Entra ID – Miroslav Šraga

Azure Communication Services od A po Z

Miroslav Šraga — Sun, 25 Jan 2026 13:03:12 +0000

Azure Communication Services (ACS) je cloudová platforma, která umožňuje integrovat e‑mail, SMS, chat, hlas i video do vlastních aplikací přes jednoduchá API a SDK.

Využívá zabezpečení a identitu Microsoft Entra ID (OAuth 2.0), nabízí škálování, telemetrii a řízení nákladů, takže se hodí pro zasílání základních notifikací až po komplexní komunikační kanály.

Pro zasílání e‑mailů je zde komponenta Azure Communication Services Email, která umožňuje programově odesílat například transakční zprávy, maily z multifunkčních zařízení, z internetových formulářů, skriptů, Logic Apps, Microsoft Sentinel a podobně.

Díky tomu může sloužit jako náhrada za končící SMTP Basic Authentication. Klíč je v tom, že namísto běžných přihlašovacích údajů se v zařízení či aplikaci použije moderní ověřování přes Entra ID a zprávy se odesílají přes Communication Srvices Email standardním SMTP protokolem na portu 25 nebo 587.

Výsledkem je spolehlivější doručování, lepší audit a governance a výrazně bezpečnější model než přímé posílání přes SMTP s Basic autentizací ale při zachování naprosto totožné funkcionality.

Azure Communication Services - Email Comminication - celý postup

Tento návod je mixem níže uvedených video-návodu, které jsem vydal již dříve. Videa jsem spojil tak, aby dávala ucelený postup od A až po Z.

Obsah:

00:00 – Úvod – Představení Azure Communication Services
02:50 – Základní limity služby
03:40 – Ceny (Azure Calculator)
06:39 – Důležité úkony, postup nasazení
09:05 – Vytvoření prostředku Azure Communication Service
11:00 – Vytvoření prostředku Email Communication Services
13:25 – Domain provisioning
– Free Azure subdomain
– Custom domain
17:45 – Propojení Azure Communication Service a Email Communication Services
19:00 – TEST: Odeslání e-mailu z Email Communication Services (Azure portál) – Free Azure subdomain
21:35 – Keys & Connection strings – pro použití v Logic Apps a prostředí Azure
22:15 – Přidání vlastní domény do Email Communication Services (DNS: SPF, DKIM)
29:05 – TEST: Odeslání e-mailu z Email Communication Services (Azure portál) – vlastní doména / custom domain
30:10 – SMTP RELAY: Řízení přístupu IAM, Entra ID – Registrovaná aplikace – Communication and Email service Owner
– Udělení oprávnění
– Vytvoření Client secret pro Registrovanou aplikaci
– Vytvoření SMTP Username (uživatelské jméno pro SMTP)
37:24 – TEST: Odeslání emailu pomocí PowerShell scriptu přes Email Communication Services – ověření SMTP jméno + heslo (přes Registrovanou aplikaci a Client Secret / OAuth)
39:37 – TEST: Odeslání emailu pomocí PHP scriptu přes Email Communication Services – ověření SMTP jméno + heslo (přes Registrovanou aplikaci a Client Secret / OAuth)
40:45 – Nastavení vlastní identifikace odesílatele (MailFrom) namísto DoNotReply
46:15 – TEST – Odeslání e-mailu pomocí PowerShell skriptu s vlastní identifikací odesílatele (MailFrom)
46:20 – TEST – Odeslání e-mailu pomocí PHP skriptu s vlastní identifikací odesílatele (MailFrom)
50:08 – Azure Logic App – napojení na Communication Services, odeslání e-mailu
55:50 – Microsoft Sentinel – napojení na Communication Services, odeslání e-mailu
1:09:35 – Závěrečné shrnutí

Azure Communication Services - odesílání e-mailu bez identity uživatele (Sentinel, Logic App)

V tomto videu se dozvíte, jakým způsobem odeslat e-mail ze služby Microsoft Sentinel nebo z jakékoliv Logic App, aniž by bylo potřeba použít identitu uživatele – tedy bez nutnosti použití identity uživatele s licencí Exchange Online. K odeslání e-mailů tedy nebudeme používat napojení na účet uživatele, ale použijeme službu Azure Communication Services a konkrétně komponentu Email Communication Service.

Obsah:
00:00 – Úvod
01:33 – Základní limity služby
02:30 – Ceny
05:33 – Vytvoření prostředku Azure Communication Service
07:35 – Vytvoření prostředku Email Communication Services
– Free Azure subdomain
– Custom domain
14:30 – Propojení Azure Communication Service a Email Communication Services
18:04 – Odeslání e-mailu z Logic App
24:40 – Nastavení vlastní domény (Custom domain)
32:17 – Azure Sentinel – jak odeslat e-mail s upozorněním na nový incident pomocí Email Communication Services
46:50 – Dodatečné informace:
– User Engagement Tracking
– MailFrom Addresses (vlastní adresy odesílatele)

Odesílání emailů přes SMTP relay pomocí Microsoft Azure Communication Services

ACS Email může sloužit jako náhrada za končící SMTP Basic Authentication. Klíč je v tom, že namísto běžných přihlašovacích údajů se v zařízení či aplikaci použije moderní ověřování přes Entra ID a zprávy se odesílají přes Communication Services Email standardním SMTP protokolem na portu 25 nebo 587.

Obsah:
00:00 – Úvod
01:50 – Důležité úkony
04:45 – Konfigurace Azure Communication Services && Email Communication Services
06:45 – Entra ID – Registrovaná aplikace
09:05 – Udělení oprávnění
09:45 – Vytvoření Client secret pro Registrovanou aplikaci
12:30 – Vytvoření SMTP Username (uživatelské jméno pro SMTP)
13:50 – TEST – Odeslání e-mailu pomocí PowerShell skriptu
15:47 – TEST – Odeslání e-mailu pomocí PHP skriptu
16:57 – Nastavenní vlastní identifikace odesílatele (MailFrom) namísto DoNotReply
21:53 – TEST – Odeslání e-mailu pomocí PowerShell skriptu s vlastní identifikací odesílatele (MailFrom)
22:32 – TEST – Odeslání e-mailu pomocí PHP skriptu s vlastní identifikací odesílatele (MailFrom)
23:35 – Tipy na závěr, doporučení, ošetření chyb
25:25 – Zjištění aktuálních kvót
26:24 – Shrnutí, závěr

Postup:
Microsoft Azure (Subscription)
Azure Communication Service (ACS)
Email Communication Service (ECS)
Internet Domain
Domain verification
Domain connection to ECS
Entra ID Registred App + Generated secret
SMTP Accounts
Mail From addresses
Test

AZURE CLI: Přidání vlastního mailFrom

# az communication email domain sender-username create --domain-name domena.cz --email-service-name 365lab-1-cs-ecs --resource-group "security-rg" --sender-username "UserName" --username "UserName" --display-name "DisplayName"

az communication email domain sender-username create --domain-name domena.cz --email-service-name 365lab-1-cs-ecs --resource-group "security-rg" --sender-username printer --username printer --display-name Printer

SCRIPT: Odeslání e-mailu pomocí PowerShell a ACS Email

# SmtpSend.ps1
# PowerShell script to send an email via SMTP
# www.sraga.cz

# Define SMTP server settings and email parameters
$SmtpServer = "smtp.azurecomm.net" # Azure Communication Services Email server
$SmtpPort = 587
$SmtpUser = "userName@domena.cz"
$SmtpPass = "clientSecretValue" # Entra ID Registreed Application
$SmtpFrom = "mailFromAddress@domena.cz"
$SmtpTo = "test@domena.cz"
$SmtpSubject = "Test email from PowerShell"
$SmtpBody = "This is a test email sent from PowerShell script."

