Skip to Content

IT nieuczesane.
category

Category: Cloud

nieautoryzowany email do zmiany hasła office365

ciekawy przypadek

firma X qpiła klientowi licencje i założyła tenant office365. projektu nie zrealizowała i przeszedł na nas. pozmienialiśmy wszystkie dane, przepięliśmy konto Global Admina, łącznie z ‚aternative mail address’. można to zrobić z interfejsu, a z PS wygląda to tak:

i niby wszystko załatwione….

ale zupełnie przypadkiem postanowiłem sprawdzić zmianę hasła i moim oczom ukazało się:

Microsoft Online Password Resetprzy czym ten drugi adres, należał do osoby z firmy X.

przeczesałem wszystkie znane miejsca i nigdzie tego adresu nie ma. w panelu o365 również widać tylko podstawowy.

o365 support

bardzo rozczarowało mnie wsparcie o365. wysłałem ticket jako partner obsługujący klienta, z oznaczeniem ‚critical – security breach’. przy każdej wymianie korespondencji były mi proponowane te same kroki, te same pytania, wysłałem screenshoty, wysłałem PSR (problem steps recoder) i nadal dostawałem instrukcję jak zmienić email przez portal o365. po kilq mailach ticket został zamknięty z informacją mniej-więcej ‚ten problem to nie problem’.  nie było eskalacji, po prostu nie potrafił rozwiązać to zamknął. łoś.

rozwiązanie

trochę mi zajęło, ale znalazłem miejsce, gdzie zapisany został drugi adres. trzeba założyć AzureAD [tak na prawdę pod spodem i tak się zakłada, ale cały portal manageazure jest nieaktywny], wyedytować właściwości domeny, włączyć usługę ‚Reset Password’ i przejść do skonfigurowania maila. okazuje się, że jest to oddzielna baza, do której nie ma innego dostępu [?]. poniżej kroki w obrazkach:

  • założenie portalu AAD

EnterAzureAD

  • Przejście do konfiguracji domenyResetPassword00
  • włączenie Reset Password. następnie trzeba przejść na stronę gdzie można skonfigurować dane [zaznaczone]ResetPassword01
  • i już widok samej strony gdzie są skonfigurowane daneResetPassword02

eN.

OneDrive for business – sync

TVtaki mały trick… ponieważ po raz kolejny rozwaliła się lokalna biblioteka, i ponieważ po raz kolejny straciłem czas i nerwy, a do normalnej wersji zostało jeszcze ok. pół roq, mały tips, który może oszczędzi komuś zgrzytów:

  • jeśli otworzy się bibliotekę z Edge albo FF to zostanie się przekierowanym na stronę z downloadem całego office2o13 – zainstaluje się 1GB po to, żeby był klient OneDrive2o13, i zaczyna tak bruździć, że pozostaje tylko usunięcie profilu użytkownika.
  • ale jak otworzy się z IE, to okazuje się, że ten klient z office16 zawiera odpowiedniego klienta i jednak potrafi synchronizować, i wtedy na jakiś czas znów można korzystać…

… aż znów z niewiadomych powodów zacznie się kaszanić. średnio biblioteka współdzielona wytrzymuje mi ok. miesiąca i zaczyna się rozjeżdżać /:

kilka rzeczy, których robić nie wolno, bo generują problemy [nie zawsze, ale lepiej unikać], dla bibliotek z wymuszeniem check-in:

  • zapisywać plik z Internetu/załącznik z maila. chodzi o ADS, który bloqje synchronizację
  • nadpisać plik. trzeba usunąć, wymusić sync i nagrać
  • korzystać z aplikacji, które robią lock na plikach

eN.

NoDrive for business

driveflagowy produkt chmurowy do pracy grupowej – przestrzeń plików OneDrive… rozwiązanie na rynq – od wielu lat. powstał z usługi groove, którą pamiętam jeszcze z 2oo7. korzystał z niej chyba tylko eMeS (; potem przerodził się w SkyDrive, a za chwilę w OneDrive, ze względu na roszczenia do nazwy przez brytyjską stację. została nazwa klienta – groove.exe.

