roles”

Luego, buscamos el rol, para este ejemplo “Administrador de Exchange” y damos clic en el y en la tarjeta realizamos la configuración. para este rol configuraremos un máximo de activación de 2 horas, habilitaremos las notificaciones, solicitaremos un numero de ticket o incidencia para asociar a la solicitud y haremos que requiera aprobación antes de activar(debemos agregar el aprobador o grupo de aprobador. Para finalizar damos clic en “Guardar”.

Esta configuración la debemos hacer por todos los roles que queramos proteger de la misma manera. para este ejemplo solo lo haremos con el rol de Administrador de Exchange.

Validando permisos en el usuario.

Luego de dejar al usuario Samuel Campos solo como “Apto” para ser administrador de Exchange, revisemos su comportamiento ingresando a https://outlook.office.com/ecp. al revisar la pagina solo tenemos acceso a validar nuestro perfil y cero permisos administrativos.

Ahora, para solicitar la activación del rol, ingresamos con el usuario Samuel Campos a https://portal.azure.com. y en la barra superior buscamos Privileged Identity Management y damos clic en el.

Luego en la ventana de PIM, pinchamos la opción “Mis roles”

Una vez dentro de la ventana de “Mis roles” presionamos el boton “Roles de Azure AD” y en panel derecho, veremos nuestros roles asociados. Para el usuario Samuel Campos solo tenemos el rol de adminstrador de Exchange, entonces para activar el rol damos clic en “Activar”. En este paso el usuario debe tener activado MFA, de lo contrario, antes de activar el rol se le forzara a configurar MFA.

Al presiona activar, nos llevara al detalle del usuario y nuevamente debemos presionar en “Activar”

En la siguiente tarjeta, debemos ingresar los datos de activación, para este ejemplo, solicitamos 2 horas de permisos como administrador de Exchange, asociado a un numero de requerimiento , indicando el sistema y el detalle. Al presionar “Activar”, por la configuración del rol, se enviara una solicitud de aprobación al manager asignado.

El aprobador, recibirá un correo indicando que existe una solicitud de PIM pendiente, con un que lo llevara directo al panel de control para aprobar o rechazar la solicitud.

Luego de presionar aprobar, el aprobador, deberá indicar una razón de por que se aprueba la solicitud y presionar en “Aprobar” nuevamente. Luego de presionado el botón activar, cambia el estado del usuario, por lo cual podemos validar visualmente que el rol esta activo.

Luego de esta acción por parte del aprobador, el usuario solicitante recibe un correo indicando que el rol se encuentra activo junto con la fecha de expiración del permiso.

si actualizas la pagina de “Mis roles”, podemos ver que el rol ya se encuentra activo y la fecha de caducidad del permiso.

 

Finalmente con el usuario, nos dirigimos nuevamente al portal de administración de Exchange, y ya están asignados los permisos administrativos por el tiempo solicitado, en este caso 2 horas.

 

Con estos simples paso, ya logramos que nuestros administradores de los servicios no mantenga permisos de forma permanente en sus cuentas y que solo se activen en función de las tareas y requerimientos generados en el día a día.

En la próxima entrada veremos la forma de limitar el acceso administrativo ya asignado controlando la ejecución de comando Powershell con Privileged Access Management, PAM, y en conjunto con PIM generar un entorno administrativo mas seguro con Just in time access.

 

Saludos
Samuel 🙂

Office 365 Seguridad y Cumplimiento : Crear nueva directiva y etiqueta de protección de información con Azure Information Protection.

En Office 365, no solo podemos proteger el acceso a los archivos, sino que también podemos proteger la información contenida en el mismo. Para esto utilizamos Azure Information Protection.

¿Que es Azure Information Protection?

Azure Information Protection (a veces denominado AIP) es una solución basada en la nube que ayuda a una organización a clasificar y, opcionalmente, proteger sus documentos y correos electrónicos mediante la aplicación de etiquetas. Las etiquetas pueden ser aplicadas automáticamente por los administradores que definen las reglas y condiciones, manualmente por los usuarios, o una combinación donde los usuarios reciben recomendaciones.

