Nyheter i bruset från Ignite 2018 - Dag 2

Knowledge Factory Blogg
26.09.2018

 

Uppsnappat från Ignite 2018 - Dag 2

Daniel Källström jobbar som Technical Architect på specialistenheten Knowledge Factory. Detta är hans personliga summering där han sållat i bruset från alla nyheter som presenterats under dag 2 utav MS Ignite 2018. 

Läs om uppdateringar från dag 1 här: Ignite 2018 - Dag 1

 



  • Microsoft Teams

  • Microsoft [insert productname] 2019

  • Filserver-migrering

  • Windows Admin Center

  • Passwords/Security

  • Intune

  • Azure VDI / Citrix WorkspaceBubblare - Visual Studio Live Share

 

Teams dag 2

Jag har tyvärr inte hunnit läsa på jättemycket om Teams sen igår, men har plockat upp några saker.

Med Background Blur ska man precis som det låter kunna blurra bakgrunden när man sitter i videomöte i Teams. Säkert användbart om man har familj hemma som går och stökar i bakgrunden, eller om man kör ett möte från ett cafe eller flygplats eller liknande där det händer väldigt mycket i bakgrunden.

Teamsfunktionen för firstline workers där man ska kunna hantera scheman osv verkar vara på kostnad av Staff Hub som försvinner. Helt logiskt såklart men jag missade det igår.

 

Microsoft [insert productname] 2019

Windows  Server 2019 (plus v1809), SQL Server 2019 (preview) och System Center 2019 är allihop bekräftade på Ignite. Ingenting oväntat, men jag tänkte att jag åtminstone skulle nämna det här så man kan börja planera för att migrera sina legacy-servrar till 2019 under nästa år. Även Exchange 2019, Skype for Business 2019 och Sharepoint 2019 kommer som onprem LTSB versioner om man inte är redo för Cloud ännu av nån anledning.

Office 2019 är bekräftat för Windows och MacOS. Det här är ju liiiite bantade versioner av O365 ProPlus för dom kunderna som behöver en LTSB även för Officepaketet. Jag går inte in i detalj på nyheterna eftersom jag inte läst på, men det verkar bara vara en snapshot över hur Office365 ProPlus ser ut just nu, men med en LTSB garanti till 2023 eller nåt sånt.

 

Fileservermigrering

Kände att den här behöver en egen rubrik. Fileserver Migration Service är egentligen precis vad det låter som.
Det är en funktion för att på ett kontrollerat sätt migrera ihop alla sina filservers till en modernare plattform.

Snabbt förklarat verkar det funka så att man pekar ut ett gäng onprem servrar som man vill bli av med, scannar igenom dom efter fileshares och pekar sen ut en ny server dom ska migreras till. Den servern kan vara en fysisk onprem, en VM onprem eller en VM i Azure om jag fattade det rätt. Man kan alltså peka ut SRV2k8r2-FS01 plus SRV2K12-FS02 och migrera dom till en enda mottagande server

Allt viktigt ska hänga med i migreringen, tillexempel ACLar, metadata och rättighetsstrukturen. Man kan dessutom välja bort shares man inte vill flytta, man kan välja att slå ihop shares, man kan välja att automagiskt hantera namnstruktur och IPadresser i migreringstoolet och man får en fullständig logg över allt som migrerats (varenda fil i varenda folder om man vill)

Körningen går under kontexten av filservern vilket gör att även shares som din migrerings-administratör inte har rättigheter att läsa kommer flyttas intakta. Snyggt faktiskt om allt funkar som i deras demos 😃

Cutover sker inte direkt om man inte vill, utan man kan testkjuta innan man gör det live, och i själva cutoverfasen miggas dom sista förändringarna innan själva cutover.

https://blogs.technet.microsoft.com/filecab/2018/04/12/introducing-the-windows-server-storage-migration-service/

 

Det här kan ju såklart kombineras med Azure File Sync vilket är som en ”filserver-onedrive med ondemand”... alltså du sätter ett regelverk på din filserver att den ska hålla 20% disk ledigt, eller alla filer som accessats dom senaste 6 månaderna ska vara tillgängliga.... sen sköter Azure File Sync själva hanteringen av datat. Alla filer som inte uppfyller dina regler långtidslagras i en Azure Fileshare ( i upp till 99 år säkert, dom gillar ju den siffran) När en långtidslagrad fil sen behöver accessas så kommer den streamas ner till din filserver när någon klickar på den, precis som ondemand filerna i Onedrive for Business.

Jag gjorde en snabb scan på ett fileshare hos en kund och såg att nästan hälften av deras filer har inte accessats senaste halvåret, så det här hade ju definitivt sparat in en hel del dyr storage onprem.

