Jump to content

Exchange On-Prem Active Sync mit MFA

Andy82Bln

Von Andy82Bln
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Andy82Bln Apprentice

Andy82Bln   0

Geschrieben
Geschrieben

Hallo zusammen,

 

wir würden gerne ein MDM mit Microsoft Intune einführen. Aktuell geht es um iOS Mobile Devices. Hier wollen wir gerne die Apple Mail App verwenden. Herausforderung ist, Active Sync über MFA/2FA zu verbinden.

Unsere Umgebung besteht aus Exchange 2019 On-Prem DAG und einem Kemp Loadbalancer davor. 

Aktuell haben wir eine VPN Verbindung die sich bei Bedarf aufbaut. Damit funktioniert auch der Zugriff und die Mailkonfig kommt durch. Ist aber nicht schön und nicht super stabil.

Der Kemp bietet nur Authentifiezierung Benutzername/Passwort ODER Zertifikat an. Keine Kombination.

Gibt es Möglichkeiten über Kemp eine MFA/2FA einzurichten, wenn ja wie? Ich habe nur was vom Radius Server und pre-authentication gelesen, weiß aber nicht ob das für Active Sync gilt.

Ansonsten hatten wir noch den Entra-Anwendungsproxy im Kopf, das geht bei OWA. Aber auch bei Active Sync?

 

Gibt es sonst noch Ideen, die ich bisher übersehen habe? 

 

Vielen Dank schon mal vorab!

 

VG Andreas

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.110

Geschrieben
Geschrieben

Hi Andreas,

 

technisch sollte es per Modern Auth am Exchange funktionieren, aber da steh ich aktuell in einem Projekt auch noch auf Kriegsfuß mit. ;) Du brauchst dann eine MFA Lösung, die sich in ADFS integriert. Da hat dann der Loadbalancer nichts mit zu tun. Das was der Kemp an der Stelle bietet wäre Radius oder ebenfalls SAMLs, aber ob man das "sinnvoll" mit Active Sync zum Laufen bringt, kann ich dir mangels Anforderung in bisherigen Projekten nicht sagen.

 

Bye

Norbert

Link zu diesem Kommentar
testperson Grand Master

testperson   1.732

Geschrieben
Geschrieben

Hi,

 

vor 3 Minuten schrieb NorbertFe:

technisch sollte es per Modern Auth am Exchange funktionieren

 

solange ich rein On-Premises bin, gilt das aber doch nur für OWA bzw. Forms-based und MAPI over HTTP bzw. mit Outlook als Client. "Der Rest" sollte doch für Exchange 2019 noch nachgereicht werden. Oder habe ich das verschlafen?

 

Gruß

Jan

Link zu diesem Kommentar
Andy82Bln Apprentice

Andy82Bln   0

Geschrieben
  • Autor
Geschrieben

Hi, ich danke euch für die schnellen Antworten!

 

Mir ist auch so, dass die Modern Auth lokal nicht für ActiveSync funktioniert.

ADFS haben wir letztes Jahr beerdigt :) gab wohl zu viele Fehler.

 

Bei Kemp habe ich noch nicht angefragt, wäre aber mein nächster Schritt.

 

Hat Jemand Erfahrung mit Entra-Anwendungsproxy?

 

Wenn es irgendwo Neuigkeiten gibt würde ich mich freuen wenn ihr an mich denkt ;)

 

Gruß

Andreas

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.110

Geschrieben
Geschrieben

Autsch stimmt. :) Hab ich vollkommen vergessen.

Sprich Active Sync ist in dem Fall auch mit modern Auth noch nicht möglich:

Zitat

With the 2023 H1 CU and the required Outlook version (please see documentation), we have added Modern auth support to Outlook on Windows for authentication against Exchange 2019

 

vor 2 Minuten schrieb Andy82Bln:

ADFS haben wir letztes Jahr beerdigt :) gab wohl zu viele Fehler.

 

Hmm, mit Exchange oder generell?

Link zu diesem Kommentar
testperson Grand Master

testperson   1.732

Geschrieben
Geschrieben
vor 5 Minuten schrieb Andy82Bln:

Hat Jemand Erfahrung mit Entra-Anwendungsproxy?

