Azure AD / Entra ID – Miroslav Šraga

Azure Communication Services od A po Z

Miroslav Šraga — Sun, 25 Jan 2026 13:03:12 +0000

Azure Communication Services (ACS) je cloudová platforma, která umožňuje integrovat e‑mail, SMS, chat, hlas i video do vlastních aplikací přes jednoduchá API a SDK.

Využívá zabezpečení a identitu Microsoft Entra ID (OAuth 2.0), nabízí škálování, telemetrii a řízení nákladů, takže se hodí pro zasílání základních notifikací až po komplexní komunikační kanály.

Pro zasílání e‑mailů je zde komponenta Azure Communication Services Email, která umožňuje programově odesílat například transakční zprávy, maily z multifunkčních zařízení, z internetových formulářů, skriptů, Logic Apps, Microsoft Sentinel a podobně.

Díky tomu může sloužit jako náhrada za končící SMTP Basic Authentication. Klíč je v tom, že namísto běžných přihlašovacích údajů se v zařízení či aplikaci použije moderní ověřování přes Entra ID a zprávy se odesílají přes Communication Srvices Email standardním SMTP protokolem na portu 25 nebo 587.

Výsledkem je spolehlivější doručování, lepší audit a governance a výrazně bezpečnější model než přímé posílání přes SMTP s Basic autentizací ale při zachování naprosto totožné funkcionality.

Azure Communication Services - Email Comminication - celý postup

Tento návod je mixem níže uvedených video-návodu, které jsem vydal již dříve. Videa jsem spojil tak, aby dávala ucelený postup od A až po Z.

Obsah:

00:00 – Úvod – Představení Azure Communication Services
02:50 – Základní limity služby
03:40 – Ceny (Azure Calculator)
06:39 – Důležité úkony, postup nasazení
09:05 – Vytvoření prostředku Azure Communication Service
11:00 – Vytvoření prostředku Email Communication Services
13:25 – Domain provisioning
– Free Azure subdomain
– Custom domain
17:45 – Propojení Azure Communication Service a Email Communication Services
19:00 – TEST: Odeslání e-mailu z Email Communication Services (Azure portál) – Free Azure subdomain
21:35 – Keys & Connection strings – pro použití v Logic Apps a prostředí Azure
22:15 – Přidání vlastní domény do Email Communication Services (DNS: SPF, DKIM)
29:05 – TEST: Odeslání e-mailu z Email Communication Services (Azure portál) – vlastní doména / custom domain
30:10 – SMTP RELAY: Řízení přístupu IAM, Entra ID – Registrovaná aplikace – Communication and Email service Owner
– Udělení oprávnění
– Vytvoření Client secret pro Registrovanou aplikaci
– Vytvoření SMTP Username (uživatelské jméno pro SMTP)
37:24 – TEST: Odeslání emailu pomocí PowerShell scriptu přes Email Communication Services – ověření SMTP jméno + heslo (přes Registrovanou aplikaci a Client Secret / OAuth)
39:37 – TEST: Odeslání emailu pomocí PHP scriptu přes Email Communication Services – ověření SMTP jméno + heslo (přes Registrovanou aplikaci a Client Secret / OAuth)
40:45 – Nastavení vlastní identifikace odesílatele (MailFrom) namísto DoNotReply
46:15 – TEST – Odeslání e-mailu pomocí PowerShell skriptu s vlastní identifikací odesílatele (MailFrom)
46:20 – TEST – Odeslání e-mailu pomocí PHP skriptu s vlastní identifikací odesílatele (MailFrom)
50:08 – Azure Logic App – napojení na Communication Services, odeslání e-mailu
55:50 – Microsoft Sentinel – napojení na Communication Services, odeslání e-mailu
1:09:35 – Závěrečné shrnutí

Azure Communication Services - odesílání e-mailu bez identity uživatele (Sentinel, Logic App)

V tomto videu se dozvíte, jakým způsobem odeslat e-mail ze služby Microsoft Sentinel nebo z jakékoliv Logic App, aniž by bylo potřeba použít identitu uživatele – tedy bez nutnosti použití identity uživatele s licencí Exchange Online. K odeslání e-mailů tedy nebudeme používat napojení na účet uživatele, ale použijeme službu Azure Communication Services a konkrétně komponentu Email Communication Service.

Obsah:
00:00 – Úvod
01:33 – Základní limity služby
02:30 – Ceny
05:33 – Vytvoření prostředku Azure Communication Service
07:35 – Vytvoření prostředku Email Communication Services
– Free Azure subdomain
– Custom domain
14:30 – Propojení Azure Communication Service a Email Communication Services
18:04 – Odeslání e-mailu z Logic App
24:40 – Nastavení vlastní domény (Custom domain)
32:17 – Azure Sentinel – jak odeslat e-mail s upozorněním na nový incident pomocí Email Communication Services
46:50 – Dodatečné informace:
– User Engagement Tracking
– MailFrom Addresses (vlastní adresy odesílatele)

Odesílání emailů přes SMTP relay pomocí Microsoft Azure Communication Services

ACS Email může sloužit jako náhrada za končící SMTP Basic Authentication. Klíč je v tom, že namísto běžných přihlašovacích údajů se v zařízení či aplikaci použije moderní ověřování přes Entra ID a zprávy se odesílají přes Communication Services Email standardním SMTP protokolem na portu 25 nebo 587.

Obsah:
00:00 – Úvod
01:50 – Důležité úkony
04:45 – Konfigurace Azure Communication Services && Email Communication Services
06:45 – Entra ID – Registrovaná aplikace
09:05 – Udělení oprávnění
09:45 – Vytvoření Client secret pro Registrovanou aplikaci
12:30 – Vytvoření SMTP Username (uživatelské jméno pro SMTP)
13:50 – TEST – Odeslání e-mailu pomocí PowerShell skriptu
15:47 – TEST – Odeslání e-mailu pomocí PHP skriptu
16:57 – Nastavenní vlastní identifikace odesílatele (MailFrom) namísto DoNotReply
21:53 – TEST – Odeslání e-mailu pomocí PowerShell skriptu s vlastní identifikací odesílatele (MailFrom)
22:32 – TEST – Odeslání e-mailu pomocí PHP skriptu s vlastní identifikací odesílatele (MailFrom)
23:35 – Tipy na závěr, doporučení, ošetření chyb
25:25 – Zjištění aktuálních kvót
26:24 – Shrnutí, závěr

Postup:
Microsoft Azure (Subscription)
Azure Communication Service (ACS)
Email Communication Service (ECS)
Internet Domain
Domain verification
Domain connection to ECS
Entra ID Registred App + Generated secret
SMTP Accounts
Mail From addresses
Test

AZURE CLI: Přidání vlastního mailFrom

# az communication email domain sender-username create --domain-name domena.cz --email-service-name 365lab-1-cs-ecs --resource-group "security-rg" --sender-username "UserName" --username "UserName" --display-name "DisplayName"

az communication email domain sender-username create --domain-name domena.cz --email-service-name 365lab-1-cs-ecs --resource-group "security-rg" --sender-username printer --username printer --display-name Printer

SCRIPT: Odeslání e-mailu pomocí PowerShell a ACS Email

# SmtpSend.ps1
# PowerShell script to send an email via SMTP
# www.sraga.cz

# Define SMTP server settings and email parameters
$SmtpServer = "smtp.azurecomm.net" # Azure Communication Services Email server
$SmtpPort = 587
$SmtpUser = "userName@domena.cz"
$SmtpPass = "clientSecretValue" # Entra ID Registreed Application
$SmtpFrom = "mailFromAddress@domena.cz"
$SmtpTo = "test@domena.cz"
$SmtpSubject = "Test email from PowerShell"
$SmtpBody = "This is a test email sent from PowerShell script."

# Create secure credentials
$SmtpSecurePwd = ConvertTo-SecureString $SmtpPass -AsPlainText -Force
$SmtpCreds = New-Object System.Management.Automation.PSCredential ($SmtpUser, $SmtpSecurePwd)

# Send the email
Send-MailMessage -From $SmtpFrom -To $SmtpTo -Subject $SmtpSubject -Body $SmtpBody -SmtpServer $SmtpServer -Port $SmtpPort -Credential $SmtpCreds -UseSsl

SCRIPT: Odeslání e-mailu pomocí PHP a ACS E-mail

 'smtp.azurecomm.net',
        'port'      => 587,
        'username'  => 'userName@domena.cz',
        'password'  => 'clientSecretValue',                 // ← store securely (env/secret)
        'from'      => 'mailFromAddress@domena.cz',
        'from_name' => 'mailFromAddress@domena.cz',
        'to'        => 'test@domena.cz',
        'subject'   => 'Test email from PHP',
        'body'      => "This is a test email sent from a pure-PHP SMTP client.",
        'debug'     => true,                 // set true to see SMTP I/O to STDERR
    ]);
    echo "Email sent OK\n";
} catch (Throwable $e) {
    // Print a clear error if something goes wrong
    fwrite(STDERR, "SMTP error: " . $e->getMessage() . "\n");
    exit(1);
}


// ---------------- Functions ----------------

function smtp_send(array $cfg): void
{
    $host        = $cfg['host'];          // e.g. smtp.azurecomm.net
    $port        = $cfg['port'] ?? 587;   // 587 for STARTTLS
    $username    = $cfg['username'];      // SMTP user (e.g. web@domain.cz)
    $password    = $cfg['password'];      // SMTP password
    $from        = $cfg['from'];          // RFC5322 From: email address
    $fromName    = $cfg['from_name'] ?? '';   // Display name (optional)
    $to          = $cfg['to'];            // recipient email
    $subject     = $cfg['subject'];       // subject (UTF-8 ok)
    $body        = $cfg['body'];          // plain text body
    $timeout     = $cfg['timeout'] ?? 30;
    $debug       = $cfg['debug'] ?? false;

    $peerName = $cfg['peer_name'] ?? $host; // SNI name for TLS

    $context = stream_context_create([
        'ssl' => [
            'crypto_method'        => STREAM_CRYPTO_METHOD_TLSv1_2_CLIENT | STREAM_CRYPTO_METHOD_TLSv1_3_CLIENT,
            'verify_peer'          => true,
            'verify_peer_name'     => true,
            'peer_name'            => $peerName,
            // If your OS trust store is standard, no need to set cafile/capath.
            // 'cafile'            => '/etc/ssl/certs/ca-certificates.crt',
            'SNI_enabled'          => true,
            'disable_compression'  => true,
        ],
    ]);

    $fp = stream_socket_client(
        "tcp://$host:$port",
        $errno,
        $errstr,
        $timeout,
        STREAM_CLIENT_CONNECT,
        $context
    );

    if (!$fp) {
        throw new RuntimeException("Connect failed: $errno $errstr");
    }
    stream_set_timeout($fp, $timeout);

