Come gestire al meglio i cambiamenti di Office 365

Office 365 sta per compiere 10 anni e, in tutto questo tempo, si è evoluto, modificato, sono state aggiunte e rimosse diverse funzionalità.
La cosa era inevitabile…
Infatti, poichè le prime iterazioni dei server utilizzati in Office 365 erano analoghi alle loro controparti on-premises, c’era da aspettarsi che avrebbero abbandonato il vecchio codice, creato per far fronte allo spiegamento dei server singoli on-premises, in favore di codici ideati per sfruttare il cloud.
Oggi, il focus di Office 365 è sulle nuove applicazioni come Teams e Planner e si basa sulle funzionalità base che operano su tutti i carichi di lavoro, quali le retention policies ed il data loss prevention di Office 365.

Come gestire al meglio i cambiamenti di Office 365

È fondamentale che tutti i cambiamenti all’interno di Office 365 vengano gestiti.
La maggior parte delle volte, teniamo in considerazione come gestire l’introduzione di nuove funzionalità e li riversiamo su quanto indicato Microsoft 365 roadmap e da dettagli quali le notifiche di availability che si trovano all’interno dell’Office 365 admin center.
I blog di Microsoft e quelli indipendenti vengono consultati per capire cosa stia succedendo e comprendere quello che sarà l’impatto sul tenant.
Tenere sotto controllo i nuovi sviluppi di Office 365 e contestualizzarli può diventare un lavoro a tempo pieno per un’azienda.

Le deprecazioni avvengono su base continuativa
Microsoft usa il termine “deprecations” per descrivere l’eliminazione di una funzionalità o di un’app.
In altre parole, viene rimossa una tecnologia perché non più utile o perchè sostituita da una migliore, più avanzata o funzionale.

Di seguito alcuni esempi recenti di modifiche in cui le feature sono state rimosse o rimpiazzate:
strumenti di Exchange legacy in-place holds e eDiscovery –> Search Mailbox inclusa. Anche il vecchio SharePoint eDiscovery Center è scomparso.
Microsoft afferma che i casi di Office 365 eDiscovery e le ricerche di contenuto offrono funzionalità migliori;
connessioni autenticate SMTP –> si tratta di un elemento importante per device quali stampanti o fotocopiatrici che utilizzano Office 365 per inviare notifiche tramite mail;
client classico di Azure Information Protection –>AIP è apparso la prima volta nel 2016, ma il suo ruolo all’interno di Office ha preso il sopravvento grazie alle sensitivity labels di Office 365;
Office 365 Video –> è stata la prima interazione tra un servizio di video processing e video management in Office 365; ora si trova nella fase finale di migrazione su Stream;
Basic authentication per Exchange –> è stata rimpiazzata dalla modern authentication in quanto rappresentava uno squarcio facilmente penetrabile per gli hacker che utilizzavano tecniche quali attacchi con password spray;
Skype For Business Online –> rimpiazzato da Teams;
StaffHub –> introdotto nel 2017 e basato su Office 365 Groups, oggi è sostituito dall’app Shift di Teams;
I blog Delve e quelli classici di SharePoint –> mai sviluppati da Microsoft con particolare passione e spinta;
• L’eliminazione graduale del supporto per le versioni meno sicure dei protocolli di connessione come TLS 1.0 e 1.1;
Clutter –> il cui ritiro era stato rimandato a dicembre 2019. La Focused Inbox arriva da Outlook Mobile (Acompli) ed è migliore di Clutter, ma qualcuno insisteva nel sostenere che quest’ultimo fosse migliore, costringendo di fatto Microsoft a posticipare la rimozione;
Yammer –> è cambiato molto da quando Microsoft lo ha acquisito nel 2012. L’ultimo set di cambiamenti nell’ “anno di Yammer” annunciati al Microsoft Ignite 2019 poneva nuovamente il focus di Yammer sulle communities ed il knowledge sharing in un singolo network per tenant. Le aziende che usano diversi networks devono incorporarli in un network unico.

Ovviamente, l’elenco non si ferma qui ed evolverà continuamente proprio per la caratteristica intrinseca di Office 365 che è in continuo aggiornamento.