Ejemplo de información Confidencial

Para esta etiqueta, vamos a suponer que contiene información que solo puede accedida por 3 usuarios :

  • Tony Stark
  • Steven Rogers
  • Nick Fury.

Sin embargo existe un cuarto usuario que no debe tener acceso a la información, para este ejemplo ese usuario sera :

  • Scott Lang

Creado la etiqueta con protección.

Ya que tenemos el requerimiento funcional básico establecido, podemos comenzar a realizar la configuración. Para este ejercicio se da por entendido que Azure Information Protection o de ahora en adelante AIP, ya se encuentra configurado, se encuentra instalado el cliente AIP en los equipos de los usuarios y se cuenta con el licenciamiento necesario. los usuarios de este ejemplo tienen licenciamiento Office 365 E5 + Enterprise Mobility + Security E5.

Como primer paso, nos dirigimos a https://portal.azure.com, luego nos dirigimos al panel de AIP, seleccionamos Etiquetas y luego agregar nueva etiqueta.

Al hacer clic en agregar nueva etiqueta, se abrirá una nueva tarjeta de configuración para la etiqueta, le damos un nombre, una descripción y un color para ser clasificada.

luego, vamos a aplicar la protección de la información, para ellos seleccionamos la opción “Proteger”

se abrirá una nueva tarjeta con la configuración de protección para la etiqueta. En la primera opción, “Configuración de protección”, mantenemos  “Azure (clave de nube)” ya que nuestro ambiente es full cloud y en el tipo de acción de protección seleccionamos “Establecer Permisos” y luego damos clic en “+ Agregar permisos”.

Al presionar en “+ Agregar permisos”, tendremos una nueva tarjeta de configuración, donde podemos seleccionar los usuarios y aplicar los permisos de protección. Este escenario solo los usuarios Tony Stark, Steven Rogers y Nick Fury tendran acceso a la información de los documentos marcados con esta etiqueta.  Para continuar damos clic en “Examinar Directorio” bajo la opción “Especifcar usuarios y grupos”. Para este ejemplo usaremos un grupo llamado “Crisis” que contiene a los usuarios mencionados, lo buscamos y damos clic en aceptar.

Luego de seleccionar los usuarios o grupos, debemos especificar los permisos que se asignaran junto con la etiqueta. para este ejemplo, asignamos el rol de Co-Owner y damos clic en aceptar. Con esta indicación solo los usuarios miembros del grupo “Crisis” serán los co propietarios del documento etiquetado y ningún otro usuario tendrá acceso a la información.

Una vez asignado los permisos, volvemos a la tarjeta de configuración de la protección. Si necesitamos que los accesos al contenido de los archivos tenga expiración podemos configurar esta opción. en este ejemplo, lo mantendremos en el defecto, es decir “Nunca”. También configuraremos el acceso a los archivos durante un periodo sin conexión, para este ejemplo, lo configuraremos en 7 días, es decir, que si el usuario no tiene conexión a Internet en 7 días, al 8 no podrá acceder a la información del archivo  a menos que inicie sesión en linea.

Una vez finalizada la configuración de protección de la etiqueta, validamos que todo se haya configurado correctamente y  damos clic en “Aceptar” para volver a la configuración general de la etiqueta.

Continuando con la configuración de la etiqueta, luego de la protección, configuramos los distintivos visuales o marcas al documento. para esta etiqueta activamos las 3 opciones, es decir :

  • Encabezado
  • Pie de página
  • Marca de agua.

Según nuestro plan de configuración, para el encabezado y pie de pagina se debe usar el texto “Solo para grupo de crisis” , y usaremos las demás opciones por defecto.

También configuramos la marca de agua con el texto “CRISIS” y todas las demás opciones por defecto.

Para la configuración de las condiciones de etiquetado automático, no configuramos nada. Validamos que la configuración de la etiqueta sea correcta y damos clic en “Guardar”.

En el warning que se nos muestra damos clic en Aceptar, para guardar y publicar nuestra etiqueta. Al finalizar el proceso, se nos enviara nuevamente al panel principal de AIP, donde podremos ver la etiqueta creada exitosamente.

Creando la directiva

Luego de crear la etiqueta para el grupo de usuarios específicos, generaremos una directiva, para asignar esta etiqueta solo a los usuarios escogidos. par esto desde el mismo panel de AIP, seleccionamos la opción “Directiva” y luego “+Agregar una directiva”.

Al dar clic en agregar directiva, se abrirá la nueva tarjeta de configuración de la directiva. En primera instancia debemos escribir el nombre, una descripción y seleccionar  los usuarios o grupos a los que se les asignara la directiva y las etiquetas contenidas en ella. para este ejemplo continuamos con el grupo “Crisis”, lo seleccionamos y aceptamos par agregar el grupo.

para continuar, en Agregar o quitar etiquetas, damos clic en agregar.

En la tarjeta siguiente, seleccionamos la etiqueta que creamos en el paso anterior, “Crisis” y la seleccionamos, damos clic en aceptar para guardar.

Luego, en la configuración de la  directiva, seleccionamos “Crisis” como la etiqueta predeterminada (27) y activamos la opción “Agregar el botón No reenviar a la cinta de Outlook” (28). el resto de las opciones las mantenemos por defecto y damos clic en el botón guardar.

Nuevamente se nos mostrara un warning o alerta, si todo es correcto damos clic en Aceptar para guardar nuestra directiva.

 

Probando la directiva y sus etiquetas.

 

Para probar el correcto funcionamiento de la etiqueta, iniciamos sesión en el equipo del usuario Tony Stark y abrimos un nuevo documento de Word. Si prestamos atención a la barra de AIP en Word, podremos ver la aplicación de la directiva que creamos, solo con la etiqueta “Crisis”, y la descripción de la misma.

al presionar sobre la etiqueta y aplicarla al documento , automáticamente se agregaran la marca de agua, el encabezado y el pie de pagina. también se nos mostrara un tip indicando la etiqueta que protege al documento.

Para probar la etiqueta, el usuario Tony Stark, comparte el documento con los usuarios Steven Roger y Nick Fury que son partes del grupo indicado en la etiqueta como co propietarios del  documento, pero adiciona en copia al usuario Scott Lang, el cual no tiene permisos sobre el documento etiquetado.

El usuario Scott Lang, descarga el adjunto e intenta abrirlo y obtiene el siguiente mensaje indicando que debe iniciar sesión con una cuenta con permisos sobre el archivo.

Si no agrega una cuenta con permisos seguirá recibiendo el mensaje, hasta que presione el botón cancelar y Word no abrirá el documento.

Incluso, si intentamos abrir el documento con el visor de AIP en el equipo local, tendremos un error de acceso por permisos.

Ahora, intentemos abrir el mismo documento, pero al momento de solicitar las credenciales , escribiremos las del usuario Steven Rogers, quien si tiene permisos de co propietario dentro de la etiqueta de AIP aplicada al documento.

Word valida las credenciales de protección del documento

y muestra el documento con los permisos asignados, los cuales podemos ver dando clic en el botón “Permisos”

Con esta etiqueta, nos aseguramos que solamente las personas necesarias tienen acceso a la información, e incluso en caso de fuga del archivo, la información dentro de el se mantiene segura. Esta protección no solo puede ser utilizada con los usuarios del mismo tenant, si no que se puede ocupar con usuarios externos.

Modificaremos la etiqueta para incluir un usuario de hotmail con el permiso de “Solo lectura”, entonces tendremos 2 permisos separados dentro de la misma etiqueta, Co propietario para el grupo “Crisis” y solo lectura para el usuario de hotmail.