OneDrive został zintegrowany z w8, i za chwilę doczekał się nowej, szaleńczej nazwy – OneDrive for Business New Generation Sync Client. sam akronim mógłby być wyrazem – ODfBNGSC [ O_o’ ] . literek jak w podręczniq do nauki alfabetu, a co potrafi ten klient? ponoć charaktryzuje się ‚większą wydajnościa i stabilnością’.

w końcu opublikowano oficjalną roadmapę dla klienta NGSC opisującą jakie to mega-ficzery pojawią się w najbliższym update, dostępnym w ciągu najbliższych 2tyg. ale.. ale najważniejszy zapowiedziany jest dopiero na jesień!

SharePoint Document Library Sync—We’re adding SharePoint Online document library sync, starting with a preview in the third quarter of 2016, with general release by the end of 2016.
na tą chwilę aby korzystać z biblioteki współdzielonej, konieczne jest skorzystanie ze starego klienta groove. tutaj jest kilka dziwnych scenariuszy – niby klient załączony jest do office 2o16… ale czasem nie jest. nie chce mi się dochodzić kiedy i jak to działa, bo strawiłem godziny na reinstalację wszystkiego kilqkrotnie. komponent instalujący ‚OneDrive for Business for office 2o13‚ zajmuje 1GB a co więcej – wydaje się, że nowy office 2k16 nie jest z nim kompatybilny w efekcie czego jedynym sposobem jest otwieranie dokumentów via przeglądarka Web. tak mi paraliżowało to pracę że finalnie przeinstaowałem cały system [LoL – jak w 9o’], bez instalacji dodatkowego komponentu wskazanego w linq. i to jest właśnie największa bolączka wszystkich dotychczasowych wersji tego klienta: brak możliwości debugowania i reperacji.
nie ma również na ten temat w zapowiedziach – ani debugowania, ani logowania, ani reperacji błędów synchronizacji. być może przestanie to być takie krytyczne, jeśli klient zacznie w końcu działać porządnie, ale obecnie sytuacja jest żenująca. w przeważającej ilości przypadqw, jedynym sposobem naprawy problemów synchronizacji jest jej wyłączenie i powtórne włączenie, co wiąże się założeniem kolejnego katalogu i powtórnej, pełnej synchronizacji. w przypadq jeśli biblioteka ma kilka-kilkanaście GB to nie jest zabieg miły ani przyjemy. podobnie sama instalacja potrafi tak namotać, że nie wystarczy nawet przeinstalowanie pojedynczych komponentów.
pozostaje być cierpliwym i do końca roku przecierpieć i liczyć na to, że ODfBNGSC będzie w końcu działał jak należy, bo  wpływ na efektywność pracy w obecnej postaci, jest olbrzymi /:
eN.

zdrada z SSO do chmury

Simple-Cloud-Iconscenariusz: aplikacje office365 + ADFS. wdrożona integracja.

realizacja SSO: da się skonfigurować całe rozwiązanie tak, żeby z dowolnej przeglądarki mieć logowanie SSO – automatyczne przekazanie tokena, bez konieczności podawania hasła. wymaga to trochę gimnastyki, ale da się zmusić zarówno Edge, Chrome oraz FF. innych nie testowałem, ale nie widzę powodów, dla których by nie miało działać.

linki może kiedyś w innym wpisie a tymczasem coś, o czym rzadziej się mówi – czyli zdrady z tym związane.

  1. SSO – czyżby? nie tak do końca. ze względu na przekierowania i obsługę domeny, trzeba wpisać przynajmniej nazwę użytkownika. owszem – jeśli z rozwiązania się korzysta, to nazwa jest zapamiętana i wystarczy kliknąć. jeśli użytkownik posiada konto w o365 o takiej samej nazwie jak liveID to dochodzi ekran wyboru work account\live id.
    tylko IE da się zmusić do tego, żeby w pełni automatycznie przekazywał token logowania – choć nie jestem pewien czy nie ma tu też jakiegoś scenariusza z wyjątkiem.
  2. kiedy skonfigurowany jest pełny automat, to dla osób posiadających kilka kont – np. konto administracyjne, jest pewna zdrada: choćby na ekranie logowania w ADFS po stronie chmury wpisać konto administracyjne, po przekierowaniu na lokalnego ADFS pobrany już zostanie token z lokalnej sesji i zostaniemy zalogowani na konto użytkownika, w którego kontekście właśnie pracujemy. w praktyce oznacza to, że dla osób z dostępem administracyjnym, są dwie metody:
    1. maszyna wirtualna poza domeną/inny login
    2. konfiguracja SSO tylko dla wybranych przeglądarek tak, żeby mieć jakiś wybór do logowania innym kontem

niby oczywiste ale … spodziewałem się że wystarczy pornomode. ale również w trybie private token jest automatycznie pobierany i przekazywany. ot taka ciekawostka.

eN.

modern authentication – uwierzytelnienie do chmury

adalchmura zmienia wszystko. kto tego nie odczuł, to chyba przez ostatni rok był na wakacjach na Marsie. od długiego czasu Microsoft przepisuje wszystkie usługi na WS*, podstawą integracji Azure z onpremem jest ADFS, musi przyjść kolej i na protokoły uwierzytelnienia. stare, ‚LANowskie’, mają swoje wady przy wykorzystaniu w takiej integracji. odpowiedzią jest coś, co nazywa się ‚modern authentication’.

do czego służy? krótko – do pobrania tokenu z Azure AD, którym aplikacje będą mogły się posługiwać w celu uwierzytelnienia. efekt końcowy – natywne wsparcie dla MFA (MultiFactor Authentication) przez aplikacje oraz realizacja pełnego, przeźroczystego SSO dla aplikacji Azure.

nowość!(?)

modern authentication jest obecnie w fazie public preview – a więc w zasadzie go jeszcze nie ma. największy buzz zaczął się w listopadzie 2o15, kiedy pojawiała się nowa wersja biblioteki… ale co ciekawe, nowością nie jest. jeden z lepszych wpisów, wyjaśniających działanie biblioteki można znaleźć tutaj – datowane na sierpień 2o12… biblioteka, która odpowiedzialna jest za realizację logowania przeszła nazewniczne metamorfozy – AAL (Windows Azure Authentication Library), WAAL, a obecnie ADAL (Microsoft Azure Active Directory Authentication Library).

lista obecnie wspieranych cech i zakresu gotowości ADAL jest w poście z listopada, który wspominałem oraz na technecie. na razie więcej informacji developerskich – dość normalne dla produktu w tej fazie.

w praktyce

w praktyce potrafi skorzystać już z tego office2o16 (outlook, skype) oraz office2o13. przy czym w o16 ten typ uwierzytelnienia jest włączony standardowo, w o13 wymagane są poprawki (standardowe, więc jeśli ktoś dba o aktualizacje, to tą funkcjonalność ma) oraz włączenie funkcji w rejestrze.

to jednak nie wystarczy. podstawową zmianą jest włącznie obsługi modern authentication dla office365 – a konkretnie dla Exchange OL:

set-organizationconfig -oauth2clientprofileEnabled $true

po włączeniu, outlook i skype urzywają już MA zamiast basic authentication, co w praktyce przekłada się na niby błahą, ale istotną zmianę – nie ma już ramki z pytaniem o użytkownika i hasło, gdzie jedynym sposobem automatyzacji jest zaznaczenie opcji ‚save credentials’ i przechowywanie ich w credential managerze. teraz zmiany hasła są również przeźroczyste dla użytkownika końcowego.

eN.

Exchange – uprawnienia do kalendarzy zasobów

exchange-logoogólnie

prosty scenariusz: trzeba założyć zasób, reprezentujący samochód firmowy tak, aby ludzie mogli go sobie rezerwować. następnie chcemy aby wszyscy widzieli kto go wypożyczył i dokąd zabrał. standardowo większość informacji jest ukryta i widać tylko ogólny wpis.

w tym celu należy nadać uprawnienia do kalendarza nie jest trudno i jest sporo linków, które szybko wskażą, że można to zrobić poleceniem:

… ale:

  • po pierwsze to nie zawsze zadziała (w Polsce można uznać, że prawie nigdy)
  • są bardziej złożone scenariusze. no i co daje ‚reviewer’?? dla tego warto wiedzieć więcej – np. jakie inne uprawnienia można nadać
  • czemu nadal nie ma wszystkich informacji
  • a co przy jeszcze bardziej wymyślnych wymaganiach dotyczących automatyki? jak jeszcze może ‚reagować’ taki obiekt na rezerwację?

