Posted on by

BRK2277: Authorize and automate Teams guest access with surgical precision (Part 2)

Michael Mukalian, Sr. MTC Technical Architect

 

Zweiter Teil der Session – heir geht es mehr darum, zu steuern, was Gäste können, wenn sie drinnen sind

 

(Gast ist eine Person, die keine Identity in meinem Unternehmen hat. Idealerweise kontrolliert die Org. des Gastes die Identität)

 

Nette Zeichnung

IMG_20191107_125020

 

AUfgebaut:

Zuerst nur Teams und AD

dann die Apps und O365 Groups

am Schluß die Boxen dazwischen

 

Gastzugang früher:

In Wirklichkeit hatte der Gast keinen echten Unterschied zu meinen Mitarbeitern – war ein Member meines ADs, mit VPN und so

Wenn ich niemanden traue, dann schliesse ich alle Zugänge von aussen …

 

Gastzugang heute:

Die Cloud kennt meine Identity – mit Cond. Access bekomme ich Zugang basierend auf meinem Gerät, meinem Zugang, meinen Apps und meinen Daten

Ich kann die selben Bedingungen auch anwenden für andere SAAS Apps outside meiner CLoud

IMG_20191107_125713

 

Mit Azure App Proxy kann ich webenabled Apps onPrem durch meine Cloud nach aussen “freischalten”

 

WIe schaut das jetzt mit dem Gastzugang aus ?

Gast wird in das AAD eingeladen – hat keinen Zugriff auf die OnPrem Sachen

Der Gast authentifiziert sich gegen SEIN Directory (AAD, Google, MS Account)

und wie ich immer sage: Wenn die Org, in der der Gast arbeitet, den Gast kündigt, ist seine Authentifizierung weg

 

Ich kann bei Gästen MFA verlangen (wenn ich MFA lizenziert habe)

 

Demo:

Zugriff auf Teams ist nur via Web möglich

CAS Policy

CAS Policies gehen jetzt auch speziell für Gäste

Ich kann bei CAS auch sagen: Du brauchst ein compliant Device, ein Hybrid AAD joined device, ..

Oder sagen, wenn du von einem nicht UNternehmensdevice kommst, kannst du nix downloaden

Die Policies werden immer granularer

 

(Der Vortrag ist recht oberflächlich, aber gute Story)

 

Block Downloads

der Gast kann die Dokumente online bearbeiten und ansehen – aber nicht downloaden

 

 

 

OverAll – guter Vortrag, man merkt, das der in einem MTC (Microsoft TEchnology Center) arbeitet.

Aber nicht wirklich viel Neues.

Diese DInge klingen alle sehr gut (und sind auch sehr gut), erfodert aber auch gute Security Verantwortliche beim Kunden.

Die Policies kann nicht ich für den Kunden definieren – ich kann ihn nur unterstützen…

Published by Christian

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert