#TechBlog: Microsoft Ignite 2024

Microsoft Ignite 2024

Microsoft Ignite 2024: Ein Paradies für Tech-Enthusiasten

In diesem Blog tauchen wir tief in die technischen Details ein, um dir die neuesten Innovationen, die spannendsten Anwendungsfälle und die besten Best Practices für deinen IT-Alltag näherzubringen. Bereit, dein Wissen auf das nächste Level zu bringen? Dann lies weiter!

Windows Hotpatch

Das Ende von Neustarts bei Patches

In der IT-Welt sind Neustarts nach Patches seit Jahren ein unvermeidbares Übel. Durchschnittlich haben Unternehmen dabei 88 Tage Produktivitätszeit verloren – und das allein durch die Ausfallzeiten während der Neustarts. Hinzu kommt, dass Nutzende oft zögern, die Updates zeitnah zu installieren, was Sicherheitsrisiken und Compliance-Verstösse nach sich ziehen kann.

Mit Windows Hotpatch gehört dieses Problem der Vergangenheit an. Die neue Technologie lädt Updates im Hintergrund herunter und aktiviert sie sofort nach der Installation, ohne dass ein Neustart erforderlich ist.

Vorteile von Windows Hotpatch:

Keine Unterbrechungen: Kritische Sicherheitsupdates werden direkt angewendet, ohne die Arbeit der Nutzenden zu stören.
Kontinuierlicher Schutz: Systeme bleiben durchgehend auf dem neuesten Stand, ohne dass Verzögerungen durch ausstehende Neustarts entstehen.
Höhere Produktivität: Die Zeitverluste durch Neustarts entfallen komplett, was besonders in geschäftskritischen Umgebungen von Vorteil ist.

Hotpatch ist ein Meilenstein in der Patch-Management-Strategie, der es ermöglicht, die Balance zwischen Sicherheit und Produktivität nachhaltig zu optimieren. Besonders für IT-Administratoren bedeutet dies eine erhebliche Erleichterung im täglichen Betrieb und weniger Stress durch ungeplante Ausfälle.

Endpoint-Management

Neue Features im Bereich Endpoint-Management

Neben Windows Hotpatch hat Microsoft auf der Ignite 2024 eine Vielzahl neuer Funktionen für das Endpoint-Management angekündigt. Diese Innovationen sollen IT Admins noch mehr Kontrolle und Effizienz bieten.

Microsoft Endpoint Manager

Microsoft Endpoint Manager unterstützt nun die Bereitstellung von DMG-Anwendungen auf macOS-Geräten. Diese Erweiterung vereinfacht nicht nur die Bereitstellung, sondern auch das Troubleshooting. IT Admins können verschiedene Zuweisungstypen wie «erforderlich», «deinstallieren» oder «verfügbar bei Registrierung» flexibel nutzen.

Endpoint Privilege Management

Das Endpoint Privilege Management (EPM) bietet nun noch granularere Kontrollmöglichkeiten. Administratoren können genau festlegen, welche Befehle mit erhöhten Rechten ausgeführt werden dürfen. So wird die Sicherheit verbessert, da potenziell riskante Aktionen blockiert werden können.

Guided Application Upgrade

Mit der neuen Funktion «Guided Application Upgrade» wird das Management von App-Updates wesentlich einfacher. Über Microsoft Graph können Anwendungen ohne manuellen Eingriff bereitgestellt und aktualisiert werden – ein effizienterer und fehlerfreier Prozess.

Personal Data Encryption

Microsoft führt Personal Data Encryption für Windows-Ordner ein. Diese Funktion schützt sensible Dateien wie Bilder oder Desktop-Ordner zusätzlich. In Kombination mit Intune bleibt der Zugriff auf verschlüsselte Daten auch bei erweiterten Berechtigungen sicher.