Cuando el usuario de hotmail recibe el documento, lo descarga e intenta abrirlo, sera desafiado a ingresar sus credenciales.

Al ingresar correctamente las credenciales del usuario hotmail, puede abrir el archivo en modo solo lectura. Como esta en modo solo lectura no es posible realizar capturas de pantalla, ya que se muestra todo completamente negro, pero si se puede observar en los permisos, como solo tiene asignado el permiso de lectura.

Este es el resultado de una captura de pantalla en modo solo lectura.

 

En conclusión, con la implementación de Azure Information Protection, podemos frenar la filtración de  información privilegiada en archivos protegidos con AIP, utilizando Azure RMS para el control del acceso a la información, si esto lo sumamos a un correcta generación de políticas DLP podemos controlar de manera efectiva el flujo y seguridad de la información sensible dentro de las organizaciones.

En otro post veremos como etiquetar documentos automáticamente basado en condiciones, y como utilizar las etiquetas de AIP en las reglas de transporte de Exchange Online.

 

Saludos
Samuel.

 

Office 365 : Busqueda eDiscovery en canales de Microsoft Teams.

Microsoft Teams, por cumplimiento, almacena todas nuestras acciones dentro del team. Es por esto que TODAS nuestras acciones, como por ejemplo los chats, son almacenados para posterior consulta, por lo cual, podemos realizar búsquedas eDiscovery incluso, en los chats de los canales , así como en los chats privados y archivos de un team. Para ejemplificar esta posibilidad, he generado un team de prueba con el siguiente mensaje en el canal.

Ademas agregue un archivo Word llamado “Proyecto eDiscovery” para el ejemplo.

Realizando la búsqueda.

Antes de realizar la búsqueda, el usuario debe tener asignado el permiso “Administrador de eDiscovery”.

Como primera tarea, abrimos una ventana de Edge o Internet Explorer y vamos a https://protection.office.com y en el menú lateral seleccionamos eDiscovey, nuevamente eDiscovery y luego en el panel derecho, seleccionamos “Crear caso”.

Le asignamos un nombre y una descripción y damos clic en “Guardar”

Una vez creado el caso, damos clic en “Abrir”.

Una vez dentro del caso,  seleccionamos la pestaña “Búsquedas” y a continuación presionamos el botón “+ Nueva búsqueda”.

se abrirá la ventana para generar la nueva búsqueda eDiscovery. Dentro de “Palabras claves” introducimos el criterio de la búsqueda, para este ejemplo, “Proyecto eDiscovery”.

 

En ubicaciones, podemos selecciona el campo de acción de la búsqueda, he indicarle en cual de los sistemas debe realizara. En este caso, queremos realizar la búsqueda dentro de un canal de Team, por lo cual debemos seleccionar “Ubicaciones especificas” y dar clic en “Modificar…”. Luego en la ventana de “Modificar ubicaciones”, pinchamos “Elegir usuarios grupos o equipos”.

En la ventana siguiente buscamos el nombre de nuestro team, lo seleccionamos y damos clic en “Elegir” y luego “Guardar”.

Luego, en la pantalla principal de la búsqueda, damos clic en “Guardar y ejecutar”.

Luego de ejecutar la búsqueda, el tiempo de espera dependerá de la cantidad de datos a analizar. una vez finalizada la búsqueda podremos ver los resultados en el panel.

En la imagen se puede observar que en el team seleccionado, encontró un resultado. el cual es mostrado como un IM (mensaje instantáneo), con los datos del remitente y fecha de enviro del mensaje. en el panel secundario del hallazgo, podemos ver mas información como el correo del remitente, el correo y nombre del grupo al cual fue enviado, la fecha y hora, el contenido encontrado y la opción de descargar el elemento directamente. en este caso, al ser un mensaje de chat y almacenarse para estos fines en Outlook, el resultado sera un archivo con extensión .eml.

