Talk Microsoft 365

Wir sprechen über alles aus der Microsoft 365 Welt und sehr oft über Microsoft Teams

Euer Maester um Eure Tenants zu sichern - Mit Fabian und Thomas

09.10.2024 52 min

Video zur Episode

;

Zusammenfassung & Show Notes

(Disclaimer: erstellt mit Chat GPT)

Hallo liebe Community! 😊
🧑‍💻 Heute bei uns im Talk: Fabian Bader und Thomas Nauenheim, die Security-Gurus und MVPs im Bereich Identität und Sicherheit! 🚨 Die beiden sind die Masterminds hinter dem Community-Tool „Maester“ – einem Werkzeug, das deinen Microsoft 365-Tenant sicherer macht. Wie sicher ist dein Tenant wirklich? Spoiler: Test-Ergebnisse könnten ein Augenöffner sein! 👀💥

Inhalt:
 • Kennenlern-Runde: Fabian und Thomas stellen sich vor – inklusive Fun Facts, witziger Kamera-Spielereien und spannender Insights! 🎬😄
 • Das Tool „Maester“ 🛠️: Eine Community-Kreation, die eure Tenant-Sicherheit auf Herz und Nieren prüft – und euch auch sagt, wie ihr Sicherheitslücken schließt. 🔐✨
 • Security und Community vereint: Warum es besser ist, wenn eine ganze Gemeinschaft an einem Sicherheits-Tool werkelt. 👨‍👩‍👧‍👦❤️
 • Live getestet! Thorsten und Michael sind begeistert und teilen ihre Erlebnisse. Spoiler: Thorsten muss noch Slack-Alerts für Teams programmieren. 😆🖥️
 • Der typische Admin 🤓: Michael und Thorsten über Conditional Access, MFA und andere Must-Haves, die du wirklich nicht skippen solltest! ⏭️

Tipps und Tricks: 🎩✨
 • MAESTER.dev – Testet das Tool selbst und macht mit! Es ist kostenlos und für jeden zugänglich.
 • Safety First: Auch wenn’s am Anfang komplex klingt, es ist für alle verständlich und besonders wichtig für euren Tenant. 🔐
 • Erweitert euer Wissen – schaut in die Community-Dokumentationen und überlegt, welche Tests eure Umgebung noch sicherer machen könnten. 📚

Nächste Woche 📅: Ein Viva-Special mit Tanja und bald darauf ein deep-dive in Copilot mit Pascal Brunner! 🚀🤖

💌 Teilen: Empfiehlt die Folge allen Admins, Sicherheitsbeauftragten und denen, die endlich den „Security-Score“ verstehen wollen – oder einfach mal sehen wollen, was wirklich in ihrem Tenant los ist!
Euer Michael & Thorsten
-------------------------------------------------
Infos aus der Episode:
Fabian Bader (LinkedIn): https://www.linkedin.com/in/fabianbader/
Thomas Nauenheim (LinkedIn): https://www.linkedin.com/in/thomasnaunheim/
Maester Tool: https://maester.dev/
Eigene Tests erstellen (Post von Toni Redmond): https://office365itpros.com/2024/10/07/custom-maester-test/
-------------------------------------------------
Link zum Blog findet ihr hier: https://talkm365.net
Auf Twitter unter: @TalkM365
Twitter Michael: @plemich
Twitter Thorsten: @thorpick
Link zum YouTube-Kanal: https://link.talkm365.net/YouTube
Link zum Teams UG - Meetup: https://link.talkm365.net/TeamsUGMeetup
Link zu Thorstens YouTube-Kanal (Quick-Tipps): https://www.youtube.com/c/ThorstenPickhan
-------------------------------------------------
Reference-Links:
Music Intro/Outro: Vacation - AShamaluevMusic.
Music Link: https://soundcloud.com/ashamaluevmusic/vacation
Music Background: Inspirational Corporate Ambient - AShamaluevMusic
Music Link: https://www.patreon.com/ashamaluevmusic
-------------------------------------------------

(Disclaimer: erstellt mit Chat GPT)

Hallo liebe Community! 😊
🧑‍💻 Heute bei uns im Talk: Fabian Bader und Thomas Nauenheim, die Security-Gurus und MVPs im Bereich Identität und Sicherheit! 🚨 Die beiden sind die Masterminds hinter dem Community-Tool „Maester“ – einem Werkzeug, das deinen Microsoft 365-Tenant sicherer macht. Wie sicher ist dein Tenant wirklich? Spoiler: Test-Ergebnisse könnten ein Augenöffner sein! 👀💥

Inhalt:
Kennenlern-Runde: Fabian und Thomas stellen sich vor – inklusive Fun Facts, witziger Kamera-Spielereien und spannender Insights! 🎬😄
Das Tool „Maester“ 🛠️: Eine Community-Kreation, die eure Tenant-Sicherheit auf Herz und Nieren prüft – und euch auch sagt, wie ihr Sicherheitslücken schließt. 🔐✨
Security und Community vereint: Warum es besser ist, wenn eine ganze Gemeinschaft an einem Sicherheits-Tool werkelt. 👨‍👩‍👧‍👦❤️
Live getestet! Thorsten und Michael sind begeistert und teilen ihre Erlebnisse. Spoiler: Thorsten muss noch Slack-Alerts für Teams programmieren. 😆🖥️
Der typische Admin 🤓: Michael und Thorsten über Conditional Access, MFA und andere Must-Haves, die du wirklich nicht skippen solltest! ⏭️

Tipps und Tricks: 🎩✨
MAESTER.dev – Testet das Tool selbst und macht mit! Es ist kostenlos und für jeden zugänglich.
Safety First: Auch wenn’s am Anfang komplex klingt, es ist für alle verständlich und besonders wichtig für euren Tenant. 🔐
Erweitert euer Wissen – schaut in die Community-Dokumentationen und überlegt, welche Tests eure Umgebung noch sicherer machen könnten. 📚

Nächste Woche 📅: Ein Viva-Special mit Tanja und bald darauf ein deep-dive in Copilot mit Pascal Brunner! 🚀🤖

💌 Teilen: Empfiehlt die Folge allen Admins, Sicherheitsbeauftragten und denen, die endlich den „Security-Score“ verstehen wollen – oder einfach mal sehen wollen, was wirklich in ihrem Tenant los ist!
Euer Michael & Thorsten
-------------------------------------------------
Infos aus der Episode:
Fabian Bader (LinkedIn): https://www.linkedin.com/in/fabianbader/
Thomas Nauenheim (LinkedIn): https://www.linkedin.com/in/thomasnaunheim/
Maester Tool: https://maester.dev/
Eigene Tests erstellen (Post von Toni Redmond): https://office365itpros.com/2024/10/07/custom-maester-test/
-------------------------------------------------
Link zum Blog findet ihr hier: https://talkm365.net
Auf Twitter unter: @TalkM365
Twitter Michael: @plemich
Twitter Thorsten: @thorpick
Link zum YouTube-Kanal: https://link.talkm365.net/YouTube
Link zum Teams UG - Meetup: https://link.talkm365.net/TeamsUGMeetup
Link zu Thorstens YouTube-Kanal (Quick-Tipps): https://www.youtube.com/c/ThorstenPickhan
-------------------------------------------------
Reference-Links:
Music Intro/Outro: Vacation - AShamaluevMusic.
Music Link: https://soundcloud.com/ashamaluevmusic/vacation
Music Background: Inspirational Corporate Ambient - AShamaluevMusic
Music Link: https://www.patreon.com/ashamaluevmusic
-------------------------------------------------