Governance
Stabilito che Microsoft rimuove o elimina gradualmente caratteristiche e funzionalità di Office 365 su base continuativa, il problema è come tenere traccia e gestire questi cambiamenti. L’introduzione di nuove funzionalità si traduce in aggiornamenti alla formazione degli utenti, update di supporto, nuova documentazione e cosi via. Non dovrebbe succedere lo stesso con le eliminazioni?
La sensazione è che solo poche aziende riescano a fare un buon lavoro nella gestione del “lato oscuro” del cambiamento.
Microsoft pubblica le notifiche all’interno dell’Admin Center di Office 365 per far presente agli utenti quando si verificheranno le deprecazioni così da stabilire una data limite per le eventuali azioni da intraprendere. Dopodiché, spetta al tenant apportare le modifiche necessarie per far fronte al ritiro di una funzione o di un protocollo. Dovrebbe essere un processo semplice, ma spesso non lo è e Microsoft finisce per rimandare una deprecazione per venire incontro alle esigenze/richieste dei clienti.

Microsoft guida il processo
Un punto comune di discussione, riguarda il fatto che le tempistiche di deprecazione prescelte da Microsoft, si adattino più ai suoi piani che a quelli dei clienti.
Discutibile ma inevitabile: è Microsoft che effettua gli studi necessari a capire perché la deprecazione di una feature sia necessaria ed in che modo fornirà le funzionalità in sostituzione. A seconda del tipo di azienda e delle dimensioni, alcune considerano una determinata deprecazione un disastro, ad altri non interessa, altri ancora non fanno nulla perché hanno altre priorità.

Microsoft potrebbe forzare le deprecazioni: normalmente ciò non avviene, almeno non come prima risposta dopo aver riscontrato il rifiuto dei clienti.
L’approccio abituale è quello di prolungare la scadenza di circa sei mesi, per dare ai tenant più tempo per gestire il problema. La speranza è che quest’arco di tempo sia sufficiente e, alla fine, arriva il momento in cui una funzionalità come Delve Blogs smette di funzionare e scompare. Se tutto è stato fatto correttamente, i tenant delle aziende non saranno colti di sorpresa.

Ciclo continuo
Niente è statico nel cloud…le applicazioni si evolvono.
Il consiglio per le aziende finali è quello di cercare di gestire meglio il lato negativo dei cambiamenti per assicurare che i tenant di Office 365 siano preparati alle cosiddette deprecation.


Le informazioni presenti in questo post, sono prese dall’articolo: The Need to Manage Office 365 Feature Deprecations.

Come disabilitare l’acquisto self-service dei servizi della Power Platform in Office 365

Il giorno 21 Ottobre 2019, Microsoft ha annunciato un piano molto ambizioso: l’acquisto self service per gli utenti finali di tutti i prodotti della Power Platform (Power BI, Power Apps, Power Automate). Questa possibilità, originariamente, era pensata per essere abilitata di default: non era infatti possibile sottoporre richiesta all’IT per approvazione, nè disabilitare la feature.

Come facilmente immaginerete, gli amministratori di sistema non sono rimasti entusiasti della cosa e sono ricorsi alla User Voice per chiedere a Microsoft la possibilità di disabilitare la feature prima della sua uscita prevista per il 14 Gennaio.

Come disabilitare l'acquisto self-service dei servizi della Power Platform in Office 365

Come fare
La prima cosa da fare, è installare un nuovo modulo PowerShell chiamato MSCommerce PowerShell Module.
Cosa fondamentale: dovete essere Global o Billing Administrator. Il modulo PowerShell è ospitato nella PowerShell Gallery: questo vi permette di installarlo ed aggiornarlo in semplicità.
Per installare il modulo su un device Windows 10, vi basta aprire PowerShell come amministratore ed eseguire il seguente comando:
Install-Module -Name MSCommerce

Riceverete alcuni prompt che vi chiedono di confermare la sicurezza della location di installazione, in cui dovete rispondere Yes.
Se è la prima volta che installate un modulo dalla PowerShell Gallery, potrebbero uscirvi altri prompt che dovete accettare ma è tutto parecchio semplice.

Come disabilitare l'acquisto self-service dei servizi della Power Platform in Office 365

Una volta completata l’installazione, connettetevi usando il seguente comando:
Connect-MSCommerce

In questo modo, si aprirà un pop up (come da screenshot seguente) che vi chiederà username e password.
Ricordate che l’account deve possedere diritti di Billing Administrator o Global Administrator.

Come disabilitare l'acquisto self-service dei servizi della Power Platform in Office 365

A questo punto, possiamo visualizzare quali siano le attuali impostazioni di policy eseguendo il seguente comando:
Get-MSCommerceProductPolicies -PolicyId AllowSelfServicePurchase

L’impostazione di default, come vedete nella seguente immagine, è che l’acquisto self-service sia abilitato su tutti e tre i prodotti.