    // --- Helpers -------------------------------------------------------------
    $read = function() use ($fp, $debug): array {
        $lines = [];
        while (($line = fgets($fp, 2048)) !== false) {
            $lines[] = rtrim($line, "\r\n");
            if ($debug) { fwrite(STDERR, "S: $line"); }
            // Multi-line replies have format "123-..." and end on "123 ..." (space)
            if (preg_match('/^\d{3} /', $line)) break;
        }
        if (empty($lines)) throw new RuntimeException("No response from server");
        $code = (int)substr($lines[count($lines)-1], 0, 3);
        return [$code, $lines];
    };

    $send = function(string $cmd) use ($fp, $debug) {
        if ($debug) { fwrite(STDERR, "C: $cmd\n"); }
        fwrite($fp, $cmd . "\r\n");
    };

    $expect = function(int $want) use ($read) {
        [$code, $lines] = $read();
        if ($code !== $want) {
            $msg = implode("\n", $lines);
            throw new RuntimeException("Expected $want, got $code\n$msg");
        }
        return $lines;
    };

    // --- SMTP dialogue -------------------------------------------------------
    $expect(220);                                // 220 greeting
    $ehloName = gethostname() ?: 'localhost';
    $send("EHLO $ehloName");
    $expect(250);

    // STARTTLS
    $send("STARTTLS");
    $expect(220);                                // Ready to start TLS
    if (!stream_socket_enable_crypto($fp, true, STREAM_CRYPTO_METHOD_TLSv1_2_CLIENT | STREAM_CRYPTO_METHOD_TLSv1_3_CLIENT)) {
        throw new RuntimeException("TLS handshake failed");
    }

    // Re‑EHLO after STARTTLS
    $send("EHLO $ehloName");
    $expect(250);

    // AUTH LOGIN
    $send("AUTH LOGIN");
    $expect(334);                                // "VXNlcm5hbWU6" (Username:)
    $send(base64_encode($username));
    $expect(334);                                // "UGFzc3dvcmQ6" (Password:)
    $send(base64_encode($password));
    $expect(235);                                // Auth OK

    // MAIL/RCPT
    $send("MAIL FROM:<$from>");
    $expect(250);
    $send("RCPT TO:<$to>");
    $expect(250);

    // DATA – headers + body with dot‑stuffing
    $send("DATA");
    $expect(354);

    // Headers
    $headers = [];
    $fromHeader = $fromName !== ''
        ? sprintf('From: %s <%s>', encodeDisplayName($fromName), $from)
        : sprintf('From: <%s>', $from);
    $headers[] = $fromHeader;
    $headers[] = "To: <$to>";
    $headers[] = "Subject: " . encodeSubject($subject);
    $headers[] = "Date: " . date('r');
    $headers[] = "Message-ID: <" . bin2hex(random_bytes(16)) . '@' . (parse_url("https://$peerName", PHP_URL_HOST) ?: 'localhost') . ">";
    $headers[] = "MIME-Version: 1.0";
    $headers[] = "Content-Type: text/plain; charset=UTF-8";
    $headers[] = "Content-Transfer-Encoding: 8bit";
    $headers[] = "X-Mailer: PHP-SMTP/1.0";

    $data  = implode("\r\n", $headers) . "\r\n\r\n" . $body;

    // Dot‑stuffing per RFC5321 §4.5.2
    $data = preg_replace('/\r\n\./', "\r\n..", $data);
    // Ensure ends with CRLF.CRLF
    if (!str_ends_with($data, "\r\n")) $data .= "\r\n";

    fwrite($fp, $data . ".\r\n");
    $expect(250);                                // accepted

    // QUIT
    $send("QUIT");
    $read();                                     // 221
    fclose($fp);
}

/** Encode UTF‑8 display name safely for headers */
function encodeDisplayName(string $name): string {
    // Quote if contains specials; also provide RFC2047 when needed
    if (preg_match('/[^\x20-\x7E]/', $name)) {
        return '=?UTF-8?B?' . base64_encode($name) . '?=';
    }
    if (preg_match('/[",]/', $name)) {
        return '"' . addcslashes($name, '\\"') . '"';
    }
    return $name;
}

/** RFC2047 encode UTF‑8 Subject if needed */
function encodeSubject(string $subject): string {
    return preg_match('/[^\x20-\x7E]/', $subject)
        ? '=?UTF-8?B?' . base64_encode($subject) . '?='
        : $subject;
}

Intune MDM Authority: Office 365 Mobile

Miroslav Šraga — Tue, 30 Dec 2025 11:19:51 +0000

Správa zařízení přes Microsoft Intune dnes patří k základům bezpečného Microsoft 365 prostředí. Přesto existuje jeden scénář, který dokáže i zkušeného admina poslat na několik dní do slepé uličky: MDM Authority (autorita správy mobilních zařízení), která je v M365 tenantu nastavená na „Microsoft Office 365“, v Entra ID svítí „Office 365 Mobile“, ale v Intune u zařízení vidíte „MDM: Intune“. Co je pravda? Kdo zařízení skutečně spravuje? A proč nikde nevidíte tlačítko „Změnit“?

Představte si situaci: přicházíte do firmy, která doposud Windows zařízení v podstatě nespravovala. Začnete studovat Entra ID, Intune, registrace zařízení, enrollment (včetně OOBE – Out-of-Box Experience). Firma už dokonce má zakoupených několik Intune licencí, přidělíte je sobě, testovacímu uživateli, DEM účtu (Device Enrollment Manager) i jednomu „běžnému zaměstnanci“ a jdete testovat.

Dva počítače projdou OOBE:

jeden přihlášený přes Work/School s DEM účtem
druhý s testovacím uživatelem.

V tu chvíli dává smysl ověřit „klíčovou věc“ – MDM Authority. A tady přichází první šok: místo „Intune“ vidíte „Microsoft Office 365“. Dobře, přeháním, nepřichází úplně šok, protože tyhle situace už znám, ale pro admina, který s tímto nemá zkušenoti, nastává období komplikací. A proto taky vzniká tento článek.

Kde je problém?

V diskusních fórech i v dokumentaci Microsoftu píše o „oranžovém banneru“, který vás vyzve k nastavení autority – ale vy ho nevidíte.
Dokumentace zmiňuje, že v některých tenantech se Intune nastavuje automaticky, jinde ne.
A někde se dočtete větu ve stylu „pokud byla autorita nastavena, nelze ji změnit“ – což adminovi na klidu moc nepřidá.

Microsoft ale tento stav popisuje celkem přesně: pokud je aktivní Basic Mobility and Security pro Microsoft 365, autorita se může tvářit jako „Office 365 Mobile“. Současně existuje režim koexistence, kde může být správa „rozdělená“ podle licencí uživatelů.

Proč se v Entra ID objevuje „Office 365 Mobile“?

Druhý šok obvykle přijde v Microsoft Entra admin centru: u zařízení je uvedeno, že je „spravované (MDM)“ přes „Office 365 Mobile“.

Tohle označení typicky souvisí právě s historickým/alternativním MDM v rámci Microsoft 365 (Basic Mobility and Security), které se v různých částech portálů a API může promítat odlišně. Microsoft přímo uvádí, že po aktivaci Basic Mobility and Security se MDM autorita nastaví na „Office 365“.

Důležité To, že v Entra vidíte „Office 365 Mobile“, neznamená automaticky, že zařízení dostává plnohodnotné Intune policy, konfigurace, aplikace a compliance.

A teď paradox: v Intune je u zařízení "MDM: INTUNE"

Třetí šok: v samotném Intune portálu se u zařízení ukazuje, že MDM je Intune – takže to vypadá, že všechno je v pořádku… jenže:

politiky se neaplikují,
konfigurace se „nepushují“,
app deployment nejede,
a vy už máte za pár týdnů rollout nových zařízení a nechcete to zkazit hned na začátku.

Tenhle rozpor se děje v praxi poměrně často: portály vám zobrazují „stav“ z různých vrstev (Entra objekt vs. MDM enrollment vs. policy engine). Proto je klíčové ověřit autoritu na úrovni tenantu, ne jen „nějaké políčko u zařízení“.

Klíčové vysvětlení: „oranžový banner“ se zobrazí jen tehdy, když autorita ještě NENÍ nastavena

Microsoft to popisuje napřímo:

Oranžový banner pro nastavení MDM autority uvidíte jen tehdy, když autorita ještě nebyla nastavená.
Pokud banner nevidíte, stále existuje možnost jít přímo do nastavení autority (jen to není „na očích“).

A to je přesně ten moment, kdy mnoho lidí ztroskotá: UI volba zmizí, protože v tenantu už „někdy něko“ v minulosti autoritu nastavil – klidně i dávno před vámi.

V praxi to často bývá tak, že tenant měl kdysi Microsoft 365 E5 / EMS nebo jiné licence, které Intune zahrnovaly, a někdo autoritu „nějak“ nastavil.

„Skrytý“ odkaz / blade

V tom konkrétním případě může pomoci založení support ticketu, kdy vám technik pošle přímý odkaz na obrazovku Change/Choose MDM Authority, kterou jako neznalý admin sám nikde asi nenajdete, protože se v UI už běžně nezobrazuje, když už je autorita nastavená.

Microsoft Learn zmiňuje, že když banner není vidět, můžete se do nastavení autority „proklikat“ (nebo se tam dostat přímo). V praxi se ale používá i přímý odkaz na „choose MDM authority“ blade:

https://intune.microsoft.com/#view/Microsoft_Intune_Enrollment/ChooseMDMAuthorityBlade

Po potvrzení volby znovu zkontrolujte MDM Authority na úrovni tenantu.

Když UI nestačí: přepnutí MDM autority přes MS Graph (PowerShell)

V některých případech je nejjistější cesta přepnout autoritu přes Microsoft Graph API – to je mimochodem postup, který se v reálných projektech používá často, když je „velký prostor pro chybu“ a UI nepomáhá.

Pro nastavení MDM Authority pomocí MS Graph, potřebujete tato oprávnění (od nejnižšího nutného po nejvíce privilegované:

Delegated (work or school account):
- DeviceManagementServiceConfig.ReadWrite.All, DeviceManagementConfiguration.ReadWrite.All
Application
- DeviceManagementServiceConfig.ReadWrite.All, DeviceManagementConfiguration.ReadWrite.All

Dále už stačí jen poslat HTTP request:

POST /organization/{organizationId}/setMobileDeviceManagementAuthority

Instalace MS Graph

Pozor MS Graph je nahrazena novějším MG Graph:
https://learn.microsoft.com/en-us/powershell/microsoftgraph/authentication-commands?view=graph-powershell-1.0

# Instalace modulu
install-module microsoft.graph.intune

# Import modulu
import-module microsoft.graph.intune

# Připojení k MS Graph
Connect-MSGraph

# Aktualizace Enteprise APP
Update-MSGraphEnvironment -AppId 16f0680c-7253-43cf-9805-be8443a9c3c1

Celý postup:

# Ziskat DirecotryID (tenant ID)
$DirectoryID = (Get-Organization).id

# Ziskani MDM Authority
Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/organization('$DirectoryID')?`$select=mobiledevicemanagementauthority" -HttpMethod Get | Select mobileDeviceManagementAuthority 

# Nastaveni MDM Authority
Invoke-MSGraphRequest -Url "https://graph.microsoft.com/v1.0/organization/$DirectoryID/setMobileDeviceManagementAuthority" -HttpMethod Post

UPDATE 12/2025: Přepnutí MDM autority přes MG Graph (PowerShell)


# 1) Instalace potřebných modulů (stačí jednou)
Install-Module Microsoft.Graph -Scope CurrentUser -Force

# 2) Načtení modulů (lze je importnout explicitně, nebo se natáhnou automaticky)
Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Identity.DirectoryManagement

# 3) Připojení ke Graph (delegovaně) - potřeba scopes pro MDM authority
#    Doporučení: DeviceManagementServiceConfig.ReadWrite.All
#    (případně i DeviceManagementConfiguration.ReadWrite.All podle prostředí)
Connect-MgGraph -Scopes "DeviceManagementServiceConfig.ReadWrite.All"

# Volitelné: ověřit Mg kontext
Get-MgContext

# 4) Získat Organization (tenant) a zjistit aktuální MDM authority
$org = Get-MgOrganization -Property "id,displayName,mobileDeviceManagementAuthority"

# Případně jen
$org = Get-MgOrganization 

$orgId = $org.Id
$org | Select-Object DisplayName, Id, MobileDeviceManagementAuthority

# 5) Přepni MDM authority na Intune
#    (cmdlet je oficiální cesta pro "set mobile device management authority")
Set-MgOrganizationMobileDeviceManagementAuthority -OrganizationId $orgId

# 6) Ověř změnu
$orgAfter = Get-MgOrganization -Property "id,displayName,mobileDeviceManagementAuthority"
$orgAfter | Select-Object DisplayName, Id, MobileDeviceManagementAuthority

# 7) Odpoj se
Disconnect-MgGraph

Set-MgOrganizationMobileDeviceManagementAuthority je přímo cmdlet pro přepnutí MDM authority v tenantu.
Nutný je scope typu DeviceManagementServiceConfig.ReadWrite.All (delegated/app) — uvádí to jak dokumentace cmdletu, tak Graph REST.

Alternativně lze použítInvoke-MgGraphRequest proti REST endpointům

# Instalace a import modulů
Install-Module Microsoft.Graph -Scope CurrentUser -Force
Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Identity.DirectoryManagement

Connect-MgGraph -Scopes "DeviceManagementServiceConfig.ReadWrite.All"

# Org ID
$orgId = (Get-MgOrganization -Property "id").Id

# 1) Přečíst mobileDeviceManagementAuthority (Graph v1.0 umí select property)
Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/organization/$orgId?`$select=mobileDeviceManagementAuthority" |
    Select-Object -ExpandProperty mobileDeviceManagementAuthority

# 2) Přepnout MDM authority (POST akce bez body)
Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/v1.0/organization/$orgId/setMobileDeviceManagementAuthority"

# 3) Ověřit znovu
Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/organization/$orgId?`$select=mobileDeviceManagementAuthority" |
    Select-Object -ExpandProperty mobileDeviceManagementAuthority

Disconnect-MgGraph

Co dál po přepnutí autority: realita je „re-enroll“

Tím, že autoritu přepnete, ještě nemusí být vyhráno. Častý scénář je:

autorita na tenantovi je už správně Intune,
ale některá zařízení zůstala „zapsaná“ pod starým MDM (např. Office 365 Mobile),
a pak se chovají nekonzistentně.

Doporučení z praxe:

buď se změna časem projeví,
nebo je potřeba zařízení re-enrolovat (odregistrovat a zaregistrovat znovu).

Mini checklist: když se policy neaplikují ani po správném MDM Authority

Pokud už máte autoritu správně a stejně „nic neteče“, doporučuji tento rychlý kontrolní seznam:

Ověřit MDM Authority na úrovni tenantu (Tenant Administration / Tenant Status) – musí být Intune.
Ověřit, jak je zařízení připojené (Entra joined / Hybrid joined / registered) a že má správný typ enrollmentu.
U problematických kusů udělat re-enroll (nejčistší test).
Pokud jde o Hybrid join, ověřit automatický enrollment (GPO / Povolit automatický zápis)

Závěrem

Na tento problém jsem poprvé narazil někdy začátkem toku 2024, ale přibližně jednou za půl roku někde tento problém vyplave a tak jsem se rozhodl sepsat tento návod, abych zmírnil utrpení ostatním adminům.

Bitlocker – automatické šifrování pomocí Intune

Miroslav Šraga — Tue, 17 Jun 2025 18:11:14 +0000

Mnoho správců IT se mě ptá, jak správně pomocí Intune nasadit BitLocker na zařízeních Windows 11 (ale mnohdy i 10) tak, aby se disk v tichosti na pozadí zašifroval, uživatel nemusel nikam klikat, a aby vše fungovalo „na první dobrou“. Microsoft Intune se neustále rozvíjí a umožňuje čím-dál více nastavení, avšak ne všechny konfigurace jsou vzájemně kompatibilní a vedou k požadovanému výsledku.

Prerekvizity

Aby vše klaplo „na první dobrou“, tak je potřeba splnit několik předpokladů, které, pokud nejsou splněny, tak se disk nemusí automaticky zašifrovat, nebo BitLocker nemusí jít spustit ani ručně.

Jaké jsou tedy požadavky na zařízení, které chceme automaticky na pozadí zašifrovat:

Pokud se koncoví uživatelé přihlašují k zařízením jako administrátoři, zařízení musí používat Windows 10 verze 1803 nebo novější, nebo Windows 11.
Pokud se koncoví uživatelé přihlašují k zařízením jako standardní uživatelé, zařízení musí používat Windows 10 verze 1809 nebo novější, nebo Windows 11.
Zařízení musí být připojeno k Microsoft Entra (dříve Azure AD) nebo hybridně připojeno k Microsoft Entra.
Zařízení musí obsahovat alespoň TPM (Trusted Platform Module) verze 1.2 (dokumentace dříve uváděla potřebu TPM 2.0)
Režim BIOSu musí být nastaven pouze na Native UEFI.
Secure boot state – musí být ON (zapnuto)

Oprávnění potřebná pro správu BitLockeru

Řízení přístupu je řízeno na základě rolí (RBAC). Pro správu BitLockeru v Intune musí mít účet (uživatel) přiřazenou roli (RBAC) v Intune, která zahrnuje oprávnění Vzdálené úlohy (Remote tasks) s právem Rotovat klíče BitLockeru (Rotate BitLockerKeys).

Toto oprávnění a právo můžete přidat do vlastních RBAC rolí, nebo použít jednu z následujících předdefinovaných RBAC rolí, které toto právo již obsahují:

Help Desk Operator (Operátor helpdesku)
Endpoint Security Administrator (Správce zabezpečení koncového bodu)

Připomenutí Uživatels s oprávněním Global admin (Globální správce) má právo na správu BitLockeru pomocí Intune.

Kde je možné nastavit politiky

Automatické šifrování se provádí pomocí konfiguračních politik (konfiguračních zásad nebo také konfiguračních profilů). Pro konfiguraci šifrování na spravovaných zařízeních použijte jeden z následujících typů zásad:

1. Zabezpečení koncového bodu (Endpoint security) > Zásady šifrování Windows (Disk Encryption)

Vyberte z následujících profilů:

BitLocker
Skupina nastavení zaměřená výhradně na konfiguraci BitLockeru.
Více informací naleznete v dokumentaci BitLocker CSP.
Šifrování osobních dat (Personal Data Encryption – PDE)
PDE se liší od BitLockeru tím, že šifruje jednotlivé soubory místo celých svazků a disků.
PDE funguje navíc k jiným metodám šifrování, jako je BitLocker.
Na rozdíl od BitLockeru, který uvolňuje šifrovací klíče při spuštění systému, PDE neuvolní šifrovací klíče, dokud se uživatel nepřihlásí pomocí Windows Hello for Business.
Více informací naleznete v dokumentaci PDE CSP

2. Konfigurace zařízení (Devices – Windows – Configuration) > Ochrana koncového bodu > BitLocker

Nastavení BitLockeru je jednou z dostupných kategorií nastavení pro ochranu koncového bodu ve Windows 10/11.
Seznam dostupných nastavení BitLockeru, která jsou k dispozici v profilech ochrany koncového bodu najdete v této dokumentaci.

Je v celku jedno, který způsob si zvolíte, já spíše tíhnu k první možnosti a tedy šifrování spravovat ze sekce Ochrana koncového bodu (Endpoint security).

Nastavení pomocí zásad zabezpečení koncového bodu pro zařízení s OS Windows

Přihlaste se k Centru pro správu Microsoft 365.
V levém menu zvolte: Zabezpečení koncového bodu (Endpoint Security)
Vyberte Šifrování disku > Vytvořit zásadu.
Zvolte následující možnosti:
1. Platforma: Windows
2. Profil: Zvolte BitLocker nebo šifrování osobních dat.
  Pro náš účel vyberte volbu BitLocker
Klikněte na tlačítko Vytvořit (Create)
Na základní obrazovce zvolte Název politiky a doporučuji také vyplnit Popis
Na další stránce zvolte požadovaná nastavení (Configuration settings).
Jaká nastavení zvolit si popíšeme v další části tohoto článku
Pokud používáte Scope tagy, tak je na další stránce vyberte
Na stránce přiřazení (Assignments) vyberte, na které skupiny zařízení chcete tuto politiku aplikovat
Na poslední stránce proveďte kontrolu a politiku vytvořte

Nastavení pomocí konfigurační politiky pro zařízení s OS Windows

Ačkoliv tento způsob úplně nepreferuji, stále spousta správců IT nepřišlo na chuť sekci „Endpoint security“ – viz předchozí způsob.