# Create secure credentials
$SmtpSecurePwd = ConvertTo-SecureString $SmtpPass -AsPlainText -Force
$SmtpCreds = New-Object System.Management.Automation.PSCredential ($SmtpUser, $SmtpSecurePwd)

# Send the email
Send-MailMessage -From $SmtpFrom -To $SmtpTo -Subject $SmtpSubject -Body $SmtpBody -SmtpServer $SmtpServer -Port $SmtpPort -Credential $SmtpCreds -UseSsl

SCRIPT: Odeslání e-mailu pomocí PHP a ACS E-mail

 'smtp.azurecomm.net',
        'port'      => 587,
        'username'  => 'userName@domena.cz',
        'password'  => 'clientSecretValue',                 // ← store securely (env/secret)
        'from'      => 'mailFromAddress@domena.cz',
        'from_name' => 'mailFromAddress@domena.cz',
        'to'        => 'test@domena.cz',
        'subject'   => 'Test email from PHP',
        'body'      => "This is a test email sent from a pure-PHP SMTP client.",
        'debug'     => true,                 // set true to see SMTP I/O to STDERR
    ]);
    echo "Email sent OK\n";
} catch (Throwable $e) {
    // Print a clear error if something goes wrong
    fwrite(STDERR, "SMTP error: " . $e->getMessage() . "\n");
    exit(1);
}


// ---------------- Functions ----------------

function smtp_send(array $cfg): void
{
    $host        = $cfg['host'];          // e.g. smtp.azurecomm.net
    $port        = $cfg['port'] ?? 587;   // 587 for STARTTLS
    $username    = $cfg['username'];      // SMTP user (e.g. web@domain.cz)
    $password    = $cfg['password'];      // SMTP password
    $from        = $cfg['from'];          // RFC5322 From: email address
    $fromName    = $cfg['from_name'] ?? '';   // Display name (optional)
    $to          = $cfg['to'];            // recipient email
    $subject     = $cfg['subject'];       // subject (UTF-8 ok)
    $body        = $cfg['body'];          // plain text body
    $timeout     = $cfg['timeout'] ?? 30;
    $debug       = $cfg['debug'] ?? false;

    $peerName = $cfg['peer_name'] ?? $host; // SNI name for TLS

    $context = stream_context_create([
        'ssl' => [
            'crypto_method'        => STREAM_CRYPTO_METHOD_TLSv1_2_CLIENT | STREAM_CRYPTO_METHOD_TLSv1_3_CLIENT,
            'verify_peer'          => true,
            'verify_peer_name'     => true,
            'peer_name'            => $peerName,
            // If your OS trust store is standard, no need to set cafile/capath.
            // 'cafile'            => '/etc/ssl/certs/ca-certificates.crt',
            'SNI_enabled'          => true,
            'disable_compression'  => true,
        ],
    ]);

    $fp = stream_socket_client(
        "tcp://$host:$port",
        $errno,
        $errstr,
        $timeout,
        STREAM_CLIENT_CONNECT,
        $context
    );

    if (!$fp) {
        throw new RuntimeException("Connect failed: $errno $errstr");
    }
    stream_set_timeout($fp, $timeout);

    // --- Helpers -------------------------------------------------------------
    $read = function() use ($fp, $debug): array {
        $lines = [];
        while (($line = fgets($fp, 2048)) !== false) {
            $lines[] = rtrim($line, "\r\n");
            if ($debug) { fwrite(STDERR, "S: $line"); }
            // Multi-line replies have format "123-..." and end on "123 ..." (space)
            if (preg_match('/^\d{3} /', $line)) break;
        }
        if (empty($lines)) throw new RuntimeException("No response from server");
        $code = (int)substr($lines[count($lines)-1], 0, 3);
        return [$code, $lines];
    };

    $send = function(string $cmd) use ($fp, $debug) {
        if ($debug) { fwrite(STDERR, "C: $cmd\n"); }
        fwrite($fp, $cmd . "\r\n");
    };

    $expect = function(int $want) use ($read) {
        [$code, $lines] = $read();
        if ($code !== $want) {
            $msg = implode("\n", $lines);
            throw new RuntimeException("Expected $want, got $code\n$msg");
        }
        return $lines;
    };

    // --- SMTP dialogue -------------------------------------------------------
    $expect(220);                                // 220 greeting
    $ehloName = gethostname() ?: 'localhost';
    $send("EHLO $ehloName");
    $expect(250);

    // STARTTLS
    $send("STARTTLS");
    $expect(220);                                // Ready to start TLS
    if (!stream_socket_enable_crypto($fp, true, STREAM_CRYPTO_METHOD_TLSv1_2_CLIENT | STREAM_CRYPTO_METHOD_TLSv1_3_CLIENT)) {
        throw new RuntimeException("TLS handshake failed");
    }

    // Re‑EHLO after STARTTLS
    $send("EHLO $ehloName");
    $expect(250);

    // AUTH LOGIN
    $send("AUTH LOGIN");
    $expect(334);                                // "VXNlcm5hbWU6" (Username:)
    $send(base64_encode($username));
    $expect(334);                                // "UGFzc3dvcmQ6" (Password:)
    $send(base64_encode($password));
    $expect(235);                                // Auth OK

    // MAIL/RCPT
    $send("MAIL FROM:<$from>");
    $expect(250);
    $send("RCPT TO:<$to>");
    $expect(250);

    // DATA – headers + body with dot‑stuffing
    $send("DATA");
    $expect(354);

    // Headers
    $headers = [];
    $fromHeader = $fromName !== ''
        ? sprintf('From: %s <%s>', encodeDisplayName($fromName), $from)
        : sprintf('From: <%s>', $from);
    $headers[] = $fromHeader;
    $headers[] = "To: <$to>";
    $headers[] = "Subject: " . encodeSubject($subject);
    $headers[] = "Date: " . date('r');
    $headers[] = "Message-ID: <" . bin2hex(random_bytes(16)) . '@' . (parse_url("https://$peerName", PHP_URL_HOST) ?: 'localhost') . ">";
    $headers[] = "MIME-Version: 1.0";
    $headers[] = "Content-Type: text/plain; charset=UTF-8";
    $headers[] = "Content-Transfer-Encoding: 8bit";
    $headers[] = "X-Mailer: PHP-SMTP/1.0";

    $data  = implode("\r\n", $headers) . "\r\n\r\n" . $body;

    // Dot‑stuffing per RFC5321 §4.5.2
    $data = preg_replace('/\r\n\./', "\r\n..", $data);
    // Ensure ends with CRLF.CRLF
    if (!str_ends_with($data, "\r\n")) $data .= "\r\n";

    fwrite($fp, $data . ".\r\n");
    $expect(250);                                // accepted

    // QUIT
    $send("QUIT");
    $read();                                     // 221
    fclose($fp);
}

/** Encode UTF‑8 display name safely for headers */
function encodeDisplayName(string $name): string {
    // Quote if contains specials; also provide RFC2047 when needed
    if (preg_match('/[^\x20-\x7E]/', $name)) {
        return '=?UTF-8?B?' . base64_encode($name) . '?=';
    }
    if (preg_match('/[",]/', $name)) {
        return '"' . addcslashes($name, '\\"') . '"';
    }
    return $name;
}

/** RFC2047 encode UTF‑8 Subject if needed */
function encodeSubject(string $subject): string {
    return preg_match('/[^\x20-\x7E]/', $subject)
        ? '=?UTF-8?B?' . base64_encode($subject) . '?='
        : $subject;
}

Intune MDM Authority: Office 365 Mobile

Miroslav Šraga — Tue, 30 Dec 2025 11:19:51 +0000

Správa zařízení přes Microsoft Intune dnes patří k základům bezpečného Microsoft 365 prostředí. Přesto existuje jeden scénář, který dokáže i zkušeného admina poslat na několik dní do slepé uličky: MDM Authority (autorita správy mobilních zařízení), která je v M365 tenantu nastavená na „Microsoft Office 365“, v Entra ID svítí „Office 365 Mobile“, ale v Intune u zařízení vidíte „MDM: Intune“. Co je pravda? Kdo zařízení skutečně spravuje? A proč nikde nevidíte tlačítko „Změnit“?

