Andy82Bln 0 Geschrieben 22. Januar 2024 Melden Geschrieben 22. Januar 2024 Hallo zusammen, wir würden gerne ein MDM mit Microsoft Intune einführen. Aktuell geht es um iOS Mobile Devices. Hier wollen wir gerne die Apple Mail App verwenden. Herausforderung ist, Active Sync über MFA/2FA zu verbinden. Unsere Umgebung besteht aus Exchange 2019 On-Prem DAG und einem Kemp Loadbalancer davor. Aktuell haben wir eine VPN Verbindung die sich bei Bedarf aufbaut. Damit funktioniert auch der Zugriff und die Mailkonfig kommt durch. Ist aber nicht schön und nicht super stabil. Der Kemp bietet nur Authentifiezierung Benutzername/Passwort ODER Zertifikat an. Keine Kombination. Gibt es Möglichkeiten über Kemp eine MFA/2FA einzurichten, wenn ja wie? Ich habe nur was vom Radius Server und pre-authentication gelesen, weiß aber nicht ob das für Active Sync gilt. Ansonsten hatten wir noch den Entra-Anwendungsproxy im Kopf, das geht bei OWA. Aber auch bei Active Sync? Gibt es sonst noch Ideen, die ich bisher übersehen habe? Vielen Dank schon mal vorab! VG Andreas Zitieren
NorbertFe 2.177 Geschrieben 22. Januar 2024 Melden Geschrieben 22. Januar 2024 Hi Andreas, technisch sollte es per Modern Auth am Exchange funktionieren, aber da steh ich aktuell in einem Projekt auch noch auf Kriegsfuß mit. ;) Du brauchst dann eine MFA Lösung, die sich in ADFS integriert. Da hat dann der Loadbalancer nichts mit zu tun. Das was der Kemp an der Stelle bietet wäre Radius oder ebenfalls SAMLs, aber ob man das "sinnvoll" mit Active Sync zum Laufen bringt, kann ich dir mangels Anforderung in bisherigen Projekten nicht sagen. Bye Norbert Zitieren
Nobbyaushb 1.516 Geschrieben 22. Januar 2024 Melden Geschrieben 22. Januar 2024 Ich bin da bei Norbert - hast du mal direkt Kemp angetriggert? Die reagieren eigentlich gut auf Anfragen... Zitieren
testperson 1.761 Geschrieben 22. Januar 2024 Melden Geschrieben 22. Januar 2024 Hi, Am 22.1.2024 um 13:47 schrieb NorbertFe: technisch sollte es per Modern Auth am Exchange funktionieren Mehr solange ich rein On-Premises bin, gilt das aber doch nur für OWA bzw. Forms-based und MAPI over HTTP bzw. mit Outlook als Client. "Der Rest" sollte doch für Exchange 2019 noch nachgereicht werden. Oder habe ich das verschlafen? Gruß Jan Zitieren
Andy82Bln 0 Geschrieben 22. Januar 2024 Autor Melden Geschrieben 22. Januar 2024 Hi, ich danke euch für die schnellen Antworten! Mir ist auch so, dass die Modern Auth lokal nicht für ActiveSync funktioniert. ADFS haben wir letztes Jahr beerdigt :) gab wohl zu viele Fehler. Bei Kemp habe ich noch nicht angefragt, wäre aber mein nächster Schritt. Hat Jemand Erfahrung mit Entra-Anwendungsproxy? Wenn es irgendwo Neuigkeiten gibt würde ich mich freuen wenn ihr an mich denkt ;) Gruß Andreas Zitieren
NorbertFe 2.177 Geschrieben 22. Januar 2024 Melden Geschrieben 22. Januar 2024 Autsch stimmt. :) Hab ich vollkommen vergessen. Sprich Active Sync ist in dem Fall auch mit modern Auth noch nicht möglich: Zitat With the 2023 H1 CU and the required Outlook version (please see documentation), we have added Modern auth support to Outlook on Windows for authentication against Exchange 2019 Mehr Am 22.1.2024 um 14:03 schrieb Andy82Bln: ADFS haben wir letztes Jahr beerdigt :) gab wohl zu viele Fehler. Mehr Hmm, mit Exchange oder generell? Zitieren
testperson 1.761 Geschrieben 22. Januar 2024 Melden Geschrieben 22. Januar 2024 Am 22.1.2024 um 14:03 schrieb Andy82Bln: Hat Jemand Erfahrung mit Entra-Anwendungsproxy? Mehr Kenne ich nur i.V.m. RD Web / RD Gateway. Theoretisch sollte Exchange damit auch veröffentlicht werden können, da modern Hybrid nicht viel anderes macht. Allerdings wirst du da vermutlich auch keine modern Auth für rein On-Premises hinkriegen. Da wäre dann AFAIK nur "Hybrid modern Auth" (HMA) möglich. Zitieren