Přihlaste se k Centru pro správu Microsoft 365.
V levém menu zvolte: Zařízení (Devices)
Vyberte Konfigurační profily (Configuration)
V horním menu klikněte na Vytvořit zásadu (Create New Policy)
Zvolte následující možnosti:
1. Platforma: Windows 10 a novější (Windows 10 and later)
2. Profil: Šablony (Templates)
Vyberte šablonu: Ochrana koncového bodu (Endpoint protection)
Klikněte na tlačítko Vytvořit (Create)
Na základní obrazovce zvolte Název politiky a doporučuji také vyplnit Popis
Na další stránce zvolte požadovaná nastavení (Configuration settings).
Pro náš účel nastavte parametry pouze v sekci Windows Encryption
Jaká nastavení zvolit si popíšeme v další části tohoto článku
Na stránce přiřazení (Assignments) vyberte, na které skupiny zařízení chcete tuto politiku aplikovat
Případně nastavte pravidla pro aplikování konfiguračního profilu (Applicability Rules), nebo ponechte prázdné
Na poslední stránce proveďte kontrolu a politiku vytvořte

Potřebná nastavení pro aktivaci BitLockeru "na pozadí"

Budu vycházet z toho, že konfigurační profil (politiku) máte vytvořenou na základě jednoho z výše uvedených postupů. Nastavení šifrování je rozděleno do několika sekcí. Popis veškerých nastavení zde budu uvádět pouze v angličtině a to z několika důvodů:

Všechny admin portály používám výhradně v angličtině a vám to doporučuji také kvůli chybám v překladu
Chci si zjednodušit práci a nechci vše překládat do češtiny, navíc některé termíny se stejně používají výhradně v angličtině
Troubleshooting – pokud budete hledat dokumentaci k nějakému konkrétnímu parametru, stejně budete vycházet z angličtiny

Sekce Bitlocker

Require Device Encryption: Enabled
Allow Warning For Other Disk Encryption: Disabled
Allow Standard User Encryption: Enabled
Configure Recovery Password Rotation: Ponechejte rotaci vypnutou, pokud neznáte další souvislosti, nebo zapněte podle konkrétních požadavků

Sekce BitLocker Drive Encryption

Choose drive encryption method and cipher strength (Windows 10 [Version 1511] and later): Enabled
- Nastavení Encryption method můžete ponechat výchozí nebo silnější: XTS-AES 128-bit (default)

Sekce Operating System Drives

Enforce drive encryption type on operating system drives: Enabled
- Select the encryption type: (Device): Full Encryption
Require additional authentication at startup: Enabled
- Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive): False
- Configure TPM startup key and PIN: Do not allow startup key and PIN with TPM
  (Nesmí být Require startup key and PIN with TPM)
- Configure TPM startup key: Do not allow startup key with TPM
  (Nesmí být Require startup key with TPM)
- Configure TPM startup PIN: Do not allow startup PIN with TPM
  (Nesmí být Require startup PIN with TPM)
- Configure TPM startup: Allow TPM
Configure minimum PIN length for startup: Disabled (Default) nebo Not configured
Allow enhanced PINs for startup: Disabled (Default) nebo Not configured
Disallow standard users from changing the PIN or password: Disabled (Default) nebo Not configured
Allow devices compliant with InstantGo or HSTI to opt out of pre-boot PIN.: Disabled (Default) nebo Not configured
Enable use of BitLocker authentication requiring preboot keyboard input on slates: Disabled (Default) nebo Not configured
Choose how BitLocker-protected operating system drives can be recovered: Enabled
- Configure user storage of BitLocker recovery information: Allow 256-bit recovery key + Allow 48-digit recovery password
- Allow data recovery agent: False
- Configure storage of BitLocker recovery information to AD DS: Store recovery passwords only
- Do not enable BitLocker until recovery information is stored to AD DS for operating system drives: True
- Omit recovery options from the BitLocker setup wizard: True
- Save BitLocker recovery information to AD DS for operating system drives: True
Configure pre-boot recovery message and URL: Not configured

Sekce Fixed Data Drives

Tato sekce může zůstat v režimu „Not configured„, nicméně, pokud chcete zašifrovat všechny pevné disky v zařízení, nastavení by mělo vypadat přibližně takto:

Entra Troubleshooting: permission-issue error code 8344

Miroslav Šraga — Sun, 15 Sep 2024 15:10:18 +0000

Synchronizační služba Azure AD Connect (Entra AD Connect) nepřenáší (některé) objekty z Active Directory a zobrazuje chybu permission-issue. Po kliknutí na chybu se zobrazí: „Přístupová práva jsou nedostatečná k provedení operace“ s kódem chyby 8344. Když navíc kliknete na tlačítko „Log“, zobrazí se chyba „Nerozpoznaný formát GUID“.

Proč k tomu dochází a jaké je řešení? V tomto článku se dozvíte, jak opravit chybu Entra/Azure AD Connect permission-issue s kódem 8344.

Chyba: permission-issue

Error: permission-issue Connected data source error code: 8344
Connected data source error: Insufficient access rights to perform the operation.

Proč se tato chyba zobrazuje a jaké je řešení nedostatečných přístupových práv?

Způsoby řešení chyby 8344 Entra AD Connect

Účet konektoru Entra/Azure AD DS nemá k dispozici všechna oprávnění, a proto se v Entra/Azure AD Connect při exportu objektů AD zobrazí chybový kód 8344 permission-issue. Otázkou je, kde tato oprávnění chybí.

Pozor Entra / Azure AD Connect používá k synchronizaci informací mezi službou Windows Server Active Directory a Entra ID 3 účty.

AD DS Connector account: Čtení/zápis informací do služby Windows Server Active Directory
ADSync Service account: Spuštění synchronizační služby a přístup k databázi SQL
Azure AD Connector account: Zápis informací do služby Entra ID (Azure AD)

Způsob 1. Nastavení správných oprávnění pro účet konektoru služby AD DS

1. Spustťe aplikaci „Azure AD Connect„

2. Klikněte na tlačítko „Konfigurovat„

3. Klikněte na „Řešení potíží„

4. Klikněte na tlačítko „Další„

5. Klikněte na tlačítko „Spustit„

6. Spustí se nové PowerShell okno. V tomto okně zadejte 4 (Configure AD DS Connector Account Permissions) a stiskněte Enter

----------------------------------------AADConnect Troubleshooting------------------------------------------


        Enter '1' - Troubleshoot Object Synchronization
        Enter '2' - Troubleshoot Password Hash Synchronization
        Enter '3' - Collect General Diagnostics
        Enter '4' - Configure AD DS Connector Account Permissions
        Enter '5' - Test Azure Active Directory Connectivity
        Enter '6' - Test Active Directory Connectivity
        Enter 'Q' - Quit


        Please make a selection:

7. V dalším okně zadejte 12 (Set default AD Connector account permissions) a stiskněte Enter

--------------------------------------------Configure Permissions------------------------------------------


        Enter '1' - Get AD Connector account
        Enter '2' - Get objects with inheritance disabled
        Enter '3' - Set basic read permissions
        Enter '4' - Set Exchange Hybrid permissions
        Enter '5' - Set Exchange mail public folder permissions
        Enter '6' - Set MS-DS-Consistency-Guid permissions
        Enter '7' - Set password hash sync permissions
        Enter '8' - Set password writeback permissions
        Enter '9' - Set restricted permissions
        Enter '10' - Set unified group writeback permissions
        Enter '11' - Show AD object permissions
        Enter '12' - Set default AD Connector account permissions
        Enter '13' - Compare object read permissions when running in context of AD Connector account vs Admin account
        Enter 'B' - Go back to main troubleshooting menu
        Enter 'Q' - Quit


        Please make a selection:

8. V dalším okně potvrďte akci zadáním „Y“ a stiskněte Enter

This option will set permissions required for the following:
    Password Hash Sync
    Password Writeback
    Hybrid Exchange
    Exchange Mail Public Folder
    MsDsConsistencyGuid
It will then restrict permissions

Confirm
Would you like to continue with these options?
[Y] Yes  [N] No  [?] Help (default is "Y"):

9. V dalším okně zadejte „E“ (Existing Connector Account) a stiskněte Enter

Account to Configure
Would you like to configure an existing connector account or a custom account?
[E] Existing Connector Account  [C] Custom Account  [?] Help (default is "E"):

10. V okně se zobrazí název konektoru, forest a účet konektoru

11. Zadejte název konektoru (viz sloupec ADConnectorName) a stiskněte Enter

Name of the connector who's account to configure: xxx.cz

12. Zobrazí se požadavek na ověření účtem správce. Zadejte účet Administrátora místní domény

13. Povolte všechny následující požadavky o přidělení oprávnění. Přidělení oprávnění provedete tak, že u každého dotazu zadáte „A“ a stisknete Enter.

Grant Password Hash Synchronization permissions
Grant Password Writeback permissions
Grant Password Writeback permission for Unexpire Password extended right
Grant Exchange Hybrid permissions
Grant Exchange Mail Public Folder permissions
Grant mS-DS-ConsistencyGuid permissions
Set restricted permissions

14. Pokud jste potvrdili přidělení oprávnění ve všech 7 krocích, zavřete okno PowerShell a také okno Entra/Azure AD Connect

15. Spusťe PowerShell s zadejte příkaz pro plnou (iniciání) synchronizaci

Start-ADSyncSyncCycle -PolicyType Initial

16. Počkejte několik minut, než bude synchronizace dokončena.

17. Znovu spusťte „AD Connect Synchronization Service“ a zkontrolujte, zda-li se chyba „permission-issue“ stále opakuje, nebo byla vyřešena.

Pokud se chyba stále opakuje, pokračujde dál v tomto návodu.

Způsob 2. msDS-KeyCredentialLink

V některých případech se mi stalo, že chyba „permission-issue“ se vyskytovala jen u těch uživatelů, kterým se změnila hodnota Active Directory atributu msDS-KeyCredentialLink.

Atribut msDS-KeyCredentialLink se v Active Directory používá k ukládání pověření veřejného klíče přidruženého k objektu počítače nebo uživatele. Tento atribut je důležitý zejména pro scénáře zahrnující Windows Hello for Business a další metody ověřování založené na veřejných klíčích.

Upozornění Funkce Windows Hello pro firmy je vázána mezi uživatelem a zařízením. Uživatel i zařízení musí být synchronizovány mezi Microsoft Entra ID a Active Directory. Zpětný zápis zařízení se používá k aktualizaci atributu msDS-KeyCredentialLink na objektu počítače.

V případě, že používáte zpětný zápis do Active Directory (Writeback), může problém vyřešit, když účet AADSync přidáte do skupiny „Enterprise Key Admins„.

Relevantní zdroje:

Upozornění V internetových diskusích najdete doporučení přidat účet konektoru (MSOL_xxx) do AD skupiny Administrators. Toto řešení může být funkční, avšak do zbytečného přidělování takto vysokých oprávnění bych se nepouštěl.

Po nastavení oprávnění znovu spusťte synchronizaci.

Start-ADSyncSyncCycle -PolicyType Initial

Způsob 3. Udělení individuálních oprávnění

Setkal jsem se případy, kdy byl (po nespecifikovaném zásahu do Active Directory) znemožněn přístup k některým objektům z důvodu chybějícího oprávnění (opravdu per AD objekt). Viděl jsem to zejména v případech, kdy došlo k re-instalaci nebo aktualizaci Entra Connect a byl znovu vytvořen další účet pro synchrnonizaci (MSOL_xxx).

