Microsoft Ignite Amsterdam 2019

Wat word ik toch altijd blij van dit soort dagen. In sessies van een slechts een uur krijg je een goed beeld bij de werking en achtergrond van de verschillende technieken. De dag begon meteen goed met een hele gave sessie over IoT. Microsoft zet – terecht – hoog in op deze nieuwe ontwikkeling. Er wordt de aankomende vier jaar 5 miljard geinvesteerd in het platform en de technieken die ermee samenhangen. Als je bedenkt dat IoT een paar jaar geleden nog bijna volledig onbekend was dan zie je goed wat voor ontwikkeling deze techniek heeft doorgemaakt.

Dealing with massive data ingestion

De sessie die ik ’s morgens bijwoonde was genaamd ‘Dealing with massive data ingestion’ en de spreker was Ryan Levick. Ryan liet in een tijdsbestek van een uurtje zien hoe Azure Stream Analytics icm Event Hubs en het Azure IoT ecosysteem op relatief eenvoudige manier in staat is om allerlei data op te slaan, direct acties op realtime data te ondernemen en vervolgens de data eenvoudig te bewaren voor toekomstige analyse.

Microsoft Graph

Ook volgde ik een sessie over Microsoft Graph waar de key take away was dat Microsoft het volledige Graph model in elkaar gaat schuiven zodat er slechts een enkel endpoint overblijft. Dit versimpelt het model en zorgt ervoor dat Microsoft Graph nog makkelijker in het gebruik zal worden. Bij DTX maken we voor diverse klantrapportages dankbaar gebruik van de Microsoft Graph i.c.m. PowerBI.

Assess access controls and enforce Zero Standing Access to privileged accounts.

De volgende sessie was genaamd Assess access controls and enforce Zero Standing Access to privileged accounts. Een hele mond vol. De sessie was met name geënt op hoe Microsoft zijn RBAC model en autorisaties heeft ingeregeld. Inclusief de optionele customer lockbox feature. Als je ziet aan welke compliancy standaarden Microsoft voldoet dan moet hier ook wel een rigoreus proces achter zitten. Het was mooi om dit te zien te krijgen. Vanzelfsprekend kwamen ook PIM en PAM aanbod. Vooral Privilegd Identity Management met EMS E5 licenties is een optie die eigenlijk elk bedrijf zou moeten overwegen naast het implementeren van MFA voor Admin accounts. PAM (Privileged Access Management) is ‘the holy grail’ maar is qua complexiteit naar mijn mening alleen voor de allergrootste bedrijven weggelegd.

Protect and collaborate on files in the cloud with OneDrive, SharePoint and Microsoft Teams

Na de lunch – die voor een gratis event prima verzorgd was – ging ik naar een wat minder technische sessie met de naam ‘Protect and collaborate on files in the cloud with OneDrive, SharePoint and Microsoft Teams. Hier werden alle technieken om bestanden te delen vanuit OneDrive en SharePoint uit de doeken gedaan. Afhankelijk van de zaken die op organisatieniveau worden toegestaan kun je – als je alle opties ‘aan’ hebt staan – elk soort bestand met elke persoon delen. Los van het feit of de ander Office 365 heeft of niet. De gedeelde bestanden worden geopend in de browser en zelfs als je geen Word of Excel gebruikt kun je het bestand inzien en printen (als daar toestemming voor is gegeven door de afzender). Naast Word en Excel viewers worden er nog 300 bestandsextensies standaard ondersteund. Daarnaast werd een demo gegeven met one-time passcodes als je een document link met een specifieke gebruiker op een veilige manier wil delen. Vanuit DTX adviseren wij graag hoe je deze technieken kunt inzetten en waar je op moet letten als je deze functies bedrijfsmatig gebruikt.

Patterns en practices to secure your identity infrastructure

De laatste sessie die ik bijwoonde heette Patterns en practices to secure your identity infrastructure en in deze sessie kwamen alle identity providers aan bod. Ook werd ingegaan op de 17 miljard authenticaties die Azure AD dagelijks uitvoert. De key take-away in deze sessie was dat voor de beveiliging van data niet van binnen naar buiten gekeken moet worden maar juist andersom. Met de huidige versnippering aan plaatsen waar bedrijfsdata staat is een risk based approach voor het verlenen van toegang een veel betere manier. Risk based conditional access gebruikt een ‘puntensysteem’ om te bepalen of iets vertrouwd kan worden. Wat voor apparaat wordt gebruikt (AAD registered of niet). Vanaf welk IP adres wordt ingelogd? Op welk tijdstip wordt ingelogd? Vanaf welke locatie is de vorige inlogpoging geweest? (impossible travel). Op basis van o.a. deze metrics wordt een waarde samengesteld en een treshold hierop bepaalt of een authenticatie legitiem is of niet. Indien nee, dan kan worden besloten om bijvoorbeeld een tweede authenticatie-factor te vereisen.

Passwordless era

Aan het einde van deze sessie werd ingegaan op de passwordless era die Microsoft nastreeft en het gebruik van FIDO2 hardware beveiliging. Met een hardware token ben je pas echt goed beschermd tegen (spear)phishing, man in the middle (zie https://dtx.nl/nieuws/modlishka-de-ongewenste-proxy/) en andere aanvallen. DTX is partner van Yubico (https://dtx.nl/partners) en wij rusten onze high secure modern workplace uit met FIDO2 keys.

Auteur:Rutger de Boer

Managing partner