testperson

Im Endeffekt ist das beim Citrix Zugriff so, wie ihr es gerne für M365 hättet? Externer Zugriff auf Citrix bedingt einen zweiten Faktor und "der Rest" darf nur aus internen Netzen zugreifen? Die kleinstmögliche Option ist der Entra ID P1: Pläne und Preise für Microsoft Entra | Microsoft Security Unter Umständen kann es aber auch Sinn machen in Richtung Enterprise Mobility + Security E3 zu gucken und die Benefits von Intune inkludiert zu haben: Preisoptionen für Enterprise Mobility + Security (microsoft.com) Vielleicht macht es aber auch (für eine Teilmenge) Sinn einen noch ganz anderen Plan zu wählen, der je nachdem Entra ID P1 und ggfs. weitere Features inkludiert. Das könnte _vielleicht_ ein M365 Business Premium sein. Schaut euch einfach an, welcher Plan was inkludiert und was davon für euch hilfreich ist. Im Anschluss dann: "Choose wisely."

Hi, ich bin mir unsicher, ob es hier nicht kurz und schmerzlos sinnvoller wäre, mit den Usern in ein M365 Business Premium / Standard oder je nachdem Office 365 E3 zu wechseln und damit "alles abzufrühstücken". Wenn es unbedingt ein gekauftes Office sein soll, dann eben einen M365 Business Basic Plan für die User nehmen. Gruß Jan

Hi, die "Citrix Umgebung" ist aber doch vermutlich ebenfalls per 2FA gesichert? Könnten ihr hier dann nicht "konsolidieren" und einfach am Netscaler Gateway die Microsoft 2FA bspw. per RADIUS anbinden und dadurch dann im M365 Bereich zusätzlich von Conditional Access profitieren? Sofern die Lizenzierung von Global Secure Access wie in der derzeitigen Preview bleibt, hättet ihr damit durch den Entra ID Plan 1 später noch weitere interessante Optionen: What is Global Secure Access (preview)? - Global Secure Access | Microsoft Learn Gruß Jan

Bei selbst gehosteten Alternativen wäre ggfs. Jitsi noch ein Kandidat. Als Teilnehmer war ich jetzt in mehreren Meetings dabei und habe nichts vermisst. Wäre für nen "schnellen PoC" in der Hetzner Cloud als Cloud App verfügbar.

Manch ein CU wollte vor der Installation auch schon zwei oder drei Reboots bevor es glücklich war.

@Gu4rdi4n: Ggfs. anonymisierst du den ersten Codeblock noch.

You get what you pay for.

Zumal im Bereich "Modern Hybrid" so gesehen ja ein Reverse Proxy in Azure bereitgestellt wird.

AFAIK hat(te) der Artikel dazu Interpretationsspielraum. Die Aussage war aber meine ich, dass jegliche Reverse Proxys mit Pre-Authentication nicht unterstützt werden.

Hi, verteile dann direkt noch den Registry Key um mDNS abzuschalten: HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters EnableMDNS DWORD 0 REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters" /v " EnableMDNS" /t REG_DWORD /d "0" /f Gruß Jan

Hi, alternativer Ansatz: Testclient und Testuser in TestOU(s) ohne Policies schieben und dann nach und nach die Policies verlinken. HTH Jan

Hi, die Rolle "Reviewer" beinhaltet nicht das Recht zum Erstellen von Elementen. Da es für die Kollegin einen expliziten Eintrag gibt, greift der Rest AFAIK nicht. Gruß Jan

Hi, das kommt mir bekannt vor. Kannst du mal prüfen, ob es folgende Keys gibt und diese (exportieren und dann) löschen: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msedge.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msedgewebview2.exe Gruß Jan

Hier wäre die Übersicht für Windows 10: Windows 10 Home und Pro - Microsoft Lifecycle | Microsoft Learn