V takovém případě postupujte následujícím způsobem:

1. Spusťte „Entra/Azure AD Connect„

2. Klikněte na tlačítko „Konfigurovat„

3. Vyberte možnost „Zobrazit nebo exportovat aktuální konfiguraci“ a klikněte na tlačítko „Další„

4. Podívejte se, pod jakým účtem se spouští konektor a tento účet si zapamatujte nebo poznačte

5. Okno Entra Connect zavřete kliknutím na tlačítko „Konec„

6. Otevřete si „Active Directory Users and Coputers / Uživatelé a počítače služby Active Directory„

7. Klikněte na menu „Zobrazit“ a aktivujte volbu „Upřesňující funkce„

8. Najděte objekt (uživatele), u kterého se zobrazuje chyba 8344 permission-issue a rozklikněte jeho vlastnosti

9. Přejděte na kartu „Zabezpečení„

10. Zkontrolujte, jaké účty MSOL_xxx mají oprávnění na objekt uživatele a zkontrolujte, zda-li je přidělen správný účet. Ověřte, zda-li je zde uveden účet, který jste si poznačili v kroku 4.

11. Klikněte na tlačítko „Přidat„

12. Do pole „Název objektu“ zadejte „MSOL„

13. klikněte na tlačítko „Kontrola názvů„

14. Pokud se zobrazí okno s více účty, znamená to, že při re-instalaci nebo aktualizaci došlo k vytvoření dalšího účtu. vybere účet, který jste si poznamenali v kroku 4

15. Klikněte na tlačítko „OK„

16. Volbu opět potvrďte kliknutím na tlačítko „OK„

17. Oprávnění pro nově přidaný účet nastavte stejně, jak jsou nastavena u původního účtu – klikněte na tlačítko „Upřesnit„

18. Vyberte jakýkoliv záznam, který odpovídá účtu z kroku 4 (MSOL_xxx) a klikněte na tlačítko „Upravit„

19. V následujícím okne vyberte tato oprávnění:

Read all properties
Write all properties
Read msDS-OperationsForAzTaskBL
Read msDS-parentdistname

20. Nastavení potvrďte kliknutím na tlačítko „OK„

21. Vlastnosti uživatele také zavřete kliknutím na tlačítko „OK„

22. Po nastavení oprávnění znovu spusťte synchronizaci.

Start-ADSyncSyncCycle -PolicyType Initial

23. Počkejte několik minut, než bude synchronizace dokončena.

24. Znovu spusťte „AD Connect Synchronization Service“ a zkontrolujte, zda-li se chyba „permission-issue“ stále opakuje, nebo byla vyřešena.

Relevantní zdroje:

Další kroky

Pokud nasazujete Microsoft Entra Connect, poprvé, mohou se vám hodit následující informace:

Entra Troubleshooting: unable to validate credentials

Miroslav Šraga — Sun, 15 Sep 2024 10:23:12 +0000

Nastává období, kdy sousta správců IT provádí upgrade služby Microsoft Entra Active Directory Connect. Obrátilo se na mne několik klientů, kteří se, při pokusu o aktualizaci Entra AD Connect, setkali s chybami. V průvodci setkali s hlášením typu „nemůžeme se připojit k Azure AD pomocí vašehopověření globálního správce Azure AD“. Zobrazí se chyba, že nelze ověřit pověření kvůli očekávané chybě.

V tomto článku se pokusím přiblížit, proč k tomu dochází, a řešení problému „Azure AD Connect unable to validate credentials.

EntraAD Connect: chyba ověření

Unable to validate credentials due to an unexpected error Restart Azure AD Connect with the / InteractiveAuth option to further diagnose this issue. (extendedMessage: An error occurred while sending the request. | The underlying connection was closed: An unexpected error occurred on a send. | Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host. | An existing connection was forcibly closed by the remote host webException: The underlying connection was closed: An unexpected error occurred on a send. STS endpoint: HTTPS://LOGIN.MICROSOFTONLINE.COM/xxx.CZ)

Když kliknete na odkaz „Learn more“, nebo si otevřete napřímo Entra AD Connect log (C:\program data\aadconnect\trace***** .log), obdržíte přibližně takový výpis:

				
					[07:58:56.609] [ 16] [ERROR] Authenticate-MSAL: unexpected exception [Unspecified-Authentication-Failure] - extendedMessage: An error occurred while sending the request. | The underlying connection was closed: An unexpected error occurred on a send. | Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host. | An existing connection was forcibly closed by the remote host webException: The underlying connection was closed: An unexpected error occurred on a send.
STS endpoint: HTTPS://LOGIN.MICROSOFTONLINE.COM/xxx.CZ
[07:58:56.612] [ 16] [ERROR] Authenticate-MSAL: exception details: System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send. ---> System.IO.IOException: Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host. ---> System.Net.Sockets.SocketException: An existing connection was forcibly closed by the remote host

Error parsing WS-Trust-response from endpoint

Další chyba, která se ke mě dostala je velmi podobná, ale trochu jiná.

Unable to validate credentials due to an unexpected error Restart Azure AD Connect with the / InteractiveAuth option to further diagnose this issue. (extendedMessage: There was an error parsing WS-Trust-response from the endpoint. This may occur if there is an issue with your ADFS configuration. See https://aka.ms/msal-net-iwa-troubleshooting for more details. Error Message: Federated service ad https://autologon.microsoftazuread-sso.com/xxxxxx/winauth/trust/2005/usernamemixed?client-request-id=xxxxx returned error: Authentication Failure

Při provádění úlohy Configure AAD Sync došlo k chybě

Poslední chyba, která se ke mě dostala, byla trochu jiná. Klient udělal tu věc, že na server, na kterém běžela služba Entra AD Connect, naistaloval roli „Active Directory Domain Services“ a tím mu celá Entra spadla a řešilo se několik věcí. První věc, která se musela vyřešit, byla oprava oprávnění, protože na doménovém řadiči samozřejmě přestaly fungovat lokální účty. Kompletní odinstalace a opětovná instalace s obnovou konfigurace vyřešila první část a to problém s oprávněním, které bylo nutné jak pro spuštění samotné služby ADSync, ale také pro běh databáze a dalších komponent.

Nastal ale jiný problém, protože služba nešla korektně nastartovat a synchronizace neprobíhala. Začaly se objevoval další chyby:

Configure AAD Sync Při provádění úlohy Configure AAD Sync došlo k chybě: Při odesílání požadavku došlo k chybě.. Jak postupovat dál: nejsou dostupné žádné konkrétní informace o této chybě. Podrobnosti najdete v protokolu. V opačném případě zkontrolujte protokol, kde najdete podrobnější informace: C:\ProgramData\AADConnect\trace-xxxxxx.log

V trace logu toho moc nebylo. Nicméně, Event logy mi naštěstí řekly o trochu víc a nasměrovaly mne správným směrem.

GetSecurityToken: unable to retrieve a security token for the provisioning web service (AWS). Při odesílání požadavku došlo k chybě. | Nadřízené připojení bylo uzavřeno: Došlo k neočekávané chybě při příjmu. | Klient nemůže komunikovat se serverem, protože nepoužívají žádný společný algoritmus. extendedMessage: Při odesílání požadavku došlo k chybě. | Nadřízené připojení bylo uzavřeno: Došlo k neočekávané chybě při příjmu. | Klient nemůže komunikovat se serverem, protože nepoužívají žádný společný algoritmus webException: Nadřízené připojení bylo uzavřeno: Došlo k neočekávané chybě při příjmu. STS endpoint: HTTPS://LOGIN.MICROSOFTONLINE.COM/xxx.ONMICROSOFT.COM

Authenticate-MSAL: unexpected exception [Unspecified-Authentication-Failure] - extendedMessage: Při odesílání požadavku došlo k chybě. | Nadřízené připojení bylo uzavřeno: Došlo k neočekávané chybě při příjmu. | Klient nemůže komunikovat se serverem, protože nepoužívají žádný společný algoritmus webException: Nadřízené připojení bylo uzavřeno: Došlo k neočekávané chybě při příjmu. STS endpoint: HTTPS://LOGIN.MICROSOFTONLINE.COM/xxx.ONMICROSOFT.COM

Jak postupovat

Pokud patříte mezi ty „šťastlivce“, které některá z těchto chyb také potkala, nezoufejte, řešení existuje (a to hned několik):

Ověřte, zda-li máte aktuální verzi Entra AD Conenct
Interactive authentication – Vypněte službu ADSync a nastartuje ji znovu s parametrem /InteractiveAuth
Ověřte, zda operační systém podporuje TLS 1.2

Entra AD Connect - Interactive authentication

Jedním z možných řešení jak vyřešit problém služby Entra AD Connect, která se nemůže ověřit kvůli neočekávané chybě může být spuštěni služby v InteractiveAuth módu.

Chcete-li opravit chybu Azure AD Connect unable to validate credentials due to an unexpected error, postupujte podle následujících kroků:

1. Spusťte příkazový řádek jako správce.

2. Přejděte do složky Microsoft Azure Active Directory Connect.

cd "C:\Program Files\Microsoft Azure Active Directory Connect"

3. Spusťte následující příkaz

AzureADConnect.exe /InteractiveAuth

4. Zobrazí se průvodce aktualizací a konfogurací Azure Active Directory Connect, průvodcem projděte běžným způspobem, třeba podle tohoto návodu.

Musím přiznat, že ani v jednom z těchto tří případů mi výše uvedený postup nepomohl.

Co mne na těchto chybových hláškách ale zaujalo, bylo „Klient nemůže komunikovat se serverem, protože nepoužívají žádný společný algoritmus„.

Když jsem v únoru psal článek o přesunu Entra AD Connect na nový server, vypsal jsem do něj všechny pre-rekvizity, které je potřeba pro Entra V2 splnit.

Všechna chybová hlášení měla stejný základ – klient nemůže komunikovat s protistranou. Na vině můtže být firewall či proxy (nebyl tento příkald) nebo se nemohou domluvit z jiného důvodu, protože třwba každý mluví jiným jazykem.

Ve všech třech případech byla na vině chyba v chybějící podpoře TLS 1.2

Ověření, zda server podporuje TLS 1.2

Pomocí následujícího PowerShell skriptu můžete zkontrolovat aktuální nastavení protokolu TLS 1.2 na serveru, kde provozujete Microsoft Entra Connect.

Function Get-ADSyncToolsTls12RegValue
{
    [CmdletBinding()]
    Param
    (
        # Registry Path
        [Parameter(Mandatory=$true,
                   Position=0)]
        [string]
        $RegPath,

# Registry Name
        [Parameter(Mandatory=$true,
                   Position=1)]
        [string]
        $RegName
    )
    $regItem = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Ignore
    $output = "" | select Path,Name,Value
    $output.Path = $RegPath
    $output.Name = $RegName

If ($regItem -eq $null)
    {
        $output.Value = "Not Found"
    }
    Else
    {
        $output.Value = $regItem.$RegName
    }
    $output
}

$regSettings = @()
$regKey = 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'SystemDefaultTlsVersions'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'SchUseStrongCrypto'

$regKey = 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'SystemDefaultTlsVersions'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'SchUseStrongCrypto'

$regKey = 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'Enabled'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'DisabledByDefault'

$regKey = 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'Enabled'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'DisabledByDefault'

$regSettings

Výstup skriptu bude přibližně takový:

Ověřte, zda-li je tedy TLS 1.2 na vašem serveru aktivní. Pokud aktivní není, bude výstup podobný, jako na uvedeném obrázku, tedy u jednotlivých komponent bude uvedeno „Not Found“ nebo „0“.