 

Kenne ich nur i.V.m. RD Web / RD Gateway. Theoretisch sollte Exchange damit auch veröffentlicht werden können, da modern Hybrid nicht viel anderes macht. Allerdings wirst du da vermutlich auch keine modern Auth für rein On-Premises hinkriegen. Da wäre dann AFAIK nur "Hybrid modern Auth" (HMA) möglich. 

Link zu diesem Kommentar
testperson Grand Master

testperson   1.732

Geschrieben
Geschrieben
vor 2 Minuten schrieb NorbertFe:

Aber wenn man mal bedenkt, wie lange die sich für manche Dinge bei MS neuerdings Zeit lassen. :/

Das letzte bisschen Geduld lässt sich doch easy peasy auf der zweiten A*chbacke absitzen. Es bleiben ja nur noch 2 CUs, um das klitzekleine Security Feature nachzureichen. Ich bin aber skeptisch, ob es tatsächlich mit dem nächsten CU passiert.

 

(Oder wird es ein Killer-Argument um auf Exchange vNext zu gehen? ;-))

Link zu diesem Kommentar
Andy82Bln Apprentice

Andy82Bln   0

Geschrieben
  • Autor
Geschrieben
vor 4 Minuten schrieb NorbertFe:

Eher eins zu ExO zu gehen für viele andere ;)

Ich denke auch MS will Richtung ExO schubsen und vernachlässigt andere Themen

So, gerade Sitzung gehabt und es wurde beschlossen auf die Outlook App für iOS zu wechseln. Da gab es meiner Meinung nach eine Lösung mit MFA in unserer Konstellation.

 

vor 2 Minuten schrieb NorbertFe:

Und was ist jetzt der Ersatz dafür?

Nichts. Aktuell ist es eine Authentifizierung am AD.

 

Hybrid ist ja auch schon aufgebaut und eine Testperson ist auch schon im ExO. Die Planung ist ja auch dieses Jahr da hin zu wechseln. Mein Vorschlag war ja, wenn das so geplant ist, dann erst zu ExO zu wechseln und dann die MDM Lösung umstellen ... dann gibt es auch keine Auth-Herausforderung mehr.

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.110

Geschrieben
Geschrieben
vor 5 Minuten schrieb Andy82Bln:

So, gerade Sitzung gehabt und es wurde beschlossen auf die Outlook App für iOS zu wechseln. Da gab es meiner Meinung nach eine Lösung mit MFA in unserer Konstellation.

 

Über Outlook for iOS und Android hülle ich lieber den Mantel des Schweigens :) Will ja meist eh niemand hören wie die funktioniert. Dafür ist sie so schön bunt und mit Features.

 

vor 6 Minuten schrieb Andy82Bln:

Nichts. Aktuell ist es eine Authentifizierung am AD.

 

ADFS hatte vorher keinen Anwendungszweck, oder wie?

 

vor 6 Minuten schrieb Andy82Bln:

Mein Vorschlag war ja, wenn das so geplant ist, dann erst zu ExO zu wechseln und dann die MDM Lösung umstellen ... dann gibt es auch keine Auth-Herausforderung mehr.

Das wär jetzt aber echt zu einfach/pragmatisch. ;)

Link zu diesem Kommentar
Andy82Bln Apprentice

Andy82Bln   0

Geschrieben
  • Autor
Geschrieben
vor 1 Minute schrieb NorbertFe:

Über Outlook for iOS und Android hülle ich lieber den Mantel des Schweigens :) Will ja meist eh niemand hören wie die funktioniert. Dafür ist sie so schön bunt und mit Features.

Ohh, jetzt bin ich neugierig. Kläre mich bitte auf :)

 

vor 3 Minuten schrieb NorbertFe:

ADFS hatte vorher keinen Anwendungszweck, oder wie?

Das weiß ich nicht genau, war vor meiner Zeit.

 

vor 2 Minuten schrieb NorbertFe:

Das wär jetzt aber echt zu einfach/pragmatisch. ;)

Ja, wieso leicht, wenn es auch schwer geht? :D

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...