Azure AI and Token theft: The exciting topics of the ninth edition of #mscloud4itpro

Einleitung

Die neunte Ausgabe (die erste in diesem Jahr) des MS Cloud for IT Pro Zentralschweiz Community Events fand am letzten Mittwoch, 12. März 2025, im Hirschengraben Coworking + Innovation statt. Die Veranstaltung bot den Teilnehmern spannende Einblicke in die aktuellen Entwicklungen rund um Azure AI und Token-Diebstahl. Besonders hervorzuheben ist, dass diesmal ausschliesslich Gäste am Meetup referiert haben, was ein klares Zeichen dafür ist, dass die Community in der Zentralschweiz wächst.

Apropos Community-Wachstum: Yannic Graber konnte zu beginn des Meetups stolz verkünden, dass die MS Cloud for IT Pro Zentralschweiz nun als offizielle Azure Tech Meetup Community durch Microsoft anerkannt ist. Dies bringt nicht nur mehr Sichtbarkeit und Unterstützung, sondern fördert auch den Austausch und die Vernetzung unter den Microsoft Cloud Professionals in der Region.

Ein besonderer Dank gilt den Sponsoren, TD SYNNEX und Joker IT, die durch ihre Unterstützung massgeblich dazu beitragen, dass die Meetups stets hervorragend organisiert sind. Weitere Informationen zu anstehenden Events findet ihr hier: MS Cloud for IT Pro Zentralschweiz | Meetup oder auf der LinkedIn-Seite von der Joker IT.

© Joker IT – Goce Stoilov

Die Begrüssung des ersten MS Cloud for IT Pro Zentralschweiz Community Events in diesem Jahr erfolgte durch Goce und Yannic, die das Publikum herzlich willkommen hiessen. Besonders betont wurde, dass dieses Mal ausschliesslich Gastreferate stattfanden, was ein klares Zeichen dafür ist, dass die Community in der Zentralschweiz wächst. Yannic freute sich zudem, einige neue Gesichter im Publikum zu begrüssen, und konnte kaum fassen, dass es bereits die neunte Ausgabe des MS Cloud for IT Pro Zentralschweiz Community Events war.

Ein wichtiger Punkt, den Yannic bei der Begrüssung hervorhob, war die offizielle Akkreditierung des Meetups als Teil der Azure Tech Groups von Microsoft. Mit insgesamt 137 Gruppen weltweit, darunter fünf in der Schweiz und als einzige Gruppe in der Zentralschweiz, eröffnet dies den Teilnehmern die Möglichkeit, von einem grösseren Netzwerk, erweitertem Wissen und einer Vielzahl an Events zu profitieren.

Agenda des Abends

  18:30 – Empfang und Begrüßung mit Getränken
   18:40 – Eröffnung durch die Moderatoren
  18:45 – Start mit Themenfokus
  20:00 – Networking & gemütlicher Ausklang

Themenfokus: Teams AI Library und Azure AI

Die Einleitung für den ersten Themenfokus lieferte uns Patrick Brigger, Mitbegründer von getAbstract. Er erzählte von den Herausforderungen und Chancen, die das Unternehmen aktuell im Bereich AI beschäftigen und wie getAbstract diese Chancen zu nutzen kann. Im Anschluss eröffnete Massimo Scola den Abend mit seinem Vortrag über die Neuerungen der Teams AI Library und die Möglichkeiten von Azure AI.

Copilot Studio & Teams AI Library

Im Copilot Studio können Benutzer Agents mit Leichtigkeit erstellen. In den letzten Monaten wurde die Integration von externen Datenquellen erheblich vereinfacht. Agents können nun auch direkt in Microsoft 365 Copilot dargestellt werden, nicht mehr nur als separate App in Teams. Des Weiteren besteht die Möglichkeit, in der SharePoint-Bibliothek einen neuen Copilot-Agent zu erstellen, wofür eine Copilot-Lizenz erforderlich ist.

