Blog-Feed – Seite 3 – ClickCoach

Brave New World

architecture black and white challenge chance

Azure / M365 are quickly becoming the central hub for all systems and applications in your company. Although both are often associated with Microsoft only, the solution goes way beyond a single brand and in reality it helps to securely integrate 3rd party apps and providers.

About Passwords

When we logon to our computers in the morning, we are usually asked for a username (Authentication) and a password. This provides access to different systems based on our identity (Authorization). As we continue our daily work, we may suddently be prompted for an additional username or password. There are many reasons this can happen, but three of them are the most common:

Lack of integration into our corporate environment (no SSO, single-signon)

The application owner has put forward a requirement for additonal protection because of the sensitive data involved (Salary lists, HR databases…)
Another message we might encounter is a simple ‚Access Denied‘ without any further prompting for passwords. This basically just means that we are not authorized and need to request access via a servicedesk process or perhaps a call to IT. You might want to analyze these requests and implement role-based access, to reduce the number of helpdesk calls. But that’s a topic for another day.

close up photo of programming of codes — SSO Integration nicht vergessen

Lack of integration into our corporate environment (SSO is missing)

If all your applications are hosted in a corporate data center, then the technical integration follows a standard pattern. Usually, there will be a central directory service (Active Directory or similar) and your application will offer LDAP or even Kerberos support. Integration in this case, may just mean creating a service account and adding it to the application configuration. Good project managers will also think about security groups, to decide who within the company is allowed to access the application and also how to handle on-boarding procedures.

So far, so good. However, in the IT landscape of today, many applications are hosted in the Cloud. Salesforce, Dropbox, Acrobat, Zoom… to name only a few. Now, one way to approach the issue is to have a separate user database for each of these services, each one with a different password. Madness! And why should we force the user to remember different identities and passwords? This doesn’t make things more secure, quite the opposite.

A better and far more secure approach is to integrate all your cloud applications by using a single but secure Identity Provider. This can be done in a few simple and effective steps, as explained in my previous article.

black android smartphone on top of white book — Besonders schützenswerte Daten… wie sichern?

Protecting Application Data

When we talk about ‚additonal protection‘ for sensitive information… what does that mean? The first step is as always to define ‚who‘ has access. This step is simple, since it usually means creating a security group and adding your user accounts. But there are additional questions which need to be considered. Which device will be used to access the data? Can a sales employee review all the data in the customer database? Probably the answer is yes, at least once access has been provided. But what about downloading the data and forwarding it to others by e-mail? Without alerting anyone? Is it ok to look at customer data while on holiday from an Internet Café? In these modern times of working from home or working remotely, security is paramount. Is it really ok, that a single password should provide access from anywhere without additional safeguards? As we know, passwords can be guessed and password theft is common. Wouldn’t it be better, if high-risk applications were subject to a second level of authentication, for example by confirming your identity on your mobile phone (MFA)? For example, if you had the Microsoft Authenticator App installed, you would receive a pop-up every time you logon to Salesforce.

The good news, both options are available and we haven’t even started with DLP (Data Leak Prevention). If you’re interested in the subject and would like to dig deeper, here are two articles that I would recommend:

This article talks about how you can improve your security by activating MFA

This article reviews how ‚Conditional Access‘ can provide fine-tuned settings not just for answering who can access an application, but also from where and on which devices and what the security requirements are.

Final thoughts

It is a lot safer to have a single password and to protect and manage a single Identity Provider in a secure and unified way. Certainly better than having multiple user accounts, each which different password requirements. If you’ve ever seen ‚Weakest Link‘ on BBC you’ll know what I mean. 🙂

So is M365 / Azure really a secure Identity Provider? Will Microsoft get to know my password? What happens if I forget my single, secure password? These are important questions, which I will answer in a future article.

Here’s a reminder of ways you can interact with us:

‚Hammertime‘ – Send uns your ideas and let us know what you think
Get the ‚T-Shirt‘ – Impress friends and family while supporting our site.

Schöne neue Welt

English

Azure / M365 werden immer mehr zur Drehscheibe für alle Systeme und Applikationen in der Firma. Viele denken dabei nur an Microsoft aber die Lösung geht weit darüber hinaus und kann auch Drittanbieter sicher einbinden.

Ueber Passwörter

Wenn wir uns am Computer in der Firma anmelden brauchen wir einen Benutzernamen und ein Passwort (Authentisierung). Damit haben wir dann Zugriff auf viele Applikationen und Daten (Autorisierung). Nun kann es sein, dass wir beim Zugriff auf weitere Applikationen plötzlich wieder nach einen Benutzernamen oder Passwort gefragt werden. Das kann viele Gründe haben, aber zwei davon sind sehr häufig:

Die Applikation wurde nicht sauber in unsere Umgebung integriert (kein SSO)
Die Applikation enthält sehr sensitive Informationen und man möchte sie zusätzlich schützen (z.B. die Lohnbuchhaltung, Personaldatenbank etc.)

Es kann auch sein, dass wir einfach eine ‚Zugriff verweigert‘ oder ähnliche Fehlermeldung bekommen, ohne Passwortabfrage. In diesem Fall müssen wir den Zugriff erst noch beantragen. Damit nicht jeder der neu in die Firma kommt für seinen Job alles einzeln beantragen muss gibt es den rollen-basierten Zugriff aber das ist ein Thema für einen anderen Beitrag.

Die Applikation wurde nicht sauber in unsere Umgebung integriert (kein SSO)

Wenn alle Applikationen der Firma im eigenen Rechenzentrum stehen, dann ist die technische Integration nicht besonders schwierig. In der Regel gibt es ein Active Directory, also ein zentrales Verzeichnis (mit oder ohne LDAP Unterstützung) und dann erstellen wir einen Service Account und gut ist. Wenn wir Glück haben macht sich der Projektleiter noch Gedanken über die Applikationsgruppen, d.h. wer kann was und wie kommen neue Benutzer in die richtige Gruppe.

So weit, so gut. Nun sind aber neue Applikationen oft in der Cloud. Salesforce, Dropbox, Acrobat, Zoom… um nur einige zu nennen. Nun kann ich hingehen und eine eigene Benutzerdatenbank in der Cloud bewirtschaften mit eigenen Passwörtern. Muss ich aber nicht. Und warum sollte sich der Benutzer verschiedene Identitäten merken? Das macht die Systeme nicht sicherer sondern bewirkt das Gegenteil.

Im Beitrag Passwortsalat fertig erkläre ich wie wir alle Cloud Applikationen, ob Microsoft oder nicht über einen Identity Provider anbinden können, in wenigen Schritten.

Die Applikation enthält sehr sensitive Informationen

Was heisst zusätzlich schützen? Einerseits möchten wir einschränken, wer Zugriff hat. Das ist noch einfach, z.B. über eine Zugriffsgruppe. Doch mit welchem Gerät wird zugegriffen? kann ein Verkaufsmitarbeiter sämtliche Kundendaten ansehen? Vermutlich ja, wenn ihm der Zugriff erteilt wurde. Kann er auch die Addressdaten der Kunden herunterladen oder per e-mail weiterleiten, ohne dass jemand es weiss? Kann er die Kundendaten im Internet Café anschauen? Und in der Zeit von Home Office und Remote Work immer wichtiger ist auch, dass wir nicht nur ein Passwort eingeben müssen. Denn Passwörter können gestohlen oder erraten werden. Wir möchten zusätzlich, dass bei wichtigen Applikationen eine zweite Sicherheits-Stufe aktiviert wird. Das könnte eine Authenticator App auf dem Mobiltelefon sein (MFA).

Die gute Nachricht: Beides ist möglich und noch mehr! Wer sich in das Thema vertiefen möchte kann hier anfangen:

Im Artikel M365 Sicherheit erhöhen mit MFA erkläre ich wie wir generell MFA im M365 einschalten

Im Artikel Du darfst nicht rein erkläre ich wie wir mit Conditional Access genau definieren wer zugreifen darf, von wo aus er zugreifen darf, von welchem Gerät aus er zugreifen darf etc.

Und noch zum Schluss

Es ist sicherer nur ein Passwort zu haben und das dafür einheitlich und gut zu schützen. Ist es unsicher, wenn ich M365 als Identity Provider verwende? Und kennt Microsoft mein Passwort? Was ist, wenn ich das ‚eine‘ Passwort vergesse? Diese Fragen werde ich im nächsten Beitrag beantworten.

Zum guten Schluss noch einmal eine Erinnerung an wichtige Seiten:

Die Feedbackseite „Vorschlaghammer“ – hier kannst Du Fragen stellen oder Wünsche oder Ideen einbringen
Die T-Shirt Seite – hier kannst Du das ClickCoach Team unterstützen und dabei noch gut aussehen

Buying Software – Major Mishaps

Artikel auf Deutsch lesen

Evaluating and picking a new software can be a daunting process. If you work in a small business, it’s usually a bit less complicated. Being agile and being able to try out new things is a competitive advantage for any small business. Sadly, as your business gets larger you can’t just install something and be done. There are established procedures and interfaces that you need to understand and take care of. These changes take time and that’s why software evaluation and implementation for medium and large businesses is crucial. It could be new ticketing system for the helpdesk or a new CRM program for your sales team. Regardless, if you avoid these 10 mishaps, this will help to make your project a success. So here are ten things you shouldn’t do when buying or evaluating new software.

1. Ignore Stakeholders

What is a stakeholder? It is anyone using the software or who is affected by it. It is probably the most important aspect of your project to identify them early and to make them part of the evaluation process. You may be tempted to take shortcuts and to not include some departments for the sake of expediency. However, this will come back to kick you in the backside later. Let’s say, you’re evaluating a new helpdesk software and your company has support departments around the world. If you only talk to the helpdesk people at headquarters then, you will alienate the other departments and they make become a roadblock to success when you’re trying to rollout the new program. Also there are features such as multi-language support that can only be identified if you talk to the right people.

angry little brothers fighting and pulling toy to sides — There can only be one

2. Missing Requirements

Don’t invite software vendors to showcase their application before you have an actual requirements list. If you do that, you’re wasting not only your own time but also the vendors time. Have a clear and weighted list of requirements and know what you’re trying to achieve before setting up meetings with vendors or demos. Only then will you be able to make an assessment what the software can achieve.

3. Mission creep

So the new accounting software can also do software deployment or the new CAD program can host a music database. Who cares? This may be a great sales argument in talks with the CEO but it has no bearing on your mission to find the right application. Don’t try to find the „Swiss Army Knife“ but instead focus on your actual requirements. Killing more than one bird with the same stone is a recipe for failure.

4. The Highlander Principle

From the start you should assign clear responsibilites. Who is in charge? If multiple teams or departments are working on the same project, you need to put a stop to that right away. Vendors will notice and it will make a chaotic and unprofessional impression both inside and outside the company. Unclear assignments can quickly become a show-stopper as the different teams begin to block each others progress.

people silhouette during sunset — Work together for success

5. Check and double-check

One thing you’ll notice as you put your requirements out to the vendors, is that for each ‚must‘ requirements they will always answer ‚Yes‘ or ‚Yes, but…‘. Rarely will you receive a ‚No‘. That is because vendors know that if they fail to meet the requirements, they may be kicked out of the evaluation process. Let’s say you ask for the program to have multi-tenat capability. What does that mean? The vendor may say ‚Yes‘ only to reveal that you need to install a new server for each tenant and buy additional licenses. It’s important to have the same understanding about any requirement you define. If in doubt, call it out.

6. Form over Function

Let’s say you’re evaluating a new backup software and you have found an application that has all the bells and whistles. On paper, at least. However, when you try to use the software it’s so complicated and has such a terrrible user interface that you start pulling out your hair. Another software may have a brilliant and easy to use GUI and may require far less in training hours for your staff. Would you rather buy a software that is made up of several parts that don’t fit together or something that has been developed from the group up to fit the task?

7. Cost is King

In any software evaluation, price is a factor but it shouldn’t be the most important one. Look at the service and support organisation because there might be hidden costs, that you are not immediately aware of. Does the price include training hours for your staff or do you have to pay extra? Can you get the support you need in the right languages and what are the business hours?

8. Missing References

Ask for references and talk to other companies that are using the application. Do they have the same business structure as your company? Let them show you the main features and also ask for negative feedback. Talk to people that haven’t been recommended by the vendor and discuss critical points before making a purchase decision.

low angle photo grayscale of person tightrope walking — Avoid the pitfalls, keep your eye on the target

9. Suppress Criticism

In some cases, you may already know an application from a previous project or employer. However, just because the software worked once, it doesn’t have to be like that every time. Listen to other voices and don’t fall for information bias. Always remember that you’ll have to be part of the implementation after the purchase decision and you need everyone on-board. Programs and people can change over time and even if the application was good once, it may no longer be the best fit.

10. No Transparency

Publish and distribute your processes and decision criteria as openly as possible. What was the decision process? Who was involved? Why was vendor x not included? If you try to be secretive about your purchasing decision, that will only give rise to gossip and rumours. Fight rumours early on, by addressing them and by being as transparent and open as possible. Do not endanger the success of the project by allowing rumours to spread.

Final Thoughts

This post is part of the ’10 things‘ series but as I’m writing these words, I can think of at least two more points that can go wrong. As with every project, there is the human factor. Working togehter and communicating with others can not be put in a checklist but if I needed to summarize then I would say this: Always choose a good project lead, who has experience in these matters and knows the pitfalls of software evaluation: 11. Don’t try to cut corners by not having a good project lead. 12. Provide enough time and resources to project members, so that they can take part in project meetings etc….

Here’s a reminder of ways you can interact with us:

‚Hammertime‘ – Send uns your ideas and let us know what you think
Get the ‚T-Shirt‘ – Impress friends and family while supporting our site.

Reninventing the Wheel

The pure Microsoft definition of it’s Endpoint Management solution is simple:

„Microsoft Endpoint Manager is a single, integrated endpoint management platform for managing all your endpoints.“

So one ring, to bind them all…. Sounds a bit like Tolkien, right?

Do you also think that the wheel of technology spins faster every day? However, if you look more closely, you will discover that most enterprise networks have at it’s core a basic set of concepts and ideas, which aren’t really that new. Windows Domains, Active Directory, Group Policy (GPO)…. These technologies have been around for at least 20 years. Although there have been some useful additions over time, such as the Group Policy preferences, or PSO (Password Setttings Objects): You will find Group Policy at almost every company, big or small. The concept revolves around the idea of ‚Configuration Management‘, meaning that a large number of systems is supposed to be setup the same way, with the same look and feel, the same settings. Everything from Network drive letters to screen saver backgrounds can be configured like this. What do you need? A Domain and at least one Domain Controller (DC). Every computer has it’s own computer account and there is frequent chatter between computer and Domain Controller, so as to receive the latest and greatest settings. What has never worked well in this concept are computers that are out in the field for a long time and out of reach of the corporate network.

As with everything else, there is a movement towards Cloud solutions. In this first part of multiple posts, we will be talking about Standard Windows Systems (Corporate Windows 10 PC’s) which are already managed via GPO and how we can also manage them through InTunes. This works well together and there’s no need to replace one with the other (at least not in the beginning). In future posts, we will also look at Non-Windows devices (Mac, Linux, iOS, Android) as well BYOD (Bring your own device) options which includes Windows devices not owned by the company (personal Windows devices).

One Management Tool (InTune) to rule all OS versions

What are the requirements to be able to manage a corporate Windows device with InTune (in addition to GPOs)?

Sufficient and correct licensing is a must. The licenses must be assigned (this could be Azure Premium P1 licenses, though other options do exist)
A ‚Hybrid Join‘ is a requirement. That means, that the computer must not only have an account in the Active Directory but must also have an account in Azure. If you haven’t already setup synchronization, that should be done first.
Next, you’ll need to change your On-Prem Group Policy settings and make sure that your Hybrid Joined devices are automatically enrolled in InTunes.

A question I get a lot: Can the Configuration Management in InTune replace what we are already doing with Active Directory and GPO’s today? At this point, I would say no. The reason is, that there are thousands of possible settings that can be configured with GPO but not all of these are available in InTunes (yet). It is important to think about this though, because we don’t want a mismatch between the two configuration options. There are plenty of tools for converting the one to the other as well as troubleshooting tools. Again, I promise to address these features in a future post.

Having met all the prerequisites, we now need to head for the Endpoint Portal to continue or journey. What we’re interested in are the ‚Configuration Profiles‘ for Windows devices. When I refer to Windows devices, I’m usually talking about Windows 10 or newer. Although it is possible to create profiles for legacy Windows 8.1 systems, there is some extra effort involved and it’s probably better to get rid of them as soon as possible.

About configuration profiles

If you go to ‚Home‘ ‚Devices‘ ‚Windows‘, you’ll want have a look at the configuration profiles. Click ‚Create Profile‘ to get started. First, you’ll have to choose your platform (Windows 10), Right away you can see, that there are two options:

Settings Catalog

Templates

What are templates? Well, they are a collection of settings for a specific area of configuration. But we can also start from scratch and pick our options from the ‚Settings Catalog‘.

A good example of a possible setting would be the ‚Default Search Provider‘ for your Edge Browser:

Once you have configured your settings, there are some additional ways to control the deployment of your profile. Looking at the summary of the profile, the headings provide a good overview of the possibilites:

Create a profile – details

What are ‚Scope Tags‘? Think about your administrative roles. Do you want everyone to be able to change every Configuration Profile? In a large company, you probably want to separate access to different profiles based on attributes such as the region, city or country. Just like in the ‚old days‘ with GPOs, not everyone has to be a Domain Admin. Scope Tags help you with role-based access. I’ll explain this in more detail in a future post.
What are ‚Assignments‘? This is about controlling which users or devices that the newly created profile will apply to. You can also define exceptions. For example, you may want to apply a security setting to all systems except the CEO (after his recent phone call to the IT department). 🙂

So now, we’ve created our first configuration profile. Will these changes take effect immediately? Those of us who have worked with Group Policy, remember the old and wise saying: At startup or every 90 minutes or may the GPUPDATE /force be with you. However, remember that InTunes has it’s own rules, which are very different. I’ll explain this in a future post and we’ll also look at questions such as conflict resolution and multiple profiles (with conflicting settings).

Here’s a reminder of ways you can interact with us:

‚Hammertime‘ – Send uns your ideas and let us know what you think
Get the ‚T-Shirt‘ – Impress friends and family while supporting our site.

Approach the Coach — Reinventing the Wheel

Around the World

Lese den Artikel auf Deutsch

Effective immediately, the Blog will be available in two languages. We’re not rocking the boat here, because the primary ClickCoach language is still German. We’re still based in Zurich, so that makes perfect sense. However, as I do review the Blog statistics every now and then, I am aware that we have plenty of readers from other countries who are obviously interested in the topics we publish here. And that’s the main reason we’ve decided to expand the Blog and publish all new stuff in German as well as English.

To make the transition easier, I’ve decided to used the well-known WordPress plugin WPGlobus. So there will be no auto-translation but instead I’ll actually write the article in both languages. This is a little bit more work but it’s really the only authentic way to do this and also it’s a bit of fun because it allows me to adapt my sentences and the content appropriately, so that it chimes with the readers in each language.

So what about previous posts? The plan is to publish new pages in both languages but also to translate older stuff as time goes by. The most popular entries will be translated first and eventually all the posts should have German and English versions. And of course, there are the reader service pages such as ‚Hammertime‘ which are now also available in both languages, starting today.

Here’s a reminder of ways you can interact with us:

‚Hammertime‘ – Send uns your ideas and let us know what you think
Get the ‚T-Shirt‘ – Impress friends and family while supporting our site.

Software kaufen – Grobe Schnitzer

Read this article in English

Warst du auch schon mal an einem Projekt beteiligt bei dem neue Software eingekauft oder eingeführt werden musste? In kleineren Unternehmen kann man auch mal was ausprobieren. Agilität ist sicher die Trumpfkarte einer KMU. Ich spreche in diesem Beitrag von mittleren bis grösseren Unternehmungen, die Prozesse und Abläufe haben die nicht einfach von heute auf morgen geändert werden können. Kaufen wir also zum Beispiel ein Software für ein Ticketsystem ein oder müssen ein CRM Programm ablösen, dann braucht es eine intelligente und abgestimmte Vorgehensweise damit das Projekt zum Erfolg wird. In der Praxis gibt es einige Dinge, die garantiert zu Unstimmigkeiten und Misserfolg führen. In unserer beliebten ’10 Dinge‘ Reihe führe ich die gröbsten Schnitzer auf, die man vermeiden sollte.

1. Stakeholder ignorieren

Ein Stakeholder: Das ist zu neudeutsch jemand der direkt oder indirekt von der Software-Umstellung betroffen ist. Es ist extrem wichtig diese Leute frühzeitig zu identifizieren und in den Evaluations-Prozess aufzunehmen. Diese Liste sollte möglichst umfassend sein. Wird zum Beispiel eine Helpdesk Software eingeführt in einer Firma, die über mehrere Kontinente Dienstleistungen anbietet und es wird nur angefragt was das US Helpdesk macht, dann kann das später zu Problemen führen weil die Akzeptanz fehlt und auch weil wichtige Funktionen (Mehrsprachigkeit) nicht berücksichtigt wurden.

2. Fehlende Anforderungen

Keine Software Anbieter zu Demos einladen ohne dass man genau definiert hat, was man von der Software will. Nach der Demo weiss man sonst so viel wie zuvor. Das ist verschwendete Zeit für den Anbieter aber auch für sich selbst. Also von Anfang an ein klares Anforderungsprofil erstellen mit Muss-Kriterien, die dann nachher aktiv bewertet werden können.

3. Anforderungen aufweichen

Die Buchhaltungs-Software von Anbieter X kann auch noch inventarisieren. Das CAD Programm hat noch eine Möglichkeit Musik abzuspielen. Super als Verkaufsargument für den CEO aber für die Auswahl sollte es nicht von Belang sein. Versuche nicht die eierlegende Wollmilchsau zu kaufen oder andere Projekte ebenfalls ins Boot reinzunehmen um gleich noch zwei oder drei Fliegen mit einer Klappe zu erschlagen. Dann erleidest du garantiert Schiffbruch.

4. Unklare Verantwortung

Wer ist zuständig für die Bewertung und den Einkauf einer neuen Software? Das muss von Anfang an klar definiert werden. Wenn mehrere Teams in der gleichen Unternehmung mit verschiedenen Händlern Kontakt aufnehmen, dann wirkt es nach aussen und innen chaotisch und unprofessionell. Zudem kann das Projekt nicht umgesetzt werden weil sich die Teams gegenseitig blockieren und alleine nicht weitermachen können.

5. Software Anbietern alles glauben

Egal was man den Anbieter fragt, er wird während einer Ausschreibung bei einem Muss-Kriterium fast immer „Ja“ oder zumindest „Ja, aber…“ sagen. Ein Beispiel wäre wenn er angibt, die Software ist mandantenfähig und nachher stellt sich heraus, dass pro Mandant ein neuer Server installiert werden muss. Daher prüfen ob man das gleiche Verständnis von der Anforderung hat und sonst besser nochmals nachhaken.

6. Fokus auf Anforderungen

Du hast eine geniale Backup-Software gefunden, die alle Kriterien erfüllt aber leider ist sie unglaublich kompliziert und mühsam in der Anwendung. Einem anderen Anbieter hast du abgesagt weil er nur 95 Prozent erfüllt hat. Im Nachhinein merkst du: weil die Software so einfach und angenehm in der Bedienung war, hättest du damit unglaublich viel Zeit gespart. Es ist also nicht nur wichtig was eine Software kann, sondern wie sie das kann. Wieviel Training braucht es um sich einzuarbeiten? ist das GUI leicht zu verstehen oder ein zusammengekaufter Haufen von Eingabemasken?

7. Fokus auf Preis

Der Preis ist ein Faktor, sollte aber nicht der Hauptfaktor sein. Gerade bei Software gibt es grosse Unterschiede was zum Beispiel die Service und Support Organisation angeht oder auch die Benutzbarkeit. Zu welchen Zeiten ist das Helpdesk erreichbar? In welchen Sprachen ist Support möglich? Sind Trainingsmöglichkeiten bereits im Preis eingerechnet oder muss ich noch jeden Mitarbeitenden in einen teuren Kurs schicken?

8. Keine Referenzen

Schau dir das Produkt bei anderen Kunden an und hole ihr Feedback ein. Lass dir die wichtigsten Funktionen zeigen. Sprich nicht nur mit Kunden, die vom Anbieter ausgesucht wurden. Ignoriere auch kritisches Feedback nicht und spricht den Anbieter darauf an und zwar noch vor dem Kaufentscheid.

9. Keine Kritik

Vielleicht hast du dich schon früh auf einen Anbieter fixiert und möchtest unbedingt mit dem zusammen arbeiten, einfach weil du damit in anderen Firmen schon gute Erfahrungen gemacht hast oder weil du das Team gut kennst. Geh nicht davon aus, dass sich alles 1:1 auf das aktuelle Projekt übertragen lässt. Uebergehe nicht die kritischen Stimmen anderer Mitarbeitenden um schneller zum Ziel zu kommen. Eine solche Strategie wird sich spätestens bei der Einführung des Programmes im Unternehmen rächen weil die Akzeptanz bei allen Beteiligten vorhanden sein muss. Auch kann sich jede Organisation und jedes Programm über die Jahre ändern und was einmal gut war muss nicht immer gut sein.

10. Keine Transparenz

Es muss von Anfang an klar sein nach welchen Kriterien die Software ausgewählt wurde und was der Entscheidungsprozess war. Warum wurde Anbieter x nicht berücksichtigt obwohl er führend ist seinem Bereich? Wer nicht transparent arbeitet macht sich angreifbar und fördert die Gerüchteküche. Wenn Gerüchte aufkommen solltest du diese offen angehen und informieren damit sich diese nicht verbreiten oder den Erfolg des Projektes gefährden. Biete Gerüchten keine Grundlage und vermeide Abkürzungen im Auswahlverfahren.

Und das zum Schluss

Tatsächlich sind mir beim Schreiben noch einige weitere Punkte in den Sinn gekommen. Natürlich gibt es auch immer ‚weiche‘ Faktoren, wie Kommunikation / Zusammenarbeit etc. die man nicht in eine Checkliste schreiben kann. Am Schluss steht und fällt das ganze mit einer guten Projektleitung. Punkt 11: Versuche nicht an der Projektleitung zu sparen, Punkt 12: Gib den Mitgliedern des Projekt-Teams genug Zeit um mitarbeiten zu können…..

Zum guten Schluss noch einmal eine Erinnerung an wichtige Seiten:

Die Feedbackseite „Vorschlaghammer“ – hier kannst Du Fragen stellen oder Wünsche oder Ideen einbringen
Die T-Shirt Seite – hier kannst Du das ClickCoach Team unterstützen und dabei noch gut aussehen

Rund um die Welt

Read this article in English

Ich werde den Blog ab sofort in mehreren Sprachen anbieten. Keine Angst, ClickCoach ist und bleibt in erster Linie ein deutschsprachiger Blog. Anhand der Statistiken ist ersichtlich, dass immer wieder mal Besucher aus anderen Ländern bei ClickCoach vorbei schauen und sich für unsere Themen interessieren. Aus diesem Grund werden zukünftige Beiträge sowohl in Deutsch als Englisch erscheinen.

Bei der Umsetzung habe ich mich für das WordPress Plugin WPGlobus entschieden. Der Beitrag wird also nicht einfach automatisch übersetzt sondern ich schreibe tatsächlich zwei Beiträge, einmal auf Deutsch und einmal auf Englisch. Das ist authentischer und macht auch mehr Spass, weil ich Redewendungen und Textfluss an das jeweilige Sprach-Publikum anpassen kann.

Was bedeutet das für ältere Beiträge? Mit der Zeit werde ich einzelne Beiträge übersetzen, wobei der Fokus auf neueren und beliebten Seiten liegt. Service-Seiten wie ‚Vorschläge‘ werden ebenfalls in zwei Sprachen angeboten. Gerade am Anfang kann es aber sein, dass man noch auf einer deutschen Seite landet weil das natürlich seine Zeit braucht und vielleicht der eine oder andere Link noch nicht stimmt.

Zum guten Schluss noch einmal eine Erinnerung an wichtige Seiten:

Die Feedbackseite „Vorschlaghammer“ – hier kannst Du Fragen stellen oder Wünsche oder Ideen einbringen
Die T-Shirt Seite – hier kannst Du das ClickCoach Team unterstützen und dabei noch gut aussehen

Das Rad neu erfinden

Microsoft beschreibt seine Endpoint Lösung in einem Satz so:

„Microsoft Endpoint Manager is a single, integrated endpoint management platform for managing all your endpoints.“

Ein Ring um sie alle zu binden… 🙂 Frei nach Tolkien.

Manchmal kommt es einem so vor als würde sich Technologie immer schneller entwickeln und erneuern. Wenn man sich dann aber ein Unternehmens-Netzwerk genauer anschaut, so wird man Konzepte und Ideen vorfinden, die nicht ganz so neu sind. Windows Domains, Active Directory, Group Policy (GPO)…. Seit über 20 Jahren gibt es das in der einen oder anderen Form. Auch wenn mit der Zeit praktische Neuerungen wie Group Policy Präferenzen oder PSO’s (Gruppenbasierte Passwort Objekte) dazu gekommen sind: Group Policy findet man in jedem grösseren Unternehmen vor. Es geht auch um ‚Configuration Management‘, also darum eine grössere Anzahl von Systemen möglichst gleich aussehen zu lassen. Vom Netzwerklaufwerk bis zum Bildschirm-Hintergrund: Alles lässt sich per GPO einstellen. Damit das geht braucht es eine Domäne und einen Domänen-Controller (DC). Der Computer hat ein Computerkonto und muss von Zeit zu Zeit mit dem DC sprechen damit er die neuen Einstellungen bekommt. Was eher schlecht funktioniert: Computer, die monatelang unterwegs sind und über längere Zeit keinen Kontakt zum Firmennetzwerk haben.

Jetzt gibt es auch hier eine Bewegung in Richtung Cloud. Im ersten Teil von mehreren Beiträgen geht es darum wie wir Standard-Windows Systeme, die im Unternehmensnetzwerk integriert sind zusätzlich noch per InTune verwaltet werden können. In weiteren Beiträgen schauen wir uns dann noch an wie das auch mit Nicht-Windows Geräten und BYOD (Bring your own device), also persönlichen Geräten geht.

One ring to rule them all — Die wunderbare Welt von Microsoft InTune

Was sind die Vorbedingungen um einen Geschäfts-PC auch mit InTune verwalten zu können?

Die richtigen Lizenzen, die auch zugewiesen werden müssen (z.B. Azure AD Premium)
Ein ‚Hybrid Join‘ d.h. das Gerät muss ein Konto haben sowohl im Active Directory als auch in der Cloud
Die Group Policy Einstellungen müssen angepasst werden, dass Geräte die Hybrid-Joined sind auch automatisch im InTunes erfasst werden

Ersetzt das Configuration Management im InTune die Group Policy Einstellungen? Eher (noch) nicht. Es gibt mehrerere tausend Einstellungen, die per GPO gemacht werden können aber nicht alle sind 1:1 in InTunes vorhanden. Es lohnt sich aber schon sich zu diesem Thema Ueberlegungen zu machen weil das dümmste was passieren könnte, sind ja gegensätzliche oder doppelte Einstellungen weil ein Geräte sowohl über GPO als auch über InTunes Konfigurationsinformationen erhält. Auch dafür gibt es diverse Tools und Hilfsmittel, die wir dann in einem späteren Beitrag anschauen wollen.

Nachdem wir nun die Bedingungen erfüllen und alles korrekt konfiguriert haben, ist unser ‚Next Stop‘ das Endpoint Portal und im speziellen die ‚Configuration Profiles‘ für Windows Devices. Gemeint ist übrigens immer Windows 10 und aufwärts. Windows 8.1 würde zwar gehen aber braucht dann Zusatzaufwand und wer hat das noch im Einsatz?

Klicken wir hier nun auf ‚Create Profile‘ dann wählen wir die Platform Windows 10 und dann haben wir 2 Varianten:

Settings Catalog
Templates

Templates sind genau das, eine Sammlung von Einstellungen für ein bestimmtes Thema. Wir können aber auch bei 0 anfangen und aus dem Settings Catalog das auswählen, was uns gefällt.

Ein Beispiel wäre der ‚Default Search Provider‘ für den Edge Browser:

Nachdem die Einstellungen konfiguriert wurden gibt es noch einige andere Möglichkeiten die Verteilung zu steuern. In der Uebersicht zur Erstellung sieht man das recht schön:

Bei den ‚Scope Tags‘ geht es um die Zuweisung der administrativen Rollen. Wer kann überhaupt welche Configuration Profiles bearbeiten? Aehnlich wie bei Group Policy muss ja nicht jeder Intune Admin alles bearbeiten können sondern nur für seine Region oder seinen Bereich.
Bei den ‚Assignments‘ geht es darum zu definieren für wen diese Einstellungen gelten und für wen nicht. Es können auch Ausnahmen definiert werden. Also ‚für alle Benutzer und Geräte‘ aber natürlich nicht für den CEO.

Wann werden nun diese Aenderungen auf die Geräte heruntergeschrieben? Von Group Policy wissen wir seit 20 Jahren: Beim Starten des Gerätes oder alle 90 Minuten oder dann halt ein GPUPDATE /FORCE. Bei InTunes gelten andere Regeln und auch hier muss ich auf einen späteren Beitrag vertrösten. Ebenfalls spannend: Was passiert bei Konflikten, also wenn ich mehre Configuration Profiles definiert habe mit sich überschneidenden Einstellungen?

Beteiligt euch an der Diskussion oder macht Vorschläge via Vorschlaghammer
Oder kauft euch das T-Shirt und unterstützt die Redaktion

Configuration Management mit Endpoint Manager

Schatten IT

Schatten IT. Das ist wenn Mitarbeitende anfangen eigene Lösungen aufzubauen weil ihre Anforderungen und Wünsche von der zentralen Informatik-Abteilung nicht erfüllt werden können. Ein Beispiel könnten sein, wenn ich anfange meine Daten in Dropbox auszulagern weil ich dann von überall darauf zugreifen kann und es keine Zugriffs-Limitationen gibt ausser vielleicht dem Limit meiner Kreditkarte.

Das tönt ja erstmal gut? Wir können vermeintlich schwerfällige Prozesse umgehen und schnell und ohne andere gross zu involvieren in kurzer Frist etwas nützliches aufbauen. Meistens beginnen solche Sachen klein, man will mal was ausprobieren. Vielleicht hat es auch erstmal eine Art „Test“-Charakter und kann ja dann jederzeit wieder gelöscht werden. Durch die im Vergleich zu zentralen IT Lösungen „Einfachheit“ des Schatten-Dienstes, ist auch die Akzeptanz höher. Schnell kann mal noch einem Kollegen Zugriff geben, ganz an der IT vorbei. Im Internet-Café in den Ferien in Bali noch schnell die Budget-Zahlen herunterladen oder eine Präsentation bearbeiten.

Schatten IT verstösst unter Umständen gegen bestehende Gesetze

Wo ist denn das Problem? Es geht ja alles so super und einfach, warum zu viele kritische Fragen stellen. Aber Achtung: Es werden Risiken ausgeblendet und bewusst oder unbewusst in Kauf genommen. Gibt es eine Datensicherung? Wer hat Zugriff auf diese Daten? Was passiert wenn ein Konto gelöscht werden muss? Kann man nachvollziehen wer die Daten angeschaut oder heruntergeladen hat? Können durch die Hintertür Viren und Malware ins Unternehmen Einzug halten? Die meisten Firmen unterstehen gesetzlichen und regulatorischen Anforderungen. Wenn z.B. Patientendaten nicht besonders geschützt werden und diese ungewollt nach aussen gelangen, dann kann das finanzielle und rechtliche Konsequenzen für die Firma und indirekt auch für den Mitarbeitenden geben.

Soviel zur Problemstellung. Aber wie kann das nun verhindert werden? Einerseits ist es natürlich wichtig, dass die Anforderungen der User frühzeitig in Software Beschaffungen und Lösungs-Design mit berücksichtigt werden, damit nicht am Business vorbei geplant wird. Auch müssen die Zuständigkeiten klar geregelt sein. Schatten IT kann auch entstehen wenn einzelne Abteilungen oder Geschäftsbereiche eigene IT Budgets haben und versuchen sich gegenseitig zu konkurrenzieren. Lösungen, die nichts kosten gibt es nicht daher muss auch das nötige Budget zur Verfügung gestellt werden um Innovation zu unterstützen. Wird die IT als reiner Kostenblock gesehen, dann wird sie sich auch so verhalten.

Aber wie merke ich überhaupt, dass meine Firma durch Schatten IT Lösungen unterwandert ist und kann ich das in Zahlen benennen? Lässt sich das Problem Schatten IT mit Fakten belegen und ausweisen? Ja, das geht. Eine wichtige Quelle sind dabei Firewall Logs, denn hier sieht man konkret wenn externe Cloud Services regelmässig aufgerufen werden und von wem.

Spannen wir jetzt hier den Bogen zur Microsoft Lösung: „Defender for Cloud Apps“ ist Bestandteil der Defender Familie und kann unter anderem folgendes:

Firewall Logs einmalig oder regelmässig einlesen und Cloud Apps erkennen und auswerten
Die verwendeten Cloud Apps überwachen und auf ungewöhnliche Aktivitäten hinweisen (z.B. wenn jemand plötzlich grosse Mengen von Daten zu DropBox hochlädt)
Den Zugang zu diesen Cloud Apps einschränken oder blockieren

Das funktioniert eben nicht nur mit den eigenen M365 Applikationen sondern Microsoft hat eine aktiv bewirtschaftete Datenbank von tausenden von Cloud Applikationen und hat für jede davon eine Bewertung erstellt.

In einer ersten Phase liest man nun seine bestehenden Firewall Logs ein und lässt diese durch Defender for Cloud Apps auswerten. In einer zweiten Phase kann definiert werden, welche Applikationen zu unsicher sind und gesperrt werden. Oder man lässt einzelne Applikationen zu aber mit Auflagen. Zum Beispiel könnte man die Einschränkung machen, dass Dropbox eben nur noch von Geschäfts-PCs benutzt werden kann damit die Daten nicht im Internet-Café in Bali landen.

Zuletzt noch der Hinweis auf wichtige Links:

Der Vorschlagshammer – Bringe dich in die Diskussion ein und stelle Fragen.
Das T-Shirt: Damit siehst du nicht nur cool aus sondern unterstützt auch den Blog.

Zehn hartnäckige Cloud Mythen

Halloween ist bereits wieder vorbei aber nehmen wir doch diesen in der Neuzeit eher amerikanisch angehauchten Brauch als Anlass um über die hartnäckigsten Mythen im Zusammenhang mit der Cloud Nutzung zu sprechen. Einige davon sind tatsächlich gruselig!

In meinem früheren Beitrag Gedanken zum Tausendsassa habe ich die Unterschiede zwischen PaaS,IaaS und SaaS erklärt. Eine Cloud Strategie definiert für alle drei Bereiche ob und wie das Unternehmen vorgehen will. Doch warum ist es so schwierig, sich unvoreingenommen mit diesen Themen zu beschäftigen? Jedes Unternehmen sollte eine Cloud Strategie haben aber oft scheitert es daran, dass kein gemeinsames Verständnis über Cloud vorhanden ist.

Mythos 1 – Es braucht keine IT Fachleute im Betrieb mehr

Falsch. Es braucht immer noch IT Fachleute aber diese müssen ihre Kenntnisse um Cloud Themen erweitern. Die Cloud betreibt sich nicht von alleine. Die IT Abteilung wird zur Schnittstelle zwischen dem Nutzer und dem Cloud Anbieter und muss die Angebote auch überwachen. Auch die Migration von Daten und Diensten in die Cloud ist eine Herkules-Aufgabe, die ein fähiges IT Team braucht oder einen externen Dienstleister.

Mythos 2 – Die IT Löhne sinken weil die Cloud nicht mehr so komplex ist

Brauche ich nur noch IT Supporter, die Tickets an den externen Provider weiterleiten? Kann ich meine Engineering Abteilung einsparen? Nein. Zwar muss ich teilweise keine eigenen Server mehr betreiben aber viele der Lösungen, die z.B. in M365 angeboten werden sich hochkomplex. Nur wer bei den Features und Möglichkeiten den Ueberblick behält und die Zusammenhänge versteht kann der Firma einen echten Mehrwert bieten. IT Engineering findet nicht nur hinter der Firewall statt.

Mythos 3 – Cloud Fachkräfte gibt es wie Sand am Meer

Tatsächlich, viele Firmen haben bereits eine Cloud Strategie formuliert oder sind schon im Begriff zu M36 5 und anderen Services zu migrieren. Es gibt aber gar nicht so viele Cloud Bewerber wie es Cloud Jobs gibt. Jeder möchte Cloud Engineer sein, weil hier der Bär steppt aber nicht jeder hat schon das nötige Wissen aufgebaut. Die Ausbildung erfolgt dann oft am Arbeitsplatz nach dem Try and Error Modell. Gute Cloud Fachkräfte mit Fachwissen sind aber eher dünn gesät. Auch externe Dienstleister suchen stets neue Fachkräfte um Cloud Projekte bei den Kunden umzusetzen.

Mythos 4 – Schon bald kann ich meine Server abstellen

Falsch. Eine Migration auf M365 bedeutet, dass über längere Zeit ein komplexer Hybrid Betrieb aufrecht erhalten werden muss weil man die eigenen Server ja nicht einfach von heute auf morgen abstellen kann. Während dieser Zeit müssen sowohl die bestehenden Server und Systeme im eigenen Server-Raum als auch die Cloud Systeme verwaltet werden. Schlimmer noch, es gibt viele Schnittstellen zwischen den Systemen, so dass diese ebenfalls noch überwacht werden müssen. Komplexität und Kosten steigen währen der Uebergangszeit an und die kann sich über mehrere Jahre hinziehen.

Mythos 5 – Ich kann für jedes Thema ein eigenes Cloud Produkt wählen

Jein. Natürlich kann man z.B. Dropbox nehmen für File Transfer, Amazon Cloud für Server Hosting, Azure als Identity Provider und sich überall das Beste herauspicken. Sind die Systeme dann erstmal im Haus kann man sich ja dann immer noch um die Schnittstellen kümmern und schauen wie die verschiedenen Provider zusammenarbeiten… Die verwenden ja alle Standards, oder? Eine solche Strategie ist ein enormer Aufwand weil es zu jedem Cloud Provider internes oder externes Fachwissen braucht. Es macht also Sinn möglichst viele Synergien zu nutzen und seine Kräfte nicht aufzusplitten. Da die meisten Cloud Lösungen pro User bezahlt werden müssen, kann eine Multi-Vendor Strategie auch sehr schnell sehr teuer werden.

Mythos 6 – Ich kann die Cloud einfach verbieten

Auch das ist leider nicht so. Cloud ist Alltag und die Benutzer kennen die Produkte von zu Hause oder von Bekannten und Kollegen. Ohne eigene Cloud Strategie entsteht eine Schatten IT, die sich nur noch schwer kontrollieren lässt. Der Geist kommt aus der Flasche ob man will oder nicht. Entweder kontrolliert oder unkontrolliert.

Mythos 7 – Das mit der Cloud ist nicht eilig, alles zu seiner Zeit

Es lässt sich bei allen Herstellern ein klarer Trend zu Cloud Lösungen feststellen. Selbst dort wo es möglich ist eine neue Software wie Microsoft Exchange noch im eigenen Server-Raum zu betreiben muss beim direkten Vergleich festgestellt werden, dass das Produkt nicht gleichwertig ist wie die Cloud Lösung. Zudem ist die Entwicklung im Cloud Bereich viel schneller, so dass neue Funktionen immer zuerst dort verfügbar sind. Frei nach Gorbatschow: „Wer zu spät kommt, den bestraft das Leben“. Wer keine Cloud Strategie formuliert und umsetzt, der verliert schneller als im lieb ist den Anschluss.

Mythos 8 – Das wichtigste ist die Sicherheit

Sicherheit ist wichtig. Ganz klar muss beim Aufbau einer Cloud Strategie das Thema Sicherheit weit oben auf der Liste stehen. Wann und wo brauche ich 2-Faktor Authentisierung um mich an meiner Cloud Lösung anzumelden? Welche Arten von Authentisierung unterstützt meine gewählte Cloud Lösung? Wo sind meine Daten gespeichert? Wer hat alles Zugriff auf diese Daten? Diese Liste ist nicht abschliessend und Sicherheit sollte auch bei Cloud Lösungen regelmässig überprüft werden. Aber bei all diesen Punkten darf nicht vergessen werden, dass es sich zum Beispiel bei M365 um eine Collaboration Lösung handelt. Es muss also möglich sein auch mit externen Inhalte zu teilen. Die Benutzbarkeit einer Lösung hat einen direkten Einfluss auf die Akzeptanz. Darum bei aller Sicherheit bitte niemals die Benutzbarkeit der Lösung vergessen und auch den Input der Nutzer abholen. Die Cloud ist kein Selbstzweck der IT.

Kopf in den Sand, hilft auch bei Cloud Themen nicht

Mythos 9 – Ich behalte die Kontrolle

Cloud Lösungen entwickeln sich ständig. Neue Features werden aufgeschaltet, bestehende Optionen werden angepasst oder teilweise auch wieder abgekündigt. Der Cloud Anbieter hat die Kontrolle darüber was er anbietet und wie. Leider ist es unterdessen üblich eher kurze Uebergangszeiten anzubieten wenn ein Feature abgeschaltet oder geändert wird. Es liegt dann an der internen IT den Ueberblick zu behalten und Aenderungen zu planen und zu kommunizieren.

Mythos 10 – Vorsicht bei Microsoft

Dieser Mythos dürfte noch aus den 80er und 90er Jahren stammen als man bei Microsoft vor allem mit sich selbst beschäftigt war und in vielen Bereichen eine sehr dominante Marktstellung hatte. Tatsächlich hat sich Microsoft in den letzten Jahren extrem gewandelt und arbeitet aktiv daran seine Cloud Angebote so offen wie möglich zu gestalten auch für Drittanbieter und die Konkurrenz. Früher ging es vor allem um PC Verkäufe aber heute will man M365 und Cloud Abos abschliessen und wiederkehrende Services verkaufen. Da passt eine Windows-only Strategie nicht mehr und wäre kommerziell auch unsinnig. Auf Microsoft Azure kann man problemlos auch Linux laufen lassen. Unter Windows kann man unterdessen Linux Scripts ausführen und Powershell läuft auch mit Linux um nur ein paar Beispiele zu nennen.

Hat dein Arbeitgeber oder deine Firma schon eine Cloud Strategie? Welche Mythen hast du selbst bei Diskussionen über Cloud Themen schon erlebt? Nimm an der Diskussion teil: Der Vorschlagshammer ist eine gute und einfach Möglichkeit um mit uns in Kontakt zu treten oder Wünsche für neue Beiträge einzubringen.

Und natürlich gibt es auch die Möglichkeit, das legendäre T-Shirt zu erwerben!

Im nächsten Beitrag sehen wir uns an wir wir Schatten IT erkennen und steuern können mit Microsoft Defender für Cloud Apps.