NorbertFe 2.177 Geschrieben 22. Januar 2024 Melden Geschrieben 22. Januar 2024 Am 22.1.2024 um 13:52 schrieb testperson: "Der Rest" sollte doch für Exchange 2019 noch nachgereicht werden. Mehr Ich hab nicht mal das aus obigem Post rausgelesen (oder übersehen). Aber wenn man mal bedenkt, wie lange die sich für manche Dinge bei MS neuerdings Zeit lassen. :/ Zitieren
testperson 1.761 Geschrieben 22. Januar 2024 Melden Geschrieben 22. Januar 2024 Am 22.1.2024 um 14:52 schrieb NorbertFe: Aber wenn man mal bedenkt, wie lange die sich für manche Dinge bei MS neuerdings Zeit lassen. :/ Mehr Das letzte bisschen Geduld lässt sich doch easy peasy auf der zweiten A*chbacke absitzen. Es bleiben ja nur noch 2 CUs, um das klitzekleine Security Feature nachzureichen. Ich bin aber skeptisch, ob es tatsächlich mit dem nächsten CU passiert. (Oder wird es ein Killer-Argument um auf Exchange vNext zu gehen? ) Zitieren
NorbertFe 2.177 Geschrieben 22. Januar 2024 Melden Geschrieben 22. Januar 2024 Am 22.1.2024 um 14:59 schrieb testperson: (Oder wird es ein Killer-Argument um auf Exchange vNext zu gehen? ) Mehr Eher eins zu ExO zu gehen für viele andere ;) Zitieren
Andy82Bln 0 Geschrieben 22. Januar 2024 Autor Melden Geschrieben 22. Januar 2024 Am 22.1.2024 um 14:05 schrieb NorbertFe: Hmm, mit Exchange oder generell? Mehr Generell. Aber was genau das Problem war, weiß ich nicht. Da war ich dort noch nicht angestellt :) Zitieren
NorbertFe 2.177 Geschrieben 22. Januar 2024 Melden Geschrieben 22. Januar 2024 Und was ist jetzt der Ersatz dafür? Zitieren
Andy82Bln 0 Geschrieben 22. Januar 2024 Autor Melden Geschrieben 22. Januar 2024 Am 22.1.2024 um 14:59 schrieb NorbertFe: Eher eins zu ExO zu gehen für viele andere ;) Mehr Ich denke auch MS will Richtung ExO schubsen und vernachlässigt andere Themen So, gerade Sitzung gehabt und es wurde beschlossen auf die Outlook App für iOS zu wechseln. Da gab es meiner Meinung nach eine Lösung mit MFA in unserer Konstellation. Am 22.1.2024 um 15:03 schrieb NorbertFe: Und was ist jetzt der Ersatz dafür? Mehr Nichts. Aktuell ist es eine Authentifizierung am AD. Hybrid ist ja auch schon aufgebaut und eine Testperson ist auch schon im ExO. Die Planung ist ja auch dieses Jahr da hin zu wechseln. Mein Vorschlag war ja, wenn das so geplant ist, dann erst zu ExO zu wechseln und dann die MDM Lösung umstellen ... dann gibt es auch keine Auth-Herausforderung mehr. Zitieren
NorbertFe 2.177 Geschrieben 22. Januar 2024 Melden Geschrieben 22. Januar 2024 Am 22.1.2024 um 15:04 schrieb Andy82Bln: So, gerade Sitzung gehabt und es wurde beschlossen auf die Outlook App für iOS zu wechseln. Da gab es meiner Meinung nach eine Lösung mit MFA in unserer Konstellation. Mehr Über Outlook for iOS und Android hülle ich lieber den Mantel des Schweigens :) Will ja meist eh niemand hören wie die funktioniert. Dafür ist sie so schön bunt und mit Features. Am 22.1.2024 um 15:04 schrieb Andy82Bln: Nichts. Aktuell ist es eine Authentifizierung am AD. Mehr ADFS hatte vorher keinen Anwendungszweck, oder wie? Am 22.1.2024 um 15:04 schrieb Andy82Bln: Mein Vorschlag war ja, wenn das so geplant ist, dann erst zu ExO zu wechseln und dann die MDM Lösung umstellen ... dann gibt es auch keine Auth-Herausforderung mehr. Mehr Das wär jetzt aber echt zu einfach/pragmatisch. ;) Zitieren
Andy82Bln 0 Geschrieben 22. Januar 2024 Autor Melden Geschrieben 22. Januar 2024 Am 22.1.2024 um 15:11 schrieb NorbertFe: Über Outlook for iOS und Android hülle ich lieber den Mantel des Schweigens :) Will ja meist eh niemand hören wie die funktioniert. Dafür ist sie so schön bunt und mit Features. Mehr Ohh, jetzt bin ich neugierig. Kläre mich bitte auf :) Am 22.1.2024 um 15:11 schrieb NorbertFe: ADFS hatte vorher keinen Anwendungszweck, oder wie? Mehr Das weiß ich nicht genau, war vor meiner Zeit. Am 22.1.2024 um 15:11 schrieb NorbertFe: Das wär jetzt aber echt zu einfach/pragmatisch. ;) Mehr Ja, wieso leicht, wenn es auch schwer geht? Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.