Představte si situaci: přicházíte do firmy, která doposud Windows zařízení v podstatě nespravovala. Začnete studovat Entra ID, Intune, registrace zařízení, enrollment (včetně OOBE – Out-of-Box Experience). Firma už dokonce má zakoupených několik Intune licencí, přidělíte je sobě, testovacímu uživateli, DEM účtu (Device Enrollment Manager) i jednomu „běžnému zaměstnanci“ a jdete testovat.

Dva počítače projdou OOBE:

jeden přihlášený přes Work/School s DEM účtem
druhý s testovacím uživatelem.

V tu chvíli dává smysl ověřit „klíčovou věc“ – MDM Authority. A tady přichází první šok: místo „Intune“ vidíte „Microsoft Office 365“. Dobře, přeháním, nepřichází úplně šok, protože tyhle situace už znám, ale pro admina, který s tímto nemá zkušenoti, nastává období komplikací. A proto taky vzniká tento článek.

Kde je problém?

V diskusních fórech i v dokumentaci Microsoftu píše o „oranžovém banneru“, který vás vyzve k nastavení autority – ale vy ho nevidíte.
Dokumentace zmiňuje, že v některých tenantech se Intune nastavuje automaticky, jinde ne.
A někde se dočtete větu ve stylu „pokud byla autorita nastavena, nelze ji změnit“ – což adminovi na klidu moc nepřidá.

Microsoft ale tento stav popisuje celkem přesně: pokud je aktivní Basic Mobility and Security pro Microsoft 365, autorita se může tvářit jako „Office 365 Mobile“. Současně existuje režim koexistence, kde může být správa „rozdělená“ podle licencí uživatelů.

Proč se v Entra ID objevuje „Office 365 Mobile“?

Druhý šok obvykle přijde v Microsoft Entra admin centru: u zařízení je uvedeno, že je „spravované (MDM)“ přes „Office 365 Mobile“.

Tohle označení typicky souvisí právě s historickým/alternativním MDM v rámci Microsoft 365 (Basic Mobility and Security), které se v různých částech portálů a API může promítat odlišně. Microsoft přímo uvádí, že po aktivaci Basic Mobility and Security se MDM autorita nastaví na „Office 365“.

Důležité To, že v Entra vidíte „Office 365 Mobile“, neznamená automaticky, že zařízení dostává plnohodnotné Intune policy, konfigurace, aplikace a compliance.

A teď paradox: v Intune je u zařízení "MDM: INTUNE"

Třetí šok: v samotném Intune portálu se u zařízení ukazuje, že MDM je Intune – takže to vypadá, že všechno je v pořádku… jenže:

politiky se neaplikují,
konfigurace se „nepushují“,
app deployment nejede,
a vy už máte za pár týdnů rollout nových zařízení a nechcete to zkazit hned na začátku.

Tenhle rozpor se děje v praxi poměrně často: portály vám zobrazují „stav“ z různých vrstev (Entra objekt vs. MDM enrollment vs. policy engine). Proto je klíčové ověřit autoritu na úrovni tenantu, ne jen „nějaké políčko u zařízení“.

Klíčové vysvětlení: „oranžový banner“ se zobrazí jen tehdy, když autorita ještě NENÍ nastavena

Microsoft to popisuje napřímo:

Oranžový banner pro nastavení MDM autority uvidíte jen tehdy, když autorita ještě nebyla nastavená.
Pokud banner nevidíte, stále existuje možnost jít přímo do nastavení autority (jen to není „na očích“).

A to je přesně ten moment, kdy mnoho lidí ztroskotá: UI volba zmizí, protože v tenantu už „někdy něko“ v minulosti autoritu nastavil – klidně i dávno před vámi.

V praxi to často bývá tak, že tenant měl kdysi Microsoft 365 E5 / EMS nebo jiné licence, které Intune zahrnovaly, a někdo autoritu „nějak“ nastavil.

„Skrytý“ odkaz / blade

V tom konkrétním případě může pomoci založení support ticketu, kdy vám technik pošle přímý odkaz na obrazovku Change/Choose MDM Authority, kterou jako neznalý admin sám nikde asi nenajdete, protože se v UI už běžně nezobrazuje, když už je autorita nastavená.

Microsoft Learn zmiňuje, že když banner není vidět, můžete se do nastavení autority „proklikat“ (nebo se tam dostat přímo). V praxi se ale používá i přímý odkaz na „choose MDM authority“ blade:

https://intune.microsoft.com/#view/Microsoft_Intune_Enrollment/ChooseMDMAuthorityBlade

Po potvrzení volby znovu zkontrolujte MDM Authority na úrovni tenantu.

Když UI nestačí: přepnutí MDM autority přes MS Graph (PowerShell)

V některých případech je nejjistější cesta přepnout autoritu přes Microsoft Graph API – to je mimochodem postup, který se v reálných projektech používá často, když je „velký prostor pro chybu“ a UI nepomáhá.

Pro nastavení MDM Authority pomocí MS Graph, potřebujete tato oprávnění (od nejnižšího nutného po nejvíce privilegované:

Delegated (work or school account):
- DeviceManagementServiceConfig.ReadWrite.All, DeviceManagementConfiguration.ReadWrite.All
Application
- DeviceManagementServiceConfig.ReadWrite.All, DeviceManagementConfiguration.ReadWrite.All

Dále už stačí jen poslat HTTP request:

POST /organization/{organizationId}/setMobileDeviceManagementAuthority

Instalace MS Graph

Pozor MS Graph je nahrazena novějším MG Graph:
https://learn.microsoft.com/en-us/powershell/microsoftgraph/authentication-commands?view=graph-powershell-1.0

# Instalace modulu
install-module microsoft.graph.intune

# Import modulu
import-module microsoft.graph.intune

# Připojení k MS Graph
Connect-MSGraph

# Aktualizace Enteprise APP
Update-MSGraphEnvironment -AppId 16f0680c-7253-43cf-9805-be8443a9c3c1

Celý postup:

# Ziskat DirecotryID (tenant ID)
$DirectoryID = (Get-Organization).id

# Ziskani MDM Authority
Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/organization('$DirectoryID')?`$select=mobiledevicemanagementauthority" -HttpMethod Get | Select mobileDeviceManagementAuthority 

# Nastaveni MDM Authority
Invoke-MSGraphRequest -Url "https://graph.microsoft.com/v1.0/organization/$DirectoryID/setMobileDeviceManagementAuthority" -HttpMethod Post

UPDATE 12/2025: Přepnutí MDM autority přes MG Graph (PowerShell)


# 1) Instalace potřebných modulů (stačí jednou)
Install-Module Microsoft.Graph -Scope CurrentUser -Force

# 2) Načtení modulů (lze je importnout explicitně, nebo se natáhnou automaticky)
Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Identity.DirectoryManagement

# 3) Připojení ke Graph (delegovaně) - potřeba scopes pro MDM authority
#    Doporučení: DeviceManagementServiceConfig.ReadWrite.All
#    (případně i DeviceManagementConfiguration.ReadWrite.All podle prostředí)
Connect-MgGraph -Scopes "DeviceManagementServiceConfig.ReadWrite.All"

# Volitelné: ověřit Mg kontext
Get-MgContext

# 4) Získat Organization (tenant) a zjistit aktuální MDM authority
$org = Get-MgOrganization -Property "id,displayName,mobileDeviceManagementAuthority"

# Případně jen
$org = Get-MgOrganization 

$orgId = $org.Id
$org | Select-Object DisplayName, Id, MobileDeviceManagementAuthority

# 5) Přepni MDM authority na Intune
#    (cmdlet je oficiální cesta pro "set mobile device management authority")
Set-MgOrganizationMobileDeviceManagementAuthority -OrganizationId $orgId

# 6) Ověř změnu
$orgAfter = Get-MgOrganization -Property "id,displayName,mobileDeviceManagementAuthority"
$orgAfter | Select-Object DisplayName, Id, MobileDeviceManagementAuthority

# 7) Odpoj se
Disconnect-MgGraph

Set-MgOrganizationMobileDeviceManagementAuthority je přímo cmdlet pro přepnutí MDM authority v tenantu.
Nutný je scope typu DeviceManagementServiceConfig.ReadWrite.All (delegated/app) — uvádí to jak dokumentace cmdletu, tak Graph REST.