Die Teilnehmer wurden über die aktuellen AI-Intents und Entitäten bei Anfragen informiert, um zu verstehen, wie diese Funktionen in der Praxis funktionieren. Im November 2024 wurde die Teams AI Library veröffentlicht, die es ermöglicht, durch ein Embedding via OpenAI geeignete Intents zu bestimmen.

Azure AI Services

Anschliessend gab Massimo uns einen Überblick über alle Azure AI Services, welche für ihn als die wichtigsten im täglichen Arbeitsalltag gelten.

Wenn dich dieses Thema interessiert, solltest du unsere Blogbeiträge zu diesem Thema nicht verpassen:

• Introduction to Azure OpenAI
• Azure OpenAI Service in an enterprise environment
• How to setup an Azure OpenAI service
• Providing private sources to Azure OpenAI

Azure AI Language

• Hauptmerkmale:
  • Identifikation von Entitäten und Schlüsselbegriffen
  • Automatische Extraktion von Skills und Komponenten
  • Durchführung von Sentimentanalysen
  • PII-Schutz (Personenbezogene Daten)
  • Prägnante Zusammenfassung von Texten

Zusätzlich wurden die Kosten für den Azure Language Server und Azure OpenAI (GPT-4) besprochen sowie die Vor- und Nachteile dieser Dienste im Vergleich zu OpenAI dargestellt.

Azure AI Search

Unter den Verwendungsmöglichkeiten der Azure AI Search fanden sich:

• Unified Search
• Vektordatenbank
• Integration in Websites

Hier spielt der Systemadministrator eine entscheidende Rolle bei der Kontrolle darüber, was gesucht wird, im Gegensatz zu Copilot Studio, wo die Steuerung bei Microsoft liegt. Besonders interessant ist die:

• Volltext- und Vektorsuche: Hier wird durch Anreicherung die Suche effizienter gestaltet.
• Semantisches Ranking: Dies ist der größte Vorteil, da Anfragen mit dem Large Language Model (kurz LLM) durchgeführt werden und es in der Lage ist, den indexierten Inhalt zu verstehen.
• Hybride Suche: Eine fortschrittliche Methode zur Informationsbeschaffung.

Azure AI Foundry

Ein weiteres Highlight des Abends war die Live-Demonstration des Azure AI Foundry, bei der die Teilnehmer sehen konnten, wie ein Modell mithilfe eigener Daten trainiert und deployed werden kann.

Themenfokus: Token-Sicherheit mit Microsoft Entra & Intune

Im zweiten Teil des Abends stellte Oliver Müller von TurnKey Services AG das wichtige Thema Token-Sicherheit in den Vordergrund. Nach seinem kleinen “Reisebericht” (Herleitung an das Thema mithilfe einer Story) von St. Petersburg, wo Dimitri versucht sich Zugriff auf andere User Accounts zu verschaffen, legte er den Fokus auf die zunehmende Bedrohung durch Token-Diebstahl, insbesondere nach zahlreichen Vorfällen von Credential-Diebstahl.

Was sind Token?

Oliver begann mit einer Erklärung, was Tokens sind und wie sie im Zusammenhang mit Microsoft Entra verwendet werden. Er erläuterte, wie Tokens ausgestellt werden und welche Rolle sie bei der Authentifizierung spielen.

Risiko des Token-Diebstahls

Oliver beleuchtete auch, wie Tokens entwendet werden können, wobei zwei Hauptmethoden hervorgehoben wurden:

• Phishing: Angreifer versuchen, Benutzer dazu zu bringen, ihre Anmeldedaten preiszugeben.
• Man-in-the-Middle (kurz MitM): Angreifer schalten sich zwischen die Kommunikation des Benutzers und der Anwendung ein, um Daten abzufangen.