Azure Filesync kan även sättas upp för att synka shares, drives eller hela filservrar till offsite platser. Alltså först från filserver01 till Azure, och sen från Azure ner till filserver02-09 som står runt om i världen. Jag har inte kört det här i produktion själv så jag kan inte svära på hur det funkar i praktiken, men jag synkar mina privata filbibliotek hemma på det här sättet och har gjort det sen strax efter förra Ignite utan att ens ha tänkt på att det inte är onprem. Enda misstaget jag gjorde var att ställa in en maskin på att köra skärmsläckare från ett bibliotek med bilder som då helt plötsligt skulle synkas ner allihop

https://docs.microsoft.com/en-us/azure/storage/files/storage-sync-files-deployment-guide

 

Windows Admin Center

Här finns det nyheter !

Microsoft verkar vilja flytta alla funktioner från MMC, vår onprem Management server och många verktyg i Azure som vi använder onprem til en enda HTML5 vy istället. Fantastiskt om du frågar mig, jag jobbar i WAC åtminstone veckovis och det här är mycket goda nyheter för mig eftersom det är så enkelt att sätta upp (går att köra lokalt på sin laptop, det är bara WIM och powershell bakom)

Men några specifika saker jag har sett hittills är utökad hantering av : Storage Replica, Storage Spaces Direct, Azure File sync, Azure Backup, Azure Disaster Recovery, Software Defined Networking, Azure Update (via log analytics/automation) men det finns säkert en hel massa andra saker som jag har missat 😊

https://docs.microsoft.com/en-us/windows-server/manage/windows-admin-center/understand/windows-admin-center

 

Passwords/Security

Passwordless –

Microsoft chockade många förra (eller förförra) året genom att gå ut och säga ”strunta i 30-dagars lösenord, sätt dom istället till Never Expires och kräv mer kompetenta lösenord istället, det är säkrare”

Nu tar dom nästa steg och rekommenderar faktiskt passwordless med hjälp av olika typer av MFA istället.

Demon dom hade visade bland annat inloggning på en laptop med hjälp av Windows Hello i kombination med Microsoft Authenticator appen på en iPhone vilket gjorde att telefonen i kombination med fingeravtryck blev ytterligare faktorer.

Men en annan sak dom visade var en variant av en USBkey med fingeravtrycksläsare som gjorde att man helt plötsligt inte behövde appen på telefonen. Det känns som att en fungerande Selfservice Password Reset kommer bli en viktig funktion om man vill att sina användare ska gå passwordless. Det räcker ju med batteritorsk eller att man glömt telefonen för att det direkt blir krångligare, och om man hamnar i ett läge där man blir tvungen att köra sitt password har man säkert glömt det om man inte skrivit det på länge.

 

En annan sak dom nu har släppt om man inte riktigt är redo för att gå passwordless är en funktion man kan köra både i sitt AAD och på sina (hybrid) onprem DC´s där man kan ställa in ”Banned Passwords”. Den använder per default globala banned password listor i Azure, men man kan även lägga till egna listor, tex sitt bolagsnamn eller Januari2018, Februari2018 osv. För onprem DCs som inte är uppkopplade direkt mot internet (alla era DCs kanske ? eller inte ? 😊) går det att köra en proxy service nån annanstans i nätet som era DCs sen kan fråga. Kräver så vitt jag har sett endast att man kör Azure AD Premium P1 eller P2

https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-password-ban-bad-on-premises

 

Microsoft Secure Score verkar vara en vidareutveckling på Office 365 Secure Score som många säkert redan har klämt på.

https://securescore.microsoft.com/ kan man logga in med sitt Azure adminkonto (som givetvis har MFA eller hur ?) och snabbt få en överblick på sitt generella ”Score”. Poängen som delas ut, eller inte delas ut beroende på hur man ser det, kommer nästan helt säkert även det från att Microsoft har världens största testbädd och sandlåda i form av Azure AD telemetrics att köra AI/ML mot 😊

Så vad är egentligen skillnaden mellan det här och O365 Secure score ? Jo Microsoft Secure Score räknar även in ”Windows Defender ATP” datat i betyget om den har tillgång till det.

Jag loggade in i en kunds miljö för att se hur det såg ut, och inte helt förvånande var MFA dom två översta ”Incomplete Actions”. En MFA för ”AAD Priviledged roles” och en för alla andra users i AAD. ”Incomplete actions” som jag refererar till är då alltså Microsofts lista på ”lågt hängande frukter” och alla olika förbättringar ger olika poäng beroende på hur pass mycket säkrare det blir av att åtgärda punkten. Att slå på MFA för alla Priviledged roles ger 50 poäng.... jämför det med att deras genomsnittliga kund i storleken 250-999 AAD konton har totalt 40 poäng så förstår man att dom tycker det är en viktig åtgärd 😊 ”Microsoft Average Secure Score” ligger just nu på 31....

 

Intune

eSIM... Som jag önskar att mobilbranschen i stort skulle anamma den här fantastiska tekniken så man kunde slippa sitt fysiska leverantörsbundna simkort 😊 Men Intune kommer hur som helst att kunna managera och deploya eSIM enabled devices framöver, men jag vet helt ärligt inte om det finns så många ännu. Dom jag har sett är typ Apple Sim som bara funkar på iPad tror jag.... men jag kan ha fel här, jag låter hellre nån som kör iDevices uttala sig.