Hi, das betrifft Windows 11 Enterprise und Education. Für Pro ud Home ist für 23H2 im November 2025 Schluss. Allerdings wird Windows 11 24H2 Pro wohl wieder 2 Jahre Support oben drauf bekommen. Windows 11 Home und Pro - Microsoft Lifecycle | Microsoft Learn Windows 11 Enterprise und Education - Microsoft Lifecycle | Microsoft Learn Gruß Jan

YouTube Videos gucken? *SCNR*

Ja, den "Essentials" gibt es noch. Ist aber am Ende des Tages AFAIK eigentlich ein Standard Server mit entsprechenden Lizenzbedingungen. In der Konstellation würde ich eher in Richtung 1x Windows Server 2022 Standard (+ CALs) schauen und per Hyper-V 2 VMs anstatt so einen "All in One Essentials" betreiben. Man könnte auch prüfen, ob es die eingesetzte Branchensoftware als SaaS gibt und ob OneDrive / Sharepoint ggfs. den Fileserver ersetzen können.

Aber nur sofern du Extended Security Update (ESU) berechtigt bist, was es AFAIK nur für Standard und Datacenter per aktiver Software Assurance gibt.

Hi, bei 30 bis 34 Terminalserver Usern wäre es meiner Meinung nach sehr sinnvoll in die Breite zu skalieren und weitere Terminalserver bereitzustellen. Um ein "Zumüllen" einzuschränken, gibt es "Files on Demand" (GPS: Use OneDrive Files On-Demand (gpsearch.azurewebsites.net)). FSLogix kann man sich mit etwas Zeit in einer Testumgebung recht simpel ansehen. Danach lässt sich FSLogix aufgrund der Gruppenmitgliedschaft auch recht simpel staged bereitstellen. Gruß Jan

Hi, wenn es auf lange Sicht definitiv der eine Terminalserver bleibt, dann verzichte auf FSLogix bzw. eine entsprechende Profillösung und gib dem Terminalserver genügend "Disk". Ansonsten: FSLogix bzw. eine 3rd Party Profillösung. Ich würde hier allerdings definitiv auch mit einem TS auf eine Profillösung wie FSLogix setzen, falls dann doch ganz plötzlich weitere Terminalserver benötigt werden. Gruß Jan

Hi, kurz und schmerzlos ein neues Outlook Profil erstellen. Wenn das nicht hilft ein neues Benutzerprofil testen. Gruß Jan

Hi, wäre es eine Option, das manuelle Wechseln der RDX Bänder evtl. durch ein tägliches, automatisches Auslagern per Cloud Backup zu ersetzen? Gruß Jan

Hi, sofern das kein Problem für euch ist: wäre je nach Lizenz wäre auch das Native OTP vom Netscaler eine Option: Native OTP support for authentication | Authentication, authorization, and auditing application traffic (netscaler.com) Würde Duo den "traditionellen Prompt (iframe)" nicht einstampfen, wären die mein Favorit. Ansonsten hatte ich mit allem was RADIUS (Duo, ESET Secure Authentication, Azure MFA) war noch keine Probleme. Gruß Jan

Hi, in diesem Fall wäre es vermutlich am einfachsten, Single Sign On zu konfigurieren: GPS: Allow delegating default credentials (gpsearch.azurewebsites.net) Für das Zertifikat dann dieses GPO (GPS: Specify SHA1 thumbprints of certificates representing trusted .rdp publishers (gpsearch.azurewebsites.net)) oder nutze ein trusted Zertifikat. Die RDP Datei bekommst du dann per GPP Files oder Anmelde Script auf die Clients. Wenn du SSOn nicht möchtest, kannst du eine RDP Datei mal per Texteditor öffnen und ansehen. Der Rest ist dann nur noch ein bisschen Scripting. Gruß Jan

Mein Stand ist, dass das bislang nur für OWA / ECP und MAPI over HTTP bzw. auch nur mit bestimmten Clients funktioniert aber eben noch nicht für EAS. Aus dem Link: Guck im ECP doch mal unter dem Punkt "mobile" bzw. "Mobil"