Alternativně lze použítInvoke-MgGraphRequest proti REST endpointům

# Instalace a import modulů
Install-Module Microsoft.Graph -Scope CurrentUser -Force
Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Identity.DirectoryManagement

Connect-MgGraph -Scopes "DeviceManagementServiceConfig.ReadWrite.All"

# Org ID
$orgId = (Get-MgOrganization -Property "id").Id

# 1) Přečíst mobileDeviceManagementAuthority (Graph v1.0 umí select property)
Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/organization/$orgId?`$select=mobileDeviceManagementAuthority" |
    Select-Object -ExpandProperty mobileDeviceManagementAuthority

# 2) Přepnout MDM authority (POST akce bez body)
Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/v1.0/organization/$orgId/setMobileDeviceManagementAuthority"

# 3) Ověřit znovu
Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/organization/$orgId?`$select=mobileDeviceManagementAuthority" |
    Select-Object -ExpandProperty mobileDeviceManagementAuthority

Disconnect-MgGraph

Co dál po přepnutí autority: realita je „re-enroll“

Tím, že autoritu přepnete, ještě nemusí být vyhráno. Častý scénář je:

autorita na tenantovi je už správně Intune,
ale některá zařízení zůstala „zapsaná“ pod starým MDM (např. Office 365 Mobile),
a pak se chovají nekonzistentně.

Doporučení z praxe:

buď se změna časem projeví,
nebo je potřeba zařízení re-enrolovat (odregistrovat a zaregistrovat znovu).

Mini checklist: když se policy neaplikují ani po správném MDM Authority

Pokud už máte autoritu správně a stejně „nic neteče“, doporučuji tento rychlý kontrolní seznam:

Ověřit MDM Authority na úrovni tenantu (Tenant Administration / Tenant Status) – musí být Intune.
Ověřit, jak je zařízení připojené (Entra joined / Hybrid joined / registered) a že má správný typ enrollmentu.
U problematických kusů udělat re-enroll (nejčistší test).
Pokud jde o Hybrid join, ověřit automatický enrollment (GPO / Povolit automatický zápis)

Závěrem

Na tento problém jsem poprvé narazil někdy začátkem toku 2024, ale přibližně jednou za půl roku někde tento problém vyplave a tak jsem se rozhodl sepsat tento návod, abych zmírnil utrpení ostatním adminům.

Entra Troubleshooting: permission-issue error code 8344

Miroslav Šraga — Sun, 15 Sep 2024 15:10:18 +0000

Synchronizační služba Azure AD Connect (Entra AD Connect) nepřenáší (některé) objekty z Active Directory a zobrazuje chybu permission-issue. Po kliknutí na chybu se zobrazí: „Přístupová práva jsou nedostatečná k provedení operace“ s kódem chyby 8344. Když navíc kliknete na tlačítko „Log“, zobrazí se chyba „Nerozpoznaný formát GUID“.

Proč k tomu dochází a jaké je řešení? V tomto článku se dozvíte, jak opravit chybu Entra/Azure AD Connect permission-issue s kódem 8344.

Chyba: permission-issue

Error: permission-issue Connected data source error code: 8344
Connected data source error: Insufficient access rights to perform the operation.

Proč se tato chyba zobrazuje a jaké je řešení nedostatečných přístupových práv?

Způsoby řešení chyby 8344 Entra AD Connect

Účet konektoru Entra/Azure AD DS nemá k dispozici všechna oprávnění, a proto se v Entra/Azure AD Connect při exportu objektů AD zobrazí chybový kód 8344 permission-issue. Otázkou je, kde tato oprávnění chybí.

Pozor Entra / Azure AD Connect používá k synchronizaci informací mezi službou Windows Server Active Directory a Entra ID 3 účty.

AD DS Connector account: Čtení/zápis informací do služby Windows Server Active Directory
ADSync Service account: Spuštění synchronizační služby a přístup k databázi SQL
Azure AD Connector account: Zápis informací do služby Entra ID (Azure AD)

Způsob 1. Nastavení správných oprávnění pro účet konektoru služby AD DS

1. Spustťe aplikaci „Azure AD Connect„

2. Klikněte na tlačítko „Konfigurovat„

3. Klikněte na „Řešení potíží„

4. Klikněte na tlačítko „Další„

5. Klikněte na tlačítko „Spustit„

6. Spustí se nové PowerShell okno. V tomto okně zadejte 4 (Configure AD DS Connector Account Permissions) a stiskněte Enter

----------------------------------------AADConnect Troubleshooting------------------------------------------


        Enter '1' - Troubleshoot Object Synchronization
        Enter '2' - Troubleshoot Password Hash Synchronization
        Enter '3' - Collect General Diagnostics
        Enter '4' - Configure AD DS Connector Account Permissions
        Enter '5' - Test Azure Active Directory Connectivity
        Enter '6' - Test Active Directory Connectivity
        Enter 'Q' - Quit


        Please make a selection:

7. V dalším okně zadejte 12 (Set default AD Connector account permissions) a stiskněte Enter

--------------------------------------------Configure Permissions------------------------------------------


        Enter '1' - Get AD Connector account
        Enter '2' - Get objects with inheritance disabled
        Enter '3' - Set basic read permissions
        Enter '4' - Set Exchange Hybrid permissions
        Enter '5' - Set Exchange mail public folder permissions
        Enter '6' - Set MS-DS-Consistency-Guid permissions
        Enter '7' - Set password hash sync permissions
        Enter '8' - Set password writeback permissions
        Enter '9' - Set restricted permissions
        Enter '10' - Set unified group writeback permissions
        Enter '11' - Show AD object permissions
        Enter '12' - Set default AD Connector account permissions
        Enter '13' - Compare object read permissions when running in context of AD Connector account vs Admin account
        Enter 'B' - Go back to main troubleshooting menu
        Enter 'Q' - Quit


        Please make a selection:

8. V dalším okně potvrďte akci zadáním „Y“ a stiskněte Enter

This option will set permissions required for the following:
    Password Hash Sync
    Password Writeback
    Hybrid Exchange
    Exchange Mail Public Folder
    MsDsConsistencyGuid
It will then restrict permissions

Confirm
Would you like to continue with these options?
[Y] Yes  [N] No  [?] Help (default is "Y"):

9. V dalším okně zadejte „E“ (Existing Connector Account) a stiskněte Enter

Account to Configure
Would you like to configure an existing connector account or a custom account?
[E] Existing Connector Account  [C] Custom Account  [?] Help (default is "E"):

10. V okně se zobrazí název konektoru, forest a účet konektoru

11. Zadejte název konektoru (viz sloupec ADConnectorName) a stiskněte Enter

Name of the connector who's account to configure: xxx.cz

12. Zobrazí se požadavek na ověření účtem správce. Zadejte účet Administrátora místní domény

13. Povolte všechny následující požadavky o přidělení oprávnění. Přidělení oprávnění provedete tak, že u každého dotazu zadáte „A“ a stisknete Enter.

Grant Password Hash Synchronization permissions
Grant Password Writeback permissions
Grant Password Writeback permission for Unexpire Password extended right
Grant Exchange Hybrid permissions
Grant Exchange Mail Public Folder permissions
Grant mS-DS-ConsistencyGuid permissions
Set restricted permissions

14. Pokud jste potvrdili přidělení oprávnění ve všech 7 krocích, zavřete okno PowerShell a také okno Entra/Azure AD Connect

15. Spusťe PowerShell s zadejte příkaz pro plnou (iniciání) synchronizaci

Start-ADSyncSyncCycle -PolicyType Initial

16. Počkejte několik minut, než bude synchronizace dokončena.

17. Znovu spusťte „AD Connect Synchronization Service“ a zkontrolujte, zda-li se chyba „permission-issue“ stále opakuje, nebo byla vyřešena.

Pokud se chyba stále opakuje, pokračujde dál v tomto návodu.

Způsob 2. msDS-KeyCredentialLink

V některých případech se mi stalo, že chyba „permission-issue“ se vyskytovala jen u těch uživatelů, kterým se změnila hodnota Active Directory atributu msDS-KeyCredentialLink.

Atribut msDS-KeyCredentialLink se v Active Directory používá k ukládání pověření veřejného klíče přidruženého k objektu počítače nebo uživatele. Tento atribut je důležitý zejména pro scénáře zahrnující Windows Hello for Business a další metody ověřování založené na veřejných klíčích.

Upozornění Funkce Windows Hello pro firmy je vázána mezi uživatelem a zařízením. Uživatel i zařízení musí být synchronizovány mezi Microsoft Entra ID a Active Directory. Zpětný zápis zařízení se používá k aktualizaci atributu msDS-KeyCredentialLink na objektu počítače.

V případě, že používáte zpětný zápis do Active Directory (Writeback), může problém vyřešit, když účet AADSync přidáte do skupiny „Enterprise Key Admins„.

Relevantní zdroje:

Upozornění V internetových diskusích najdete doporučení přidat účet konektoru (MSOL_xxx) do AD skupiny Administrators. Toto řešení může být funkční, avšak do zbytečného přidělování takto vysokých oprávnění bych se nepouštěl.

Po nastavení oprávnění znovu spusťte synchronizaci.

Start-ADSyncSyncCycle -PolicyType Initial

Způsob 3. Udělení individuálních oprávnění

Setkal jsem se případy, kdy byl (po nespecifikovaném zásahu do Active Directory) znemožněn přístup k některým objektům z důvodu chybějícího oprávnění (opravdu per AD objekt). Viděl jsem to zejména v případech, kdy došlo k re-instalaci nebo aktualizaci Entra Connect a byl znovu vytvořen další účet pro synchrnonizaci (MSOL_xxx).

V takovém případě postupujte následujícím způsobem:

1. Spusťte „Entra/Azure AD Connect„

2. Klikněte na tlačítko „Konfigurovat„

3. Vyberte možnost „Zobrazit nebo exportovat aktuální konfiguraci“ a klikněte na tlačítko „Další„

4. Podívejte se, pod jakým účtem se spouští konektor a tento účet si zapamatujte nebo poznačte

5. Okno Entra Connect zavřete kliknutím na tlačítko „Konec„

6. Otevřete si „Active Directory Users and Coputers / Uživatelé a počítače služby Active Directory„

7. Klikněte na menu „Zobrazit“ a aktivujte volbu „Upřesňující funkce„

8. Najděte objekt (uživatele), u kterého se zobrazuje chyba 8344 permission-issue a rozklikněte jeho vlastnosti

9. Přejděte na kartu „Zabezpečení„

10. Zkontrolujte, jaké účty MSOL_xxx mají oprávnění na objekt uživatele a zkontrolujte, zda-li je přidělen správný účet. Ověřte, zda-li je zde uveden účet, který jste si poznačili v kroku 4.

11. Klikněte na tlačítko „Přidat„

12. Do pole „Název objektu“ zadejte „MSOL„

13. klikněte na tlačítko „Kontrola názvů„

14. Pokud se zobrazí okno s více účty, znamená to, že při re-instalaci nebo aktualizaci došlo k vytvoření dalšího účtu. vybere účet, který jste si poznamenali v kroku 4

15. Klikněte na tlačítko „OK„

16. Volbu opět potvrďte kliknutím na tlačítko „OK„

17. Oprávnění pro nově přidaný účet nastavte stejně, jak jsou nastavena u původního účtu – klikněte na tlačítko „Upřesnit„

18. Vyberte jakýkoliv záznam, který odpovídá účtu z kroku 4 (MSOL_xxx) a klikněte na tlačítko „Upravit„

19. V následujícím okne vyberte tato oprávnění:

Read all properties
Write all properties
Read msDS-OperationsForAzTaskBL
Read msDS-parentdistname

20. Nastavení potvrďte kliknutím na tlačítko „OK„

21. Vlastnosti uživatele také zavřete kliknutím na tlačítko „OK„

22. Po nastavení oprávnění znovu spusťte synchronizaci.

Start-ADSyncSyncCycle -PolicyType Initial

23. Počkejte několik minut, než bude synchronizace dokončena.

24. Znovu spusťte „AD Connect Synchronization Service“ a zkontrolujte, zda-li se chyba „permission-issue“ stále opakuje, nebo byla vyřešena.

Relevantní zdroje:

Další kroky

Pokud nasazujete Microsoft Entra Connect, poprvé, mohou se vám hodit následující informace:

Automatizace skriptů PnP PowerShell – Azure Automation

Miroslav Šraga — Mon, 22 Apr 2024 15:04:50 +0000

Dnes mám pro vás kompletní návod, jak zprovoznit automatické spouštění skriptů v rámci PnP PowerShellu (PnP.PowerShell module), bez nutnosti přihlašování konkrétního uživatele. Co k tomu bude potřeba?

Předplatné Microsoft Azure
Automation Account
Managed Identity
PnP PowerShell nainstalovaný lokálně ve vašem počítači

Proč Azure Automation a ne lokální skripty

Dovedu si představit, že nikdo nechce provádět reporty ručně. Důvodů, proč takovou věc automatizovat vidím hned několik:

Nechci se o spouštění reportů starat a nebo delegovat to na jiné uživatele
Nechci uživatelům udělovat oprávnění a vytvářet prostor pro chybu nebo zneužití
Chci si hlídat úroveň oprávnění, kteoru jednotlivým úkonům uděluji, pokud skript pracuje jen se SharePointem, nechci udělovat oprávnění na jinou komponentu systému, třeba na Planner a podobně
Chci mít nad systémem kontrolu a chci mít přehled o tom, jak jednotlivé úlohy dopadly. Nechci spoléhat na to, že delegovaný uživatel daný úkon provede
S ohledem na přechozí body, nechci takovou věc obecně vůbec spouštět v kontextu uživatele, který má uživatelské jméno a heslo a lze se k němu jednouše přihásit, chci nějakou formu systémového účtu

Ruční spouštění skriptů je dobré tam, kde potřebujete jednorázový export nebo report. Pokud ale potřebujete reporty pravidelně, dříve či později se budete snažit skripty automatizovat. První, o co se budete pokoušet, jak skript spustit pomocí plánovače, třeba Task Scheduleru a jak jej spustit pod oprávněním konkrétního uživatele, nejprve to budete zkoušet pod svým účtem, později možná, v lepším případě, vytvoříte servisní účet, kterému třeba i budete muset pořídit licenci. A když nemáte rozpočet, skončí to tak, že skrip, pokud se to vůbec podaří nasadit, bude běžet pod vaším účtem do doby, než z organizace odejdete a možná i po té.

Z výše uvedeného plyne, že daleko rozumnější je použít „nějakou formu“ účtu, který není uživatelem. Ve světe Microsoftu se tomu říká Managed Identity. A pokud se tato identita dá rovnou zkombinovat s procesem, který bude skritpy pravidelně spouštět (Automation Accounts), tak máte pohodlné a bezpečené řešení.

Azure Automation Account je služba, poskytovaná prostřednictvím Microsot Azure, která umožňuje automatizovat a plánovat různé úkoly a procesy v rámci vašeho prostředí Azure a ale mimo něj.

Vytvoření Azure Automation Account

Na portále pro správu Microsoft Azure si najděte (1) službu Automation Accounts (2) a zvolte vytvořit nový účet (3).

(4) Vyberte, do kterého předplatného chcete automatizaci nasadit. Toto je důležité, protože se jedná o sice levnou, ale zpoplatněnou službu.

(5) Zvolte, do jaké skupiny prostředků chcete službu přiřadit nebo vytvořte novou Resource group. Já vytvářím novou Resource Group s názvem „automation-rg“ a do této skupiny budu do budoucna dávat všechny prostředky, které se týkají automatizace.