Come disabilitare l'acquisto self-service dei servizi della Power Platform in Office 365

Potete disattivare l’opzione di acquisto self-service, sia per uno specifico prodotto che per tutti e tre: la decisione è vostra!

Per disattivare il self-service purchasing per Power Automate (Microsoft Flow), dovrete eseguire il seguente script:

$product = Get-MSCommerceProductPolicies -PolicyId AllowSelfServicePurchase | where {$_.ProductName -match ‘Power Automate’}
Update-MSCommerceProductPolicy -PolicyId AllowSelfServicePurchase -ProductId $product.ProductID -Enabled $false

Come disabilitare l'acquisto self-service dei servizi della Power Platform in Office 365

Con una piccola modifica, potete eseguire la stessa operazione per Power Apps:

$product = Get-MSCommerceProductPolicies -PolicyId AllowSelfServicePurchase | where {$_.ProductName -match ‘Power Apps’}
Update-MSCommerceProductPolicy -PolicyId AllowSelfServicePurchase -ProductId $product.ProductID -Enabled $false

E per Power BI:

$product = Get-MSCommerceProductPolicies -PolicyId AllowSelfServicePurchase | where {$_.ProductName -match ‘Power BI Pro’}
Update-MSCommerceProductPolicy -PolicyId AllowSelfServicePurchase -ProductId $product.ProductID -Enabled $false

Altra opzione, se volete disabilitare l’acquisto self-service per tutti i prodotti, è l’esecuzione del seguente script:
$Products = Get-MSCommerceProductPolicies -PolicyId AllowSelfServicePurchase
foreach ($Product in $Products){
Update-MSCommerceProductPolicy -PolicyId AllowSelfServicePurchase -ProductId $Product.ProductID -Enabled $false
}

Per convalidare il risultato, eseguite nuovamente il comando.
Ora, come da immagine seguente, tutti i servizi che intendete modificare dovrebbero essere disabilitati (nell’esempio qui sotto è stato mantenuto Power BI).

Get-MSCommerceProductPolicies -PolicyId AllowSelfServicePurchase

Come disabilitare l'acquisto self-service dei servizi della Power Platform in Office 365

Per concludere
A partire dal 14 Gennaio 2020, l’opzione di acquisto self-service raggiungerà tutti i tenant commerciali di Office 365 con Power BI ma, grazie alla forte risposta della community, gli Amministratori di Office 365 potranno disabilitare l’opzione per uno o tutti i prodotti della Power Platform.

Altro punto su cui questa feature ci fa riflettere, è che gli Office 365 Administrator devono imparare ad utilizzare PowerShell per Office 365.
Anche se non gestite più Virtual Machines e Windows Server, è importante che, in qualità di amministratori di Office 365 padroneggiate PowerShell. Anche perchè, Microsoft, spinge molto sulle configurazioni effettuate solo via PowerShell.
Inoltre, vi facciamo presente che è richiesta la conoscenza di PowerShell anche per ottenere le certificazioni Microsoft 365 ed Azure.


Le informazioni presenti in questo post, sono prese dall’articolo: Step by Step: How to Disable Power Platform Self Service Purchasing in Office 365

Veeam: rilasciato il backup per OFFICE 365 4.0 –> ora avete il supporto per per gli object storage

A novembre la versione 4.0 (4.0.0.1345) di Veeam Backup for Microsoft Office 365 (VBO) ha raggiunto la GA.
Questa nuova versione si basa ancora sul release 3.0 che ha visto un miglioramento sia delle prestazioni complessive per Exchange, SharePoint e OneDrive, sia dei criteri di backup, reportistica e API. La versione 4.0 si focalizza principalmente sull’aggiunta del supporto all’Object Storage per l’archiviazione dei dati VBO.
Si tratta di una richiesta che proveniva a gran voce da clienti e partner Veeam.

Veeam: rilasciato il backup per OFFICE 365 4.0

La versione 3.0 era stata rilasciata solo sette mesi fa: è quindi davvero sorprendente che il team R&D sia riuscito ad apportare un così importante aggiornamento in pochissimo tempo.
È riduttivo dire che essere in grado di sfruttare l’Object Storage nel cloud pubblico o privato per archiviare il volume di dati prodotto dalle organizzazioni di Office 365 è la chiave per il successo di questo prodotto rispetto a quanto offre ai clienti a lungo termine.

Novità nella versione 4.0
Mentre tutti noi concordiamo sul fatto che sia fondamentale gestire il backup dei servizi basati su SaaS, in cui, gran parte di ciò che accade è al di fuori del controllo del vendor di backup, ci sono molte sfide da affrontare relativamente al backup e il ripristino di Exchange, SharePoint e OneDrive.
Con il rilascio della versione 4.0, uno dei principali punti di debolezza in termini di crescita dei dati è stato risolto sfruttando l’Object Storage.
Sono state infatti aggiunte efficienze sul backup dei siti di SharePoint per poter gestire al meglio i meccanismi di limitazione di Office 365, sfruttando più account di backup per distribuire il carico sui server Office 365 e ridurre significativamente il rischio di limitazione dei backup.

Qui di seguito le nuove feature e i miglioramenti apportati alla versione Backup for Microsoft Office 365 4.0:
– Escludendo la retention di contatti e calendari, potrete proteggere tutti i contatti e gli elementi del calendario fin quando la mailbox associata sarà sotto protezione e bypassare questi elementi dalla pulizia di retention.
– L’automazione aggiuntiva attraverso il supporto dei gruppi di sicurezza di Office 365 di tipo non-mail enabled, consente una gestione semplificata dei processi di backup. I gruppi di sicurezza di Azure Active Directory popolati in Office 365 (o creati direttamente in Office 365) possono ora essere utilizzati come sorgente per i processi di backup.
– Il report Enhanced Mailbox Protection ora include le statistiche di protezione per i Gruppi di Office 365 e le mail di tipo Public, Shared e Resource (Equipment/Room).
– È stato aggiunto il Cloud Credential Manager ed il Password Manager per mantenere un elenco di account record per connettersi all’Object Storage.
– La console si disconnetterà automaticamente dal server di backup dopo 30 minuti di inattività per ridurre il carico sul server.

Per dare un’altra occhiata alle novità, vi rimandiamo all’articolo di Niels Engelen che esamina nel dettaglio le funzionalità principali.

Architettura e componenti
Veeam: rilasciato il backup per OFFICE 365 4.0

Ovviamente, il più grande cambiamento nell’architettura avviene quando si mette mano all’Object Storage con l’obiettivo di sfruttarlo come repository.
Questo vuol dire che vengono conservati solo i metadata e una cache con tutti i backup situati all’interno dell’Object Storage. Poichè possono essere create e mappate diverse repository ad uno o più utenti, avrete maggiore flessibilità nella scelta dello storage locale e di una o più piattaforme di Object Storage.
Quando si usa l’Object Storage, i dati possono essere protetti con un’opzione di crittografia a riposo.

I proxy fungono da traino dei VBO e possono essere ridimensionati a seconda delle dimensioni dell’ambiente di cui viene eseguito il backup: potrebbe infatti trattarsi di Office 365, di Exchange o SharePoint on-premise.

Note di Installazione
Potete scaricare l’ultima versione di Veem Backup for Microsoft Office 365 da questo link.

Il download contiene tre installatori che coprono la piattaforma VBO e due nuove versioni degli Explorer.
L’Explorer per Microsoft OneDrive for Business è contenuto all’interno del pacchetto di Explorer per Microsoft SharePoint e viene installato automaticamente.

1. 4.0.0.1345.msi per Veeam Backup for Microsoft Office 365
2. 4.0.0.1345.msi per Veeam Explorer for Microsoft Exchange
3. 4.0.0.1345.msi per Veeam Explorer for Microsoft SharePoint

Per concludere, vi rimandiamo alle note di release in cui trovate una serie di problematiche note relative a situazioni e configurazioni specifiche.

Il backup per Office 365 nasce dalla sempre più crescente consapevolezza che i servizi basati su SaaS richiedono una strategia di disponibilità.
La continuità dei dati su piattaforme SaaS come Office 365 non è garantita: diventa quindi fondamentale implementare una strategia di backup efficiente e sicura.


Le informazioni presenti in questo post, sono prese dall’articolo: RELEASED: BACKUP FOR OFFICE 365 4.0 …NOW WITH OBJECT STORAGE SUPPORT!.