Si abrimos el archivo descargado, este se mostrara como un ítem de Outlook donde se podrá leer el contenido.

También podemos exportar los resultados si la cantidad no permite realizar la descarga ítem por ítem, o si incluimos mas ubicaciones.(Exchange, Teams, SharePoint). Para realizar la tarea de exportar, volvemos al panel principal de las búsquedas, seleccionamos la que queremos exportar y en la ventana de información seleccionamos el botón “Mas” y seleccionamos la opción “Exportar resultados”

Configuramos las opciones adecuadas a nuestro requerimiento y damos clic en Exportar.

Luego, vamos a la pestaña “Exportaciones” y damos clic en nombre de nuestra búsqueda. en la ventana que se abre copiamos al portapapeles la clave del export y  presionamos el botón “Descargar resultados”.

Si estamos realizando esta acción en un navegador distinto a Edge o Intenet Explorer, se nos indicara que no esta soportado.

Si lo realizamos desde Internet explorer, se abrirá la instalación de Microsoft Office 365 eDiscovery Export Tool, para continuar hacemos clic en “Install”

Luego de instalada la aplicación, se abrirá automáticamente y debemos ingresar la clave del export que copiamos en el paso anterior he indicar la ubicación para la descarga, una vez realizado esto, damos clic en Start,

Una vez finalizado el proceso, se nos indicara en la misma aplicación.

Si revisamos en el directorio, se crean las carpetas separadas por ubicación. dentro de ellas encontraras los documentos conteniendo los datos buscados, ademas de un sumario, el resultado de la busqueda en un archivo csv y los logs.

Ahora, para búsquedas mas avanzadas podemos utilizar Advanced eDiscovery, pero eso en otro post.

Saludos
Samuel.

IMPORTANTE: Office 365 anuncia el fin del soporte de TLS 1.0 y 1.1.

Microsoft ha comenzado a informar con respecto a la finalización del soporte para clientes y dispositivos que utilicen los protocolos TLS 1.0 y 1.1 desde el 1 de Junio de 2020.

Esto quiere decir que desde el 1 de junio de 2020, todos nuestros clientes de correo o aplicaciones que utilicen el protocolo TLS 1.0 y 1.1 para conectarse y comunicarse con Office 365 DEJARAN DE FUNCIONAR.

Lo mismo ocurrirá con impresoras con scanner que envíen correos a Office 365 a través de SMTP autenticado utilizando TLS 1.0 y 1.1 , por lo cual se debe comenzar a validar la capacidad de actualizar el software de nuestra impresora. Si esto no es posible se debe remplazar la impresora o buscar métodos alternativos para el re envío de los correos hacia Office 365. (SMTP Relay)

A continuación el reporte oficial de Microsoft.

Mensaje TLS 1.0/1.1 O365

 

Saludos
Samuel 🙂

Office365 : FastTrack, recursos para la presentación y adopción de la plataforma.

Durante los proyectos de implementación o migración a Office 365, uno de los principales elementos es dar a conocer a nuestros usuarios la nueva plataforma y generar expectativa respecto a la misma.

Siempre si nuestra empresa cuenta con un departamento de Marketing o comunicaciones , podrá generar toda esta documentación correos y póster de difusión sin problemas, ¿pero si estamos en una empresa pequeña o mediana?

Para este escenario, Microsoft pone a nuestra disposición una serie de plantillas de Póster, correos y documentos para editar y entregar a nuestros usuarios, separado por producto o plataforma.

Para poder descargar y utilizar este contenido, solo debemos dirigirnos a la siguiente URL

https://www.microsoft.com/es-cl/fasttrack/resources?rtc=1

Los productos cubiertos son :

  • FasTrack
  • Microsoft Teams
  • MyAnalytics
  • Office 365
  • OneDrive
  • Outlook
  • Outlook para Android
  • Planner
  • PowerBi
  • SharePoint
  • Skype for Business
  • Yammer.