Transkript

Hallo und herzlich willkommen zum Talk Microsoft 365. Mein Name ist Michael und gemeinsam mit Thorsten durfte ich heute zwei Gäste bei uns begrüßen, die ein komplett anderes Gebiet als Microsoft 365 kennen Selbst vor sich haben. Wir durften Fabian Bader und Thomas Nauenheim bei uns begrüßen beides MVPs im Bereich Security und Identity. Und wir haben über ihr bzw. das von ihnen und der Community entwickelte Tool Master gesprochen, das euch helfen kann, euren Tenant sicherer zu machen und sehr, sehr einfach ist. Das kann ich euch aus eigener Erfahrung sagen. Schaut da gerne rein, hört da gerne rein und wir wünschen euch natürlich sehr viel Spaß mit der Episode, bevor es dann demnächst weitergeht mit den Aufzeichnungen vom M365, diesmal rund um Microsoft Viva. Aber dazu das nächste Mal mehr. Bis dahin viel Spaß. Hallo Thorsten Hallo Michael. Hallo, liebe Community. Herzlich willkommen zu einem Livestream, der wirklich live ist und nicht aufgezeichnet oder in irgendeiner Form so verschoben und mit komischem Setup Vielen genannt weil wir tatsächlich jetzt gerade im Oktober gefühlt streiche gefühlt jede Woche Gäste dabei haben. Und dabei machen wir nur alle zwei Wochen einen Livestream. Also das ist verrückt Wir hatten letzte Woche schon eine Aufzeichnung vom M365 Summit mit Christoph Twiehaus. Das Zeug ist jetzt richtig relevant geworden, weil wir nämlich Copilot Pages bekommen haben. Ich habe es heute live auf meinem Tenant gesehen, noch nicht draufgedrückt. Ich habe nur den Knopf jetzt. okay. Ich habe noch nicht gespielt damit. Also ich weiß noch nicht, wie sich das anfühlt. Aber der Christoph hat... Ich habe gelesen grandios Das ist ultimativ. Das revolutioniert die Arbeit. Das ist Ich habe Lackfass gelesen. Also, wer mehr dazu wissen will, der Christoph hat schon mal ein bisschen was zusammengestellt Schaut da gerne auch noch mal natürlich auf unsere letzte Sendung Hört da gerne rein. Aber auch auf seinem LinkedIn-Profil gibt es ein bisschen was dazu. Allerdings haben wir heute gar nicht so viele Copilot-Themen hier. Sondern wir wagen uns in ein Gebiet, das Thorsten bestimmt ganz gut beruflich kann. Ich habe davon schon mal was gehört. Und weil wir natürlich immer dann, wenn es kritisch wird, Experten mit einladen freuen wir uns, dass wir heute zwei Gäste dabei haben. Den Fabian und den Thomas. Ich hole euch mal on stage. Hallo Fabian hallo Thomas. Hallo zusammen! Bevor wir in die Vorstellung kommen und ihr etwas zu euch erzählen dürft, wir wollen auch noch über ein Tool sprechen. Das Maester, also ich hoffe, ich habe das richtig ausgesprochen, oder macht man das Majester, da könnt ihr gleich mehr dazu sagen. Vielleicht erzählt ihr etwas von euch, wer seid ihr, was macht ihr, warum haben wir euch hier mit dazugeholt und jetzt halte ich mal langsam die Klappe, ihr dürft jetzt auch. Ihr müsst nur noch wissen, wer du gerne mit deiner Vorstellung. Er mag anfangen. Schmeißt euch den Ball zu, ja. Vielen Dank. dann wirklich einfach mal los ja freue mich sehr dabei sein zu dürfen ich bin der thomas thomas nonheim cyber security architekt bei der klüger kann ja und auch kollege von fabian bin microsoft security mbp und ja ab dem schwerpunkt auf die themen identity security und cloud security und Und von daher passt das mit dem Thema heute ganz gut, glaube ich. Und dann würde ich einfach mal den Ball zu Fabian übergeben. Ja, danke dafür. Ja, ich bin Fabian Bader, ich komme aus Hamburg, bin auch MVP im Bereich Azure und Security. Wie Thomas es schon verraten hat, bin ich ein Kollege von ihm, arbeite daher auch bei der Klück Kanya und mein Titel unterscheidet sich da auch nicht, nennt sich bei mir auch Cyber Security Architekt. Und ja, vielen Dank dass ihr euch uns heute eingeladen habt. Wir danken ganz herzlich, dass ihr uns in dem Wilden Format hier, ich muss euch richtig ansortieren, dass ihr uns hier beglückt. Ich muss sie deswegen ansortieren, weil sie tatsächlich witzige Spiele mit den Kameras machen können. Also wenn ihr den Podcast gerade hört, ihr könnt, solltet vielleicht dann mal die Videoaufzeichnung anschauen, weil da gibt es so ein paar Easter Eggs, die da mit eingebaut sein könnten. Kein Also grundsätzlich ist der Talk ja immer sehenswert, aber heute verdient er erst recht das Prädikat sehenswert. Absolut, absolut. Wir haben jetzt tatsächlich, ich habe gerade eben schon mal das Tool angesprochen, euch eingeladen weil ihr... Die Masterminds hinter dem Mastertool seid. Vielleicht könnt ihr mal kurz ansprechen, was ist das überhaupt? Warum ist das aus eurer Sicht genial? Und dann sage ich ob eure Wahrnehmung auch andere, was steckt dahinter? Ja, Master ist im Endeffekt ein Tool, um die Microsoft 365 Umgebung securitytechnisch zu durchleuchten und am Ende Einen Report zu bekommen, wie es denn eigentlich so steht um die Security Posture im eigenen Tenant. Ist alles nach Best Practice konfiguriert oder ist irgendwo doch noch Multifaktor und nicht für jeden User an? Das ist jetzt nur einer von vielen Checks, die da mittlerweile implementiert sind, aber genau das ist eigentlich Masters, bietet uns eben die Möglichkeit hier wirklich relativ einfach und barrierefrei einen Report zu erstellen, Mit dem man dann aber auch, wie nennt man es in Neudeutsch so schön, actionable insights hat, wie man das Ganze dann auch fixen kann. Sehr cool. Ja, und ich glaube... Entschuldigung Thomas. kurz noch, weil ihr es angesprochen habt, wir sind ja jetzt nur zwei davon. Also das Ganze ist ein Community-Projekt und ich glaube, das ist auch so die Stärke davon, dass ganz viele da kontributet haben und dass das jetzt auch was ist, wo immer mehr Tests auch aus der Community kommen. Also von daher, wer es bisher noch nicht genutzt hat oder da mitmachen will, es ist wie gesagt ein Community-Driven-Projekt und ich glaube, das macht es auch nochmal besonders Das war auch tatsächlich einer der Gründe warum wir am Anfang das gesehen haben und nicht einfach gesagt haben, ja okay, das ist jetzt halt irgendwie so ein Produktmarketing oder irgendwie sowas sondern es war und ist auch das große Highlight, was ich auch mit herausheben möchte als Community-Projekt. Du hast Gerade gesagt, ihr macht das nicht mehr oder nicht nur zu zweit schräg schräg zu dritt. Vielen Dank. Wie seid ihr denn dazu gekommen? Wie habt ihr denn angefangen damit umzugehen Ja, das Ganze hat so im Sommer letzten Jahres angefangen. Da hat mich Meryl Fernando, der ein oder andere kennt ihn vielleicht für seinen tollen Newsletter, den er jede Woche zum Thema Entra, auch unter anderem auf LinkedIn, aber auch auf allen anderen sozialen Medien postet und auch sonst tolle Grafiken zu ganz vielen schönen Themen im Bereich Entra Microsoft Cloud veröffentlicht, der hat mich auf jeden Fall angeschrieben und gesagt, hey Fabian, da gibt es so eine neue Private Preview für eine Graph API, mit der man Conditional Access Policies testen kann. Und du hast doch da so ein anderes Community-Projekt, mit dem man Sentinel automatisiert testen kann. Wäre das nicht was, wo wir uns mal zusammensetzen und mal sprechen können, was dabei hinten rauskommen könnte? Und wie das dann so ist, habe ich erstmal geschrieben, ja, ich habe jetzt aber erstmal Urlaub, ich melde mich danach. Vielen diese neue Private Preview API genutzt um eben What-If, was man vielleicht aus Conditional Access so ein bisschen kennt, zu automatisieren, durchzuprüfen und haben aber schnell gemerkt, eigentlich hat das Ganze noch viel, viel mehr Potenzial Wir haben von Anfang an auf ein Test-Framework gesetzt, das in PowerShell sehr verbreitet ist. PowerShell ist unsere Grundlage an sich und die Grundlage für unsere Tests dabei ist das sogenannte PESTA-Framework. Das ist eigentlich was, was aus der Softwareentwicklung kommt, diese ganzen Test-Frameworks und hier eben auch genutzt werden kann, um alles Mögliche zu testen unter anderem eben auch Entra-ID. Und dann waren wir an dem Punkt, dass wir gesagt haben, irgendwie brauchen wir jetzt nochmal ein paar mehr Tests und bevor wir jetzt anfangen mit so einem Community-Tool rauszukommen und alles neu zu erfinden, haben wir mal geschaut was gibt es denn da draußen und haben festgestellt gar nicht so weit weg, so gefühlt ein Raum neben mir ist da jemand, der hat da schon was gebaut, zwar in einem komplett anderen Setting Aber eigentlich mit dem ähnlichen Ziel, nämlich Tenants sicherer zu machen und so haben wir uns dann mit dem Thomas in Verbindung gesetzt, der das AIDS-Gar-Projekt schon eine Weile davor ins Leben gerufen hat und auch als Community-Projekt schon betrieben hat. Thomas, vielleicht erzählst du am besten, was das eigentlich genau ist. Ja, gerne. Also im Hintergrund von 8Scar, auch eine tolle Abkürzung, die ich nachher noch erklären kann, wofür die steht, ist, dass vor jetzt vier Jahren ich zusammen mit Semmy Lampeau, einem finnischen MVP, das damalige Azure AD Attack & Defense Playbook gestartet habe als Projekt, wo es um Angriffs und Verteidigungsszenarien geht, damals noch um Azure AD, heute Entry-ID. Und wir sind damals dann irgendwann zum Punkt gekommen, dass wir gesagt haben, okay, rein Angriff-Verteidigungs-Szenarien zu beschreiben reicht nicht aus. Wir würden gerne eigentlich so gewisse Tenant-Hardening-Sachen beschreiben, weil wenn wir dann über so Angriffe wie Consent-Grant-Attacks sprechen, dann kann man die relativ einfach auch mitigieren durch effektive Tenant-Settings Und dann ist auch ein weiterer Kollege damals dazugekommen, der Markus, und dann haben wir angefangen, einfach mal alle Graph APIs, die irgendwie mit Tenant Settings zu tun haben, rauszusuchen, zu analysieren, was wäre denn eigentlich sicherheitstechnisch eine vernünftige Einstellung an der Stelle, haben dann noch ein Mapping auf Maitre gemacht, gesagt, okay, wenn du jetzt zum Beispiel kein Smart Logout aktiv hast, dann zählt das auf dein Initial Access. Attack surface ein und dadurch hast du die folgenden technik und tactics die relevant zu weitere ist solltest du auf schirm haben Und dann sind wir hingegangen ganz primitiv, und haben eine, wie es immer ist, eine JSON-Datei geschrieben, mit einem schönen Schema, wo diese Graph-Endpunkte das Mapping zum Eintritt drin war, der Wert, der nicht standardmäßig von Microsoft ausgeliefert wird bei jedem neuen Tenant, was wir für sinnvoll halten, was eigentlich der Wert ist, und haben dann eine Logic-App entwickelt, ein Workbook, um das Ganze, ja, ähm Für die Community relativ einfach deploybar zu machen und Wir hatten aber damals schon immer den Ansatz gehabt, die Definition, was eigentlich ein sicherer Tenant oder eine sichere Tenant-Konfiguration ausmacht, war ja losgelöst was wir nachher verwendet haben. Logic App und zum Beispiel dieses Workbook. Und das war natürlich eine ideale Ausgangssituation für dieses Community-Projekt zu sagen, okay, die Endpunkte wissen wir, wir wissen, was die Werte sind, die wir gerne hätten, das einmal in PowerShell konvertiert, um daraus bester Checks zu machen und schon hatten wir, ich weiß gar nicht mehr, wie viele es heute sind, rund um die 40 Checks, die relativ einfach zu adaptieren waren, auch für das Masterprojekt. Ja sehr ein wenig wie wir alle zu diesem Thema gefunden haben. Und nochmal kurz unsere Zuschauer zu höhere abzuholen. Wir sind ja, wie gesagt, jetzt eigentlich nicht im Schwerpunkt Identity oder Security unterwegs, bisher zumindest nicht. Also es geht immer darum zu prüfen, wie einfach ist es für einen Angreifer, an unsere Daten zu kommen, die im Tenant liegen, wie einfach ist es, meine Credentials zu klauen, meine Identität zu klauen und damit quasi im Tenant des Unternehmens unterwegs zu sein. Mich möglichst zu verstecken, unauffällig zu verhalten, an Daten ranzukommen und von dort aus dann weiterzugehen und Daten zu sammeln, aber mich auch entsprechend anzugreifen und zu schauen dass ich eben Unfug treiben kann. Darum geht es bei euren Tests, eben die Bordmittel von Microsoft, aber auch eben Mittel, die ich oder Werkzeuge die ich über Lizensierungen dazu bekomme zu prüfen, Wie sicher ist das Das sind die empfohlenen Einstellungen. Da wäre auch meine Frage, ist das eure Empfehlung? Ist das von Microsoft die Empfehlung Gibt es irgendwelche Standards, RFC-Norms was auch immer, die sagen, so und so sollte es sein? Und das wird quasi geprüft gegen, was ist dein aktuelles Setting, was ist die Empfehlung und das und das wäre das Action-Item um es zu verbessern. Dank Richtig? Also wir haben es im Endeffekt so, dass wir jetzt mittlerweile in dem ganzen Test unterschiedliche Frameworks schon implementiert haben. Du hast das gerade schon ein bisschen angesprochen. Gibt es da eigentlich irgendwas, was wirklich das Richtige ist? Und ja, da gibt es natürlich viele Meinungen. Microsoft hat eine Meinung dazu, was richtig ist, was man eigentlich konfigurieren sollte, aber trotzdem nicht der Default ist. Immer ein bisschen interessant, aber okay. Im Conditional Access Bereich, also in dem Moment, wo ich zugreife, hat Microsoft auch Templates veröffentlicht wo sie sagen, eigentlich solltet ihr die benutzen, aber auch die sind eben nicht standardmäßig verteilt und nicht standardmäßig drinnen. Und was unser Projekt jetzt hier macht, ist nicht die eine Wahrheit zu haben. Das ist am Ende in so einer komplexen