Exchange Online – Änderungen beim Gerätezugriff und dem Bedingtem Zugriff mit Outlook Mobile

Microsoft hat am 19.06.2020 Änderungen beim Gerätezugriff oder dem Bedingtem Zugriff über die App Outlook Mobile angekündigt.  

Bei bevorstehenden Änderungen des Exchange-Gerätezugriffs und des bedingten Zugriffs (CA) mit Outlook hatte Microsoft in der Vergangenheit festgestellt, dass bestimmte Richtlinien für den bedingten Zugriff über das Azure Active Directory die Anwendung der Exchange Online-Gerätezugriffsregeln auf Outlook für iOS und Android verhinderten.

Ein Beispiel ist:
Kunden hatte eine Richtlinie in CA aktiviert, die eine Multi-Faktor-Authentifizierung (MFA) erforderlich machte. Die führte dann dazu, dass Exchange Online keine eigenen Gerätezugriffsregeln für Outlook Mobile verarbeitete Es betrifft sowohl die iOS als auch Android-Versionen.

Ab August 2020 werden nun bei allen Kunden die Konfigurationen in Exchange Online geändert, um sicherzustellen, dass nur bestimmte Richtlinien für den bedingten Zugriff (CA) die Gerätezugriffsregeln von Exchange umgehen.

Insbesondere verhindern nur Richtlinien für den bedingten Zugriff, die mit den folgenden Zugriffssteuerungen für die Gewährung konfiguriert wurden, die Anwendung von Exchange-Gerätezugriffsregeln auf Outlook für iOS und Android:


Richtline 01: Das Gerät muss als konform gekennzeichnet sein

Richtlinie 02: Genehmigte Client-App erforderlich

Richtlinie 03: App-Schutzrichtlinie erforderlich.

Welche Vorbereitungen müssen durch Kunden getroffen werden ?

Die Kunden haben verschiedene Möglichkeiten, sich auf diese Änderung vorzubereiten:

  1. Kunden können den Microsoft Endpoint Manager und eine der oben genannten Berechtigungszugriffskontrollen (Empfehlung Bedingter Zugriff/ Conditional Access).
    Weitere Informationen zum Schutz von Unternehmensdaten mit Outlook für iOS und Android finden Sie hier.
  2. Kunden können eine Exchange Online-Gerätezugriffsregel erstellen, die Outlook für iOS und Android ermöglicht. Weitere Informationen finden Sie hier.
  3. Manuelles hinzufügen der Geräte-ID des Benutzers mit dem Parameter ActiveSyncAllowedDeviceIDs. Verwenden Sie hierzu das cmdlet Get-MobileDeviceStatistics, um die Geräte-ID zu erhalten. Weitere Informationen finden Sie hier.
  4. Ändern Sie die Standardzugriffsebene auf Zulassen. Durch diese Änderung können alle Mobilgeräte unabhängig vom Typ eine Verbindung herstellen Weitere Informationen finden Sie hier.

Alternativ können Kunden die bisher gesetzte Standardzugriffsebene für mobile Geräte beibehalten und auf diese Umstellung warten und bis dahin jedes Gerät manuell zulassen, wenn es unter Quarantäne gestellt / blockiert wird.

Wichtige Information

Da die Geräte-IDs von Outlook für iOS und Android keiner physischen Geräte-ID unterliegen, kann sich die ID ohne vorherige Ankündigung ändern. In diesem Fall kann es zu unbeabsichtigten Konsequenzen kommen, wenn Geräte-IDs zum Verwalten von Benutzergeräten verwendet werden, da vorhandene „zulässige“ Geräte möglicherweise unerwartet von Exchange blockiert oder unter Quarantäne gestellt werden.

Daher wird den verantwortlichen Administratoren empfohlen, nur Zugriffsrichtlinien für mobile Geräte zu definieren, die auf den Geräte-Typ oder Model basieren.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.