PowerShell script pro zapnutí podpory TLS 1.2

K vynucení podpory protokolu TLS 1.2 na serveru s Microsoft Entra Connect můžete použít následující PowerShell skript.

If (-Not (Test-Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319'))
{
    New-Item 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319'))
{
    New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server'))
{
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client'))
{
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

Write-Host 'TLS 1.2 has been enabled. You must restart the Windows Server for the changes to take affect.' -ForegroundColor Cyan

Výstupem skriptu by pak měla být tato hláška:

Upozornění Po aktivaci podpory TLS 1.2 restartujte server.

PowerShell script pro vypnutí podpory TLS 1.2

Ačkoliv deaktivaci podpory TLS 1.2 nedoporučuji, v ojedinělých případech může být potřeba. Pokud tedy nutně potřebujede deaktivovat podporu TLS 1.2 na vašem serveru, použijte následující skript:

If (-Not (Test-Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319'))
{
    New-Item 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '0' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319'))
{
    New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '0' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server'))
{
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client'))
{
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '1' -PropertyType 'DWord' -Force | Out-Null

Write-Host 'TLS 1.2 has been disabled. You must restart the Windows Server for the changes to take affect.' -ForegroundColor Cyan

Další kroky

Pokud nasazujete Microsoft Entra Connect, poprvé, mohou se vám hodit následující informace:

Jak synchronizovat on-prem AD účty s existujícími účty v Entra ID

Miroslav Šraga — Sun, 11 Feb 2024 18:16:35 +0000

Máte stávající uživatele Entra ID (Azure AD), kteří používají Office 365 a potřebujete je synchronizovat s místní službou Active Directory? Nebo naopak, potřebujete stávající uživatele v Active Directory propojit s již existujícími uživateli v Microsoft 365?

V tomto návodu ukážu postup, jak synchronizovat místní uživatele AD se stávajícími uživateli Entra ID / Azure AD.

Výchozí stav

V tomto případě mám již existující uživatele v místní Active Directory:

V Microsoft 365 mám stejné 2 uživatele, kteří jsou nyní v režimu Cloud Only (Sync status = In cloud)

Tyto uživatele bych rád propojil. Důvod je prostý, mít jeden uživatelský účet pro daného zaměstnance, tedy jeden login, jedno heslo, propojená identita.

Pokud propojení provedu špatně, uživatelské účty budu mít v Microsoft 365 2x. Jeden účet zůstane ten stávající a druhý účet vznikne duplicitní, již propojený na uživatele v Active Directory.

Soft match nebo Hard match?

Existují dvě možnosti, jak existující účty v Active Directory propojit s uživateli v cloudu.

Soft Match

Jedná se metodu, která je založena na přesné shodě e-mailu, userPrincipalName a proxyAddress.
Tato možnost se snáze implementuje, pokud máte hodně uživatelů, které potřebjete synchronizovat s Azure.
Nevýhodou je, že tato metoda může být za určitých okolností méně spolehlivá. Je to dáno zejména případy, kdy nemáte v Active Directory zrovna pořádek, nebo máte pozůstatky po akcích typu „Metoda pokus – omyl“

Hard Match

Jedná se metodu, která používá tzv. Immutable ID (neměnné ID) uživatele, které slouží jako propojovací prvek
Metoda vyžaduje několik kroků a implementace pro více uživatelů může být složitější
Je založena na přesné shodě ID, tedy jedná se o vysoce přesnou metodu

Pozor Níže uvedené kroky doporučuji provést před samotným spuštěním synchronizace pomocí AD sync / Entra Connect. Pokud začnete synchronizovat dříve, pravděporobně dojde ke zdvojení účtů v Entra ID.

Synchronizace uživatelů z Active Directory pomocí Soft Match

U každého místního uživatelského účtu budete muset upravit následující tři atributy v místní Active Directory

UserPrincipalName (přihlašovací jméno)
E-mail
proxyAddresses

1. Sjednocení UPN (UserPrincipalName)

UserPrinicpalName místního účtu Active Directory se musí shodovat s uživatelským jménem účtu Microsoft 365.

Například uživatelské jméno uživatele „Tomáš Marný Soft Match“ je tomasmarny@domena.cz.

V Microsoft 365 Admin centru lze UPN nastavit v sekci Uživatelé – Aktivní uživatelé a následně otevřít detail uživatele.

V místní Active Directory se UPN nastaví pomocí nástroje ADUC (Active Directory Users and Computers), ve kterém je potřeba otevřít vlastnosti uživatele (Properties) a jít do záložky Účet (Account)

Uživatelská jména se musí v obou případech shodovat

2. Nastavení parametru E-mail

E-mail místního uživatelského účtu se musí shodovat s účtem v Microsoft 365. Ve vlastnostech uživatele klikněte na kartu General (Obecné) a vyplňte pole E-mail.

3. Nastavení atributu proxyAddresses

Klikněte na záložku editoru atributů a poté najděte atribut proxyAddresses. Přidejte primární adresu SMTP pomocí velkého SMTP.

Pokud má uživatel aliasy, přidejte je také.

Pamatuje si SMTP (velká písmena) je primární e-mailová adresa a smtp (malá písmena) jsou aliasy.

4. Vynucení synchronizace

Pokud jste si jisti, že máte všechny tři parametry nastaveny správně, můžete ručně spustit synchronizaci. Pokud jste před touto akcí přepnuli Entra Connect to Staging mode, tak jej vypněte.

Pokud Entra Connect (dříve AD Connect) ještě nemáte nainstalovaný, nyní jej můžeze nainstalovat a spustit.

Synchonizaci ručně spustíte pomocí PowerShell příkazu, který spustíte na serveru, na kterém je Entra Connect nainstalován.

Start-ADSyncSyncCycle -PolicyType Delta

Jakmile synchronizace proběhne, je potřeba zkontrolvat, jak naše snažení dopadlo. Kontrolu provedeme pomocí Azure AD Connect Synchronization Service Manager, který se nachází na serveru, na kterém je Entra Connect nainstalován.

Nejprve zkontrolujte, zda byl objekt synchronizován a nevyskytly se žádné chyby.

Klikněte na Distinguished Name a pak Properties

Ověřte synchronizované údaje a hlavně zkontrolujte, že byla nastavena hodnota atributu sourceAnchor.

Poslední co zbývá, je provést kontrolu v Microsoft 365 Admin Centru.

Než přejdete do centra pro správu Microsoft 365 a zkontrolujete stav synchronizace, je dobré počkat přibližně 5-10 minut, než se změny projeví.

Centrum pro správu Microsoft 365 zobrazuje stav synchronizace jako Synced from on-premises (synchronizovaný z místního prostředí).

Funguje to. Účet „Tomáš Marný Soft Match“ se nyní zobrazuje jako synchronizovaný z místní Active Directory.

Je potřeba myslet na to, že tato metoda ne vždy funguje a ke případnému zdvojení účtů může docházet. Jedinou možností, jak toto riziko eliminovat je použití metody Hard Match.

Synchronizace uživatelů z Active Directory pomocí Hard Match

Pokud metoda Soft Match nefunguje, budete muset použít metodu Hard Match.

Metoda Hard Match spočívá v nastavení immutableID v Azure AD (Entra ID) na stejnou hodnotu jako on-prem objectGUID.

Upozornění I ikdyž nastavíte immutableID, měli byste se i tak ujistit, že místní AD používá stejné userPrincipalName a e-mailovou adresu jako cloudový účet.

1. Získání ObjectGUID pro uživatelský účet v místní Active Directory

Spusťte PowerShell jako správce a použijte příkaz Get-ADUser, abyste získali objectGUID uživatele.

Get-ADUser "prokop.buben" | fl UserPrincipalName,objectGUID

# nebo můžete hledat podle UserPrincipalName
Get-ADUser -Filter { UserPrincipalName -eq "prokop.buben@domena.cz" } | fl UserPrincipalName, objectGUID

Poznámka Hodnota v lokálním Active Directory je GUID, zatímco Microsoft Entra ID používá textový řetězec zakódovaný v base64. Pro porovnání objectGUID a immutableID je tedy potřeba provést konverzi.

2. Konverze objectGUID řetezec kódovaný base64

#v závorce je objectGUID
[Convert]::ToBase64String([guid]::New("cbb75926-b4bc-xxxx-xxxxc-xxxxx113904aa").ToByteArray())

Výstupem z výše uvedeného příkladu bude takový řetězec:

Jlm3y7y0bXXXXXXXXTkEqg==

Další užitečné příkazy, které nejsou nutné pro tento postup, ale obecně by se mohly hodit:

# konverze z immutableID na objectGUID
[GUID][system.convert]::FromBase64String("Jlm3y7y0bXXXXXXXXTkEqg==")

# Získání immutableID z EntraID pomocí MS Graph
Connect-MgGraph -Scopes "User.ReadWrite.All"

Get-MgUser -UserId "prokop.buben@domena.cz" -Property OnPremisesImmutableId, UserPrincipalName | fl UserPrincipalName, OnPremisesImmutableId

3. Uložení base64 řetězce do Entra ID

Připojte se k Entra ID pomocí PowerShell

# pokud ještě nemáte nainstalovaný modul MSOnline, použijte příkaz níže
Install-Module MSOnline

# připojení k EntraID
Connect-MsolService

Získání aktuální hodnoty ImmutableID

Get-Msoluser -UserPrincipalName prokop.buben@domena.cz | Select-Object ImmutableId

Pokud immutableID obsahuje hodnotu, je potřeba tuto hodnotu porovnat s hodnotou, kterou jsme získali konverzí objectGUID do base64 formátu.

V mém případě je hodnota immutableID prázdná, což je v pořádku.

4. Nastavení hodnoty immutableID pro účet v Entra ID

Pomocí příkazu níže uložte hodnotu immutableID. Jedná se o hodnotu (řetězec), který byl získán konverzí v bodu 2.

Set-MsolUser -UserPrincipalName prokop.buben@domena.cz -ImmutableId Jlm3y7y0bXXXXXXXXTkEqg==

Pomocí příkazu Get-MsolUser proveďte zpětnou kontrolu

Poud je hodnota immutableID uložena, nezbývá nic jiného, než spustit synchronizaci a nastavení otestovat.