AOSP-Geräte

Die Unterstützung für AOSP-Geräte wurde ausgebaut. Intune kann nun spezialisierte Geräte wie solche für Mitarbeitende an vorderster Front verwalten. Das erweitert die Reichweite des Microsoft Endpoint Managers erheblich.

Neue Microsoft Entra ID Features

Verbesserte Sicherheit dank neuer Microsoft Entra ID Features

Microsoft hat eine beeindruckende Liste neuer Entra ID Funktionen vorgestellt, die die Sicherheit unserer Identitäten auf das nächste Level heben. Hier sind die wichtigsten Neuerungen im Überblick:

Phishing-resistente Authentifizierung

Mit der allgemeinen Verfügbarkeit von Certificate-Based Authentication (CBA) ermöglicht Microsoft eine sichere, passwortlose Authentifizierung, die sowohl für Cloud- als auch Hybridumgebungen optimiert ist. Neue Conditional Access Policies unterstützen zudem phishing-resistente MFA-Methoden wie FIDO2-Sicherheitsschlüssel und Windows Hello – ein entscheidender Schritt für den Schutz sensibler Ressourcen.

Identity Governance

Lifecycle Workflows (Vorschau): Identitätsmanagement-Aufgaben wie das Onboarding oder Offboarding von Mitarbeitenden können jetzt automatisiert werden. Mit Access Packages werden Berechtigungen automatisch zugewiesen oder entfernt, was Effizienz und Compliance verbessert.
Separation of Duties (GA): Diese Funktion reduziert Risiken, indem sie für hochriskante Aktionen eine Genehmigung durch mehrere Personen verlangt, was Betrugspotenzial minimiert.

Microsoft Entra Private Access: Die neue VPN-Lösung

Quick Access Policies (GA): Erleichtern die Anbindung privater Apps an Microsoft Entra.
App Discovery (Vorschau): Vereinfacht das Auffinden privater Apps.
Private DNS (Vorschau): Ermöglicht den Zugriff auf Ressourcen über Single-Label-Namen oder Hostnames.

Microsoft Entra Internet Access

Universal Continuous Access Evaluation (CAE, Vorschau): CAE entzieht Zugriffsrechte nahezu in Echtzeit, wenn sich Bedingungen ändern – unabhängig davon, ob Apps oder Clients CAE nativ unterstützen.
TLS-Inspektion (private Vorschau): Ermöglicht die Analyse verschlüsselten Datenverkehrs, um die Bedrohungserkennung beim Internetzugang zu verbessern.

Conditional Access Fortschritte

Universal Conditional Access: Schützt den Zugriff auf föderierte und nicht-föderierte Apps, externe Webseiten und Netzwerkziele.
Compliant Network Check: Gewährleistet die Einhaltung von Netzwerksicherheitsrichtlinien beim Zugriff auf kritische Cloud-Dienste.
Integration mit Secure Web Gateway: Bedingte Zugriffskontrollen arbeiten jetzt nahtlos mit Microsoft Entras Zero Trust Lösungen zusammen, um internet- und appbezogene Identitäten zu schützen.

Verbesserter Identitätsschutz

Neue Funktionen zur Erkennung von Token-Anomalien (z. B. ungewöhnliche Token-Laufzeiten) lösen automatische Gegenmaßnahmen wie das Zurücksetzen von Tokens oder Passwörtern aus. So wird Echtzeitschutz vor Identitätsbedrohungen gewährleistet.

Diese Updates zeigen, wie Microsoft mit Entra ID die Sicherheitsstandards für moderne Identitäts- und Zugriffsverwaltung weiter erhöht und Unternehmen eine robuste Grundlage für ihre Zero-Trust-Strategien bietet.