Desktop Analytics (fd Windows Analytics ?) är en cool produkt jag hörde talas om för några veckor sen första gången. Dom snackade mer om den i nån stream här och det har börjat bli lite tydligare vad dom vill göra med den. Grundtanken är egentligen samma som överallt, att man ska återanvända Microsofts enorma databas på bästa möjliga sätt för att underlätta för sina kunder. Mer specifikt låter det som att det är en ”Windows 10 Ready analyser” på steroider. Dvs att man ska få reda på att kombinationen av Hårdvara, Drivrutiner, 3e parts appar och tillochmed sina LOBs är kompatibla med varandra. Förenklat ”kan jag köra Hogia lön på en Lenovo T430 som kör Windows 10 v1607”. Det här vill dom alltså uppnå genom att använda datat från deras 700 miljoner devices dom övervakar (700,000,000st) och kunna tala om ”Ja vi ser att det funkar kanon hos många andra förutsatt att du kör drivare X för ditt NIC och version Y av Hogia” typ.

Idag kräver den här funktionen SCCM, men en av höjdarna på Microsoft sa att dom jobbar på att integrera det i Intune (därav att den här nyheten ligger under intune)

En annan cool funktion man får ”på köpet” med Desktop Analytics är vad dom kallar FastTrack Desktop App Assure som tydligen går GA redan nu i Oktober. Jag har inte riktigt förstått hur den ska funka ännu, men dom beskriver det som att den ska kunna utvärdera om en app är fullt kompatibel eller inte. Om det visar sig att den inte är det så ska tydligen utvecklarna på Microsoft försöka åtgärda problemet ifall det ligger på windows-sidan, alternativt försöka hjälpa till att lösa problemet på din sida om det visar sig vara appen. Jag gissar att det här inte kommer sträcka sig så mycket längre än till att kolla lite loggar och ge en generell riktning om det är en hembyggd app. Men har man en allmänt använd app i Windows Store kommer dom säkerligen vara mer på tårna. Rätt coolt oavsett.

Autopilot måste ju nämnas i samband med Intune, eftersom det är en mycket intressant produkt ur min synvinkel. Men hittills är jag inte speciellt imponerad av vad dom släppt faktiskt. Det enda jag sett är att man ska kunna Hybridjoina maskiner så IT kan välja om en maskin ska tillhöra AAD eller Onprem AD. Sen förstås kioskfunktionerna som kom i somras, men det ger mig inte heller hjärtklappning direkt. Jag hoppas att det kommer mer godsaker under veckan, men är lite tveksam faktiskt. Vi får se helt enkelt.

Intune Security Baselines – Jag satt och jobbade med annat när jag lyssnade på dragningen så jag får återkomma med mer detaljer, men det lät som att dom har tagit tänket kring våra älskade GPO Security Baselines och gjort tillgängliga i Intune. Tyvärr lät det som att dom hade baserat Baseline på standarder som deras Government Customers efterfrågat, men det kan ju hända att det är exakt vad man vill ha 😊

 

Azure VDI / Citrix Workspace

GPU-stöd i Azure VMs i kombination med Azure VDI är såklart intressant 😃 vi har säkert många kunder som kör nån form av VDI eller RDS onprem idag där man under årens lopp varit tvungen att kasta mer och mer hårdvara för att möta behovet. Då blir det ju helt plötsligt ganska intressant att ha Azure som alternativ plattform nästa gång man sitter och funderar på att ställa upp en ny onprem VDI infra med licenser, in-machine säkerhet, loadbalancers, logik, patch mgmt, nätverk, logik för bootstorms och allt annat som behövs.

Kan man istället ”ställa upp” den infran i Azure och dessutom bara betala för det man faktiskt använder per användare och per timme blir det förmodligen värt att åtminstone utvärdera. Och vill man inte köra med Microsoft VDI i Azure så finns även Citrix Workspace som alternativ, vilket säkert passar vissa kunder mycket bättre. Microsoft365 (hjärta) Citrix (hjärta) Azure ? Citrix blir nämligen även Cloud Solution Services partner och kan därför sälja det via MS som en tjänst. Man köper lite förenklat en preppad Win10 image med alla MS365 apparna utan att ens behöva en Azure subscription på förhand. Men dom har givetvis även möjligheten att sälja det med Bring-Your-Own-License om man redan har licenserna man behöver. Jag är ingen Citrix-fena men det låter intressant tillochmed för mig.

https://azure.microsoft.com/en-us/services/virtual-desktop/

https://www.citrix.com/products/citrix-workspace/

 

Visual Studio Live Share

Det här gillade min fru 😊 Man ska alltså kunna sitta i Visual Studio och genom en länk bjuda in en kollega att i realtid parprogrammera,  debugga eller få hjälp med kod. Finns plugins både för VS och VSCode.... och den har en inbyggd voip-funktion 😃 whats not to like om man är kådare.

https://visualstudio.microsoft.com/services/live-share/

 

Läs om uppdateringar från dag 1 här: Ignite 2018 - Dag 1

 

//Daniel Källström


Daniel Källström
Technical Architect, Knowledge Factory


Back
?i