MS365 - Richtlinie Bedingter Zugriff

[BlacksGood 5]

Moin zusammen,
wieder hoffe ich auf Schwarmwissen.

Es gibt eine Richtlinie für den Bedingten Zugriff. Diese Richtlinie ist dafür da, dass sich niemand mit seinem privaten Handy auf das Firmenoffice anmelden kann. Dafür sollen die Leute Firmenhandys haben, die im InTune sind.
Das funktioniert soweit auch alles.
So sieht das ganze aus:

 

Users ist klar. Alle Benutzer mit der Ausnahme der Leite die ein Firmenhandy in Intune haben.
Target resources stand auf "All Cloud Apps" und jetzt auf "Select apps: Office 365".

Conditiones - Andorid, iOS und WindowsPhone und als 2. Punkt "Control user access to target specific client applications not using modern authentication"

Grant - Block Access

 

Nun soll aber jeder mit der Drittanbieter-App "OneCalendar" seine Firmentermine auf sein privates Handy laden können. Was ich davon halte etc. spielt jetzt erstmal keine Rolle.
Das ganze hat bis letzter Woche auch funktioniert.
Die App ist im AAD registriert, Berechtigungen der App selber stimmen. Unter "Target resources" wurde die App unter Ausgeschlossene hinzugefügt.
Jetzt das Problem, egal wie ich es drehe und wende, beim Test bekomme ich immer den Fehler, dass ich nicht berechtigt bin zuzugreifen.

Wen ich im AAD mit die App ansehe, steht auch ganz klar, dass der Zugriff durch diese Richtlinie blockiert wurde:

 

Access has been blocked by Conditional Access policies. The access policy does not allow token issuance.

(Errorcode: 53003

 

 

Kann mir wer auf die Sprünge helfen, wie nun weiterhin alles gesperrt bleiben kann, aber diese eine App funktioniert?

Vielen Dank im voraus!

 

LG BlacksGood