Umgebung wie der Cloud gar nicht möglich, sondern wir möchten eigentlich möglichst viele Sachen abbilden und was wir mittlerweile haben, ist eben mit dem Aids-Gar eine eher Community-Driven-Empfehlung Hat die Community sich zusammengesetzt und gesagt, das ist eigentlich das, was wir als sinnvoll erachten, ist natürlich dann aber auch, sage ich mal, mit einem gewissen Blick von ein paar Leuten, die das entwickeln betrieben Kann jeder mitmachen, aber das kommt erst mal eben hier aus der Community. Andere Sachen gibt es dann aber auch, zum Beispiel gerade im Amerikanischen gibt es die CISA. Das ist im Endeffekt so etwas wie in Deutschland das BSI, das Bundesamt für... System-Sicherheit-Informationstechnik irgendwie so, genau. Ja, reinbeugen, genau. Und die geben eben auch Empfehlungen raus, was eigentlich so konfiguriert sein soll, damit ein Tenant nicht so leicht gehackt werden kann. Da sind mittlerweile auch, gerade aus der Community, schon sehr, sehr viele Checks mit dazugekommen, die sich auch nicht nur auf das klassische Entra-ID beschränken, sondern wir haben mittlerweile sogar Tests Die bis in Exchange Online schauen und eben auch da prüfen, sind bestimmte Security-Sachen wie ein Defender vor Office 365 oder eben auch die Exchange Online Protection eigentlich richtig konfiguriert und das ist eigentlich auch das, wo wir in Zukunft immer mehr hinwollen, dass wir eben eine Plattform bieten, wo aber am Ende auch wieder Leute sich anpluggen können und sagen, das sind meine Empfehlungen und Ein wichtiger Punkt, den wir von Anfang an dabei hatten, der vielleicht nicht für jeden, der einsteigt interessant ist, ist aber auch, ich kann auch meine eigenen Tests schreiben und Thomas hatte da gerade eine nette Begegnung zu, kannst du vielleicht gerade mal erzählen was da letzte Woche dir passiert ist? Genau, also es hat ja gerade schon Fabian erwähnt wir aus der, zum Beispiel bei dem Aidscar gehen ja auch hin und machen Bewertungen jetzt zum Beispiel für Tendent-Settings und wir waren da sehr strigent und haben zum Beispiel gesagt, wir gehen erstmal nur auf Security-Settings Also da, wie ich vorhin erwähnt habe, wo wir ganz klar sagen können, das Setting zahlt jetzt zum Beispiel auf eine Angriffs-Methode ein, die wir auch dann zum Beispiel gegen MyTool mappen können. Und wir haben auch immer, das ist auch wichtig, eine volle Transparenz, das heißt, wir verweisen dann auf diese Maitre-Techniken, wir verweisen auch, wenn es von Microsoft klare Empfehlungen gibt, auf die Microsoft Docs und wir verweisen darauf, wie wir dieses Setting ermittelt haben und wie man diese auch fixen kann. Also, wenn es irgendwelche Artikel von Microsoft gibt, dass wir dann direkt einen Link haben, hier, so kannst du es beheben. Also, das ist nochmal kurzfristig auch von den Settings zu haben. Also, ihr reportet nur, ihr macht keine Einstellung am Tendenz mit dem Tool, sondern ihr lest nur geht es um Report und genau aufzuzeigen, wo habe ich mein Drift, also da, wo ich abweiche und dann im ersten Schritt war es zumindest bei Skarchecks wichtig, dass wir dann höchstens mitgeben, hey, das wären die Settings, wie voll könnt ihr die dann fixen weil natürlich jeder nochmal für sich in der Umgebung natürlich auch beurteilen muss, was ist der Impact. Mathis kann sein. prinzipiell lassen natürlich Graph API Calls auch zu, dass man relativ einfach einen Quick Fix reinhauen könnte. Aber da, glaube ich, sind wir in einem anderen Thema. Zu kurz aber zu dieser Begegnung. Ich hatte das Vergnügen, letzte Woche auf der Tech in Dallas, Texas gewesen zu sein, wo auch Meryl dabei war, auch einen Vortrag zu dem Thema gehalten hat. Und ich hatte da auch das Vergnügen, Tony Redmond zu treffen, der jetzt auch kürzlich nochmal einen Blogartikel zu dem Thema getroffen hat und seinen relativ, ja, ich sag mal, guten Überblick darüber gibt, wie relativ einfach man auch selber Checks schreiben kann. Und da ist zum Beispiel das Beispiel, dass man einen Check hat, der prüft, habe ich meinen Usern erlaubt dass die zum Beispiel M365 gucken. Ähm im Default erstellen dürfen. Also, ist das was, was ich, ähm Ermöglichen will, jedem Benutzer. Da war zum Beispiel bei uns in der 8Scar-Community die Frage, ist es wirklich ein Security-Thema, ist es eher ein Governance-Thema, weil wie ist das Risiko wenn jetzt jemand eine Gruppe erst mal erstellen darf und da ist es aber wichtig, klar, auch unabhängig von 8Scar kann man eigene Checks schreiben, wie jetzt Tony hier auch sehr gut zeigt und auch sehr detailliert beschreibt. Und es gibt aber auch die Möglichkeit, Pull-Requests zu stellen und auch die Diskussion anzudrehen, zu sagen, hey, ich habe hier jetzt gesehen, es gibt doch von Microsoft eine andere Recommendation oder wir sehen das anders, das wäre doch was, was irgendwie auf das Technik oder Technik in MITRE 1 hat. Also da ist man offen und da ist es auch wichtig, das Feedback der Community mit reinzubeziehen Vielen könnt ihr euch das mit anschauen. Wir haben in der Zwischenzeit auch eine Frage bekommen, wie kommt man denn an dieses Tool und ist es frei verfügbar? Ich möchte jetzt fragen, wer von euch mag das beantworten Ich kenne die Antwort, aber ihr dürft. Jeder kann ja einen Teil der Antwort geben. Okay, okay. Genau, also ist es frei verfügbar? Ich würde mal den Part übernehmen. Es ist ein Community-Tool es ist frei verfügbar und es ist auch kostenfrei verfügbar. Also es ist jetzt nicht irgendwie hinter einer Paywall fünf Checks und danach bitte Münzen einwerfen Newsletter anmelden persönliche Daten da lassen, Geburtsdatum Genau, natürlich. Es ist komplett frei. Es ist auch komplett frei, dieses Tool zu verändern, zu erweitern zu forken. Und das kann jeder gerne machen und wo er das machen kann. Da steige ich jetzt ein. Da gibt es auch verschiedene Varianten, also für die von euch, die es einfach mal interaktiv ausführen wollen, die sagen, ich will es einfach mal testen, das PowerShell-Modul dazu ist auch in der PowerShell-Gallery verfügbar. Das ist halt relativ einfach dann zu konsumieren. Es gibt auch da kann Fabian nachher auch ein bisschen mehr dazu sagen, das Ganze auch in einem GitHub-Marketplace. Das heißt also, wir hätten da auch die Möglichkeit, das Ganze auch als Pipeline zu verwenden. Und last but not least, für die richtigen Hardcore-Entwickler da kann man natürlich auch das Repository, wie Fabian schon sagt, klonen, forken, wie auch immer ihr damit tätig Umgehen wollt und das dann lokal bei euch dann tatsächlich mit allen Details dann selber euch mal anschauen was hinter dem Modul steckt. Der einfachste Einstieg ist eigentlich, wenn ihr einfach auf die Projektseite geht und die heißt maester.dev, also M-A-E-S-T-E-R.D-E-V und hier ist nicht nur ein schöner Überblick drauf, was eigentlich dieses Tool macht, was Aidsgar ist und was hinter dem Kürzel steht, sondern wir haben oben links auch ein paar Docs mit drinne Die eben so einen initialen Einstieg die Installation, all sowas erleichtern sollen und hier eben auch unterschiedlichste Möglichkeiten dokumentiert, wie das Ganze eigentlich funktioniert. Es sind teilweise auch Präsentationen von uns dann noch mit verknüpft die man sich dann mal anschauen kann, wenn man sagt, ich möchte das lieber noch nicht selber ausführen, sondern möchte mir das erstmal angucken, wie jemand anderes das auf seiner Maschine macht, dann gibt es da eben auch mal die ein oder anderen YouTube-Videos zu sehen. Und Thomas hat es gerade schon gesagt, es gibt es eben auch im GitHub-Möglichkeit. Also im Endeffekt haben wir mehrere Möglichkeiten, wie so ein Master ausgeführt werden kann. Die erste Möglichkeit Ist eigentlich wirklich so ein One-Off. Ich möchte einfach meine Umgebung jetzt hier mal bewerten lassen. Das heißt, ich installiere mir dieses Modul, lade mir die Tests runter, führe es einmal aus und bekomme am Ende einen schönen HTML-Report. Dafür muss ich mich natürlich auch mit meiner Umgebung verbinden. Im Hintergrund verwenden wir dafür Standard-Module von Microsoft, also sowas wie ein Graph-Modul im PowerShell-Bereich oder das Exchange-Modul je nachdem welche Tests man dann eben auch ausführt. Und der zweite Teil, den wir eingebaut haben, der gibt einem aber auch die Möglichkeit, sowas in einer mehr automatisierten Variante zu machen. Das ist einmal eben in einer sogenannten GitHub Pipeline, GitHub Actions das Ganze auszuführen. Das heißt, ich kann es dann zum Beispiel täglich ausführen und die Ergebnisse irgendwo hochladen und sammeln. Das ist automatisch Auch sehr schön dokumentiert. Mittlerweile ist auch eine Dokumentation wie lasse ich sowas in einem Azure Automation Account laufen, wie lasse ich sowas in einem Azure DevOps laufen, in einer Container App, wie lasse ich mir E-Mails schicken, wie schicke ich mir Slack Alerts Also ihr seht es gibt da unglaublich viele, viele Möglichkeiten. Slack. versuchen wir natürlich, offen zu sein. Und bisher hat noch die Community mehr nach Slack-Alerts als nach Teams-Alerts geschrieben. Ich glaube, im Microsoft 365-Umfeld schickt man sich einfach noch eine E-Mail. Ja, aber Thorsten kann das ja jetzt ändern. Das ist dein Aufruf dazu, Kontributor zu werden und deinen ersten Pull-Request zu stellen. kann es nur noch mal wiederholen, ich bin nicht so der Identity-Security-Guy, aber natürlich habe auch ich dieses Tool installiert, habe es mal gegen meinen eigenen Tenant ausgeführt, habe es gegen meinen Web-Tenant ausgeführt und gerade das fand ich so gut und da habe ich zu Michael gesagt, wir müssen die beiden Jungs mal zu uns in den Talk holen, weil ich eben nicht der Security und Identity-Deep-Dive-Engineer sein muss, um jetzt Zu verstehen, was da passiert und was ich alles machen muss und ich muss auch kein Coder sein irgendwie, um mit irgendwas zu, das sind sehr simple PowerShell-Befehle, die ich machen kann. Klar brauche ich Permissions auf den Tendent, um eben die Reports zu ziehen oder die aktuellen Einstellungen zu bekommen, aber es hat mir eben sehr gut gefallen, dass grundsätzlich erstmal nichts verändert wird, es wird nur gelesen und danach bekomme ich eben diesen tollen Report, der mir genau sagt, Da musst du mal reingucken und das, was ihr beiden dann eben auch sagt, ich für mich bewerte als Tenant-User oder Tenant-Administrator, als Firma, ist das jetzt ein Setting, was ich wirklich ändern möchte oder muss, weil das Risiko XY dahinter hängt oder es ist vielleicht sogar bewusst so eingestellt weil wir in der Zusammenarbeit mit das so brauchen oder es offen haben wollen oder was auch immer. Bei meinem Report ist zum Beispiel direkt rausgeputzt, dass Guest-Management sehr offen ist, keine Einschränkungen da sind und so weiter und so fort. Das ist halt im Lab ein Standard-Tenant, ohne dass ich da Security dran geschraubt hätte und das fand ich eben sehr gut. Das der Report. Ich muss kein Security-Engineer sein, um zu verstehen, was da jetzt Thema ist und wenn mich irgendwas anspricht, wo ich sage, okay, das hört sich interessant an, muss ich mal nachgucken, Habe ich eben zum einen die Möglichkeit, direkt zu Microsoft abzuspringen oder mir dann eben wiederum einen Experten zu holen der es für mich bewertet und sagt, ja das können wir machen und hat folgenden Impact für euch und das fand ich eben das Coole an diesem Tool, dass es auch für Nicht-Security- und Identity-Engineers einfach zu benutzen ist und wertvolle Informationen rauskommen. Und das ist, glaube ich der entscheidende Punkt. Also, wenn ich so ein Report sehe, dann ist es immer ganz cool, wenn man diesen Turn-on-the-Lights-Moment hat, wo man dann sagt, okay, ich... Ich bin ein bisschen davon ausgegangen, mein Conditional Access-Regelsatz ist wasserdicht. Jetzt sind dann hier Sachen aufgetreten, die vielleicht mich mal zum Nachdenken oder dass ich dann doch nochmal schaue, wie die Policies sind. Und damals bei dem 8-Scar-Projekt wie jetzt hier auch bei dem Report, war es für uns wichtig, dass auch die Admins sich mal kritisch mit den Default-Settings auseinandersetzen. Also ja, wie du gerade sagst es funktioniert Kann sein, dass es super ist. Alle dürfen jeden in den Tenant einladen und jeder darf Gruppen und Apps anlegen. Aber trotzdem nochmal darauf hinzuweisen, das könnten die Nachteile sein oder das sind die Gefahren die damit einhergehen, soll ja eher die Administrator anleiten sich kritisch auch mit den Settings auseinanderzusetzen. Um wegzukommen von diesem Secure-by-Default-Gedanken sondern auch, dass ich bei Cloud-Services mir kritisch mit den Settings auseinandersetzen sollte. Vielen Dank weil ich tatsächlich einfach einen völlig unmanaged, also von den Security Settings einfach alles laufen lassen Tenant Getestet habe. Auch ein Testtenant da ist nichts produktiv drauf. Das ist einfach nur einer, mit dem ich halt alle Jubeljahre mal was tue. Und Vielen gibt's eine schöne Grafik die so ein Tortendiagramm darstellt Und ich habe noch nicht mal das erste Viertel vollgekriegt mit den Sachen, die gut gelaufen sind. Versetzung gefährdet. Ja, das ist noch harmlos gesagt. Und ich fand das sehr beeindruckend weil ich... Jetzt fange ich wieder an, ich reite darauf gerne rum, ich bin ein Mac-User und ich challenge das gerne, auch gerade weil bei PowerShell nicht alles tatsächlich auch auf der PowerShell 7 funktioniert, weil es da immer wieder auch Sachen gibt, die auch gegen die Wand fahren, weil ich eben kein klassischer Windows-User bin, das funktioniert hier problemlos, das alles, State-of-the-Art, die aktuellen Module alle verwendet. Ich habe nie ein Problem gehabt, ähm Ich habe das einfach laufen lassen können und einfach laufen lassen können. Also die Betonung liegt wirklich auf einfach. Das war binnen drei Minuten durch. Das längste waren, glaube ich, die Berechtigungen geben, dass das Messe überhaupt die Anfrage stellen kann und die ganzen Informationen auslesen darf. Also auch da es passiert nicht ohne eure Zustimmung Und auch dieser Teil ist sicher, das fand ich sehr gut, dass da nicht irgendwie versucht wird, jeder kann das Tool runterladen und versucht einfach darüber, weiß ich nicht, Sicherheitslücken zu finden, so nach dem Motto, ich lasse das jetzt einfach laufen und dann weiß ich, wie ich am besten auf die Tendenz draufkomme. Also Chapeau, hat mich sehr beeindruckt dass das so einfach war. Alles auf einen Blick zu bekommen. Als Mac-User habe ich auch ein Eigeninteresse, dass solche Tools, also es gibt eine Hidden Agenda. muss auch ganz klar sagen, ich glaube, dadurch, dass wir mit PowerShell 7 auf Mac, Linux und Windows arbeiten, Ziemlich gut unterwegs sein können. Die größere Herausforderung ist mittlerweile wirklich eine saubere Kompatibilität zu einer PowerShell 5, also zu dem klassischen Windows-PowerShell herzustellen, weil wir natürlich einfach merken, an der einen oder anderen Stelle nutzen wir eigentlich gern die neuen schönen Sachen, die PowerShell Core uns bietet und müssen es dann aber eben für die Windows-PowerShell dann doch nochmal auch in einer anderen Art und Weise nachbauen, weil die einfach natürlich noch sehr, sehr verbreitet draußen ist. Ich weiß nicht, was du meinst. Vielen Dank. Vielen Dank Ich habe jetzt hier so einen tollen Report bekommen. Ich kriege aber auch Reports von Microsoft, wenn ich mir den Security-Score anschaue. Ich glaube ihr habt, für mich habt ihr so einen Teil schon beantwortet mit der, wie ihr die Ergebnisse bewertet, aber wenn ich jetzt diesem Security-Score von Microsoft folge und sage, ich möchte dort ein hohes Rating haben, ich Persönlich glaube ich auch nicht, dass jeder 100 Prozent hat, weil es immer Ausnahmen gibt, die das Business wahrscheinlich braucht, damit es auch richtig funktioniert mit dem Arbeiten und anderen Leuten. Aber ist das, wenn ich den Security-Check durchmache und den Security-Score durchmache So viel Security habe ich lange nicht Vielen Dank. So weit nach oben drehe, kriege ich dann jetzt hier auch in Mester Report auf einmal alles grün und bestehe das mit wehenden Fahnen? Ob jetzt alles da drin ist, würde ich noch bezweifeln Am Ende sind, glaube ich aber schon einige Settings sehr deckungsgleich die wir da drin haben und auch der Security Score wird natürlich bestimmte Sachen zum Beispiel in Exchange Online empfehlen, die wir auch empfehlen, weil sie eben auch solchen Best Practices unter anderem von Microsoft mit rauskommen können Und, natürlich, da sind wir wieder an dem Punkt, was ist nachher die richtige Best Practice für mich, was sind die richtigen Einstellungen für mich. Der Security Score bietet eine ganz gute Möglichkeit, hat aber auch wiederum bestimmte ja, ich würde mal sagen, nicht so optimale Sachen, was zum Beispiel... Eigene Tests angeht oder eigene Meinungen zu bestimmten Einstellungen, die man da vielleicht hat, oder auch teilweise einfach Auswertungslogik, die sich in der Realität nicht immer ganz so widerspiegelt wie wir das eigentlich erwarten würden. Und genau das soll eben MESTA hier durch eine bisschen offenere Plattform auch mit lösen weil ich hier natürlich wirklich nachvollziehen kann, warum ist denn dieser Check jetzt schiefgegangen? Also nicht nur durch die Erklärung, die wir haben, Wenn man Interesse hat, man kann einfach die verschiedenen, hier haut heute der Zwiebel abziehen bis man eben feststellt, ah, dahinter steckt eigentlich dieser Graph Call und genau dieser Punkt in der Einstellung und ah, das ist der Grund, warum das jetzt schief gegangen ist. Und wenn ich den ändere, kann ich mir jetzt Gedanken machen, was passiert, möchte ich das wirklich und was? Am Ende kann ich es dann eben ändern und habe eine Empfehlung, die wir dann hier umgesetzt haben und dann plötzlich grün ist. Der Punkt ist sehr, sehr wichtig und ich glaube, das ist einer der Stärken was ich vorhin schon meinte mit der Transparenz. Admins die ihre Herausforderungen mit dem Secure Score haben, weil er sich dann plötzlich verändert und keiner weiß weshalb. Oder man hat zum Beispiel das Problem, dass Sachen bewertet werden, die aber eigentlich out of scope sind. Die Klassiker sind Prey Class, die dann doch irgendwie in dem Berechnung, ob alle User mit MFA abgedeckt sind, berücksichtigt werden. Das Thema ändert sich zwar jetzt, das ist jetzt ein schlechtes Beispiel eigentlich, aber ich glaube, dass es halt wirklich der Vorteil ist, dass man relativ klar sieht, okay, der Check hat sich geändert, ich habe die Logik dahinter und ich habe nochmal auch ein bisschen Kontext dazu, wieso weshalb warum die Das als Check so gesehen wird und bis hin halt zu der Erhebung und die Transparenz ist halt so in der Detailtiefe halt beim Secure Score auch nicht unbedingt gegeben. Noch mal eine Frage zu den Tests als solches also für unsere Podcast Zuhörer wenn der test bestanden ist es logischerweise der test grün markiert wenn der test fehlerhaft gewesen ist weil die einstellung abweicht von der empfehlung die getroffen wurde ist der rot dann gibt es aber auch tests habe ich gesehen die grau sind mit dem hinweis gibt bedeutet das dann Diese Funktion kann ich bei mir im Tenant nicht nutzen, weil ich nicht die passende Lizenz dafür habe, weil sie nicht für mich relevant ist oder was hat das mit dem Skip und Graue auf sich, wenn so ein Test dann eben übersprungen wurde? Also an der Stelle gibt es mehrere Gründe, weshalb es es gibt werden könnte. Du hattest gerade ja schon skizziert zum Beispiel weil einfach der Check nicht anwendbar ist, weil zum Beispiel eine P2 Lizenz dafür vorhanden sein müsste. Wir haben aber zum Beispiel Genau, EntraID P2, genau. Und dann aber auch entsprechend mit dem Hinweis und bei Aidscar ist es ähnlich. Da gibt es auch die sogenannten Skip Reasons Das heißt, wir übermitteln dann aber auch für den Report, weshalb wurde der Test durchgeführt Geskippt und das ist zum Beispiel auch, wenn Abhängigkeiten da sind. Also wir haben festgestellt, wenn jetzt jemand zum Beispiel komplett die Gästefunktion deaktiviert hat oder gewisse Sachen, dann brauche ich jetzt nicht in die Sub-Einstellungen noch vom Hardening reinzugehen, weil dann einfach die Abhängigkeitskette halt vorhanden ist. Wenn ich jetzt keinem erlaube, die Authenticator-App Dann brauche ich jetzt auch nicht als Fail-Check nach oben zu transportieren, wenn das Number Managing für die Authenticator-App nicht da ist. Und das macht es jetzt schon, glaube ich, auch für jemanden der den Report liest dann einfacher, als wenn er dann plötzlich sieht, ja, kann ja gar nicht funktionieren der Check, weil eine Abhängigkeit nicht aufgelöst werden kann. Vielen ausgeführt, sind auch alle skippt und da steht dann in der Skip-Reason dann auch drin, ja, liegt dran, dass du dich einfach noch mit Exchange verbinden musst, ne, also standardmäßig macht man bei Connect Master erstmal eine Graph-API-Verbindung auf, aber Kann aber eben auch sagen, verbinde mich mit dem Service Exchange noch mit, dass es dann auch gleich in dieser Skip Reason mit hinterlegt, dass man sich jetzt nicht komplett wundert, warum eigentlich diese Exchange-Tests nie laufen. Gerne einfach mal auf so einen Test draufklicken. Das würde ich grundsätzlich immer empfehlen auch bei denen die fehlgeschlagen sind, mal ruhig draufklicken Wir haben eigentlich versucht, sehr, sehr ausführlich das Ganze auch aufzunehmen Zu detailliert zu erklären, warum wir etwas finden, wie man es beheben kann und weitere Ressourcen hier zu verlinken. Also es ist nicht nur diese Übersicht die man bekommt, Failed, Not Failed, Skipped, sondern wirklich auch in jedem dieser Checks ist nochmal mehr Detailtiefe hinterlegt und deswegen ruhig mal einfach anklicken auf so einen und dann bekommt man da eben auch entsprechend die Information, was genau dahinter steht. Dank Da sieht man es ja, also für die Podcast-Hörer der Michael hat jetzt so ein Testergebnis aufgerufen, am Ende wird eben eine HTML-Datei erzeugt die ihr dann auch in jedem Browser eben öffnen könnt, wo die einzelnen Tests gelistet werden, dahinter dann entsprechend die Markierung, ob bestanden, fehlerhaft, weil abweichend oder eben skippt und diese Tests pro Zeile könnt ihr dann eben öffnen Anklicken egal ob bestanden nicht bestanden oder skippt und bekommt dann dort eben eine detaillierte Information in dem Falle wenn es jetzt failed ist, was ist der aktuelle Wert, was ist die Empfehlung mit einer Referenzierung zu dem entsprechenden Microsoft-Artikel und auch dem Testskript wie der Aufruf erfolgt ist, um zu prüfen, was jetzt passierte oder was dort eben getestet wurde. Das ist nochmal vielleicht wichtig zu erwähnen, also um jetzt zu dem Community-Projekt beizusteuern muss man jetzt nicht unbedingt PowerShell-Gott sein und die Die Checks selber schreiben, sondern wir haben auch Feedback bekommen von der Community, wo Leute gesagt haben, hey, zu diesem Check würde jetzt zum Beispiel der How-to-Fix-Artikel super passen oder wurde gesagt, hier, ich habe gesehen, da gibt es die Einstellung kann man auch übers Portal setzen und was unser Ziel zum Beispiel bei den 8-Scar-Checks war, ist, dass man direkt einen Link hat, nicht nur das per Graph-API zu patchen, was glaube ich so die wenigsten einfach mal so Zwischen Tür und Angel tun würden, sondern finden es dann doch ganz charmant, wenn man ins Portal reinspringen kann und einfach den Haken setzen kann. Und da war es dann halt cool, dass wir dann angefangen haben, verstärkt Deep Links zum Portal mit reinzunehmen, dass dann der Absprung dazu da ist. Also, wie gesagt, da keine falsche Scheu haben. Es gibt viele Arten wie man zu einem Community-Projekt beitragen kann. Und da gab es ja sehr, sehr unterschiedliche Arten und Weisen, wie das Leute aus der Community gemacht haben. Das heißt aber auch, um jetzt eigene Tests zu schreiben, an der Community teilzunehmen, angenommen Michael und ich sagen jetzt, Mensch, coole Geschichte, wir nehmen uns jetzt mal den Blog Teams vor und machen dort quasi eine Validierung Werden dann relativ schnell feststellen, okay, Microsoft Teams, Graph API, eher so mäßige Unterstützung, hätte ich gesagt, gehen wir besser auf die PowerShell. Würde das auch funktionieren, also dass wir die Tests rein mit PowerShell-Commandlets schreiben würden und dann das Ergebnis präsentieren oder sind wir auf Graph API angewiesen? So machen wir es wie gesagt bei dem Exchange auch. Auch da ist jetzt der native Graph-Anteil noch etwas geringer von dem her nutzen wir da auch die korrekt. Vielen sowas ist auch natürlich eine super Idee, zu sagen, hey, hier Teams fehlt irgendwie noch voll. Und da ist ja auch so die eine oder andere Einstellung habe ich mittlerweile gehört, die vielleicht notwendig ist, um so ein paar Sachen sauber zu konfigurieren. Und ja, also gerne Auch wenn man solche Ideen hat, aber vielleicht noch nicht so ganz weiß wie es losgehen kann also Thomas und ich und auch Meryl und auch viele andere in der Community sind da super gern bereit auch nochmal irgendwie einen Startschuss zu geben zu gucken, dass man da zusammen vielleicht mal die ersten zwei Tests durchspielt um dann einfach hier in Flow zu kommen, wo wir eben auch andere Leute dazu ermächtigen, selber solche Tests zu schreiben, weil am Ende wir kennen eben unseren Themenbereich gut, aber ihr habt andere Themenbereiche, die ihr viel, viel viel besser kennt, wo ihr viel, viel mehr Know-how drin habt und da brauchen wir einfach die Community, die da unterstützt. Mega, sehr cool. Zum Beispiel in Form einer Teams-Notification in Slack. Ja, ich habe es verstanden, Thomas. Ich mache mich gleich ran. Ja, Dank. ja bald Wochenende. Ja, ja, genau. Sehr schön. Ja, wie geht es weiter mit MESTA? Also, Test ist das eine, gibt es irgendwie andere Pläne? Könnt aus dem Nähkästchen plaudern Gibt es irgendwie was? ihr schon sagen, wenn ihr das Pricetag dran macht? Also ein zähres Ziel. Messe ist dein Copilot. Er steuert den Copilot. Nein also ich glaube, wir wollen aktuell gucken, dass es eigentlich in eine einfach mal saubere und gut getestete Variante kommt. Wir sind absichtlich noch auf einer Null-Punkt-Version unterwegs, weil wir einfach noch schauen, wie wir das hinkriegen. Gleichzeitig merken wir, je mehr wir eigentlich in dieses Kernmodul aufnehmen, desto... Ich will es jetzt nicht sagen aufgeplayt das ist vielleicht das falsche Wort, aber desto komplexer wird es nachher, dieses Modul irgendwann noch zu verstehen. Deswegen gab es schon die ersten Ideen ob man es nicht vielleicht schafft, da eine Art Community-Marketplace zu schaffen, wo nachher eben das eher so über kleine Plugins läuft. Da sind wir noch sehr am Anfang und die letzten Monate auch nicht wirklich sehr weit gekommen mit, aber das ist auf jeden Fall eine Idee, wo wir im Hinterkopf haben, um zu sagen, wir können vielleicht hier solche Sachen dann eben ein bisschen aufsplitten und man kann später einfach sagen, hey, ich habe das Kernmodul, installiere mir hier noch Elska, installiere mir hier noch das Teams Message Plugin von Thorsten, den Teams Check von Michael und dann los geht's. Ja, sehr cool. Ja, man darf halt auch nicht vergessen, umso mehr Checks halt drin sind, umso länger dauert es halt in der Standard-Config Jetzt ist es ja mega schnell, also schneller kann man eigentlich nicht ein Review von Tendent-Settings und CA machen. Aber wir sehen selbst auch, ich habe jetzt aktuell einen Check, den ich für Conditional Access schreibe, der doch ein wenig länger dauert weil er ziemlich viele Objekte durchiteriert und dann ist schon die Frage, das wäre so ein Ding, so ein optionaler Check, den man gerne so dazu buchen würde, aber dann halt auch weiß, was der Grund ist, weshalb jetzt die Checks nicht mehr in 90 Sekunden durch sind, sondern dann halt vielleicht ein bisschen länger dauert. Auch das vielleicht nochmal kurz für unsere Zuhörer weil wir ja im Security und so nicht unterwegs sind so häufig. Für Michael und für euch ist es, auch für mich ist es normal, Conditional Access bedeutet eben, dass ich Zugriff auf meinen Tenant bekomme unter bestimmten Voraussetzungen. Aber tatsächlich ist es eben so, dass nach wie vor sehr viele Tenants unterwegs sind da draußen, obwohl es mittlerweile in jeder Lizenz mit dabei ist und auch Microsoft ja Vorgaben macht, diese Microsoft Basic Templates bla bla bla, dass MFA und Conditional Access, der ganze Kram kaum in Verwendung ist. Ich kann mich erinnern, dass die Martina Grohm beim Infinity dieses Jahr meinte, dass sie, ich weiß nicht mehr genau, aber ich glaube irgendwie um 60, 70 Prozent irgendwie überhaupt gar nicht in Nutzung sind der Tenants die das gar nicht aktiv haben. Also, es wird ja jetzt, kommt ja mehr und mehr jetzt, weil Microsoft auch das forciert für die Admin-Accounts aber wenn wir auf die reine User-Perspektive gehen, ist es nach wie vor eben, ja, Leider sehr gering. Aber für alle, die das Portal nutzen wollen, also Admin Azure.com und auch die Verwandten die Entra-Teams würde es sich jetzt nochmal die nächsten, ich glaube, sechs Tage lohnen irgendwie mal schon mal MFA zu registrieren und zu testen weil Microsoft macht jetzt wirklich ernst und wird anfangen, MFA verpflichtend zu machen Auf jeden Fall eben für diese Portale. Das ist ein erster sehr guter Schritt, den Microsoft jetzt hier geht, den sie mit den Security Defaults im Free-Bereich schon eine Weile machen. Ja, leider ist einfach in vielen Bereichen das noch nicht sehr weit verbreitet und gleichzeitig sehen wir aber in unserer täglichen Arbeit auch, dass das natürlich ein Einfallstor ist, über das Angreifer gerne reinkommen und das sehr gerne nutzen, wenn sie kein MFA noch als Hürde haben. Aber die Checks sind auch für alle was, also nicht nur die jetzt bisher wenig adoptiert haben Conditional Access, sondern man darf sich auch nicht in falscher Sicherheit wägen. Es gibt durchaus auch Admins die sehr komplexe Conditional Access Regelsätze mal gebaut haben und vielleicht den überblick auch verloren haben wir eigentlich das ganze wirklich greift und es ist halt auch ein sicherheitsansatz das immer wieder kritisch zu hinterfragen habe ich eigentlich mir gerade irgendwie loch eingebohrt weil am anfang sieht das alles super aus wie ich meine richtlinien designe und dann kommt dann halt wie immer die marketingabteilung oder der ceo mit seinem macbook und wie gesagt einfach auch noch mal das ganze zu sagen Ich mache meinen Mestertag und dann wird halt auch mal kritisch über die Settings drüber geschaut und hat sich auch was geändert. Also auch diese Vergleiche dann durchaus mal zu sehen, ist glaube ich was für jedermann Das ist auch ein super Beispiel für einen tollen Check, der aus der Community kommt, wo wirklich in den Conditional Access-Einstellungen geprüft wird, hey, Michael hat hier eine Ausnahme, ist er denn aber wenigstens irgendwo anders wieder aufgenommen worden? Also gibt es einen Fallback, der irgendwie diesen User oder diese Gruppe abfängt? Mega tolle Contribution hier und ja Cool. alle was dabei. Ja Sehr cool. So, ich glaube, ihr habt ein wunderbares Tool gebaut. Also ich bin begeistert von der initialen Idee, als das veröffentlicht wurde, als das so durch meine Timeline gerauscht ist. Da habe ich halt auch gedacht, okay, ja, aber da ist definitiv ein Preistag dran. So was kostenfrei zur Verfügung zu haben als Community-Projekt, das ist sehr, sehr cool. Vielen Dank euch und auch den anderen Community-Teilen, die nicht hier mit dabei sind. Vielen Dank Ähm ich... Wie ich schon gesagt habe, packen den Link für die Webseite nochmal in die Shownotes Das Beispiel, deutsche Sprache schwere Sprache, ich kann weder Englisch noch Deutsch, das ist eine gute Situation für einen Podcast. Das von Tony Redmond, wo beschrieben wird, auch nochmal, wie man ein Testcase bauen kann, wenn ihr nicht Schon Test Cases findet, die auf eure Bedürfnisse passen und schaut gerne in der Community mit bei, dass ihr das erweitern könnt und auch einfach nur die Ideen mit dazu steuern. Ich möchte noch ein bisschen Werbung machen. Ich habe ja gesagt, Community Rocktober. Wir haben nächste Woche ein spannendes Interview mit Tanja rund um Viva. Das wird nächste Woche live gehen und in zwei Wochen werden wir... Leider Gottes für alle, die es nicht mehr hören können, uns mit Copilot beschäftigen und haben dort Pascal Brunner mit bei uns und werden mit ihm über Copilot sprechen, Anwendungsfälle und ich bin mir sicher, wir werden auch nochmal ein bisschen mehr Details rund um diese neuen Dinger, Agents die live sind, Pages, dieses Gedöns halt uns ein bisschen anschauen. Ja, und... Vielen der kommt, der kommt. Sonst sind wir nämlich mit diesen Security und Compliance-Themen, die wir mit Raphael besprochen haben, rund um Copilot, schon wieder so outdated, dass da ist ja auch so viel Bewegung drin. Also freut euch auf die nächsten Wochen. Wir haben ein volles Programm. Aber für heute sage ich erstmal herzlichen, herzlichsten Dank Fabian und Thomas. Sehr gerne. Sehr sehr cool. wir da sein durften. Sehr gerne Es freut uns, dass es geklappt hat. Und damit würde ich sagen, teilt das gerne mit all jenen die immer schon gucken wollten, ob ihr Tenant tatsächlich sicher ist und nicht einfach nur hoffen, dass sie jeden Tag gut über die Bühne kriegen ohne Angriff. Und natürlich mit Hund Katze Maus Oma Opa, Onkel, Tante und damit bis nächste Woche. Ciao.