lokalizacja

czemu w PL nie zadziała? ponieważ ‚calendar’ to nazwa katalogu, a ta jest zlokalizowana. żeby było śmieszniej nazwa będzie zależna od… ustawień przeglądarki w momencie tworzenia obiektu zasobu (użytkownikom definiuje się kraj). sweet. ponieważ mam główną przeglądarkę ustawiona na en-US, żeby nie oglądać raniących w oczy auto-tłumaczeń technetowych czy portalu office365 w którym ciężko się połapać, część obiektów ma ‚calendar’ a część ‚kalendarz’. zakładając z command line zawsze tworzy ‚calendar’ pomimo polskich regionalsów, więc mniemam, że ten sposób jest bardziej deterministyczny (ale trzeba by porobić więcej testów na różnie zlokalizowanych systemach).

czyli zapis ścieżki do konkretnego folderu to „roomResource@wfiles.pl:\kalendarz” . i znów – tyle dość łatwo i szybko można wyszperać na forach… ale pozostaje pytanie – jak wylistować wszystkie katalogi?? skoro jest kalendarz, to pewnie są jakieś inne foldery i może da się z nimi coś zrobić? i jak sprawdzić czy to jest ‚calendar’ czy ‚kalendarz’? ale najpierw…

uprawnienia

standardowo, po utworzeniu zasobu sali lub ekwipunq jedyne co widać w kalendarzu to ‚busy’. equipmentMBXdef

można to zmienić i umożliwić bardziej pełny widok nadając uprawnienia LimitedDetails lub Reviewer (pełna lista uprawnień tutaj). różnica jest dość poważna. ograniczone detale pozwolą na zobaczenie organizatora i lokalizacji ale nie pozwolą otworzyć zdarzenia ze względu na brak uprawnień:

equipmentMBXrevequipementMBXnoaccnadanie uprawnień podglądacza (; pozwoli otworzyć wpis w kalendarzu i w pełni mu się przyjrzeć:

equipmentMBXdetaa gdzie informacje??

na pierwszy rzut oka może wygląda dobrze, ale ktoś choć trochę bardziej spostrzegawczy zauważy, że pole tematu oraz szczegółowe informacje chyba nie dają pełnych informacji. i faktycznie – standardowo, założenie jest takie: ktoś wynajmuje salę, wysyła zaproszenie, więc w tym zaproszeniu umieszcza informacje o czym będzie rozmowa, pewnie agendę, może jakieś materiały dodatkowe itd. zasób sali dostaje to samo zaproszenie co każdy inny – a to byłby niekontrolowany wyciek informacji. nie byłoby miło, gdyby cała firma wiedziała, że właśnie dyrektorzy spotykają się, np. żeby omówić zwolnienia pracowników… dla tego standardowe opcje są ustawione restrykcyjnie i wycinają wszystkie informacje.

są jednak scenariusze, w których niektóre osoby muszą wiedzieć więcej – np. dział logistyki musi wiedzieć gdzie jest samochód i po co. wtedy trzeba wykonać następujące operacje:

  • nadać ludzikom uprawnienia ‚limitedDetails’ żeby widzieli ‚kto’ ale niewiele więcej (set-MailboxFolderPermission)
  • nadać wybrańcom uprawnienia ‚reviewer’ żeby mogli wejść i zobaczyć detale (add-MailboxFolderPermission)
  • no i skonfigurować zasób tak, żeby te informacje przyjmował a nie wycinał. (set-CalendarProcessing)

zobaczmy jakie zachowania można dla zasobu ustawić:

wszystkich nie ma sensu tłumaczyć, można przeczytać na technecie, nas interesują konkretnie DeleteSubject, DeleteComents. jak widać można również pozwolić na załączniki, kontrolować czy zatwierdzanie jest automatyczne czy wymaga ręcznego potwierdzenia, czy w polu tematu dodawana jest nazwa użytkownika… i inne. przykładowa konfiguracja zasobu:

i w takim przypadq dział logistyki może zobaczyć takie krzaczki…

equipmentMBXfulllista folderów

na koniec powrócę do listy folderów. tu niestety niespodzianka: nie da się wylistować folderów dla zasobu. ponieważ zasób jest skrzynką… ale równocześnie nią nie jest. jest – i te foldery są, ale nie jest – bo tak twierdzi system. poniżej mała zabawa – wylistowanie folderów dla regularnego mailboxa, próba wylistowania dla zasobu i dowód, że jednak wszystkie foldery są…

przy czym normalny user ma nazwy katalogów po polsq bo zakładając tak miał zdefiniowaną licencję, a zasób po ang. bo był zakładany z linii poleceń, a zasoby licencji nie posiadają. wykorzystanie ‚get-mailboxfolderpermission’ w połączeniu z intuicją to jedyny sposób jaki znalazłem, żeby sprawdzić czy dany folder istnieje dla zasobu…

eN.

 

konfiguracja synchronizacji z Exchange online na android

po ugradzie do lollipopa [5.o.2] smartfon niemal umarł. nie obyło się bez przywrócenia do ustawień fabrycznych i instalacji od nowa. przy okazji okazało się, że jest nowa wersja wbudowanej wersji aplikacji do poczty elektronicznej. teraz jest „łatwiej” (;

  • jeśli po prostu doda się konto office365, bez większych problemów się konfiguruje, sam wykrywa ustawienia – po prostu rewelacja… gdyby nie fakt że:
    • potrafi synchronizować tylko maile (brak kontaktów i kalendarza)
    • nie da się ustawić auto-synchronizacji podkatalogów – obsługuje wyłącznie ręczny sync. swoją drogą po upgradzie w ogóle nie potrafił ich synchronizować…
  • zamiast konfiguracji ‚poczty’ można skonfigurować Exchange ActiveSync. auto-konfiguracja nie działa, więc trzeba pamiętać o dwóch rzeczach:
    • podając usera, wbrew temu co pokazuje interfejs, należy wpisać użytkownika w takim dziwnym zapisie: ‚\user.name@company.com’
    • serwer poczty to: outlook.office365.com

w ten sposób wszystko działa, można w aplikacji pocztowej wybrać konkretne podkatalogi do synchronizacji bieżącej, jest kalendarz i kontakty.

a outlook na andka cały czas nie potrafi uwierzytelnić przy logowaniu sfederowanym O.o

do tej pory używam androida bo lubię się systemem pobawić, coś sobie w nim pogrzebać, wymienić, zcustomizować itd… ale mam wrażenie, że andek przeżywa kryzys podobny do tego, jaki przeżywał windows XP – wszystkiego jest za dużo, a sam system, choć ogólnie dobry, po prostu niewyrabia. za mała jest kontrola nad aplikacjami. niby lollipop miał być zoptymalizowany i działać wydajniej niż kitkat, a tuż po przywróceniu do ustawień fabrycznych, bez żadnych rootów ani nawet własnych zamienników launchera, telefonu czy kontaktów – po instalacji kilq apek telefon zaczyna mulić. w widocznym stopniu spada responsywność /:

eN.

Exchange online: przekierowanie, autoodpowiedź i blokada konta (exit procedure)

scenariusz… niemiły, ale życiowy: pracownik zostaje zwolniony z pracy, mamy skrzynki w Exchange online (wyłącznie) i synchronizację ADSync/ADFS z o365. bloqjemy konto w AD i… nadal odbiera pocztę na urządzeniach mobilnych i outlook. bloqjemy wszystkie funkcje w konfiguracji exchange online (active sync, owa etc)… i nadal może odbierać pocztę (SIC!) – odbierać, kasować etc.

jest tak, ponieważ sesja web dla Active Sync/outlook jest cały czas aktywna i uwierzytelniona. informacja jest scache’owana więc przeźroczyście będzie działać aż nie wygaśnie. dopiero po jakimś czasie wymusi powtórne uwierzytelnienie i przestanie działać. w środowisq on-prem trzeba wywalić sesje z serwerów CAS i pozamiatane. w chmurze takiej możliwości nie ma…

znalazłem jakieś porady polegająca na usunięciu mailboxa, poczekaniu 15 minut i przywróceniu mailboxa… ale w środowisq ADSync tego zrobić się nie da:

The following error occurred during validation in agent ‘Windows LiveId Agent’: ‘Unable to perform the save operation. ‘<UserName>′ is not within a valid server write scope.’ 
Click here for help…

trochę to problematyczne, bo w zasadzie aby mieć pewność, trzeba usunąć userowi licencję, co spowoduje usunięcie mailboxa. uważam, że ze względu na bezpieczeństwo to rozwiązanie pozostawia sporo do życzenia.

i taka ciekawostka dotycząca odpowiedzi automatycznej. skoro pracownik nie będzie już korzystał ze skrzynki, to:

  • chcemy aby maile były przekierowywane do przełożonego
  • nadawca ma odebrać informację zwrotną typu ‚…proszę kontaktować się z…’

należy wiedzieć, że wyzwalaczem odpowiedzi automatycznej jest zdarzenie ‚wiadomość znalazła się w skrzynce’. co oznacza, że jeśli wiadomości są przekierowywane *bez kopii* do skrzynki lokalnej, to autoodpowiedź *nie zadziała*.

eN.

mobilna poczta korporacyjna

OWAcoraz więcej projektów związane jest z przeniesieniem usług do chmury. jedną z najpopularniejszych usług – Exchange online. taką pocztę trzeba jakoś odbierać… w przypadq standardowych skrzynek nie ma problemu – niemal każdy klient, nawet wbudowany w OSa (nawet srajfon), poradzi sobie z połączeniem ActiveSync i obsługą poczty.

trochę gorzej jest w momencie, kiedy korzysta się np. ze skrzynek współdzielonych (shared mailbox) – nie są wspierane przez protokół ActiveSync i należy skorzystać z klienta OWA. i tu zaczynają się kolejne ciekawostki…

  • klient OWA jest obecnie na iOS oraz w wersji beta na Android. zadziwiający fakt, że aplikacje eMeSowe są szybciej przez nich robione i poprawiane na wersje konqrencyjne jest zauważany i mocno krytykowany na forach WinBeta.
  • na Android są aż 3 apki do odbioru poczty by MS: MS Outlook, OWA (pre-release) i Outlook.com.
    • MSOutlook ma zupełnie nowy look (; nie korzystałem dużo ale na pewno jest nowoczesny, zgodnie z obecnie obowiązującymi trendami [które są dla mnie katorgą… ehh.. jak mi się nie podobają te nowe interfejsy…]. ale oczywiście działa via ActiveSync więc shared mailboxów nie obsługuje.
    • Outlook.com jest do office365 – prywatnego
    • OWA – dla o365 korporacyjnego. niestety przy uwierzytelnieniu sfederowanym z domeną nie udało mi się połączyć więc nie miałem okazji przetestować. nie wiem czy w innych scenariuszach w ogóle działa – zrzucam to na karb wersji beta.

rzuca się niemniej w oczy kilka problemów. po pierwsze podkreślany fakt opóźnień aplikacji dla bądź-co-bądź natywnej platformy jaką jest Windows Phone. po drugie – sama ilość aplikacji. czy to są jakieś wyścigi między teamami? czemu nie ma jednej, która obsługuje różne protokoły? już rozróżnienie pomiędzy o365 prywatnym i firmowym jest nieco dziwne. i finalnie – pomimo ilości aplikacji, nadal nie da się w pełni korzystać z poczty [firmowej].

nie sądzę, żeby takie zaburzenia dysocjacyjne pozytywnie wpływały na odbiór przez end-userów. odnoszę wrażenie braq spójności wizji rozwoju, i problemów z jasnym przekazaniem kompetencji pojedynczej komórce – jakby kilka działów miało własną wizję i wydają zbliżone produkty, o zbliżonej funkcjonalności.

PS. taka ciekawostka: jest na droida apka do zarządzania o365 – Office 365 Admin.

eN.

jak sprawdzić podstawowy adresy SMTP

adresy email zapisane są w atrybucie wielowartościowym proxyaddresses. adres podstawowy wyróżniony jest dużymi literami SMTP. zatem trick polega na wylistowaniu wszystkich tych wartości z tablicy, które są dużymi literami. służy do tego operator cmatch. w poniższym przykładzie dla o365:

eN.