Pokud Entra Connect (dříve AD Connect) ještě nemáte nainstalovaný, nyní jej můžeze nainstalovat a spustit.

Synchonizaci ručně spustíte pomocí PowerShell příkazu, který spustíde na serveru, na kterém je Entra Connect nainstalován.

Start-ADSyncSyncCycle -PolicyType Delta

A stejně jako u metody Soft Match, zbývá provést kontrolu v Microsoft 365 Admin Centru.

Než přejdete do centra pro správu Microsoft 365 a zkontrolujete stav synchronizace, je dobré počkat přibližně 5-10 minut, než se změny projeví.

Centrum pro správu Microsoft 365 zobrazuje stav synchronizace jako Synced from on-premises (synchronizovaný z místního prostředí).

Povedlo se. Účet v místní Active Directory se úspěšně propojil s účtem v Entra ID.

Tento postup je poněkud složitější, ale spolehlivější. Určitě je mnoho způsobů, jak přenos konvertované hodnoty objectGUID do EntraID, například pomocí proměnných a cyklu nebo exportem do CSV a následným importem. Každý si jistě poradí, jak nejlépe umí.

Závěrem

Rád bych ještě zmínil, že v postupu zmíňuji modul MSOnline (verze 1) avšak Microsoft doporučuje použití PowerShell modulu Azure Active Directory V2.

Pokud vám tento návod pomohl, budu rád, když jej budete sdílet dál nebo se podívejte třeba na to, jak přesunout AD Connect na nový server.

Entra AD Connect – přesun na nový server

Wed, 07 Feb 2024 09:45:05 +0000

S dříve publikovaným článkem (Entra AD Sync (Azure AD Sync) – In-place upgrade) souvisí jedna věc. Verze operačních systémů, které Entra Connect V2 podporuje. Oproti Azure AD Connect došlo k některým změnám v podpoře a s tím u mnohých klientů souvisí potřeba přesunu Entra Connect na nový server.

V tomto videu je zaznamenán postup, jak ze starého serveru přesunout Microsoft Entra Connect na server nový.

Migrace probíhala z Azure AD Connect verze 1.6 na nový Microsoft Entra Connect V2.

Entra Connect V2: Podpora a hlavní změny

Toto je upozornění Služba Azure AD Connect V1 byla k 31. srpnu 2022 vyřazena a již není podporována. Instalace Azure AD Connect V1 může neočekávaně přestat fungovat. Pokud stále používáte Azure AD Connect V1, musíte provést upgrade nebo zvážit přechod na Microsoft Entra Cloud Sync.

Systémy Windows Server 2012 a Windows Server 2012 R2 již nejsou podporovány.

SQL Server 2019 vyžaduje jako serverový operační systém Windows Server 2016 nebo novější. Vzhledem k tomu, že Microsoft Entra Connect v2 obsahuje komponenty SQL Serveru 2019, nejsou již podporovány starší verze Windows Server.

SQL Server 2019 LocalDB

Předchozí verze Microsoft Entra Connect byly dodávány s SQL Server 2012 LocalDB. Verze V2.0 se dodává s SQL Server 2019 LocalDB, která slibuje vyšší stabilitu a výkon a obsahuje několik oprav chyb souvisejících se zabezpečením. SQL Server 2012 ukončila rozšířenou podporu v červenci 2022.

Visual C++ Redist 14

SQL Server 2019 vyžaduje prostředí Visual C++ Redist 14. Tento Redistributable je nainstalován spolu s balíčkem Microsoft Entra Connect V2, takže pro aktualizaci prostředí C++ nemusíte podnikat žádné kroky.

TLS 1.2

Protokoly TLS1.0 a TLS 1.1 jsou považovány za nebezpečné. Společnost Microsoft je vyřazuje. Tato verze Microsoft Entra Connect podporuje pouze protokol TLS 1.2. Všechny verze systému Windows Server, které jsou podporovány pro Microsoft Entra Connect V2, již standardně používají protokol TLS 1.2. Pokud váš server nepodporuje protokol TLS 1.2, budete jej muset před nasazením aplikace Microsoft Entra Connect V2 povolit.

PowerShell 5.0

Tato verze Microsoft Entra Connect obsahuje několik rutin, které vyžadují PowerShell 5.0, takže tento požadavek je novou podmínkou pro Microsoft Entra Connect.

Požadavky na Active Directory

Verze schématu služby Active Directory a funkční úroveň doménové struktury musí být Windows Server 2003 nebo novější.
Řadiče domény mohou používat libovolnou verzi, pokud jsou splněny požadavky na verzi schématu a úroveň doménové struktury. Pokud potřebujete provozovat Active Dorectory se systémem Windows Server 2016 nebo starším, může být zapotřebí placený program podpory.
Řadič domény používaný nástrojem Microsoft Entra ID musí být zapisovatelný. Použití řadiče domény pouze pro čtení (RODC) není podporováno.
Používání lokálních doménových struktur nebo domén pomocí „tečkovaných“ (název obsahuje tečku „.“) názvů NetBIOS není podporováno.
Doporučuje se povolit koš služby Active Directory.

Užitečné odkazy

Entra AD Sync (Azure AD Sync) – In-place upgrade + Health Agent

Wed, 07 Feb 2024 09:35:56 +0000

V posledním týdnu se mi ozvalo několik klientů, kterým přestala fungovat synchronizace. Ve všech případech se jednalo to problém staré verze AD Connect, kdy Microsoft oznámil, že v říjnu 2023 již nebude staré verze podporovat a evidentně v posledních dnech a týdnech začal podporu zastaralých aplikací také skutečně vypínat.

V tomto návodu krok po kroku ukazuji, jak

provést inplace upgrade na poslední verzi Entra AD Sync
zkontrolovat stav synchronizace
zkontrolovat stav Health Agenta
registrace Healts agenta
ruční spuštění rozdílové synchronizace (Delta )

Informace Synchronizace přestane fungovat 1. října 2023 pro všechny zákazníky, kteří stále používají Microsoft Entra Connect V1 (a starší AD Connect). Zákazníci používající cloudovou synchronizaci Microsoft Entra Connect nebo Microsoft Entra Connect V2 zůstanou plně funkční bez nutnosti jakékoli akce.

Toto je upozornění In-place funguje při přechodu z Azure AD Sync nebo Microsoft Entra Connect. Nefunguje při přechodu z DirSync.

Tato metoda je vhodná, pokud máte jeden server a méně než 100 000 objektů. Pokud používáte vlastní pravidla pro synchronizaci, doporučuji udělat jejich zálohu, neboť upgrade může tato pravidla resetovat do výchozího nastavení.

Jak zjistit aktuální verzi Microsoft Azure AD Connect / Entra ID Connect

Wed, 07 Feb 2024 07:21:41 +0000

Microsoft Entra Connect (dříve známý jako Azure AD Connect) je třeba pravidelně aktualizovat, protože společnost Microsoft pro něj vydává bezpečnostní opravy a vylepšení. V článku se dozvíte, jak zjistit verzi Azure AD Connect.

Pozor! Microsoft upozorňuje, že synchronizace přestane fungovat 1. října 2023 pro všechny zákazníky, kteří stále používají Microsoft Entra Connect V1. Zákazníci používající cloudovou synchronizaci Microsoft Entra Connect nebo Microsoft Entra Connect V2 zůstanou plně funkční bez nutnosti jakékoli akce.

Zjištění verze Microsoft Entra connect přes Entra Admin centrum

Přihlaste se do Microsoft Entra Admin centra
Rozbalte nabídku Identity
Dále rozbalte nabídku Hybrid management
Klikněte na Microsoft Entra Connect

5. V menu zvolte Connect Sync
6. Scrolujte dolů na konec obrazovky a klikněte na Microsoft Entra Connect Health

7. Klikněte na Sync Services
8. Vyberte Service Name

Zkontrolujte Status, pokud používáte Health Agenta, měl by být Status Healthy.

9. Zvolte Entra AD Connect Server

10. Klikněte na Properties

12. Klikněte na Synchronization

13. Zkontrolujte parametr Version. V tomto případě se jedná o Entra Connect V2 verze 2.3.2.0

Zjištění verze Microsoft Entra přes Synchronization Service Manager

Klikněte na Nabídku Start
Použijte vyhledávání a zadejte Synchronization nebo najděte složku Azure AD Connect a rozbalte ji
Klikněte na Synchronization service

4. V menu vyberte Help a About

5. Zobrazí se verze AD Connect

Zjištění verze Microsoft Entra connect pomocí "Přidat /odebrat programy"

Otevřete Nastavení – Aplikace

nebo

Ovládací panely – Programs and Features

Zjištění verze Microsoft Entra pomocí PowerShell

Spusťte PowerShell s oprávněním Administrator
Pokud nemáte, tak importujte modul ADSync
Použijte příkaz Get-ADSyncGlobalSettings

				
					Import-Module ADSync
(Get-ADSyncGlobalSettingsParameter | Where-Object { $_.Name -eq 'Microsoft.Synchronize.ServerConfigurationVersion'}).Value

K dispozici je také video návod

Užitečné odkazy

Exchange Hybrid deployment: jak opravit duplikované mailboxy

Miroslav Šraga — Mon, 13 Feb 2023 11:19:21 +0000

Jeden náš významný zákazník se na nás obrátil s žádostí o pomoc. Provozuje Microsoft Office 365 v hybridním režimu s Microsoft Exchange 2016. U několika uživatelů se objevil problém, že interní pošta je doručována bez problémů, ale pošta „z venku“ jim do schránky nechodí. Pošta není vidět ani v Outlooku, ani v Outlooku Online.

Po prověření situace jsme zjistili, že problém je v tom, že mailboxy uživatelů jsou založeny duplicitně v Exchange on-premises a zároveň v Office 365 (Exchange Online). Pošta, která byla zasílána z venku proto nebyla doručována do on-premises mailboxu, ale zůstávala v mailboxu, který byl v Exchange Online. Logicky pak uživatelé nemohli ve svém poštovním klientovi tyto zprávy najít.

Zdvojené poštovní schrány (duplicity mailboxů)

Pokud jsou poštovní schránky zakládány v cloudu, tak v rámci Microsoft 365 je logika, která zajišťuje, aby nevznikaly duplicitní mailboxy v Exchange Online a v Exchange on-premise. Asi si dokážete představit, jaký to je zmatek, když se zprávy z on-premise Exchange doručují zase jen do on-premisess Exchange a zprávy v rámci cloudu se doručují zase jen v rámci Exchange Online.

Pokud je ale poštovní schránka založena v Exchange on premises, je za synchronizaci atributů do služby Entra ID (Azure AD) odpovědný proces synchronizace Entra Connect (Azure AD Connect). Jedním z atributů, který se synchronizuje z on-premises do Azure AD je „ExchangeGUID„.