(6) Zvolte název pro automatizační účet. Tady pozor, budeme vytvářed také takzvadnou Spravovanou Identitu, která je v Entra ID reprezetována jako Enteprise aplikace s tímto názvem, tak zvolte takový název, abyste se v tom potom vyznali. Já dávám na konec názvu suffix „aa“ jako automation account.

(7) Jako region vyberu West Europe, ale vy si samozřejmě zvolte region dle vašich preferencí. Teď je hodně populární třeba Polsko.

Pokračujte kliknutím na tlačítko Next.

V dalším kroku se průvodce ptá, za chci vytvořit Managed Identity a mám na výběr System assigned a User Assigned.

V tomto případě zvolím System assigned (8) a jdu na další kroky.

Azure Managed Identity je služba, která poskytuje automaticky (systémem) spravovanou identitu v Microsoft Entra ID pro aplikace, které se používají pro připojení k prostředkům, které podporují autentizaci vůči Microsoft Entra. Výhodou je, že nemusíte nijak spravovat hesla, pověření, certifikáty nebo klíče, které se jinak používají k zabezpečení komunikace mezi službami. Funguje to tak, že Aplikace využije tuto Managed Identity k získání tokenu Microsoft Entra bez nutnosti řešit jakékoliv pověření. Velmi jednoduše řečeno, jedná se o systémový účet.

Následující krok se týká Networkingu. Máte možnost zvolit si, zda li chcete k prostředkům přistupovat privátně (z vnitřní sítě) nebo pomocí veřejného internetu.

Privátní přístup – tato možnost poskytuje Automation Accountu privátní koncový bod (Private endpoint), který používá privátní IP adresu z vaší virtuální sítě. Povolením privátního koncového bodu přenesete službu do své virtuální sítě. Jedná se o doporučenou konfiguraci z hlediska zabezpečení; vyžaduje však konfiguraci Hybrid Runbook Worker připojeného k virtuální síti Azure a v současné době nepodporuje cloudové úlohy.

V mém případš tedy zvolím Public access a přejdu na další krok.

V produkčním prostředí doporučuju věnovat pozornout Tagům a pro přeheldnost tagy používat. Já osobně do tagů běžně dávám tyto informace:

Prostředí: produkční / testovací
Business owner – kdo konzumuje výslednou službu
Technical owner – kdo se o službu stará technicky
Nekdy případně ještě třeba středisko, oddělení, nákladové středisko apod.

Pokračuji dál na poslední část průvodce a to je Validace.

Pokud validace prošla, klikněte na tlačítko Vytvořit, pokud neprošla, opravte chyby.

Je potřeba počkat, než se celá služba nasadí. Až bude hotovo, lze přejít na detail služby.

Instalace PowerShell modulu: Pnp.PowerShell

Protože potřebujeme pracovat s PnP Powershell Modulem, musíme jej do automatizace nejprve přidat, protože není její nativní součástí.

V levém menu přejděte do sekce Modules (9) a klikněte na tlačítko Přidat modul (10)

PnP.Powershell sice není nativní součástí Automation Accounts, ale je k dispozici v Galerii, takže vyberte Browse fom gallery (11) a otevřete galerii pomocí odkazu Click here to browse from gallery (12).

Do vyhledávcího okna zadejte „PnP„. Těch modulů, které se nabízí je hned několik.

Klikněte na ten s názvem PnP.PowerShell (13).

V dalším okně jen potvrďte výběr modulu, kliknutím na tlačítko Select (14).

Systém vás vrátí do původního okna. Pro správný chod modulu, zvolte Runtime version: 7.2 (15).

Pokračujte kliknutím na tlačítko Import (16).

Teď nastává chvíle čekání, protože je potřeba počkat, až se modul naimportuje, což může trvat klidně i 10 minut. Tento proces nejde urychlit a musí se vyčekat.

Ze začátku ten modul vůbec nebude vidět v seznamu, pak se objeví se stavem Importing a nakonec se jeho stav změní na Available.

Managed Identity / Entra ID Enterprise application

Když je PowerShell modul naimportovaný, lze přejít do sekce Identity.

Zkontrolujte, že je u System Assigned identity stav „Zapnuto“ a rovnou si můžete zkopírovat Object ID, což je zároveň Client ID Enterprise aplikace, které se zaregistrovala v Entře.

Ještě si pro kontrolu otevřete entra.microsoft.com a přejděte do Enterpeise Applications (19) a upravte si filtr zobrazení, případně použijte vyhledávání (20).

Měla by se nabídnout aplikace, kterí bude mít stejný název, jako nově vytvořený Automation Account.

Pokud jste instalovali také lokální modul PnP PowerShellu a udělili jste této aplikaci tzv. Consent, tak uvidíte v seznamui také aplikaci, která se jmenuje PnP Management Shell. To je aplikace, kterou jsem zaregistroval automaticky při instalaci PnP modulu do svého počítače.

Když aplikaci otevřete a přejdete do sekce Permissions (21), uvidíte, že aplikace zatím nemá žádná oprávnění. Stránka s přidělenými oprávněními, je prázdná.

Udělení oprávnění pro Managed Identity (Enterprise application)

Azure Portál a Entra ID necháme chvíli stranou.

Teď je potřeba vytvořené identitě, která je reprezentovaná v Entra ID prostřednictvím Enterprise aplikace, přidělit oprávnění.

K zamyšlení doporučuji, se nejprve zamyslet, jaká práva je potřeba té aplikaci udělit.

Pokud registrujete aplikace na svém počítačí při instalaci PnP modulu, tak tento modul si udělí sám veškerá potřebná oprávnění (po schválení Globálním správcem). My jsme ale v situaci, kdy nechceme, aby náš automatizovaný skript, měl práva úplně na vše, ale jen na konkrétní úkony. Třeba jen pro práci s Plannerem, nebo s Entrou nebo se SharePointem a třeba jen ke čtení.

Abych mohl práva přidělit, musím vědět, co má skript dělat, kam potřebuje sahat a také, jak ta oprávnění identifikovat v systému.

Nyní je tedy potřeba se přesunout do lokálního prostředí a spustit si prostředí PowerShell verze 7.

Předpokládejme, že víte, co má Váš automatizovaný skript dělat a jaká potřebuje oprávnění, ale nevíte, jak oprávnění fakticky přidělit.

K tomu zde mám sadu několika příkazů, kterými si lze trochu pomoci.

1. Nejprve se připojde k PnP pomocí příkazu Connect-PnPOnline

Já už rovnou přidávám i parametru -Url, protože se chci připojik ke konkrétní knihovně, nad kterou mohu dělat další testy.

Connect-PnPOnline -Url "https://sragacz.sharepoint.com/sites/Kvalitaabazpenost" -Interactive

2. Pomocí příkazů níže, lze identifikovat, jaká konkrétní oprávnění lze Enteprise Aplikaci udělit. Parametr -BuiltInType identifikuje, o jakou komponentu nebo službu se jedná, například MicrosoftGraph nebo SharePointOnline. Analogicky si lze vypsat dostupná oprávnění pro jakoukoliv komponentu ekosystému Microsoft 365.

Get-PnPAzureADServicePrincipal -BuiltInType MicrosoftGraph | Get-PnPAzureADServicePrincipalAvailableAppRole
Get-PnPAzureADServicePrincipal -BuiltInType SharePointOnline | Get-PnPAzureADServicePrincipalAvailableAppRole

Výstupem z uvedených příkazů je seznam dostupných oprávnění pro danou komponentu. Přičemž důležité jsou tyto hodnoty:

Value – identifikátor daného oprávnění. Tato hodnota se používá v dalších příkazech
DisplayName – název oprávnění, který je reprezentován zejména v Entra ID v sekci Permissions
Description – popis toho, co dané oprávnění umožňuje

Pokud umíte identifikovat všechna potřebná oprávnění, je na čase oprávnění udělit.

Budete potřebovat Object ID vytvořené Enterprise aplikace. Toto získáte v sekci Identity v detailu Automation Accountu (krok 18) a nebo v detailu Enterprise aplikace.

