Exchange Online (O365) ActiveSync und Outlook Zugriff nur für erlaubte Geräte

[donnervogel515 13]

Hallo Forum,

 

ich habe da etwas was ich vorerst gerne in meiner Testumgebung erproben möchte, ich aber irgendwie nicht den richtigen Einstieg finden kann. Würde mich freuen wenn mir einer von Euch die Richtung vorgeben könnte...….

 

Standardmäßig kann sich jeder Benutzer von Exchange Online mit seinen Anmeldedaten auf allen ActiveSync Geräten und mit Outlook auf jedem beliebigen System sein Postfach mit seinen Anmeldedaten  einbinden.

 

Folgendes möchte ich gerne für später einmal 25 Benutzer erreichen:

 

- Es sollen sich nur ausgewählte ActiveSync Geräte mit dem Postfach verbinden können (eingesetzt wird nur iOS)

- Es sollen sich nur ausgewählte Outlook Clients mit dem Postfach verbinden können ( eingesetzt wird aktuellster Windows 10 Build und O365 Client)

- OWA ist für alle Benutzer bereits deaktiviert

 

 

Wenn ich da jetzt die Suchmaschine anwerfe komme ich zu verschiedenen Ansätzen:

 

- Nur Anmeldungen auf Zertifikatbasis (finde ich eigentlich ganz schön)…...Bitte gerne ein paar Pro und Contras wenn ihr mögt einbringen

- Client-Zugriffsregeln für Office 365 (ist für mich Neuland und aus den bisherigen Quellen nicht so ganz sicher wie das funktionieren soll)

 

Ich bin da wirklich ein wenig verwirrt und möchte euch wie gesagt bitten mir einen Tipp für den Lösungsansatz zu geben. Wie habt Ihr so eine Anforderung vielleicht bei euch oder in einer ähnlichen kleinen Organisation umgesetzt?

Kennt ihr vielleicht ein gutes HowTo oder Best Practice für den Einstieg?

 

 

Danke

[manuel-r 2]

Ich weiß nicht, wie es bei Exchange Online ist. Bei On-Premise kannst du jedenfalls einstellen, dass mobile Endgeräte sich zwar verbinden dürfen, aber erst synchronisieren wenn ein Admin das Gerät über EAC explizit freigibt.

Über den verwendeten Client hast du damit aber keine Kontrolle.

 

Manuel

 

[donnervogel515 13]

Hallo Manuel,

 

danke, dabei geht es ja leider nur um die allgemeine Erlaubnis, dass ein Client sich via ActiveSync synchronisieren darf. Das soll ja prinzipiell möglich sein, aber halt nicht jedes Device.

 

- Diensttelefon von User A soll sich via ActiveSync synchronisieren können

- Privattelefon von User A soll sich nicht via ActiveSync synchronisieren können

 

 

Gibt es noch einen anderen Lösungsansatz?

[Nobbyaushb 1.471]

Mobile Device Management - und per Default alle EAS Devices in Quarantäne

[manuel-r 2]

vor 7 Minuten schrieb donnervogel515:

Hallo Manuel,

danke, dabei geht es ja leider nur um die allgemeine Erlaubnis, dass ein Client sich via ActiveSync synchronisieren darf. Das soll ja prinzipiell möglich sein, aber halt nicht jedes Device.

- Diensttelefon von User A soll sich via ActiveSync synchronisieren können

- Privattelefon von User A soll sich nicht via ActiveSync synchronisieren können

Gibt es noch einen anderen Lösungsansatz?

Genau das was du willst funktioniert damit, weil ja jedes einzelne Device explizit freigegeben werden muss wenn man es so einstellt.

Damit kannst du dann das dienstliche freigeben und das private blocken.

 

Da ich jetzt wieder am PC bin hier noch Screenshots:

 

Hier erscheinen dann die Geräte die freizugeben sind oder auch nicht:

bearbeitet 2. September 2019 von manuel-r

[donnervogel515 13]

Oh, danke

 

Wieder mal zu Blind.....

 

Melde mich noch mal später dazu

[NorbertFe 2.034]

Solange man nicht Outlook for iOS oder Android verwendet. Ansonsten hat sich was mit Quarantäne. ;)

[MrCocktail 192]

Hi,

 

das was du suchst, nennt sich Conditional Access / MDM und entsprechende Policies auf den Geräten & im Exchange.

 

Die Einrichtung dauert etwas, man muss das einmal sauber durchdenken und das komplette Management einmal gerade ziehen, danach funktioniert es allerdings sehr gut.

 

Gruß

 

[donnervogel515 13]

Ja, das ist es glaube ich.....ich muss mich da bei zeiten rein arbeiten....leider fehlt mir wieder die Zeit gerade.

 

 

Danke, ich melde mich hier wieder mit dem Stand der Dinge

 

Danke

[donnervogel515 13]

Hallo, noch mal Danke für die Hilfe. Habe mir Conditional Access angesehnen und spiele jetzt damit in meiner Testumgebung. Irgendwie habe ich aber ne Blockade im Kopf.

 

Ich möchte das Outlook nur von zwei Standorten aus funktioniert:

 

Regel habe ich erstellt und Outlook als app, die vertrauten IPś als Ausnahme hinzugefügt und sonst den Zugriff von Überall verboten. Das funktioniert auch sofort ohne Probleme.

 

Jetzt möchte noch das Outlook über ActiveSync von überall funktioniert: wie füge ich dieses hinzu? Eine neue Regel funktioniert nicht weil die andere ja restriktiver ist....und wenn ich etwas in die bestehende hinzufüge geht es ja nicht weil ja nur der Zugriff von den vertrauten Netzwerken erlaubt ist.

 

 

Ich habe einiges gelesen, aber irgendwie finde ich den Einstieg dazu nicht. Kann mir jemand einen Wink geben.

 

 

Später möchte ich dann noch nur Outlook für iOS mit 2FA erlauben....aber zum Verständnisses Erst einmal ActiveSync

 

 

Danke  

[donnervogel515 13]

Hat keiner einen Hinweis.....es ist bestimmt zu einfach und deshalb finde ich auch nichts