Schutzmassnahmen gegen Token-Diebstahl

Angesichts der alarmierenden Statistiken aus dem Microsoft Report, der ein Wachstum von 2-Faktoren beim Token-Diebstahl beschreibt, stellte Oliver verschiedene Schutzmassnahmen vor:

• Microsoft Defender for Office (kurz MDO): Verwendung von Safe Links und Safe Attachments zur Erhöhung der Sicherheit gegen Phishing.
• Endpoint Detection and Response (kurz EDR): Stärkung des Schutzes auf Endgeräten.
• Conditional Access Policies (kurz CAP): Richtlinien, die den Zugriff auf Ressourcen basierend auf dem Risiko und den Compliance-Standards des Geräts steuern.

Demonstration: Top Conditional Access Policies und Compliance der Endgeräte

In einer Live-Demonstration zeigte Oliver die vier bis fünf wichtigsten CAPs (mit seiner Expertise als Identity and Access Microsoft MVP) zur Verbesserung der Sicherheit. Zudem legte er auf folgende Punkte enormen wert in seiner Demonstration:

1. Markierung als “Non-Compliant” im Intune: Ein wichtiges Setting in der Compliance Policy, um Geräte sofort als nicht konform zu kennzeichnen.
2. Zugriff nur von Trusted Locations: Sicherstellen, dass der Zugriff nur aus vertrauenswürdigen Standorten erfolgt.

Global Secure Access und Token-Schutz

Oliver erläuterte den schrittweisen Übergang von Trusted Locations zu Global Secure Access (kurz GSA). Er ging darauf ein, wie die Netzwerke auf alle konformen Standorte ausgeweitet werden können und wie der Token-Schutz für bestimmte Dienste wie Exchange Online (kurz EXO) und SharePoint Online (kurz SPO) implementiert werden kann.

Zusätzliche Informationen:

Aktuell kann der Zugriff nur auf Windows-Geräten durch den Token-Schutz über Conditional Access Policies (kurz CAP) gesichert werden. Der Zugriff ist derzeit nur für mobile Apps und Desktop-Clients möglich.

Risiko-basierte Conditional Access Policies

Abschliessend sprach Oliver über risiko-basierte Conditional Access Policies, die es Unternehmen ermöglichen, den Zugriff flexibler und sicherer zu gestalten. Jedoch benötigt dies eine zusätzliche Entra ID Lizenz, nämlich die P2. Die Investition dieser Lizenz macht jedoch auch im KMU-Umfeld Sinn.
Als risiko-basierte Anmeldeversuche oder Benutzer gelten Anmeldungen welche auffällig sind, zum Beispiel mittels “impossible travel”, also wenn ein Benutzer sich in Zürich authentifiziert und er sich 2 Minuten später versucht in New York zu authentifizieren oder aber auch von anonymen IP-Adressbereichen.
Ein Benutzer wird als riskant deklariert, wenn dessen Passwort zum Beispiel im Darknet aufgefunden wird.
Wiederum werden diese Risiken dann mittels zusätzlichen Sicherheitsanforderungen mitigiert. Es können dies Blockierungen, zusätzliche MFA Abfragen oder aber auch Passwortrücksetzungen sein.

Fazit und Ausblick

Das erste MS Cloud for IT Pro Zentralschweiz Community Event in diesem Jahr war ein voller Erfolg und bot eine hervorragende Gelegenheit, sich über die neuesten Entwicklungen in der Microsoft Cloud-Welt auszutauschen. Die Teilnehmerzahl von 20 bis 30 Personen zeigte das grosse Interesse und Engagement der Community. Die Diskussionen am Ende des Abends waren anregend und inspirierend. Der Apéro natürlich auch .

Ein herzliches Dankeschön an alle, die an diesem Event teilgenommen haben, sowie an die Organisatoren, die sich engagiert um die Durchführung gekümmert haben. Euer Einsatz trägt massgeblich zur Erweiterung unserer Zentralschweizer-Community bei!

Wir freuen uns auf das nächste Event, wir sehen uns dort.