Pro udělení oprávnění požijte příkaz Add-PnPAzureADServicePrincipalAppRole

Add-PnPAzureADServicePrincipalAppRole -Principal "4e9d609b-f963-xxxx-xxxx-f03bf038ec4d" -AppRole "User.ReadWrite.All" -BuiltInType MicrosoftGraph
Add-PnPAzureADServicePrincipalAppRole -Principal "4e9d609b-f963-xxxx-xxxx-f03bf038ec4d" -AppRole "Sites.FullControl.All" -BuiltInType SharePointOnline

Parametr AppRole obsahuje hodnotu Value, kterou jsme získali pomocí předchozího příkazu (identifikátor oprávnění)

Parametr BuiltInType identifikute danou komponentu / službu.

Parametr Principal obsahuje Object ID Enterprise aplikace, nebo její název, doporučuji ale používat Object ID.

Výsledek operace lze snadno zkontrolovat v Entra ID, konkrétně v detailu Enterprise aplikace, v sekci Permissions. V detailu aplikace by měla být vidět jen tak oprávnění, která byla udělena v předchozích krocích.

Vytvoření skriptu [Runbooks]

Řekněme, že máme rámcově přidělená oprávnění, která pro skript potřebjeme. Zbývá tedy vůbec ten skript vytvořit. A k tomu použijeme tzv. Runbook.

Runbooks Rubbooky jsou knihovny, založené na prostředí Windows PowerShell (nebo Python, ale o tom jindy). Kód runbooku můžete upravovat přímo pomocí textového editoru na Azure portálu. Můžete také použít libovolný offline textový editor a skripty do Azure Automation importovat.

Vraťte se na Azure portál a v detailu Automation Accountu přejděte do nabídky Runbooks (22). Pro vytvoření nového Runbooku klikněte na tlačítko „Create a Rubnook“ (23).

Runbooky jsou vlastně skripty, nebo knihovy skriptů, které chci spouštět, ať už ručně nebo automaticky.

V následující kroku vyplňte všechna povinná pole (24).

Jako typ zvolte: Powershell
Runtive version: 7.2
Description: doporučuji používat popisy, aby se ve skriptech vyznali i ti, kteří přijdou po vás.

Pokud jste vše vyplnili správně, Vytvořte runbook (25).

Runbook je vytvořený. Nyní můžete vytvořit Váš skript (24).

Jakmile máte skript připravený, můžete jej otestovat kliknutím na tlačítko Test pane (25).

V následující okně je potřeba skript ještě spustit pomocí tlačítka Start (26).

Po té, co sktipt doběhne, zobrazí se informace „Completed“ a v okne budou zobrazeny výstupy skriptu. Pokud skript žádné výstupy nemá, bude okno prázdné.

Po dokončení testování je možné okno zavřít křížkem v pravé horní části okna.

Všechny úpravy je potřeba vždy uložit kliknutím na tlačítko Publish. Pokud změny tzv. nepublikujete, bude platná vždy předchozí verze skriptu.

Pokud se s prostředím Azure a PnP teprve seznamujete, chcete si výstupy vyzkoušet a ještě nemáte vlastní skripty, můžete použít příkazy níže, které jsou zcela nezávadné.

První příkaz načte informace o SharePoint webu a další dva se postarají o výpis administrátorů Site Collection. Pro ověření funkčnosti Automation Accountu a pochopení principů to stačí.

Upozornění Všimněte si, že u příkazi Connect-PnPOnline je použit parametr -ManagedIdentity, ktežto když spouštíte stejný příkaz lokálně z počítače, používáte parametr -Interactive

Connect-PnPOnline -Url "https://sragacz.sharepoint.com/sites/Kvalitaabazpenost" -ManagedIdentity

$Web = Get-PnPWeb 
$Web 

$SiteAdmins = Get-PnPSiteCollectionAdmin 
$SiteAdmins 

$SiteCollectionAdmins = ($SiteAdmins | Select -ExpandProperty Title) -join "," 
$SiteCollectionAdmins

Pravidelné spouštění skriptů (runbooků)

Když jsou skripty funkční, zbývý poslední fáze. Určitě chcete, aby se skript spouštěl pravidělně. Takže v levém menu přejděte na Schedules (27) a přidejte nový časový plán (28).

V dalším okně je potřeba „napárovat“ daný Rubnook na časový plán. Klikněte na Link a schedule to your runbook (29).

Pozn.: Lze jít také cestou, že si nejprve vytvoříte časové plány na úrovni Automation Accountu a nikoliv zde v detailu Rubnooku.

Přidejte nový časový plán (30)

V pravém okně vyplňte (31) název časového plánu, já mám v příkladu „Denně“, protože pro ukázku nastavím opakující se denní spouštění skriptu. Určitě opět doporučuji vyplňit také popis.

Zvolte datum a čas prvního spuštění a také časovou zónu, pro kterou jsou časy platné.

Pro pravidelné opakování přepněte přepínač Recurrence (32) do polohy Recurring.

Následně zvolte četnost opakování a případný konec opakování (Set expiration).

Pokud jsou všechny údaje v pořádku, klikněte na tlačítko Vytvořit (33).

Systém na pozadí vytvoří časový plán. V tomto kroku stačí potvrdit napárování Rubnooku na právě vytvořený časový plán, kliknutím na tlačítko OK.

Vytvořený časový plán se zobrazí v seznamu Schedules v detailu Runbooku.

Pokud si chcete prohlédnout historii spuštění rubnooku, přejděte v levém menu do sekce Jobs. Zobrazí se seznam všech spuštění, jejich stav a poslední aktivita. Po rozkliknutí konkrétního jobu jsou také k dispozici servisní informace, výstupy sktiptu a logy.

Videonávod

Jak synchronizovat on-prem AD účty s existujícími účty v Entra ID

Miroslav Šraga — Sun, 11 Feb 2024 18:16:35 +0000

Máte stávající uživatele Entra ID (Azure AD), kteří používají Office 365 a potřebujete je synchronizovat s místní službou Active Directory? Nebo naopak, potřebujete stávající uživatele v Active Directory propojit s již existujícími uživateli v Microsoft 365?

V tomto návodu ukážu postup, jak synchronizovat místní uživatele AD se stávajícími uživateli Entra ID / Azure AD.

Výchozí stav

V tomto případě mám již existující uživatele v místní Active Directory:

V Microsoft 365 mám stejné 2 uživatele, kteří jsou nyní v režimu Cloud Only (Sync status = In cloud)

Tyto uživatele bych rád propojil. Důvod je prostý, mít jeden uživatelský účet pro daného zaměstnance, tedy jeden login, jedno heslo, propojená identita.

Pokud propojení provedu špatně, uživatelské účty budu mít v Microsoft 365 2x. Jeden účet zůstane ten stávající a druhý účet vznikne duplicitní, již propojený na uživatele v Active Directory.

Soft match nebo Hard match?

Existují dvě možnosti, jak existující účty v Active Directory propojit s uživateli v cloudu.

Soft Match

Jedná se metodu, která je založena na přesné shodě e-mailu, userPrincipalName a proxyAddress.
Tato možnost se snáze implementuje, pokud máte hodně uživatelů, které potřebjete synchronizovat s Azure.
Nevýhodou je, že tato metoda může být za určitých okolností méně spolehlivá. Je to dáno zejména případy, kdy nemáte v Active Directory zrovna pořádek, nebo máte pozůstatky po akcích typu „Metoda pokus – omyl“

Hard Match

Jedná se metodu, která používá tzv. Immutable ID (neměnné ID) uživatele, které slouží jako propojovací prvek
Metoda vyžaduje několik kroků a implementace pro více uživatelů může být složitější
Je založena na přesné shodě ID, tedy jedná se o vysoce přesnou metodu

Pozor Níže uvedené kroky doporučuji provést před samotným spuštěním synchronizace pomocí AD sync / Entra Connect. Pokud začnete synchronizovat dříve, pravděporobně dojde ke zdvojení účtů v Entra ID.