Azure Networking

Verbesserte Sicherheit und Leistung für Azure Networking

Microsoft hat neue Funktionen für Azure Networking vorgestellt, die sowohl die Sicherheit als auch die Performance und Ausfallsicherheit erheblich verbessern. Hier sind die wichtigsten Neuerungen:

Network Security Perimeter

Azure führt einen Netzwerksicherheits-Perimeter ein, der strenge Zugriffskontrollen über Ressourcen hinweg ermöglicht. Diese Funktion ist ein zentraler Bestandteil des Zero-Trust-Frameworks, bei dem jede Anfrage auf Netzwerkebene authentifiziert und autorisiert wird – auch für internen Datenverkehr. Dadurch werden Plattformdienste wie Platform as a Service (PaaS) besser geschützt, und unautorisierte Zugriffe durch laterale Bewegungen im Netzwerk werden verhindert. Zusätzlich sorgt zentrales Logging für eine bessere Nachverfolgung von Netzwerkaktivitäten und die Umsetzung von Sicherheitsrichtlinien in komplexen Umgebungen.

Virtual Network Encryption

Mit Virtual Network Encryption wird der Datenverkehr zwischen virtuellen Maschinen (VMs) innerhalb desselben Netzwerks verschlüsselt. Dank FPGA-basierter Verschlüsselung bleibt die Performance praktisch unbeeinträchtigt. Dies ist entscheidend, um regulatorische Anforderungen zu erfüllen und sensible Daten während der Übertragung und im Ruhezustand innerhalb von Azure zu schützen.

Verbesserter Bastion-Zugriff

Die neue Bastion Developer SKU ermöglicht sicheren, direkten Zugriff auf virtuelle Maschinen über RDP oder SSH, ohne dass eine öffentliche IP-Adresse benötigt wird. Dadurch wird die Angriffsfläche erheblich reduziert, insbesondere für Entwicklungs- und Testumgebungen. Diese SKU bietet eine kostengünstigere, leichtgewichtige Option für kleinere Szenarien, bei denen sicherer Remote-Zugriff erforderlich ist.

ExpressRoute Metro SKU

Mit der neuen SKU für ExpressRoute Metro wird die Verfügbarkeit und Redundanz verbessert, indem mehrere Edge-Sites innerhalb derselben Metropolregion verbunden werden. Dies gewährleistet eine niedrige Latenz und hochverfügbare Konnektivität zwischen On-Premises- und Azure-Ressourcen, selbst im Falle eines Ausfalls einer der Verbindungen.

Azure Load Balancer Updates

Der Azure Load Balancer wurde aktualisiert, um den Datenverkehr effizienter zu verwalten und Bereitstellungen über Subscriptions und hybride Umgebungen hinweg zu vereinfachen.

DNSSEC (Domain Name System Security Extensions)

Jetzt in der öffentlichen Vorschau: DNSSEC fügt DNS-Anfragen eine zusätzliche Sicherheitsebene hinzu, indem sichergestellt wird, dass Antworten authentisch und während der Übertragung unverändert sind. Angriffe wie DNS-Cache-Poisoning oder Man-in-the-Middle-Angriffe werden so verhindert, was die Integrität der Netzwerkkommunikation erhöht.

Azure Virtual Network Manager

Updates im Azure Virtual Network Manager verbessern das IP Address Management (IPAM) durch mehr Sichtbarkeit, Automatisierung und Integration:

Automatische Zuweisung von IP-Adressen über mehrere virtuelle Netzwerke hinweg.
Bessere Integration mit Azure Firewall, um Netzwerksicherheit zu gewährleisten.
Multi-Region-Support für globale Unternehmen.

Diese Neuerungen machen es Unternehmen einfacher, IP-Adressen im grossen Stil zu verwalten und eine reibungslose Koordination über verteilte Cloud-Umgebungen hinweg sicherzustellen.

Mit diesen Updates zeigt Microsoft, dass Azure Networking nicht nur sicherer, sondern auch performanter und benutzerfreundlicher wird – ideal für moderne, skalierbare IT Infrastrukturen.

Fragen? Kontaktiere mich!

David Zeiter

Technical Consultant
Bachelor in Betriebsökonomie

david.zeiter@isolutions.ch