Tady je příklad, jak zjistit ExchangeGUID mailboxu v on-premise Exchange:

Get-Recipient jan.xxxxx| fl name,recipienttype,exchangeGuid

Name          : Jan Xxxx
RecipientType : UserMailbox
ExchangeGuid  : 6ec2eb5f-4a92-4f27-xxxx-27c168c1a28f

Když AAD Connect dokončí synchronizační cyklus, lze to ověřit na objektu poštovního uživatele v Exchange Online, kde by mělo být stejné ExchanegGUID. Každá poštovní schránka v on premise by měla být reprezentována objektem poštovního uživatele v online.

Get-Recipient jan.xxxxx| fl name,recipienttype,exchangeGuid


Name          : Jan Xxxxx
RecipientType : UserMailbox
ExchangeGuid  : da344687-715f-xxxx-880b-13b9da229c96

V tomto případě je ale vidět, že ExchangeGUID se liší, to znamená, že uživatel má schránku jak v Exchange on premise tak v Exchange Online. Toto lze ověřit také přes ECP.

Exchange Online:

Exchange on premises:

Věděli jste že účet v Active Directory můžete sloučit s existujícím účtem v Entra ID? Jak synchronizovat on-prem AD účty s existujícími účty v Entra ID

Náš zákazník má všechny schránky (z určitého důvodu) umístěny v Exchange on premise. Proto by v Enterprise ECP měla být u uživatele informace „mailbox type: Office 365“ a to není. Schránka tedy skutečně existuje na dvou místech.

Jak tuto situaci napravit? Jsou dvě metody

Smazat účet v Entra ID (Azure Active Directory)
Odebrat licenci Exchange Online

Obě metody mají svá pro a proti. V tomto případě jsme se rozhodli že půjdeme první cestou, tedy cestou smazání účtu v Entra ID (Azure Active Directory), ale tak, abychom minimalizovali případné škody.

Výhody tohoto postupu:

Smazání účtu je poměrně jednoduchý proces
Mailbox může být migrován z on-premise do cloudu a zpět hned, jakmile proběhne sychnoziace Azure AD Conenct
Exchange Online podporuje spojení mailboxů, takže uživatel nepřijde o zprávy. Zprávy z obou mailboxů by měly být zachovány

Je zde také pár potenciálních nevýhod tohoto řešení:

Jedná se o kompletní obnovu/reset cloudového účtu
Všechna oprávnění udělení tomuto účtu v rámci služby (vlastnictví webu v Sharepoint / OneDrive apod.) budou ztracena
Jakékoliv členství v cloudových distribučních seznamech bude ztraceno
Může dojít ke krátkému výpadku toku pošty u spravovaného účtu (z důvodu odstranění a znovu vytvoření objektu v Exchange Online)

Nejprve ověříme, že mailbox v Exchange Online existuje a shoduje se s účtem v on premise Exchange

Exchane Online Powershell:

Get-mailbox jan.xxxx

On-Premises Exchange PowerShell:

Get-mailbox jan.xxxx

V Microsoft 365 Admin centru ověříme, že je účet synchronizován z on-premises Active Directory

Tak, máme ověřeno, že se jedná o tentýž účet a že tento uživatel má mailbox v on-premises i v cloudu.

Abychom mohli zahájit nápravu, je třeba si na začátku zjistit a zapsat několik informací, hlavně ExchangeGUID mailboxu v Exchange Online:

Get-mailbox jan.xxxx | select-object ExchangeGUID

Je také dobré si uložit informace z parametru EmailAddresses na Exchange on-premises (viz dále problém 2 – chyba IMCEAEX)

Pomocí Entra ID (Azure Active Directory) PowerShell smažeme účet a odebereme z „koše“

Remove-MsolUser -UserPrincipalName jan.xxxxx@domena.cz -Force
Remove-MsolUser -UserPrincipalName jan.xxxxx@domena.cz -Force -RemoveFromRecycleBin

Výmaz si můžete ověřit pomocí powershell příkazu Get-MsolUser, kdy by uživatel neměl být nalezen mezi aktivními uživateli.

Příkaz by tedy měl vrátit chybu:

V Exchange Online si ověříme, že mailbox již neexistuje

Get-mailbox jan.xxxx

Mailbox by měl nyní být ve stavu „SoftDeleted„

Get-Mailbox jan.xxxx -SoftDeletedMailbox

Nyní jsme ve stavu, kdy vazba mezi účty v Online a v on premises byla „vyčištěna“. Nyní může proběhnout další kolo synchronizace Entra Connect (Azure Active Directory Connect). Objekt by měl být znovu načten z on-premises Active Directory (může to chvilku trvat – synchronizace probíhá každých 30 minut, jinak se dá aktuální nastavení zjistit pomocí příkazu „Get-ADSyncScheduler„)

Get-MsolUser -UserPrincipalName jan.xxxxx@domena.cz

Sloučení mailboxů

Pro sloučení schránek je potřeba, aby oba mailboxy byly přítomny v Exchange Online.

Pokud je tedy vše v pořádku, může být účet migrován z on-premise do Exchange Online. Toto není povinný krok, ale je vhodné toto provést v případě, kdy chceme propojit oba mailboxy.

Průběh migrace lze sledovat také přes powershell. Informaci o tom, že byla migrace dokončena tak získáte zpravidla dříve, než přes ECP rozhraní. Stačí použít příkaz:

Get-MigrationUserStatistics -Identity jan.xxxxx@domena.cz -IncludeReport | Format-List Status,Error,Report

Jakmile je migrace dokončena, v Exchange Online se objeví objekt (mailbox). Ve stavu „před sychnronizací“ mailbox neexistuje (viz obrázek níže)

Get-Mailbox jan.xxxx

Pro dokončení obnovy mailboxu (spojení mailboxů za účelem zachování e-mailových zpráv), bude potřeba znát ExchaneGUID migrovaného mailboxu.

Get-Mailbox jan.xxxx | Select-Object exchangeGUID

A také bude potřeba ExchangeGUID mailboxu, který je v režimu „SoftDeleted“ – toto GUID jsme si poznačili na začátku postupu.

V tuto chvíli přiřaďte uživateli zpět licenci Office 365 (aby měl zalicencovaný mailbox)

Pokud známe obě ID, můžeme zahájit proces spojení mailboxů:

New-MailboxRestoreRequest -SourceMailbox [ExchangeGUID které jsme si uložili] -TargetMailbox [ExchangeGUID mailboxu v Exchange Online] –AllowLegacyDNMismatch

Průběžně lze kontrolovat stav pomocí příkazu „get-mailboxRestoreRequest„, kdy sloupec status může obsahovat 3 stavy: Queued, InProgress a Completed nebo Failed

Upozornění Pokud příkaz skončí chybou, zkuste přidat parametr -TargetFolder „CilovaSlozka“ – zprávy ze Soft deleted mailboxu se obnoví do této složky. Pokud to nepomůže, podívejte se níže na řešení případných problémů.

Informace Pokud se Vám dlouho zobrazoval status „InProgress“ a nakonec restore zkočil „Failed“ – ověřte přímo v mailboxu, jestli zprávy náhodou nebyli obnoveny, setkal jsem se s případem, kdy takový restore skončil jako „Failed“, ale uživatel potvrdil, že zprávy má ve schránce jak z Office 365 tak s Exchange On-premise“

Pokud je vše v pořádku a příkaz doběhl do stavu Completed, máte téměř hotovo. Nyní již stačí jen provést migraci schránky zpět z Exchange Online do Exchange On-premises (pokud je to potřeba).

Řešení možných problémů

Problém #1: Příkaz New-MailboxRestoreRequest neustále končí chybou

Pokud zprávy ve schránce prostě nejsou, je třeba jít štěstí trochu naproti. S tímto problémem jsme se setkali a přímo jsme jej nevyřešili, ale našli jsme „obezličku“, která sice nemusí úplně všem vyhovovat, ale pro naše potřeby byla zcela dostačující.

E-maily obnovíme do sdíleného mailboxu, který vytvoříme příkazem:

$NameSharedMailbox = "jan_xxx_shared"

New-Mailbox -Shared -Name $NameSharedMailbox -DisplayName $NameSharedMailbox -Alias $NameSharedMailbox

Následně si do proměnné uložíme GUID tohoto mailboxu

$ShareMailboxGetGUID = Get-Mailbox -Identity $NameSharedMailbox

Provedeme restore Soft Deleted Mailboxu stejným způsobem, jako jsme se pokoušeli dříve, ale nyní restore provedeme do vytvořeného sdíleného mailboxu.

New-MailboxRestoreRequest -SourceMailbox  [ExchangeGUID které jsme si uložili]   -TargetMailbox $ShareMailboxGetGUID.PrimarySmtpAddress -AllowLegacyDNMismatch -Verbose

Obnova schránky by měla proběhnout bez problémů.

Nyní máte dvě možnosti
1) Připojit uživateli sdílený mailbox a zprávy přesunour ručně, nebo
2) Zkopírovat zprávy ze sdíleného mailboxu do mailboxu uživatele (do složky „Zaloha“)

Search-Mailbox jan_malat_shared@cspsd.cz  -TargetMailbox jan.xxxx@domena.cz -TargetFolder "Zaloha" -LogLevel Full

Problém #2: „Doručení těmto příjemcům nebo skupinám se nepodařilo“

Při pokusu o doručení zprávy příjemci v rámci domény se vrátí (ne)doručenka s chybou:

E-mailovou adresu, kterou jste zadali, se nepovedlo najít. Zkontrolujte si prosím e-mailovou adresu příjemce a zkuste zprávu poslat znovu. Pokud s tím budou dál problémy, kontaktujte prosím svého správce e-mailu. 

Diagnostické informace pro správce: Server pro generování: EXxxx.adds.xxxx.cz IMCEAEX-_o=XXXXXX_ou=Exchange+20Administrative+20Group+20+28FYDIBOHF23SPDLT+29_cn=Recipients_cn=7e7d3xxxxxxxxxxxxb702e7d69a663e-Jxxxxxxxx+20Xxxxxxxx@xxxxxxxx.cz Remote Server returned '550 5.1.11 RESOLVER.ADR.ExRecipNotFound; Recipient not found by Exchange Legacy encapsulated email address lookup'

Tato chyba se vyskytuje pouze v případě, kdy odesílatel zprávy použil aplikaci Microsoft Outlook a vybral adresáta z našeptávače. Zde je v cache uloženo tzv „LegacyExchangeDN„, které odkazuje na původní ID mailové schránky (slučovali jsme 2 schránky do jedné). Náprava je jednoduchá – do e-mailových adres u daného uživatele přidat (stávající nechat, nic neměnit) parametr X500, který bude obsahovat právě zmíněné původní LegacyExchangeDN (viz. informace z parametru EmailAddresses, které jste si uložili na začátku).

Více informací a postup je zpracován zde: https://support.microsoft.com/en-gb/help/2807779/imceaex-non-delivery-report-when-sending-emails-to-internal-users