Synchronizace uživatelů z Active Directory pomocí Soft Match

U každého místního uživatelského účtu budete muset upravit následující tři atributy v místní Active Directory

UserPrincipalName (přihlašovací jméno)
E-mail
proxyAddresses

1. Sjednocení UPN (UserPrincipalName)

UserPrinicpalName místního účtu Active Directory se musí shodovat s uživatelským jménem účtu Microsoft 365.

Například uživatelské jméno uživatele „Tomáš Marný Soft Match“ je tomasmarny@domena.cz.

V Microsoft 365 Admin centru lze UPN nastavit v sekci Uživatelé – Aktivní uživatelé a následně otevřít detail uživatele.

V místní Active Directory se UPN nastaví pomocí nástroje ADUC (Active Directory Users and Computers), ve kterém je potřeba otevřít vlastnosti uživatele (Properties) a jít do záložky Účet (Account)

Uživatelská jména se musí v obou případech shodovat

2. Nastavení parametru E-mail

E-mail místního uživatelského účtu se musí shodovat s účtem v Microsoft 365. Ve vlastnostech uživatele klikněte na kartu General (Obecné) a vyplňte pole E-mail.

3. Nastavení atributu proxyAddresses

Klikněte na záložku editoru atributů a poté najděte atribut proxyAddresses. Přidejte primární adresu SMTP pomocí velkého SMTP.

Pokud má uživatel aliasy, přidejte je také.

Pamatuje si SMTP (velká písmena) je primární e-mailová adresa a smtp (malá písmena) jsou aliasy.

4. Vynucení synchronizace

Pokud jste si jisti, že máte všechny tři parametry nastaveny správně, můžete ručně spustit synchronizaci. Pokud jste před touto akcí přepnuli Entra Connect to Staging mode, tak jej vypněte.

Pokud Entra Connect (dříve AD Connect) ještě nemáte nainstalovaný, nyní jej můžeze nainstalovat a spustit.

Synchonizaci ručně spustíte pomocí PowerShell příkazu, který spustíte na serveru, na kterém je Entra Connect nainstalován.

Start-ADSyncSyncCycle -PolicyType Delta

Jakmile synchronizace proběhne, je potřeba zkontrolvat, jak naše snažení dopadlo. Kontrolu provedeme pomocí Azure AD Connect Synchronization Service Manager, který se nachází na serveru, na kterém je Entra Connect nainstalován.

Nejprve zkontrolujte, zda byl objekt synchronizován a nevyskytly se žádné chyby.

Klikněte na Distinguished Name a pak Properties

Ověřte synchronizované údaje a hlavně zkontrolujte, že byla nastavena hodnota atributu sourceAnchor.

Poslední co zbývá, je provést kontrolu v Microsoft 365 Admin Centru.

Než přejdete do centra pro správu Microsoft 365 a zkontrolujete stav synchronizace, je dobré počkat přibližně 5-10 minut, než se změny projeví.

Centrum pro správu Microsoft 365 zobrazuje stav synchronizace jako Synced from on-premises (synchronizovaný z místního prostředí).

Funguje to. Účet „Tomáš Marný Soft Match“ se nyní zobrazuje jako synchronizovaný z místní Active Directory.

Je potřeba myslet na to, že tato metoda ne vždy funguje a ke případnému zdvojení účtů může docházet. Jedinou možností, jak toto riziko eliminovat je použití metody Hard Match.

Synchronizace uživatelů z Active Directory pomocí Hard Match

Pokud metoda Soft Match nefunguje, budete muset použít metodu Hard Match.

Metoda Hard Match spočívá v nastavení immutableID v Azure AD (Entra ID) na stejnou hodnotu jako on-prem objectGUID.

Upozornění I ikdyž nastavíte immutableID, měli byste se i tak ujistit, že místní AD používá stejné userPrincipalName a e-mailovou adresu jako cloudový účet.

1. Získání ObjectGUID pro uživatelský účet v místní Active Directory

Spusťte PowerShell jako správce a použijte příkaz Get-ADUser, abyste získali objectGUID uživatele.

Get-ADUser "prokop.buben" | fl UserPrincipalName,objectGUID

# nebo můžete hledat podle UserPrincipalName
Get-ADUser -Filter { UserPrincipalName -eq "prokop.buben@domena.cz" } | fl UserPrincipalName, objectGUID

Poznámka Hodnota v lokálním Active Directory je GUID, zatímco Microsoft Entra ID používá textový řetězec zakódovaný v base64. Pro porovnání objectGUID a immutableID je tedy potřeba provést konverzi.

2. Konverze objectGUID řetezec kódovaný base64

#v závorce je objectGUID
[Convert]::ToBase64String([guid]::New("cbb75926-b4bc-xxxx-xxxxc-xxxxx113904aa").ToByteArray())

Výstupem z výše uvedeného příkladu bude takový řetězec:

Jlm3y7y0bXXXXXXXXTkEqg==

Další užitečné příkazy, které nejsou nutné pro tento postup, ale obecně by se mohly hodit:

# konverze z immutableID na objectGUID
[GUID][system.convert]::FromBase64String("Jlm3y7y0bXXXXXXXXTkEqg==")

# Získání immutableID z EntraID pomocí MS Graph
Connect-MgGraph -Scopes "User.ReadWrite.All"

Get-MgUser -UserId "prokop.buben@domena.cz" -Property OnPremisesImmutableId, UserPrincipalName | fl UserPrincipalName, OnPremisesImmutableId

3. Uložení base64 řetězce do Entra ID

Připojte se k Entra ID pomocí PowerShell

# pokud ještě nemáte nainstalovaný modul MSOnline, použijte příkaz níže
Install-Module MSOnline

# připojení k EntraID
Connect-MsolService

Získání aktuální hodnoty ImmutableID

Get-Msoluser -UserPrincipalName prokop.buben@domena.cz | Select-Object ImmutableId

Pokud immutableID obsahuje hodnotu, je potřeba tuto hodnotu porovnat s hodnotou, kterou jsme získali konverzí objectGUID do base64 formátu.

V mém případě je hodnota immutableID prázdná, což je v pořádku.

4. Nastavení hodnoty immutableID pro účet v Entra ID

Pomocí příkazu níže uložte hodnotu immutableID. Jedná se o hodnotu (řetězec), který byl získán konverzí v bodu 2.

Set-MsolUser -UserPrincipalName prokop.buben@domena.cz -ImmutableId Jlm3y7y0bXXXXXXXXTkEqg==

Pomocí příkazu Get-MsolUser proveďte zpětnou kontrolu

Poud je hodnota immutableID uložena, nezbývá nic jiného, než spustit synchronizaci a nastavení otestovat.

Pokud Entra Connect (dříve AD Connect) ještě nemáte nainstalovaný, nyní jej můžeze nainstalovat a spustit.

Synchonizaci ručně spustíte pomocí PowerShell příkazu, který spustíde na serveru, na kterém je Entra Connect nainstalován.

Start-ADSyncSyncCycle -PolicyType Delta

A stejně jako u metody Soft Match, zbývá provést kontrolu v Microsoft 365 Admin Centru.

Než přejdete do centra pro správu Microsoft 365 a zkontrolujete stav synchronizace, je dobré počkat přibližně 5-10 minut, než se změny projeví.

Centrum pro správu Microsoft 365 zobrazuje stav synchronizace jako Synced from on-premises (synchronizovaný z místního prostředí).

Povedlo se. Účet v místní Active Directory se úspěšně propojil s účtem v Entra ID.

Tento postup je poněkud složitější, ale spolehlivější. Určitě je mnoho způsobů, jak přenos konvertované hodnoty objectGUID do EntraID, například pomocí proměnných a cyklu nebo exportem do CSV a následným importem. Každý si jistě poradí, jak nejlépe umí.

Závěrem

Rád bych ještě zmínil, že v postupu zmíňuji modul MSOnline (verze 1) avšak Microsoft doporučuje použití PowerShell modulu Azure Active Directory V2.

Pokud vám tento návod pomohl, budu rád, když jej budete sdílet dál nebo se podívejte třeba na to, jak přesunout AD Connect na nový server.