Si queremos preparar a nuestros usuarios para la adopción de Office 365 y sus productos, podemos también utilizar este centro de entrenamiento, dispuesto por Microsoft para nuestros usuarios.

https://support.office.com/office-training-center?wt.mc_id=MAC_2011404_EndUser_TrainingTile

En conjunto con ambas herramientas, podemos lograr una buena comunicación , preparación y aceptación de la nueva plataforma de trabajo.

 

Saludos
Samuel. 🙂

Office 365 PowerShell : Obtener todos los administradores del tenant con PowerShell.

En el caso de que por auditoria necesitemos exportar todos los usuarios con roles administrativos asignados en nuestro tenant de Office 365 podemos hacerlo de forma sencilla con este sencillo script.

Write-Host “Importando Modulo de Microsoft Online Services”

Import-Module MSOnline

Write-Host “Obteniendo Credenciales”

$Credentials = Get-Credential

Write-Host “Conectando a Microsoft Online Services”

Connect-MsolService -Credential $Credentials

Write-Host “Obteniendo Administradores y guardando en c:\Temp (si c:\Temp no existe se debe crear y volver a ejecutar)”

Get-MsolRole | %{$role = $_.name; Get-MsolRoleMember -RoleObjectId $_.objectid} | select @{Name=”Role”; Expression = {$role}}, DisplayName, EmailAddress | Export-CSV -path c:\temp\RolesAdministradoresTenant365.CSV -NoTypeInformation -Encoding UTF8

Guardamos el archivo como PS1. El script guarda el resultado en el disco C y en la carpeta TEMP. Si esta carpeta no existe la creamos o modificamos el script con una carpeta ya existente. Como único pre requisito, necesitaremos tener instalado el modulo de MSOL, que puede ser instalado con el comando InstallModule MSOnline.

Con el pre requisito del modulo MSOnline, ejecutamos el archivo guardado desde powershell.

Se nos solicitaran las credenciales para conectar al servicio MSOL.

Una vez ingresadas las credenciales, se ejecuta el script.

 

Según lo esperado, se crea el archivo CSV en la carpeta c:\temp.

Luego, podremos personalizar el reporte a nuestro gusto dentro de Excel y procesar los datos.

 

Saludos
Samuel 🙂

Office 365 MFA : Evitar que se solicite validación MFA en la Oficina.

Si somos unos buenos administradores y habilitamos MFA para nuestros usuarios con la configuración por defecto, en algunos escenarios, nos encontramos con el problemas de los usuarios a quien se les solicita validación MFA incluso desde la oficina, generando perdida de tiempo y sensaciones incomodas.

Para evitar este problema para los usuarios, y para mantener activo MFA, podemos agregar las direcciones IP publicas de nuestras ubicaciones en el servicio, para que solo sea solicitada la validación en ubicaciones externas.

En este escenario, el usuario, Samuel, es desafiado a validar su inicio de sesión con MFA, desde la ubicación con la IP 186.11.71.XXX.

 

En este ejemplo, la IP 186.11.71.XXX es la dirección publica de nuestro acceso a Internet en la oficina. Para evitar que al usuario se le solicite la validación de MFA, debemos realizar lo siguiente.

Nos dirigimos a https://portal.azure.com  Una vez dentro seleccionamos Azure Active Directory (1), luego MFA (2) y en la pagina de introducción de MFA, seleccionamos Configuración adicional de MFA basado en la nube (3).

En la pagina de configuración de la autenticación multifactor, bajo la opción de direcciones IP de confianza ingresamos nuestra(s) direcciones IP externas, en este ejercicio 186.11.71.XXX/24 y damos clic en guardar.

 

Luego de unos minutos, al iniciar sesión desde la ubicación ingresada, el usuario ya no sera desafiado a validar su autenticación mediante MFA cuando se conecte desde la ubicación de confianza.

 

Saludos
Samuel :).