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

Microsoft Defended Advanced Threat Protection (ATP) offre una varietà di strumenti che vi proteggono dagli attacchi di phising o dai siti poco sicuri.
È disponibile in diverse versioni: Microsoft Defender SmartScreen per Microsoft Edge, Microsoft Defender ATP network protection per gli altri browsers e numerazioni HTTP e HTTPS all’esterno del browser. Anche con una protezione di questo livello, Microsoft è cosciente del fatto che i team di security operations debbano poter personalizzare la protezione per il Web ed Internet a seconda delle singole esigenze dell’organizzazione.
Ora, tutto questo è possibile grazie alla console Microsoft Defender Security center.

La nuova funzionalità, attualmente in public preview, fa leva sulla protezione della rete in block mode e sull’ultima versione della piattaforma antimalware.
È consigliabile che le aziende abilitino dapprima la protezione della rete in modalità audit e, conseguentemente, si spostino in modalità di blocco.
Probabilmente, la vostra azienda utilizza metodi diversi per aggiornare la piattaforma antimalware: questo potrebbe avere come conseguenza il fatto che alcune macchine client si trovino in una versione diversa rispetto alla piattaforma. Vi consigliamo vivamente di aggiornare tutte le macchine perchè siano in grado di sfruttare la funzionalità.

Bene, ora che abbiamo parlato di prerequisiti, vediamo i vantaggi che un approccio di questo tipo può portare alle aziende.
Tenete in considerazione che gli hacker, per portare a termine i loro attacchi, utilizzano eccellenti tecniche di social engineering, in cui un URL o un indirizzo IP di phishing può essere rivolto ad un piccolo numero di utenti. Di conseguenza, è probabile che i team di security operations trovino URL maligni prima di Microsoft. Per questo motivo, hanno bisogno di strumenti veloci che blocchino questo tipo di attacchi.
Seconda cosa, le organizzazioni spesso acquistano sistemi di threat intelligence ed intendono utilizzarli per aumentare le funzionalità di threat intelligence di Microsoft.
Infine, può succedere che i servizi di intelligence e machine learning di Microsoft possano giudicare maligno un indicatore internet che impatta la produttività di un piccolo sottogruppo aziendale, come un team di security research. In questo caso, i gruppi di Security operations devono poter consentire questi indicatori, di modo che gli utenti vi accedano.

Per iniziare
Per revisionare URL, IP e domini presenti negli elenchi allow o block, seguite i seguenti passaggi:

1. Loggatevi all’interno di Microsoft Defender Security Center e recatevi su Settings > Rules > Indicators

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

2. Selezionate la tab IP addresses per visualizzare una lista di indirizzi IP.

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

3. Selezionate URLs/Domains per visualizzare la lista di URL e domini.

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

Per aggiungere una URL, un indirizzo IP o un dominio all’elenco di siti bloccati o permessi, seguite i seguenti passaggi.

1. Dalle impostazioni Indicators, recatevi sulla tab IP Addresses o URLs/Domains

2. Selezionate la voce Add Indicator dalla action bar

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

3. Inserite URL o Indirizzo IP e cliccate su Next.

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

4. Scegliete fra le azioni seguenti, scrivete un titolo ed una descrizione per l’indicatore e cliccate su Next:

a. Allow – permette URL o IP all’interno dell’azienda, indipendentemente da quanto stabilito da Microsoft;
b. Alert only – permette agli utenti di accedere all’indicatore ma mostra loro un alert;
c. Alert and block – non permette ad utenti e processi di accedere a indirizzi URL o IP e presenta un alert; mostra una notifica di blocco all’utente assieme alla richiesta di contattare il dipartimento IT;
d. Warn – avvisa gli utenti quando stanno accedendo ad URL o indirizzi IP non sicuri, ma permette loro di ignorare l’avviso.

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

5. Selezionate o la voce All machines in scope o Select from list: questo vi permette di targetizzare uno specifico gruppo di macchine.
In seguito, cliccate Next.

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

6. Selezionate Save.

Come rimuovere URL o IP dall’elenco block or allow?
– Da IP Addresses o dalla tab URLs/Domains, selezionate l’indicatore che volete eliminare;
– cliccate su Delete.

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

Microsoft, in questa funzionalità, vede un ottimo modo per sintonizzare le attuali funzionalità di protezione web.
Tenete anche presente che queste impostazioni sono comunicate tra client e cloud di Microsoft quindi saranno operative indipendentemente da dove si trovi il dispositivo.
Obiettivo di Microsoft è quello di portare all’interno delle Security Operation sempre più indicatori di customizzazione per proteggere le aziende.


Le informazioni presenti in questo post, sono prese dall’articolo: Microsoft Defender ATP supports custom IOCs for URLs, IP addresses, and domains.